PTA_ITRevision_ITSicherheit_UEberblick.pdf - PTA GmbH

seit 1969 

Beratung 

Organisation 

Softwareentwicklung 

IT-Revision IT-Revision und und IT-Sicherheit 

IT-Sicherheit 

Überblick über einige Aspekte der 

IT-Revision und IT-Sicherheit in der 

Informationstechnik (IT)

IT-Revision und IT-Sicherheit 

Gliederung 

• IT-Revision und IT-Sicherheit - Abgrenzung 

• IT-Revision 

– GoBS Grundsätze ordnungsm. DV-gestützter Buchführungssysteme 

– GoDV Grundsätze ordnungsm. Datenverarbeitung 

– GDPdU Grundsätze Datenzugriff und Prüfbarkeit digitaler Unterlagen 

• IT-Sicherheit 

– Einordnung einiger Sicherheitskonzepte 

– Grundschutzhandbuch (GSHB) 

– IT-Sicherheit - Vorgehensmodell 

– GSTool 

12.02.2007 PTA GmbH, Unternehmensberatung 2


IT-Revision und IT-Sicherheit --Abgrenzung Abgrenzung 

• IT-Revision und IT-Sicherheit (IT-Security) lassen sich nur schwer 

abgrenzen und haben gemeinsam die Aufgabe, die Risiken einer 

IT-Anwendung: 

– zu erkennen 

– zu bewerten 

– zu kontrollieren 

– zu reduzieren. 

• Die IT-Revision: 

– hat mehr die Organisation im Fokus. 

– basiert mehr auf Grundsätzen und Vorschriften der 

Ordnungsmäßigkeit. 

• Die IT-Sicherheit (IT-Security): 

– hat mehr die IT (Informationstechnik) im Fokus. 

– basiert mehr auf die Abwehr von Bedrohung auf Basis allgemein 

anerkannter Standards (Best Practices). 


V 

o 

r 

s 

c 

h 

r 

i i 

f f 

tt 

e 

n 


IT-Revision und IT-Sicherheit --Abgrenzung Abgrenzung 

Ordnungsmäßigkeit 

GoBS 

GoDV 

GDPdU 

Geschäftsziele und Geschäftsprozesse 

• Internes Kontrollsystem 

• Dokumentation/Prüfbarkeit 

• Archivierung 

• ... 

• Kontrollierbarkeit 

• Funktionssicherheit 

• Richtigkeit 

• ... 

• (Un)mittelbarer Datenzugriff 

• Datenträgerüberlassung 

• Hilfsmittel und Einweisung 

• ... 

Organisation 

IT-Anwendung 

Methoden / / Verfahren / / Werkzeuge 

Bedrohung 

Verlust der der 

Vertraulichkeit 

• Zutrittskontrolle 

• Zugangskontrolle 

• Zugriffskontrolle 

• ... 


Integrität 

• Korrektheit 

• Aktualität 

• Authentizität 

• ... 


Verfügbarkeit 

• Hardware 

• Software 

• Netzwerk 

12.02.2007 PTA GmbH, Unternehmensberatung 4 

• ... 

Informationstechnik 

B 

e 

s 

tt 

P 

r 

a 

c 

t t 

ii 

c 

e 

s


Gliederung 










– GSTool 


Grundsätze 

ordnungsmäßiger 

Buchführung 

GoB 


Grundsätze --Überblick Überblick über über die die Entwicklung Entwicklung einiger einiger Grundsätze Grundsätze 

Handelsrecht 

Steuerrecht 

Rechtsprechung 

Grundsätze 

ordnungsm. Datenverarbeitung 

GoDV 

1975 Peez, Schuppenhauer, ... 

Grundsätze 

ordnungsm. Speicherbuchführung 

GoS 

1978 Arbeitsgruppe 

Weiterentwicklung Weiterentwicklung 

Grundsätze 

ordnungsm. DV-gestützter 

Buchführungssysteme GoBS 

1995 Arbeitsgruppe, 2001 Arbeitsgruppe 

Grundsätze zum Datenzugriff und zur 

Prüfbarkeit digitaler Unterlagen 

GDPdU 

2001 BMF 

Weiterentwicklung 



GoBS --Grundsätze Grundsätze ordnungsmäßiger ordnungsmäßiger DV-gestützter DV-gestützter Buchführungssysteme 

