Artikel

Was sind IT General Controls (ITGC)?

Informationstechnologie (IT) ist ein grundlegender Bestandteil jeder Organisation. Sie umfasst sowohl Lösungen und Systeme, mit denen Benutzer direkt arbeiten, als auch Komponenten im Hintergrund, die häufig erst bei Störungen oder Vorfällen in den Fokus rücken (z. B. Netzwerke und Webserver). Allgemeine IT-Kontrollen (IT General Controls, ITGC) definieren Vorgaben dafür, wie IT-Ressourcen genutzt und verwaltet werden. Ergänzend liefern sie Leitlinien für die Enterprise Security, um wirksam vor Cybersecurity-Bedrohungen zu schützen.

Die Implementierung allgemeiner IT-Kontrollen stellt sicher, dass sowohl die IT-Ressourcen, auf die Benutzer angewiesen sind, als auch die kritische IT-Infrastruktur, die den Betrieb von Organisationen aufrechterhält, abgesichert und optimiert sind.

Auch wenn Organisationen bereits einzelne Elemente allgemeiner IT-Kontrollen einsetzen, müssen diese ganzheitlich betrachtet werden, um Geschäftskontinuität und Compliance sicherzustellen. Im Folgenden finden Sie eine Übersicht allgemeiner IT-Kontrollen, die Teams dabei unterstützt, sich auf eine belastbare ITGC-Strategie auszurichten.

Definition allgemeiner IT-Kontrollen

Allgemeine IT-Kontrollen sind interne Richtlinien, die festlegen, wie die Technologie einer Organisation beschafft, konzipiert, implementiert, genutzt und gewartet wird. Zu den zentralen Funktionen allgemeiner IT-Kontrollen gehören:

  • Zugriffskontrolle für physische Einrichtungen
  • Softwareimplementierung
  • Anlegen von Benutzerkonten
  • Datenmanagement
  • Recheninfrastruktur
  • Anwendungen
  • Datensicherheit

Allgemeine IT-Kontrollen umfassen außerdem Sicherheits- und Compliance-Aspekte der Systementwicklung, darunter Kontrollen für Lifecycle- und Change-Management, Backup und Wiederherstellung sowie Betriebskontrollen.

Für manche Organisationen sind allgemeine IT-Kontrollen Leitlinien, um eine optimale betriebliche Effizienz und Cybersecurity sicherzustellen. Für andere sind sie verbindlich. Organisationen – etwa in der Finanzdienstleistungsbranche und im Gesundheitswesen – müssen allgemeine IT-Kontrollen etablieren und aufrechterhalten, um die Einhaltung der jeweils geltenden Regularien sicherzustellen (z. B. Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) und Sarbanes-Oxley Act (SOX)).

Warum sind allgemeine IT-Kontrollen wichtig?

  • Schwachstellen proaktiv beheben
  • Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherstellen
  • Steuern, wie eine IT-Systemorganisation arbeitet
  • Unternehmen dabei unterstützen, Compliance-Anforderungen zu erfüllen
  • Zuverlässigkeit und Genauigkeit der Finanzberichterstattung verbessern
  • Sicherstellen, dass Systeme korrekt getestet und implementiert werden
  • Betrugsrisiken minimieren
  • Unbefugten Zugriff, Datenschutzverletzungen und Betriebsunterbrechungen eindämmen
  • Den Ruf des Unternehmens schützen
  • Sicherstellen, dass Sicherheitssysteme und Netzwerke regelmäßig aktualisiert werden
  • Die Wahrscheinlichkeit interner oder externer Sicherheitsvorfälle sowie von Non-Compliance reduzieren
  • Kundendaten schützen

ITGC-Beispiele und -Komponenten

Zugriffskontrollen für Programme und Daten

Zugriffskontrollen legen fest, wer welche Daten und Systeme einsehen und nutzen darf. Indem unbefugter Zugriff verhindert wird, sinkt das Risiko von Datenschutzverletzungen und unzulässigen Datenmanipulationen. Zu wirksamen Zugriffskontrollen zählen:

  • Biometrische Authentifizierung
  • Vollständige Festplattenverschlüsselung
  • Zugriff nach dem Least-Privilege-Prinzip
  • Multi-Faktor-Authentifizierung
  • Passwortverwaltung
  • Regelmäßige Passwortrotation
  • Starke Passwörter

Kontrollen für das Änderungsmanagement

Kontrollen für das Änderungsmanagement geben Richtlinien für die Einführung von Änderungen an IT-Systemen und -Services vor, um Unterbrechungen so gering wie möglich zu halten. Zu den im Rahmen des Änderungsmanagements berücksichtigten Änderungen zählen das Hinzufügen, Anpassen oder Entfernen von Elementen der IT-Infrastruktur oder von Code, die Services direkt oder indirekt beeinflussen können. Darüber hinaus umfasst das Änderungsmanagement die Planung und Dokumentation von Änderungen, um Kontext und Transparenz sicherzustellen.

Kontrollen für den IT-Betrieb

Kontrollen für den IT-Betrieb stellen sicher, dass Systeme optimal konfiguriert und programmiert sind, um Anforderungen an die Speicherung, Verarbeitung und den Zugriff auf Daten zu erfüllen und Programme effizient auszuführen.

Kontrollen für Datensicherung und Wiederherstellung

Kontrollen für Datensicherung und Wiederherstellung unterstützen Unternehmen dabei, Betriebsunterbrechungen zu minimieren. Sie stellen sicher, dass Ressourcen – darunter Daten, Geschäftsprozesse, Datenbanken, Systeme und Anwendungen – gesichert werden und sich schnell wiederherstellen lassen, damit der Normalbetrieb zügig wiederaufgenommen werden kann. Dieser Bestandteil der allgemeinen IT-Kontrollen umfasst außerdem Vorgaben für regelmäßige Tests, um die Einsatzbereitschaft sicherzustellen und Probleme zu beheben, die seit der Implementierung der Systeme aufgetreten sein könnten.

