1. Blockchain
Blockchain ist eine Art Datenbank, die als Distributed Ledger Technologie (DLT) ohne zentralen Administrator auf Konsensgrundlage arbeitet. Sie ermöglicht dezentralen Gruppen von jedem Punkt der Erde aus sicher, zuverlässig und nachprüfbar zusammenzuarbeiten. Da Systeme auf Basis von Blockchain sichere, dezentrale Arbeitsprozesse ermöglichen, erlauben sie auch die Ausführung von Aufgaben durch Teams, deren Mitglieder auf verschiedene Standorte verteilt sind. Sie arbeiten räumlich getrennt viel loser zusammen, aber mit der gleichen Sicherheit, als täten sie es Seite an Seite.
Da Blockchain die Grenzen von Unternehmen verwischt und eine gemeinsame Nutzung von Daten und Prozessen außerhalb dieser Grenzen erfordert, sollten Unternehmen genau verstehen, wie die Technologie implementiert wird, um geeignete Risikomanagementstrategien zu etablieren.
Ein Risiko in Zusammenhang mit Blockchain ist die Nutzung privater, digitaler Kennungen zur Identitätsprüfung. Wäre diese Kennung unsicher, könnten externe Akteure Zugriff auf die Blockchain erhalten. Ein weiteres Risiko sind Smart Contracts, also intelligente, digitale Verträge, die einen selbst ausführenden Code enthalten, der bestimmte Regeln ausführt, wenn vordefinierte Bedingungen erfüllt sind. Je komplexer diese intelligenten Verträge werden, desto anfälliger sind sie für Fehler, was wiederum Akteuren von außen die Möglichkeit bieten könnte, das System zu gefährden. Unternehmen sollten Risiko- und Kontrollstrategien umsetzen, um die Integrität dieser intelligenten Verträge zu fördern.
Beispiele für Audits könnten Folgendes umfassen:
- Blockchain Implementation Governance: Bewertung der Strategie des Unternehmens, mit der die Implementierung der Blockchain-Nutzung gesteuert wird.
- Sicherheits- und Risikobewertung der Blockchain: Beurteilung von Kontrollen und Strategien des Unternehmens, die die Risiken rund um Blockchain bewältigen und entschärfen.
2. Cloud Computing
Cloud Computing ermöglicht Unternehmen, komplexe interne IT-Strukturen zu verkleinern. Das erlaubt ihnen, sich weniger auf betriebliche Abläufe und mehr auf Strategien zu konzentrieren sowie schnell auf veränderte Marktbedingungen reagieren zu können. Cloud Computing ist ein Modell für den komfortablen, bedarfsgerechten Netzwerkzugriff auf einen gemeinsamen Pool von konfigurierbaren Computerressourcen (z. B. Netzwerke, Server, Speicher, Anwendungen und Dienste). Dieser Zugriff kann mit minimalem Verwaltungsaufwand oder Interaktion mit Dienstleistern schnell bereitgestellt und freigegeben werden. Cloud Computing entwickelt sich rasant und bietet Unternehmen vielfältige Möglichkeiten. Wie andere Technologien bringt auch die Cloud ihre ganz eigenen Risiken und Herausforderungen mit sich, die oft übersehen oder nicht vollständig verstanden werden.
Beispiele für Audits könnten Folgendes umfassen:
- Cloud-Strategie und -Governance: Es sollte geprüft werden, ob die Cloud-Strategie des Unternehmens auf die allgemeinen Geschäftsziele ausgerichtet ist.
- Cloud-Sicherheit und Datenschutz: Hier sollten die Verfahren und Praktiken des Cloud-Anbieters zur Informationssicherheit untersucht werden.
