Cybercrime: ein ernstes Thema für die Abschlussprüfung
Digitalisierung & Innovation
31. Oktober 2022
Die Beurteilung von Unternehmensrisiken zählt wohl zu den wichtigsten Aufgaben von Wirtschaftsprüfer*innen. Mit dem weltweiten Anstieg der Cyberangriffe und ihren wirtschaftlichen Schäden fallen auch IT-Sicherheitsrisiken ins Spektrum der Abschlussprüfung. Laut Bundeslagebild Cybercrime, herausgegeben vom Bundeskriminalamt, erreichte die Zahl erfasster Cyberstraftaten mit 146.363 Delikten im Jahr 2021 einen neuen Höchststand. Angesichts der globalen politischen Lage hat sich die Bedrohung aus dem Netz 2022 noch weiter verschärft.
Dieser Artikel soll aufzeigen, wie mit einem IT-Sicherheitsvorfall im Rahmen einer Abschlussprüfung umzugehen ist und welche Maßnahmen Unternehmen ergreifen können, um das Risiko von Cyberangriffen erheblich zu reduzieren.
IT-Sicherheitsvorfälle und ihre Auswirkung auf die Abschlussprüfung
Ist auf Mandantenseite ein IT-Sicherheitsvorfall eingetreten, d. h. eine negative Beeinträchtigung der Vertraulichkeit, der Integrität von Unternehmensdaten und/oder der Verfügbarkeit von IT-Systemen und damit Geschäftsprozessen, stehen Wirtschaftsprüfer*innen vor der Herausforderung, die Auswirkungen des Vorfalls auf die Vermögens-, Finanz- und Ertragslage zu beurteilen. Dabei spielen beispielsweise folgende Aspekte eine Rolle:
- Welche finanziellen Verluste ergeben sich aus dem Vorfall, beispielsweise durch Ausfall von Produktionsprozessen, der Lieferfähigkeit oder Möglichkeit der Fakturierung. Drohen dadurch evtl. Regressansprüche durch Geschäftspartner*innen, die bilanziell zu erfassen sind?
- Ist durch einen langfristigen Ausfall kritischer IT-Systeme und Prozesse evtl. die Unternehmensfortführungsprämisse gefährdet?
- Sind personenbezogene Daten gestohlen worden bzw. sind entsprechende datenschutzrechtliche Meldungen an Behörden erfolgt?
- Drohen ggf. Bußgeldzahlungen und/oder Anwaltskosten, die im Jahresabschluss zu berücksichtigen sind?
- Wurden im Falle eines Datenverlustes rechnungslegungsrelevante Daten vollständig und richtig wiederhergestellt?
Hierbei kann es notwendig sein, dass spezialisierte Computerforensik-Teams eine technische Analyse der Eindämmung und Auswirkung des Vorfalls vornehmen und darüber Bericht erstatten.
Es ist daher sowohl für Unternehmen als auch für deren Wirtschaftsprüfer*innen von hohem Interesse, das Risiko des Eintretens solcher IT-Sicherheitsvorfälle so weit wie möglich durch die Einrichtung effektiver technischer, prozessualer und organisatorischer IT-Sicherheitsmaßnahmen zu reduzieren.
Maßnahmen zur Prävention von IT-Sicherheitsvorfällen
Grundvoraussetzung für das Auftreten von IT-Sicherheitsvorfällen ist die Existenz von Schwachstellen. Damit sind hauptsächlich Unzulänglichkeiten in IT-Systemen gemeint, wie beispielweise die Möglichkeit, dass Angreifer*innen eigene Schadprogramme auf dem IT-System ausführen. Ein prominentes Beispiel dafür ist die Log4j-Schwachstelle. Nicht zu unterschätzen ist auch der menschliche Faktor: Werden Links in sogenannten Phishing-Mails unbedarft angeklickt, eventuell sogar Passwörter preisgegeben, haben Angreifer*innen freie Bahn in das Unternehmensnetzwerk. Das systematische Ausnutzen einer vorliegenden Schwachstelle bezeichnet man als „Exploit“, was zu einem IT-Sicherheitsvorfall führt.
