News

Umfassende Berichterstattung – auch über die IT

Wer den Begriff "Revision" hört, denkt vermutlich zuerst an Buchhaltung. Eine korrekte Bilanz allein reicht jedoch oft nicht; auch andere Prozesse – z.B. rund um die IT – können für ein Unternehmen überlebenswichtig sein und deshalb in die Revision bzw. betriebswirtschaftliche Berichterstattung mit eingeschlossen werden. Hier bietet sich ein Bericht nach ISAE 3000 an.

Die Abkürzung "ISAE 3000" steht für "International Standard on Assurance Engagements 3000", ein von der International Federation of Accountants (IFAC) veröffentlichter internationaler Prüfungsstandard. Der Standard schafft einen einheitlichen Rahmen für "betriebswirtschaftliche Prüfungen, die keine Prüfungen oder prüferische Durchsichten vergangenheitsorientierter Finanzinformationen sind". Dabei prüft ein unabhängiger Wirtschaftsprüfer das interne Kontrollsystem eines Unternehmens bzw. bestimmten Bereichs und erstellt einen entsprechenden Bericht.

Während sich ISO 27001 spezifisch mit Informationssicherheit befasst und über 100 damit zusammenhängende Controls vorgibt, macht ISAE 3000 grundsätzlich keine Vorgaben in Bezug auf die Controls bzw. das interne Kontrollsystem. Was tatsächlich Gegenstand einer Prüfung nach ISAE 3000 war, wird im resultierenden Prüfungsbericht aber detailliert ausgewiesen – dies erlaubt dem Leser somit auch eine Beurteilung, ob die geprüften Controls den eigenen Anforderungen genügen. Im Vergleich dazu bescheinigt ein Zertifikat nach ISO 27001 zwar die Einhaltung der Norm in ihrer ganzen Breite, geht jedoch nicht weiter auf die Details der Implementierung ein.

Vorgehen bei einem Audit nach ISAE 3000

Gedanklicher Ausgangspunkt ist ein Worst-Case-Szenario, z.B. "Ein Einbrecher veröffentlicht geheime Daten". Bis hin zum guten Gefühl, dass dieser Worst Case aller Wahrscheinlichkeit nach nicht eintreten kann, sind dann mehrere Schritte zu gehen. Ist das Risiko erst identifiziert, wird zuerst ein Ziel zu dessen Verhinderung formuliert ("Unbefugte haben keinen Zugriff zu geheimen Daten"). Zum Erreichen des Ziels wiederum werden spezifische "Controls" definiert ("Der Serverraum ist immer abgeschlossen", "Die Daten werden verschlüsselt").

Bei einem Audit nach ISAE 3000 beurteilt ein Auditor drei Stufen: Scheinen die Controls angemessen, so dass das Ziel damit erreicht wird? Waren die Controls tatsächlich implementiert? Waren sie auch wirksam?

Indem der Auditor diese Fragen für alle wichtigen Prozesse und Ziele eines Unternehmens beantwortet, kann er zuhanden der Unternehmensspitze eine Aussage treffen, ob die Ziele erreicht wurden. Natürlich ist auch er nicht allwissend; mit einer rationalen Beurteilung und einer Prüfung von genügend Stichproben wird dennoch eine ausreichend hohe Sicherheit erreicht, dass das Urteil tatsächlich der (im Endeffekt immer unbekannten) Wirklichkeit entspricht.

Berichterstattung über Unternehmensgrenzen hinweg

Lücken bei der Prüfung des eigenen Unternehmens entstehen zwangsläufig dort, wo ein Prozess ausgelagert wurde, z.B. wenn Cloud-Services von cloudscale.ch genutzt werden, statt eigene Server und Rechenzentren zu betreiben. In diesem Fall liegt es nahe, dass sich der Outsourcing-Partner separat auditieren lässt. Mit dessen Prüfungsbericht kann der Auditor dann die Lücken in seiner eigenen Prüfung schliessen und erhält so wieder ein Gesamtbild über die Prozesse des Unternehmens.

Bei cloudscale.ch steht für unsere Kunden ab sofort ein solcher Prüfungsbericht nach dem Standard ISAE 3000 bereit. Gegen einen Beitrag an die Kosten für die Erstellung des Berichts stellen wir auf Anfrage gerne eine Kopie zur Verfügung. Aufgrund der speziellen Natur solcher Berichte ist dies vor allem für jene Kunden relevant, die selbst nach einem Standard wie ISAE 3000 auditiert werden und die erwähnten Lücken einer rein internen Betrachtung schliessen möchten oder müssen.

Keine Überraschungen beim Inhalt

Während ein Unternehmen für seine internen Prozesse die Ziele und Controls selbst definieren kann, muss ein Dienstleister wie cloudscale.ch hier eine Auswahl treffen. Diese Auswahl soll die typischen Bedürfnisse von vielen Kunden abdecken, kann aber nicht auf jeden Einzelfall eingehen. Während das Format eines ISAE-3000-Berichts für uns bei cloudscale.ch völlig neu war, fiel die Wahl bei Zielen und Controls entsprechend auf Altbekanntes: Seit jeher orientieren wir uns an den Bedürfnissen unserer Kunden und treffen diejenigen Massnahmen, von denen wir überzeugt sind, dass sie für unsere Kunden relevant sind.

Dazu gehört so Selbstverständliches wie Zutrittsbeschränkungen zu unseren Serversystemen oder die kontinuierliche Schulung unserer Mitarbeiter. Dazu gehören aber auch Features wie die Datenverschlüsselung "at rest" oder die Möglichkeit von voneinander getrennten privaten Netzen, über die wir bereits berichtet haben. Neu ist die unabhängige, externe Prüfung und die formelle Berichterstattung; bewährt sind die konkreten Massnahmen, mit denen wir zur Sicherheit und Zuverlässigkeit Ihrer Cloud-Ressourcen beitragen.

Unsere Kunden kennen und schätzen den technischen Fokus, den wir bei cloudscale.ch schon immer hatten und uns bis heute erhalten konnten. Die erstmalige Erarbeitung eines eigenen ISAE-3000-Berichts war für uns eine ganz neue Erfahrung. Nachdem wir uns darauf eingelassen haben, ist es ein doppelt gutes Gefühl: Das kontinuierlich aufgebaute, technische Fundament hält auch einem Audit aus betriebswirtschaftlicher Sicht stand. Und – noch viel wichtiger – wir können unsere Kunden bei Bedarf mit dem Bericht eines unabhängigen Prüfers bei der Einhaltung ihrer eigenen Vorgaben unterstützen.

Ziel erreicht!
Ihr cloudscale.ch-Team