https://www.faz.net/-i58-81ogk
Verlagsspezial

: IT-Sicherheit:
Wirtschaftsprüfer in Prozesse integrieren

Bild: Robert Churchill/Thinkstock/Getty Images

Cyberkriminelle haben auch den deutschen Mittelstand im Visier. Was Unternehmen für mehr Datensicherheit tun können – und wie Wirtschaftsprüfer und Steuerberater sie dabei unterstützen.

          Der Verlust von Wettbewerbsvorteilen, Einschränkungen in Geschäftsprozessen oder Vertrauensverlust bei den Kunden: der Angriff von Cyberkriminellen kann gerade für mittelständische Unternehmen verheerende Folgen haben – und nachhaltigen Schaden anrichten. Genau wie Großunternehmen sind auch sie zunehmend von Wirtschaftsspionage betroffen. Aufgrund der Größenstruktur haben sie jedoch oftmals mehr Defizite bei Maßnahmen zum Schutz ihrer Daten und bei der internen Kontrolle von Sicherheitsrisiken. Denn häufig verfügen nur wenige Mitarbeiter über ausreichendes Knowhow; vielfach fehlen auch die Kapazitäten zur Analyse der eigenen Risikosituation und der am Markt verfügbaren IT-Lösungen.

          Gefährdungsprofile ändern sich

          Viele Wirtschaftsprüfer und Steuerberater haben die Erfahrung gemacht, dass das Thema Datenschutz erst in den Fokus der Geschäftsleitung rückt, wenn es bereits zu spät ist. Bei Jahresabschlussprüfungen zeigt sich häufig, dass die Verwaltung von IT-Systemen und deren Sicherheitskontrollen stiefmütterlich behandelt werden. Das liegt unter anderem daran, dass es schwierig ist, den Aufwendungen für Schutzmechanismen einen direkten Mehrwert gegenüberzustellen. Des Weiteren muss die Geschäftsleitung des Unternehmens den relevanten Bedarf an Sicherheitstechnologie definieren, um eine sinnvolle und kostenbewusste Lösung zu finden. Dabei geht es nicht nur um die erstmalige Anschaffung solcher Technologien, sondern auch um deren fortlaufende Pflege und die Anpassung an sich ändernde Gefährdungsprofile.

          Prüfer als Vertrauensperson

          Wirtschaftsprüfer und Steuerberater können dabei behilflich sein, Lücken zu erkennen und die IT-Sicherheit in Unternehmen zu erhöhen. Zum einen sind sie im eigenen und im Interesse ihrer Mandanten selbst dazu aufgefordert, sensible Daten durch hohe Sicherheitsstandards ausreichend gegen unberechtigte Zugriffe von außen und innen zu schützen. Zum anderen stehen sie als Vertrauenspersonen in engem Kontakt mit den Entscheidungsträgern des Unternehmens und weisen diese auf die Bedeutung der betrieblichen IT-Sicherheit hin. Durch ihren Einfluss bauen sie „Brücken“ zwischen der Geschäftsführung und den fachlich verantwortlichen Mitarbeitern und helfen dadurch bei der Identifikation von wesentlichen Prozessrisiken. Notwendige Sicherheitsmaßnahmen werden dann durch die IT-Verantwortlichen oder externe Spezialisten ermittelt und umgesetzt. Begleitende Prüfungsaktivitäten stellen schließlich sicher, dass die eingerichteten Kontrollmechanismen zur Abdeckung der erkannten Risiken auch wirklich funktionieren.

          Hinweise auf Schwachstellen

          Eine Prüfung der IT-Sicherheit lässt sich in die Phasen „Aufbauprüfung“ und „Funktionsprüfung“ unterteilen. Zunächst verschafft sich der Prüfer im Rahmen der Aufbauprüfung einen Überblick über die wesentlichen Risiken sowie die eingerichteten internen Kontrollen im Unternehmen. Dazu werden Unternehmensrichtlinien, Prozessdokumentationen und Arbeitsanweisungen gesichtet, Prozessabläufe vor Ort nachvollzogen sowie Interviews mit den zuständigen Mitarbeitern geführt: Welche IT-Systeme, Netzlaufwerke und Schnittstellen existieren im Unternehmen? Wo werden sensible Daten verarbeitet, und wer hat lesenden und/oder schreibenden Zugriff auf diese Daten? Wie werden Unternehmensdaten gegen unberechtigte Zugriffe von innen und außen geschützt? Am Ende der Aufbauprüfung steht die Beurteilung, ob die bisher eingerichteten Kontrollen die wesentlichen Sicherheitsrisiken abdecken. Sollte das nicht der Fall sein, wird der Prüfer auf Schwachstellen und mögliche Kontrollmechanismen hinweisen.

          Optimierung des Kontrollsystems

          Wird das interne Kontrollsystem als angemessen beurteilt, wird in einer zweiten Prüfungsphase mit Hilfe von Funktionstests geprüft, ob die eingerichteten Kontrollen wie erwartet funktionieren. Mit dem abschließenden Urteil des Prüfers erhält das Unternehmen dann konkrete Hinweise auf eventuell noch vorhandene Schwächen des Kontrollsystems und zudem Empfehlungen für Verbesserungen. Dadurch erlangen die Unternehmen bereits im Vorfeld die Möglichkeit, durch geeignete Kontrollmechanismen auf die relevanten Risiken zu reagieren und das vorhandene Kontrollsystem zu optimieren. Insgesamt kann somit ein umfassender Schutz der IT im Unternehmen erreicht werden.

          Daniel Onnebrink ist Diplom-Wirtschaftsinformatiker und Certified Information Systems Auditor (CISA) bei der Wirtschaftsprüfungs- und Steuerberatungsgesellschaft  HLB Dr. Schumacher & Partner aus Münster.

          Topmeldungen

          : Wie man sich gegen Cyberattacken schützt

          Hacker-Angriffe, Sabotage und Datendiebstahl: Die digitale Revolution hat auch ihre Schattenseiten. Mit fünf Schritten können Firmen für mehr Sicherheit sorgen.

          : Spezialisten dringend gesucht

          IT-Sicherheitsexperten sind gefragt – doch das Angebot an Fachkräften ist begrenzt. Viele Unternehmen setzen deshalb auf Expertise im eigenen Haus.
          Wer im Notfall löscht, hinterlässt manchmal Schäden. Das gilt auch für IT-Experten.

          : Sicherheitspaket für die „IT-Feuerwehr“

          Wenn IT-Dienstleister oder -Berater Fehler machen, kann das für ihre Kunden schwerwiegende Folgen haben. Sie müssen sich daher besonders gegen berufliche Haftpflichtrisiken schützen.
          Auch Manager treffen nicht immer die richtige Entscheidung. Eine D&O-Versicherung kann sie dann schützen.

          : Eine Frage der Existenzsicherung

          Jeder Mensch macht Fehler. Die sogenannten D&O-Versicherungen sind für Manager in Großunternehmen daher längst Standard. Mittlerweile zieht auch der Mittelstand nach.