Vertrauen ist gut - Kontrolle ist besser (C GEIT)!

Vertrauen ist gut - Kontrolle ist besser (C GEIT)!

4. Dezember 2021 -
Artikel erschienen in IT Magazine 2021/12
Dieser altbekannte und im vorhergehenden, lesenswerten Artikel von Cyrill Brunnschwiler verwendete Leitsatz lässt sich auf viele Bereiche anwenden – wohl alle Lesenden haben diesbezüglich schon ihre eigenen Erfahrungen gemacht. Der Begriff «Kontrolle» wird hier im Sinne einer qualitätssichernden Handlung durch eine unabhängige zweite Person verwendet.

Gut nachvollziehbar kommt der Autor zum Schluss, dass «agile» Penetrationstests als Kontrolle in agilen Prozessen nur dann wirklich gut funktionieren, wenn die agilen Softwareentwicklungsprozesse auf einem sehr hohen Maturitätsniveau abgewickelt werden. Da dies nicht immer der Fall ist, schlägt der Autor vor, bei den «klassischen» viertel- oder halbjährlichen Pentests zu verbleiben. Etwas plakativ formuliert heisst das, dass in diesem Anwendungsfall nur 2–4 Mal pro Jahr eine Überprüfung aus Optik der Sicherheit vorgenommen wird.

Wem dies schon etwas selten (nicht seltsam!) vorkommt, sei an die (finanzrelevanten) Internen Kontrollsysteme (IKS) erinnert. Diese werden häufig auf Stufe Unternehmensführung definiert und im Rahmen eines eher schlanken Self Assessment-Prozesses typischerweise 1 Mal pro Jahr überprüft. Die Überlegung dahinter ist, dass es ausreicht, einmal jährlich das Vorhandensein und Funktionieren bestimmter Schlüsselkontrollen durch die Kontrollverantwortlichen bestätigen zu lassen. Im Rahmen der gesetzlich vorgeschriebenen Abschlussprüfung (Finanzprüfung) wird dieses IKS auch noch durch den Abschlussprüfer bestätigt. Man suggeriert damit, dass Verwaltungsrat (wo vorhanden) und/oder Geschäftsleitung das Unternehmen sorgfältig und eng überwachen und bezeichnet das dann noch grosszügig als wirksames GRC (Governance Risk Compliance).
(Quelle: ISACA)
Wer sich mit der Finanzprüfung etwas auskennt, weiss, dass es sich dabei nur um eine Prüfung der sogenannten Design Effectiveness des IKS handelt (richtige Kontrolle am richtigen Ort) und nicht um eine Prüfung der Wirksamkeit über die gesamte Beobachtungsperiode. Einmal pro Jahr relativ oberflächlich hinschauen, ob einigermassen sinnvolle Kontrollen definiert sind, hat wohl wenig Wirkung auf die zugrundeliegenden Prozesse. Zudem wird schnell einmal klar, dass in diesem formal bestätigten IKS ausschliesslich die finanzrelevanten Kernsysteme abgedeckt werden.

Es fehlt mir hier der Platz, um noch weiter auszuholen. Aber aus meiner Optik hat das mit Governance eher wenig zu tun.

Das nachfolgende Beispiel soll dies noch kurz beleuchten: Eine Untersuchung der BDO bei 155 KMU hat ergeben, dass bei den im Rahmen der Finanzprüfung untersuchten «generellen IT-Kontrollen» ein Grossteil der Kontrollen weder ausreichend dokumentiert noch nachvollziehbar implementiert wurde.
Lesehilfe zur Grafik:
Insgesamt wurden bei 155 Unternehmen je 16 IT-Kontrollen als Teil des finanzrelevanten IKS dahingehend überprüft, ob die Kontrollhandlung dokumentiert und ob sie im Alltag umgesetzt ist. Bei den Unternehmen geschieht dies sehr unterschiedlich gut je nach Art der IT-Kontrolle (und natürlich auch in Abhängigkeit vom Unternehmen).

Die Grafik zeigt auf, dass z.B. der «Zugang zu Systemressourcen» recht gut implementiert aber eher schlecht dokumentiert ist. Der «Restore von Anwendungen» ist bei den meisten Unternehmen weder gut dokumentiert noch gut implementiert.
 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER