Schlagwortarchiv für: IT-Prüfung

In einer Zeit, in der die Digitalisierung den Finanzsektor grundlegend transformiert, spielen Cloud First-Strategien eine immer größere Rolle. Die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) hat im Mai 2021 Leitlinien veröffentlicht, die die Anwendung von Cloud-Diensten im Finanzsektor regeln. Insbesondere die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat wendet diese Leitlinien an und schafft damit einen klaren Rahmen für Unternehmen im Bereich der Auslagerung an Cloud-Anbieter. Dieser Beitrag betrachtet die Hintergründe sowie die wesentlichsten Kriterien, die Unternehmen beachten sollten.

Hintergrund: ESMA-Leitlinien und BaFin-Ankündigung

Die BaFin kündigte am 29. Juni 2021 an, die ESMA-Leitlinien zur Auslagerung an Cloud-Anbieter anzuwenden. Diese Leitlinien wurden im Mai 2021 veröffentlicht und gelten seit dem 31. Juli 2021. Die BaFin setzt damit klare Signale für die Ausrichtung der eigenen Verwaltungspraxis im Finanzsektor.

Die Leitlinien der ESMA bieten Orientierung für nationale Aufsichtsbehörden und verschiedene Marktteilnehmer im Finanzsektor, darunter Verwalter alternativer Investmentfonds (AIFM), Wertpapierfirmen, Kreditinstitute und mehr. Diese sind dazu aufgerufen, die Leitlinien bei der Nutzung von Cloud-Diensten zu beachten und umzusetzen.

Anwendungsbereich der ESMA-Leitlinien

Die ESMA-Leitlinien richten sich an eine breite Palette von Marktteilnehmern im Finanzsektor. Dazu gehören Verwalter alternativer Investmentfonds, Organisationen für gemeinsame Anlagen in Wertpapieren, Zentralverwahrer, Ratingagenturen und weitere. Die Leitlinien bieten eine klare Struktur, die sicherstellen soll, dass die Auslagerung an Cloud-Anbieter den höchsten Sicherheits- und Compliance-Standards entspricht.

Wesentliche Kriterien gemäß ESMA-Leitlinien

1. Governance, Kontrolle und Dokumentation:

Eine klare Governance-Struktur ist entscheidend, um die Kontrolle über ausgelagerte Funktionen zu gewährleisten. Die ESMA-Leitlinien legen Wert auf eine definierte Verantwortlichkeitsstruktur und detaillierte Dokumentation, um Transparenz und Nachvollziehbarkeit sicherzustellen.

2. Risikoanalyse der Auslagerung und Due-Diligence-Prüfung:

Vor Abschluss einer Auslagerungsvereinbarung müssen Unternehmen eine gründliche Risikoanalyse durchführen. Dies betrifft besonders Vereinbarungen mit einem Cloud-Anbieter, die als kritisch oder wesentlich eingestuft werden. Eine sorgfältige Due-Diligence-Prüfung des Cloud-Anbieters, einschließlich der Identifikation möglicher Interessenkonflikte, ist unerlässlich.

3. Zentrale Bestandteile des Vertrags:

Die Auslagerungsvereinbarung muss klare Bestandteile umfassen, einschließlich der Rechte und Pflichten beider Vertragsparteien. Ein solider Vertrag bildet die Grundlage für eine sichere und effektive Zusammenarbeit mit dem Cloud-Anbieter.

Erweiterung durch BaFin-Ankündigung: ESMA-Leitlinien in der Praxis

Die Ankündigung der BaFin, die ESMA-Leitlinien anzuwenden, spiegelt sich in der Verwaltungspraxis wider. Diese Leitlinien orientieren sich stark an bestehenden Mindestanforderungen an das Risikomanagement (MaRisk) und den bankaufsichtlichen Anforderungen an die IT (BAIT). Die ESMA-Leitlinien erweitern jedoch diese Standards um spezifische Regelungen, die auf Cloud-Anbieter zugeschnitten sind.

Handlungsbedarf für Unternehmen

Angesichts der Ankündigung der BaFin sollten Unternehmen im Finanzsektor handeln. Hier sind einige Schritte, die unternommen werden sollten:

  1. Prüfung der Anwendbarkeit:

Unternehmen sollten prüfen, ob die ESMA-Leitlinien auf sie anwendbar sind.

  1. Überprüfung bestehender Regelungen:

Interne Regelungen, Strategien und Auslagerungsvereinbarungen sollten auf Anpassungsbedarf überprüft werden.

iAP – Ihr Experte für sichere Cloud-Nutzung im Finanzsektor

Als erfahrener Berater im Finanzsektor unterstützt iAP Banken im Bereich Identity and Access Management (IAM) sowie im Bereich Internes Kontrollsystem (IKS) unter Einhaltung aller regulatorischen Anforderungen (BaFin, ESMA, EZB, EBA). Unsere Expertise ermöglicht es Unternehmen, nicht nur die ESMA-Leitlinien umzusetzen, sondern auch die Sicherheit und Compliance in der Cloud-Nutzung zu optimieren.

Fazit: Cloud-First mit Sicherheit und Compliance

Die ESMA-Leitlinien bieten einen klaren Rahmen für Unternehmen im Finanzsektor, die auf Cloud-First-Strategien setzen. Durch die Betrachtung der wesentlichsten Kriterien, die Leitlinien der BaFin und die Expertise von iAP wird deutlich, dass Sicherheit und Compliance im Fokus stehen. Unternehmen, die proaktiv handeln, können nicht nur regulatorischen Standards gerecht werden, sondern gestalten auch eine sichere und zukunftsfähige Cloud-Nutzung.

 

Foto: istockphoto/mixdabass

In der modernen Geschäftswelt steht Sicherheit und Qualität an erster Stelle. Insbesondere für Unternehmen im Bereich Rechenzentren und Cloudbetreuung ist das Wirtschaftsprüfer-Testat entscheidend geworden, das weit mehr ist als nur eine Bescheinigung.

Die Relevanz einer Rechenzentrums-Zertifizierung

Die fortschreitende Digitalisierung und der verstärkte Einsatz von Cloud-Infrastrukturen machen die Sicherheit von Rechenzentren zur Schlüsselkomponente für den Geschäftserfolg. Die Zertifizierung durch einen unabhängigen Wirtschaftsprüfer gewährleistet, dass Ihre IT-Infrastruktur und Dienstleistungen höchsten Sicherheits- und Qualitätsstandards entsprechen.

Warum ein Wirtschaftsprüfer-Testat?

Ein Wirtschaftsprüfer-Testat bietet eine unabhängige, neutrale und objektive Überprüfung Ihrer Prozesse, die über Mindeststandards hinausgeht. Es identifiziert potenzielle Schwachstellen und stärkt die Glaubwürdigkeit Ihrer Organisation, was das Vertrauen Ihrer Kunden und Geschäftspartner fördert.

Die Vorteile im Detail:

  1. Risikobewertung und -management: Wir evaluieren nicht nur vorhandene Sicherheitslücken, sondern bieten auch maßgeschneiderte Empfehlungen zur Risikominderung. Unser Fokus liegt darauf, Ihre Organisation proaktiv vor potenziellen Bedrohungen zu schützen und gleichzeitig die Integrität Ihrer IT-Infrastruktur zu stärken. Durch eine umfassende Analyse identifizieren wir Risiken, präsentieren klare Empfehlungen und begleiten Sie partnerschaftlich auf dem Weg zu einer widerstandsfähigen Sicherheitsstrategie. In einer sich ständig wandelnden digitalen Landschaft sind eine effektive Risikobewertung und proaktives Management entscheidend.
  2. Individuelle Anpassung: Jedes Unternehmen ist einzigartig. Unser Wirtschaftsprüfer-Testat wird präzise an die spezifischen Anforderungen Ihrer Organisation angepasst. Wir erkennen die Einzigartigkeit Ihres Unternehmens an und stellen sicher, dass die Sicherheitsstandards genau auf Ihre Bedürfnisse zugeschnitten sind.
  3. Rechtsverbindlichkeit: Das Wirtschaftsprüfer-Testat bietet erhöhte rechtliche Verbindlichkeit, wodurch Ihrer Organisation eine zusätzliche rechtliche Absicherung gewährt wird.

Vertrauen schaffen durch Transparenz

Ein Wirtschaftsprüfer-Testat bietet nicht nur eine Bestätigung der Einhaltung internationaler Standards, sondern schafft auch Vertrauen bei Kunden und Geschäftspartnern. Die transparente Dokumentation von Prüfergebnissen, Empfehlungen und Maßnahmen zur kontinuierlichen Verbesserung gibt Aufschluss über die Verlässlichkeit der IT-Infrastruktur.

Zeit- und Kostenersparnis durch Standardisierung

Die Zertifizierung nach internationalen Standards wie SOC1, SOC2,  ISAE3402, EN 50600 oder BSI C5 ermöglicht eine Standardisierung der Sicherheitsprozesse. Dies führt nicht nur zu einer effizienteren Implementierung von Sicherheitsmaßnahmen, sondern erspart auch die Notwendigkeit kundenindividueller Audits, wodurch wiederum Zeit und Ressourcen gespart werden können.

Prüfung des dienstleistungsbezogenen internen Kontrollsystems (IKS)

Die Grundlage für die Prüfung sind die Standards IDW PS 951, ISAE 3402 oder SSAE 18, die sich auf (rechnungslegungsrelevante) Dienstleistungen des Unternehmens konzentrieren. Das interne Kontrollsystem des Dienstleistungsunternehmens bildet die Basis für die Überprüfung.

Die Ergebnisse der Prüfung werden in einem Bericht festgehalten, der den Abschlussprüfern der Kunden des Dienstleistungsunternehmens als Prüfungsergebnisse Dritter dient. Die Prüfung kann zeitpunkt- oder zeitraumbezogen sein und sich auf bestimmte Dienstleistungen konzentrieren. Dabei kann die Tiefe der Prüfung zwei Typen umfassen:

  • Typ 1: Beurteilung der Angemessenheit und des Designs der beschriebenen Kontrollen (Berichterstattung Typ A).
  • Typ 2: Zusätzlich die Beurteilung der Wirksamkeit der Kontrollen im Internen Kontrollsystem (Berichterstattung Typ B).

Die Wahl des Prüfungstyps hängt vom Dienstleistungsangebot und den geschlossenen Verträgen mit den auslagernden Unternehmen ab. Der Prüfungstyp A erfordert weitere Prüfungen durch die Kunden bzw. auslagernden Unternehmen.

Unsere Dienstleistungen im Bereich Rechenzentrums-Zertifizierung

Unsere Expertise erstreckt sich über verschiedene Zertifizierungsstandards, um Ihren individuellen Anforderungen gerecht zu werden. Wir unterstützen Sie nicht nur bei der Zertifizierung Ihres Rechenzentrums, sondern begleiten Sie auch bei der Implementierung von Optimierungsmaßnahmen. Unsere ganzheitliche Herangehensweise ermöglicht es Ihnen, nicht nur die Zertifizierungsanforderungen zu erfüllen, sondern auch Ihre IT-Infrastruktur kontinuierlich zu optimieren und an sich wandelnde Branchenstandards anzupassen.

Schlussgedanken

In einer Zeit, in der Datensicherheit und -integrität entscheidend sind, wird eine Rechenzentrums-Zertifizierung zum Wettbewerbsvorteil. Vertrauen Sie auf unsere Erfahrung und Kompetenz, um die Sicherheit Ihrer IT-Infrastruktur nachhaltig zu gewährleisten.

Unsere umfassende Expertise in den Bereichen Prüfung & Zertifizierung, IT-Sicherheit & Cyber Security, Nachhaltigkeit & ESG und Datenschutz macht uns zum idealen Partner für die Sicherheit Ihrer IT-Infrastruktur und die Durchführung von Prüfungen des dienstleistungsbezogenen internen Kontrollsystems.

Besuchen Sie uns für weitere Informationen über die Zertifizierung für Rechenzentren und Cloudbetreiber und Prüfungen Ihres internen Kontrollsystems (IKS) auf https://audit-professionals.de/lp-rechenzentrums-zertifizierung. Ihr Vertrauen ist unser Maßstab für Qualität.

 

Foto: istockphoto.com/oselote

Die zunehmende Digitalisierung der Geschäftsprozesse in Unternehmen – meist mit Einsatz eines ERP-Systems – hat die Bedeutung der IT-Prüfung im Rahmen der Jahresabschlussprüfung verstärkt, insbesondere nach den Standards der International Standards on Auditing (ISA) 315. In diesem Artikel werfen wir einen genaueren Blick auf die Herausforderungen der IT-Prüfung durch den Wirtschaftsprüfer und beleuchten spezifische Aspekte im Hinblick auf die Prüfungsdurchführung.

