de en
Nexia Ebner Stolz

Wirtschaftsprüfung

Wohin führt der Zertifzierungswahn?

An Unternehmen werden immer umfassendere Anforderungen in Bezug auf das IT-Umfeld gestellt - diese resultieren aus dem Druck des jeweiligen Marktes und der Branchen, der Vergleichbarkeit mit den Konkurrenten, den Anforderungen des Kunden oder des Gesetzgebers.

Fol­g­lich hat der Nach­weis des siche­ren und ord­nungs­mä­ß­i­gen Betriebs von IT-Sys­te­men kon­ti­nu­ier­lich an Bedeu­tung gewon­nen.

Wir haben kei­nen Com­pu­ter à la Schach­com­pu­ter „Deep Thought“, der die Ant­wort auf die Frage aller Fra­gen, näm­lich die „nach dem Leben, dem Uni­ver­sum und dem gan­zen Rest“ errech­nen kann. 42!

Es gibt viele Sym­pa­thi­s­an­ten, die Ereig­nisse und Ziele direkt mit Daten ver­se­hen, um dadurch die Ver­bind­lich­keit zu erhöhen: etwa „IT-Stra­te­gie 2020“ oder „Zukunfts­werk­statt“ oder „IT 2030“. Auch wenn wir kei­nen „Deep Thought“ und auch keine Kri­s­tall­ku­gel für das Jahr 2030 vor uns ste­hen haben, so kön­nen wir, was die Infor­ma­ti­ons­tech­no­lo­gie und ins­be­son­dere auch die Infor­ma­ti­ons­si­cher­heit betrifft, zumin­dest eine Aus­sage tref­fen, in wel­che Rich­tung es sich ent­wi­ckeln wird.

An Unter­neh­men wer­den immer umfas­sen­dere Anfor­de­run­gen in Bezug auf das IT-Umfeld ges­tellt - diese resul­tie­ren aus dem Druck des jewei­li­gen Mark­tes und der Bran­chen, der Ver­g­leich­bar­keit mit den Kon­kur­ren­ten, den Anfor­de­run­gen des Kun­den oder des Gesetz­ge­bers. Fol­g­lich hat der Nach­weis des siche­ren und ord­nungs­mä­ß­i­gen Betriebs von IT-Sys­te­men kon­ti­nu­ier­lich an Bedeu­tung gewon­nen. Bei der Auf­gabe, die ver­schie­dens­ten Stan­dards und Anfor­de­run­gen unter einen Hut zu bekom­men, sollte dabei aber stets­das oberste Ziel sein, keine „Com­p­li­ance-Paral­lel­welt“ auf­zu­bauen. Der Nach­weis zur Umset­zung der Anfor­de­run­gen in die ope­ra­ti­ven Geschäft­s­pro­zesse und das Unter­neh­men­s­um­feld soll so inte­griert wer­den, dass dabei ein direk­ter Mehr­wert in der Unter­neh­mung ent­steht. Wir sind uns der Kos­ten­fak­to­ren bewusst, die aus der Viel­zahl der Zer­ti­fi­zie­run­gen unter­schied­li­cher regu­la­to­ri­scher Vor­ga­ben ent­ste­hen. Unsere Erfah­rung in der jah­re­lan­gen Umset­zung zeigt uns, dass die schwer vor­s­tell­ba­ren Ziel­set­zun­gen durch ganz­heit­li­che und inte­grierte Com­p­li­ance-Mana­ge­ment-Ansätze erreich­bar sind.

Anfor­de­run­gen IT-Sicher­heit / Infor­ma­ti­ons­si­cher­heit:

  • ISO 27001 - Infor­ma­ti­ons­tech­nik - Sicher­heits­ver­fah­ren - Infor­ma­ti­ons­si­cher­heits­ma­na­ge­ment­sys­teme - Anfor­de­run­gen
  • ISO 27019 - Infor­ma­ti­ons­tech­nik - Sicher­heits­ver­fah­ren - Infor­ma­ti­ons­si­cher­heits­maß­nah­men für die Ener­gie­ver­sor­gung
  • ISO 22301 - Sicher­heit und Schutz des Gemein­we­sens - Busi­ness Con­ti­nuity Mana­ge­ment Sys­tems
  • ISO 27017 - Infor­ma­ti­ons­tech­nik - Sicher­heits­ver­fah­ren - Anwen­dungs­leitfa­den für Infor­ma­ti­ons­si­cher­heits­maß­nah­men basie­rend auf ISO/IEC 27002 für Cloud-Ser­vices
  • ISO 27018 - Infor­ma­ti­ons­tech­nik - Sicher­heits­ver­fah­ren - Leitfa­den zum Schutz per­so­nen­be­zo­ge­ner Daten (PII) in öff­ent­li­chen Cloud-Diens­ten als Auf­trags­da­ten­ver­ar­bei­tung
  • TISAX - Trus­ted Infor­ma­tion Secu­rity Assess­ment Exchange
  • §8a - Prü­fung von Bet­rei­bern kri­ti­scher Infra­struk­tu­ren (KRI­TIS) nach §8a Abs. 3 BSIG

