als Auditor, Berater, Consultant und Interim Manager im IT Sicherheits- und Risk Management Umfeld spreche ich inhaltlich die folgenden Themengebiete an:
Meine bisherige berufliche Laufbahn war stark von IT Themen geprägt. Dazu bin ich diplomierter Betriebswirt (FH) mit langjähriger Berufs- und Führungserfahrung. Die IT Governance Risk and Compliance Beratung ist Schwerpunkt meiner Tätigkeit.
Das interne Kontroll-System (IKS) eines Unternehmens (auch Internal Control genannt), wird von Aspekten der Wirtschaftlichkeit geprägt, aber auch von (IT) Risiken und Risiko Management. Einen Rahmen für das Risiko Management bietet das Enterprise Risk Management Framework der Coso.
Das Coso Framework wird in Unternehmen eingesetzt, insbesondere wenn sie international tätig sind und dem Sarbanes Oxley Act unterliegen. Aber auch für kleine und mittelständische Unternehmen bietet es ein Rahmenwerk für die Einführung eines internen Kontroll-Systems bzw. eines Risiko Managements, ebenso wie die ISO 31000.
Das Risiko Management und das IT Sicherheits-Management bedingen sich quasi gegenseitig. Auf der einen Seite ist das IT Sicherheitsmanagement (ITSM/ISMS) Teil der Risiko-Strategie, zum anderen müssen IT Sicherheitsfragen hinsichtlich des Risikos beurteilt werden. Sowohl Risk Management als auch IT Sicherheitsmanagement leiten sich aus der Governance ab bzw. werden von Ihr getragen. Die Key Controls (Schlüsselkontrollen bzw ITGC IT Genral Controls) werden turnusmäsig auf ihr effeetives Design (control of design) und ihre oparationale Effektivität geprüft (control of operational effectiveness). Die geschieht sowohl im Rahmen von Jahresabschlußprüfungen, als auch auch durch die internen Verteidigungslinien (1st line, 2nd line 3rd line of defence), aber auch durch Audits im Rahmen von Prüfungen durch Aufsichtsbehörden (BSI, Bafin, EZB usw.).
Die Verpflichtung einen IT Sicherheitsbeauftragten oder Informationssicherheitsbeauftragten zu bestellen ergibt sich als regulatorische Anforderung für Unternehmen der kritischen Infrastruktur (KRITIS). Ebenso wie die Verpflichtung regelmäßige Audits durchzuführen oder durchführen zu lassen und die Ergebnisse, sowie eventuelle Schwachstellen an das BSI zu melden. Dies dient dem Schutz der Bevölkerung zur Aufrechterhaltung der staatlichen Ordnung und zur Aufrechterhaltung der Versorgung der Bürger mit kritischen Dienstleistungen und Versorgungsgütern. Eine weitere Verpflichtung ergibt sich zur Meldung von erheblichen IT Störungen. Im Audit wird hier gegen branchenspezifische Sicherheitsstandrds geprüft, sowie gegen den vom BSI veröffentlichten 100 Punkte Katalog. Prinzipiell wird hier der Stand der Technik als maßgeblich angesehen, der z.B. über die Teletrust (Bundesverbank für IT Sicherheit e.V.) turnusmäßig als Handreichung aktualisiert wird
Im Banken, Sparkassen und Versicherungsbereich bestimmen die MARISK als Anforderung der Bundesaufsicht für Finanzdientsleistungen (Bafin) die Vorgaben in Deutschland. Abgerundet werden die MARISK durch die BAIT, VAIT, KAIT als Banken-, Versicherungs- Kapitalverwaltungsgesellschaftsrechtliche Anforderungen an die IT. Je nach größe der Bank, Versicherung usw. müssen zusätzlich zu den Anforderungen der Bafin noch die Anforderung des BSI bzw die gesetzlichen Vorgaben für KRITIS erfüllt werden.