  1. Sorgfältige Prüfungsplanung der Jahresabschlußprüfung

    In der intensiven Prüfungssaison zum Ende eines jeden Jahres – vor allem aufgrund des gängigen Bilanzstichtags zum 31.12. – ist eine sorgfältige Prüfungsplanung von entscheidender Bedeutung. Dies umfasst insbesondere eine präzise Planung und Zuweisung der knappen Personalressourcen, um spezifische Risiken im IT-Bereich angemessen zu bewerten. Hierbei spielt die Identifikation kritischer Geschäftsprozesse, die Abhängigkeit von IT-Systemen und die Bewertung der Kontrollumgebung eine entscheidende Rolle.

  2. Vorab-Anfrage von Nachweisdokumentation beim Mandanten

    Um die Effizienz der Prüfung zu maximieren, setzen Wirtschaftsprüfer auf die Vorab-Anfrage von Nachweisdokumentation beim Mandanten. Diese Strategie ermöglicht eine frühzeitige Anforderung relevanter Unterlagen, um besser vorbereitet in den Prüfungstermin zu gehen. Durch diesen Vorab-Prozess stellen Prüfer sicher, dass alle notwendigen Informationen verfügbar sind, was den Ablauf der Prüfung erheblich erleichtert.

  3. Prüfungstermin

    Die begrenzte Zeit während des Prüfungstermins ist eine zentrale Herausforderung. In nur wenigen Stunden müssen die Prüfer eine umfassende Prüfung der IT-Kontrollen durchführen. Dies erfordert eine klare Strukturierung des Prüfungsablaufs und eine zielgerichtete Analyse der zuvor identifizierten Risikobereiche. Eine effiziente Nutzung dieser begrenzten Zeit ist entscheidend, um eine gründliche Prüfung durchzuführen.

  4. Nachbereitung des Prüfungstermins

    Der Prüfungstermin muss anschließend sorgfältig nachbereitet werden, da dies einen entscheidenden Einfluss auf die Qualität und Aussagekraft der Prüfungsergebnisse hat. Die sorgfältige Nachbereitung umfasst die Dokumentation aller während des Prüfungstermins durchgeführten Prüfungshandlungen. Eine klare und detaillierte Dokumentation ist wichtig, um den Prüfungsprozess nachvollziehbar und transparent zu gestalten. Dies ist nicht nur für die Prüfer selbst wichtig, sondern dient auch als Basis für etwaige spätere externe Überprüfungen und die Kommunikation mit anderen Prüfungsstellen.

  5. Anforderung zusätzlicher Dokumentation

    Während des Prüfungstermins werden in der Regel aus dem Gesprächsverlauf heraus auch zusätzliche Dokumentationsanforderungen identifiziert, die über die ursprüngliche Vorab-Anfrage hinausgehen. Die Fähigkeit der Prüfer, flexibel auf solche Entwicklungen zu reagieren und die erforderliche Dokumentation zu erlangen, ist entscheidend, um eine ganzheitliche Prüfung sicherzustellen.

  6. Qualitätssicherung der Prüfungsergebnisse

    Die Qualitätssicherung der Prüfungsergebnisse bildet einen kritischen Schritt, um sicherzustellen, dass die erlangten Erkenntnisse korrekt und aussagekräftig sind. Dieser Prozess beinhaltet die eingehende Überprüfung der Prüfungsdokumentation, die Gewährleistung der Konsistenz der durchgeführten Prüfungshandlungen und die sorgfältige Abstimmung mit den ermittelten Risiken und Kontrollen.

  7. Dokumentation und Abschluss

    Die abschließende Dokumentation und Integration der Ergebnisse in einen Prüfungsbericht sind von entscheidender Bedeutung. Neben der detaillierten Auflistung festgestellter Risiken und Schwachstellen sollten auch klare Handlungsempfehlungen für die Geschäftsführung bereitgestellt werden. Die Dokumentation erfolgt idealerweise unter Verwendung geeigneter Anwendungen oder Tools, um eine systematische Erfassung, GoBD-konforme Archivierung und Verlinkung der vom Mandanten bereitgestellten Nachweise zu gewährleisten.
    Die Abschlussphase dient jedoch nicht nur der formalen Vollendung der Prüfung. Sie bietet auch die Gelegenheit, in einen aktiven Dialog mit der Geschäftsführung zu treten. Der Austausch über die ermittelten Schwachstellen, mögliche Handlungsschritte und präventive Maßnahmen fördert nicht nur das Vertrauen, sondern stärkt auch die Rolle des Wirtschaftsprüfers als strategischer Berater.

