Kontrolle aller IT-relevanten Bereiche

Was ist Audit?

| Autor / Redakteur: Otto Geißler / Ulrike Ostler

Bei einem IT-Audit werden IT-gestützte Geschäftsprozesse hinsichtlich ihrer Effizienz und Qualität, möglicher Risiken sowie der Einhaltung interner und externer Vorgaben analysiert und bewertet.
Bei einem IT-Audit werden IT-gestützte Geschäftsprozesse hinsichtlich ihrer Effizienz und Qualität, möglicher Risiken sowie der Einhaltung interner und externer Vorgaben analysiert und bewertet. (Bild: © djama - stock.adob.com)

Unter dem Fachbegriff Audit wird ein Prozess der Überprüfung oder Inspektion verstanden. Ein IT-Auditing oder Informationssysteme-Auditing bezeichnet die Überprüfung der Verwaltung und des Managements von Informations- und Kommunikationssystemen. Datacenter-Audits gibt es für alle Gewerke und Prozesse, für Sicherheit im Betrieb, beim Brandschutz, für die Verfügbarkeit, für Notfallszenarien, .... und, und und .... und.

Ein IT-Audit überprüft alle IT-relevanten Bereiche und ermittelt einen Ist-Zustand. Dieser soll aufzeigen, welche Aktivitäten zur Verbesserung erforderlich sind. Alle erkannten Maßnahmen sind dann möglichst schnell umzusetzen. Im Anschluss dazu ist wieder eine Kontrolle nötig, um die Wirksamkeit der erfolgten Maßnahmen zu prüfen.

Audits organisieren

Experten empfehlen kontinuierliche Kontrollen der IT-gestützten Geschäftsprozesse, um regelmäßig Schwachstellen zu erkennen und Verbesserungen zu entwickeln. Wobei ein interner Audit mit geschulten Mitarbeitern den Vorteil hat, dass diese das Unternehmen gut kennen. Der Nachteil ist dabei, dass sie nicht immer objektiv sein können.

Für die Vermeidung von Interessenskonflikten, sollten auf jeden Fall immer Mitarbeiter aus anderen Abteilungen für einen Audit infrage kommen. Erfolgt die Überprüfung durch eine externe Firma, so können externe Prüfer naturgemäß objektiver arbeiten und die Fehler der Angestellten leichter aufdecken.

Wenn Bereiche der IT bei Dienstleistern ausgelagert wurden, dann wäre es sinnvoll, auch mit dem Partner regelmäßige Audits vertraglich zu vereinbaren. Sind im Unternehmen keine IT-Fachleute verfügbar oder diese nicht ohne Interessenskonflikte für Audits einsetzbar, so ist es angebracht, einen IT-Auditor anzustellen oder freiberufliche IT-Auditoren zu beschäftigen.

Betriebssicherheit prüfen und bewerten

Der Betrieb eines Datacenter ist ein kontinuierlicher Prozess aus Betrieb, Prüfung, Anpassung und Optimierung. Wer nicht weiß, ob sein Rechenzentrum betriebs- und ausfallsicher ist, sollte zum Beispiel den Empfehlungen des TÜV Rheinland (nimmt auch selbst Audits vor) und der Durchführung eines so genannten „Elchtests“ folgen.

Auf diese Weise kann das Unternehmen bereits frühzeitig Fehler im Data Center erkennen, die sich später massiv auf den regulären Betrieb auswirken könnten. Zudem erhält das Personal ein effektives Training on the Job und kann seine Anlagenkenntnisse deutlich erweitern.

Dafür steht ein Kriterienkatalog zur Verfügung, der insbesondere auf der „Rechenzentrums-Norm“ DIN EN 50600 sowie auf den eigenen Best-Practice-Erfahrungen des TÜV Rheinland und wichtigsten internationalen Richtlinien bzw. Standards basiert. Bei der DIN EN 50600 handelt es sich um eine freiwillige Norm, die den Betreiber von Rechenzentren nicht zu einer Zertifizierung verpflichtet. Allerdings lassen sich damit gewisse Haftungsrisiken ausschließen und Geschäftspartnern Sicherheit und Normenkonformität signalisieren.