Kontrollen zum Datenschutz

Kontrollen zum Datenschutz umfassen Prozesse und Technologien, die vor sämtlichen Formen von Datenverlust schützen – einschließlich Datendiebstahl, Datenkorruption sowie unbeabsichtigtem Zugriff und unbeabsichtigten Änderungen. Data Loss Prevention (DLP)-Systeme sollten implementiert und optimiert werden, um Endpunkte, Netzwerke und Cloud-Umgebungen abzusichern. Die Systeme sollten getestet werden, indem unterschiedliche Angriffsmethoden angewendet werden, um sicherzustellen, dass die Schutzmaßnahmen wie erwartet wirken.

Kontrollen für das Incident-Management

Unternehmen müssen mögliche Incidents einplanen und diese Pläne testen, um im Ereignisfall eine wirksame und schnelle Reaktion sicherzustellen. Tritt ein Incident ein, müssen neben Wiederherstellungsschritten auch Verfahren etabliert sein, um Details des Vorfalls zu dokumentieren. Diese Informationen werden benötigt, um die Ursache zu identifizieren und sicherzustellen, dass der Vorfall nicht erneut auftritt. Darüber hinaus sollten Tools eingesetzt werden, die Anzeichen eines potenziellen Incidents erkennen, um eine proaktive Reaktion zu ermöglichen.

Kontrollen für den IT-Betrieb

Allgemeine IT-Kontrollen enthalten konkrete Vorgaben für Kontrollen im IT-Betrieb. Dazu zählen die optimale Implementierung und Verwaltung umfassender Sicherheitslösungen, etwa E-Mail-Filterung, Firewalls und Antivirensoftware. Ebenfalls abgedeckt sind die Planung von Penetrationstests sowie Richtlinien rund um Bring Your Own Device (BYOD).

Physische und umgebungsbezogene Sicherheitskontrollen im Rechenzentrum

Obwohl die meisten Cybersecurity-Bedrohungen als digital eingeordnet werden, gehen auch von physischen Komponenten im Rechenzentrum Risiken aus. Allgemeine IT-Kontrollen definieren daher konkrete Anforderungen, um Rechenzentren vor unbefugtem Zugriff und vor Ereignissen zu schützen, die die Umgebungsbedingungen beeinträchtigen.

Der physische Zugang zu Rechenzentren wird in der Regel über biometrische Zugriffstechnologien, Tastaturcodes oder Proximity-Karten gesteuert – häufig in Kombination mit Multi-Faktor-Authentifizierung sowie Sicherheitsdienst vor Ort und Videoüberwachung.

Sensoren werden häufig zur Überwachung von Rechenzentrumsumgebungen eingesetzt. Sie lösen Alarme aus, wenn Temperaturen außerhalb der Grenzwerte liegen oder Feuchtigkeit erkannt wird.

Kontrollen über den Systemlebenszyklus

Ein wesentlicher Bestandteil der allgemeinen IT-Kontrollen sind Kontrollen über den Systemlebenszyklus. Sie umfassen das Patch- und Update-Management für Anwendungen, Systeme und Netzwerke. Ebenfalls abgedeckt sind die zugehörigen Verfahren sowie die Systemüberwachung.

ITGC-Implementierung

Ein klar definierter Prozess bei der Implementierung allgemeiner IT-Kontrollen gewährleistet eine reibungslose und präzise Umsetzung. Gleichzeitig werden unerwartete Ereignisse minimiert, die Zeitpläne beeinträchtigen und Teammitglieder frustrieren können.

Geltungsbereich der allgemeinen IT-Kontrollen (IT General Controls, ITGC) festlegen.

Allgemeine IT-Kontrollen (ITGC) konzipieren.

Einheitliche Prozesse zur Prüfung der Compliance etablieren.

Eine Baseline definieren.

Allgemeine IT-Kontrollen (ITGC) implementieren.

Allgemeine IT-Kontrollen (ITGC) testen.

Risiken bewerten und Risikoscores zuweisen.

Behebung von Defiziten priorisieren.

Testpläne überprüfen und bei geänderten Anforderungen aktualisieren.

ITGC-Compliance-Frameworks

Ein Compliance-Framework unterstützt Unternehmen dabei, relevante allgemeine IT-Kontrollen (ITGC) strukturiert zu erfassen und zu kategorisieren. Dadurch wird sichergestellt, dass die richtigen Kontrollen implementiert sind – und zugleich die Grundlage für Audits geschaffen.

Häufig genutzte Frameworks, die ITGC ergänzen und Audits erleichtern, sind COBIT, COSO, ISO, NIST SP 800-34 und ITIL.

COSO

Das interne Kontrollrahmenwerk des Committee of Sponsoring Organizations of the Treadway Commission (COSO) ist das am weitesten verbreitete Framework für interne Kontrollen. COSO liefert konkrete Leitlinien für die Konzeption und Implementierung interner Kontrollen im Risikomanagement.

Das COSO-Kontrollrahmenwerk besteht aus fünf Komponenten mit 17 Grundsätzen und 87 unterstützenden Punkten. Zu den fünf zentralen COSO-Komponenten zählen:

  1. Kontrollumfeld
  2. Bestehende Kontrollaktivitäten
  3. Information und Kommunikation
  4. Überwachungsaktivitäten
  5. Risikobeurteilung und -management

COBIT

In der IT-Audit-Community gilt COBIT als das am häufigsten genutzte Beispiel für ein IT-Kontrollrahmenwerk. ISACA (Information Systems Audit and Control Association) ist Eigentümerin des COBIT-Frameworks (Control Objectives for Information and Related Technology) und hat es für IT-Governance und IT-Management konzipiert.