• Aufgaben 

– Beleg-, Journal- Kontenfunktion 

• Belegfunktion: Nachvollziehbare Nachweis über den Zusammenhang zwischen 

den buchungspflichtigen Vorgängen in der Realität einerseits und dem 

gebuchten Inhalt in den Geschäftsbüchern andererseits 

• Journalfunktion: Nachweis über die vollständige, zeitgerechte und formal 

richtige Erfassung, Verarbeitung und Wiedergabe eines Geschäftsvorfalls 

• Kontenfunktion: Darstellung der Geschäftsvorfälle nach Sach- und Personenkonten 

geordnet 

– Buchung 

– Kontrolle / Abstimmung (Internes Kontrollsystem - IKS) 

– Datensicherung und Datensicherheit 

– Dokumentation und Prüfbarkeit 

– Aufbewahrungsfristen 

– Wiedergabe der auf Datenträger geführten Unterlagen 

– Verantwortlichkeiten 



GoDV --Grundsätze Grundsätze ordnungsmäßiger ordnungsmäßiger Datenverarbeitung 

Datenverarbeitung 

• Abgeleitet von 

– Grundsätzen ordnungsmäßiger Buchführung (GoB) 

– Grundsätzen DV-gestützter Buchführungssysteme (GoBS) 

– Grundsätzen ordnungsmäßigen Datenschutzes (GoDS) 

Kontrollierbarkeit 

Formelle 

GoDV 

Transparenz 

Funktionssicherheit 

GoDV 

Sachlogische 

Richtigkeit 

Materielle 

GoDV 

Tatsächliche 

Richtigkeit 



GDPdU --Grundsätze Grundsätze zum zum Datenzugriff Datenzugriff und und zur zur Prüfbarkeit Prüfbarkeit digitaler digitaler Unterlagen Unterlagen 

• Durch Änderungen in der Abgabenordung (AO) und im Umsatzsteuergesetz 

(UStG) ist seit dem 1. Januar 2002 dem Außenprüfer 

der Finanzverwaltung der elektronischen Datenzugriff möglich: 

– Unmittelbarer Zugriff (Abschnitt I. 2. a der GDPdU) 

Vor Ort im Nur-Lese-Zugriff auf die Buchhaltungsdaten, Stammdaten 

und Verknüpfungen inkl. Filterung und Sortierung der steuerlich relevanten 

Daten mit vorhandenen Auswertungsprogrammen gewähren. 

– Mittelbarer Zugriff (Abschnitt I. 2. b der GDPdU) 

Entsprechend den Vorgaben des Prüfers werden die steuerlich relevanten 

Daten maschinell ausgewertet, um anschließend dem Prüfer 

einen Nur-Lese-Zugriff zu ermöglichen. 

– Datenträgerüberlassung (Abschnitt I. 2. c der GDPdU): 

Die gewünschten originär digital erzeugten steuerrelevanten Daten und 

Aufzeichnungen sowie alle zur Auswertung der Daten notwendigen Informationen 

in maschinell auswertbarer Form zur Verfügung zu stellen. 

siehe auch Präsentationen zu "GDPdU" und "Ordnungsmäßige Software" 



GDPdU --Digitale Digitale Unterlagen Unterlagen 

• e-Mails, die steuerrelevant sind, z.B. 

– Handelsbriefe, Kalkulationsgrundlagen, vertragliche Vereinbarungen, 

auch ohne digitale Signatur 

– Termin- und Zahlungsvereinbarungen 

– Vereinbarung von Rabatten, Lieferterminen, Preisen 

• Einsatz von Finanzbuchhaltungs-Software 

• Einsatz von Materialwirtschafts-Software (z.B. ERP-Anwendungen) 

• Einsatz von digitaler Lohnbuchhaltung (z.B. Datev) 

• Einsatz von Tabellenkalkulations-Software (z.B. Excel, Lotus) 

• Vorgelagerte Systeme z.B. zur Zeiterfassung oder 

Reisekostenabrechnung 

• ... 



