SAP Logo LeanIX is now part of SAP
DER ULTIMATIVE GUIDE

IT-Audits

In diesem Guide erfahren Sie alles, was Sie über IT-Audits und die Rolle des IT-Auditors wissen müssen. Schützen Sie Ihr Unternehmen erfolgreich vor IT-Sicherheitsvorfällen.

► Finden Sie heraus, wie Sie Ihre Organisationsstrukturen und -abläufe mithilfe von Enterprise Architecture überprüfen können.

Einleitung

In den letzten zehn Jahren haben Unternehmen aller Branchen stark in die Cloud investiert, in der Hoffnung, sich einen Wettbewerbsvorteil zu verschaffen. Die Einführung neuer Technologien geht jedoch auch immer mit neuen Risiken einher, darunter Hacker-Angriffe und Datenschutzverletzungen. Da solche Vorfälle jedes Unternehmen schwer schädigen können, sind Technology Risk Management und ein Verständnis der Bedeutung von IT-Audits mit der Zeit immer wichtiger geworden.

In diesem Guide erhalten Sie einen Rundumschlag zum Thema IT-Audit: Was ist ein IT-Audit, welche Aufgaben erfüllen IT-Auditoren und wie können Sie Ihr Unternehmen vor IT-Sicherheitsvorfällen schützen? Diese und weitere Fragen werden in diesem Guide beantwortet.

 

Was ist ein IT-Audit?

Ein IT-Audit bzw. ein Informationstechnologie-Audit ist eine Überprüfung und Bewertung der IT-Systeme, -Infrastrukturen, - Richtlinien sowie des IT-Betriebs von Unternehmen. Durch IT-Audits kann ein Unternehmen feststellen, ob die vorhandenen IT-Kontrollen die Assets des Unternehmens angemessen schützen, die Datenintegrität sicherstellen und im Einklang mit den Geschäfts- und Finanzkontrollen des Unternehmens sind.

Die meisten Menschen kennen Finanzaudits, mit denen der Finanzzustand von Unternehmen überprüft wird. Im Gegensatz zu Finanzaudits sind IT-Audits ein relativ neuer Auditbereich, der mit dem Aufkommen von Cloud-Technologien an Bedeutung zunimmt. Der Zweck eines IT-Audits ist die Überprüfung der Sicherheitsprotokolle und -prozesse sowie der IT-Governance.

Als unvoreingenommener Beobachter stellt der IT-Auditor fest, dass all diese Kontrollen ordnungsgemäß und wirksam implementiert worden sind, damit das Unternehmen weniger anfällig für Datenschutzverletzungen und andere Sicherheitsrisiken ist. Aber selbst mit angemessenen Sicherheits- und Compliance-Richtlinien braucht es Handlungslinien für den unwahrscheinlichen Fall, dass die „Gesundheit“ und der Ruf des geprüften Unternehmens bedroht sind.

Die Rolle des IT-Auditors

Der IT-Auditor entwickelt, implementiert, testet und bewertet alle IT-Auditverfahren innerhalb eines Unternehmens, das auf Technologien setzt. Diese Auditverfahren können sich über Netzwerke, Applikationen, Kommunikations- und Sicherheitssysteme sowie über alle anderen Systeme erstrecken, die Teil der Technologieinfrastruktur des Unternehmens sind.

Indem IT-bezogene Auditprojekte durchgeführt und IT-Auditierungsstandards eingehalten werden, tragen IT-Auditoren dazu bei, dass Unternehmen und ihre sensiblen Daten sowohl vor externen als auch internen Sicherheitsbedrohungen geschützt sind. Denn bereits ein kleiner technischer Fehler kann verheerende Auswirkungen auf das gesamte Unternehmen haben.

