de en
Nexia Ebner Stolz

Wirtschaftsprüfung

Prüfung des IT-Notfallmanagement - (nicht nur) aus Sicht der BAIT

Busi­ness Con­ti­nuity Ma­nage­ment bzw. Not­fall­ma­nage­ment stellt viele Un­ter­neh­men vor ernst­hafte Her­aus­for­de­run­gen, da dies grund­le­gende pro­zes­suale Ein­schnitte be­deu­tet so­wie kon­kre­ter Maßnah­men be­darf, die im ge­sam­ten Un­ter­neh­men um­zu­set­zen sind. Auf der an­de­ren Seite stellt das Not­fall­ma­nage­ment auch die Auf­recht­er­hal­tung des Ge­schäfts­be­trie­bes in Kri­sen­si­tua­tio­nen si­cher.

Eine we­sent­li­che Vor­aus­set­zung dafür ist die je­der­zei­tige Verfügbar­keit der IT-Sys­teme. Aus die­sem Grund for­dern so­wohl u. a. das In­sti­tut der Wirt­schaftsprüfer e. V. (IDW), das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI), die ISO/IEC 2700x als auch die Min­dest­an­for­de­run­gen an das Ri­si­ko­ma­nage­ment (Ma­Risk) Vor­keh­run­gen für einen Not­be­trieb zu tref­fen. Ein Aus­fall we­sent­li­cher IT-An­wen­dun­gen ohne kom­pen­sie­rende Not­fall­stra­te­gien und kurz­fris­tige Aus­weichmöglich­keit (An­for­de­rung der Bank­auf­sicht­li­che An­for­de­run­gen an die IT (BAIT)) kann ma­te­ri­elle und im­ma­te­ri­elle Vermögens­schäden nach sich zie­hen und stellt einen we­sent­li­chen Man­gel der Buchführung dar.

© iStock

Im Rah­men der Reihe „Not­fall­kon­zept“ ver­wei­sen wir auf die drei­tei­lige Reihe in un­se­rem no­vus IT 2019, Aus­ga­ben 1 bis 3:

Die Ausführun­gen, die sich im Fol­gen­den insb. aus An­for­de­run­gen der Ma­Risk und den BAIT er­ge­ben, können eben­falls auf Un­ter­neh­men über­tra­gen wer­den, die nicht den bank­auf­sicht­li­chen An­for­de­run­gen un­ter­wor­fen sind. Berück­sich­tigt wird da­bei die Kon­sul­ta­ti­ons­fas­sung der BAIT aus 2020. Es ist da­von aus­zu­ge­hen, dass diese nach Ver­ab­schie­dung eben­falls auf die Kon­sul­ta­ti­ons­fas­sun­gen der Ka­pi­tal­ver­wal­tungs­auf­sicht­li­che An­for­de­run­gen an die IT (KAIT) und Ver­si­che­rungs­auf­sicht­li­che An­for­de­run­gen an die IT (VAIT) über­tra­gen wer­den.

Auf­grund der Be­deu­tung und der weit­rei­chen­den Kon­se­quen­zen der zu tref­fen­den Ent­schei­dun­gen muss der Pro­zess „Not­fall­ma­nage­ment“ von der obers­ten Lei­tungs­ebene der Un­ter­neh­men in­iti­iert, ge­steu­ert und kon­trol­liert wer­den.

Die Ver­fah­ren für den Not­be­trieb um­fas­sen or­ga­ni­sa­to­ri­sche Re­ge­lun­gen zur Wie­der­her­stel­lung der Be­triebs­be­reit­schaft und rei­chen von Maßnah­men bei Sys­temstörun­gen (Wie­der­an­lauf­kon­zepte) bis hin zu Kon­zep­ten bei einem vollständi­gen Aus­fall des IT-Sys­tems (Ka­ta­stro­phen­fall-Kon­zept).

Wei­ter sind Not­fall­handbücher vor­zu­hal­ten und die be­trof­fe­nen Mit­ar­bei­ter in den Maßnah­men zu schu­len. Die de­fi­nier­ten Maßnah­men ha­ben den Bedürf­nis­sen des Un­ter­neh­mens zu ent­spre­chen. Fer­ner sind die Not­falllösun­gen re­gelmäßig zu tes­ten und der ge­ord­nete Wie­der­an­lauf der ein­zel­nen Sys­teme in der von der Un­ter­neh­mens­lei­tung vor­ge­ge­be­nen Zeit si­cher­zu­stel­len (Test­se­quenz).

Ergänzend erwähnen die Ma­Risk das Er­for­der­nis, dass die Not­fall­kon­zepte des In­sti­tuts und des Aus­la­ge­rungs­un­ter­neh­mens auf­ein­an­der ab­zu­stim­men sind.

Bis­her war in den BAIT der The­men­kom­plex des Not­fall­be­triebs kei­nem ei­ge­nen Ab­schnitt zu­ge­ord­net. Viel­mehr fand der Be­griff des Not­fall­ma­nage­ments in den Ab­schnit­ten „IT-Stra­te­gie“ und „Aus­la­ge­run­gen und sons­ti­ger Fremd­be­zug von IT-Dienst­leis­tun­gen" An­wen­dung. Die Kon­sul­ta­ti­ons­fas­sung aus Ok­to­ber 2020 der BAIT enthält nun einen ge­son­der­ten Ab­schnitt zum IT-Not­fall­ma­nage­ment.

Gemäß der BAIT und Ma­Risk müssen Ziele zum Not­fall­ma­nage­ment de­fi­niert und dar­auf auf­bau­end ein Not­fall­ma­nage­ment­pro­zess im­ple­men­tiert wer­den. Für Ak­ti­vitäten und Pro­zesse, bei de­ren Be­einträch­ti­gung für de­fi­nierte Zeiträume ein nicht mehr ak­zep­ta­bler Scha­den zu er­war­ten ist, ist ein Not­fall­kon­zept zu er­stel­len.

Des Wei­te­ren sind auf Ba­sis des Not­fall­kon­zep­tes für die­je­ni­gen Sys­teme, wel­che zeit­kri­ti­sche Ak­ti­vitäten und Pro­zesse un­terstützen, IT-Not­fallpläne aus­zu­ar­bei­ten. Die Wirk­sam­keit der Pläne ist min­des­tens jähr­lich zu überprüfen und das Not­fall­kon­zept ist gemäß Ma­Risk an­lass­be­zo­gen zu ak­tua­li­sie­ren. Die Ge­schäfts­lei­tung ist dazu auf­ge­for­dert, sich min­des­tens quar­tals­weise- oder an­lass­be­zo­gen über den Zu­stand des Not­fall­ma­nage­ments schrift­lich be­rich­ten zu las­sen.

Nach den BAIT be­steht darüber hin­aus die An­for­de­rung, nach­zu­wei­sen, dass bei einem Aus­fall des Re­chen­zen­trums die zeit­kri­ti­schen Ak­ti­vitäten und Pro­zesse aus einem aus­rei­chend ent­fern­ten Re­chen­zen­trum, für eine an­ge­mes­sene Zeit so­wie für die Wie­der­her­stel­lung des IT-Nor­mal­be­triebs er­bracht wer­den können.

Der Be­griff des Not­fall­ma­nage­ments for­dert gemäß dem BSI-Stan­dard „100-4 Not­fall­ma­nage­ment“ de­fi­nierte Leit­li­nien zum Not­fall­ma­nage­ment, Rol­len­be­schrei­bun­gen mit Auf­ga­ben, Rech­ten und Pflich­ten, eine Über­sicht über Res­sour­cen-An­for­de­run­gen und de­ren Be­reit­stel­lung so­wie Not­fall­kon­zepte nebst Not­fall­hand­buch (An­lei­tung zur Bewälti­gung des Not­falls).

Darüber hin­aus stellt der Stan­dard klar, dass das Not­fall­ma­nage­ment einen kon­ti­nu­ier­li­chen Ver­bes­se­rungs­pro­zess dar­stellt, der die Maßnah­men und Kon­zepte hin­ter­fragt so­wie auch die Sen­si­bi­li­sie­rung und Schu­lung der Mit­ar­bei­ter vor­sieht.

Die fol­gende Auf­stel­lung gibt Ih­nen einen Über­blick, wel­che Prüfungs­fra­gen im Rah­men der IT-Re­vi­sion durch den Jah­res­ab­schlussprüfer oder die In­terne Re­vi­sion hin­sicht­lich des IT-Not­fall­ma­nage­ments re­le­vant sein könn­ten. Wei­ter­hin bie­ten sie ergänzend zu den oben ge­nann­ten Stan­dards, z. B. vom BSI oder aus der In­for­ma­ti­ons­si­cher­heit, eine gute Grund­lage für eine Selbst­ein­schätzung, z. B. zur Prüfungs- oder Zer­ti­fi­zie­rungs­vor­be­rei­tung, oder als Un­terstützung für eine Rei­fe­grad­be­stim­mung.