Gliederung 










– GSTool 



IT-Sicherheit --Bedrohung Bedrohung 

• Art der Bedrohung der Grundwerte 

– Verletzung der Vertraulichkeit 

Vertrauliche Daten werden unberechtigt zur Kenntnis genommen oder 

weitergegeben. 

– Verletzung der Integrität 

Die Korrektheit der Daten und der Funktionsweise von Systemen ist 

nicht mehr gegeben. 

– Verletzung der Verfügbarkeit 

Autorisierte Benutzer werden am Zugriff auf Daten und Systeme 

behindert. 



IT-Sicherheit --Einordnung Einordnung einiger einiger Sicherheitskonzepte 

Sicherheitskonzepte 

• Vergleich Umfang und Tiefe des Standards 

T 

i 

e 

f 

e 

Umfang 

Quelle: IT-Governance, Diplomarbeit von Karlheinz Heschl, Wien 2002 

17799 Informationstechnik - Leitfaden zum 

Management von Informationssicherheit, 

BS ISO/IEC 17799 

CC The Common Criteria for Information 

Technology Security Evaluation 

COBIT Control Objectives for Information and 

Related Technology von ISACF 

EnSEC Enterprise Security Management von TÜV 

Secure iT GmbH 

GSHB Grundschutzhandbuch vom Bundesamt für 

Sicherheit in der Informationstechnik (BSI) 

IFAC International IT Guidelines von 

International Federation of Accountants 

ITIL IT Infrastructure Library von Office of 

Government Commerce 

ITSEC Information Technology Security Evaluation 

Criteria von der Europäischen Kommission 

SysTrust Zertifizierungsstandard von der American 

Institute of Certified Public Accountants 

AICPA und Canadian Institute of Chartered 

Accountants CICA 

WebTrust WebTrust Principle and Criteria von der 

AICPA 


U 

m 

f 

a 

n 

g 


IT-Sicherheit --Einordnung Einordnung einiger einiger Sicherheitskonzepte 

Sicherheitskonzepte 

• Vergleich Teilaspekte und Inhalt des Kriterienwerks 

Teilaspekt 

Quelle:IT-Sicherheitskriterien im Vergleich, Ein Leitfaden der Projektgruppe 

IT-Sicherheitskriterien und IT-Grundschutz-Zertifikat/Qualifizierung, 2001 

9000 ISO 9000 Qualitätsmanagement 

13335 ISO TR (Technical Reports) 13335 

17799 Informationstechnik - Leitfaden zum 

Management von Informationssicherheit, 

BS ISO/IEC 17799 und BS 7799 

CC The Common Criteria for Information 

Technology Security Evaluation 

COBIT Control Objectives for Information and 

Related Technology von ISACF 

DS Produkt-Audit Landesdatenschutz 

Schleswig Holstein 

EnSEC Enterprise Security Management von TÜV 

Secure iT GmbH 

FIPS 140 Federal Information Processing Standards 

von National Institute of Standards and 

Technology (NIST) 

GSHB Grundschutzhandbuch vom Bundesamt für 

Sicherheit in der Informationstechnik (BSI) 

ITSEC Information Technology Security Evaluation 

Criteria von der Europäischen Kommission 

Tak Force Maßnahmenkatalog von der Task Force 

"Sicheres Internet" 



IT-Sicherheit --Zielsetzung Zielsetzung GSHB GSHB (Grundschutzhandbuch) 

• Durch Anwendung von Standardsicherheitsmaßnahmen von der 

Art: 

– organisatorischer 

– personeller 

– infrastruktureller 

– technischer 

• ein Sicherheitsniveau für IT-System zu erreichen, 

• das für den normalen Schutzbedarf angemessen und ausreichend 

ist 

• und als Basis für hochschutzbedürftige IT-Systeme und 

IT-Anwendungen dienen kann 

(nach BSI IT-Grundschutzhandbuch - Standardsicherheitsmaßnahmen, Kap. 1.1) 



