de en
Nexia Ebner Stolz

Wirtschaftsprüfung

Wohin führt der Zertifzierungswahn?

An Un­ter­neh­men wer­den im­mer um­fas­sen­dere An­for­de­run­gen in Be­zug auf das IT-Um­feld ge­stellt - diese re­sul­tie­ren aus dem Druck des je­wei­li­gen Mark­tes und der Bran­chen, der Ver­gleich­bar­keit mit den Kon­kur­ren­ten, den An­for­de­run­gen des Kun­den oder des Ge­setz­ge­bers.

Folg­lich hat der Nach­weis des si­che­ren und ord­nungsmäßigen Be­triebs von IT-Sys­te­men kon­ti­nu­ier­lich an Be­deu­tung ge­won­nen.

Wir ha­ben kei­nen Com­pu­ter à la Schach­com­pu­ter „Deep Thought“, der die Ant­wort auf die Frage al­ler Fra­gen, nämlich die „nach dem Le­ben, dem Uni­ver­sum und dem gan­zen Rest“ er­rech­nen kann. 42!

Es gibt viele Sym­pa­thi­san­ten, die Er­eig­nisse und Ziele di­rekt mit Da­ten ver­se­hen, um da­durch die Ver­bind­lich­keit zu erhöhen: etwa „IT-Stra­te­gie 2020“ oder „Zu­kunfts­werk­statt“ oder „IT 2030“. Auch wenn wir kei­nen „Deep Thought“ und auch keine Kris­tall­ku­gel für das Jahr 2030 vor uns ste­hen ha­ben, so können wir, was die In­for­ma­ti­ons­tech­no­lo­gie und ins­be­son­dere auch die In­for­ma­ti­ons­si­cher­heit be­trifft, zu­min­dest eine Aus­sage tref­fen, in wel­che Rich­tung es sich ent­wi­ckeln wird.

An Un­ter­neh­men wer­den im­mer um­fas­sen­dere An­for­de­run­gen in Be­zug auf das IT-Um­feld ge­stellt - diese re­sul­tie­ren aus dem Druck des je­wei­li­gen Mark­tes und der Bran­chen, der Ver­gleich­bar­keit mit den Kon­kur­ren­ten, den An­for­de­run­gen des Kun­den oder des Ge­setz­ge­bers. Folg­lich hat der Nach­weis des si­che­ren und ord­nungsmäßigen Be­triebs von IT-Sys­te­men kon­ti­nu­ier­lich an Be­deu­tung ge­won­nen. Bei der Auf­gabe, die ver­schie­dens­ten Stan­dards und An­for­de­run­gen un­ter einen Hut zu be­kom­men, sollte da­bei aber stets­das ober­ste Ziel sein, keine „Com­pli­ance-Par­al­lel­welt“ auf­zu­bauen. Der Nach­weis zur Um­set­zung der An­for­de­run­gen in die ope­ra­ti­ven Ge­schäfts­pro­zesse und das Un­ter­neh­mens­um­feld soll so in­te­griert wer­den, dass da­bei ein di­rek­ter Mehr­wert in der Un­ter­neh­mung ent­steht. Wir sind uns der Kos­ten­fak­to­ren be­wusst, die aus der Viel­zahl der Zer­ti­fi­zie­run­gen un­ter­schied­li­cher re­gu­la­to­ri­scher Vor­ga­ben ent­ste­hen. Un­sere Er­fah­rung in der jah­re­lan­gen Um­set­zung zeigt uns, dass die schwer vor­stell­ba­ren Ziel­set­zun­gen durch ganz­heit­li­che und in­te­grierte Com­pli­ance-Ma­nage­ment-Ansätze er­reich­bar sind.

An­for­de­run­gen IT-Si­cher­heit / In­for­ma­ti­ons­si­cher­heit:

  • ISO 27001 - In­for­ma­ti­ons­tech­nik - Si­cher­heits­ver­fah­ren - In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­teme - An­for­de­run­gen
  • ISO 27019 - In­for­ma­ti­ons­tech­nik - Si­cher­heits­ver­fah­ren - In­for­ma­ti­ons­si­cher­heitsmaßnah­men für die En­er­gie­ver­sor­gung
  • ISO 22301 - Si­cher­heit und Schutz des Ge­mein­we­sens - Busi­ness Con­ti­nuity Ma­nage­ment Sys­tems
  • ISO 27017 - In­for­ma­ti­ons­tech­nik - Si­cher­heits­ver­fah­ren - An­wen­dungs­leit­fa­den für In­for­ma­ti­ons­si­cher­heitsmaßnah­men ba­sie­rend auf ISO/IEC 27002 für Cloud-Ser­vices
  • ISO 27018 - In­for­ma­ti­ons­tech­nik - Si­cher­heits­ver­fah­ren - Leit­fa­den zum Schutz per­so­nen­be­zo­ge­ner Da­ten (PII) in öff­ent­li­chen Cloud-Diens­ten als Auf­trags­da­ten­ver­ar­bei­tung
  • TI­SAX - Trus­ted In­for­ma­tion Se­cu­rity As­sess­ment Ex­change
  • §8a - Prüfung von Be­trei­bern kri­ti­scher In­fra­struk­tu­ren (KRI­TIS) nach §8a Abs. 3 BSIG