Aufgaben

Es wurde bereits aufgezeigt, warum IT-Auditoren besonders in der heutigen Zeit solch eine wichtige Rolle zukommt. Aber welche konkreten Aufgaben haben sie? Im Folgenden finden Sie eine Zusammenfassung der wichtigsten Tätigkeiten:

  • Entwicklung und Planung von Auditplänen
  • Bestimmung des Auditumfangs und der Auditziele
  • Koordinierung und Ausführung des Audits
  • Erfüllung der Auditstandards des Unternehmens
  • Entwicklung eines detaillierten Auditberichts
  • Ermittlung von Best Practices zur Erfüllung der Auditanforderungen
  • Pflege der IT-Auditdokumentation
  • Kommunikation der Auditergebnisse und weiterer Empfehlungen
  • Sicherstellung der Einhaltung der ausgesprochenen Empfehlungen

Fähig- und Fertigkeiten

Das Skillset eines IT-Auditors hängt stark von der Branche ab, in der der Auditor tätig ist. Es gibt jedoch einige Fähig- und Fertigkeiten, die die meisten Unternehmen bei der Suche nach einem IT-Auditoren voraussetzen, darunter:

  • Formale Qualifikation: Dies wird nicht von allen Unternehmen erfordert, hilft IT-Auditoren jedoch bei der systematischen Ausführung ihrer Arbeit.
  • Berufserfahrung: Praktische Erfahrung in den Bereichen Datensicherheit und IT-Auditierung ist immer ein Plus.
  • Fundiertes Verständnis der wichtigsten Geschäftsprozesse: Dies hilft dem IT-Auditor, eine Verbindung zwischen dem Business Value und den unterschiedlichen IT-Systemen herzustellen.
  • Fundiertes Verständnis der wichtigsten IT-Prozesse: Dies ermöglicht IT-Auditoren die Priorisierung von IT-Risiken.
  • Ausgeprägte analytische Fähigkeiten und logisches Denkvermögen: IT-Auditoren sollten in der Lage sein, Tools zur Datenanalyse und -visualisierung zu verwenden.
  • Gute Soft Skills: IT-Auditoren brauchen gute Kommunikationsfähigkeiten, um Management-Teams komplexe Sicherheitsthemen zu erklären.

Gehalt

Mit dem Aufkommen neuer Cloud-Technologien sind IT-Auditoren stark gefragt. Dies ist nicht verwunderlich, da Unternehmen – unabhängig von ihrer Größe und Branche – verstärkt auf neue Technologietrends setzen. Aber was verdient ein IT-Auditor eigentlich?

Das Gehalt eines IT-Auditors hängt von der Erfahrung, den Qualifikationen und dem Standort ab und bewegt sich zwischen 44.000 USD im unteren Gehaltsspektrum und 143.000 USD für IT-Auditoren mit Leitungsfunktion. Daraus schließt sich, dass das Durchschnittseinkommen von IT-Auditoren in den USA bei rund 93.000 USD oder einem Stundenlohn von 45 USD liegt.

Zertifizierungen

IT-Auditoren können ihre Chancen auf eine Anstellung und eine gute Bezahlung erhöhen, wenn sie berufsbezogene Zertifizierungen vorweisen können. Im Folgenden sind die zwei häufigsten Zertifizierungen aufgeführt:

  • Certified Information Systems Auditor (CISA): Diese Zertifizierung wird von der ISACA angeboten und wurde speziell für IT-Experten und IT-Auditoren konzipiert. Bevor IT-Auditoren dieses Zertifikat erlangen können, müssen sie mindestens fünf Jahre Berufserfahrung im Bereich IT-Auditierung vorweisen.

  • Certified Information Security Manager (CISM): Diese Zertifizierung zielt auf Information Security Manager ab und konzentriert sich auf die Gestaltung und Wartung von Informations­sicherheits­programmen. Um dieses Zertifikat zu erlangen, werden fünf Jahre Berufserfahrung im Bereich Informationssicherheit sowie drei Jahre Berufserfahrung als Security Manager vorausgesetzt.

 

Ziele eines IT-Audits

Während der Planungsphase eines IT-Audits muss der IT-Auditor die Ziele des Audits festlegen und gleichzeitig sicherstellen, dass diese Ziele mit den allgemeinen Unternehmenszielen übereinstimmen. Meist können die Ziele einer der folgenden Kategorien zugeordnet werden:

  • Evaluierung von Systemen und Prozessen, die Unternehmensdaten sichern sollten.
  • Feststellung möglicher Risiken, die IT-Assets kompromittieren könnten sowie Erarbeitung von Möglichkeiten, diese Risiken zu mindern.
  • Überprüfung der Zuverlässigkeit und Integrität von Informationen.
  • Compliance-Prüfung des Informationsmanagements hinsichtlich Datenschutzgesetzen, -Richtlinien und -Standards.
  • Identifizierung von Schwachstellen innerhalb von IT-Systemen oder des IT-Managements

