Angst vor Cyberangriffen? Der Quick-Check hilft.
Cyberkriminalität scheint eine unsichtbare Bedrohung zu sein, doch für die Wirtschaft wird sie immer realer. Umfragen zufolge sind bereits mehr als zwei Drittel aller Unternehmen in Deutschland Opfer von Cyberangriffen geworden, darunter auch große Namen: 2021 traf es beispielsweise den schwäbischen Automobilzulieferer Eberspächer. Und im Sommer 2022 legte eine Hackerattacke das Catering-Unternehmen Apetito lahm.
Wie steht es um den Reifegrad der Informationssicherheit? Diese Frage stellen sich immer mehr Unternehmen. Welche Möglichkeiten haben sie, um sich schnell und unkompliziert über den Stand ihrer IT-Sicherheit zu informieren? Und warum ist Cyber Security für Rechnungslegung und Abschlussprüfung ein Thema?
Bei Cyberangriffen rücken auch die Prüfer*innen in den Fokus der Öffentlichkeit. Sie müssen beurteilen, ob das IT-gestützte Rechnungslegungssystem den gesetzlichen Anforderungen an die Ordnungsmäßigkeit und Sicherheit entspricht. Und sie prüfen, ob die Systemelemente tatsächlich dazu dienen, Daten über Geschäftsvorfälle oder betriebliche Aktivitäten zu verarbeiten, die entweder direkt in die IT-gestützte Rechnungslegung einfließen oder als Grundlage für Buchungen im Rechnungslegungssystem („rechnungsrelevante Daten“) in elektronischer Form zur Verfügung gestellt werden.
Mind the gap
Die Prüfung der Cyber Security steht dabei nicht im Mittelpunkt. Folglich kommt es in vielen Fällen zu einer Erwartungslücke zwischen dem, was die Prüfer*innen im Rahmen der Abschlussprüfung prüfen, und den Wünschen bzw. Erwartungen der Mandant*innen.
Um die wesentlichen Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – dauerhaft aufrechterhalten zu können, bedarf es effektiver und zeitgemäßer Sicherheitskonzepte. Orientierung bieten die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Maßnahmen des IT-Grundschutzes sowie die Regeln der internationalen Norm ISO 27001. In der Theorie gelten beide Standards bei den meisten Informations- und IT-Sicherheitsexpert*innen als „Best in Class“ und „State of the Art“. In der Praxis aber erweisen sie sich oft als sehr umfangreich, komplex und dokumentationsintensiv, um nicht zu sagen „bürokratisch“.
Bei Jahresabschlussprüfungen kommt ein Prüfungsstandard des Instituts der Wirtschaftsprüfer zur Anwendung: Der „IDW PS 330 – Abschlussprüfung bei Einsatz von Informationstechnologie“ fokussiert praxisorientiert auf die rechnungslegungsrelevanten IT-Systeme sowie wesentliche, ausgewählte Kontrollen, wie sie auch in der ISO 27001 definiert sind.
Daher gestalten viele privatwirtschaftliche und gewinnorientierte Unternehmen ihr Informationssicherheitsmanagementsystem (ISMS) oft nur in Anlehnung an ISO 27001. Das mag grundsätzlich ausreichen, solange es weiter- und tiefergehenden regulatorischen und/oder branchenspezifischen Vorgaben an die Informationssicherheit genügt. Doch sollte man in jedem Fall mindestens die folgenden zehn Aspekte der Informationssicherheit betrachten:
Cyber Security-Quick-Check
Was können Unternehmen tun, um potenzielle Lücken zu schließen, insbesondere im Kontext der Abschlussprüfung? Eine Option ist der Einsatz von Tools wie dem Cyber Security-Quick-Check von Mazars. Dabei handelt es sich um ein Werkzeug, das speziell auf Unternehmen mit kleinem IT- und IT-Sicherheits-Budget zugeschnitten ist. Denn auch solche Unternehmen müssen auf die Schnelle erkennen können, wie es um die eigene Informationssicherheit steht, über welche Schlupflöcher ein vermeintlicher Hackerangriff am wahrscheinlichsten erfolgen kann oder wie ein Informationssicherheitsvorfall die Fortführung des Geschäftsbetriebs signifikant beeinträchtigen könnte.
Von Vorteil ist ein Quick-Check auch bei der Abschlussprüfung. Schnell und mit verhältnismäßig geringem Aufwand zeigt sich, wie hoch der Reifegrad der Informationssicherheit im Unternehmen ist und ob eventuell doch eine ganzheitliche Bewertung nach dem IDW PS 330 durchgeführt werden sollte. Unternehmen haben damit eine fundierte Entscheidungsvorlage dafür, in welchen Bereichen der IT sie am effizientesten in IT-Sicherheitsmaßnahmen investieren sollten: eine klare Win-win-Situation im Rahmen der Jahresabschlussprüfung.
Die Organisation und Durchführung eines Cyber Security-Quick-Checks erfolgt in fünf Schritten:
Der Aufwand einer solchen Sicherheitsprüfung ist überschaubar. Meist reichen einige kurze Interviews mit den IT-Verantwortlichen aus. Über alle Rollen und Funktionen hinweg dauert diese Phase nur wenige Stunden. Dafür erhalten die Unternehmen eine fundierte Einschätzung ihrer Informations- und IT-Sicherheit. Ein kurzer Prüfbericht rundet den Quick-Check ab. Im Anschluss können konkrete Vorschläge für erforderliche korrektive Maßnahmen entwickelt und nach Aufwand und Nutzen bewertet werden. Ergebnis ist ein konkreter Maßnahmenplan, welcher die Informations- und IT-Sicherheit der Organisation effektiv und nachhaltig stärkt.
Die Digitalisierung ist ein Megatrend, dem sich keine Branche entziehen kann. Allerdings darf dieser Trend nicht auf Kosten der IT-Sicherheit gehen. Dass Unternehmen immer häufiger Opfer von Hacker-Angriffen werden, zeigt, wie wichtig eine regelmäßige Überprüfung der Informations- und IT-Sicherheit ist. Tools wie der Cyber Security-Quick-Check sparen bei der Abschlussprüfung nicht nur Zeit, sondern liefern wertvolle Impulse für eine Verbesserung der digitalen Infrastruktur im Unternehmen.
Lesen Sie dazu auch den Blog-Beitrag „Cybercrime: ein ernstes Thema für die Abschlussprüfung“ von Christopher Hock.
Für weitere Themen rund um die Wirtschaftsprüfung und Mazars folgen Sie uns auch auf LinkedIn, X und XING.
Kommentare