alphaspirit - Fotolia
So optimieren Sie die Business Continuity mit Audits
Für die Business Continuity sollten Firmen die Risiken für den IT-Betrieb und die Unternehmensinfrastruktur mit Audits evaluieren. Hier finden Sie dazu Tipps und eine Vorlage.
Audits sind ein regelmäßiger Bestandteil des Unternehmenslebens, insbesondere im Bereich der Informationstechnologie. In Anbetracht der Bedeutung von IT-Ressourcen für die Geschäftskontinuität stellen Audits sicher, dass diese Ressourcen ihre Leistung bereitstellen, wie sie sollten.
Zu den Prüfmetriken, die zur Messung der IT-Leistung verwendet werden, gehört in den USA das Rahmenwerk „Control Objectives for Information and Related Technologies“ (entwickelt von der Information Systems Audit and Control Association), der Leitfaden für Notfallplanung für IT-Systeme des National Institute for Standards and Technology SP 800-34 und die Standards und Praktiken der Information Technology Infrastructure Library für das IT-Servicemanagement.
In Deutschland richtet man sich in Sachen Business Continuity und deren Standards nach den ISO-22301-Normen. Hier finden sich alle wichtigen Informationen zum Business Continuity Management.
So wie zahlreiche Systeme, Anwendungen, Versorgungsunternehmen und Netzwerke eine typische IT-Infrastruktur ausmachen, so gibt es auch zahlreiche Prüfungsattribute, die es zu berücksichtigen gilt. Bevor jedoch ein detailliertes integriertes Audit – zum Beispiel zur Prüfung von Servern oder der Cybersicherheit – durchgeführt wird, ist ein ITGC-Audit (IT General Controls) in der Regel ein guter Anfang, da es eine grundlegende Messung des Betriebs der IT-Infrastruktur liefert.
Audits werden oft mit einem Schwerpunkt auf Risiken durchgeführt. Insbesondere die Identifizierung potenzieller Risiken, Bedrohungen und Schwachstellen des IT-Betriebs ist häufig ein Hauptziel einer ITGC-Prüfung. Unabhängig davon, ob sie von einer internen IT-Revisionsabteilung oder einer externen Wirtschaftsprüfungsgesellschaft durchgeführt wird, sind die IT-Revisionsverfahren in ihrer Konzeption und Durchführung spezifisch und konzentrieren sich auf das Risiko.
Die meisten der in den folgenden Abschnitten aufgeführten Kontrollen können Situationen verhindern, die den Betrieb des Rechenzentrums gefährden, und Bereiche mit Verbesserungsbedarf identifizieren. Die Ergebnisse der ITGC-Prüfung, unabhängig davon, ob sie intern oder von einem externen Prüfer durchgeführt wurde, liefern eine nützliche Risikobewertung der IT-Infrastruktur.
Auch der ITGC-Audit ist in Nordamerika bewährt. Er liefert aber wichtige Richtlinien, die sich auch auf europäische Rechenzentren übertragen lassen. Dazu gehören die sechs wichtigen Parameter oder auch Kontrollpunkte, die unbedingt regelmäßig überprüft werden müssen, um in einem Störfall die Business Continuity aufrecht erhalten zu können.
Kontrollpunkt 1: Physische und ökologische Sicherheit
Rechenzentren, unabhängig davon, ob es große freistehende Gebäude oder kleine Räume umfasst, müssen vor unbefugtem Zugang und ungeplanten Umwelteinflüssen geschützt werden, die den IT-Betrieb beeinträchtigen könnten. Der Zugang zum Rechenzentrum wird häufig durch Zugangskarten, Tastaturzugang oder biometrische Zugangstechnologien kontrolliert.
Diese Ansätze bieten Ein-Faktor- und – in mehr Fällen – Zwei-Faktor-Authentifizierung, um die Wahrscheinlichkeit zu minimieren, dass unbefugtes Personal das Rechenzentrum betritt. Kameras für dedizierte Bereiche, die in der Regel Teil eines unternehmensweiten physischen Sicherheitsüberwachungssystems sind, bieten eine weitere Schutzebene vor unbefugtem Zugriff.
Heizungs-, Lüftungs- und Klimaanlagen bieten eine geeignete Arbeitsumgebung für Mitarbeiter, die in einem Rechenzentrum arbeiten. Sie verhindern Schäden an elektronischen Komponenten, indem sie die Temperatur und relative Luftfeuchtigkeit im Rechenzentrum kontrollieren.
Alle signifikanten Änderungen in einer dieser beiden Messgrößen sollten identifiziert und den Rechenzentrumsmanagern gemeldet werden. Brandkontrollsysteme, die Rauch, übermäßige Hitze und Feuer erkennen, können akustische, visuelle und elektronische Warnungen vor der Situation auslösen und Feuerunterdrückungssysteme aktivieren. Sprinkleranlagen an der Decke, die in der Regel entweder mit Trocken- oder Nassrohrtechnologien arbeiten, können auch durch Brandschutzsysteme aktiviert werden.
Beispiele für zusätzliche Kontrollelemente für Rechenzentren sind:
- eine begrenzte Anzahl von Mitarbeitern hat mit einer Karte Zugang zum Serverraum
- Doppelböden und unter den Böden installierte Wasserdetektoren
- vierteljährliche Überprüfung der Feuerlöscher im Serverraum
Kontrollpunkt 2: Logische Sicherheit
Der Zugang zu IT-Systemen und -Dienstleistungen wird im Allgemeinen allen Beschäftigten gewährt. Der Umfang des Zugangs zu diesen Ressourcen muss jedoch sorgfältig kontrolliert werden. Nicht alle Mitarbeiter benötigen Zugang zu allen Ressourcen; daher müssen Sicherheitsmechanismen eingerichtet werden, um den Zugang der Mitarbeiter zu verwalten.
Eine typische Kennzahl ist der Zugang auf der Grundlage der beruflichen Verantwortlichkeiten eines Mitarbeiters. Dies wird in der Regel von der Personalabteilung (HR) und IT koordiniert, die die Zugriffsebenen festlegen. Der Zugriff auf die Systemressourcen wird über eine Ein-Faktor-Authentifizierung – beispielsweise eine Mitarbeiter-ID – oder in den meisten Fällen über eine Zwei-Faktor-Authentifizierung – zum Beispiel eine ID und ein eindeutiges Passwort – gewährt.
Biometrische Authentifizierung – wie mit einem Daumenabdrucklesegerät – ist eine weitere effektive Möglichkeit, Benutzer zu authentifizieren. Windows Active Directory wird häufig zur Authentifizierung von Benutzern verwendet. Administratoren können Techniken wie Single Sign-On verwenden, um mit nur einer Anmeldung Zugang zu mehreren Anwendungen und Plattformen zu ermöglichen.
Beispiele für zusätzliche logische Sicherheitskontrollen sind:
- Neue Mitarbeiter erhalten Zugang zu Systemressourcen, nachdem sie von der Personalabteilung genehmigt wurden, eine E-Mail mit dem Hinweis, dass die Genehmigung an die IT-Abteilung gesendet werden muss.
- Die Zugangsdaten entlassener werden durch die Personalabteilung innerhalb von 15 Minuten gelöscht, nachdem eine entsprechende Benachrichtigung versendet wurde.
- Passwörter müssen alle 90 Tage geändert werden.
Kontrollpunkt 3: Änderungsmanagement (Change Management)
Eine gut strukturiertes Änderungsmanagement, zu der häufig ein Änderungsprüfungsausschuss gehört, ist unerlässlich, um sicherzustellen, dass alle Änderungen an der IT-Infrastruktur geprüft, getestet, dokumentiert und genehmigt werden, bevor sie in Produktion gehen.