Dies sind nur ei­nige we­nige Nor­men, die den Be­reich der In­for­ma­ti­ons­si­cher­heit be­tref­fen. In­for­ma­ti­ons­si­cher­heit steht da­bei für den Schutz von Verfügbar­keit, In­te­grität, Au­then­ti­zität und Ver­trau­lich­keit von schutz­bedürf­ti­gen In­for­ma­tio­nen, die so­wohl phy­si­sch als auch di­gi­tal in der Or­ga­ni­sa­tion vor­kom­men. Ein In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (ISMS) be­inhal­tet das Auf­stel­len von Re­geln und Ver­fah­ren in­ner­halb ei­ner Or­ga­ni­sa­tion, die dazu die­nen, die In­for­ma­ti­ons­si­cher­heit dau­er­haft zu de­fi­nie­ren, steu­ern, kon­trol­lie­ren, auf­recht­zu­er­hal­ten und fort­lau­fend zu ver­bes­sern. ISMS be­deu­tet so­mit, dass die In­for­ma­ti­ons­si­cher­heit (IS) in­ner­halb ei­nes Ma­nage­ment­sys­tems (MS) ver­wal­tet wird, eine Struk­tur erhält und in ty­pi­sche Ma­nage­men­tabläufe (kon­ti­nu­ier­li­che Ver­bes­se­rung, PDCA – Plan, Do, Check, Act) ein­ge­bun­den wird.

Es geht bei dem Be­trieb ei­nes ISMS nicht darum, die per­fekte IT- oder In­for­ma­ti­ons­si­cher­heit zu be­trei­ben oder nach dem ma­xi­mal mögli­chen Le­vel an IT-Si­cher­heit zu stre­ben. Viel­mehr wird be­zweckt, nach dem (in­di­vi­du­ell) idea­len Ni­veau an In­for­ma­ti­ons- und IT-Si­cher­heit zu stre­ben, die­ses Ni­veau zu er­rei­chen, zu hal­ten und zu op­ti­mie­ren.

Ein ISMS stellt eine Grund­lage für wei­tere (not­wen­dige) Zer­ti­fi­zie­run­gen dar - bspw. TI­SAX. TI­SAX ist ein von der Au­to­mo­bil­in­dus­trie de­fi­nier­ter Stan­dard für In­for­ma­ti­ons­si­cher­heit, der sich von der ISO 27001 ab­lei­tet und an die An­for­de­run­gen der Au­to­mo­bil­in­dus­trie an­ge­passt wurde.

Auch im Be­reich der §8a-Prüfun­gen für KRI­TIS-Be­trei­ber stellt ein ISMS eine zen­trale An­for­de­rung dar. Im Rah­men der §8a-Prüfun­gen wird al­ler­dings auch das Not­fall-/ Busi­ness Con­ti­nuity-Ma­nage­ment be­trach­tet. Hier­bei können eben­falls an­er­kannte Nor­men, wie z. B. ISO/IEC 22301 oder BSI-Stan­dard 100-4, her­an­ge­zo­ge­nen wer­den.

Anforderungen durch den Gesetzgeber

Auch der Ge­setz­ge­ber stellt eine Viel­zahl an An­for­de­run­gen an die IT-Si­cher­heit - ak­tu­ell etwa durch das Kas­sen­ge­setz, das 2. Da­ten­schutz­an­pas­sungs­ge­setz, Neu­fas­sung der GoBD (so­wie un­sere novi-Ar­ti­kel) so­wie das Ge­schäfts­ge­heim­nis­ge­setz oder dem im Frühjahr 2019 vor­ge­stell­ten Ent­wurf zum IT-Si­cher­heits­ge­setz 2.0 (IT-SiG 2.0).

