Mit einer IT-Audit-Checkliste Unternehmen schützen
©snowing12 – stock.adobe.com

Mit einer IT-Audit-Checkliste Unternehmen schützen

5 min.

Digitalisierung, Homeoffice oder strukturelle Anpassungen stellen Unternehmen aktuell vor große Herausforderungen. Wie sind bei Veränderungen die Informations- und Datensicherheit zu gewährleisten? Eine Möglichkeit ist es, die IT mit einer Audit-Checkliste auf Schwachstellen zu durchleuchten.

Seit Beginn der Corona-Pandemie sind die Anforderungen an Datenschutz und Datensicherheit massiv gestiegen – dank schnellerer Digitalisierung oder Homeoffice. Die internen Abläufe anpassen und auf kurzfristige Änderungen zu reagieren, erzeugte dabei teils eine hohe Arbeitslast. „Um die Werte und Daten im Unternehmen zu schützen, ist eine klare Rollenverteilung nötig, um die Informationssicherheit zu gewährleisten“, erklärt Thomas Kastner, Geschäftsführer der iAP Independent Consulting + Audit Professionals GmbH in Berlin. Zu diesen Rollen gehören der Datenschutzbeauftragte oder -koordinator (DSB), der Informationssicherheitsbeauftragte (ISB), der Compliancemanager und der Notfallmanager.

Die Aufgaben der IT im Unternehmen

Die IT erfüllt Kernaufgaben im Unternehmen und ist damit interner Dienstleister. Die IT sollte also die Sprache der jeweiligen Fachabteilungen, etwa des DSB oder des Compliancemanagers, verstehen und ihre Leistungen danach ausrichten. „Unsere Erfahrungen der vergangenen 20 Jahre zeigen, dass es einen Unterschied macht, ob die IT-Abteilung in der Lage ist, strategisch zu beraten, oder nur umsetzt“, sagt Kastner.

Die Aufgaben des DSB und Compliancemanagers

Die Rollen etwa des DSB oder Compliancemanagers erfordern eine enge Verzahnung von IT und den verschiedenen Fachabteilungen des Unternehmens, um die gestellten Aufgaben zu erfüllen. Dies erfolgt in standardisierten Managementsystemen. Jedes System liefert dabei thematisch wesentliche Fragestellungen. „Läuft das systematisch und kontinuierlich ab, geht das Unternehmen den Schritt vom Reagieren zum Agieren“, erklärt Kastner.

Der DSB betrachtet die IT- und Fachabteilungsprozesse. Ziel ist es, alle Abläufe mit deren Daten zu kennen und transparent zu machen. „In Unternehmen gibt es nur sehr wenige Prozesse, in denen keine personenbezogenen Daten verarbeitet werden“, sagt Kastner, „der DSB muss daher unabhängig und weisungsfrei agieren können. Er darf keine Aufgaben in der IT-Administration oder Managementaufgaben wahrnehmen.“ Weitere Aufgaben des DSB:

  • Unterstützen beim Erstellen und Weiterentwickeln eines Datenschutzmanagementsystems (DSMS) sowie eines Verfahrensverzeichnisses;
  • Erstellen einer umfassenden, ordnungsgemäßen Dokumentation der hinsichtlich des Datenschutzes getroffenen Maßnahmen.

Informationssicherheitsbeauftragte sind für die Sicherheit der Daten zuständig sowie für deren interne und externe Verarbeitung. Compliancemanager hingegen stellen die Richtlinien für den Umgang mit Daten und Informationen im Unternehmen auf. Wie auf einen Cyberangriff zu reagieren ist oder bei Datenverlust, simulieren Notfallmanager. Sie legen die Maßnahmen fest, die in solchen Fällen zu ergreifen sind.

Erste Schritte zu mehr Transparenz

Unternehmen sind dafür verantwortlich, ihre informationstechnischen Verfahren regelmäßig zu überprüfen. Dieser Prozess trägt zum Schutz der Kunden, Lieferanten, Aktionäre und Mitarbeiter bei. Mit einer IT-Audit-Checkliste können Unternehmen vierteljährlich oder jährlich eine umfassende Risikobewertung durchführen. Sie wird vom ISB, DSB, Compliancemanager und Notfallmanager erstellt. Alle Beteiligten tragen ihre Anforderungen bei. Mithilfe einer Checkliste sind dann die Risiken zu erkennen. Erste Maßnahmen für mehr Schutz und Vorsorge gegen Notsituationen sind darauf basierend zu definieren.

„Erstellen die verschiedenen Abteilungen zusammen eine IT-Audit-Checkliste, um IT-Richtlinien, -Verfahren und betriebliche Abläufe zu prüfen, wird ein System kreiert, das die Nachhaltigkeit der Informationstechnologie-Infrastruktur Ihres Unternehmens bewertet“, erklärt Kastner. Zu erkennen ist mit der IT-Audit-Checkliste, wo das Unternehmen steht, wo es potenzielle Sicherheitsrisiken gibt, wie Soft- und Hardware zu bewerten und möglicherweise nachzurüsten sind.