Grundschutzhandbuch (GSHB) --Aufgaben Aufgaben 

• Modellierung und Erstellung eines Schichtenmodell nach dem 

Grundschutzhandbuch (GSHB) 

• IT-Systemerfassung und Strukturanalyse 

• Anwendungserfassung 

• Maßnahmenumsetzung 

• Kostenauswertung 

• Schutzbedarfsfeststellung 

• Revisionsunterstützung 

• Basissicherheitschecks 



Grundschutzhandbuch (GSHB) --Aufbau Aufbau 

Gefährdungskataloge 

Schichten 

Kapitel 

(Bausteine/ 

Komponenten) 

• Höhere Gewalt 

• Organisatorische Mängel 

• Menschliche Fehlhandlung 

• Technisches Versagen 

• Vorsätzliche Handlungen 

Maßnahmenkataloge 

• Infrastruktur 

• Organisation 

• Personal 

• Hardware/Software 

• Kommunikation 

• Notfallvorsorge 


Bausteine/Komponenten (Maßnahmenbündel) 


Grundschutzhandbuch (GSHB) --Schichtenmodell Schichtenmodell 

Quelle: BSI IT-Grundschutzhandbuch 

Schichten 



Grundschutzhandbuch (GSHB) --Web-Kurs Web-Kurs 

• Selbstlern-Kurs: http://www.bsi.de/gshb/webkurs/ 

Quelle: BSI Web-Kurs, Kapitel 1.3 IT-Sicherheit - Hilfen aus dem GSHB (1/2) 



Grundschutzhandbuch (GSHB) --Vorgehensweise Vorgehensweise 

• IT-Sicherheitsprozess 

Quelle: BSI Web-Kurs, Kapitel 2.1 Überblick 


A 

u 

d 

i 

t 

Prozess 


IT-Sicherheit --Vorgehensmodell Vorgehensmodell 

Sicherheitsleitlinie GL 

(Sicherheitsniveau) 

IT-Strukturanalyse 

Schutzbedarfsfeststellung 

Sicherheitsanalyse 

Realisierungsplanung 

Schutzmaßnahmen 

(Projekte) 

Soll-/Ist-Vergleich 

Ergebnis 


R 

e 

v 

i 

e 

w

A 

u 

d 

i 

t 

Prozess 


IT-Sicherheit --Vorgehensmodell Vorgehensmodell (Ergebnisse) (Ergebnisse) 

Netzplan 

Vertraulichkeit 

Integrität 

Verfügbarkeit 

Schichtenmodell 

• Gefährdungskatalog 

• Maßnahmenkatalog 

Aufwandsschätzung 

Sicherheitsleitlinie GL 

(Sicherheitsniveau) 


Schutzbedarfsfeststellung 


Realisierungsplanung 

Schutzmaßnahmen 

(Projekte) 

Soll-/Ist-Vergleich 

IT-Systeme 

IT-Anwendungen 

IT-Kommunikationen 

IT-Räume 

Schutzbedarf 

Sicherheitsmaßnahmen 

Realisierungsplan 

Anforderungen 

Gestuftes 

Konzept 

Ergebnis 


R 

e 

v 

i 

e 

w


IT-Sicherheitsleitlinie --Inhalt Inhalt 

• Die IT-Sicherheitsleitlinie (Security Policy) definiert das angestrebte 

IT-Sicherheitsniveau, mit dem die Aufgaben durch das Unternehmen 

erfüllt werden. 

• Inhalt: 

– Bedeutung der IT für das Unternehmen 

– Sollziele für die IT-Sicherheit 

– Strategie zur Erreichung der Ziele 

– Organisation, Richtlinien und Regeln 

Sicherheitsleitlinie 



IT-Sicherheitsleitlinie --Ziele Ziele 

• Ziele: 

– Schutz vertraulicher Informationen sowohl von Kunden als auch des 

Unternehmens 

– Hohe Verfügbarkeit und Integrität sämtlicher IT-Systeme 

– Sicherung der hohen, möglicherweise unwiederbringlichen Werte der verarbeiteten 