Das Kas­sen­ge­setz soll die Ein­fluss­nahme auf elek­tro­ni­sche Auf­zeich­nun­gen mit­hilfe tech­ni­scher Mit­tel ver­hin­dern. Ab dem 1.1.2020 be­steht da­her nach § 146a Abs. 1 Satz 2 AO die Pflicht, elek­tro­ni­sche Auf­zeich­nungs­sys­teme mit zer­ti­fi­zier­ten tech­ni­schen Si­cher­heits­ein­rich­tun­gen ma­ni­pu­la­ti­ons­si­cher zu ge­stal­ten. Dies be­deu­tet ins­be­son­dere für die Her­stel­ler der Kas­sen­sys­teme, dass diese mit den ent­spre­chen­den Si­cher­heits­ein­rich­tun­gen auf­gerüstet wer­den müssen. In dem Zu­sam­men­hang hat das Bun­des­mi­nis­te­rium der Fi­nan­zen mit Schrei­ben vom 26.6.2019 (GZ IV A 4 - S 0316-a/19/10006 :010) in Aus­sicht ge­stellt, dass die Kas­sen­si­che­rungs­ver­ord­nung ggf. mit ei­ner Überg­angs­frist ver­se­hen wird.

Am 21.3.2019 wurde vom Bun­des­tag das Ge­setz zur Um­set­zung der Richt­li­nie (EU) 2016/943 zum Schutz von Ge­schäfts­ge­heim­nis­sen vor rechts­wid­ri­gem Er­werb so­wie rechts­wid­ri­ger Nut­zung und Of­fen­le­gung – kurz Ge­schäfts­ge­heim­nis-Ge­setz (Ge­schGehG) – be­schlos­sen. Für Un­ter­neh­men be­inhal­tet die­ses ins­be­son­dere auch die Pflicht, Ge­schäfts­ge­heim­nisse aus­rei­chend und nach­weis­bar zu si­chern. Nach un­se­ren Er­fah­rungs­wer­ten bie­tet eine Er­wei­te­rung der un­ter A.18.2 auf­geführ­ten Maßnah­men der ISO/IEC 27001 eine gute Grund­lage zur ef­fi­zi­en­ten und ef­fek­ti­ven Um­set­zung der ent­spre­chen­den An­for­de­run­gen. Hier wird deut­lich, dass auch dies zu einem im­ple­men­tier­ten ISMS führt.

Mit dem am 27.3.2019 veröff­ent­lich­ten ers­ten Re­fe­ren­ten­ent­wurf zum IT-SiG 2.0 ha­ben sich die An­for­de­run­gen er­neut ver­schärft, da der Kreis der Un­ter­neh­men, die dem KRI­TIS-Kreis (§ 8a BSIG) un­ter­lie­gen, er­wei­tert wird. So­mit sol­len hier­un­ter nicht mehr nur die Sek­to­ren En­er­gie, IT und Te­le­kom­mu­ni­ka­tion, Trans­port und Ver­kehr, Ge­sund­heit, Was­ser, Ernährung und Fi­nanz- und Ver­si­che­rungs­we­sen fal­len, son­dern auch der Sek­tor Ent­sor­gung so­wie In­fra­struk­tu­ren. Wie die erhöhten IT-Si­cher­heits­an­for­de­run­gen An­for­de­run­gen von den be­trof­fe­nen Un­ter­neh­men erfüllt wer­den sol­len, ist nicht vor­ge­ge­ben.

Schon der­zeit kann (ne­ben IT-Grund­schutz nach BSI) nur ein im­ple­men­tier­tes ISMS gemäß ISO / IEC 27001:2013 die erhöhten An­for­de­run­gen erfüllen.

