| Inhalt | 8 |
| Vorwort | 16 |
| Die Autoren | 18 |
| Teil I: Praxis der IT-Revision | 20 |
| 1 Grundlagen der IT-Revision | 22 |
| 1.1 Das Wesen der IT-Revision | 22 |
| 1.1.1 Ziele der IT-Revision | 23 |
| 1.1.2 Externe Revision | 26 |
| 1.1.3 Interne Revisionsarten | 27 |
| 1.2 Mit der IT-Revision verwandte Funktionen | 28 |
| 1.3 Die IT-Revision im Unternehmen | 30 |
| 1.3.1 Position im Unternehmen | 30 |
| 1.3.2 Befugnisse | 30 |
| 1.3.3 Mitarbeiter | 32 |
| 1.3.4 Qualitätssicherung und Leistungsmessung | 34 |
| 1.3.5 Sicherheit der Revisionsabteilung | 37 |
| 1.4 Prüfungsaspekte | 38 |
| 1.4.1 Rechtmäßigkeit | 38 |
| 1.4.2 Ordnungsmäßigkeit | 39 |
| 1.4.3 Sicherheit | 40 |
| 1.4.4 Zweckmäßigkeit/Funktionsfähigkeit | 41 |
| 1.4.5 Wirtschaftlichkeit | 42 |
| 1.4.6 Kontrollierbarkeit und Nachvollziehbarkeit | 43 |
| 2 Prüfungsorganisation undVorgehen | 44 |
| 2.1 Prüfungsplanung | 44 |
| 2.1.1 Strategische Planung (3-Jahres-Plan) | 45 |
| 2.1.2 Jahresplanung | 46 |
| 2.1.3 Planung und Vorbereitung einer einzelnen Prüfung | 47 |
| 2.2 Prüfungsauftrag | 49 |
| 2.3 Vorbereitung der Prüfungsdurchführung | 50 |
| 2.3.1 Analyse des Prüfobjekts/Voruntersuchung | 50 |
| 2.3.2 Prüfungsankündigung | 50 |
| 2.3.3 Kick-off-Meeting | 52 |
| 2.4 Prüfungsdurchführung | 52 |
| 2.4.1 Dokumentensichtung | 52 |
| 2.4.2 Fragebogenerhebung | 54 |
| 2.4.3 Interviews | 55 |
| 2.4.4 Verifikation der Aussagen | 59 |
| 2.5 Prüfungsbericht | 62 |
| 2.5.1 Dokumentation des Ist-Zustands im Prüfungsbericht | 62 |
| 2.5.2 Bewertung des Ist-Zustands | 63 |
| 2.5.3 Maßnahmenempfehlungen | 66 |
| 2.5.4 Entwurf und Abstimmung des Prüfungsberichts | 66 |
| 2.6 Prüfungsabschluss | 68 |
| 2.6.1 Schlussbesprechung | 68 |
| 2.6.2 Vollständigkeitserklärung | 69 |
| 2.6.3 Stellungnahme des geprüften Bereichs | 70 |
| 2.6.4 Verfolgung der Umsetzung der Maßnahmen | 70 |
| 3 Zusammenspiel mit externenWirtschaftsprüfern | 72 |
| 3.1 Aufgabe der externen Wirtschaftsprüfer | 72 |
| 3.2 Grundlagen der Prüfung durch einen Wirtschaftsprüfer | 73 |
| 3.3 Vorgehen bei der Prüfung durch externe Wirtschaftsprüfer | 75 |
| 3.4 Ergebnisse der internen Revision verwenden | 76 |
| 4 Relevante Prüfungsgrundlagen | 80 |
| 4.1 Prüfungsgrundlagen für die IT-Revision | 80 |
| 4.2 Gesetze | 81 |
| 4.2.1 Handelsgesetzbuch (HGB) | 82 |
| 4.2.2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) | 85 |
| 4.2.3 Bundesdatenschutzgesetz BDSG | 86 |
| 4.2.4 Telemediengesetz (TMG) | 88 |
| 4.2.5 SOX | 89 |
| 4.3 Richtlinien für die IT-Revision | 90 |
| 4.3.1 Allgemein | 90 |
| 4.3.2 Verlautbarungen des IDW | 91 |
| 4.3.3 GDPdU | 92 |
| 4.3.4 GoBS | 93 |
| 4.4 Branchenvorschriften | 95 |
| 4.4.1 Basel II | 95 |
| 4.4.2 MaRisk (Mindestanforderungen an das Risikomanagement) | 96 |
