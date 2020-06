Audits liefern in Form qualifizierter Interviews und der Prüfung von Nachweisen wertvolle Informationen über die regelkonforme Ausführung von Prozessen und die Einhaltung von Standards. Sie sind damit ein fester Bestandteil des internen Kontrollsystems. Aber nicht überall reichen die, wenn auch regelmäßigen, Intervalle der Audits aus. So können sie allenfalls punktuelle Einblicke in den aktuellen Status geben und verführen zudem zwischen den Audits zu einer gewissen Sorglosigkeit, wenn der Prüfer „gerade nicht hinschaut“. Beides ist für ein angemessenes Management von IT-Sicherheitsrisiken kontraproduktiv.

Die Bedrohungslage verändert sich so dynamisch, dass Audits in größeren Intervallen einen Teil der Entwicklungen nicht mehr erfassen können. Und Nachlässigkeit in der stetigen Behandlung von Cyber-Risiken ist definitiv auch keine gute Idee. Hier sind Konzepte für das kontinuierliche Monitoring der ComplianceCompliance zu Sicherheitsanforderungen gefragt. Das ist der Ansatz hinter Continuous Audit (CA): die fortlaufende Erkennung und Minderung von IT-Risiken.

Dynamische Antwort auf ständig wechselnde Bedrohungslagen

Die Bedrohungen sind ebenso komplexer geworden wie die Geschäftsmodelle der Unternehmen; beides führt zu mehr Volatilität, die bewältigt werden muss.

Viele herkömmliche Prüfkonzepte identifizieren und werten IT-Risiken anlassbezogen, aber nicht fortlaufend als Prozess. In den Erläuterungen 2017 zu den Mindestanforderungen an das Risikomanagement für Kreditinstitute (MaRisk) fordert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) jedoch genau das: die fortlaufende Überwachung der Risikosituation und -tragfähigkeit. Hin und wieder durchgeführte Audits reichen der BankenaufsichtBankenaufsicht also nicht, denn in der Praxis ist der Zeitraum zwischen der Identifikation eines Risikos im Rahmen eines Audits und der Umsetzung von Maßnahmen zur Minderung dieses Risikos zu lang. Um das Niveau eines akzeptierten Restrisikos zu erreichen oder zu erhalten, sind jedoch oft unverzügliche Maßnahmen erforderlich.

Bisherige Audit-Konzepte behalten ihre Gültigkeit

Beim Konzept des Continuous Audit geht es nicht darum, die bisherigen Audits abzuschaffen, denn auch sie bieten bleibende Vorteile. Audits sind ein etabliertes und in vielen Unternehmen auch seit langem akzeptiertes Prüfformat für Regeln und Vorschriften. Sie erlauben eine flexible, nicht minder intensive Bewertung der geprüften Regeln.

Im interaktiven Dialog zwischen Auditor und Auditee entsteht ein detailliertes Bild über die Compliance-Lage. So gesehen, sind Continuous Audits kein Ersatz für diese herkömmlichen Audits, sondern als fortlaufende Compliance-Prüfung einzelner Kontrollpunkte eine ideale Ergänzung. Beide zusammen können für kontinuierliche Compliance und damit für ein wirksameres, weil flexibel angepasstes Kontrollsystem in den Unternehmen sorgen.

Vorteile eines Continuous Audits

Continuous Audit ermöglicht fortlaufend, standardisiert, risikoorientiert und ohne aufwändige Interviews Kontrollen zur Einhaltung von Richtlinien und Standards der Informationssicherheit. Bei Auffälligkeiten können die IT- oder IT-Sicherheitsabteilung direkte Maßnahmen einleiten, um ein Defizit zu beheben, bevor es zu Schäden kommen kann. In der Realität wird es berechtigte Ausnahmen bei der Erfüllung von Anforderungen sowie eine budget- und risikoorientierte Priorisierung geben. Daher funktioniert Continuous Audit am besten, wenn es durch ein Ausnahme-Management und ein flexibles Maßnahmen-Tracking begleitet wird.

CA liefert darüber hinaus Risiko-Scores, bei denen das Prüfergebnis mit dem Risikogehalt von Prozessen, Organisationen, IT-Systemen und Projekten verknüpft wird. Daraus lassen sich anschließend Prioritäten für Korrekturmaßnahmen ableiten.