- Leistungen des Cloud-Anbieters: Bewertet werden sollte, ob der Cloud-Anbieter die im Vertrag vereinbarten Service-Level-Agreements (SLA) und Notfallpläne bei Ausfällen einhalten oder gar übertreffen kann. Außerdem sollten die Haftungsvereinbarungen, erweiterter Support, die Einbeziehung weiterer Bedingungen in den Serviceverträgen sowie Verfügbarkeit, Vorfall- und Kapazitätsmanagement und Skalierbarkeit evaluiert werden.
3. Cybersecurity
Cyber-Bedrohungen nehmen zu und entwickeln sich laufend weiter – anscheinend ohne Regeln oder Einschränkungen, wer unvorhersehbar Opfer eines Angriffs werden kann. Nutzer müssen nicht mehr physisch in ein Unternehmen eindringen, um ihm Schaden zuzufügen. Sie verschaffen sich Zugriff durch Malware- und Phishing-Attacken, über Verbindungen mit Dritten, über neue Technologien und andere neue und entstehende Wege.
Unternehmen sollten sich auf IT-Sicherheit und Informationssicherheit konzentrieren, wenn sie Cyber-Bedrohungen vermeiden wollen. Hierfür können sie ein Cyber-Auditprogramm entwickeln, das folgende Bereiche beinhaltet:
- Sicherheitsbewusstsein: Prozesse und Kontrollen bei Schulungen von Nutzern sollten daraufhin geprüft werden, ob sie deren Aufmerksamkeit und Sensibilität erhöhen. Damit die Nutzer Versuche erkennen, bei denen Unbefugte physischen oder logischen Zugriff auf Informationen und Systeme des Unternehmens erlangen wollen.
- Asset-Management: Dies beinhaltet die Bewertung der Prozesse und Kontrollen, die der Aufbewahrung eines umfassenden Bestands an Technologie-Assets dienen, mit denen sich das Unternehmensnetzwerk verbinden lässt.
- Lieferanten-Risikomanagement: Hierbei sollten Prozesse und Kontrollen gegenüber externen Service- und Lieferkettenanbietern bewertet werden.
- Reaktion auf Vorfälle: Auch die Prozesse und Kontrollen der Reaktionsverfahren, die das Management bei auffälligen Aktivitäten einsetzt, sollten geprüft werden.
4. Mobile Computing
Das Mobilgerät von heute sitzt an der Schnittstelle zwischen persönlicher Nutzung und hochsensiblen Geschäftsinformationen. Wie schon ein altes Sprichwort besagt, ist eine Kette nur so stark wie ihr schwächstes Glied – Geschäftsdaten auf mobilen Geräten bilden da keine Ausnahme.
Dank dieser Technologie können Mitarbeiter jederzeit und überall auf Unternehmensinformationen zugreifen und diese verbreiten, was die Effizienz und Produktivität der Mitarbeiter erhöht. Doch genau diese Fähigkeit zu Zugriff und Verbreitung birgt auch signifikante Risiken. Beispielsweise setzen Geschäftsleute durch die zunehmende Nutzung öffentlicher WLAN-Spots für fremde Personen sensible Daten frei, wenn diese nicht ordnungsgemäß verschlüsselt sind.
Wie bei jedem technologischen Fortschritt müssen Unternehmen auch hier Risiken zunächst erkennen und angehen und dann deren Umfeld überwachen. So lassen sich die Auswirkungen der Mobilität auf das Risikoprofil eines Unternehmens besser verstehen.
Mögliche Audits könnten Folgendes umfassen:
- Gerätekonfiguration: Risiken in den Einstellungen und Schwachstellen von Mobilgeräten sollten identifiziert werden.
- Black Box für mobile Anwendungen: Front-End- und Black-Box-Testtechniken können die in mobilen Anwendungen identifizierten Schwachstellen ausräumen.
- Gray Box-Tests für mobile Anwendungen: Mit Hilfe von Gray Box-Tests werden risikoreiche Bereiche des Codes priorisiert, die Codeabdeckung maximiert und die Hauptursache der erkannten Schwachstellen identifiziert.