  8. Kontinuierliche Verbesserung des Prüfvorgehens

    Eine ganzheitliche Betrachtung der Prüfungssaison zum Jahresende erfordert auch eine Analyse der durchgeführten Prüfungen, um Verbesserungsmöglichkeiten zu identifizieren. Kontinuierliche Schulungen der Prüfer und die Anpassung von Prüfungsansätzen sind entscheidend, um den ständig wechselnden Anforderungen der digitalen Wirtschaft gerecht zu werden.

Fazit

Eine ganzheitliche Betrachtung der Prüfungssaison zum Jahresende erfordert eine kontinuierliche Analyse und Anpassung der durchgeführten Prüfungen. Die Identifizierung von Verbesserungsmöglichkeiten ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess.

Kontinuierliche Schulungen der Prüfer sind dabei ebenso wichtig wie die Anpassung von Prüfungsansätzen an aktuelle Entwicklungen. Die Digitalisierung eröffnet ständig neue Herausforderungen, denen Wirtschaftsprüfer durch eine offene Lernkultur und eine flexible Anpassung ihrer Methoden begegnen sollten.

Die kontinuierliche Verbesserung ermöglicht es Prüfern, sich den sich wandelnden Gegebenheiten anzupassen und das Vertrauen in die Jahresabschlussprüfung zu stärken.

Foto: istockphoto.com/Evkaz

Die zunehmende Größe und Komplexität des Marktes für Cloud-Lösungen stellt Kunden vor die Frage, welcher Anbieter bzw. welche Cloudlösung die eigenen Anforderungen zur Informationssicherheit am besten abdeckt. Mit der Einführung des BSI C5-Standards hat das BSI einen anspruchsvollen Sicherheitsstandard für Cloud-Dienstleistungen geschaffen, der dieses Problem adressiert. Mit einem auf dem BSI C5-Standard basierenden BSI C5-Testat und dem zugrundeliegenden Prüfbericht können Cloudanbieter ihren Kunden die Sicherheit ihrer Clouddienste transparent darstellen und nachweisen.

Was ist BSI C5?

Die Abkürzung C5 steht für die 5 Anfangsbuchstaben des Cloud Computing Compliance Criteria Catalogue des BSI (kurz: BSI C5). Der  ist ein Katalog, der Mindestanforderungen (Kriterien) zur Informationssicherheit eines Cloud-Dienstes beschreibt und ist in Europa der führende Standard für Informationssicherheit im Cloud Computing.

Die darin definierten Mindestanforderungen können von Clouddienst-Anbietern als Orientierung genutzt werden, um die richtigen Maßnahmen zur Gewährleistung der Informationssicherheit der angebotenen Cloudlösungen zu implementieren. Darüber dient der C5-Kriterienkatalog auch als Grundlage für eine standardisierte Prüfung durch externe Auditoren. Mit einem C5 Testat und dem Ergebnisbericht können Clouddienst-Anbieter ihren Kunden die Einhaltung der im C5-Katalog enthaltenen Kriterien zur Informationssicherheit belegen.

Wer hat BSI C5 entwickelt?

Der C5-Katalog wurde von der staatlichen Behörde Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2016 entwickelt. Das BSI ist eine deutsche Bundesoberbehörde, die zum Geschäftsbereich des Bundesministeriums des Innern und für Heimat mit Sitz in Bonn gehört, und für alle Themen rund um Informationssicherheit und Cybersecurity zuständig ist. Seit der Erstveröffentlichung wurde der BSI C5-Katalog weiterentwickelt und die überarbeitete zweite Fassung im Jahr 2020 veröffentlicht (C5: 2020).

Was ist der konkrete Nutzen von BSI C5?

Der Nutzen des C5-Katalogs resultiert maßgeblich aus dessen Testierfähigkeit. Mit einem C5-Testat können Anbieter von Clouddienstleistungen ihren Kunden transparent nachweisen, dass die im C5 definierten Kriterien zur Informationssicherheit eingehalten werden.

