Eine nicht-repräsentative Stichprobe verschiedener Online-Medien zeigt auf, dass Themen wie Cybersecurity, Crypto-Troyaner oder IoT zahlreiche Stories prägen. Längere Fachartikel beschäftigen sich zudem mit der Sicherheit von Cloud-Plattformen, KI und Zero Trust-Prinzipien als Basis für digitale Immunsysteme (Gartner Group: IT-Trend Nr. 1 für das Jahr 2022). Und vor allem im europäischen Umfeld stark gewachsen ist die Anzahl der Beiträge über den Umgang mit Personendaten einerseits und Kundendaten andererseits.
Diese Entwicklung hat auch in (inter)nationalen Standards ihren Niederschlag gefunden: Zum Thema Cyber Security beispielsweise gibt es neben dem wohlbekannten «NIST Cyber Security Framework» alleine in der ISO27000-Familie drei weitere Standards. Dazu kommen entsprechende Normen z.B. in der Automobilindustrie ISO 21434 oder von staatlichen Organisationen – noch schwieriger ist es natürlich in der Welt der Fachliteratur. Entsprechend breit ist auch das Angebot an diesbezüglichen Fachkursen: Fast an jeder Hausecke kann man heute Kurse über Cybersecurity, Cryptographie usw. besuchen – wobei notabene wohl die meisten davon heute ausschliesslich als Online-Kurse angeboten werden.
Für viele dieser Themen finden wir auch Werkzeuge unterschiedlichster Herkunft, welche für (eher) technische Prüfungen eingesetzt werden können. Und einschlägige Portale sind voll von entsprechenden Anzeigen für Security Penetration Tester, Cyber Security- und andere Spezialisten, welche mit solchen Werkzeugen die IT-Umgebungen untersuchen können.
Was aber fehlt, sind Mitarbeitende, welche diese Themen umfassend prüfen und beurteilen können – Personen, welche sich mit den hochspezialisierten Fachkräften austauschen, diese zu geeigneten Prüfungshandlungen anhalten und die entsprechenden Untersuchungsergebnisse auch in einem Gesamtkontext beurteilen können. Gesucht sind also als Bindeglied zu den IT-Spezialisten IT-Prüferinnen und Prüfer, die geprägt sind von Neugierde wie Tatendrang und ausgerüstet sind mit dem entsprechenden Fachwissen: Sie sollten in der Lage sind, derartige Spezial-Prüfungen im Rahmen einer übergeordneten, risikoorientierten (Mehr-)Jahresplanung im geeigneten Umfang und an den geeigneten Orten einzusetzen, zu überwachen und die Ergebnisse entsprechend auch unternehmensübergreifend zu verstehen und beurteilen.
Der vorhergehende Artikel über das neue «Information Technology Audit Universe» der Bank Julius Bär zeigt sehr gut auf, wie Technologien und entsprechende Risiken (einmal mehr Cyber Security, aber auch «Internet Facing Applications», «Data & Storage Management», «Technology Transformation») das gesamte Audit-Universum bevölkern. Wir benötigen also zusätzlich zu technologie-afinen Sicherheitsspezialisten viel mehr IT-afine Prüfungsleitungen und im Speziellen auch IT-Prüferinnen und Prüfer, welche die einschlägigen Spezialisten von IoT, Cyber Security bis zu Cloud Security verstehen und aus Optik der prüferischen und damit risikoorientierten Gesamtsicht optimal anleiten können.
Der Markt für entsprechende IT-Prüferinnen und Prüfer ist ziemlich ausgetrocknet, obwohl eigentlich ausreichend viele bereits in diesen Themenbereichen arbeiten oder forschen. Persönlich bin ich überzeugt vom «Umpolen» der technischen Sicherheitsspezialisten hin zu prüferisch Tätigen. Ihr profundes Verständnis der technischen Zusammenhänge in Bereichen wie Cyber Security, IoT oder Cloud macht diese Personen oft zu hervorragenden Prüfenden, welche die übergeordneten Kontrollziele – nach einer gewissen Ausbildungs- und Lernphase – in konkrete Prüfaufträge und die dabei erarbeiteten Prüfungsergebnisse auch in Bezug auf die wirklichen Geschäftsauswirkungen übersetzen können. Für solche Werdegänge gibt es jetzt übrigens auch eine neue Ausbildungsschiene an der Hochschule Luzern (siehe Kasten).
Unabhängig vom jeweiligen Lebenslauf gehört die Tätigkeit der IT-Prüfung zu den wohl faszinierendsten Berufen – eine seriöse Aus- und Weiterbildung hilft, dieses Arbeitsprivileg auch wirklich zu geniessen. In der Schweiz bietet ISACA-CH bereits seit 1992 eine berufsbegleitende Aus- und Weiterbildung für IT-Prüfung an (CISA = Certified Information Systems Auditor). Die anderen Berufsbilder wie CISM, CGEIT, CRISC und CDPSE folgten jeweils im Abstand von einigen Jahren.
Machen Sie sich fit !
Für Personen, welche in der IT-Revision arbeiten (wollen), aber auch für (IT-) Sicherheitsbeauftragte, (IT-) Risikomanager oder Beauftragte für IT-Governance bietet das ISACA Switzerland Chapter – wie bereits erwähnt – eine seriöse Aus- und Weiterbildung in der Form von umfassenden Vertiefungskursen für CISA, CISM, CGEIT, CRISC und neu auch CDPSE an, welche den Teilnehmern sowohl die notwendigen theoretischen Grundlagen (grösstenteils im Rahmen eines strukturierten Selbststudiums ab 1. März 2023) als auch die bewährte Berufspraxis (grösstenteils im Präsenzunterricht im Juni) vermitteln. Ausführliche und klar strukturierte Unterlagen mit Fachbüchern, Skript und Fallstudien dienen nicht nur zur Vorbereitung auf die internationale Zertifikatsprüfung, sondern auch als Nachschlagewerk im Berufsalltag (siehe www.itacs-training.ch).
Für Personen, welche sich (ausschliesslich) auf eine der internationalen Zertifikatsprüfungen vorbereiten wollen, gibt es verschiedene Anbieter mit kompakten Prüfungsvorbereitungskursen. Informieren Sie sich bei
www.isaca.ch.
An der Hochschule Luzern startet ein neues CAS IT Audit & Assurance, dass sich an ausgeprägte Informatik- und Informationssicherheits-Spezialisten richtet, welche in den faszinierenden Beruf einer IT-Prüferin / eines IT-Prüfers einsteigen wollen. Das CAS behandelt neben den «allgemeinen» Grundlagen zu IKS; (inter)nationalen Prüfungsstandards, Durchführung von Verfahrens- und Ergebnisprüfungen, Einsatz von Prüfungshilfsmitteln usw. auch spezielle Themen wie z.B. Prüfungen im agilen Umfeld, Prüfungen von IT-Providern, klassische Prüfungen im Vergleich zu ISO-Audits. Mehr Infos siehe
www.hslu.ch/informatik/weiterbildung.
Der Autor
Peter R. Bitterli, Bprex Group AG; CISA, CISM, CGEIT, CRISC, CDPSE