Einige Fachleute bezeichnen COBIT als Framework zur Bündelung von Richtlinien. Als integriertes Framework für interne Kontrollen verweist es auf zahlreiche weitere gängige IT-Frameworks. Dadurch entsteht ein IT-Sicherheitsframework, das die IT-Seite von Geschäftsrisiken adressiert.

Das IT Governance Institute hat das Framework Control Objectives for Information Technology (COBIT) etabliert, um empfohlene Ziele und Vorgehensweisen für ITGC zu beschreiben. Der Grundgedanke von COBIT: IT-Prozesse sollen definierte geschäftliche Anforderungen erfüllen, um Abläufe zu optimieren und Unternehmensdaten zu schützen.

Die fünf zentralen COBIT-Prinzipien sind:

  • Die Organisation Ende-zu-Ende abdecken.
  • Governance und Management voneinander abgrenzen.
  • Stakeholder-Anforderungen erfüllen.
  • Einen ganzheitlichen Governance-Ansatz verfolgen.
  • Ein einziges integriertes Framework verwenden.

ISO 27001

Die Norm International Organization for Standards 27001 (ISO 27001) definiert Richtlinien und Verfahren zur Minderung rechtlicher, physischer und technischer Risiken, die mit der Implementierung, Verbesserung, Wartung, Überwachung und Überprüfung von Informationssicherheits-Managementsystemen verbunden sind. Sie folgt einem Top-down-Ansatz in sechs Schritten:

  1. Sicherheitsrichtlinie definieren.
  2. Geltungsbereich des Informationssicherheits-Managementsystems festlegen.
  3. Risikobewertung durchführen.
  4. Identifizierte Risiken steuern.
  5. Umzusetzende Kontrollen auswählen.
  6. Statement of Applicability erstellen.

NIST SP 800-34

Der NIST SP 800-34 Contingency Planning Guide for Information Technology Systems beschreibt einen siebenstufigen Prozess zur Erstellung eines Notfallplans für Informationssysteme (Information System Contingency Plan, ISCP).

  1. Eine Notfallplanungsrichtlinie entwickeln, die organisatorische Zuständigkeiten festlegt und Vorgaben für die Durchsetzung eines wirksamen Notfallplans macht.
  2. Eine Business Impact Analysis (BIA) durchführen, um kritische Informationssysteme und Komponenten zu identifizieren und zu priorisieren.
  3. Maßnahmen zur Vorfallprävention und -minderung identifizieren und definieren, um die Systemverfügbarkeit zu optimieren und Unterbrechungen zu minimieren.
  4. Notfallstrategien detaillieren, damit Systeme und Prozesse nach einer Störung schnell wiederhergestellt werden können.
  5. Einen Wiederherstellungsplan für Informationssysteme erstellen, der beschreibt, wie ein beschädigtes System repariert oder eine alternative Lösung zur Wiederherstellung funktionsfähiger Prozesse eingesetzt wird.
  6. Pläne testen und Schulungen mit Simulationsübungen durchführen, um auf einen Vorfall vorbereitet zu sein und Lücken zu identifizieren.
  7. Pläne aktuell halten, damit neue Systeme oder Änderungen abgedeckt sind.

ITIL

Die Information Technology Infrastructure Library (ITIL) ist ein Framework, das Leitlinien und Bewährte Praktiken für die Steuerung der fünf Phasen des IT-Service-Lebenszyklus bereitstellt:

  1. Strategie
  2. Design
  3. Übergang
  4. Betrieb
  5. Laufende Überwachung und kontinuierliche Verbesserung

Durchführung eines Audits mit einem ITGC-Framework

Die sechs zentralen Schritte zur Durchführung eines Audits mit einem Framework, das ein Audit der allgemeinen IT-Kontrollen (IT General Controls, ITGC) ergänzt, sind folgende.

Schritt 1: Framework auswählen
Bewerten Sie die verfügbaren Framework-Optionen und wählen Sie das Framework aus, das am besten zu den Unternehmenszielen und den Compliance-Anforderungen passt. Wenn kein vorhandenes Framework ausreichend passt, wählen einige Organisationen gezielt Elemente aus mehreren Frameworks aus, um interne Audits der allgemeinen IT-Kontrollen zu steuern.

Schritt 2: Interne Kontrollen den Framework-Kontrollen zuordnen
Bevor ein Audit beginnt, müssen die internen Kontrollen einer Organisation den im Framework erwarteten Kontrollen zugeordnet werden.

Schritt 3: Gap-Analyse durchführen
Vergleichen Sie interne Kontrollen mit den Kontrollen des Frameworks, um fehlende oder unzureichende Kontrollen zu identifizieren.

Schritt 4: Plan zur Schließung von Lücken und Behebung von Defiziten erstellen und umsetzen
Es müssen Korrekturpläne entwickelt und umgesetzt werden, um Bereiche zu remediieren, die die Erwartungen des Frameworks nicht erfüllen. Dies kann parallel zur Testphase erfolgen.

Schritt 5: Wirksamkeit der Kontrollen testen
Sobald Kontrollen etabliert sind, sind Tests erforderlich, um zu bestätigen, dass sie korrekt integriert sind und wie erwartet funktionieren.

