Systeme und ihr Umfeld

Revision

Die Rolle der EDV-Revision im IT-Sicherheitsprozess

Von Karl-Heinz Reis und Walter Stockmeier, München

Vernachlässigung geltender Sicherheitsrichtlinien, mangelnde Koordination von Sicherheitsmaßnahmen oder einfach fehlendes Risikobewusstsein gefährden häufig die IT-Sicherheit von Unternehmen. Die EDV-Revision kann hier helfen, Missstände aufzudecken und zu beheben. Auch die große Zahl der Angriffe und Risiken "von innen" verleiht einer unabhängigen Revision zusätzliche Bedeutung.

Sicherheit lässt sich nicht durch eine "Einmal-Aktion", sondern nur in einem stetigen Prozess gewährleisten. Dieser IT-Security-Prozess besteht aus mehreren Faktoren: Dazu gehören Analysen, IT-Security-Policy, Planung, Umsetzung und kontinuierlicher Betrieb. Eine Identifikation der kritischen Geschäftsprozesse führt unmittelbar zu einer Identifikation der zugrunde liegenden IT-Prozesse sowie der diese Prozesse abbildenden Applikationen, Systeme und Netze. Für diese Komponenten gilt es, sowohl einzeln als auch im Zusammenspiel (Datenaustausch) entsprechende organisatorische und technische Schwachstellen- und Risikoanalysen durchzuführen. Die Ergebnisse muss man anschließend in monetäre oder Reputationsrisiken für das jeweilige Unternehmen transformieren.

Wer aber in einen solchen Prozess eingebunden ist, verliert fast zwangsläufig über kurz oder lang eine unabhängige Sicht der Dinge. Alle unternehmensweiten Prozesse müssen jedoch ständig unbeeinflusst hinterfragt werden. Dies erfordert eine EDV-Revision als unabhängige Prüfinstanz, nicht als operativen Bestandteil des Security Prozesses. Die Revision prüft auch das interne Kontrollsystem, sie darf also kein Teil dieses internen Kontrollsystems sein.

Fragen, Fragen, Fragen

Revision definiert sich als zentraler Ansprechpartner für IT-Sicherheitsbeauftragte im Unternehmen, mit dem Ziel Sicherheitstrategie, -richtlinien und -maßnahmen abzustimmen. Überdies sollte sie durch die Formulierung einheitlicher Anforderungen sowie die Bewertung von Verfahrensvorschlägen die Sicherheitsbeauftragten unterstützen und stichprobenartig die Einhaltung der verabschiedeten Verfahren prüfen. Bei Bedarf nehmen Revisoren zusätzlich an zentralen Sitzungen zur Thematik IT-Sicherheit teil. Zu den Fragen, welche die Revision aufzuwerfen hat, gehören zum Beispiel

auf organisatorischer Ebene:
Ist im Unternehmen ein Security-Prozess implementiert?
Verfügt das Unternehmen über eine Sicherheitsorganisation, die sich ausschließlich mit IT-Security beschäftigt?
Wurden Risikoanalysen für die geschäftskritischen IT-Prozesse durchgeführt?
In welcher Häufigkeit und aus welchem Anlass werden diese Risikoanalysen durchgeführt?
Liegt eine aktuelle Schutzbedarfanalyse vor?
Sind strategische, generische und produktbezogene Security Policies eingerichtet und auf dem neuesten Stand? Existieren diese Richtlinien in ausreichender Granularität (z. B. zur Informationssicherheit am Arbeitsplatz, für Führungskräfte, beim Betrieb von Netzen, externen Diensten, als PKI-Policy sowie als produktbezogene Sicherheitsrichtlinien für die verwendeten Betriebssysteme, Netzwerkdienste und -hardwares, Anwendungsprogramme, Datenbanken usw.)?
Business Contingency Planning: Gibt es einen Notfall- und Katastrophenplan, der sicherstellt, dass die operativen Systeme zur Abwicklung kritischer Geschäftsprozesse jederzeit zur Verfügung stehen?
auf technischer Ebene:
Risikoanalyse: Werden die Systeme und Netze regelmäßig auf (beispielsweise durch CERT-Meldungen) neu bekannt gewordene Schwachstellen geprüft?
Werden die Sicherheits-Patches der Hersteller regelmäßig eingespielt?
Lesen die im Unternehmen mit Fragen der IT-Sicherheit betrauten Personen die relevanten Mailinglisten für ihr Fachgebiet?
Auditing: Werden die Systeme und Netze regelmäßig auf korrekte Implementation sowie die Einhaltung der verabschiedeten Sicherheitsstandards geprüft?
Security Monitoring: Wie werden kritische Aktivitäten sowie Angriffe auf Systeme und Netze festgestellt? Werden solche Aktivitäten nur protokolliert (post-event) oder ist ein Intrusion Detection System (IDS) implementiert (Real-Time-Alert-Monitoring)? Sind sowohl host- als auch netzwerkorientierte Verfahren eines IDS implementiert?
Sind Eskalationsprozesse für den Fall einer erkannten Sicherheitsverletzung (etwa einem DoS-Angriff) definiert und getestet?
Welche Zugriffschutzsysteme sind im Unternehmen implementiert?

