Die unumkehrbare Abhängigkeit von der Informationstechnik in allen betrieblichen Prozessen hat mittlerweile dazu geführt, dass sich auch externe Prüfer beim Jahresabschluss mit der Anforderungskonformität (Compliance) der Informations-Sicherheit (ISi) zu beschäftigen haben und gegebenenfalls sogar Softwareprüfungen eingesetzter Anwendungsprogramme vornehmen müssen. Spätestens diese Berücksichtigung der IT in den gängigen Prüfstandards des Instituts der Wirtschaftsprüfer (![[externer Link]](../../../../images/link.gif)
www.IDW.de) sollte jede Institution veranlassen, sich und ihre EDV auf diese Prüfungen sorgfältig vorzubereiten, um keine Gründe für Beanstandungen zu liefern. Somit wird die IT insgesamt, vor allem aber die IT-Sicherheit, heute auch zu einem Gegenstand der internen Prüfung durch Innen- oder IT-Revision oder mit ähnlichen Aufgaben beauftragten Funktionsträger.
Die wesentlichen IDW-Prüfungsstandards, die sich mit der IT-Sicherheit beschäftigen, sind:
Den Umfang, in dem externe Prüfer zur Prüfung der Sicherheit des IT-Einsatzes verpflichtet sind, verdeutlicht vor allem IDW RS FAIT 1 [1], die einen weiten Bogen von Datensicherheit und Datenschutz über Vertraulichkeit, Integrität und Verfügbarkeit von Hardware und Software sowie Daten und Informationen bis hin zu Fragen der Autorisierung, Authentizität und Verbindlichkeit spannt. Doch IT-Sicherheit allein reicht nicht aus, um ein System anforderungskonform zu gestalten, denn:
"Die Anforderungen der Grundsätze ordnungsmäßiger Buchführung ... wirken sich aus auf
Die Zuordnung dieser Prüfungsgebiete auf externe Prüfer sollte man auf die interne Revision übertragen. Hierzu sagt die FAIT 1: "Unter Überwachung des IT-Kontrollsystems ist die Beurteilung [seiner] Wirksamkeit ... im Zeitablauf durch Mitarbeiter des Unternehmens zu verstehen. Überwachungsmaßnahmen können in die Unternehmensprozesse eingebaut sein. In zahlreichen Unternehmen wird neben diesen prozessintegrierten Überwachungsmaßnahmen das IT-Kontrollsystem von der internen Revision überwacht."
Keine Institution, die einer externen Prüfung unterliegt, sollte sich dem Risiko aussetzen, von einem Wirtschaftsprüfer mangelhaft beurteilt zu werden, wenn sie in der Lage ist, dieses durch vorgeschaltete interne Prüfungen auszuschließen. In Kenntnis dieser Sachverhalte sollte die interne Revision ihre Prüfungsplanung so ausrichten, dass sie ihr Haus bestmöglichst auf externe Prüfungen vorbereitet. Da somit die Prüfobjekte in- wie externer Prüfung übereinstimmen, wird in den folgenden Ausführungen im Regelfall nicht mehr zwischen beiden Bereichen unterschieden.
Nahezu alle in diesem Zusammenhang relevanten Gesetze und Standards gehen von einer Risikobetrachtung aus, um darauf aufbauend das Problem der Sicherheit von Informationssystemen anzugehen. Informationssicherheit wird so Bestandteil einer Risikomanagementstrategie und trägt dazu bei, durch Beseitigung von IT-Sicherheitsschwachstellen Risiken zu mindern oder zu beseitigen und so den Bestand der Institution zu sichern. Das Beispiel von Basel II [2] verdeutlicht besonders gut den Zusammenhang zwischen internen und externen Prüfungen. Obgleich Basel II nur für den Bankensektor als Norm bindend ist, sind seine Inhalte doch auf alle Institutionen/Unternehmen übertragbar, die eine hohe Abhängigkeit von der IT-Sicherheit aufweisen.
