< Behörden im Umgang mit IT-Sicherheit
20.08.2007 10:24 Kategorie: Aktuelles DE

Vorteile des neuen Audittool

Neue Audittool-Generation bietet effiziente Schwachstellenbeseitigung und Managementreports


Viele Unternehmen unterwerfen sich mittlerweile einer kaum zu überschaubaren Anzahl von Zertifizierungen, denen immer ein Audit vorangeht. Hierbei ist es das Ziel, zu prüfen, ob die Anforderungen bestimmter Normen/Standards (beispielsweise im Datenschutz, in der IT-Sicherheit oder im Qualitätsmanagement) erfüllt sind. Derzeit existieren auf dem Markt eine Reihe von Hilfsmitteln/Tools zur Auditierung. Doch viele gehen über die reine Bestimmung des Ist-Zustands nicht hinaus. Es ist jedoch viel wichtiger, zu wissen, wie den aufgedeckten Schwachstellen und Mängel adäquat begegnet werden kann. Auch eine Quantifizierung ist meist sinnvoll und nötig. Beides erfüllt das UIMC-Tool zur Analyse und Berichterstellung. „Die Schwierigkeit eines Audits liegt oftmals nicht in der Erhebung, sondern vielmehr in der effizienten und effektiven Auswertung“, so Dr. Jörn Voßbein (UIMC), erfahrener IT-Sicherheitsberater und mehrfach bestellter Datenschutzbeauftragter. Wichtig ist es im Rahmen des Audits, nicht nur schnell und effektiv die Befragung durchzuführen. Schließlich ist es oftmals schwer genug, alle Beteiligten für einen Workshop oder Interview „an einen Tisch zu bekommen“. Vielmehr ist es auch bedeutend, nach der Auswertung neben der Darstellung des Ist-Zustands auch Möglichkeiten aufgezeigt zu erhalten, wie den aufgedeckten Schwachstellen bzw. Mängeln in angemessener Form begegnet werden sollte. „Genau dies stellt den Mehrwert eines Audits dar: Wissen, wo ich stehe und wie ich mich verbessern kann!“, so Dr. Jörn Voßbein weiter. Einen weiteres Plus ist neben der qualitativen Aufbereitung auch die quantitative Auswertung: Die Gewichtung der einzelnen Auditpunkte sowie eine graphische Darstellung der Zielerreichung ermöglicht beispielsweise die interne Promotion der Ergebnisse, den quantitativen Vergleich zu einem Benchmark oder zum vorherigen Audit. Hierdurch sind selbst Einsatzgebiete im Rahmen des Management by Objectives denkbar, da so Zielvereinbarungen transparent und einfach gemessen werden können. Die Lösung hierfür: Die UIMC hat ein Tool entwickelt (UIMC-Tool zur Analyse und Berichterstellung; kurz „UTAB“), welches alle Phasen in computergestützter Form unterstützt: Erhebung, Auswertung, Berichterstellung inkl. Ableitung von Vorschlägen zur Mängelbeseitigung. Somit wird nicht nur der Zeitaufwand während der Erhebung vermindert, sondern auch die Möglichkeit geboten, in kurzer Zeit neben einem Status-Quo-Bericht auch einen Katalog zur Beseitigung der aufgedeckten Schwachstellen zu erstellen. „Der besondere Clou ist unser Executive Information System als quantitatives Ergänzungsmodul“, stellt Dr. Jörn Voßbein nicht ohne Stolz fest. Somit wird neben der qualitativen auch eine quantitative Auditierung integriert durchgeführt. Das Tool hat sich bei einer Vielzahl von Gebieten wie beispielsweise Datenschutz, IT-Sicherheit, Notfallmanagement oder Zertifizierung gemäß ISO/IEC 27001 bereits bewährt, um nur einen Ausschnitt der Anwendungsmöglichkeiten zu nennen. Spezifische Lösungen für Branchen wie Banken oder Rechenzentren, für verschiedene Unternehmensgrößen wie Großunternehmen oder Klein- und Mittelunternehmen (KMU) etc. existieren ebenso wie unternehmensspezifische Lösungen z. B. für die interne Revision.