Anforderungen des Outsourcinggebers

Out­sour­cing­neh­mer müssen zu­neh­mend den Out­sour­cing­ge­bern nach­wei­sen, dass ihr in­ter­nes Kon­troll­sys­tem ord­nungs­gemäß ar­bei­tet, so dass sich der Out­sour­cing­ge­ber auf die ord­nungs­gemäße und ab­ge­si­cherte Dienst­leis­tungs­er­brin­gung ver­las­sen kann. Die­ser Nach­weis er­folgt meist über eine Be­schei­ni­gung für die rech­nungs­le­gungs­re­le­van­ten Sys­teme, so­fern der Be­reich bspw. an einen ex­ter­nen Dienst­leis­ter aus­ge­la­gert ist. Er kann durch eine Prüfung und Be­schei­ni­gung nach dem IDW-Prüfungs­stan­dard (PS) 951 vom 16.10.2013 („Die Prüfung des in­ter­nen Kon­troll­sys­tems bei Dienst­leis­tungs­un­ter­neh­men“) er­bracht wer­den. Da­bei han­delt es sich um einen Prüfungs­stan­dard, der sich mit der Be­schei­ni­gung und Prüfung in­ter­ner Kon­troll­sys­teme (IKS) be­fasst – die­ser be­inhal­tet alle Maßnah­men, die ein Un­ter­neh­men zur Ab­si­che­rung von Pro­zes­sen und Da­ten er­greift. Die Prüfungs­stan­dards von Wirt­schaftsprüfern in Deutsch­land be­schäfti­gen sich primär mit dem The­men­kom­plex „Grundsätze ord­nungs­gemäßer Buchführung (GoB)“ aus ei­ner han­dels­recht­li­chen Sicht. Auch bei Ab­schlussprüfun­gen muss das rech­nungs­le­gungs­be­zo­gene IKS auf­ge­nom­men, be­wer­tet und eine Ri­si­ko­ana­lyse vor­ge­nom­men wer­den. Der PS 951 ist die deut­sche Trans­for­ma­tion des in­ter­na­tio­na­len Prüfungs­stan­dards ISAE 3402 „As­surance re­ports on con­trols at a ser­vice or­ga­niza­tion“, die US-ame­ri­ka­ni­sche Ausprägung die­ses Stan­dards ist der SSAE 18 (früher SSAE 16). Der in­ter­na­tio­nale Prüfungs­stan­dard ISAE 3402 ist ins­be­son­dere dann für Kun­den in­ter­es­siert, so­fern diese selbst Kun­den außer­halb Deutsch­lands ha­ben oder als Un­ter­neh­men in­ter­na­tio­nal tätig sind. Der Prüfungs­an­satz ist iden­ti­sch und der Mehr­auf­wand ist in der Re­gel mi­ni­mal.

Ein funk­tio­nie­ren­des und ge­leb­tes IKS, hilft die Pro­zesse nach­hal­tig zu ver­bes­sern bzw. op­ti­mal zu steu­ern. Dies zei­gen un­sere Er­fah­run­gen im Rah­men von Im­ple­men­tie­run­gen und Prüfun­gen.

Anforderungen durch den Datenschutz

Auch die 2018 in Kraft ge­tre­tene Da­ten­schutz­grund­ver­ord­nung (DS­GVO) setzt auf Zer­ti­fi­kate. In Art. 42 DS­GVO ist die Einführung von da­ten­schutz­spe­zi­fi­schen Zer­ti­fi­zie­run­gen ge­re­gelt. Da­bei soll be­schei­nigt wer­den, dass da­ten­schutz­recht­li­che An­for­de­run­gen im Un­ter­neh­men ein­ge­hal­ten wer­den. Art. 42 Abs. 4 DS­GVO stellt klar, dass das Un­ter­neh­men trotz ei­ner mögli­chen Zer­ti­fi­zie­rung die wei­te­ren An­for­de­run­gen der DS­GVO ein­hal­ten muss.

Eine Zer­ti­fi­zie­rung, wel­che die An­for­de­run­gen der DS­GVO voll­umfäng­lich erfüllt, ist ak­tu­ell hin­ge­gen noch aus­ste­hend.

Ein Lösungs­an­satz wäre ein Da­ten­schutz­ma­nage­ment­sys­tem (DSMS), ab­ge­lei­tet aus einem In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (ISMS). Um die Vor­ga­ben der DS­GVO im Un­ter­neh­men zu meis­tern, würde es sich folg­lich an­bie­ten, die da­ten­schutz­recht­li­chen An­for­de­run­gen in ein vor­han­de­nes ISMS zu in­te­grie­ren, da sich spe­zi­ell im tech­ni­schen und or­ga­ni­sa­to­ri­schen Be­reich Syn­er­gie­ef­fekte ge­ne­rie­ren las­sen.

Integrationsmöglichkeiten, Ausblick und Fazit

Be­trach­tet man die zu­vor dar­ge­stell­ten An­for­de­rungs­fel­der zeigt sich, dass es in vie­len Be­rei­chen Über­schnei­dun­gen gibt, die sich in einem in­te­gra­ti­ven An­satz lösen las­sen können. Wie das 2. Da­ten­schutz­an­pas­sungs­ge­setz und die Neu­fas­sung der GoBD zei­gen, führen die na­tio­na­len An­for­de­run­gen zu­dem in ein­zel­nen we­sent­li­chen Punk­ten auch zu Er­leich­te­run­gen.

