Schwächen der internen Kontrollen

Veröffentlicht: 2019-07-30

Kontrollschwächen ergeben sich aus der Unfähigkeit einer Organisation, ihre internen Kontrollen effektiv umzusetzen. Böswillige Personen können eine solche Situation ausnutzen, um selbst die scheinbar wasserdichtesten Sicherheitsmaßnahmen zu umgehen.

Die zunehmende Implementierung interner Kontrollen, das Aufkommen neuer Technologien und die unglaubliche Geschwindigkeit, mit der sich Malware entwickelt, machen eine genauere Überwachung der Datensicherheitskontrolle erforderlich. Auf diese Weise wird es für Organisationen einfacher, die Wirksamkeit der von ihnen eingerichteten internen Kontrollen zu bewerten. In ähnlicher Weise wird es dazu beitragen, Schwachstellen in diesen Kontrollen aufzudecken.

Schwächen der internen Kontrolle: Was sind sie?

Bevor Sie überhaupt anfangen, darüber nachzudenken, was interne Kontrollschwächen sind, müssen Sie sich zuerst fragen, was eine Datensicherheitskontrolle ist. Grundsätzlich bedeutet die Kontrolle der Datensicherheit, sensible Daten zu schützen, indem Maßnahmen gegen unbefugten Zugriff ergriffen werden. Solche Maßnahmen leiten Risikomanagementprogramme, indem sie dazu beitragen, den typischen Sicherheitsrisiken, denen Computersysteme, Daten, Software und Netzwerke ausgesetzt sind, entgegenzuwirken, sie zu erkennen, zu minimieren oder zu vermeiden.

Diese Maßnahmen können technische Kontrollen, Architekturkontrollen, Verwaltungskontrollen und Betriebskontrollen umfassen. Außerdem können Kontrollen so optimiert werden, dass sie detektivischer, korrigierender, kompensatorischer oder präventiver Natur sind. Datensicherheitskontrollprozesse schützen Unternehmen, indem sie glaubwürdige Finanzberichte bereitstellen, wie sie von verschiedenen Aufsichtsbehörden und Industriestandards vorgeschrieben werden, die sich auf Kapital-, Investitions- und Kreditrisiken beziehen.

Beispielsweise verlangt Abschnitt 404 des Sarbanes-Oxley Act von 2002 (SOX) einen jährlichen Nachweis, dass Unternehmen ihre Jahresabschlüsse und Verfahren wahrheitsgemäß melden, um eine wirksame Betrugsbekämpfung zu gewährleisten. Ebenso müssen Unternehmen nachweisen, dass sie alle Unsicherheiten im Zusammenhang mit finanziellen Aspekten wie Aktien angesprochen haben.

Was sind technische Kontrollschwächen?

Die technische Sicherheitskontrolle konzentriert sich sowohl auf Hardware als auch auf Software. Schwachstellen im technischen Kontrollrahmen einer Organisation entstehen typischerweise durch Änderungen in der Technologie oder Konfigurations- und Wartungsfehler. Der „Heartbleed“-Schwachstellenbericht von 2014 hob die allgemeinen technischen Kontrollschwächen in SSL hervor, die Daten böswilligen Akteuren zugänglich machen.

Schwächen der Betriebssteuerung

Operational Security (OPSEC) beinhaltet die Überwachung von Operationen im Hinblick auf die Implementierung eines Risikomanagementprogramms. Typischerweise resultieren Schwächen der operativen Kontrolle aus menschlichem Versagen. Wenn Personen, die mit der Durchführung von Operationen beauftragt sind, sich nicht an etablierte Richtlinien und Standards halten, werden die operativen Kontrollen einer Organisation geschwächt.

Die Reaktion auf Vorfälle ist eine zeitkritische Betriebskontrolle. Die maximale Wirksamkeit erreichen Sie nur, wenn Sie für schnelles Eingreifen sorgen. Wenn die Zeitspanne zwischen einem Vorfall und der notwendigen Erfindung zunimmt, verringert sich die Wirksamkeit der Reaktion auf Vorfälle gleichermaßen.

Was ist eine administrative Kontrollschwäche?