Arten von IT-Audits

Es gibt verschieden Arten von IT-Audits, die von unterschiedlichen Behörden oder Stellen innerhalb oder außerhalb eines Unternehmens veranlasst werden können. Im Folgenden werden die gängigsten Arten aufgeführt:

Technologischer Innovationsprozess

In diesem Audit wird die Erfahrung von Unternehmen im Umgang mit bestimmten Technologien bewerten, um daraufhin ein individuelles Risikoprofil zu erstellen. Dies kann für neue oder bereits bestehende Technologieprojekte gelten. Außerdem wird bei diesem Audit auch die Unternehmenspräsenz in unterschiedlichen, relevanten Märkten berücksichtigt.

Innovationsvergleich

Mit diesem Audit wird die Innovationsfähigkeit von Unternehmen im Vergleich zu ihrem stärksten Wettbewerber bewertet, Auditoren werfen einen genauen Blick auf die Erfolgsbilanz der Unternehmen bei der Entwicklung und Herstellung neuer Produkte sowie auf ihre Entwicklung und Forschungseinrichtungen.

Technologische Unternehmensposition

In diesem Audit werden die eingesetzten Technologien von Unternehmen untersucht und analysiert, welchen Beitrag diese zum allgemeinen Geschäftserfolg leisten. Mithilfe dieser Prüfung lässt sich feststellen, ob neue Technologien eingeführt werden sollten.

Systeme und Applikationen

Mit diesem Audit soll festgestellt werden, ob alle Systeme und Applikationen effizient funktionieren und ob sie zuverlässig sind sowie angemessen kontrolliert werden. Eine Unterart dieses Audits sind System- und Prozesssicherheitsprüfungen, die besonders Finanzauditoren zugutekommen. Eher Cloud-lastige Infrastrukturen profitieren von SaaS-Management, da mithilfe dieser Disziplin alle verwendeten Applikationen leicht für Software-Audits ermittelt werden können.

Informationsverarbeitungseinrichtungen

Neben dem Audit von Systemen und Applikationen gibt es auch ein Audit für Informationsverarbeitungseinrichtungen. Dazu gehört die gesamte physische IT-Ausstattung, die Betriebssysteme und die IT-Infrastruktur insgesamt. Die Auditoren stellen sicher, dass die Verarbeitungseinrichtungen auch bei Störungen pünktlich und genau arbeiten.

Systementwicklung

IT-Infrastrukturen verändern sich konstant, da bessere Systeme entwickelt und deployed werden. In einer schnelllebigen Cloud-Umgebung müssen Unternehmen sicherstellen, dass die sich in Entwicklung befindenden Systeme mit ihren Unternehmenszielen und -standards übereinstimmen, bevor die Systeme schließlich deployed werden.

Verwaltung von IT und Enterprise Architecture

Mithilfe dieses Audits soll festgestellt werden, ob das IT-Management und auch die Mitarbeiter der IT-Abteilung eine Organisationsstruktur und solide Verfahren zur Sicherung und Kontrolle der Informationsverarbeitung entwickelt haben. Dies beinhaltet auch die Überprüfung der gesamten Enterprise Architecture sowie der Tools, die zur Einhaltung von Best Practices und Umsetzung von Frameworks eingesetzt werden.

Klient & Server, Telekommunikation, Intranet & Extranet

Bei diesem Audit dreht sich alles um die Klienten und Server. Auditoren überprüfen, ob alle Telekommunikationskontrollen für den Computer, der den Service empfängt, angemessen funktionieren. Dies gilt nicht nur für den Server, sondern auch für das Netzwerk, das den Klienten mit den Servern verbindet.