Das Fehlen einer Change-Management-Funktion kann bedeuten, dass ein System eingeführt wird, das der Firma schadet und möglicherweise die gesamte Organisation in Gefahr bringt. Dies gilt insbesondere für das Patch-Management, das sorgfältig kontrolliert werden muss, damit die Patches wie erwartet funktionieren.
Beispiele für zusätzliche Änderungsmanagement-Kontrollen sind:
- Test- und Produktionsumgebungen sind voneinander getrennt, wobei die Testumgebung zur Validierung von Änderungen und Patches verwendet wird.
- Ein Änderungsmanagement-Ausschuss prüft und genehmigt/verweigert alle Änderungsanträge.
Kontrollpunkt 4: Backup und Recovery
Angesichts der Datenmengen, die täglich erstellt werden, haben Backup und Wiederherstellung zunehmend an Bedeutung gewonnen, da sie Geschäftsprozesse, Daten, Datenbanken, Anwendungen und virtuelle Maschinen schützen.
Die Optionen für die Datensicherung und -wiederherstellung sind zahlreich und können lokal verwaltet, über verwaltete (zum Beispiel Cloud-basierte) Dienste oder eine Kombination aus beidem fernkonfiguriert werden.
Spezialisierte Technologien, wie beispielsweise die Datendeduplizierung, sorgen dafür, dass riesige Datenmengen effektiv gespeichert werden können. Backup und Recovery sind Schlüsselkomponenten von technologischen Disaster-Recovery-Plänen, die für das Business-Continuity Management (BCM) unerlässlich sind. Admins können zahlreiche Audit-Kontrollen für Backup und Wiederherstellung verwenden, zum Beispiel Art der gesicherten Daten, Häufigkeit der Backups, Geschwindigkeit der Backups, Ziele für Wiederherstellungspunkte und Geschwindigkeit der Wiederherstellung im Notfall.
Beispiele für zusätzliche Änderungsmanagement-Kontrollen sind:
- Die Datensicherungsverfahren werden monatlich getestet, um den ordnungsgemäßen Betrieb sicherzustellen.
- Die Wiederherstellungsverfahren werden vierteljährlich getestet, um einen ordnungsgemäßen Betrieb sicherzustellen.
- Notfallwiederherstellungspläne werden mindestens jährlich getestet.
Kontrollpunkt 5: Incident Management
Selten vergeht ein Tag ohne ein Ereignis, das den IT-Betrieb beeinträchtigt. Wann immer solche Ereignisse eintreten, muss ein Prozess das Ereignis identifizieren, bewerten und Entscheidungen über eine Lösung treffen.
Verfahren zur Reaktion auf Zwischenfälle sind angesichts der wachsenden Bedrohung durch Cybersicherheitsereignisse besonders wichtig. Unabhängig vom Ereignis, sei es ein Umweltereignis wie zum Beispiel ein Brand, die physische Sicherheit wie beispielsweise unbefugter Zugang oder die Cybersicherheit wie ein Ransomware-Angriff, müssen die Verfahren zur Reaktion auf Vorfälle (Incidents) dokumentiert und regelmäßig geübt werden, damit etwaige Vorfälle schnell behandelt und behoben werden können.
Beispiele für zusätzliche Incident-Management-Kontrollen sind:
- Ein Incident-Management-Team bietet die erste Reaktion auf einen Vorfall.
- Das Team erhält eine regelmäßige Schulung zur Reaktion auf Vorfälle.
- Täglich werden Aktivitätsberichte über Vorfälle zur Überprüfung durch das IT-Management erstellt.
Kontrollpunkt 6: Informationssicherheit
Die Informationssicherheit ist vielleicht der wichtigste Kontrollpunkt, weil es so viele Möglichkeiten gibt, die Sicherheit zu verletzen. Die Medien berichten regelmäßig über bedeutende Ereignisse im Bereich der Cybersicherheit, insbesondere über Diebstahl einzelner Datensätze oder Ransomware-Angriffe, die den Zugang zu Systemen blockieren.