Informationen 

– Sicherung der Qualität der Informationen, als Basis für korrekte Aufgabenabwicklung 

und unternehmerische Entscheidungen 

– Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen 

– Sicherstellung der Kontinuität der Arbeitsabläufe innerhalb des Unternehmens 

– Gewährleistung des gutes Rufs des Unternehmens in der Öffentlichkeit 

– Reduzierung der im Schadensfall entstehenden Kosten 




IT-Sicherheitsleitlinie --Grundsätze Grundsätze und und Strategien Strategien 

• Sicherheitsgrundsätze 

– Sicherheitspolitik als integraler Bestandteil der Geschäftspolitik 

– Einhaltung der gesetzlichen Anforderungen 

– Schutz von Daten und Ressourcen 

– Sicherheit als Schutz aller Partner (Kunden, Lieferanten, Mitarbeiter, ...) 

– Gewährleistung der Nachvollziehbarkeit 

– Einhaltung von Standards und Regelwerken 

– ... 

• Sicherheitsstrategien 

– Durchgängige Gewährleistung von IT-Sicherheit in neuen Anwendungen/Releases 

– Erklärung eines verbindlichen Vorgehensmodell für die Softwareentwicklung 

– Förderung des Sicherheitsbewusstseins in der IT 

– Festlegung von Verantwortungsbereichen innerhalb der IT-Systeme und -Netze 

– Identifikation aller Kommunikationspartner 

– Fortschreibung und Anpassung der Standards und Regelwerke 

– ... 




GSTool 

• IT-Anwendung zur Unterstützung der Handhabung des GSHB 

• Download Software und Dokumentation: 

http://www.bsi.bund.de/gstool/down.htm 

• Lizenzen: http://www.bsi.bund.de/gstool/vertrieb.htm 

Quelle: BSI Handbuch GSTool 



GS-Tool --Prozess Prozess IT-Strukturanalyse 


• Ermittlung der 

– IT-Systeme 

– Anwendungen 

– Gebäude und Räume 

– Kommunikationsverbindungen (Netze) 

– Mitarbeiter 

• und deren Zusammenhänge 

Netzplan 

• IT-Systeme 

• Verbindungen (innen und außen) 

IT-Gruppe Deutschland 

GSTool 

Anzeige Struktur 



Anzeige Übersicht, 

Sammlung (automatisch)


GS-Tool --Prozess Prozess Strukturanalyse 

Strukturanalyse 

• Möglichkeiten der Zuordnung (Zuordnungsregeln) 

Quelle: BSI Handbuch GSTool Kapitel 4.1.2 Strukturregeln 


IT-Strukturanalyse


GS-Tool --Prozess Prozess Schutzbedarfsfeststellung 

• Definition der Schutzbedarfskategorien 

• Feststellung des Schutzbedarfs der IT-Anwendungen 

Anhand des ermittelten Schutzbedarfs lassen sich angemessene 

Schutzmaßnahmen für die verschiedenen Komponenten der IT: 

- IT-Systeme 

- Anwendungen 

- Gebäude und Räume 

- Kommunikationsverbindungen 

- Mitarbeiter 

auswählen. 


Schutzbedarf

• Schutzbedarfskategorien: 

– Niedrig bis mittel 


GS-Tool --Schutzbedarfskategorien Schutzbedarfskategorien 

Die Schadensauswirkungen sind 

begrenzt und überschaubar. 

– Hoch 

Die Schadensauswirkungen können 

beträchtlich sein. 

– Sehr hoch 

Die Schadensauswirkungen können 

ein existentiell bedrohliches, 

katastrophales Ausmaß erreichen. 

Quelle: BSI Web-Kurs, Kapitel 4.1 Überblick 


Schutzbedarf


GS-Tool --Schutzbedarf Schutzbedarf 

• Der Schutzbedarf wird für die drei Grundwerte: 

– Vertraulichkeit 

– Integrität 

– Verfügbarkeit 

gesondert betrachtet, 

• da der Schutzbedarf 

unterschiedlich hoch 

sein kann 

(Schutzbedarfskategorie): 

– Niedrig bis mittel 

– Hoch 

– Sehr hoch 

Quelle: BSI Web-Kurs, Kapitel 4.3 IT-Anwendungen 


Schutzbedarf


GSTool --Prozess Prozess 



• Prioritäten 

1. Diese Maßnahmen sind besonders wirksam und grundlegend 

für die Sicherheit innerhalb des betrachteten Bausteins. Sie 

sind vorrangig umzusetzen. 



