Читать книгу IT-Sicherheit für Dummies - Rainer W. Gerling - Страница 51

Bei einem Audit unterziehen ein oder mehrere Prüfer den Prüfgegenstand einer systematischen Prüfung. Der Prüfer muss für diesen Prüfvorgang zugelassen (zertifiziert) sein. Die Zertifizierung des Prüfers setzt den Nachweis des erforderlichen Fachwissens voraus, das durch eine Ausbildung und praktische Erfahrung erworben wird. Die Details für die Ausbildung und Prüfung sowie die Zulassung sind detailliert geregelt.

Wenn Sie sich als Auditor zertifizieren lassen wollen, müssen Sie zuerst ein Verfahren zur Überprüfung Ihrer Fachkunde (Kompetenzfeststellung) erfolgreich durchlaufen. Danach folgt die dreijährige Zertifizierungsphase. Das BSI beobachtet Sie bei der Ausübung Ihrer Tätigkeit. Bei Kompetenzmängeln oder Verstößen gegen Auditregeln kann das BSI Ihr Zertifikat vorzeitig widerrufen. Nach Ablauf der Zertifizierungsphase ist eine Rezertifizierung möglich und üblich. Ähnlich wie Piloten, die zum Erhalt ihrer Fluglizenz regelmäßig Flugstunden absolvieren müssen, müssen Sie als Auditor während der Zertifizierungsphase auch regelmäßig Audits durchführen. [BSI19b]

Im BSI-Gesetz ist geregelt, dass das BSI die »Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen« und die »Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände« festlegt (§ 8a Abs. 5). In der DS-GVO erfolgt die Zulassung der Zertifizierungsstellen durch die Datenschutz-Aufsichtsbehörden. In anderen Bereichen gibt es entsprechende Regelungen.

Die in den Anwendungsbereich des BSI-Gesetzes fallenden Unternehmen müssen alle zwei Jahre durch Audits nachweisen, dass sie die IT-Sicherheitsvorgaben einhalten. Hierzu müssen die Audit-Berichte externer zertifizierter Prüfer dem BSI vorgelegt werden.

Auch die DS-GVO sieht Audits, hier Zertifizierungen genannt, als hilfreich an. Verantwortliche Stellen sollen sich freiwillig zertifizieren lassen, um nachzuweisen, dass sie alle datenschutzrechtlichen Vorgaben einhalten. Die DS-GVO sieht vor, dass eine Zertifizierung für maximal drei Jahre gültig sein darf. Die Zertifizierung kann sowohl von der Zertifizierungsstelle als auch von den Aufsichtsbehörden vorzeitig widerrufen werden.

Bei der Anerkennung der Zertifizierung ist die DS-GVO sehr vorsichtig. »Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.« Muss ein Unternehmen die Einhaltung der Sicherheit der Verarbeitung nach Art. 32 DS-GVO der Aufsichtsbehörde nachwiesen, ist die Zertifizierung ein Anhaltspunkt für die Einhaltung der Vorgaben.

Theoretisch kann sich ein Unternehmen auch freiwillig auditieren lassen. Dies ist aber wegen des damit verbundenen Aufwands nur üblich, wenn damit gegenüber den Kunden wettbewerbliche Vorteile möglich sind, also letztendlich die Vorteile den Aufwand rechtfertigen.

Ein Audit läuft in vier wesentlichen Stufen ab:

 Festlegung des räumlichen und sachlichen Prüfgegenstands,

 Prüfung der Dokumentation (Soll-Zustand),

 Vor-Ort Prüfung der Umsetzung (Ist-Zustand) durch Interviews und Begehungen,

 Präsentation der Ergebnisse und Maßnahmenempfehlungen.

Sie wählen einen IT-Sicherheits-Dienstleister, der für den Audit-Zweck, den Sie anstreben, zugelassen ist. Wenn Sie als Unternehmen des KRITIS-Bereichs regelmäßig ein Audit machen müssen, wählen Sie einen Dienstleister, der hierzu zugelassen und anerkannt ist. Das dafür erforderliche Verfahren ist seitens des BSI detailliert geregelt und dokumentiert.