| 4.4.3 Solvency II | 97 |
| 5 Prüfung von IT-Verfahren | 98 |
| 5.1 Das Wesen eines IT-Verfahrens | 98 |
| 5.2 Fragmentierung von Verfahrensprüfungen | 100 |
| 5.3 Prüfung der IT-Verfahrensplanung | 102 |
| 5.3.1 Anforderungen an das neue IT-Verfahren | 102 |
| 5.3.2 Einsatzplanung | 103 |
| 5.3.3 Einbettung in Geschäftsprozesse | 104 |
| 5.3.4 Einbettung in die IT | 105 |
| 5.4 Prüfung der Verfahrensdokumentation | 106 |
| 5.4.1 Das Wesen der Verfahrensdokumentation | 106 |
| 5.4.2 Beschreibung der sachlogischen Lösung | 108 |
| 5.4.3 Beschreibung der technischen Lösung | 109 |
| 5.4.4 Programmidentität | 112 |
| 5.4.5 Datenintegrität | 113 |
| 5.4.6 Arbeitsanweisungen für den Anwender | 113 |
| 5.4.7 Prüfen der Verfahrensdokumentation | 114 |
| 5.5 Berechtigungskonzept | 116 |
| 5.6 Prüfung der Verfahrensdaten | 118 |
| 5.6.1 Anforderungen an Daten in der Planungsphase | 118 |
| 5.6.2 Dateneingabe, -verarbeitung und -ausgabe | 119 |
| 5.6.3 Datentransfer | 120 |
| 5.6.4 Datensicherung und Archivierung | 120 |
| 5.6.5 Datenmigration | 121 |
| 5.6.6 Datenlöschung und -entsorgung | 122 |
| 6 Besondere Prüfungsgebiete | 124 |
| 6.1 Prüfungsgebiet Bundesdatenschutzgesetz | 124 |
| 6.1.1 BSI Grundschutzstandards und -kataloge | 125 |
| 6.1.2 Vorgehen nach BSI Grundschutz | 126 |
| 6.1.3 Umsetzung der Vorgaben anhand eines Sicherheitsrahmenkonzeptes | 136 |
| 6.1.4 Audit eines Informationssicherheitsmanagementsystems (ISMS) nach BSI Grundschutz | 137 |
| 6.2 Prüfungsgebiet Dokumentenmanagement | 139 |
| 6.2.1 Welche Rahmenbedingungen gibt es? | 139 |
| 6.2.2 Bewertungsbereiche | 141 |
| 6.2.3 Prüfung und Zertifizierung | 141 |
| 7 CobIT-Prüfungen | 144 |
| 7.1 Bestimmung des Prüfungsziels | 144 |
| 7.2 Aufnahme der bestehenden Situation | 146 |
| 7.3 Feststellung der CobIT-Erfüllung | 147 |
| 7.4 Ermittlung des Reifegrades | 147 |
| 7.5 Prüfung des Ziel- und Kontrollsystems | 150 |
| 8 Tools zur Prüfungsunterstützung | 154 |
| 8.1 Wie alles begann | 154 |
| 8.2 Warum überhaupt Tools? | 155 |
| 8.3 Welche Werkzeugarten gibt es? | 155 |
| 8.4 Prüfungsbegleitende Werkzeuge | 156 |
| 8.4.1 Ablauf einer tool-unterstützten Prüfung | 157 |
| 8.5 Prüfende Werkzeuge | 166 |
| Teil II: Grundsätze einer ordnungsgemäßen Informationstechnik (GoIT) | 168 |
| Einleitung | 170 |
| Gliederung der IT in den GoIT | 171 |
| IT-Strukturierungsmodell | 171 |
| Fokus | 173 |
| IT-Lebenszyklusphasen in den GoIT | 174 |
| Prüfungsaspekte in den GoIT | 175 |
| Vorgehen bei der Anwendung der GoIT | 176 |
| A Physikalische Ebene | 178 |
| A.1 Planungsphase | 179 |
| A.1.1 Bei der Planung einer physischen Einrichtung sind Sicherheitsmaßnahmen berücksichtigt worden. | 179 |
| A.1.2 Bei der Planung sind einschlägige Normen berücksichtigt worden. | 180 |
