26.01.2021

Zusätzlicher Dokumentationsaufwand macht die Auditplanung für den prüfungssicheren IT-Betrieb komplexer. Künftig ist sie aber auf drei Jahre gestreckt und soll dadurch beherrschbar bleiben.

Was ist wirklich zu regeln und wer ist für was zuständig? Die vielfältige Unterstützung des Deutschen Sparkassenverlags (DSV) bei der Auditplanung nutzen zum Beispiel die Kreissparkasse Ravensburg und die Sparkasse Ulm.

Die Informationssicherheitsbeauftragten (ISB) müssen sich beim Thema Auditprogramme zur IT-Sicherheit umstellen. War bisher alle zwei Jahre ein Gesamtaudit gefordert, so gibt es nun Bestandteile, die jährlich und andere, die in einem Drei-Jahres-Turnus auditiert werden müssen. Ursächlich hierfür ist die Version 19 des SIZ-Produkts „Sicherer IT-Betrieb“ (SITB), die sich gemäß einer BaFin-Forderung stark an die ISO27001 anlehnt.

Die neuen komplexen Anforderungen erhöhen nicht nur den Aufwand, sondern auch die Verantwortung für die Audits: So können bei einer möglichen IT-Prüfung nach §44 KWG zum Beispiel fehlende Soll-Ist-Vergleiche (vertiefende Audits) zu F3-Feststellungen führen. Der ISB macht sich nun mehr Gedanken zum Auditprogramm seiner Sparkasse als bisher. Dazu muss er sich neues Wissen aneignen, Struktur und Inhalte der aktualisierten Anforderungen an Audits verstehen und in die Praxis umsetzen.

Team-Aufgabe statt One-Man-Show

„Bislang hatten wir eine schmale Auditplanung“, erklärt Dieter Knörle, ISB der Kreissparkasse Ravensburg. „Nun müssen wir aufwendiger planen und in Audits weit mehr Detailanforderungen als bisher beachten, um die gestellten Anforderungen zu erfüllen.“ Das Audit Clean-Desk beispielsweise umfasst nach Einschätzung von Knörle etwa 25 Prozent mehr Fragestellungen, also deutlich mehr Einzelanforderungen an den Arbeitsplatz als bislang.

Für die Auditplanung heißt das nun: Neues mit Altem abgleichen, neu planen und entscheiden, was bleiben oder was umgestellt werden muss. Knörle plant nun in einem Drei-Jahres-Turnus deutlich mehr Audits als bisher und bezieht jeweils Beteiligte aus Fachabteilungen mit ein. Eine Planung, die ein neues prozessuales Denken und einen ganzheitlichen Ansatz erfordert. Das zeigt sich etwa bei der Betrachtung der Archiv- und IT-Räume oder auch SB-Bereiche. Hier resultieren aus den DSGV-Anforderungsprofilen unter anderem Fragen zu Zutritts-Berechtigungen. Die Sparkasse Ulm nutzt in diesem Fall bereits vorhandene Antworten aus vorhergehenden vertiefenden Audits und Kontrollen etwa aus Sicherheitsbegehungen an verschiedenen Standorten.

Was ist zu regeln?

Jede Sparkasse muss neben dem Auditprogramm über drei Jahre eine Auditrichtlinie mit allen Rahmenparametern erstellen. Dabei kann sie auf das Muster aus dem SITB zurückgreifen. Neu sind szenariobasierte Kontrollen, zum Beispiel von Dienstleistern oder etwa von Clients, WLANs oder Standorttypen. Diese werden in jedem Fall über die vom DSGV für die Sparkassen-Finanzgruppe zentral bereitgestellten Anforde-rungsprofile (Sollmaßnahmen) kontrolliert. Klaus Stephan, ISB der Sparkasse Ulm, nennt beispielhaft die Fat-Clients, Multifunktionsgeräte, proprietäre Systeme oder auch Gebäude und Räume, bei denen die neuen Anforderungsprofile inhaltlich meist deutlich tiefer gehen als die bisherigen Arbeitsanweisungen. Gefordert seien nun schriftlich fixierte Sicherheitskonzepte, die alle Detailanforderungen angemessen berücksichtigen.

