Cybercrime: ein ernstes Thema für die Abschlussprüfung

Digitalisierung & Innovation
31. Oktober 2022

Die Beurteilung von Unternehmensrisiken zählt wohl zu den wichtigsten Aufgaben von Wirtschaftsprüfer*innen. Mit dem weltweiten Anstieg der Cyberangriffe und ihren wirtschaftlichen Schäden fallen auch IT-Sicherheitsrisiken ins Spektrum der Abschlussprüfung. Laut Bundeslagebild Cybercrime, herausgegeben vom Bundeskriminalamt, erreichte die Zahl erfasster Cyberstraftaten mit 146.363 Delikten im Jahr 2021 einen neuen Höchststand. Angesichts der globalen politischen Lage hat sich die Bedrohung aus dem Netz 2022 noch weiter verschärft.

Dieser Artikel soll aufzeigen, wie mit einem IT-Sicherheitsvorfall im Rahmen einer Abschlussprüfung umzugehen ist und welche Maßnahmen Unternehmen ergreifen können, um das Risiko von Cyberangriffen erheblich zu reduzieren.

IT-Sicherheitsvorfälle und ihre Auswirkung auf die Abschlussprüfung

Ist auf Mandantenseite ein IT-Sicherheitsvorfall eingetreten, d. h. eine negative Beeinträchtigung der Vertraulichkeit, der Integrität von Unternehmensdaten und/oder der Verfügbarkeit von IT-Systemen und damit Geschäftsprozessen, stehen Wirtschaftsprüfer*innen vor der Herausforderung, die Auswirkungen des Vorfalls auf die Vermögens-, Finanz- und Ertragslage zu beurteilen. Dabei spielen beispielsweise folgende Aspekte eine Rolle:

  • Welche finanziellen Verluste ergeben sich aus dem Vorfall, beispielsweise durch Ausfall von Produktionsprozessen, der Lieferfähigkeit oder Möglichkeit der Fakturierung. Drohen dadurch evtl. Regressansprüche durch Geschäftspartner*innen, die bilanziell zu erfassen sind?
  • Ist durch einen langfristigen Ausfall kritischer IT-Systeme und Prozesse evtl. die Unternehmensfortführungsprämisse gefährdet?
  • Sind personenbezogene Daten gestohlen worden bzw. sind entsprechende datenschutzrechtliche Meldungen an Behörden erfolgt?
  • Drohen ggf. Bußgeldzahlungen und/oder Anwaltskosten, die im Jahresabschluss zu berücksichtigen sind?
  • Wurden im Falle eines Datenverlustes rechnungslegungsrelevante Daten vollständig und richtig wiederhergestellt?

Hierbei kann es notwendig sein, dass spezialisierte Computerforensik-Teams eine technische Analyse der Eindämmung und Auswirkung des Vorfalls vornehmen und darüber Bericht erstatten.

Es ist daher sowohl für Unternehmen als auch für deren Wirtschaftsprüfer*innen von hohem Interesse, das Risiko des Eintretens solcher IT-Sicherheitsvorfälle so weit wie möglich durch die Einrichtung effektiver technischer, prozessualer und organisatorischer IT-Sicherheitsmaßnahmen zu reduzieren.

Maßnahmen zur Prävention von IT-Sicherheitsvorfällen

Grundvoraussetzung für das Auftreten von IT-Sicherheitsvorfällen ist die Existenz von Schwachstellen. Damit sind hauptsächlich Unzulänglichkeiten in IT-Systemen gemeint, wie beispielweise die Möglichkeit, dass Angreifer*innen eigene Schadprogramme auf dem IT-System ausführen. Ein prominentes Beispiel dafür ist die Log4j-Schwachstelle. Nicht zu unterschätzen ist auch der menschliche Faktor: Werden Links in sogenannten Phishing-Mails unbedarft angeklickt, eventuell sogar Passwörter preisgegeben, haben Angreifer*innen freie Bahn in das Unternehmensnetzwerk. Das systematische Ausnutzen einer vorliegenden Schwachstelle bezeichnet man als „Exploit“, was zu einem IT-Sicherheitsvorfall führt.