| A.1.3 Schützenswerte Gebäudeteile sind deklariert worden. | 181 |
| A.1.4 Elektroversorgungsleitungen und Datenleitungen sind zukunftsorientiert geplant. | 182 |
| A.1.5 Versorgungsleitungen sind redundant ausgelegt. | 183 |
| A.2 Entwicklungsphase | 183 |
| A.3 Implementierungsphase | 184 |
| A.3.1 Bei der Realisierung sind die Anforderungen der Planungsphase berücksichtigt worden. | 184 |
| A.3.2 Beim Einzug in eine gemietete Einrichtung sind Sicherheitsmaßnahmen geprüft worden. | 185 |
| A.4 Betriebsphase | 186 |
| A.4.1 Der Zutritt zum Gebäude wird kontrolliert. | 186 |
| A.4.2 Es sind Schutzmaßnahmen gegen Bedrohungen von außen und aus der Umgebung getroffen worden. | 187 |
| A.4.3 Öffentliche Zugänge, Anlieferungs- und Ladezonen werden kontrolliert. | 188 |
| A.4.4 Die Arbeit in Sicherheitszonen ist geregelt. | 189 |
| A.4.5 Betriebsmittel sind vor unerlaubtem Zugriff physisch gesichert. | 190 |
| A.4.6 Bei physischen Einrichtungen mit Publikumsverkehr sind die Informationsträger gesondert zu sichern. | 191 |
| A.4.7 Physische Einrichtungen, in denen sich Mitarbeiter aufhalten, sind gegen unbefugten Zutritt gesichert. | 192 |
| A.4.8 Physische Sicherheitsmaßnahmen sind dokumentiert. | 193 |
| A.4.9 Notfallmaßnahmen für physische Einrichtungen sind definiert. | 194 |
| A.4.10 Notfallübungen werden durchgeführt. | 195 |
| A.5 Migration | 195 |
| A.6 Roll-Off | 196 |
| A.6.1 Der Auszug aus physischen Einrichtungen ist geregelt. | 196 |
| A.6.2 Betriebsmittel werden ordnungsgemäß entsorgt. | 197 |
| A.6.3 Bestandsverzeichnisse sind auf dem aktuellen Stand. | 198 |
| B Netzwerkebene | 200 |
| B.1 Planungsphase | 201 |
| B.1.1 Eine geeignete Netzwerksegmentierung ist geplant. | 201 |
| B.1.2 Bei der Planung sind Sicherheitsmaßnahmen zum Schutz des Netzwerkes getroffen worden. | 202 |
| B.1.3 Das physische Netzwerk ist vor unbefugten Zugängen geschützt. | 203 |
| B.1.4 Ein Netzwerkrealisierungsplan ist vorhanden. | 204 |
| B.1.5 Eine geeignete Netzkopplung ist eingeplant. | 205 |
| B.2 Entwicklungsphase | 205 |
| B.3 Implementierungsphase | 206 |
| B.3.1 Das Netzwerk ist auf Engpässe überprüft. | 206 |
| B.3.2 Die Verwaltung der Netzkomponenten ist zentral gesteuert. | 207 |
| B.3.3 Eine vollständige Netzdokumentation ist vorhanden. | 208 |
| B.3.4 Mit Netzwerkbetreibern sind geeignete Verträge abgeschlossen. | 209 |
| B.3.5 Netzkomponenten sind sicher zu konfigurieren. | 210 |
| B.4 Betriebsphase | 211 |
| B.4.1 Der Netzwerkverkehr wird protokolliert. | 211 |
| B.4.2 Die Protokolle werden regelmäßig ausgewertet und auf Unregelmäßigkeiten geprüft. | 212 |
| B.4.3 Ein Monitoring ist eingerichtet. | 213 |
| B.4.4 Das Verhalten bei Zwischenfällen ist definiert. | 214 |
| B.4.5 Netzwerkadministratoren sind sorgfältig ausgewählt worden. | 215 |