Die Er­fah­run­gen des Ge­schäfts­be­reichs IT-Re­vi­sion (GBIT) in der Um­set­zung re­sul­tie­ren aus vie­len Im­ple­men­tie­rungs­pro­jek­ten zu den un­ter­schied­lichs­ten Nor­men­an­for­de­run­gen in den letz­ten Jah­ren. Durch die ESe­cu­rity-CERT GmbH, eine Toch­ter­ge­sell­schaft von Eb­ner Stolz, ha­ben wir nun auch die Möglich­keit, die ent­spre­chen­den Zer­ti­fi­zie­rungsprüfun­gen, wie die DIN EN ISO/IEC 27001:2017-06 oder Prüfun­gen gemäß § 8a Abs. 3 BSIG für Be­trei­ber kri­ti­scher In­fra­struk­tu­ren, aus ei­ner Hand durchführen zu können.

Ziel ist im Ide­al­fall die in­te­grierte Um­set­zung un­ter­schied­li­cher Ma­nage­ment­sys­teme - von der In­for­ma­ti­ons­si­cher­heit (ISMS), über Da­ten­schutz (DSMS) bis hin zu Tax Com­pli­ance - so­wie darüber hin­aus die Ab­bil­dung des kor­re­spon­die­ren­den in­ter­nen Kon­troll­sys­tems und des Ri­si­ko­ma­nage­ment­sys­tems. So­mit kommt es zu kei­nen Dopp­lun­gen von Auf­ga­ben, An­for­de­run­gen und in­ter­nen Kon­trol­len - und zwar selbst dann nicht, wenn meh­rere Com­pli­ance-Mo­delle, wie die ISO 27001, ISO 29151, DS­GVO, Ma­Risk, BAIT, ISAE 3402, ISO 22301, KRI­TIS, Tax Com­pli­ance oder an­dere Nor­men­kreise gleich­zei­tig im Un­ter­neh­men erfüllen wer­den müssen. Fol­gende Her­an­ge­hens­weise hat sich für Sie als Un­ter­neh­men hier­bei bewährt:

  1. Scoping: De­fi­ni­tion des An­wen­dungs­be­rei­ches über die re­le­van­ten Un­ter­neh­men und Ge­schäfts­pro­zesse bis hin zur An­wen­dungs- und In­fra­struk­tur­ob­jek­tebene. Wich­tig: Im ers­ten Schritt aus­schließlich die ris­kan­ten Be­rei­che be­trach­ten!
  2. Clus­ter: Zur Op­ti­mie­rung soll­ten Clus­ter gleich­lau­fen­der Ob­jekte (bspw. Ge­schäfts­pro­zesse und An­wen­dun­gen) ge­bil­det wer­den.
  3. Es soll­ten alle Com­pli­ance-In­for­ma­tio­nen wie­der­ver­wen­det und diese In­for­ma­tio­nen auf kor­re­spon­die­ren Ob­jek­ten an­ge­wandt wer­den.
  4. Verknüpfung von An­for­de­run­gen: Man sollte sich mit ei­ner An­for­de­rung zen­tral be­schäfti­gen, um da­mit gleich meh­rere An­for­de­rungs­teil­nor­men erfüllen zu können.
  5. Vor­la­gen: Es ist rat­sam, Vor­la­gen zu ver­wen­den und diese für viele Nor­men und Clus­ter­ob­jekte als Nach­weis zu nut­zen. Dies be­deu­tet kein „blin­des“ Vor­la­gen­ma­nage­ment pro An­for­de­rungs­ge­biet/Stan­dard.
  6. Ver­er­bung: Sie soll­ten die Stan­dards als Grund­lage für das Ri­si­ko­ma­nage­ment nut­zen. Nicht jede An­for­de­rungs­norm­ab­wei­chung ist da­bei als Ri­siko zu be­trach­ten.
  7. Ver­tei­lung: Ver­tei­len Sie die Auf­ga­ben in Ih­rem Un­ter­neh­men und ver­bin­den Er­geb­nisse trans­pa­rent.
  8. Prio­rität: Kümmern Sie sich primär um Verände­run­gen im Un­ter­neh­men und hal­ten Sie den Sta­tus quo durch das im­ple­men­tierte IKS.
  9. Mes­sung: Mes­sen Sie re­gelmäßig die Qua­lität des Com­pli­ance-Ma­nage­ment-Sys­tems (CMS) so­wie den Rei­fe­grad.
  10. Le­ben: Le­ben Sie das CMS an­statt nur Do­ku­men­ta­tio­nen zu führen, ggf. mit tech­ni­scher Un­terstützung als in­te­gra­ti­ver An­satz.
nach oben