Das Prinzip 4 besagt: "Banks should identify and assess the operational risk inherent in all material products, activities, processes and systems. ... Investments in appropriate processing technology and information technology security are also important for risk mitigation." Dabei warnt Basel II davor, dass eine höhere Automation (IT) häufig auftretende Verlustursachen zwar reduzieren, dafür aber die Höhe eines möglichen Verlustes drastisch steigern könnte.
Als wesentliches Merkmal zur Risikominimierung wird das Prinzip 7 angesehen, das sich schwerpunktmäßig auf Maßnahmen des Notfallmanagements und der Business Continuity bezieht. Um Risiken von Betriebsunterbrechungen abzufangen, sollte eine Institution demzufolge nicht nur (regelmäßig aktualisierte) Notfallpläne haben, sondern auch periodisch durch Tests die Funktionsfähigkeit und Effizienz dieser Pläne unter Beweis stellen.
Ein hoch relevantes Risiko ist dadurch gegeben, dass Banken in hohem Maße IT-Outsourcing betreiben. Basel II stellt hierzu fest, dass Outsourcing zwar Risiken auf erfahrenere Dritte übertragen kann, andererseits aber das Management nicht von der Verantwortung entbindet, die Sicherheitsaktivitäten dieses Dritten zu kontrollieren, und insbesondere Vertragsfragestellungen und Service-Level-Agreements (SLAs) nicht auf untergeordnete Stellen delegiert werden dürfen (s. a. S. 84).
Alle hier im Zusammenhang mit Basel II genannten Punkte stimmen im Übrigen mit der ISO/IEC 20000 (IT Service Management) überein und erfahren dort eine weitere Präzisierung. Es ist absolut sinnvoll, wenn nicht sogar notwendig, sein IT-Management hieran auszurichten. Wer dies konsequent durchführt, hat in hohem Maße die Bedingungen der Norm realisiert und gleichzeitig die Basel-II-Verpflichtungen erfüllt.
Dass Risikomanagement Chefsache ist, sollte nichts Neues sein. Inwieweit das Risikomanagement der IT-Sicherheit delegiert werden kann, ist in vielen Fällen eine Frage der Form der ISi-Institutionalisierung: Wo ein IT-Sicherheitsbeauftragter vorhanden ist, der darüber hinaus die Unterstützung eines (zumindest periodisch agierenden) IT-Sicherheits-Teams hat, dort kann sich die Leitung der Institution möglicherweise auf Kontrollaufgaben im Rahmen des IT-Sicherheitsmanagements beschränken.
Sicher ist jedoch, dass selbst bei einer Delegation der Risikomanagementaufgabe die Verantwortung bei der Leitungsinstanz verbleibt. Unterstützung kann die Leitungsinstanz hierbei durch die interne Revision erhalten, was die obige Argumentation weiter verstärkt, revisionsorientierte Standards zur Prüfung von IT-Risiken und -Sicherheit einzusetzen. Interessant ist, dass Basel II jedoch empfiehlt, die interne Revision nicht direkt für das Risikomanagement verantwortlich zu machen: Auch das Risikomanagement der IT-Sicherheit sollte zumindest durch verantwortliche Mitarbeiter außerhalb der Revision wahrgenommen werden, die direkt und unmittelbar an Leitungsinstanzen berichten. Dennoch sollten Prüfer – auch der internen Revision – die Unternehmensleitung über festgestellte wesentliche Schwächen des IT-Systems direkt aufmerksam machen.
Die IDW-Prüfungsstandards sollen dem Abschlussprüfer die Anforderungen an Prüfungen von Jahres-, Konzern- und Zwischenabschlüssen erleichtern und Prüfprozesse normieren. Die Standards spiegeln im Wesentlichen internationale Standards wider, berücksichtigen aber auch neuere Entwicklungen und spezifische, vom IDW für besonders relevant gehaltene Punkte, etwa ergänzende Anforderungen, die sich aus der speziellen deutschen Rechtslage ergeben.