| B.4.6 Netzwerkspezifische Sicherheitsmaßnahmen sind dokumentiert. | 216 |
| B.4.7 Notfallmaßnahmen für das Netzwerk sind definiert. | 217 |
| B.4.8 Notfallübungen werden durchgeführt. | 218 |
| B.5 Migrationsphase | 218 |
| B.6 Roll-Off | 219 |
| B.6.1 Inhalte auf aktiven Netzwerkkomponenten sind ordentlichgelöscht worden. | 219 |
| B.6.2 Protokolle werden nach gesetzlichen Vorgaben vernichtet. | 220 |
| C Systemebene | 222 |
| C.1 Planungsphase | 223 |
| C.1.1 Der Schutzbedarf des Systems ist ermittelt. | 223 |
| C.1.2 Die sich aus dem Schutzbedarf ableitenden Sicherheitsanforderungen und -maßnahmen sind definiert. | 224 |
| C.1.3 Leistungs- und Kapazitätsanforderungen an das System sind definiert. | 225 |
| C.1.4 Die Dimensionierung des Systems entspricht der zu erbringenden Leistung. | 226 |
| C.1.5 Die Systeme folgen definierten Unternehmensstandards. | 227 |
| C.2 Entwicklungsphase | 227 |
| C.3 Implementierungsphase | 228 |
| C.3.1 Bei erhöhtem Schutzbedarf wird das System gehärtet. | 228 |
| C.3.2 Die Erfüllung der Leistungs- und Kapazitätsanforderungen wird nachgewiesen. | 229 |
| C.3.3 Die Systemfunktionen und -komponenten sind ausführlich getestet. | 230 |
| C.4 Betriebsphase | 231 |
| C.4.1 Alle Lizenzvereinbarungen werden eingehalten. | 231 |
| C.4.2 Das System ist vor zu langen Ausfällen geschützt. | 232 |
| C.4.3 Die Wiederherstellung des Systems ist in der erforderlichen Zeit möglich. | 233 |
| C.4.4 Das System wird durch Updates auf dem neuesten Stand gehalten. | 234 |
| C.4.5 Das System ist vor unberechtigten Zugriffen geschützt. | 235 |
| C.4.6 Die Erfüllung der Leistungs- und Sicherheitsanforderungen wird regelmäßig analysiert und ggf. angepasst. | 236 |
| C.4.7 Das System ist angemessen dokumentiert. | 237 |
| C.5 Migrationsphase | 238 |
| C.5.1 Die Systemfunktion bleibt zu jedem Zeitpunkt der Migration erhalten. | 238 |
| C.5.2 Für einen möglichen Fehlschlag von Änderungen/Migrationen ist ein Rollback vorhanden. | 239 |
| C.5.3 Systemänderungen werden auf Seiteneffekte hin geprüft. | 240 |
| C.5.4 Es gibt eine Übersicht, welche Systemeigenschaften des Altsystems denen des Neusystems entsprechen. | 241 |
| C.5.5 Änderungen und Migrationen unterliegen einem definierten und kontrollierten Change-Management-Prozess. | 242 |
| C.6 Roll-Off | 243 |
| C.6.1 Alle Systemfunktionen werden nicht mehr benötigt. | 243 |
| C.6.2 Alle Systemlizenzen erlöschen. | 244 |
| C.6.3 Vor dem Roll-Off wird sichergestellt, dass ein zu entsorgendes, physisches System keine vertraulichen Daten mehr enthält. | 245 |
| C.6.4 Das physische IT-System wird de-inventarisiert und die Entsorgung protokolliert. | 246 |
| D Applikationsebene | 248 |
| D.1 Planungsphase | 249 |