Solche Fragestellungen sowie Risiken und Empfehlungen gilt es, innerhalb des Unternehmens zu kommunizieren und an die Geschäftsleitung weiterzugeben, um schließlich eine gemeinsame Lösung zu erarbeiten. Dabei ist auch ein hinreichendes Sicherheitsbewusstsein bei allen Mitarbeitern zu schaffen, da nahezu alle täglich anfallenden Aktivitäten für die IT-Sicherheit bedeutsam sein können.

Großes Risikopotenzial liegt in der ständig zunehmenden Vernetzung der IT-Infrastrukturen. Ob Virengefahr oder "Hacker"-Angriffe – in der heutigen Informationsgesellschaft, die auf offene Systeme und standortübergreifende Kommunikation setzt, sind sich zumindest die meisten Verantwortlichen über die Notwendigkeit von Schutzmaßnahmen bewusst. Viele Unternehmen kennen auch die Risiken. Nur wird dieses Bewusstsein häufig nicht entsprechend umgesetzt, da die erforderlichen Ressourcen fehlen oder Mitarbeiter interne Sanktionen befürchten.

Studien zufolge, die CONSUL Risk Management zusammen mit Partnern seit Mitte der 80er Jahre bis heute weltweit in Großunternehmen durchführt, finden unberechtigte Zugriffe auf unternehmenskritische und vertrauliche Daten überwiegend durch eigene Mitarbeiter statt. Die Möglichkeiten, in die Integrität und Sicherheit eines Systems einzugreifen, reichen vom versehentlichen Überschreiben bis zum uneingeschränkten Spionage-Zugriff auf sensitive Datenbanken. Auch die Erfolgsrate so genannter Penetration Tests durch CONSUL Risk Management, bei denen mittlerweile 350 Großrechnersysteme geprüft wurden, lag bei erschreckenden 100 Prozent. In sämtlichen Fällen dauerte es weniger als zwei Tage, um sogar in moderne Systeme einzudringen.

Verantwortung verankern

Man sollte auf allen Ebenen persönliche Verantwortlichkeiten für aktive Maßnahmen und Risiken für Mitarbeiter, Informationen, Vermögenswerte sowie für eine kontinuierliche Geschäftstätigkeit im Notfall einrichten.

IT-Security ist für Unternehmen heute keine freiwillige Sache mehr. Im Rahmen des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) kommt auch der Revision eine wachsende Bedeutung zu. Das KonTraG fordert seit Mai 1998 Kontrolle, Transparenz und präventive Maßnahmen zur Risikoerkennung in börsennotierten Unternehmen. Damit geht die Verpflichtung einher, durch ein unabhängiges Werkzeug oder eine Kontrollinstanz aktiv Vorsorge zur IT-Risikobegrenzung zu schaffen. Diese Regelung hat IT-Sicherheit klar zum Vorstandsthema erhoben.

Die Revision hat ihre Ergebnisse daher direkt der Unternehmensleitung zu berichten. Auf dieser Basis müssen die Revisoren mit den betreffenden Abteilungen sowohl die festgestellten Sicherheitsverletzungen als auch Risiken und Empfehlungen diskutieren und eine gemeinsame Lösung erarbeiten. Die EDV-Revision darf sich aber nicht nur mit der Rolle einer prüfenden Instanz begnügen (ex-post Betrachtung), sie muss vielmehr Kenntnis über alle Prozesse und Projekte im Gesamtumfeld IT-Sicherheit haben, um ihrer zusätzlichen Aufgabe als "interner Consultant" im notwendigen Umfang gerecht zu werden (ex-ante Betrachtung).

Eine nicht zu unterschätzende Rolle spielen dabei auch externe Dienstleister und Security-Tools, welche die installierten IT-Sicherheitsprodukte an den Richtlinien des Unternehmens messen. Mit Hilfe automatischer Analyse- und Reporting-Werkzeuge kann man die existierenden sicherheitsrelevanten Daten plattformübergreifend analysieren und in eine für IT-Revisoren und Sicherheitsbeauftragte einfach verständliche Sprache transformieren.

Karl-Heinz Reis ist Leiter IT-Security-Management bei der INTERCHIP AG und war früher Leiter der EDV-Revision bei einer deutschen Großbank. Walter Stockmeier ist Geschäftsführer bei CONSUL Risk Management.