Schritt 6: Minderungsmaßnahmen überwachen
Sobald Kontrollen implementiert sind, müssen sie kontinuierlich überwacht werden. Nur so lässt sich sicherstellen, dass sie die aktuellen Anforderungen erfüllen und Änderungen oder Ergänzungen berücksichtigen, die ihre Wirksamkeit beeinflussen können.

ITGC und Sicherheit

Zu den zentralen Bereichen, in denen allgemeine IT-Kontrollen (ITGC) Sicherheitsinitiativen unterstützen, zählen die folgenden.

Insider-Bedrohungen

Allgemeine IT-Kontrollen umfassen Begrenzungen für den Datenzugriff und die Datenbewegung, um böswillige oder unbeabsichtigte Sicherheitsvorfälle zu verhindern. Durch die Überwachung von Mitarbeitenden, Partnern, Lieferanten, Praktikantinnen und Praktikanten sowie Auftragnehmenden werden häufig ausgenutzte Schwachstellen erkannt und gezielt gesteuert.

Externe Bedrohungen

Allgemeine IT-Kontrollen stellen sicher, dass geeignete Schutzmaßnahmen vorhanden sind, um externe Bedrohungen wirksam abzuwehren. Dazu zählen das Beheben bekannter Schwachstellen in Systemen und Anwendungen, die konsequente Begrenzung von Zugriffsrechten auf das notwendige Minimum (Least Privilege), die Verhinderung lateraler Bewegungen, die Durchsetzung einer starken Passwortverwaltung sowie verpflichtende Security-Awareness-Schulungen für alle Mitarbeitenden.

Risikominderung

Allgemeine IT-Kontrollen reduzieren Risiken insbesondere in finanziellen, operativen und reputationsbezogenen Bereichen. Die damit verbundenen Prozesse und Schutzmaßnahmen senken nachweislich die Risiken in diesen zentralen Feldern, indem sichergestellt wird, dass Unternehmen die passenden Systeme und Lösungen implementieren und dauerhaft betreiben, um Angriffsflächen zu minimieren und die Geschäftskontinuität sicherzustellen.

Vorteile allgemeiner IT-Kontrollen

Allgemeine IT-Kontrollen sind ein bewährtes Mittel, um das Sicherheitsniveau einer Organisation gezielt zu erhöhen und den operativen Betrieb insgesamt zu optimieren. Zu den Vorteilen allgemeiner IT-Kontrollen zählen unter anderem:

Verbesserte Sicherheit

Ein wesentlicher Grund für den Einsatz allgemeiner IT-Kontrollen ist die Sicherheit. Die Orientierung an den Vorgaben und Frameworks allgemeiner IT-Kontrollen stellt sicher, dass die passenden Lösungen etabliert sind, um vor Cyberangriffen und anderen digitalen Schadensereignissen zu schützen. Zu den Maßnahmen, die durch allgemeine IT-Kontrollen abgesichert und unterstützt werden, zählen Identitäts- und Zugriffsmanagement (IAM) nach Zero Trust-Prinzipien, kontinuierliches Monitoring, die Verschlüsselung von Daten im Ruhezustand und bei der Übertragung sowie Anti-Virus-Lösungen.

Sichergestellte Geschäftskontinuität

Allgemeine IT-Kontrollen schützen nicht nur vor Schwachstellen, die zu Ausfällen von IT-Services führen können, sondern gewährleisten auch eine schnelle Wiederherstellung. Sie geben Sicherheitsprogrammen eine klare Leitlinie – sowohl zur Prävention als auch für die Planung und das Testen von Backup- und Wiederherstellungssystemen.

Verbessertes Risikomanagement

Allgemeine IT-Kontrollen reduzieren Anzahl und Schweregrad von Risiken, die aus Cyberbedrohungen aus externen und internen Quellen entstehen. Dafür werden Prozesse und Systeme etabliert, mit denen Endpoints (z. B. Laptops, mobile Geräte und Internet-of-Things-(IoT)-Geräte) gehärtet, Anwendungen regelmäßig gepatcht und aktualisiert sowie Zugriffe strikt gesteuert werden. Ergänzend erhalten Mitarbeitende Security-Awareness-Trainings, um Anzeichen möglicher Cyberangriffe frühzeitig zu erkennen und Social-Engineering-Taktiken zu vermeiden.

Höhere regulatorische Compliance

Wer allgemeine IT-Kontrollen mit übergeordneten IT-Frameworks wie COBIT, COSO und ISO 27001 kombiniert, stellt sicher, dass die richtigen Systeme vorhanden sind, um die Anforderungen der meisten Compliance-Audits zu erfüllen.

ITGC: Bewährte Praktiken

Da Teams angesichts sich wandelnder Bedrohungen nach zusätzlichen Möglichkeiten suchen, ihre Sicherheitslage zu stärken, können allgemeine IT-Kontrollen einen wichtigen Beitrag leisten. Berücksichtigen Sie dazu die folgenden Bewährten Praktiken.

Sicherheits-Frameworks implementieren und einhalten

Sicherheits-Frameworks wie COBIT, COSO und ISO 27001 helfen Unternehmen, Sicherheitsprogramme und -praktiken an bewährten Methoden für Implementierung und Management auszurichten. Darüber hinaus unterstützen diese Frameworks die Vorbereitung auf Compliance-Audits, indem sie sicherstellen, dass die erforderlichen allgemeinen IT-Kontrollen etabliert sind, um Vorgaben zu erfüllen.

Alle Patches und Updates installieren

Alle Anwendungs-, System- und Netzwerk-Updates sollten regelmäßig installiert werden, um Schutz vor Schwachstellen sicherzustellen. Cyberangreifer kennen diese Schwachstellen und nutzen sie beim Start von Angriffen als Einstiegspunkte. Allgemeine IT-Kontrollen umfassen Vorgaben, die regelmäßige Aktualisierungen sowie die kontinuierliche Überwachung von Patches und Updates für Anwendungen, Systeme und Netzwerke verlangen.