Auditprozess: Informationstechnologie

Jeder IT-Auditprozess ist einzigartig und unterscheidet sich von Unternehmen zu Unternehmen. Dennoch gibt es vier Phasen, auf denen jedes erfolgreiche IT-Audit beruht:

  • Planung: Diese Phase ist die wichtigste, da hier der Grundstein für das gesamte Audit gelegt wird. Ein fehlendes Verständnis der internen IT-Prozesse und eine unzureichende Einschätzung des Arbeits- und Zeitaufwands können zu falschen Schlussfolgerungen und höheren Kosten führen. Genau aus diesem Grund wird den Audit-Teams empfohlen, in der Planungsphase so viel IT-Expertise wie nötig heranzuziehen. Am Ende dieser Phase sollte ein detaillierter IT-Auditplan stehen, der den Umfang, das Ziel, den Zeitrahmen, den Ablauf und das Budget der Prüfung zusammenfasst.
  • Feldarbeit: Diese Phase kann unterschiedliche Formen annehmen, findet jedoch in den meisten Fällen in den Unternehmen selbst, also vor Ort statt. Das Audit-Team ermittelt und analysiert die größten Risiken innerhalb der Prozesse und Systeme, die dem Audit unterzogen werden. Kontrollen werden geprüft und bewertet, um sicherzustellen, dass sie Risiken wie vorgesehen mindern. Außerdem macht das Audit-Team mögliche Schwachstellen innerhalb der Kontrollen aus und erarbeitet Verbesserungsvorschläge, die entweder in einem speziellen Ausbesserungsplan zusammengefasst oder im Auditreport selbst aufgezählt werden.
  • Reporting: Während und nach der Durchführung des IT-Audits müssen die Audit-Teams ihre Erkenntnisse dokumentieren, besonders wenn gewisse Kontrollen nicht richtig greifen. Nach der Erstellung eines vorläufigen Reports, der mit dem Management besprochen wird, stellt der IT-Auditor einen detaillierten Auditreport auf, in dem die Ergebnisse des Audits präzise und objektiv zusammengefasst werden.
  • Nachbereitung: Auch wenn diese letzte Phase häufig übersehen wird, ist sie ebenso wichtig wie die vorangegangenen Phasen. Interne oder externe Auditoren stellen sicher, dass die von ihnen ausgesprochenen Empfehlungen oder Aktionspläne angemessen umgesetzt werden. Meist wird das IT-Audit offiziell für beendet erklärt, wenn in der Nachbereitung ersichtlich wird, dass die Vorschläge und Maßnahmen erfolgreich umgesetzt worden sind.

Fazit

Mit der zunehmenden Nutzung von SaaS-Applikationen und Cloud-basierten Systemen gehen Unternehmen bedeutend mehr Sicherheitsrisiken ein und verlieren zunehmend die Kontrolle über ihre wachsende Schatten-IT. Wenn IT-Audits korrekt ausgeführt werden, können Unternehmen viel über ihre Systeme, Prozesse und IT-Landschaft im Allgemeinen erfahren und gleichzeitig Transparenz schaffen. Dadurch erhalten die unterschiedlichen Unternehmensabteilungen die Informationen und Daten, mit denen sie richtige Kontrollen etablieren und Risiken bestmöglich reduzieren können. So werden sensible Daten vor Hackern und anderen Sicherheitsbedrohungen geschützt.

 

Gratis White Paper

Success Kit: Enterprise Architektur

Schöpfen Sie das volle Potenzial Ihrer Enterprise Architektur aus

Vorschau der ersten 9 Seiten

Seite: /

Vollständige Version herunterladen

FAQ: IT-Audit

Was ist ein IT-Audit?

Ein IT-Audit bzw. ein Informationstechnologie-Audit ist eine Überprüfung und Bewertung der IT-Systeme, -Infrastrukturen, - Richtlinien sowie des IT-Betriebs von Unternehmen.

Was soll mit IT-Audits erreicht werden?

Durch IT-Audits kann ein Unternehmen feststellen, ob die vorhandenen IT-Kontrollen die Assets des Unternehmens angemessen schützen, die Datenintegrität sicherstellen und im Einklang mit den Geschäfts- und Finanzkontrollen des Unternehmens sind.

Was machen IT-Auditoren?

IT-Auditoren entwickeln, implementieren, testen und bewerten alle IT-Auditverfahren innerhalb eines Unternehmens, das auf Technologien setzt. Diese Auditverfahren können sich über Netzwerke, Applikationen, Kommunikations- und Sicherheitssysteme sowie über alle anderen Systeme erstrecken, die Teil der Technologieinfrastruktur des Unternehmens sind.

wp-EA-success-kit_500

Free White Paper

Enterprise Architecture Success Kit

Download