Expandiert beispielsweise ein Unternehmen und steht der Kauf zusätzlicher Hard- und Software an oder werden neue Mitarbeiter eingestellt, die Zugriff auf vertrauliche Informationen haben, ist zu prüfen, ob die IT-Abläufe und -Prozesse zu aktualisieren sind. „Wächst ein Unternehmen schnell, besteht die Gefahr, dass Prozesse in den Abteilungen unterschiedlich gehandhabt werden. Darin verstecken sich gern Risiken“, sagt Axel Keller, Rechtsanwalt bei Ecovis in Rostock. Sein Kollege Kastner ergänzt: „Für IT-Audit-Checklisten bedeutet das, dass sich möglicherweise nicht die IT-Realität des Unternehmens widerspiegelt.“

Nachbessern der Checkliste bringt Vorteile

Die IT-Audit-Checkliste jährlich genau unter die Lupe zu nehmen, zahlt sich aus. Denn nur so sind aktuelle Risiken zu identifizieren sowie Prozesse und Verfahren zu erstellen, um diese zu beheben. Experten aus dem IT-Umfeld oder IT-Auditoren unterstützen dabei, potenzielle Risiken zu minimieren, unerkannte Risiken festzustellen und aktuelle technologische Situationen zu bewerten. „Unternehmen haben häufig ähnlich gelagerte Risiken, weil diese branchenunabhängig sind“, sagt Kastner. Dazu gehören beispielsweise Informationssicherheitslücken, Compliance-Verstöße oder Cloud-Computing. Es gibt also mehrere gute Gründe, eine IT-Audit- Checkliste auf dem neuesten Stand zu halten und IT-Prozesse und Verfahrensdokumentationen konsequent zu überprüfen und zu verbessern.

Hackern keine Angriffsfläche bieten

Hacker und Cyberkriminelle sind häufig auf einem technologisch hohen Stand. Sie setzen ihr Wissen gezielt ein, um unerlaubt in Firmen einzudringen. „Erstellt ein Unternehmen eine IT-Audit-Checkliste und entwickelt diese auch stets weiter, setzt es sich mit der Realität und der aktuellen IT-Welt auseinander“, sagt Rechtsanwalt Keller.

Die Checkliste verdeutlicht die zu überprüfenden Bereiche, in denen Dokumente der Prozesse und Verfahren fehlen oder in denen sie möglicherweise überhaupt nicht vorhanden sind. Diese Schwachstellen rechtzeitig zu erkennen und zu beheben, macht es Hackern schwerer, in die Unternehmens- IT einzudringen. „Viele Betriebe haben allerdings keine regelmäßige konsistente Überprüfung. Sie setzen sich so potenziellen Risiken in Hinblick auf die Cybersicherheit aus“, kommentiert Thomas Kastner.

Audit-Checkliste: Mit diesen Fragen können Sie Ihre IT durchleuchten (Auswahl)

  • Gibt es ein Datenschutzmanagementsystem und ein Verfahrensverzeichnis?
  • Wird die Zugriffsberechtigung mindestens einmal jährlich überprüft?
  • Welche Cloud-Produkte sind im Einsatz?
  • Wer verwaltet die Cloud-Verträge?
  • Welche relevanten Daten des Rechnungswesens sind in der Cloud?
  • Gibt es Zertifizierungsnachweise für rechnungswesenrelevante Software?
  • Ist ein Informationssicherheits-Management-System etabliert?
  • Gibt es aktuelle Archivierungs- und Löschkonzepte?

Überblick Schwachstellen: Diese IT-Risiken haben Unternehmen branchenübergreifend

  • Markenschutz, Compliance-Verstöße, Vertraulichkeitsverletzungen
  • Informationssicherheitslücken
  • Datenverlust aufgrund steigender Anzahl mobiler Geräte
  • Datendiebstahl, Produktivitätsverlust, Hardwareschäden und Kosten aufgrund zunehmender Malware-Epidemien, etwa Virensoftware
  • Dezentrales Cloud-Computing
  • Unterschätzte Komplexität der IT-Sicherheitsinfrastruktur

Ein Foto von Ecovis-Rechtsanwalt Axel Keller können Sie mit einem Klick aufs Foto downloaden.

Axel Keller, Rechtsanwalt bei Ecovis in Rostock

Kontakt Ecovis:

Unternehmenskommunikation
Tel.: +49 89 5898-266 presse@ecovis.com

Weitere Infos:


Newsletter:
Das Wichtigste für Unternehmen aus Steuern, Recht und Wirtschaft.
Jetzt anmelden