Allgemeine IT-Kontrollen in Beschaffungsprozesse integrieren

Ergänzen Sie bei der Beschaffung neuer Systeme, Software oder Services gezielte Fragen dazu, wie Anbieter Sicherheit umsetzen, und bewerten Sie, in welchem Umfang allgemeine IT-Kontrollen eingesetzt werden.

Security-Awareness-Training für Teammitglieder bereitstellen

Mitarbeitende sind ein bevorzugter Angriffsvektor für Cyberangreifer. Schon ein einzelner Fehler reicht aus, damit Angreifer Zugriff auf IT-Systeme erlangen.

Unachtsame oder uninformierte Mitarbeitende werden regelmäßig Opfer von Täuschungsmanövern, bei denen Cyberangreifer unterschiedliche Taktiken wirksam kombinieren – von Phishing bis hin zu weiteren Social-Engineering-Kampagnen.

Wenn Mitarbeitende darin geschult werden, die Methoden von Cyberangreifern zu erkennen, lassen sich Fehler vermeiden, durch die Angreifer Zugriff erhalten.

Darüber hinaus sollten Mitarbeitende zu IT General Controls geschult und dazu auch überprüft werden. So wird sichergestellt, dass sie verstehen, warum diese Kontrollen existieren und wie sie einzuhalten sind. Ob Online-Webinare oder Präsenzschulungen: Security Awareness ist entscheidend, um Cyberangreifer zu stoppen und den Nutzen von IT General Controls voll auszuschöpfen.

IT General Controls strategisch einsetzen

Treten Sie einen Schritt zurück und definieren Sie die übergeordneten Ziele Ihrer IT General Controls. Entwickeln Sie anschließend Prozesse, mit denen sich die Strategien zur Zielerreichung konsequent umsetzen lassen. So wird gewährleistet, dass IT General Controls im Unternehmen dauerhaft optimal eingesetzt werden.

Mit IT General Controls vor Cybersecurity-Bedrohungen schützen und Risiken reduzieren

Allgemeine IT-Kontrollen (IT General Controls, ITGC) liefern den Ordnungsrahmen und die Maßnahmenstrategie, um digitale Assets sowie unterstützende Systeme vor Cybersecurity-Bedrohungen zu schützen und die Risikominderung systematisch zu unterstützen. Wer sich die Zeit nimmt, die Feinheiten von ITGC zu verstehen, kann sie leichter implementieren und langfristig verlässlich aufrechterhalten. Unternehmen, die ITGC priorisieren, reduzieren Risiken messbar und stärken ihre Cybersecurity insgesamt.

HAFTUNGSAUSSCHLUSS: DIE IN DIESEM ARTIKEL ENTHALTENEN INFORMATIONEN DIENEN AUSSCHLIESSLICH INFORMATIONSZWECKEN. NICHTS IN DIESEM ARTIKEL IST DAZU BESTIMMT, EINE RECHTSBERATUNG IN IRGENDEINER FORM DARZUSTELLEN. SAILPOINT KANN EINE SOLCHE BERATUNG NICHT ERBRINGEN UND EMPFIEHLT, SICH BEI ANWENDBAREN RECHTLICHEN FRAGESTELLUNGEN AN EINE RECHTSBERATUNG ZU WENDEN.

Antworten auf häufig gestellte Fragen zu allgemeinen IT-Kontrollen (ITGC)

Was sind IT General Controls (ITGC)?

Allgemeine IT-Kontrollen (IT General Controls, ITGC) sind Richtlinien, Prozesse und technische Mechanismen zur Risikoreduzierung. Sie stellen sicher, dass definierte Ziele erreicht werden – einschließlich der Einhaltung von Standards für Verfügbarkeit, Zuverlässigkeit, Integrität und Sicherheit der Informationssysteme eines Unternehmens.

ITGC definieren Leitplanken für die Beschaffung, die Bereitstellung und den Betrieb von Technologiesystemen und Ressourcen, um diese vor Cyberbedrohungen zu schützen.

Zu den zentralen ITGC-Bereichen zählen:

  • Zugriffskontrollen für Systeme und Daten
  • Änderungsmanagement
  • Daten- und System-Backup sowie Wiederherstellung
  • IT-Betrieb
  • Physische Sicherheit
  • Aufsicht über den Systementwicklungslebenszyklus
Was sind die wichtigsten Vorteile von ITGC?

Zu den wichtigsten Vorteilen von ITGC gehören:

  • Ausrichtung der IT an Governance-, Sicherheits- und Compliance-Anforderungen der Organisation
  • Etablierung einer sicherheitsbewussten Unternehmenskultur
  • Definition von Basis-Sicherheitsmaßnahmen als Mindestabsicherung
  • Maximale Systemverfügbarkeit
  • Risikoreduktion durch Vermeidung von unbefugtem Zugriff, unbeabsichtigten Änderungen und Datenverlust
  • Erfüllung regulatorischer Vorgaben gemäß Branchen-Standards und gesetzlichen Anforderungen
  • Verantwortungsvolle IT-Steuerung
  • Starker Schutz der Reputation
Warum sind IT General Controls wichtig?