Dies sind nur einige wenige Nor­men, die den Bereich der Infor­ma­ti­ons­si­cher­heit betref­fen. Infor­ma­ti­ons­si­cher­heit steht dabei für den Schutz von Ver­füg­bar­keit, Inte­gri­tät, Authen­ti­zi­tät und Ver­trau­lich­keit von schutz­be­dürf­ti­gen Infor­ma­tio­nen, die sowohl phy­sisch als auch digi­tal in der Orga­ni­sa­tion vor­kom­men. Ein Infor­ma­ti­ons­si­cher­heits­ma­na­ge­ment­sys­tem (ISMS) bein­hal­tet das Auf­s­tel­len von Regeln und Ver­fah­ren inn­er­halb einer Orga­ni­sa­tion, die dazu die­nen, die Infor­ma­ti­ons­si­cher­heit dau­er­haft zu defi­nie­ren, steu­ern, kon­trol­lie­ren, auf­recht­zu­er­hal­ten und fort­lau­fend zu ver­bes­sern. ISMS bedeu­tet somit, dass die Infor­ma­ti­ons­si­cher­heit (IS) inn­er­halb eines Mana­ge­ment­sys­tems (MS) ver­wal­tet wird, eine Struk­tur erhält und in typi­sche Mana­ge­men­t­ab­läufe (kon­ti­nu­ier­li­che Ver­bes­se­rung, PDCA – Plan, Do, Check, Act) ein­ge­bun­den wird.

Es geht bei dem Betrieb eines ISMS nicht darum, die per­fekte IT- oder Infor­ma­ti­ons­si­cher­heit zu bet­rei­ben oder nach dem maxi­mal mög­li­chen Level an IT-Sicher­heit zu stre­ben. Viel­mehr wird bezweckt, nach dem (indi­vi­du­ell) idea­len Niveau an Infor­ma­ti­ons- und IT-Sicher­heit zu stre­ben, die­ses Niveau zu errei­chen, zu hal­ten und zu opti­mie­ren.

Ein ISMS stellt eine Grund­lage für wei­tere (not­wen­dige) Zer­ti­fi­zie­run­gen dar - bspw. TISAX. TISAX ist ein von der Auto­mo­bil­in­du­s­trie defi­nier­ter Stan­dard für Infor­ma­ti­ons­si­cher­heit, der sich von der ISO 27001 ablei­tet und an die Anfor­de­run­gen der Auto­mo­bil­in­du­s­trie ange­passt wurde.

Auch im Bereich der §8a-Prü­fun­gen für KRI­TIS-Bet­rei­ber stellt ein ISMS eine zen­trale Anfor­de­rung dar. Im Rah­men der §8a-Prü­fun­gen wird aller­dings auch das Not­fall-/ Busi­ness Con­ti­nuity-Mana­ge­ment betrach­tet. Hier­bei kön­nen eben­falls aner­kannte Nor­men, wie z. B. ISO/IEC 22301 oder BSI-Stan­dard 100-4, her­an­ge­zo­ge­nen wer­den.

Anfor­de­run­gen durch den Gesetz­ge­ber

Auch der Gesetz­ge­ber stellt eine Viel­zahl an Anfor­de­run­gen an die IT-Sicher­heit - aktu­ell etwa durch das Kas­sen­ge­setz, das 2. Daten­schutz­an­pas­sungs­ge­setz, Neu­fas­sung der GoBD (sowie unsere novi-Arti­kel) sowie das Geschäfts­ge­heim­nis­ge­setz oder dem im Früh­jahr 2019 vor­ge­s­tell­ten Ent­wurf zum IT-Sicher­heits­ge­setz 2.0 (IT-SiG 2.0).