Die Wirkung von Continuous Audit reicht aber über die Behebung einzelner Defizite hinaus: Sie gibt dem Management über Dashboards einen stets aktuellen Überblick über den Compliance-Zustand, die Risikosituation und deren Verläufe. Das erleichtert es, um bei „Hot Spots“, also in besonders auffälligen Bereichen, umgehend weiterführende Maßnahmen veranlassen zu können. Werden beispielsweise wiederholt Berechtigungen auf IT-Systemen ohne Genehmigung „auf Zuruf“ und am Vergabeprozess vorbei vergeben, könnten Maßnahmen von einfachen Belehrungen, über technisches Unterbinden, vermehrte und gezielte Kontrollen bis hin zu disziplinarischen Ermahnungen der Administratoren reichen.

Voraussetzungen für Continuous Audit

Wie alle strategischen Entscheidungen und Implementationen braucht auch das Continuous Audit die Unterstützung des Managements mindestens der involvierten Bereiche, wenn nicht des gesamten Unternehmens.

Die zu auditierenden Prozesse brauchen zudem eine gewisse Reife gemäß der Capability Maturity Model Integration (CMMI) – in Bezug auf ihre Dokumentation, Implementierung, ihre Revisionssicherheit, den zugewiesenen Rollen und den definierten Verantwortlichkeiten. Das ist jedoch nichts, was Unternehmen nicht schon für ein klassisches Audit geschaffen haben sollten.

Um die Erkenntnisse aus dem CA in konkrete Maßnahmen umsetzen zu können, benötigen Unternehmen das bereits erwähnte Ausnahmemanagement und Maßnahmen-Tracking. Und selbstverständlich braucht das Konzept eine organisatorische Basis und unabhängige Linienfunktion, die zum Beispiel bei der internen Revision oder im Bereich des CIO oder CISO angesiedelt sein oder durch einen externen Berater oder Wirtschaftsprüfer durchgeführt werden kann.

Continuous Audit im Detail

Der initiale Aufwand beim Continuous Audit besteht darin, aus den vorhandenen Richtlinien ein Kontrollprogramm zu entwickeln. Jede Anforderung im Regelwerk benötigt eine Kontrollfrage sowie die Definition der Rolle im Unternehmen, die diese Frage beantworten kann. Zudem braucht es eine Beschreibung dessen, was als Nachweis dienen kann, dass eine Anforderung erfüllt ist.

Der Prüfprozess selbst ist unkompliziert:

Zunächst werden die Prüfobjekte ausgewählt, die der Auditor über so genannte Samples findet, also aus einer zufälligen Auswahl aus der Gesamtheit der zu prüfenden Objekte.

Anschließend richtet der Prüfer eine formale Anfrage an den Verantwortlichen für diese Systeme, also den Auditee, und bittet ihn in einer angemessenen Frist um Nachweise über die Einhaltung der Anforderung.

Im nächsten Schritt prüft der Auditor die Nachweise auf Einhaltung der Compliance-Anforderungen aus den Richtlinien.

Fällt der Prüfgegenstand beim Audit durch, fordert der Auditor von dem Verantwortlichen Korrekturmaßnahmen, die in einer angemessenen Frist (zum Beispiel drei Monate) umgesetzt werden müssen.

Falls eine Korrektur nicht kurzfristig möglich ist, müssen eine Risikoanalyse durchgeführt und, wenn nötig, Maßnahmen zur Risikominderung implementiert werden.

Möchte ein Auditor beispielsweise wissen, ob für alle relevanten IT-Systeme die verpflichtende monatliche, technische Prüfung auf Schwachstellen stattfindet, wählt er aus beispielsweise 1.000 IT-Systemen seines Unternehmens zufällig 50 aus. Anschließend fragt er bei dem operativ Verantwortlichen nach den aktuellen Prüfprotokollen. Aus einer Risikobetrachtung hat der Auditor bei dieser Stichprobengröße bereits ein akzeptables Restrisiko abgeleitet, wenn mindestens 95 Prozent (also hier 48 IT-Systeme) innerhalb des letzten Monats auf Schwachstellen geprüft wurden. Wenn also höchstens zwei IT-Systeme die Anforderung nicht erfüllen, gilt die Prüfung als bestanden - sonst nicht.

Kontinuierlich zu mehr IT-Sicherheit

Die Entwicklungsdynamik moderner IT-Infrastrukturen lässt Unternehmen keine Wahl: Nur die Fähigkeit, Abweichungen vom Soll-Zustand kontinuierlich feststellen zu können, versetzt sie in die Lage, reaktionsschnell notwendige Maßnahmen in Angriff nehmen und das auch im Sinne einer Rechtskonformität nachweisen zu können. Auch wenn Continuous Audit als Ergänzung klassischer Audits einen Mehraufwand bedeutet, hält sich der Aufwand für prozessreife Unternehmen absolut im Rahmen. Belohnt werden sie am Ende mit mehr IT-Sicherheit, Transparenz zur Risikolage und Compliance. (bw)