Der Zweck eines Audits wird zu Beginn des Audits vom Auftraggeber definiert. Dazu legen Sie fest, welcher Teil des Unternehmens auditiert werden soll. Es macht keinen Sinn das gesamte Unternehmen zu auditieren, da das viel zu aufwendig ist. Je nach Zweck des Audits lassen Sie die Kundendatenverarbeitung, den Forschungs- und Entwicklungsbereich oder einen anderen Unternehmensbereich auditieren. Das entscheiden Sie auf Basis Ihres Bedarfs oder der externen Anforderungen.

Die Auditoren werden zuerst die Dokumentation zur IT-Sicherheit, also den Soll-Zustand prüfen. Dabei wird die Dokumentation auch auf Vollständigkeit und Sinnhaftigkeit geprüft. Wenn die Auditoren die IT-Sicherheitsorganisation und die technischen IT-Sicherheitsstrukturen in Ihrem Unternehmen verstanden haben, werden die Auditoren vor Ort durch Begehungen und Interviews mit den Beteiligten überprüfen, ob die Papierform mit der tatsächlichen Situation übereinstimmt. Sie wissen ja, Papier ist geduldig.

Selbst wenn Sie als Buchhalterin oder Sachbearbeiter im Unternehmen arbeiten, kann es Ihnen passieren, dass ein Auditor mit Ihnen spricht. Dabei geht es um so einfache Fragen wie: »Kennen Sie die IT-Sicherheitsregeln? Wie wurden Sie damit vertraut gemacht? Verschlüsseln Sie Ihre E-Mail? Klappt das reibungslos?« – Denn was nutzen die besten Regeln, wenn die Nutzerinnen sie nicht kennen? Auch wenn die Umsetzung so kompliziert für die Nutzerinnen ist, dass »kreative Workarounds« gefunden werden, ist das wichtig für die Auditoren. Diese wollen ein echtes Bild der Situation im Unternehmen und keinen Hochglanzprospekt.

Aus alle Erkenntnissen wird dann ein Abschlussbericht erstellt, der mit dem Unternehmen besprochen wird. Dabei geht es aber nicht nur um Kritik im Sinne einer Aufzählung, was alles falsch läuft. Es geht auch um eine Strategie zur Verbesserung der IT-Sicherheit. Welche Maßnahmen sind jetzt erforderlich? Bis wann sollten diese umgesetzt sein? Was ist eine sinnvolle Priorisierung für die Umsetzung der verschiedenen Maßnahmen? Gute Auditoren helfen Ihnen mit ihren Hinweisen und Empfehlungen, besser zu werden.

Bei der Präsentation des Abschlussberichts und der daraus folgenden Diskussion der zu ergreifenden Maßnahmen muss die Geschäftsleitung dabei sein. Auch wenn Sie der Meinung sind, die Geschäftsleitung kennt das alles, weil Sie es schon oft genauso gesagt haben. Denken Sie daran, in der Regel gilt der Prophet nichts im eigenen Land. Wenn das Ergebnis von einem externen Experten vorgestellt wird, hört Ihre Geschäftsführung höchstwahrscheinlich eher darauf. Und dann haben Sie etwas erreicht.

Damit Sie im Unternehmen einen möglichst vorurteilsfreien Blick auf die IT-Sicherheit erhalten, empfiehlt es sich, von Zeit zu Zeit das (interne) Auditoren-Team zu wechseln. Irgendwann werden die Auditoren betriebsblind, weil sie nur noch die Umsetzung ihrer eigenen Empfehlungen aus dem letzten Audit prüfen. Ein neues Auditoren-Team bringt neue Blickwinkel und frischen Wind in das Audit. Das wird zu Ihrem Vorteil sein. Schließlich wollen Sie ja die IT-Sicherheit verbessern.