Wie lässt sich die IT-Sicherheit erhöhen? Es gibt eine ganze Reihe von technischen Maßnahmen, die dazu beitragen können:
- Schutz von Endgeräten inkl. Arbeitsplatzrechnern, Laptops, Tablets, Mobiltelefonen und Internet-of-Things-Geräten (Endpoint Protection): Neben dem klassischen Virenschutz gehören auch das Mobile Device Management, die Data Leak Prevention sowie neuere, verhaltensorientierte Verfahren der Schadcodeerkennung dazu.
- Einsatz von Firewalls, die dem neuesten Stand der Technik entsprechen und Funktionen wie Deep Packet Inspection und Intrusion Prevention liefern. Das betrifft auch eine angemessene Aufteilung des Unternehmensnetzwerks in Sicherheitsbereiche (sog. Netzwerksegmentierung), um im Falle eines Einbruchs die Angreifer*innen auf einzelne Segmente beschränken bzw. die Angreifer*innen isolieren zu können.
- Protokollierung und Monitoring sicherheitsrelevanter Ereignisse: Idealerweise kommen IT-Systeme zum Einsatz, die automatisiert und regelbasiert nach definierten Kriterien Alarm geben, falls ein Indikator für einen IT-Sicherheitsvorfall vorliegt (Security Information and Event Management). Entsprechend sollten die Alarme von einer ständig besetzten Stelle aufgegriffen, bewertet und gehandhabt werden (Security Operations Center).
- Verwendung zeitgemäßer, als sicher geltender Verschlüsselungsverfahren für die Festplattenverschlüsselung, E-Mail-Verschlüsselung sowie Sicherheit von Datenverbindungen, bspw. Virtual Private Network für Mitarbeiter*innen im Homeoffice.
Prozessuale Maßnahmen können die IT-Sicherheit ebenfalls stärken. Dazu gehören:
- Verfahren, um zeitnah und angemessen auf IT-Sicherheitsvorfälle reagieren zu können (Incident Management);
- Datensicherungs- und Wiederherstellungsverfahren, um im Falle eines Datenverlusts (etwa aufgrund einer Ransomware) die Daten aus nicht betroffenen Datensicherungen wiederherstellen zu können;
- Verfahren zur Authentifizierung und eingeschränkten Rechtevergabe, um einem*einer Angreifer*in die Kompromittierung von Benutzerkonten so schwer wie möglich zu machen;
- Patchmanagement, um verfügbare Sicherheitsupdates effektiv auf IT-Systeme auszurollen;
- Systemhärtung, um sicherzustellen, dass nicht benötigte, aber möglicherweise für Angriffe nutzbare Services auf IT-Systemen deaktiviert werden.
Wichtig ist, regelmäßige Schwachstellen-Scans durchzuführen, bei denen toolgestützt überprüft wird, ob Angriffsmöglichkeiten in den IT-Systemen vorliegen, die beispielsweise auf veraltete Softwareversionen, veraltete Verschlüsselungsverfahren oder nicht ordnungsmäßige Konfigurationen zurückzuführen sind. Soll darüber hinaus geprüft werden, ob Schwachstellen auch ausgenutzt werden können, ist ein „Penetrationstest“ erforderlich.
Neben technischen und prozessualen gibt es auch organisatorische Maßnahmen, mit denen das IT-Sicherheitsrisiko reduziert werden kann. Dazu gehören Richtlinien, die den ordnungsmäßigen Umgang mit IT-Ressourcen definieren, sowie regelmäßig abzuhaltende Sicherheitsbewusstseins-Schulungen. Der Erfolg dieser Schulungen kann mit sog. Phishing-Kampagnen kontrolliert werden: Sicherheitsexpert*innen verschicken präparierte E-Mail-Links und testen, wie viele Mitarbeiter*innen auf Phishing hereinfallen.
Gefahrenanalyse als Chance nutzen
Vor dem Hintergrund der fortschreitenden Digitalisierung bzw. der Abhängigkeit von Informationstechnologie sowie in Anbetracht der globalen politischen Lage ist absehbar, dass das Thema IT-Sicherheit auch in der Abschlussprüfung eine immer wichtigere Rolle spielen wird. Wirtschaftsprüfer*innen stehen daher vor der Herausforderung, sich mit Begriffen und Zusammenhängen im Bereich der IT-Sicherheit vertraut zu machen, um IT-sicherheitsbezogene Konzepte und Maßnahmen bei ihren Mandant*innen beurteilen und somit das IT-Sicherheitsrisiko fundiert einschätzen zu können. Andererseits ergibt sich aus der Analyse von Cybercrime-Risiken auch die Chance, Zusatznutzen für Mandant*innen zu generieren, indem Schwächen und Verbesserungspotenziale im Bereich IT-Sicherheit aufgezeigt werden.