| D.1.1 Die Ziele und Aufgaben, welche die Anwendung erfüllen soll, sind definiert worden. | 249 |
| D.1.2 Die Anforderungen sind in einem Lastenheft/Anforderungskatalog konkretisiert worden. | 250 |
| D.1.3 Für die Entwicklung/Implementierung werden geeignete Ressourcen bereitgestellt. | 251 |
| D.1.4 Die Daten, die verarbeitet werden sollen, sind klassifiziert und definiert worden. | 252 |
| D.1.5 Eine geeignete Infrastruktur für den Betrieb wurde ausgewählt. | 253 |
| D.2 Entwicklungsphase | 254 |
| D.2.1 Geeignete Vorgehensweisen zur Entwicklung sind mit den Anforderungen verglichen worden. | 254 |
| D.2.2 Die Entwicklung wird konform zur Vorgehensweise dokumentiert. | 255 |
| D.3 Implementierungsphase | 256 |
| D.3.1 Quellcode ist gegen unbefugte Veränderung gesichert. | 256 |
| D.3.2 Applikationstests werden nach den Vorgaben der Planung umgesetzt. | 257 |
| D.4 Betriebsphase | 258 |
| D.4.1 Anforderungen der Applikation an den Betrieb sind dokumentiert. | 258 |
| D.4.2 Prozesse zur sicheren Applikationsverwaltung sind beschrieben. | 259 |
| D.4.3 Integritäts- und vertraulichkeitssichernde Maßnahmen sindf ür den Betrieb beschrieben und umgesetzt. | 260 |
| D.4.4 Etwaige Verschlüsselungsverfahren sind beschrieben. | 261 |
| D.4.5 Prozesse für die Benutzerverwaltung innerhalb der Anwendung sind dem Betrieb bekannt und dokumentiert. | 262 |
| D.4.6 Eine Testumgebung der Applikation ist vorhanden. | 263 |
| D.5 Migrationsphase | 264 |
| D.5.1 Der im Falle einer Migration durchzuführende Prozess ist definiert und dokumentiert. | 264 |
| D.5.2 Eine Migration erfolgt geplant. | 265 |
| D.6 Roll-Off | 266 |
| D.6.1 Die Benutzerverwaltung ist auch über die End-of-Life-Phase hinaus geregelt. | 266 |
| D.6.2 Betriebsmittel werden ordnungsgemäß entsorgt | 267 |
| D.6.3 Durch die Anwendung mitgenutzte Ressourcen sind durch Befugte freigegeben. | 268 |
| E Inhaltsebene | 270 |
| E.1 Planungsphase | 271 |
| E.1.1 Es werden die und nur die Daten vorgesehen, die für den Geschäftszweck benötigt werden. | 271 |
| E.1.2 Die Gewährleistung der Datenkonsistenz ist in der Planung berücksichtigt. | 272 |
| E.1.3 Die Gewährleistung der Datenqualität ist in der Planung berücksichtigt. | 273 |
| E.1.4 Die Daten werden hinsichtlich der Kritikalität bewertet. | 274 |
| E.2 Entwicklungsphase | 275 |
| E.2.1 Es werden möglichst keine Produktionsdaten in Entwicklungs- oder Testumgebungen verwendet. | 275 |
| E.2.2 Für Tests werden möglichst geeignete Testdaten verwendet. | 276 |
| E.2.3 Testdaten werden möglichst automatisiert generiert. | 277 |
| E.2.4 Die Daten, die durch das entwickelte System entstehen, werden dokumentiert. | 278 |
| E.3 Implementierungsphase | 279 |
| E.3.1 Es ist transparent, welche Daten in welchen Speicherorten geführt und auf welchen Datenträgern archiviert werden | 279 |