Wie lässt sich die IT-Sicherheit erhöhen? Es gibt eine ganze Reihe von technischen Maßnahmen, die dazu beitragen können:

  • Schutz von Endgeräten inkl. Arbeitsplatzrechnern, Laptops, Tablets, Mobiltelefonen und Internet-of-Things-Geräten (Endpoint Protection): Neben dem klassischen Virenschutz gehören auch das Mobile Device Management, die Data Leak Prevention sowie neuere, verhaltensorientierte Verfahren der Schadcodeerkennung dazu.
  • Einsatz von Firewalls, die dem neuesten Stand der Technik entsprechen und Funktionen wie Deep Packet Inspection und Intrusion Prevention liefern. Das betrifft auch eine angemessene Aufteilung des Unternehmensnetzwerks in Sicherheitsbereiche (sog. Netzwerksegmentierung), um im Falle eines Einbruchs die Angreifer*innen auf einzelne Segmente beschränken bzw. die Angreifer*innen isolieren zu können.
  • Protokollierung und Monitoring sicherheitsrelevanter Ereignisse: Idealerweise kommen IT-Systeme zum Einsatz, die automatisiert und regelbasiert nach definierten Kriterien Alarm geben, falls ein Indikator für einen IT-Sicherheitsvorfall vorliegt (Security Information and Event Management). Entsprechend sollten die Alarme von einer ständig besetzten Stelle aufgegriffen, bewertet und gehandhabt werden (Security Operations Center).
  • Verwendung zeitgemäßer, als sicher geltender Verschlüsselungsverfahren für die Festplattenverschlüsselung, E-Mail-Verschlüsselung sowie Sicherheit von Datenverbindungen, bspw. Virtual Private Network für Mitarbeiter*innen im Homeoffice.

Prozessuale Maßnahmen können die IT-Sicherheit ebenfalls stärken. Dazu gehören:

  • Verfahren, um zeitnah und angemessen auf IT-Sicherheitsvorfälle reagieren zu können (Incident Management);
  • Datensicherungs- und Wiederherstellungsverfahren, um im Falle eines Datenverlusts (etwa aufgrund einer Ransomware) die Daten aus nicht betroffenen Datensicherungen wiederherstellen zu können;
  • Verfahren zur Authentifizierung und eingeschränkten Rechtevergabe, um einem*einer Angreifer*in die Kompromittierung von Benutzerkonten so schwer wie möglich zu machen; 
  • Patchmanagement, um verfügbare Sicherheitsupdates effektiv auf IT-Systeme auszurollen;
  • Systemhärtung, um sicherzustellen, dass nicht benötigte, aber möglicherweise für Angriffe nutzbare Services auf IT-Systemen deaktiviert werden.

Wichtig ist, regelmäßige Schwachstellen-Scans durchzuführen, bei denen toolgestützt überprüft wird, ob Angriffsmöglichkeiten in den IT-Systemen vorliegen, die beispielsweise auf veraltete Softwareversionen, veraltete Verschlüsselungsverfahren oder nicht ordnungsmäßige Konfigurationen zurückzuführen sind. Soll darüber hinaus geprüft werden, ob Schwachstellen auch ausgenutzt werden können, ist ein „Penetrationstest“ erforderlich.

Neben technischen und prozessualen gibt es auch organisatorische Maßnahmen, mit denen das IT-Sicherheitsrisiko reduziert werden kann. Dazu gehören Richtlinien, die den ordnungsmäßigen Umgang mit IT-Ressourcen definieren, sowie regelmäßig abzuhaltende Sicherheitsbewusstseins-Schulungen. Der Erfolg dieser Schulungen kann mit sog. Phishing-Kampagnen kontrolliert werden: Sicherheitsexpert*innen verschicken präparierte E-Mail-Links und testen, wie viele Mitarbeiter*innen auf Phishing hereinfallen.

Gefahrenanalyse als Chance nutzen

Vor dem Hintergrund der fortschreitenden Digitalisierung bzw. der Abhängigkeit von Informationstechnologie sowie in Anbetracht der globalen politischen Lage ist absehbar, dass das Thema IT-Sicherheit auch in der Abschlussprüfung eine immer wichtigere Rolle spielen wird. Wirtschaftsprüfer*innen stehen daher vor der Herausforderung, sich mit Begriffen und Zusammenhängen im Bereich der IT-Sicherheit vertraut zu machen, um IT-sicherheitsbezogene Konzepte und Maßnahmen bei ihren Mandant*innen beurteilen und somit das IT-Sicherheitsrisiko fundiert einschätzen zu können. Andererseits ergibt sich aus der Analyse von Cybercrime-Risiken auch die Chance, Zusatznutzen für Mandant*innen zu generieren, indem Schwächen und Verbesserungspotenziale im Bereich IT-Sicherheit aufgezeigt werden.


Für weitere Themen rund um die Wirtschaftsprüfung und Mazars folgen Sie uns auch auf LinkedIn, X und XING.

Kommentare

Antwort

Ihre E-Mail Adresse wid nicht veröffentlicht. Pflichtfelder sind markiert*.