Sie benötigen einen Flash Player, um diesen Film sehen zu können.

Einschätzung der Wirksamkeit

Die Motivation für die Durchführung von IT-Gefährdungsanalysen ist vielfältig und lässt sich aus den häufig auftauchenden Fragen ableiten.


Hierzu folgende Beispiele:

  • Besitzt mein ERP-System hinreichende Sicherheits- und Kontrollmechanismen?
  • Sind alle verarbeiteten Daten und Informationen korrekt?
  • Wird die Vollendung aller Transaktionen überprüft und werden Fehler bei Transaktionen identifiziert und korrigiert?
  • Sind Freigaben in Abhängigkeit von bestimmten Transaktionen vorhanden?
  • Ist es bekannt, wer Zugriff zu den Daten besitzt und wie hoch der Umfang der Zugriffsrechte einzelner Systembenutzer ausfällt?

Hinzu kommt, dass durch die Schnelllebigkeit der IT-Welt das Schritt halten nur spezialisierten IT-Prüfern gelingt, die entsprechende fachliche Qualifikationen (wie etwa das CISA-Examen) besitzen. Das Examen zum Certified Information System Auditor wird vom Dachverband ISACA angeboten.

Außerdem darf nicht unterschätzt werden, dass eine effiziente Prüfung nur mit einem gewissen Erfahrungsschatz möglich ist und fachlich nicht ausreichende Qualifikationen sowohl die Prüfungsdauer wie auch die Prüfungskosten wesentlich erhöht.

Die Durchführung von IT-Gefährdungsanalysen macht am meisten Sinn in Verbindung mit einer Prozessanalyse (Gefährdungsanalyse). Sie ist gebunden an spezialisierte und erfahrene Prüfer mit entsprechenden Qualifikationen.