IT AUDIT – IT AUDIT FÜR UNTERNEHMEN

IT Audit – Beginnen wir mit der fehlenden Definition

IT Audit ist ein weit gefasster Begriff, und bisher wurden keine einheitlichen Standards für die Dienstleistung selbst entwickelt. Deutlich sichtbar wird dies am Beispiel von Anfragen an Support Online. Auf der einen Seite haben wir eine ziemlich große (und gleichzeitig interessante) Auswahl an Nomenklaturen, die von Kunden verwendet werden:  

  • Prüfung von IT-Systemen;  
  • Prüfung der IT-Infrastruktur;  
  • IKT-Audit;  
  • Prüfung der IT-Umgebung;  
  • IT Security Audit, einschließlich Informationssicherheit;  
  • IT Sicherheitsaudit;  
  • einschließlich: Prüfung von Computerhardware, LAN-Netzwerken, Einhaltung von Lizenzen; Computernetzwerk, IT-Lizenz-Compliance-Audit usw. 

Andererseits haben Kunden ein sehr breites Spektrum an Anforderungen, die hier nur schwer zu beschreiben sind. Vielleicht wird eines Tages ein IT Audit sorgfältig katalogisiert, wie es beispielsweise bei der Prüfung von Jahresabschlüssen der Fall ist.  

Audyt informatyczny
IT Audit

Positiv ist, dass die meisten IT-Unternehmen aufgrund der gesammelten Erfahrungen eine eigene, sehr genaue Definition eines IT Audits entwickelt haben. Für Auftraggeber bedeutet dieser Umstand, dass bereits in einem frühen Stadium der Auswahl des Auftragnehmers die Spezifikation der Leistung selbst gründlich geprüft werden muss. Sehen wir uns also an, was Support Online in dieser Angelegenheit zu bieten hat.  

IT Audit – Wie? Wo? Für wen?  

Support Online führt IT Audits am häufigsten in zwei Fällen durch. Die erste und häufigste Situation ist der Aufbau einer Zusammenarbeit im Rahmen eines umfassenden IT-Service. Dann ist das IT Audit die Eröffnungsbilanz und stellt gleichzeitig die Weichen für Veränderungen in der IT-Infrastruktur des Kunden für die nächsten 3-5 Jahre.  

Für Support Online, wo IT-Outsourcing für Unternehmen die Geschäftsgrundlage darstellt, ist dies ein kritischer Moment. Schon ein kleiner Fehler bei der Diagnose der Kundenbedürfnisse und / oder der Auswahl von IT-Lösungen kann bei der weiteren Zusammenarbeit zum Scheitern führen. Jedes Unternehmen, in dem IT-Dienstleistungen für Unternehmen die Hauptumsatzsäule darstellen, muss auf langfristige Beziehungen setzen, denn nur diese sind ein Garant für die weitere Geschäftsentwicklung.  

Der zweite Fall sind Kunden, die den Betrieb der internen IT-Abteilung überprüfen, d.h. um ein betriebsinternes Sicherheitsaudit. Es geht um die Überprüfung betrieblicher Aufgaben und langfristiger Konzepte der IT-Entwicklung des Unternehmens, deren Quelle die IT-Abteilung sein sollte. Wir diskutieren und schlagen sehr oft Ideen vor wie:  

  • Unternehmensdigitalisierung, d.h. Implementierung von Lösungen, die den Übergang zur Telearbeit ermöglichen, z.B. Terminaldienste;   
  • Konsolidierung des IT-Systems innerhalb eines Ökosystems, z.B. Office 365 (Microsoft 365);  
  • Implementierung von Tools aus dem Katalog „Cloud-Lösungen für Unternehmen“: Private Cloud, Cloud-Replikation oder Cloud-Backup,   
  • Vorbereitung und Einführung von DRC: Notfallwiederherstellungsplan (IT-Systemkontinuitätsplan);  
  • Vorbereitung und Einführung von DRC: Notfallwiederherstellungsplan (IT-Systemkontinuitätsplan);  

AuIT Audit in Support Online – eiserne Punkte 

In beiden oben genannten Fällen enthält das Verfahren zur Durchführung eines IT Audits mehrere eiserne Elemente, die aus Sicht des Unternehmensinhabers bzw. der Geschäftsführung von großer Bedeutung sind. Es lohnt sich, die folgende Liste zu verwenden, wenn Sie nach einem potenziellen IT Audit-Auftragnehmer suchen, und sich zu vergewissern, dass jedes Problem gründlich besprochen wird.  

1. Überprüfung der erstellten Sicherung 

Zunächst prüfen wir, ob überhaupt ein Backup erfolgt und ob die Wiederherstellung des Betriebs der wesentlichen IT-Systeme des Unternehmens innerhalb einer vorgegebenen Zeit auf Basis des vorhandenen Backups möglich ist.  

2. Entwicklung einer Backup-Policy  

Über 70 % der Kunden, für die wir ein IT Audit durchgeführt haben, hatten kein Backup oder der Zustand dieses Backups ließ keine Datenwiederherstellung zu. Also erstellen wir eine Backup-Richtlinie von Grund auf neu. Ein solches Dokument muss folgende Angaben enthalten:  

  • welche Ressourcen (d. h. physische Server, virtuelle Server) gesichert werden;  
  • wie das Backup durchgeführt wird – hier empfehlen wir immer einen umfassenden Ansatz, d. h. das Kopieren ganzer Server;  
  • an welchen Orten und auf welchen Geräten das Backup gespeichert wird;  
  • Wie sieht der Backup-Zeitplan aus,  
  • wie oft sollte eine Testdatenwiederherstellung durchgeführt werden.  

3. Bestimmung des Zeitpunkts zur Wiederherstellung des Unternehmensbetriebs im Falle eines kritischen Ausfalls 

Dies sind wichtige Informationen für jeden Geschäftsinhaber oder Vorstand. Leider kommt das Interesse an diesem Thema in vielen Fällen erst zum Zeitpunkt einer IT-Katastrophe, wenn die gesamte Organisation einfach nicht mehr funktioniert.  

Die Wiederherstellungszeit des Unternehmens im Falle eines kritischen Ausfalls kann anhand der implementierten Backup-Richtlinie bestimmt werden. Natürlich wird es eine ungefähre Zeit sein, aber es wird Ihnen eine konkrete Vorstellung von den Fähigkeiten der IT-Abteilung geben.