Der Nutzen einer C5-Testierung liegt in zwei grundlegenden Bereichen:

  1. Differenzierung und Wettbewerbsvorteil im Markt für Clouddienstleistungen
    Ob SaaS, PaaS oder IaaS – im stetig wachsenden Markt für Clouddienstleistungen aller Art mit einer weiter zunehmenden Zahl an international agierenden Anbietern ist es schwer, sich von der Konkurrenz abzuheben und den eigenen Mehrwert herauszustellen. Mit einem C5-Testat können sich Clouddienst-Anbieter jedoch wirkungsvoll im Wettbewerb profilieren, denn der Standard ist international bekannt, die zugrundliegende Thematik der Informationssicherheit maßgeblich entscheidungsrelevant für Kunden, und die Einhaltung der C5-Kriterien durchaus anspruchsvoll.
    Darüber hinaus kann ein Clouddienst-Anbieter mit einer einmaligen Prüfung und Testierung einer Vielzahl von Kunden und Interessenten die Einhaltung der C5-Kriterien nachweisen. Damit wird vermieden, dass jeder Kunde oder Interessent individuell Auskünfte beim Anbieter einholen, oder eigene Auditoren mit der Prüfung der Sicherheit seiner Daten beim Clouddienstleister beauftragen muss.
    Ein weitere wichtiger Punkt ist die Tatsache, dass im öffentlichen Sektor bzw. von Bundesbehörden Aufträge, bei denen Clouddienstleistungen erforderlich sind, nur unter der Voraussetzung vergeben werden, dass vom Bieter ein aktuelles C5-Testat vorgelegt wird, welches die Erfüllung der C5-Kriterien nachweist.
  2. Orientierungshilfe für Kunden bei der Auswahl von Clouddienstleistern und Clouddiensten
    Die Größe und Komplexität des Markts für Clouddienstleistungen ist aber nicht nur für die Anbieter eine Herausforderung, sondern insbesondere für Kunden ist es nicht einfach festzustellen, welcher Anbieter und welches Produkt die eigenen Anforderungen zur Informationssicherheit abdeckt. Mit der Vorlage eines C5-Testats und des dazu gehörenden Prüfberichts kann ein Clouddienst-Anbieter den potenziellen Kunden helfen, hierbei die richtige Entscheidung zu treffen.

Was ist der Unterschied zwischen BSI C5 und DIN ISO 27001?

Eine C5-Testierung orientiert sich methodisch am Vorgehen in der Wirtschaftsprüfung, bei der unter Einhaltung der vorgegebenen Prüfungsstandards initial die Angemessenheit der Kontrollen des internen Kontrollsystems (IKS) mit Einhaltung der zugrunde liegenden Anforderungen (C5-Kriterien), und dann in regelmäßigen Abständen (z.B. alle 6 Monate oder jährlich) deren Wirksamkeit über die gesamte Berichtsperiode geprüft, und von einem Wirtschaftsprüfer bescheinigt wird.

Eine Zertifizierung nach ISO 27001 hingegen weist zu einem bestimmten Zeitpunkt und (unter Berücksichtigung der jährlichen Überwachungsaudits) danach alle 3 Jahre das Vorhandensein eines Informationssicherheits-Managementsystems (ISMS) mit Abdeckung der Normanforderungen nach, berücksichtigt aber nicht den Nachweis für die dauerhafte Wirksamkeit der implementierten Kontrollen. Das ISO-Zertifikat wird dabei von einer für ISO 27001 akkreditierten Zertifizierungsstelle und nicht von einem Wirtschaftsprüfer ausgestellt.

Für wen kommt eine BSI C5-Testierung in Frage?

Eine Testierung nach dem C5-Katalog kommt grundsätzlich für alle Anbieter in Frage, die ihren Kunden eine Cloud-Dienstleistung anbieten. Dies umfasst z.B. auch Cloud-Lösungen, die aus den Leistungen von Unterauftragnehmer des Cloud-Dienstleister zusammengesetzt sind oder nicht im eigenen Rechenzentrum betrieben werden.