Effiziente Zusammenarbeit

Gibt es Tipps für ein effizientes Vorgehen? Hilfreich ist eine gut funktionierende Zusammenarbeit zwischen dem Team im Informationssicherheitsmanagement (ISM-Team), das die Audits durchführt, und den Fachabteilungen, zuständig für die Umsetzung der Richtlinien, Verfahren und der risikomindernden Maßnahmen sowie die internen Kontrollsysteme. Wenn die Zusammenarbeit zwischen Fachabteilung (1st line of defense) und ISM-Team (2nd line of defense) gut funktioniert, können die Kontrollen der Fachabteilung für Audits des ISM-Teams genutzt werden, da beide sich derselben DSGV-Anforderungsprofile bedienen. Umgekehrt spart man ebenfalls Aufwand in der 1st line, wenn das ISM-Team die DSGV-Anforderungsprofile erklärt und bei der Beantwortung unterstützt.

Die Reichweite der Zusammenarbeit zwischen ISM und Fachabteilungen beschreibt Dieter Knörle am Beispiel der Datenschutz-Thematik als Teilaspekt einer Vielzahl der 965 Detail-Anforderungen. Neben dem ISM seien hier zahlreiche Fachabteilungen gefordert. „Es kann sinnvoll sein, die Vertreter der Fachabteilungen in den ersten Monaten verstärkt über die Herausforderungen des Auditsystems aufzuklären und Maßnahmen gemeinsam zu durchleben.“

Wie auditiert man am besten Standorte?

Unterschieden wird in Hauptstellen, Filialen, SB-Stellen und sonstigen Standorten. Gleichartige Standorte können gruppiert werden; innerhalb von drei Jahren müssen alle Standorttypen auditiert sein. Mindestens einmal jährlich ist eine Stichprobe gefordert. Besonders zu betrachten sind Standorte mit Tätigkeiten, die nur dort erbracht werden und mit besonderen physischen Gegebenheiten oder speziellen Risi-kosituationen verbunden sind. Die Sparkasse Ulm plant ihr erstes Standorttypen-Audit 2021 mit einer größeren Geschäftsstelle, bei der keine Änderungen zu erwarten sind. Hier will Klaus Stephan gleich mehrere Szenarien und Anforderungsprofile erfassen und so Folgeaudits in den nachfolgenden zwei Jahren ausschließen. Und da es ihm auch auf eine effiziente ressourcenschonende Planung ankommt, nutzte er „viele hilfreiche Tipps und Hinweise“ aus den DSV-Seminaren. Kompakt zu allen Inhalten informiert das neue (Web-)Seminar „Praxisnahe Auditplanung und -Durchführung“.

Wie spart man Aufwand bei den Audits?

Der Umfang der Audits orientiert sich am jeweiligen Schutzbedarf und erfolgt risiko-orientiert. Aufwand lässt sich immer dann in den Audits reduzieren, wenn die Tätigkeit für den Soll-Soll-Vergleich und den Soll-Ist-Vergleich ähnlich abläuft. Ein Beispiel aus der Praxis: Auditiert man die Vergabe von Nutzerrechten beispielsweise in EBIL oder SimCorp-Software und checkt dabei die Organisationsrichtlinie und die Prozesse, lohnt es sich, auch gleich an einem konkreten Beispiel den Prozess zur Vergabe der Nutzerrechte anzuschauen. Die Experten des IT-Consulting-Teams im DSV unterstützen zusätzlich mit Erklärvideos zur Planung und Durchführung von Audits. Hinzu kommen Hilfsmittel zum Erstellen des Auditprogramms oder auch Praxisbeispiele für Stichproben in Audits.

Weitere Infos unter: www.dsv-gruppe.de/dsv/it-consulting