Für weitere Themen rund um die Wirtschaftsprüfung und Mazars folgen Sie uns auch auf LinkedIn, X und XING.
Macht Künstliche Intelligenz Wirtschaftsprüfer*innen überflüssig?
Wird Künstliche Intelligenz in Zukunft den Job der Wirtschaftsprüfer*innen übernehmen? Vier Einschränkungen der KI sprechen eher gegen die These. Eine Ergänzung der Prüfungsarbeit durch KI erscheint gleichwohl sinnvoll.
Weiterlesen
DORA: Bessere Cybersicherheit dank Wirtschaftsprüfer*innen?
Cyberangriffe nehmen weltweit rasant zu – vor allem die Finanzbranche gerät vermehrt ins Visier von Hackern. Um die Institute widerstandsfähiger zu machen, hat die EU den Digital Operational Resilience Act (DORA) verabschiedet. Wirtschaftsprüfer*innen sollen die Umsetzung der Maßnahmen ab 2025 kontrollieren. Sind sie dafür ausreichend vorbereitet? Digitale Technologien haben heutzutage eine zentrale Bedeutung für die […]
Weiterlesen
KI und Audit: Werden Wirtschaftsprüfer*innen noch gebraucht?
Immer mehr WPG setzen KI-Systeme in der Prüfung ein. Was bedeutet das für die Wirtschaftsprüfer*innen? Werden sie in der schönen neuen Prüfungswelt noch gebraucht? Und wenn ja: Wie machen sie sich fit für die Zukunft?
Weiterlesen
KI in der Wirtschaftsprüfung: Hat die Revolution begonnen?
Schon jetzt steigern WPG durch den Einsatz von KI ihre Effizienz und Prüfungsqualität. Zukünftig wird KI immer mehr prüfungsrelevante Bereiche erobern. Wo sind die Grenzen der neuen Technologie? Und gibt es auch Risiken?
Weiterlesen
Wie schützen Unternehmen ihre Daten wirksam gegen Gefahren?
Es braucht gar nicht die großen Investitionen und harten Sicherheitsmaßnahmen, um Hacker abzuwehren. Durch das Ordnen der bestehenden Sicherheitsmaßnahmen kann oft schon ein wirksamer Schutz gegen den Datenklau erreicht werden.
Weiterlesen
Mit Transparenz und Vertrauen zur neuen deutschen Datenkultur
ChatGPT macht es deutlich: Daten und ihre Verarbeitung werden immer wichtiger. Wie ein zeitgemäßer Umgang mit Daten aussehen könnte und welche Rolle Wirtschaftsprüfer*innen hierbei spielen, zeigt jetzt ein Positionspapier des IDW.
Weiterlesen
Machine Learning: Wie Wirtschaftsprüfer*innen davon profitieren
Um von den neuen Möglichkeiten des maschinellen Lernens zu profitieren, sollten Wirtschaftsprüfer*innen an ihrer Datenkompetenz arbeiten. Welche Möglichkeiten gibt es?
Weiterlesen
Spagat zwischen den Kulturen: Erfolgreiche Zusammenarbeit über Ländergrenzen hinweg
Interkulturelle Zusammenarbeit wird in der modernen Wirtschaftsprüfung immer wichtiger. Wie der Austausch mit internationalen Teams funktioniert, zeigen wir am Beispiel unseres Shared Service Centers in Marokko.
Weiterlesen
Green IT – der strategische Weg zur nachhaltigen Digitalisierung und Transformation
Das Thema Nachhaltigkeit ist in der IT angekommen: Unter dem Stichwort Green IT realisieren Unternehmen Chancen und sichern sich gegen Risiken ab. Wir zeigen, wie das funktioniert und welchen Stellenwert Green IT für die Wirtschaftsprüfung hat.
Weiterlesen
Nachhaltiges Daten-Management – eine strategische Voraussetzung für Datennutzung und Klimaschutz
Wirtschaftsprüfer*innen benötigen Daten, um ihrem Prüfauftrag nachzukommen. Doch damit Daten im Sinne der gewünschten Nachhaltigkeit gesammelt, analysiert und archiviert werden können, ist effizientes Daten-Management unerlässlich.
Weiterlesen
Kommentare