Wie schützen Unternehmen ihre Daten wirksam gegen Gefahren?

Hacker attackieren immer öfter Unternehmen. Legen die Eindringlinge dabei rechnungslegungsrelevante IT-Systeme lahm, ist der Jahresabschluss gefährdet. Das Problem: Massive IT-Sicherheitsmaßnahmen wären nötig, hemmen aber oft die Geschäftsabläufe. Eine Lösung bieten Managementsysteme, die bestehende Schutzmaßnahmen passgenau aufeinander abstimmen.

„Wir haben ein Problem“, sagt der Geschäftsführer eines Mandanten am Telefon. „Wir wurden gehackt und Daten wurden verschlüsselt. Alle Systeme sind unten, wir können seit zwei Wochen nicht buchen und nicht fakturieren. Electronic Banking geht auch nicht. Was sagen Sie, als unser Wirtschaftsprüfer, dazu? Wir haben ja bald die Jahresabschlussprüfung …“ Anrufe wie dieser sind drastisch, Einzelfälle sind es nicht. Dem*der Wirtschaftsprüfer*in bleibt in einer solchen Situation nichts anderes übrig, als darauf hinzuweisen, dass auch bei Systemausfällen und einem unerlaubten Zugriff auf die Systeme der Finanzbuchhaltung die ordnungsmäßigen Grundsätze der Buchführung einzuhalten sind. Das betroffene Unternehmen muss zudem die Wiederherstellung der rechnungslegungsrelevanten Systeme gut dokumentieren und die Integrität der Daten prüfen. Nur wenn es dem Mandanten gelingt, den Vorfall lückenlos aufzuklären, können die Abschlussprüfer*innen die Ordnungsmäßigkeit der Buchführung bestätigen. Andernfalls müssen die Prüfer*innen ihren Bestätigungsvermerk zum Jahresabschluss gegebenenfalls modifizieren.

Vor allem in den vergangenen zwei, drei Jahren haben die Befürchtungen der Unternehmen zugenommen, selbst in eine ähnliche Situation wie die geschilderte zu geraten. Ob der Grund für die Sorgen in den zahlreichen und nahtlos aufeinanderfolgenden Krisen liegt, lässt sich an dieser Stelle nur mutmaßen. Fest steht jedenfalls, dass die Maßnahmen der Verantwortlichen für die IT-Sicherheit in den Unternehmen erstaunlich oft in dieselbe Richtung weisen. So fordern sie in aller Regel höhere Budgets für den Aufbau immer härterer Schutzmaßnahmen. Sie nehmen dabei billigend in Kauf, dass die Geschäftsprozesse durch die Last eben dieser Maßnahmen oftmals stark gehemmt werden. Dabei zeigt die Erfahrung, dass diese härteren Abwehrmaßnahmen meistens gar nicht nötig sind, um die Sicherheit ausreichend zu erhöhen. Stattdessen würden die bestehenden risikobasierenden Sicherheits- und Schutzmaßnahmen in vielen Fällen ausreichen, wenn diese besser aufeinander abgestimmt wären.

Ein Managementsystem zur Informationssicherheit erhöht den Wirkungsgrad bestehender Schutzmaßnahmen

Dass bestehende Maßnahmen dennoch oft ineffizient sind, liegt daran, dass sie unzureichend organisiert und schlecht aufeinander abgestimmt sind. Doch dies ließe sich relativ leicht und mit einem vergleichsweise geringen Budget ändern. Die entsprechende Lösung stellt ein sogenanntes Managementsystem zur Informationssicherheit (ISMS) dar. Es unterstützt die Unternehmen dabei, bestehende Maßnahmen gleichsam in geordnete „Schubladen“ zu sortieren und aufeinander abzustimmen. Hat ein Unternehmen seine Sicherheitsmaßnahmen erst einmal auf diese Weise neu geordnet, erkennt es schnell, an welchen Stellen offene Flanken oder gar Lücken bestehen und wo gezielt nachgearbeitet werden muss. Investitionen in die bestehende Sicherheitsarchitektur können auf diese Weise deutlich zielgenauer erfolgen. Durch das fokussierte Schließen der Sicherheitslücken lässt sich zudem die Einführung neuer Schutzmaßnahmen vermeiden und dadurch eine Lähmung der Geschäftsprozesse verhindern.

ISO-Norm gibt Richtschnur beim Aufbau eines Managementsystems vor

Unternehmen, die ihren Sicherheitsmaßnahmen durch die Etablierung eines ISMS mehr Effizienz verleihen wollen, können sich hierbei am Standard ISO 27001 „Anforderungen an das ISMS“ orientieren. Dieser enthält sowohl verpflichtende Klauseln zu Vorgehensweisen als auch konkrete Maßnahmen zum Aufbau eines ISMS und wurde zuletzt Ende 2022 angepasst, um neue Bedrohungsarten zu integrieren. Gleichzeitig wurde er um Maßnahmen zu „modernen Technologien“, wie beispielsweise KI, Cloud-Dienste und Threat Intelligence, ergänzt. Das Gute am Standard ISO 27001: Er umfasst nicht nur Maßnahmen für die naheliegenden Themen „Informationen/Daten“, sondern auch für zahlreiche andere Arten von Unternehmenswerten. So gibt er beispielsweise Regelungsvorschläge zu Real Estate, Hardware, Software, aber auch zur Personal- und der Unternehmenssteuerung. Einer der Vorteile dieser Norm ist somit ihr holistischer Ansatz.

Zwei Kriterien geben den Ausschlag, um das Sicherheitsniveau im Unternehmen signifikant zu erhöhen und diesbezüglich Synergien zu erzielen. So müssen erstens die bereits bestehenden Sicherheitsmaßnahmen des Unternehmens geregelt und aufeinander abgestimmt sein. Zweitens ist die Einrichtung von Kommunikationsschnittstellen zwischen den Einheiten des Unternehmens wie Business, IT, Security, Datenschutz, HR, Einkauf und Legal von fundamentaler Bedeutung. Im Rahmen dieser Ordnung können die Unternehmen (i) knappe Ressourcen (Budgets, Personal, Aufwände) gezielter einsetzen, (ii) das Niveau der Informationssicherheit durch sich ergebende Synergien steigern und (iii) vermeiden sie es, Geschäftsprozesse durch Insellösungen und/oder restriktive Sicherheitsmaßnahmen zu hemmen.

Fazit: Sicherheitsmechanismen schützen Primärwerte, damit Sekundärwerte unbeeinträchtigt bleiben

Natürlich schützt ein ISMS das Unternehmen nicht davor, dass Cyber-Angriffe passieren. Mit einem gut gesteuerten Managementsystem (MS) ist das Unternehmen aber besser auf Hacker-Angriffe vorbereitet. Durch das MS lassen sich vorab durchdachte Sofort-Maßnahmen und Aktivitäten schneller initiieren und umsetzen. Schäden dürften so allerhöchstens an den IT-Schutzschildern entstehen, während die schützenswerten Assets, insbesondere die kritischen Daten und Informationen des Unternehmens und Geschäftsprozesse, geschützt bleiben sollten.

Für weitere Themen rund um die Informationssicherheit bei der Wirtschaftsprüfung und Mazars folgen Sie uns auch auf LinkedIn, X und XING.