Organisationen benötigen ITGC, weil diese die stabile, sichere Grundlage schaffen, damit Systeme, Daten und Geschäftsprozesse zuverlässig funktionieren. Gleichzeitig unterstützen sie Audit- und Compliance-Anforderungen und ermöglichen ein wirksames Risikomanagement – insbesondere durch:

  • Anwendung standardisierter Protokolle, die sensible Systeme und Daten schützen
  • Aufbau von Vertrauen bei Stakeholdern durch nachweisbare Kontrollen als Beleg solider Governance
  • Erreichung von Compliance-Zielen durch breit anwendbare Vorgaben, z. B. nach SOX (Sarbanes-Oxley Act), dem Health Insurance Portability and Accountability Act (HIPAA) und PCI DSS (Payment Card Industry Data Security Standard)
  • Verbesserte Wiederherstellung und Resilienz durch getestete Backups, Job-Kontrollen und Change Management
  • Schutz der Integrität von Systemen und Daten durch Verhinderung von unbefugtem Zugriff, Manipulation oder versehentlichen Änderungen
  • Sicherstellung von Prüfbarkeit und Verantwortlichkeit durch Logging, Funktionstrennung (Segregation of Duties) und dokumentierte Prozesse
  • Senkung von Häufigkeit und Auswirkungen von Incidents durch starke Zugriffskontrollen, Patch- und Update-Protokolle, Backup- und Recovery-Standards sowie kontinuierliches Monitoring
  • Unterstützung einer korrekten Finanz- und Betriebsberichterstattung, auf die Auditoren vertrauen können
  • Etablierung von Governance-Mechanismen für die Funktionsweise von IT-Systemen
What are examples of IT General Controls?

Mehrere IT General Controls (ITGC) werden besonders häufig eingesetzt, um Systeme zuverlässig, sicher und prüfbar zu betreiben. Typische Anwendungsfälle sind:

  • Zugriffsverwaltung (z. B. rollenbasierte Zugriffskontrollen, strikte Passwortrichtlinien und Multi-Faktor-Authentifizierung), um den Zugriff auf Systeme und Daten zu begrenzen.
  • Backup und Wiederherstellung (z. B. regelmäßige Backups, Offsite-Kopien sowie Disaster-Recovery-Runbooks und -Übungen), um Datenwiederherstellung und Servicekontinuität nach Vorfällen sicherzustellen.
  • Change Management (z. B. Change-Ticket mit Freigaben, Test-/Rollback-Plan und geplante Change-Windows), um Änderungen formal zu beantragen, zu genehmigen, zu testen und auszurollen.
  • Konfigurationsmanagement und Hardening (z. B. CIS-Benchmarks, durchgesetzt über Infrastructure as Code und Konfigurationsmanagement-Tools), um Baselines und Kontrollen zu etablieren und unsichere Konfigurationen zu verhindern.
  • Digitale Forensik und Incident Response (z. B. Incident-Response-Playbooks und Untersuchungspläne nach einem Vorfall).
  • Verschlüsselung und Schlüsselmanagement (z. B. TLS, Transport Layer Security, für Datenübertragung sowie KMS, Key Management Service/System, für Schlüsselrotation), um Daten im Ruhezustand und während der Übertragung zu schützen und Schlüssel-Lebenszyklen abzusichern.
  • Logging, Monitoring und Alarmierung (z. B. zentrales SIEM, Security Information and Event Management, mit Aufbewahrung und Alerts bei Anomalien), um System- und Benutzeraktivitäten zu erfassen und auszuwerten sowie Probleme frühzeitig zu erkennen.
  • Betriebs- und Job-Scheduling-Kontrollen (z. B. geplante Backups mit automatisierter Verifizierung und Alarmierung), um Batch-Jobs, Backups und Produktionsbetrieb kontrolliert zu steuern.
  • Patch Management (z. B. Zeitplan für Routine-Updates und definierte Zeitfenster für sicherheitsrelevante Patches), um Systeme aktuell zu halten und Software-Schwachstellen zeitnah zu beheben.
  • Physische Sicherheit (z. B. Badge-Zutritt, CCTV und verschlossene Serverräume), um unbefugten Zugriff auf Server, Netzwerkkomponenten und Storage zu verhindern.
  • Privileged Access Management (z. B. Just-in-Time-Zugriff und Session Recording), um strengere Kontrollen für Admin- und Root-Konten durchzusetzen.
  • Funktionstrennung (Separation of Duties) (z. B. dürfen Entwickler ohne Freigabe durch den Betrieb keinen Code in Produktion bringen), um zu verhindern, dass einzelne Personen konfligierende Funktionen kontrollieren.
  • Steuerung des System Development Lifecycle (SDLC) (z. B. Code Reviews, SAST/SCA, Static Application Security Testing/Software Composition Analysis, in CI, Continuous Integration, sowie Pre-Production-Tests), um sichere Entwicklungspraktiken und Tests vor dem Release verbindlich zu verankern.
  • Third-Party- und Vendor-Management (vertragliche Sicherheitsanforderungen und regelmäßige Assessments), um Regeln für Vendor-Zugriffe, SLAs und Baselines zur Sicherheitslage festzulegen.
  • User Provisioning und Deprovisioning (z. B. HR-getriggerte, automatisierte Provisionierung oder Deprovisionierung beim Eintritt oder Austritt), um Benutzerkonten zeitnah anzulegen, zu ändern und zu entfernen.
Wie werden IT General Controls implementiert?

Für die Implementierung von ITGCs werden Richtlinien, technische Konfigurationen, Betriebsprozesse und verbindliche Workflows definiert, ausgerollt und dauerhaft gepflegt. Die Kontrollen sollten überwacht und regelmäßig getestet werden, damit Auditoren und Stakeholder ihre Wirksamkeit nachvollziehbar verifizieren können. Die folgenden Schritte zur ITGC-Implementierung setzen die Zusammenarbeit von IT-, Compliance- und Audit-Teams sowie den Fachbereichen voraus, damit die Kontrollen fest in den operativen Betrieb integriert sind. Dieser strukturierte Ansatz ist entscheidend, um das Risiko von Cyberbedrohungen zu minimieren, die Audit-Readiness zu unterstützen und die Geschäftskontinuität sicherzustellen.