| E.3.2 Es wird kontrolliert, dass die Daten gemäß ihrer Spezifikation implementiert werden | 280 |
| E.4 Betriebsphase | 281 |
| E.4.1 Buchführungsrelevante Daten sind nach der Eingabe nicht mehr änderbar | 281 |
| E.4.2 Wichtige Daten werden vor der Speicherung validiert bzw. plausibilisiert | 282 |
| E.4.3 Wichtige, kritische oder sensible Daten sind vor Verlust geschützt | 283 |
| E.4.4 Vertrauliche Daten sind nur den Personen zugänglich, für die sie bestimmt sind | 284 |
| E.4.5 Vertrauliche bzw. personenbezogene Daten dürfen nur Personen zugänglich sein, die eine Verpflichtungserklärung zu Vertraulichkeit und Datenschutz abgegeben haben. | 285 |
| E.4.6 Der Zugriff auf vertrauliche/sensible Daten wird protokolliert | 286 |
| E.5 Migrationsphase | 287 |
| E.5.1 Die Verfügbarkeit und Vertraulichkeit der Daten ist auch bei Änderungen und Migrationen zu jedem Zeitpunkt sichergestellt | 287 |
| E.5.2 Die Datensemantik wird von einer Migration nicht ungewollt verändert | 288 |
| E.5.3 Datenänderungen werden in einem geordneten Prozess durchgeführt | 289 |
| E.5.4 Datenänderungen werden protokolliert | 290 |
| E.6 Roll-Off | 291 |
| E.6.1 Vorgeschriebene Aufbewahrungsfristen werden gewährleistet | 291 |
| E.6.2 Es ist definiert, wann und durch wen Daten gelöscht werden dürfen | 292 |
| E.6.3 Sensible Daten werden sicher, zuverlässig, dauerhaft und nachweisbar gelöscht | 293 |
| E.6.4 Die Vernichtung von Datenträgern mit sensiblen Daten wird geprüft und protokolliert | 294 |
| F Personelle Ebene | 296 |
| F.1 Planungsphase | 297 |
| F.1.1 Aufgaben und Verantwortung von Angestellten sind definiert. | 297 |
| F.1.2 Stellenbeschreibungen werden verwendet | 298 |
| F.1.3 Anforderungen an besondere Stellen sind definiert. | 299 |
| F.1.4 Eine Überprüfung der Angestellten fand im Einklang mit den Gesetzen statt. | 300 |
| F.2 Entwicklungsphase | 300 |
| F.3 Implementierungsphase | 301 |
| F.3.1 Sicherheitsrichtlinien für Angestellte sind durch das Management in Kraft gesetzt worden. | 301 |
| F.3.2 Angestellte sind Ihren Aufgaben entsprechend sensibilisiert. | 302 |
| F.3.3 Sensible Posten sind mit vertrauenswürdigen Angestellten besetzt. | 303 |
| F.3.4 Angestellte haben den vertraglichen Vereinbarungen ihrer Posten zugestimmt. | 304 |
| F.4 Betriebsphase | 305 |
| F.4.1 Angestellte werden regelmäßig über die geltenden Regelungen informiert. | 305 |
| F.4.2 Sanktionen sind definiert. | 306 |
| F.4.3 Mitarbeiter sind ausreichend geschult. | 307 |
| F.5 Roll-Off | 308 |
| F.5.1 Die Verantwortlichkeiten für das Ausscheiden der Angestellten sind geregelt. | 308 |
| F.5.2 Alle organisationseigenen Wertgegenstände sind zurückgenommen worden. | 309 |
| Literaturhinweise | 310 |
| Register | 312 |
