Revision – dieser ursprünglich aus dem Lateinischen stammende Begriff bedeutet so viel wie „zurück“. Im heutigen Zusammenhang bedeutet er aber eher soviel wie „Rückschau“. Eine IT-Revision tut genau dies und ist ferner noch zu einer wichtigen Maßnahme des Datenschutzes in der Informationstechnik geworden. Es handelt sich hierbei um eine sehr komplexe Aufgabe, die eine gute Planung und Vorbereitung sowie eine auf interdisziplinärer Zusammenarbeit basierende Durchführung erfordert.
Gerade in Zeiten der DSGVO und angekündigten e-Privacy Verordnung sollten Unternehmen ihren Datenverarbeitungsprozessen auf elektronischem Wege mehr Aufmerksamkeit schenken, und Bestehendes kritisch hinterfragen. Wir möchten an dieser Stelle gern näher beleuchten, worum es sich bei einer IT-Revision handelt und warum ihr eine stetig wichtigere Rolle zuzuschreiben ist.
Notwendigkeit einer IT-Revision
Woraus ergibt sich die (wachsende!) Notwendigkeit von IT-Revisionen bei einem Unternehmen? Der damit verbundene Schlüsselbegriff heißt Informationssicherheit. Eine IT-Revision versucht unter anderem Antworten auf Fragen wie etwa „Wie können die Daten bzw. digital gespeicherten Informationen des Unternehmens unter den gegenwärtigen technischen und gesellschaftlichen Bedingungen gesichert und vor Fremdzugriffen geschützt werden?“ zu finden. Natürlich können die jeweiligen Antworten von Unternehmen zu Unternehmen unterschiedlich ausfallen.
Sie sind abhängig von Quantität und Qualität der ausgewählten Informationen. Ebenso spielen auch der Zustand der IT-Hard- und Software sowie weitere Faktoren (beispielsweise rechtliche Rahmenbedingungen) eine tragende Rolle. Während größere mittelständische Unternehmen ihr Prozessmanagement heutzutage häufig nur noch digital verwalten, ergeben sich etwa für kleinere Handwerksbetriebe ganz andere, aber ebenso relevante Baustellen der Infrastruktur ihrer Informationsverarbeitung und -technik.
Durchführung IT-Revision als Schulungsmaßnahme
Wichtige Module, die eine o. g. Schulung beinhalten sollte, sind:
- Risiko-Management
- Analyse (A)
- Planung (P)
- Strategie (S)
- The Worst Case
Die genannten Module gehören inhaltlich eng zusammen. Bei der Darstellung und der Aufbereitung des Schulungsinhaltes empfiehlt es sich, die TeilnehmerInnen am Beginn für den Begriff des Risiko-Managements in der IT zu sensibilisieren. Danach sollte das APS-Paket „aufgeschnürt“ bzw. „ausgepackt“ werden: Es ist zu allererst der gegenwärtige, aktuelle Zustand samt seiner Hauptrisikofaktoren zu analysieren. Zweitens gilt es zu planen, welche Schritte bei möglicherweise eintretenden Zuständen zu vollziehen sind. Hieran schließt der dritte Punkt auf der Agenda an: die Erstellung einer umfassenden Strategie, welche auch den Umgang mit nicht vorhersehbaren Szenarien festlegt.
IT-Revisionen sind zu dokumentieren und deren Erfolge zu evaluieren. Die Inhalte von entsprechenden Schulungsmaßnahmen sind immer konkret auf das Unternehmen zu beziehen. Die Maßnahmen erfordern vom Schulungsleiter sowohl die Fähigkeit zum konzeptionellen Denken als auch sehr gute Kenntnisse in der IT-Hard- und Software. Es bietet sich daher an, einzelne Module von ausgewiesenen Experten ihres Faches leiten zu lassen. Am Ende wird der Schulungsleiter die Module in einer Zusammenfassung nochmals vortragen.
Nutzen einer IT-Revision
IT-Revisionen sind – bei guter Vorbereitung und Durchführung – ein wirksames Mittel, um eine hohe Sicherheit von in IT-Systemen gespeicherten Informationen jetzt und zukünftig zu gewährleisten. Auch wenn es – generell gesagt – keine einhundertprozentige Sicherheit gibt, so ist der „Approach“ stets der, dem anvisierten Zustand möglichst nahe zu kommen. Nicht zuletzt sind „Worst Cases“ vermeidbar, wenn man Fallszenarien genau analysiert und entsprechende Präventivmaßnahmen in der Unternehmensstruktur etabliert.
Kurz und knapp zusammengefasst
IT-Revisionen sind in jedem Unternehmen, welches IT-Technik zur Informationsspeicherung benutzt, wichtig. Hochqualifizierte und motivierte Mitarbeiter sind dabei Garanten für deren Erfolg. Ebenso sollte Wert auf eine kompetente Revisionsleitung gelegt werden, die einerseits über die notwendige Expertise, andererseits über fundierte kommunikative Fähigkeiten verfügt.
Quellen
- https://wirtschaftslexikon.gabler.de/definition/risikomanagement-42454
- https://www.haub-seminare.de/seminar/it-revision/
- Institut für Interne Revision Österreich: Informationssicherheitsmanagementsystem. Damoklesschwert Daten-GAU – Systematische Prüfung und wirksame Prävention. (2016)