Aus­gewählte Prüfungs­fra­gen zum Not­fall­ma­nage­ment:

  • Nimmt die ober­ste Lei­tungs­ebene des Un­ter­neh­mens eine an­ge­mes­sene Rolle (In­iti­ie­ren, Steu­ern und Kon­trol­lie­ren) im Not­fall­ma­nage­ment ein?
  • Ist ein Not­fall­ma­nage­ment­pro­zess, der die Not­fall­vor­sorge, die Not­fall­bewälti­gung und die Not­fall­nach­sorge um­fasst, de­fi­niert?
  • Wurde eine Klas­si­fi­zie­rung/Ka­te­go­ri­sie­rung der Sys­teme nach ih­rer Wich­tig­keit für den Ge­schäfts­be­trieb durch­geführt?
  • Ist ein IT-Not­fall­kon­zept sach­ge­recht um­ge­setzt und wird die­ses kon­ti­nu­ier­lich an­ge­passt?
  • Sind hier u. a. auch we­sent­li­che IT-Kon­takte und An­sprech­part­ner von IT-Dienst­leis­tern und Lie­fe­ran­ten fest­ge­hal­ten? Sind Ver­hal­tens­wei­sen und Pro­zesse für (IT-)Notfälle de­fi­niert?
  • Ist das ver­ant­wort­li­che (IT-)Per­so­nal ent­spre­chend ge­schult und sen­si­bi­li­siert?
  • Wie wer­den durch­geführte Wie­der­an­lauf­pro­ze­du­ren do­ku­men­tiert und aus­ge­wer­tet?
  • Wel­che IT-Si­cher­heitsmaßnah­men sind fest­ge­legt?
  • Wie wer­den Si­cher­heits­vorfälle fest­ge­hal­ten und Maßnah­men aus die­sen ab­ge­lei­tet?

Ab­ge­lei­tete Fra­gen aus BAIT und Ma­Risk

  • Wel­che Ziele des Not­fall­ma­nage­ments wur­den de­fi­niert? Wur­den Schnitt­stel­len zu an­de­ren Be­rei­chen (z. B. Ri­si­ko­ma­nage­ment, In­for­ma­ti­ons­si­cher­heits­ma­nage­ment) berück­sich­tigt?
  • Wur­den zeit­kri­ti­sche Ak­ti­vitäten und Pro­zesse de­fi­niert und fin­den diese Berück­sich­ti­gung im Not­fall­ma­nage­ment?
  • Wel­che Re­ge­lun­gen sind für den Not­be­trieb und zur Wie­der­her­stel­lung der Be­triebs­be­reit­schaft ge­trof­fen? Lie­gen Wie­der­an­lauf­kon­zepte für Sys­temstörun­gen und den vollständi­gen Aus­fall des IT-Sys­tems (Ka­ta­stro­phen­fall-Kon­zept) vor?
  • Wer­den Not­fall­handbücher mit de­fi­nier­ten Maßnah­men, die den Bedürf­nis­sen des In­sti­tuts ent­spre­chen, vor­ge­hal­ten?
  • Wer­den die de­fi­nier­ten Not­falllösun­gen re­gelmäßig ge­tes­tet, um den an­for­de­rungs­ge­rech­ten Wie­der­an­lauf der ein­zel­nen Sys­teme si­cher­zu­stel­len?
  • Sind die Not­fall­kon­zepte des In­sti­tuts und die der Aus­la­ge­rungs­un­ter­neh­men für Aus­la­ge­run­gen und auch sons­ti­gen Fremd­be­zug auf­ein­an­der ab­ge­stimmt?
  • Können zeit­kri­ti­sche Ak­ti­vitäten und Pro­zesse bei Aus­fall ei­nes Re­chen­zen­trums in einem Aus­weich­re­chen­zen­trum er­bracht wer­den?
  • Sind die Leit­li­nie zum Not­fall­ma­nage­ment, die Not­fall­kon­zepte und -handbücher (An­lei­tung zur Bewälti­gung des Not­falls) kom­mu­ni­ziert und zugängig?
  • Un­ter­liegt das Not­fall­ma­nage­ment einem kon­ti­nu­ier­li­chem Re­view- und Ver­bes­se­rungs­pro­zess?
nach oben