Was der Abschlussprüfer nutzt, kann naturgemäß auch der internen Revision wertvolle Hilfen liefern, durch spezifische interne Prüfungen die Abschlussprüfungen vorzubereiten und im Hinblick auf ihre Inhalte vorwegzunehmen. Im Rahmen des hier dargestellten Zusammenhangs sind – wie eingangs erwähnt – vor allem die IDW-Prüfstandards (PS) 330, 331 und 880 von Bedeutung. Im Folgenden soll exemplarisch auf den PS 330 näher eingegangen werden.
Der IDW PS 330 "Abschlussprüfung bei Einsatz von Informationstechnologie" befasst sich mit der Prüfung computergestützter Verfahren beim Softwareanwender, also dem "normalen" Unternehmen. Ziel der zugehörigen IT-Systemprüfung ist es zu beurteilen, ob ein IT-gestütztes Rechnungslegungssystem den – insbesondere im IDW RS FAIT 1 dargestellten – Ordnungsmäßigkeits- und Sicherheitsanforderungen entspricht. Die Prüfgebiete entsprechen der eingangs im FAIT-1-Zitat aufgeführten Liste. Die Prüfung erstreckt sich folgerichtig auf:
Diese Grobstruktur ist für Prüfungszwecke jedoch so noch nicht brauchbar – vielmehr muss eine Detaillierung erfolgen, die hier am Beispiel "Gewährleistung einer Infrastruktur" betrachtet werden soll. Tabelle 1 gliedert die zugehörigen Prüfinhalte in eine Vielzahl von Unterpunkten, die zusammen die Grundlage für eine Checkliste zu prüfender Punkte darstellen. Faktisch deckt die Prüfung gemäß ISO/IEC 27001 beziehungsweise BS 7799 wesentliche Kriterien der Prüfung gemäß IDW 330 ab, weist aber eine erheblich stärkere Granulierung auf. Somit wäre eine Prüfung nach BS 7799 vorzuziehen, da sie für die interne Revision oder andere Prüfer leichter durchzuführen ist und dennoch die Anforderungen des PS 330 erfüllt. Für die praktische Arbeit ist dabei bedeutsam, dass für diese IT-Standards Prüf-Tools existieren, die neben der Analyse auch die Berichterstattung computergestützt abwickeln (vgl. [3]).
Tabelle 1: Gewährleistung einer Infrastruktur beziehungsweise eines geordneten IT-Betriebs, insbesondere durch die Sicherung der Verfügbarkeit (Prüfpunkte gem. IDW PS 330)
Die interne Revision verschafft sich damit eine "Messlatte", mit der sie Prüfungsaufgaben standardisiert durchführen und somit sicherstellen kann, dass bei einer gewissenhaften Durchführung dieser Prüfungen die geprüfte Institution qualitativ auf die externe Abschlussprüfung vorbereitet ist. Es ist demnach die Aufgabe der internen Revision, diese Prüfstandards so aufzubereiten, dass sie für die eigenen Zwecke verwendet werden können und als Grundlage der eigentlichen Prüfung sowie zur bewertenden Beurteilung der Prüfergebnisse dienen können.
Da die Prüfstandards dem Prüfer selbst beträchtliche Freiheiten in der Durchführung seiner Prüfungstätigkeit geben, erscheint es sinnvoll, eine stärkere Strukturierung der Standards vorzunehmen, und sie gegebenenfalls stärker zu präzisieren. Dies ist insbesondere auch dann sinnvoll, wenn die interne Revision aus unternehmenspolitischen Gründen möglicherweise Wert darauf legt, unabhängige Konzerneinheiten oder -töchter aufgrund der erarbeiteten Audit-Ergebnisse zu vergleichen, um möglicherweise ein unternehmenseinheitliches Niveau auf der strategischen Ebene herzustellen. Speziell dieser Aspekt ist im Hinblick auf die IT-Sicherheit von großer Bedeutung, damit Risiken konzernweit reduziert werden.