  • Scope festlegen und Risiken bewerten
    Identifizieren Sie Systeme und Prozesse, die Finanzberichterstattung, vertrauliche Informationen und kritische Funktionen unterstützen, und vergeben Sie dafür einen Risikoscore. Berücksichtigen Sie dabei jeweils auch die relevanten Compliance-Anforderungen. Priorisieren Sie anschließend Kontrollen risikobasiert (d. h. Impact × Likelihood).
  • Ziele definieren
    Formulieren Sie pro ITGC-Kategorie klare Policy-Statements und ordnen Sie jede Richtlinie einem oder mehreren messbaren Control Objectives sowie den erforderlichen Nachweisen (Evidence) zu.
  • Technische Kontrollen designen
    Wählen Sie Tools aus, mit denen technische Kontrollen durchgesetzt werden – z. B. Zugriffsverwaltung, Change Management sowie Backup- und Wiederherstellungssysteme und -pläne. Implementieren Sie Prozesse zur Steuerung dieser Kontrollen und nutzen Sie, wo möglich, Automatisierung.
  • Kontrollen testen und validieren
    Führen Sie regelmäßige Kontrolltests gemeinsam mit internen Control Ownern und Auditoren durch. Ergänzend sollten technische Tests in festen Zyklen stattfinden (z. B. Vulnerability Scans, Penetrationstests sowie Backup-Restore-Übungen).
  • Überwachen und alarmieren
    Definieren Sie KPIs (z. B. Time-to-Provision/Deprovision, Patching-SLA, Backup-Erfolgsquote, Anzahl privilegierter Sessions und Trends bei fehlgeschlagenen Logins). Richten Sie Systeme ein, die bei Fehlern oder Ausnahmen Alerts auslösen, und automatisieren Sie die Behebung, wo sinnvoll.
  • Nachweise und Dokumentation sammeln
    Halten Sie maschinenlesbare Evidenzen vor (z. B. Ticket-IDs, Pipeline-Logs, Configuration Commits, Session Records privilegierter Konten, SIEM-Incidents und Backup-Logs). Pflegen Sie außerdem versionskontrollierte Kopien von Runbooks und Policies.
  • Governance durchsetzen
    Benennen Sie Control Owner (z. B. Security, IT Ops und Entwicklungsteams). Zusätzlich sollte ein Operating Model für regelmäßige Reviews, Policy-Change-Control sowie die Audit-Begleitung etabliert werden.
  • Kontinuierliche Verbesserung
    Nach Vorfällen sollten Root-Cause-Analysen durchgeführt und Kontrollen sowie Playbooks bei Bedarf aktualisiert werden. Führen Sie außerdem regelmäßige Audits, Tabletop-Übungen und eine kennzahlenbasierte Feinjustierung durch.
Welche Compliance-Frameworks sind für IT General Controls relevant?

Compliance-Frameworks im Kontext von IT General Controls (ITGC) sind strukturierte Leitplanken, mit denen Unternehmen ihre IT-Systeme und Prozesse an regulatorische Anforderungen und an bewährte Best Practices ausrichten können. Dazu zählen:

  • CIS (Center for Internet Security) Controls
  • COBIT (Control Objectives for Information and Related Technologies)
  • COSO (Committee of Sponsoring Organizations of the Treadway Commission)
  • FedRAMP
  • ISO/IEC 27001
  • ITIL (Information Technology Infrastructure Library)
  • NIST 800-34
  • NIST Cybersecurity Framework (CSF)
  • NIST SP 800-53 (National Institute of Standards and Technology Special Publication 800-53)
  • SOC 2 (second version of Service Organization Controls)
Welche Beispiele gibt es dafür, wie IT-General-Controls angewendet werden?

IT-General-Controls werden branchenübergreifend in unterschiedlichen Szenarien eingesetzt, um Sicherheit, Betriebsintegrität und Compliance sicherzustellen. Beispiele hierfür sind:

  • Finanzsektor: Strenge Zugriffskontrollen werden umgesetzt, damit ausschließlich autorisierte Personen sensible Finanzdaten einsehen oder ändern können. Damit werden eine korrekte Finanzberichterstattung sowie regulatorische Vorgaben unterstützt.
  • Gesundheitswesen: Regelmäßige Datensicherungen sowie Kontrollen für Disaster Recovery schützen Patientengesundheitsdaten, unterstützen die Einhaltung von Vorschriften und minimieren das Risiko von Serviceunterbrechungen.
  • Technologieunternehmen: Kontrollen im Änderungsmanagement werden bei Software-Updates durchgesetzt, um sämtliche Systemänderungen zu dokumentieren. So lassen sich potenzielle Betriebsunterbrechungen reduzieren und das Risiko unautorisierter Änderungen senken.
Welche Beispiele aus der Praxis verdeutlichen die Bedeutung von ITGC?

Die folgenden Vorfälle aus der Praxis zeigen, wie IT-General-Controls (ITGC) als zentrale Schutzmechanismen für Organisationen wirken.