2. Diese Maßnahmen sind wichtig. Eine zügige Realisierung ist anzustreben. 

3. Diese Maßnahmen sind wichtig für die Abrundung der IT-Sicherheit. Bei 

Engpässen können sie zeitlich nachrangig umgesetzt werden. 


"Vererbung" nach oben 

IT-Systeme werden eingesetzt, um Anwendungen zu unterstützen. 

Der Schutzbedarf eines IT-Systems hängt damit im Wesentlichen 

von dem Schutzbedarf derjenigen Anwendungen 

ab, für deren Ausführung es benötigt wird. 

Der Schutzbedarf der Anwendung vererbt sich auf den 

Schutzbedarf des IT-Systems (mehrere Prinzipen 

möglich).


GS-Tool --Schwerpunkte Schwerpunkte 

festlegen 

festlegen 

Quelle: BSI IT-Grundschutzhandbuch 


Sicherheitsanalyse

GSTool - Strukturanalyse 

Qualifizierungsstufe 

A Einstiegstufe 

B Aufbaustufe 

C Zertifizierungsstufe 



GSTool --Maßnahmen Maßnahmen ermitteln ermitteln (Standard (Standard automatisch) automatisch) 

GSTool - Schutzbedarfsfeststellung 

Gefährdungskatalog 

Maßnahmenkatalog 




GSTool - Maßnahmen

Quelle: BS, IT-Grundschutzhandbuch 


GSTool --Beispiel Beispiel Checkliste Checkliste 


Sicherheitsanalyse


GSTool --Sicherheitscheck Sicherheitscheck 

• Bewertung der einzelnen Maßnahmen jedes einzelnen 

Bausteins: 

– Umsetzung ist entbehrlich 

– Umsetzung hat zu erfolgen 

– Umsetzung hat teilweise zu erfolgen 

– Umsetzung hat nicht zu erfolgen 

Quelle: BSI Web-Kurs, Kapitel 6.3 Vorgehensweise (2/2) 


Sicherheitsanalyse


GSTool --Prozess Prozess Realisierung Realisierung 

• Sichtung der Untersuchungsergebnisse 

• Konsolidierung der Maßnahmen 

• Verantwortlichkeiten festlegen 

• Realisierungskonzept erstellen 

• Aufwandsschätzung durchführen 

• Reihenfolge festlegen 

– Abhängigkeiten 

– Priorität 

• Projekt(e) durchführen 

– Planung 

– Durchführung 

– Abschluss 

• Mitarbeiter sensibilisieren und schulen 

Quelle: BSI Web-Kurs, Kapitel 5.3 Schichtenmodell 


Realisierung


GSTool --Schutzmaßnahmen Schutzmaßnahmen als als Anforderungen 

Anforderungen 

• Sicherheitsanforderungen beeinflussen Neu- und Weiterentwicklung 

von IT-Anwendungen in Funktionalität, Softwarearchitektur, 

Standards und Regeln, usw. 

• Security Patterns (z.B. Yoder, Barcalow) 

– Single Access Point 

– Check Point 

– Role 

– ... 

• Best Practices 

– Role-Based Access Control 

– Event Log Auditing and Reporting 

– ... 

Single Access Point 

Role Check Point 

View 

Session 

Anwendung 

Secuirty Layer 

Patternklassifikation nach Yoder und Barcalow 


User 

Session 

Permission 

Role Operation Object 

Schutzmaßn. 

Roled-Based Access Control (RBAC) von 

DAVID F. FERRAIOLO, RAVI SANDHU, SERBAN GAVRILA

PTA_ITRevision_ITSicherheit_UEberblick.pdf - PTA GmbH

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?