Kriterienkatalog für Sicherheit und Verfügbarkeit

Dieser Katalog umfasst eine Betrachtung zur physikalischen Infrastruktur, mit der sich die Sicherheit und Verfügbarkeit eines Data Centers in fünf verschiedenen Kategorien analysieren lassen: allgemeine Grundlagen, Kundendaten, Verfügbarkeitsanforderungen, Gefährdungsanalyse (Risk Management) und Sicherheitskonzept.

Im Bereich Baukonstruktion sind unter anderem Umfeld und Standort, Gebäudekonstruktion sowie Ausbau und Layout und das IT-Flächendesign zu berücksichtigen. Wogegen Themen wie Brandmelde- und Löschanlage, Zutrittssicherheit, Gebäudeleittechnik, unterbrechungsfreie Stromversorgung, Klimaversorgung sowie IT- und Netzverkabelung und Doppelboden im Bereich Technik eine große Rolle spielen.

Simulation von Störungen und Umschaltszenarien

Zu dem Elchtests für Rechenzentren gehören so genannte Integrationstests, in denen die Technik von Rechenzentren in Testabläufen auf Herz und Nieren gecheckt werden. Diese Tests sind erforderlich, damit der Betreiber eines Datacenter sicher sein, dass es auch bei Störumschaltungen einwandfrei funktioniert.

Solche Integrationstests sind zum Beispiel eine zentrale Voraussetzung für die Abnahme von neu errichteten Rechenzentren. Dafür werden verschiedene Störungen und Umschaltszenarien und deren betroffenen Komponenten aus Elektrotechnik, Kälteversorgung und Sicherheitstechnik betrachtet.

Beispielsweise wird beim „Black Building“-Test die Hauptstromzufuhr unterbrochen. Dabei wird getestet, ob der Notstrom automatisch anläuft und das System wieder in den Normalbetrieb zurückwechselt, sobald der Hauptstrom wieder verfügbar ist. Das gleiche gilt für die Klimatechnik. Fällt eine von beiden redundanten Klima-Anlagen aus, muss die andere die vorgegebene Temperatur allein halten können. Schafft sie das nicht, gilt ebenfalls dringend Handlungsbedarf.

Weitere Pitfalls bei Audits

Nicht wenige Unternehmen haben damit zu kämpfen, alle IT-Assets zu identifizieren. Speziell Firmen, die älteres Equipment im Einsatz halten, stellt dies vor eine große Herausforderung. In anderen Fällen liegen wiederum nur unzureichende Informationen über das IT-Inventar vor.

Wer seine Assets nicht kennt, wird sehr wahrscheinlich bei einem IT-Audit Probleme bekommen. Denn wie soll ein Unternehmen, das sich in seiner eigenen Umgebung nicht auskennt, die Kontrolle über diese ausüben und seine Arbeit ordentlich dokumentieren? Auf dem Markt sind viele Produkte im Angebot, die beim Hardware- und Software-Asset-Management helfen können.

Es ist nicht immer ganz einfach, Server, Tools und andere Technologien so zu konfigurieren, dass sowohl alle Deadlines gehalten als auch Compliance-Anforderungen erfüllt werden können. Wer dazu keine Automatisierungs-Tools nutzen möchte, wird bei einem Audit womöglich auch Probleme bekommen.

Nun tritt das Worst-Case-Szenario ein und das Unternehmen fällt beim Audit durch. Die beste Antwort darauf ist dann immer eine schnelle Reaktion.

Wenn IT-Entscheider hingegen mit Maßnahmen zögern, ist es nahezu unwahrscheinlich, dass ein IT-Auditor über die festgestellten Probleme Stillschweigen bewahrt. Zudem wird die Geschäftsführung von den Ergebnissen eines IT-Audits in der Regel unterrichtet. Langwierige und verspätete Reaktionsprozesse werden meist auch auf höherer Ebene registriert.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46217442 / Definitionen)