Die Herausforderung besteht darin, dass mit dem Erscheinen neuer Sicherheitsmittel auf dem Markt die Bedrohungsakteure noch mächtigere Angriffsvektoren einführen. Zu den Kontrollbereichen, die am häufigsten angesprochen werden, gehören der Netzwerkrand einer Organisation, Desktop-Systeme und nicht-technische Sicherheitsfragen wie Social Engineering. Cybersicherheitsereignisse verwandeln sich typischerweise in Business-Continuity-Ereignisse, bei denen das angegriffene Unternehmen darum kämpft, seine Kunden, seinen Geschäftsbetrieb und seinen Ruf zu schützen.
Beispiele für zusätzliche Informationssicherheitskontrollen sind:
- Intrusion-Detection- und Intrusion-Prevention-Systeme schützen den Netzwerkperimeter.
- Die Firewall-Regeln werden regelmäßig überprüft und aktualisiert.
- Antiviren-Software wird auf allen Desktop-Geräten und Firmen-Laptops eingesetzt.
- Penetrationstests werden zweimal jährlich durchgeführt, um auf Schwachstellen zu prüfen.
- Die Verwendung von persönlichen Laptop-Geräten ist verboten, es sei denn, sie werden von der IT-Abteilung entsprechend modifiziert.
Durchführung des Audits
Diese Audits folgen typischen Audit-Verfahren, wie zum Beispiel die Bildung eines Audit-Teams, die Vorbereitung eines Audit-Plans, die Identifizierung der zu prüfenden Kontrollpunkte, die Beschaffung von Beweisen – wie Richtlinien, Verfahren und Screenshots bestimmter Aktivitäten – für die Prüfung, die Identifizierung von Interview-Kandidaten, die Planung und Durchführung von Interviews, die Planung und Durchführung von physischen – wie zum Beispiel vor Ort – Prüfungen von IT-Aktivitäten – wie ein Rundgang durch das Rechenzentrum – die Vorbereitung und Durchführung von Tests der Kontrollen, die Analyse der Beweise und die Dokumentation der Audit-Feststellungen und Empfehlungen.
Bereiten Sie einen Prüfungsplan vor und lassen Sie ihn von der Unternehmensleitung prüfen und genehmigen. Führen Sie eine Auftaktsitzung durch, um die Grundregeln für die Prüfung festzulegen, das Prüfungsteam zu bestimmen und den Prüfungsplan der Aktivitäten zu überprüfen.
Der Zugang zu Experten für Schlüsselthemen ist oft die größte Herausforderung bei jeder Prüfung. Stellen Sie also sicher, dass Sie diese Frage mit der Unternehmensleitung besprechen, wenn Sie den Prüfungsplan und den Zeitplan überprüfen.
Planen Sie regelmäßige Kontrollpunkte mit den Audit-Unterstützern, um sie über den Fortschritt des Audits zu informieren und Probleme zu identifizieren, die den Fortschritt des Audits behindern könnten. Sorgfältige Dokumentation aller Auditergebnisse aus Befragungen, körperlichen Untersuchungen und Überprüfung der Beweise. Melden Sie alle ungewöhnlichen und potenziell schädlichen Befunde so schnell wie möglich an die Sponsoren.
Die Auditoren sollten einen speziellen Arbeitsbereich für die Durchführung von Interviews, die Untersuchung von Beweismaterial und das Verfassen ihrer Berichte haben. Dem Prüfungsteam sollte ein Gastzugang zu Internetdiensten und ein Telefon zur Verfügung gestellt werden.
Die meisten Berichte enthalten eine Liste empfohlener Maßnahmen zur Behandlung von Prüfungsfeststellungen mit Zeitrahmen für Abhilfemaßnahmen. Sobald der Entwurf des Auditberichts vollständig ist, lassen Sie ihn nach Möglichkeit von der zu auditierenden Organisation überprüfen.
Sorgfältige Planung und gutes Projektmanagement stellen sicher, dass die Prüfung pünktlich und innerhalb des Budgets abgeschlossen wird.