Das Kas­sen­ge­setz soll die Ein­fluss­nahme auf elek­tro­ni­sche Auf­zeich­nun­gen mit­hilfe tech­ni­scher Mit­tel ver­hin­dern. Ab dem 1.1.2020 besteht daher nach § 146a Abs. 1 Satz 2 AO die Pflicht, elek­tro­ni­sche Auf­zeich­nungs­sys­teme mit zer­ti­fi­zier­ten tech­ni­schen Sicher­heit­s­ein­rich­tun­gen mani­pu­la­ti­ons­si­cher zu gestal­ten. Dies bedeu­tet ins­be­son­dere für die Her­s­tel­ler der Kas­sen­sys­teme, dass diese mit den ent­sp­re­chen­den Sicher­heit­s­ein­rich­tun­gen auf­ge­rüs­tet wer­den müs­sen. In dem Zusam­men­hang hat das Bun­des­mi­nis­te­rium der Finan­zen mit Sch­rei­ben vom 26.6.2019 (GZ IV A 4 - S 0316-a/19/10006 :010) in Aus­sicht ges­tellt, dass die Kas­sen­si­che­rungs­ver­ord­nung ggf. mit einer Über­gangs­frist ver­se­hen wird.

Am 21.3.2019 wurde vom Bun­des­tag das Gesetz zur Umset­zung der Richt­li­nie (EU) 2016/943 zum Schutz von Geschäfts­ge­heim­nis­sen vor rechts­wid­ri­gem Erwerb sowie rechts­wid­ri­ger Nut­zung und Offen­le­gung – kurz Geschäfts­ge­heim­nis-Gesetz (Gesch­GehG) – besch­los­sen. Für Unter­neh­men bein­hal­tet die­ses ins­be­son­dere auch die Pflicht, Geschäfts­ge­heim­nisse aus­rei­chend und nach­weis­bar zu sichern. Nach unse­ren Erfah­rungs­wer­ten bie­tet eine Erwei­te­rung der unter A.18.2 auf­ge­führ­ten Maß­nah­men der ISO/IEC 27001 eine gute Grund­lage zur effi­zi­en­ten und effek­ti­ven Umset­zung der ent­sp­re­chen­den Anfor­de­run­gen. Hier wird deut­lich, dass auch dies zu einem imp­le­men­tier­ten ISMS führt.

Mit dem am 27.3.2019 ver­öf­f­ent­lich­ten ers­ten Refe­ren­ten­ent­wurf zum IT-SiG 2.0 haben sich die Anfor­de­run­gen erneut ver­schärft, da der Kreis der Unter­neh­men, die dem KRI­TIS-Kreis (§ 8a BSIG) unter­lie­gen, erwei­tert wird. Somit sol­len hier­un­ter nicht mehr nur die Sek­to­ren Ener­gie, IT und Tele­kom­mu­ni­ka­tion, Trans­port und Ver­kehr, Gesund­heit, Was­ser, Ernäh­rung und Finanz- und Ver­si­che­rungs­we­sen fal­len, son­dern auch der Sek­tor Ent­s­or­gung sowie Infra­struk­tu­ren. Wie die erhöh­ten IT-Sicher­heit­s­an­for­de­run­gen Anfor­de­run­gen von den betrof­fe­nen Unter­neh­men erfüllt wer­den sol­len, ist nicht vor­ge­ge­ben.

Schon der­zeit kann (neben IT-Grund­schutz nach BSI) nur ein imp­le­men­tier­tes ISMS gemäß ISO / IEC 27001:2013 die erhöh­ten Anfor­de­run­gen erfül­len.

Anfor­de­run­gen des Out­sour­cing­ge­bers

Out­sour­cing­neh­mer müs­sen zuneh­mend den Out­sour­cing­ge­bern nach­wei­sen, dass ihr inter­nes Kon­troll­sys­tem ord­nungs­ge­mäß arbei­tet, so dass sich der Out­sour­cing­ge­ber auf die ord­nungs­ge­mäße und abge­si­cherte Dienst­leis­tung­s­er­brin­gung ver­las­sen kann. Die­ser Nach­weis erfolgt meist über eine Beschei­ni­gung für die rech­nungs­le­gungs­re­le­van­ten Sys­teme, sofern der Bereich bspw. an einen exter­nen Dienst­leis­ter aus­ge­la­gert ist. Er kann durch eine Prü­fung und Beschei­ni­gung nach dem IDW-Prü­fungs­stan­dard (PS) 951 vom 16.10.2013 („Die Prü­fung des inter­nen Kon­troll­sys­tems bei Dienst­leis­tungs­un­ter­neh­men“) erbracht wer­den. Dabei han­delt es sich um einen Prü­fungs­stan­dard, der sich mit der Beschei­ni­gung und Prü­fung inter­ner Kon­troll­sys­teme (IKS) befasst – die­ser bein­hal­tet alle Maß­nah­men, die ein Unter­neh­men zur Absi­che­rung von Pro­zes­sen und Daten erg­reift. Die Prü­fungs­stan­dards von Wirt­schafts­prü­fern in Deut­sch­land beschäf­ti­gen sich pri­mär mit dem The­men­kom­plex „Grund­sätze ord­nungs­ge­mä­ßer Buch­füh­rung (GoB)“ aus einer han­dels­recht­li­chen Sicht. Auch bei Abschluss­prü­fun­gen muss das rech­nungs­le­gungs­be­zo­gene IKS auf­ge­nom­men, bewer­tet und eine Risi­ko­ana­lyse vor­ge­nom­men wer­den. Der PS 951 ist die deut­sche Trans­for­ma­tion des inter­na­tio­na­len Prü­fungs­stan­dards ISAE 3402 „Assurance reports on con­trols at a ser­vice orga­niza­ti­on“, die US-ame­ri­ka­ni­sche Aus­prä­gung die­ses Stan­dards ist der SSAE 18 (früher SSAE 16). Der inter­na­tio­nale Prü­fungs­stan­dard ISAE 3402 ist ins­be­son­dere dann für Kun­den inter­es­siert, sofern diese selbst Kun­den außer­halb Deut­sch­lands haben oder als Unter­neh­men inter­na­tio­nal tätig sind. Der Prü­fungs­an­satz ist iden­tisch und der Mehr­auf­wand ist in der Regel mini­mal.

Ein funk­tio­nie­ren­des und geleb­tes IKS, hilft die Pro­zesse nach­hal­tig zu ver­bes­sern bzw. opti­mal zu steu­ern. Dies zei­gen unsere Erfah­run­gen im Rah­men von Imp­le­men­tie­run­gen und Prü­fun­gen.

Anfor­de­run­gen durch den Daten­schutz

Auch die 2018 in Kraft get­re­tene Daten­schutz­grund­ver­ord­nung (DSGVO) setzt auf Zer­ti­fi­kate. In Art. 42 DSGVO ist die Ein­füh­rung von daten­schutz­spe­zi­fi­schen Zer­ti­fi­zie­run­gen gere­gelt. Dabei soll beschei­nigt wer­den, dass daten­schutz­recht­li­che Anfor­de­run­gen im Unter­neh­men ein­ge­hal­ten wer­den. Art. 42 Abs. 4 DSGVO stellt klar, dass das Unter­neh­men trotz einer mög­li­chen Zer­ti­fi­zie­rung die wei­te­ren Anfor­de­run­gen der DSGVO ein­hal­ten muss.

Eine Zer­ti­fi­zie­rung, wel­che die Anfor­de­run­gen der DSGVO voll­um­fäng­lich erfüllt, ist aktu­ell hin­ge­gen noch aus­ste­hend.

Ein Lösungs­an­satz wäre ein Daten­schutz­ma­na­ge­ment­sys­tem (DSMS), abge­lei­tet aus einem Infor­ma­ti­ons­si­cher­heits­ma­na­ge­ment­sys­tem (ISMS). Um die Vor­ga­ben der DSGVO im Unter­neh­men zu meis­tern, würde es sich fol­g­lich anbie­ten, die daten­schutz­recht­li­chen Anfor­de­run­gen in ein vor­han­de­nes ISMS zu inte­grie­ren, da sich spe­zi­ell im tech­ni­schen und orga­ni­sa­to­ri­schen Bereich Syn­er­gie­ef­fekte gene­rie­ren las­sen.

Inte­g­ra­ti­ons­mög­lich­kei­ten, Aus­blick und Fazit

Betrach­tet man die zuvor dar­ge­s­tell­ten Anfor­de­rungs­fel­der zeigt sich, dass es in vie­len Berei­chen Über­schnei­dun­gen gibt, die sich in einem inte­g­ra­ti­ven Ansatz lösen las­sen kön­nen. Wie das 2. Daten­schutz­an­pas­sungs­ge­setz und die Neu­fas­sung der GoBD zei­gen, füh­ren die natio­na­len Anfor­de­run­gen zudem in ein­zel­nen wesent­li­chen Punk­ten auch zu Erleich­te­run­gen.

Die Erfah­run­gen des Geschäfts­be­reichs IT-Revi­sion (GBIT) in der Umset­zung resul­tie­ren aus vie­len Imp­le­men­tie­rung­s­pro­jek­ten zu den unter­schied­lichs­ten Nor­men­an­for­de­run­gen in den letz­ten Jah­ren. Durch die ESe­cu­rity-CERT GmbH, eine Toch­ter­ge­sell­schaft von Ebner Stolz, haben wir nun auch die Mög­lich­keit, die ent­sp­re­chen­den Zer­ti­fi­zie­rungs­prü­fun­gen, wie die DIN EN ISO/IEC 27001:2017-06 oder Prü­fun­gen gemäß § 8a Abs. 3 BSIG für Bet­rei­ber kri­ti­scher Infra­struk­tu­ren, aus einer Hand durch­füh­ren zu kön­nen.

Ziel ist im Ideal­fall die inte­grierte Umset­zung unter­schied­li­cher Mana­ge­ment­sys­teme - von der Infor­ma­ti­ons­si­cher­heit (ISMS), über Daten­schutz (DSMS) bis hin zu Tax Com­p­li­ance - sowie dar­über hin­aus die Abbil­dung des kor­res­pon­die­ren­den inter­nen Kon­troll­sys­tems und des Risi­ko­ma­na­ge­ment­sys­tems. Somit kommt es zu kei­nen Dop­p­lun­gen von Auf­ga­ben, Anfor­de­run­gen und inter­nen Kon­trol­len - und zwar selbst dann nicht, wenn meh­rere Com­p­li­ance-Modelle, wie die ISO 27001, ISO 29151, DSGVO, MaRisk, BAIT, ISAE 3402, ISO 22301, KRI­TIS, Tax Com­p­li­ance oder andere Nor­men­k­reise gleich­zei­tig im Unter­neh­men erfül­len wer­den müs­sen. Fol­gende Her­an­ge­hens­weise hat sich für Sie als Unter­neh­men hier­bei bewährt:

  1. Sco­ping: Defini­tion des Anwen­dungs­be­rei­ches über die rele­van­ten Unter­neh­men und Geschäft­s­pro­zesse bis hin zur Anwen­dungs- und Infra­struk­tur­ob­jekt­e­bene. Wich­tig: Im ers­ten Schritt aus­sch­ließ­lich die ris­kan­ten Berei­che betrach­ten!
  2. Clus­ter: Zur Opti­mie­rung soll­ten Clus­ter gleichlau­fen­der Objekte (bspw. Geschäft­s­pro­zesse und Anwen­dun­gen) gebil­det wer­den.
  3. Es soll­ten alle Com­p­li­ance-Infor­ma­tio­nen wie­der­ver­wen­det und diese Infor­ma­tio­nen auf kor­res­pon­die­ren Objek­ten ange­wandt wer­den.
  4. Ver­knüp­fung von Anfor­de­run­gen: Man sollte sich mit einer Anfor­de­rung zen­tral beschäf­ti­gen, um damit gleich meh­rere Anfor­de­rungs­teilnor­men erfül­len zu kön­nen.
  5. Vor­la­gen: Es ist rat­sam, Vor­la­gen zu ver­wen­den und diese für viele Nor­men und Clus­ter­ob­jekte als Nach­weis zu nut­zen. Dies bedeu­tet kein „blin­des“ Vor­la­gen­ma­na­ge­ment pro Anfor­de­rungs­ge­biet/Stan­dard.
  6. Ver­er­bung: Sie soll­ten die Stan­dards als Grund­lage für das Risi­ko­ma­na­ge­ment nut­zen. Nicht jede Anfor­de­rungsnorm­ab­wei­chung ist dabei als Risiko zu betrach­ten.
  7. Ver­tei­lung: Ver­tei­len Sie die Auf­ga­ben in Ihrem Unter­neh­men und ver­bin­den Ergeb­nisse tran­s­pa­rent.
  8. Prio­ri­tät: Küm­mern Sie sich pri­mär um Ver­än­de­run­gen im Unter­neh­men und hal­ten Sie den Sta­tus quo durch das imp­le­men­tierte IKS.
  9. Mes­sung: Mes­sen Sie regel­mä­ßig die Qua­li­tät des Com­p­li­ance-Mana­ge­ment-Sys­tems (CMS) sowie den Rei­fe­grad.
  10. Leben: Leben Sie das CMS anstatt nur Doku­men­ta­tio­nen zu füh­ren, ggf. mit tech­ni­scher Unter­stüt­zung als inte­g­ra­ti­ver Ansatz.
nach oben