----------Anfang Textkasten----------
Eine Betrachtung von Prüfungen auf dem Gebiet der IT-Sicherheit wäre unvollständig, wenn nicht die auf diesem Gebiet existierenden Standards und Normen allgemeiner Art zumindest erwähnt würden. Es handelt sich hierbei um:
Diese Standards und Konzepte sind sämtlich Grundlage einer Zertifizierung oder Gütesiegelung und damit von ihrer Konzeption her bereits auf Prüfungen ausgerichtet. Wie im Haupttext angemerkt hat eine Prüfung nach ISO/IEC 27001 (BS 7799) weitgehend deckungsgleiche Inhalte mit dem IDW-Standard PS 330 – ein entsprechendes Zertifikat dürfte somit einem externen Prüfer wesentliche Teile seiner Arbeit abnehmen.
Das Grundschutzkonzept des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) hat inzwischen Anerkennung als internationaler Standard erreicht und steht damit auch für global operierende Unternehmen als mögliche Grundlage für eine Gütesiegelung auf dem IT-Sicherheitssektor zur Verfügung.
Inwieweit eine Institution dem Grundschutzkonzept oder BS 7799 den Vorzug gibt, dürfte von institutionsindividuellen Voraussetzungen abhängen – nicht zuletzt davon, ob man dem stärker technisch ausgerichteten Grundschutz oder dem stärker managementorientierten BS 7799-Konzept den Vorzug gibt.
Wesentliche Teilgebiete der ISO/IEC 20000 (BS 15000) im Zusammenhang mit der IT-Sicherheit sind das Managementsystem, Incident-, IT Service Continuity, Service Level, Change und Problem-Management. Es sei allerdings angemerkt, dass sowohl beim ITIL-Konzept wie auch der Norm ISO/IEC 20000 Aspekte des IT-Service-Managements das Hauptgewicht bilden.
----------Ende Textkasten----------
Zur Durchführung von Prüfungen sollte man sorgfältig untersuchen, ob ein leistungsfähiges Tool zur Verfügung steht, um die Arbeit des Prüfers effizienter zu machen und insbesondere die Objektivität seiner Feststellungen zu untermauern und zu verbessern. Dies wird beispielsweise auch in dem IDW PS 330 empfohlen. Für die genannten Gebiete steht eine Vielzahl von Softwarewerkzeugen zur Verfügung, die oft auf bestimmte Prüfungsgebiete spezialisiert sind (z. B. auf den Grundschutz). Es gibt allerdings auch einige universell verwendbare Tools (s. a. www.uimcert.de).
Bei der Auswahl eines Tools sollte man die folgenden Punkte betrachten und Kandidaten einem Punktbewertungsschema unterwerfen:
Für die Prüfung der IT-Sicherheit sind die Prüfungsinteressen von externen und internen Prüfern in hohem Maße identisch. Die Prüfstandards, die externe Prüfer anwenden, können und sollten daher auch von internen Prüfern genutzt werden. Auch weitere Standards – außerhalb des Prüfungsumfelds – lassen sich erfolgversprechend einsetzen, um IT-Sicherheit effizient zu auditieren und den Auditierungsprozess ordnungsgemäß (compliant) und dem heutigen Normenverständnis entsprechend zu gestalten. Hierdurch werden die Risiken der IT reduziert und das gesamte Risikomanagement einer Institution positiv mitgestaltet. Last, but not least soll nochmals darauf hingewiesen werden, dass auch die Vorgaben bereichsspezifischer Normen häufig auf alle sicherheitssensitiven Institutionen unabhängig von der Branche übertragbar sind.
Prof. Dr. Reinhard Voßbein ist Geschäftsführer der UIMCert GmbH, Wuppertal ( www.uimcert.de).
www.idw-verlag.de www.revision-hamburg.de
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#6, Seite 79
| 