Schiffhauer IT-Auditing Consulting & Solutions
Bei einer SAP-Revision mit Hilfe des Tools CheckAud for SAP Systems wird die Prüfung nahezu automatisiert durchgeführt. CheckAud deckt hierbei Schwachstellen im Bereich der SAP-Konfiguration sowie der in SAP vergebenen Zugriffsberechtigungen auf.
Weiterlesen …
Das neue Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – kurz IT-Sicherheitsgesetz genannt – ist am 25. Juli 2015 in Kraft getreten.
Betroffen von dem neuen Gesetz sind Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen. Diese gehören alle zur den Branchen mit kritischer Infrastruktur.
Bundesinnenminister Dr. Thomas de Maiziere schreibt hierzu in einem Beitrag der FAZ vom 18. August 2014, dass die Bundesregierung mit ihrem „Ersten IT-Sicherheitsgesetz“ branchenweit Standards für die IT-Sicherheit einführen werde. Lt. De Maiziere soll Deutschland IT-Vorreiter werden und die digitale Infrastrukturen sollen die sichersten der Welt werden.
Ferner soll das bisherige deutsche Datenschutzgesetz ausgedient haben und die geltenden Regelungen würden der technischen Entwicklung nicht mehr gerecht werden. Daher sollen die künftige EU-Datenschutzverordnung das bisher geltende deutsche Recht komplett ersetzen.
Der internationale Norm ISO 27001 befasst sich mit der Informationssicherheit und dem Schutz vertraulicher Daten. Im Wesentlichen werden mit dieser Norm die Anforderungen an die Aufstellung, die Umsetzung, den Betrieb, die Überwachung, die Bewertung sowie die Wartung und die Verbesserung von einem Informations-Sicherheits-Management-System unter Berücksichtigung der unternehmensspezifischen Risiken vorgegeben.
Weiterlesen …
Bei dem Projekt K-Fall Test galt es, die getroffenen Maßnahmen gemäß BSI Notfallmanagement zu beurteilen und nachzuweisen. Grundlage für die Prüfung bildete der BSI-Standard 100-4 Notfallmanagement. In diesem Zusammenhang wurden das Notfallhandbuch, die Notfallorganisation, die Notfallmanagementprozesse sowie die geplanten Aktivitäten für den K-Fall Test bei dem IT-Dienstleister eines Banken-Verbandes beurteilt und der anschließend durchgeführte K-Fall Test vor Ort begleitet.
Der BSI Notfallmanagement wird in dem BSI Standard 100-4 umfangreich beschrieben und behandelt im Wesentlichen die folgenden Themengebiete:
Ziel des Projektes war es u.a., die Katastrophenfall-Fähigkeit der wesentlichsten Anwendungssysteme im Rahmen des geplanten Notfalltests unter Beweis zu stellen und gegenüber den Kunden des IT-Dienstleisters in Form einer Bescheinigung zu bestätigen. Bei der Erstellung des Notfallhandbuches sowie der darauf aufbauenden Notfallmaßnahmen wurde darauf geachtet, dass neben den Anforderungen aus dem BSI-Standard 100-4 BSI Notfallmanagement auch die bankaufsichtsrechtlichen Sachverhalte des BaFin (Bundesamt für Finanzdienstleistungsaufsicht) berücksichtigt wurden und die geschäftskritischen Anwendungen für die Banken innerhalb von maximal vier Stunden wieder zur Verfügung gestellt werden konnten. Hierbei galt es, die IT-Systeme mit den geschäftskritischen Anwendungen zu bestimmen und die Abhängigkeiten dieser Systeme im Rahmen des Notfalltests, insbesondere jedoch im Rahmen der Wiederherstellung des Produktionsbetriebes, zu untersuchen.
Vor Beginn des eigentilichen Notfalltests wurden der K-Fall in Form eines „Trockentest“ durchgespielt. Im Anschluss daran wurde der eigentliche K-Fall getestet. Hierzu wurden die Produktionssysteme an einem Feiertag nahezu vollständig ausgeschaltet. Im Anschluss daran wurde anhand des zuvor gemeinsam erarbeitete Notfallhandbuches der Wiederanlauf im Backup-Rechenzentrum des IT-Dienstleisters innerhalb der maximalen Ausfallzeit von vier Stunden wiederhergestellt. Dieser Notfallbetrieb wurde über mehrere Tage aufrechterhalten. An einem darauf folgenden Wochenende wurde die Rückführung in den Normalbetrieb, d.h. der IT-Betriebes wurde im eigentlichen Produktionsrechenzentrum wiederhergestellt.
Die Kunden des IT-Dienstleisters wurden im Anschluss über den erfolgreichen Katastrophenfall-Test informiert und der erfolgreiche K-Fall-Test wurde in Form eines Testats bescheinigt.
Bei der Prüfung der Leistungsverrechnung von IT-Services im Bereich des IBM Betriebssystem z/OS bei einem IT-Dienstleister im Bankenumfeld galt es, die Ordnungsmäßigkeit und Sicherheit der Verfahren festzustellen. In diesem Zusammenhang mussten die folgenden Fragestellungen zunächst beantwortet werden:
Weiterlesen …
Durch eine erfolgreiche ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik, Bonn, kurz BSI genannt) haben Sie die Möglichkeit, Ihre Bemühungen um die Informationssicherheit und die erfolgreiche Umsetzung internationaler Normen unter Anwendung der IT-Grundschutz-Methodik in Ihrem Unternehmen bzw. Behörde nach innen und außen zu dokumentieren.
Weiterlesen …
Bei einer SAP-Prüfung im Rahmen einer IT-Revision bei einem Finanzdienstleister wurden nach einer zuvor erfolgten Bestandsaufnahme der SAP-Systemlandschaft im Wesentlichen die folgenden Bereiche geprüft:
Weiterlesen …
Die Prüfung von Rechenzentren und Serverräumen durch die interne Revision umfasst neben der Prüfung der physischen Sicherheit im Wesentlichen auch die Beurteilung der folgenden Sachverhalte:
Weiterlesen …
Bei diesem Projekt galt es die Ordnungsmäßigkeit und Sicherheit von RACF und DB2 sowie CICS unter dem Betriebssystem z/OS bei einer Bank zu prüfen.
In einem ersten Schritt wurden die vorhandenen Sicherheitskonzepte bezüglich RACF und DB2 sowie CICS sowie deren Integration in das Betriebssystem z/OS bewertet. Unter Berücksichtigung der hierbei gewonnenen Erkenntnisse wurde anschließend überprüft, ob die in den Konzepten getroffenen Vorgaben für RACF, DB2 und CICS in den Systemeinstellungen korrekt umgesetzt wurden und die vorgenommenen Einstellungen dazu geeignet waren, einen wirksamen Zugriffsschutz zu gewährleisten.
Anschließend wurden die vorhandenen Zugriffsberechtigungen in den einzelnen Subsystemen ermittelt und einer Beurteilung unterzogen.
Hierbei wurden die folgenden Aspekte betrachtet:
Abschließend wurde beurteilt, ob die im laufenden Betrieb getroffenen Maßnahmen ausreichen, die Ordnungsmäßigkeit und Sicherheit von RACF, DB2 und CICS zu gewährleisten. Hierbei wurden u.a. die folgenden Aspekte betrachtet: