Karriere

FAQ

Häufig gestellte Fragen und unsere Antworten darauf

IT-Security & Resilienz

Unter Zuhilfenahme der Informationstechnologie (IT) werden die in den Organisationen eingesetzten Operativ, Planungs- und Kontrollsysteme unaufhaltsam digitalisiert und miteinander vernetzt (IoT). Die mobilen und stationären Systeme digitalisierter Unternehmen kommunizieren miteinander horizontal und vertikal über eine gemeinsame IT-Infrastruktur, um anfallende Informationen zu verarbeiten und zu speichern.

IT-Security hat das Ziel die fehlerfreie Funktion und ständige Verfügbarkeit, aller an der Informationsverarbeitung beteiligen IT-Systeme sicherzustellen und die Integrität sowie Vertraulichkeit der Information zu gewährleisten 

Die operative Technologie (OT) besteht aus einer Kombination von Hardware und Software, um industrielle Produktionsanlagen zu steuern und zu überwachen. Im Zuge der industriellen Revolution 4.0 erhöht sich in der OT der Bedarf an Internet- und Kommunikationstechnologien, automatisierten Fertigungstechnologien sowie Robotik mit Sensorik und Aktorik, eingebetteten Systemen mit analytischen Funktionen in Kombination mit Mensch-Maschine-Schnittstellen. Ebenfalls wächst der Anteil an Cyber-Physischen Systemen (CPS) in der OT zunehmend an. CPS verbinden Informationstechnik mit mechanischen Komponenten.

Informationssicherheit schließt alle digitalen und analogen, technischen sowie nicht technischen Schutzmaßnahmen ein, um die Informationsschutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zu gewährleisten. Diese technischen und organisatorischen Maßnahmen werden durch das Informationssicherheitsmanagement umgesetzt.

IT als auch OT Systeme müssen möglichst ständig und fehlerfrei in vollem Umfang funktionieren. Kommt es zu zusätzlichen und außergewöhnlichen Belastungen dieser Systeme, z.B. durch eine DDoS Cyber-Attacke, sollen sie ihre Dienste weiterhin erbringen, auch wenn ihre Leistungsfähigkeit vorübergehend eingeschränkt ist. Resilienz heißt das Systeme in ihrem Ganzen weiterhin die kritischen Unternehmensprozesse sicherstellen, auch wenn einzelne Systemelemente gestört sind. Um Systeme resilient, also robust und widerstandsfähig gegen Risiken zu machen werden individuelle Härtungsmaßnahmen durchgeführt. 

Cloud Security umfasst alle nötigen digitalen und analogen, technischen sowie nicht technischen Schutzmaßnahmen, um die Dienstleistungen des Cloud Service Provider wie z.B. IaaS, SaaS, PaaS und FaaS für seine Kunden im Sinne der Informationssicherheitsziele Verfügbarkeit, Vertraulichkeit, Integriert und Authentizität zu gewährleisten. Durch die simultane Nutzung derselben Cloud Ressourcen von mehreren Kunden gleichzeitig ergeben sich besondere Herausforderungen für die Sicherheit. Die Schwerpunkte liegen bei den internen und externen Nutzerschnittstellen sowie dem Zugriff und der Verschlüsselung von Daten. 

Cyber Security umfasst die Sicherheitsmaßnahmen der IT-Security, berücksichtigt aber zusätzlich weitere technische, organisatorische, menschliche, physische und legislative Risiken aus dem Umfeld der jeweiligen Institution. 

Man definiert ein Security Operation Center (SOC) über das Was es tut. Es sorgt proaktiv und reaktiv für die Gewährleistung der Sicherheitsziele einer oder mehrerer Institutionen. Das SOC erkennt, bewertet, überwacht und verteidigt die Unternehmens-Assets sowie deren sicheren Betrieb gegen unbefugte Aktivitäten in Echtzeit. Primär- sowie Folgeangriffe und deren Schadensfolgen aus z.B.  Cyber-Attacken werden vermieden bzw. gemildert und die Geschäftskontinuität aufrechterhalten oder effizient wiederhergestellt. Ein SOC führt auch forensische Dienstleistungen live und postmortal durch. Grundsätzlich nutz das SOC ganzheitliche Sicherheitsarchitekturen durch Security by Design und kombiniert eine Zero Trust-Architektur mit einem Defense-in-Depth Konzept. Die SOC Teams bestehen aus Cyber-Security Experten welche traditionell in einem Raum aber auch remote arbeiten. Das SOC lässt sich als Sicherheitsdienst oder Sicherheitsbetriebszentrale bezeichnen und führt in der Regel alle Tätigkeiten der Cyber-Security durch. 

SIEM ist der Nachfolger von Log-Management-Servern mit zentralem Remote-Logging, dem Security Information Management (SIM) und dem Security Event Management (SEM). Die durch das SIEM gemanagten Sicherheitselemente decken alle Angriffsphasen ab (vor, während und nach einem Angriff). Dazu gehören z.B. IDS, IPS, Inhaltsfilter, Antivirus, die verschiedenen Klassen der Firewalls und Proxies, Sandboxes, Honeypots, Netzflussanalysierer, VPN, Zugangs- und Identitätssysteme sowie Spamfilter und Schwachstellen-Scanner. SIEM werden eingesetzt, um die Analyse der Unmengen an Log-Daten zu zentralisieren und zu automatisieren. Dazu aggregieren und normalisieren SIEM alle übermittelten Daten aus verschiedenen Quellen. Daten werden korreliert um relevante Vorfälle, den sogenannten Events of Interest (EoI), in den SIEM Meldungen aufzufinden. Ein SIEM sollte die agentenbasierte und agentenlose Datensammlung unterstützen damit auch Logs aus der Ferne an den SIEM-Server übermittelt werden. 

Durch eine Risikoanalyse werden Cyber-Risiken ermittelt, die Wahrscheinlichkeiten ihres Eintretens und der Umfang ihrer Auswirkungen bewertet. Diese Risiken werden akzeptiert, reduziert, vermieden oder auch an einen Risikonehmer transferiert. Dabei handelt es sich um eine sogenannte Cyber-Insurance bzw. Cyber-Risikoversicherer, welche das bei Schadenseintritt entstehende monetäre Risiko übernehmen und bei dem Versicherten ausgleichen. Dieser Risikotransfer ist an Vorgaben des Versicherers gebunden. Cyber-Insurance Readiness bedeutet das der Versicherungsnehmer diese Vorgaben erfüllt.  

Ein Audit ist die Feststellung des tatsächlichen Ist-Zustands und das Aufzeigen von Abweichungen zum gewünschten bzw. geforderten Soll-Zustand. Bei einem IT-Audit wird der risiko- und prozessorientierte Reifegrad von den betrachteten IT-Systemen mit ihrer Infrastruktur, Hardware und Software gegenüber der gewünschten Baseline ermittelt. Schwerpunkt ist dabei in der Regel die Betrachtung risikorelevanter Kontrollmaßnahmen in ihrer Existenz, Angemessenheit und Wirksamkeit. 

Datenschutz

Das Datenschutzrecht regelt den Umgang personenbezogener Daten von natürlichen Personen. Das Recht, grundsätzlich selbst über die Preisgabe und die Verwendung seiner persönlichen Daten zu bestimmen, ist in Deutschland als Grundrecht anerkannt (informationelle Selbstbestimmung).

Besonders schützenswert sind

  • genetische,
  • biometrische und
  • Gesundheitsdaten, sowie
  • Daten, aus denen die
    • rassische und ethnische Herkunft,
    • politische Meinungen und
    • religiöse oder
    • weltanschauliche Überzeugungen oder
    • eine Gewerkschaftsangehörigkeit des Betroffenen
  • hervorgehen.

Datensicherheit hat das Ziel, sämtliche Daten gegen jegliche Art der Manipulation, Verlust, Diebstahl und andere Bedrohungen zu sichern, egal ob diese einen Personenbezug haben oder nicht. Hierbei geht es darum, technische und organisatorische Maßnahmen zu definieren und deren Umsetzung zu gewährleisten. Im Kontext bedeutet es, dass Datenschutz nur durch die Umsetzung von Datensicherheitsmaßnahmen zu erreichen ist. Die Datenschutzgrundverordnung (DSGVO) gibt dabei wichtige Hinweise zu Mindestanforderungen im Rahmen zum Schutz von personenbezogenen Daten.

In jedem Unternehmen werden mehr oder weniger viele personenbezogenen Daten verarbeitet, welche ausführlich beschrieben sein müssen. Man spricht dabei von “Verarbeitungen”, so dass der Begriff “Verzeichnis von Verarbeitungstätigkeiten” (VVT) korrekt ist. Das VVT muss erstellt werden, sobald es zur Erhebung, Speicherung oder Verwendung von personenbezogenen Daten kommt.

Im VVT müssen folgende Mindestinformationen enthalten sein:

  • Name und Kontaktdaten des Verantwortlichen + ggf. Datenschutzbeauftragter
  • Zweck der Datenverarbeitung
  • Rechtsgrundlage zur möglichen Verarbeitung
  • Kategorie der betroffenen Person
  • Kategorie von Empfängern

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen, z.B. eines Unternehmens. Dieser Auftragsverarbeiter kann eine natürliche oder juristische Person, ein Verein oder eine Behörde sein.

An einen Auftragsverarbeiter werden durch die Datenschutzregelungen hohe Anforderungen gestellt, welche klar durch die Rahmenbedingungen definiert sind und in einem Auftragsverarbeitungsvertrag mit Regelungen zu technischen und organisatorischen Maßnahmen festgelegt werden. Der Vertrag ist im Rahmen der Sorgfaltspflicht verpflichtend.

Nutzer von Internet- bzw. Webauftritten haben das Recht zu erfahren, ob, inwieweit und zu welchem Zweck ihre personenbezogenen Daten verarbeitet werden, bevor sie ein Angebot nutzen. Geregelt ist dies im Telekommunikation-Telemedien-Datenschutz-Gesetz  (TTDSG) und in der Datenschutz-Grundverordnung (DSGVO).

Eine Datenschutzerklärung hat allumfänglich aufzuklären und muss wichtige Pflichtangaben und Einwilligungsvorbehalte enthalten. Sie ist neben dem Impressum in jedem Internetauftritt verpflichtend und muss von jeder Seite aus mit einem Klick aufrufbar sein.

Die Vielzahl von Datenschutzgesetzen führt oft zu Unsicherheiten. Grundsätzlich unterscheidet man den privatwirtschaftlichen (nicht-öffentlichen) und den öffentlichen Bereich (Behörden u. ä.) für die Anwendung der gesetzlichen Regelung.

Die wichtigsten Regelungen sind in der Datenschutz-Grundverordnung (DSGVO) niedergeschrieben, die für alle der Mitgliedsstaaten der Europäischen Union gilt. Den einzelnen Staaten stehen über sogenannte  „Öffnungsklauseln“ Spielräume für eigene Anpassungen zur Verfügung.

Das Bundesdatenschutzgesetz-neu (BDSG) gilt für öffentliche Stellen des Bundes, nicht-öffentliche Bereiche (Wirtschaftsunternehmen und Vereine) und die öffentliche Hand, wenn diese im Wettbewerb stehen.

Landesdatenschutzgesetze gelten sind der DSGVO und dem BDSG-neu untergeordnet und gelten für Verwaltungen und Behörden. Daneben gelten weitere bereichsspezifischen Regelungen (z.B. SGB).

Die Kirche hat mit dem Gesetz zum kirchlichen Datenschutz (KDG) eine eigene Datenschutzregelung erlassen.

Weitere bereichsspezifische Datenschutzgesetze sind z. B. das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), Kreditwesengesetz, Geldwäschegesetz.

Die Datenschutz-Grundverordnung (DSGVO) ist eine europäische Verordnung, die innerhalb der EU gilt.

Nicht EU-Mitgliedsländer sind sogenannte Drittländer und müssen für einen rechtmäßigen Datentransfer bestimmte Voraussetzungen erfüllen:

  1. Übermittlung auf Basis eines Angemessenheitsbeschlusses,
  2. Übermittlung vorbehaltlich geeigneter Garantien (z.B. Binding Corporate Rules, Standardvertragsklauseln),
  3. Ausnahmeregelungen für besondere Fälle

Die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) wird durch die DSGVO geregelt. Grundsätzlich muss ein DSB bestellt werden:

  • wenn 20 Mitarbeiter personenbezogenen Daten verarbeiten (§ 38 BDSG neu),
  • wenn in der Kerntätigkeit des Unternehmen Daten zur Gesundheit, Konfession, Straftaten, Markt- und Meinungsforschung verarbeitet werden,
  • wenn grundsätzlich ein hohes Risiko bei der personenbezogenen Datenverarbeitung besteht und eine Datenschutzfolgeabschätzung nach Art. 35 DSGVO notwendig ist.

Eine Datenschutzprüfung in einem Unternehmen nach IDW PH 9.860.1 wird durch einen Wirtschaftsprüfer durchgeführt. Grundlage der Prüfung ist dabei ein durch das IDW (Institut der Wirtschaftsprüfer) veröffentlichter Prüfungsstandard bezeichnet mit „PH 9.860.1 – Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-DSGVO und dem BDSG“. In diesem werden die Anwendung der Wirtschaftsprüfer-Grundsätze nach Prüfungsstandard „860 – IT-Prüfung außerhalb der Jahres Abschlussprüfung“ in Bezug auf datenschutzspezifische Prüfungen konkretisiert.

Die Datenschutzprüfung nach IDW PH 9.860.1 ist keine verpflichtende Prüfung. Es ist eine Möglichkeit für interessierte Unternehmen ein Wirtschaftsprüfer-Testat zum Thema Datenschutz zu erhalten und damit ein USP vorweisen zu können.

Der Datenschutzauditor prüft die Umsetzung der datenschutzrechtlichen Anforderungen in ihrem Unternehmen. Datenschutzaudits können Unternehmen dabei helfen, Schwachstellen aufzudecken und Prozesse besser zu regeln. Es handelt sich um eine freiwillige Prüfung in Bezug auf  die Datenkonformität des Unternehmens, welche sowohl durch externe Berater als auch intern durch qualifizierte Mitarbeiter durchgeführt werden kann. 

Nachhaltigkeit

Environmental Social Governance – Umwelt, Soziales, Unternehmensführung

Beispiele sind:

  • Klimaveränderungen
  • nachhaltige Lieferketten
  • Menschenrechte
  • Gesundheit und Sicherheit
  • Steuertransparenz
  • Risikomanagement

LKSG – das Lieferkettensorgfaltspflichtengesetz

  • Deutsches Gesetz
  • seit 16.07.2021 in Kraft
  • Geltung ab 01.01.2023 für alle Unternehmen mit Verwaltung, Haupt-, oder Zweigniederlassung in Deutschland und
  • > 3.000 Mitarbeiter, ab 01.01.2024 > 1.000 Mitarbeiter

ESRS – European Standards on Reporting Sustainability

  • europäische Standards zum Nachhaltingkeitsreporting
  • zur Zeit (Stand: Juni 2022) im Konsultationsprozess

Fragen rund um iAP

Wir als independent Audit Professionals (iAP) verstehen die Herausforderungen unserer Mandantschaft, welche durch die Digitalisierung und den damit verbundenen Investitionen in Sicherheit und Zuverlässigkeit entstehen. Die rechnungslegenden Systeme einer Unternehmung müssen für die Zertifizierung verschiedenen Anforderungen standhalten. Dazu gehören Vorgaben aus GoBD, DSGVO, SOC 1, SOC 2, ISAE 3402, ISAE 3000, IDW PS, ISA 315, BSI C5, ISO 27001/2, 27017/18 und BSI Grundschutz.

Damit Ihre Reise zum Ziel der Zertifizierung effektiv und effizient verläuft, holen wir Sie mit einer Ist-Aufnahme an Ihrem aktuellen Standpunkt ab. Anhand des Katalogs für organisatorische und technische Maßnahmen werden effiziente Wege dargestellt, um die sich aus einer Gap-Analyse ergebenen relevanten Mängel zu beheben.

iAP begleitet Sie vollumfänglich mit Expertise durch alle Phasen bis zur finalen Erreichung der für die jeweilige Zertifizierung geforderten und dokumentierten fehlerfreien Wirksamkeit Ihrer Prozesse, Systeme und Kontrollen. Ein fortlaufender und direkter Kontakt zu unseren Mandanten sowie ein entsprechendes Reporting ist für uns während des gesamten Zertifizierungsprozesses selbstverständlich.

Es existieren verschiedene Anforderungen und Prüfmethoden, die sich aus der Wesentlichkeit der IT-Systeme und Beurteilung der Rechnungslegung sowie der Komplexität des eingerichteten IT-Umfelds ergeben. Zum Beispiel erklärt § 316 HGB die jährliche Prüfungspflicht für Kapitalgesellschaften.

Grundsätzlich empfiehlt iAP jedoch eine freiwillige Prüfung auf Funktion und Sicherheit nach jeder Installation und massiven Veränderungen der an der Rechnungslegung beteiligten IT-Systeme.

Wenn Ihr Unternehmen prüfungspflichtig ist, wird es geprüft. Ob Ihr Unternehmen prüfungspflichtig ist, lässt sich aus den Vorgaben des HGB und verbundener Standards wie zum Beispiel dem ISA315 und IDW PS330 ermitteln.

Nehmen Sie Kontakt mit uns auf, iAP beantwortet diese Frage individuell für Ihr Unternehmen.

Die Dauer der Prüfung ist abhängig vom Umfang, der Komplexität Ihrer IT-Systeme und deren Anteil an den Prozessen der Rechnungslegung. Daran gemessen kann eine Prüfung wenige Tage oder auch mehrere Monate in Anspruch nehmen. Mit einem ersten Quick-Check kann iAP Ihre benötige Prüfdauer vorweg realistisch einschätzen.

JA – iAP unterstützt Kanzleien und Mandanten weltweit über das gesamte Dienstleistungsportfolio und beherrscht dabei die Herausforderungen nationaler sowie internationaler Gesetze und Standards, kulturell als auch multilingual.

Eine Teilnehmeranzahl für das effektive Erreichen des Lernziels durch jeden Mitarbeiter liegt bei iAP-Schulungen und -Trainings erfahrungsgemäß zwischen fünf bis zwanzig Personen.

iAP bescheinigt Ihnen die Angemessenheit, Abdeckung und Wirksamkeit Ihrer Systeme nach den Standards – SOC 1, SOC 2, ISAE 3402, ISAE 3000, PS951 – im Format Typ I als auch Typ II, PS 880, PS330, PS860, PS960, ISA 315, BSI C5, ISO 27001/27002, BSI Grundschutz.

Eine gesunde Basis für jeden Clouddienstleister bildet eine Zertifizierung auf Basis des BSI C5. Zusätzlich empfiehlt sich für Unternehmen, welche im internationalen Kontext tätig sind, zusätzlich eine Zertifizierung nach der internationalen Norm ISO27001 in Verbindung mit der 27017 27018. Beide Zertifizierungen werden von privaten, wirtschaftlichen und rechtlichen Institutionen zunehmend erfragt und in Zukunft unvermeidbar. Ein weiterer Trend zeigt, dass sowohl in Ausschreibungen als auch von iAP Kunden vermehrt nach Zertifizierungen auf Basis des SOC 2 (SOC 1 für SaaS Anbieter), ISAE 3402 oder PS951 angefordert werden.