HLB Dr. Schumacher & Partner GmbH - Springe direkt:

Möchten Sie zur mobilen Version wechseln?
Kompetenz
verbindet

It-Sicherheit: Wirtschaftsprüfer in Prozesse integrieren

Link
Veröffentlichung

It-Sicherheit: Wirtschaftsprüfer in Prozesse integrieren

IT-Sicherheit:
Wirtschaftsprüfer in Prozesse integrieren

Cyberkriminelle haben auch den deutschen Mittelstand im Visier. Was Unternehmen für mehr Datensicherheit tun können – und wie Wirtschaftsprüfer und Steuerberater sie dabei unterstützen.

Der Verlust von Wettbewerbsvorteilen, Einschränkungen in Geschäftsprozessen oder Vertrauensverlust bei den Kunden: der Angriff von Cyberkriminellen kann gerade für mittelständische Unternehmen verheerende Folgen haben – und nachhaltigen Schaden anrichten. Genau wie Großunternehmen sind auch sie zunehmend von Wirtschaftsspionage betroffen. Aufgrund der Größenstruktur haben sie jedoch oftmals mehr Defizite bei Maßnahmen zum Schutz ihrer Daten und bei der internen Kontrolle von Sicherheitsrisiken. Denn häufig verfügen nur wenige Mitarbeiter über ausreichendes Knowhow; vielfach fehlen auch die Kapazitäten zur Analyse der eigenen Risikosituation und der am Markt verfügbaren IT-Lösungen.

Gefährdungsprofile ändern sich

Viele Wirtschaftsprüfer und Steuerberater haben die Erfahrung gemacht, dass das Thema Datenschutz erst in den Fokus der Geschäftsleitung rückt, wenn es bereits zu spät ist. Bei Jahresabschlussprüfungen zeigt sich häufig, dass die Verwaltung von IT-Systemen und deren Sicherheitskontrollen stiefmütterlich behandelt werden. Das liegt unter anderem daran, dass es schwierig ist, den Aufwendungen für Schutzmechanismen einen direkten Mehrwert gegenüberzustellen. Des Weiteren muss die Geschäftsleitung des Unternehmens den relevanten Bedarf an Sicherheitstechnologie definieren, um eine sinnvolle und kostenbewusste Lösung zu finden. Dabei geht es nicht nur um die erstmalige Anschaffung solcher Technologien, sondern auch um deren fortlaufende Pflege und die Anpassung an sich ändernde Gefährdungsprofile.

Prüfer als Vertrauensperson

Wirtschaftsprüfer und Steuerberater können dabei behilflich sein, Lücken zu erkennen und die IT-Sicherheit in Unternehmen zu erhöhen. Zum einen sind sie im eigenen und im Interesse ihrer Mandanten selbst dazu aufgefordert, sensible Daten durch hohe Sicherheitsstandards ausreichend gegen unberechtigte Zugriffe von außen und innen zu schützen. Zum anderen stehen sie als Vertrauenspersonen in engem Kontakt mit den Entscheidungsträgern des Unternehmens und weisen diese auf die Bedeutung der betrieblichen IT-Sicherheit hin. Durch ihren Einfluss bauen sie „Brücken“ zwischen der Geschäftsführung und den fachlich verantwortlichen Mitarbeitern und helfen dadurch bei der Identifikation von wesentlichen Prozessrisiken. Notwendige Sicherheitsmaßnahmen werden dann durch die IT-Verantwortlichen oder externe Spezialisten ermittelt und umgesetzt. Begleitende Prüfungsaktivitäten stellen schließlich sicher, dass die eingerichteten Kontrollmechanismen zur Abdeckung der erkannten Risiken auch wirklich funktionieren.

Hinweise auf Schwachstellen

Eine Prüfung der IT-Sicherheit lässt sich in die Phasen „Aufbauprüfung“ und „Funktionsprüfung“ unterteilen. Zunächst verschafft sich der Prüfer im Rahmen der Aufbauprüfung einen Überblick über die wesentlichen Risiken sowie die eingerichteten internen Kontrollen im Unternehmen. Dazu werden Unternehmensrichtlinien, Prozessdokumentationen und Arbeitsanweisungen gesichtet, Prozessabläufe vor Ort nachvollzogen sowie Interviews mit den zuständigen Mitarbeitern geführt: Welche IT-Systeme, Netzlaufwerke und Schnittstellen existieren im Unternehmen? Wo werden sensible Daten verarbeitet, und wer hat lesenden und/oder schreibenden Zugriff auf diese Daten? Wie werden Unternehmensdaten gegen unberechtigte Zugriffe von innen und außen geschützt? Am Ende der Aufbauprüfung steht die Beurteilung, ob die bisher eingerichteten Kontrollen die wesentlichen Sicherheitsrisiken abdecken. Sollte das nicht der Fall sein, wird der Prüfer auf Schwachstellen und mögliche Kontrollmechanismen hinweisen.

Optimierung des Kontrollsystems

Wird das interne Kontrollsystem als angemessen beurteilt, wird in einer zweiten Prüfungsphase mit Hilfe von Funktionstests geprüft, ob die eingerichteten Kontrollen wie erwartet funktionieren. Mit dem abschließenden Urteil des Prüfers erhält das Unternehmen dann konkrete Hinweise auf eventuell noch vorhandene Schwächen des Kontrollsystems und zudem Empfehlungen für Verbesserungen. Dadurch erlangen die Unternehmen bereits im Vorfeld die Möglichkeit, durch geeignete Kontrollmechanismen auf die relevanten Risiken zu reagieren und das vorhandene Kontrollsystem zu optimieren. Insgesamt kann somit ein umfassender Schutz der IT im Unternehmen erreicht werden.

Daniel Onnebrink ist Diplom-Wirtschaftsinformatiker und Certified Information Systems Auditor (CISA) bei der Wirtschaftsprüfungs- und Steuerberatungsgesellschaft  HLB Dr. Schumacher & Partner aus Münster.

 

hCards

Logo von HLB Dr. Schumacher & Partner GmbH
HLB Dr. Schumacher & Partner GmbH, work: An der Apostelkirche 4, 48143 Münster, Deutschland, work: +49 (0) 2 51/28 08-0, fax: +49 (0) 2 51/28 08-280
Atikon
Atikon, work: Kornstraße 15, 4060 Leonding, Österreich, work: +43 732 611266 0, fax: +43 732 611266 20