Administrative Sicherheitskontrollen, die auch als Verfahrenskontrollen bezeichnet werden, umfassen das konsequente Versäumnis, den täglichen Betrieb an etablierte Vorschriften anzupassen. Eine geplante Backup-Routine ist eine wichtige Verfahrenskontrolle, die sich auf die Notfallwiederherstellung bezieht. Wenn es nicht gelingt, die Funktionsfähigkeit und Integrität von Backups festzustellen, setzt sich ein Unternehmen dem ständig drohenden Risiko einer Medienverschlechterung aus. In einer solchen Situation wird es für die Organisation schwierig sein, sich vollständig von den katastrophalen Folgen menschlicher Fehler zu erholen.

Schwächen der Architektursteuerung

Im Allgemeinen beinhaltet die Sicherheitsarchitektur die Schaffung eines integrierten Frameworks, das Risiken hervorhebt und adressiert, die in der integrierten IT-Umgebung eines Unternehmens auftreten. Schwachstellen in der Dokumentation oder im Design wirken sich nachteilig auf die Grundlage der Sicherheitsstruktur der Organisation aus.

Unvorhergesehener Hardwareaustausch ist häufiger in Organisationen, die anfälliger für architektonische Kontrollschwächen sind. Dies entsteht durch die Umgehung des regulären Change-Management-Prozesses. Diese Ersetzungen sind oft dringend, was ein Fenster für verpasste Patches, Konfigurationsunregelmäßigkeiten und andere Formen von Implementierungsversehen schafft.

Wie das Risikomanagement interne Kontrollen unterstützt

Die inhärenten Werte von GRC konzentrieren sich auf die Klärung von Risiken, damit eine Organisation Standards und Vorschriften einhalten und gleichzeitig konsequent überwachen kann, ob alle Prozesse funktionieren. Effizientes Risikomanagement im Unternehmen erfordert die Schaffung einer Struktur, die Verfahren unterstützt, die die Ressourcen und Vermögenswerte einer Organisation schützen.

Anders als viele denken, ist Risikomanagement kein einmaliges Unterfangen. Implementierte Kontrollen müssen sich mit der Entwicklung der Bedrohungslandschaft weiterentwickeln. Böswillige Akteure ändern häufig ihre Taktik. Dies unterstreicht die Bedeutung der Aufrechterhaltung der maximalen Effektivität, da dies die Neubewertung von Risiken während des gesamten Lebenszyklus des Informationssystems einer Organisation erleichtert.

Die Bedeutung der konsequenten Überwachung interner Kontrollen

Die kontinuierliche Überwachung interner Kontrollen bietet Unternehmen Echtzeit-Einblicke in Schwachstellen und Bedrohungen, denen sie ausgesetzt sind. Obwohl böswillige Akteure Malware und Ransomware kontinuierlich weiterentwickeln, um eine Hingabe zu vermeiden, hilft eine konsequente Überwachung dem Managementteam, angemessen auf Bedrohungen zu reagieren, die sich negativ auf die Geschäfts- und Risikobewertungsprozesse eines Unternehmens auswirken können.

Die kontinuierliche Überwachung interner Kontrollen erfordert, dass Sie interne Audits und laufende Aktivitäten nutzen. Dadurch wird sichergestellt, dass Ihre Organisation alle ihre Verfahren in ihre betriebliche Einrichtung einbettet. Diese detektivischen Maßnahmen können beispielsweise internen Analysten helfen, die betriebliche Effektivität zu bewerten.

Die Automatisierung kann einen großen Beitrag zur Reduzierung der Belastung durch kontinuierliche Überwachung leisten. Mit der Skalierung einer Organisation wächst auch die Anzahl der internen Kontrollen, die überwacht werden müssen. Der Einsatz von Technologie wird zweifellos die Überschneidung zwischen verschiedenen Steuerungstypen erhöhen. Beispielsweise hat die Cloud-Migration den unbefugten Zugriff sowohl zu einem IT- als auch zu einem Betriebsrisiko gemacht.

Haben Sie irgendwelche Gedanken dazu? Lassen Sie es uns unten in den Kommentaren wissen oder übertragen Sie die Diskussion auf unseren Twitter oder Facebook.

Empfehlungen der Redaktion:

  • Geschäftsrisiken immer einen Schritt voraus
  • Risikomanagement für die Versicherungswirtschaft
  • Cybersicherheit & Hochschulbildung
  • Sicherung der Cloud