  • Target (2013): Angreifer nutzten gestohlene Zugangsdaten eines HVAC-Dienstleisters, um sich seitlich im Netzwerk zu bewegen und Kartendaten von Kundinnen und Kunden zu exfiltrieren.
  • Versagte ITGCs: Zugriffssteuerung für Lieferanten, Netzwerksegmentierung und Onboarding von Drittanbietern
  • Equifax (2017): Angreifer nutzten gestohlene Zugangsdaten eines HVAC-Dienstleisters, um sich seitlich im Netzwerk zu bewegen und Kartendaten von Kundinnen und Kunden zu exfiltrieren.
  • Versagte ITGCs: Patch- und Schwachstellenmanagement, Asset-Inventarisierung und Notfall-Change-Prozess
  • SolarWinds Supply-Chain (2020): Schadcode wurde in den Build eines vertrauenswürdigen Anbieters eingeschleust; kompromittierte Updates wurden an Kundinnen und Kunden verteilt.
  • Versagte ITGCs: Sicherer SDLC bzw. Build-Integrität, CI/CD-Änderungskontrollen und Drittparteien-Risikomanagement
  • Capital One (2019): Falsch konfigurierte Cloud-Ressourcen und zu weitreichende IAM-Berechtigungen ermöglichten Angreifern den Zugriff auf Kundendaten.
  • Versagte ITGCs: Kontrollen für Cloud-Konfiguration und Infrastructure as Code (IaC), IAM-Entitlement-Management und Logging
  • NHS (2017): Die WannaCry-Ransomware nutzte SMB/EternalBlue aus, verschlüsselte Systeme in zahlreichen NHS Trusts und beeinträchtigte die Versorgung.
  • Versagte ITGCs: Patch-Management, Asset-Inventarisierung, Backup & Recovery, Segmentierung und IR-Bereitschaft
  • Uber (2022): Angreifer griffen mit gestohlenen oder missbrauchten Zugangsdaten auf interne Systeme zu; spätere Vorfälle betrafen die Kompromittierung interner Systeme.
  • Versagte ITGCs: Privileged-Access-Management, User-Provisioning/Deprovisioning, Secrets-Management und Monitoring
Welche praxisnahen Beispiele gibt es für die Umsetzung von ITGC?

Praktische Beispiele für die Umsetzung von IT General Controls (ITGC) sind:

  • Kritische Infrastrukturen (z. B. Versorgungsunternehmen und Energienetze): Privilegierte Konsolensitzungen aufzeichnen und Notfall-Failover-Playbooks regelmäßig testen.
  • Finanzdienstleistungen: Multi-Faktor-Authentifizierung und Least-Privilege-Zugriffskontrollen auf allen Handels- und Treasury-Systemen durchsetzen.
  • Gesundheitswesen: Integritätsmonitoring, Zugriffsprotokollierung und Alarmierung bei ungewöhnlichem Datenzugriff auf Patientendaten in EHR-Systemen einsetzen.
  • Compliance: Verschlüsselte Repositories für vertrauliche Informationen verwenden – inklusive Key-Rotation und strikter Audit-Trails für den Client-Zugriff.
  • Einzelhandel und E-Commerce: POS-Netzwerke segmentieren, regelmäßige PCI-Scans durchführen und strikte Change Controls für Checkout-Code durchsetzen.
Wie wird die Integration von Compliance-Frameworks mit IT General Controls (ITGC) in der Praxis umgesetzt?

Die Integration von Compliance-Frameworks mit IT General Controls (ITGC) beginnt in der Praxis mit einer umfassenden Bewertung der Unternehmensziele, der Risikobereitschaft und der regulatorischen Verpflichtungen. Zusätzlich sind folgende Schritte erforderlich:

  • Relevante Framework-Auswahl sicherstellen: Die ausgewählten Frameworks müssen zum Kontext passen und sowohl Geschäftsanforderungen als auch Compliance-Vorgaben ausreichend abdecken.
  • ITGCs auf Framework-Anforderungen abbilden: Bestehende ITGCs werden konkreten Anforderungen zugeordnet – häufig über detaillierte Kontrollmatrizen, die zeigen, wo Richtlinien und technische Schutzmaßnahmen mit den Framework-Prinzipien übereinstimmen oder davon abweichen.
  • Abstimmung der Stakeholder: IT-, Compliance- und Business-Verantwortliche dokumentieren bestehende Kontrollaktivitäten, analysieren Lücken und entwickeln Remediation-Pläne für festgestellte Defizite.
  • Operative Verankerung: Laufende Verfahren für Monitoring, Tests und Audits werden etabliert, um die Wirksamkeit der ITGCs kontinuierlich zu überprüfen.
  • Automatisierung nutzen: Wo sinnvoll, wird Automatisierung eingesetzt, um Kontrollen durchzusetzen und die Evidenzerhebung zu beschleunigen.
  • Schulung und Awareness: Regelmäßige Trainings- und Awareness-Maßnahmen stellen sicher, dass relevante Mitarbeitende sowohl die Kontrollen als auch die Compliance-Begründung verstehen – und stärken so eine Kultur der Verantwortlichkeit.
  • Regelmäßige Management-Reviews: Das Management überprüft und aktualisiert die integrierte ITGC- und Compliance-Struktur regelmäßig – etwa bei regulatorischen Änderungen, technologischen Weiterentwicklungen oder Anpassungen der Geschäftsstrategie.
  • Kontinuierliche Verbesserung ermöglichen.
  • Eine robuste Sicherheits- und Compliance-Position aufrechterhalten.
Datum: 2. Juni 2026Lesezeit: 18 Minuten
ComplianceCybersicherheitDatensicherheit

Die ersten Schritte

Erfahren Sie, was SailPoint Identity Security für Ihr Unternehmen leisten kann

Entdecken Sie, wie unsere Lösungen moderne Unternehmen dabei unterstützen, die Herausforderung des sicheren Zugriffs auf Ressourcen zu meistern – ohne Kompromisse bei Produktivität oder Innovation.

Eine Demo anfordernKontakt