  • SaaS (z.B. ERP-Systeme, Finanz-Dienstleistungen, CRM-Lösungen, Collaboration-Lösungen, Design & Visualization, etc.) 
  • PaaS (Entwicklungsplattformen) 
  • IaaS (virtualisierte Computing-Ressourcen, Netzwerke, Speicherlösungen) 

Interessant ist eine C5-Testierung insbesondere für Cloudanbieter, die ihre Leistungen für eine Vielzahl von Kunden anbieten und bereits einen Großteil der C5-Kriterien erfüllen, oder mit absehbarem zeitlichem Aufwand erfüllen können. 

Was beinhaltet BSI C5?

Der Kriterienkatalog C5: 2020 beinhaltet neben den Anforderungen der allgemeinen Rahmenbedingungen 125 Kriterien, die sich auf 17 Themengebiete aufteilen:

1 Organisation der Informationssicherheit (OIS)
2 Sicherheitsrichtlinien und Arbeitsanweisungen (SP)
3 Personal (HR)
4 Asset Management (AM)
5 Physische Sicherheit (PS)
6 Regelbetrieb (OPS)
7 Identitäts- und Berechtigungsmanagement (IDM)
8 Kryptographie und Schlüsselmanagement (CRY)
9 Kommunikationssicherheit (COS)
10 Portabilität und Interoperabilität (PI)
11 Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)
12 Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)
13 Umgang mit Sicherheitsvorfällen (SIM)
14 Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM)
15 Compliance (COM)
16 Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ)
17 Produktsicherheit (PSS)

Die 125 Kriterien gliedern sich dabei in sog. Basiskriterien sowie Zusatzkriterien. Die Basiskriterien beinhalten dabei Anforderungen, die ein Clouddienst erfüllen muss, um den Anforderungen einer sicheren Verarbeitung von Daten mit normalem Schutzbedarf zu gewährleisten.

Sofern Kunden sensible Informationen mit erhöhtem Schutzbedarf in der Cloud verarbeiten wollen, sollte der betreffenden Cloudanbieter darüber hinaus auch die sog. Zusatzkriterien erfüllen, die weiterführenden Maßnahmen zur Gewährleistung der Informationssicherheit seitens des Cloudanbieters erfordern.

Darüber hinaus enthält der Kriterienkatalog umfassende Informationen für den Konformitätsnachweis durch eine unabhängige Prüfung, die idealerweise zu einem C5-Testat führt.

Wer darf eine BSI C5-Testierung durchführen?

Die Prüfungen werden typischerweise von externen IT-Prüfern aus dem Umfeld der Wirtschaftsprüfung durchgeführt. Die eigentliche Ausstellung des Testats erfolgt durch einen Wirtschaftsprüfer.

Wie läuft eine BSI C5-Testierung ab?

Um nicht erst während der C5-Prüfung festzustellen, dass das gewünschte Ergebnis in Form eines positiven C5-Testats nicht realistisch ist, bedarf es beim Cloud-Dienstleister einer sorgfältigen Vorbereitung mit entsprechendem zeitlichem Vorlauf und der Einplanung der Ressourcen für Systemanpassungen sowie dem Aufbau des internen Kontrollsystems.
Grundlegende Voraussetzungen sollten möglichst vorab bereits vor Beauftragung der Prüforganisation gelegt werden, u.a.:

  • Festlegung des Produkt-/DL-Scopes für das Testat
  • Systembeschreibung des Cloudanbieters
  • Interne Vorab-Prüfung bzgl. der Erfüllung der C5-Kriterien
  • Festlegung der anzuwendenden Kriterien (Basiskriterien, Zusatzkriterien, nichtanwendbare Kriterien)
  • Implementierung des internen Kontrollsystems (IKS) mit Zuordnung der Kontrollen zu C5-Kriterien
  • Bestimmung der erforderlichen korrespondierende Kontrollen auf Kundenseite
  • Festlegung der einzubeziehenden Sub-Dienstleister (inklusive oder Carve out-Methode)
  • Aufbau und Beschreibung der C5-relevanten Kontrollen des IKS

Nach der Beauftragung einer geeigneten Prüforganisation (meist in Form eines Wirtschaftsprüfers) beginnt die Phase der intensiven Prüfungstätigkeiten, für die auf Seite des Clouddienstleisters die Verfügbarkeit und die zeitlichen Kapazitäten der erforderlichen Experten eingeplant werden sollte. Im Rahmen der Erstprüfung wird zunächst eine Prüfung nach Typ 1 durchgeführt, bei der der Wirtschaftsprüfer das interne Kontrollsystem bzw. die zur Erfüllung des C5 -Kriterien erforderlichen Kontrollen auf Angemessenheit des Kontrolldesigns bewertet. Die wesentlichen Aufgaben hierbei sind:

  • Prüfung der Erfüllung aller C5-Rahmenbedingungen durch den Clouddienst
  • Prüfung der Abdeckung der C5-Kriterien durch Systemeigenschaften und interne Kontrollen
  • Prüfung des Mappings Kriterien / Kontrollen
  • Prüfung der Angemessenheit der den C5-Kriterien zugeordneten Kontrollen
  • Erstellung Bericht und Testat Typ 1 (z.B. auf Basis IDW PS 951, ISAE 3402)

Nach Festlegung des avisierten Berichtszeitraum kann die Prüfung und Testierung des internen Kontrollsystems für die C5-Kriterien nach Typ 2 avisiert werden. Dies setzt voraus, dass der Clouddienstleister sein internes Kontrollsystem über den gesamten für den Bericht bzw. die Testierung relevanten Berichtszeitraum erfolgreich betrieben hat und die durchgängige Durchführung der internen Kontrollen belegt werden kann. Die Aktivitäten zu Erstellung des -Typ 2-Berichts sind identisch zum Typ 1-Bericht, allerdings wird hier nicht nur das Design bzw. die Angemessenheit der internen, für C5 relevanten Kontrollen geprüft, sondern deren Wirksamkeit über den gesamten Berichtszeitraum.

Fazit

BSI C5 ist der führende Standard für die Umsetzung und Prüfung der Sicherheit von Cloud-Diensten in Deutschland. Der Standard deckt alle wichtigen Aspekte der Cloud-Sicherheit ab und stellt sicher, dass Cloud-Provider angemessene Sicherheitsmaßnahmen umsetzen, um die Daten ihrer Kunden zu schützen. Die Testierung nach BSI C5 bietet Kunden zusätzliche Sicherheit und Vertrauen in den Cloud-Provider und ist daher ein wertvolles Instrument für Cloud-Provider, um ihre Wettbewerbsfähigkeit auf dem deutschen Markt zu erhöhen und neue Kunden zu gewinnen.

Unternehmens-IT im stetigen Wandel

Getrieben durch den technologischen Wandel und unternehmerisches Wachstum besteht für viele Unternehmen die Notwendigkeit, ihre IT-Landschaft und Applikationsumgebung an die neuen Gegebenheiten anzupassen. Solche Anpassungen beinhalten fast immer die Veränderung der zugrunde liegenden Geschäftsprozesse als auch die Einführung neuer Technologien, sei es die Ablösung von Altsystemen oder die Entwicklung/Einführung neuer Software und Anwendungen (wie z.B. ein ERP-System), die Auslagerung der IT-Infrastruktur in die Cloud oder aber die Einführung komplexere Themen wie Blockchain-Technologie oder Künstliche Intelligenz.

Die Änderung bestehender oder die Einführung neuer IT-Systeme ist jedoch stets mit erheblichen Herausforderungen verbunden. Dies gilt sowohl im Kleinen als auch im Großen und ist z.T. unabhängig von der Art des jeweiligen Projekts, wobei die Risiken insbesondere bei mittleren und Großprojekten aufgrund ihrer gesteigerten Komplexität zunehmen.

Herausforderungen bei IT-Projekten

Die Herausforderungen bei der Durchführung von IT-Projekten bestehen dabei zuallererst aus den typischen Projektrisiken wie Termin-, Budgetüberschreitungen und Qualitätsrisiken. Jedoch kommen auch weitere Risiken hinzu wie z.B.

  • Risiko von Fehlentwicklungen und Nichterfüllung von Anforderungen
  • Lücken bei der Informationssicherheit und fehlende oder ungeeignete Kontrollen
  • Migrations-Risiken

Des Weiteren bestehen bei der Einführung neuer Prozesse und Technologien in der Regel fast immer Unsicherheiten über die regulatorischen und gesetzlichen Anforderungen, woraus sich entsprechende Compliance-Risiken ergeben.

Möglichkeiten der Risiko-Mitigation auf Basis IDW PS 850

Zur Adressierung dieser Risiken sind eine Vielzahl projektbezogener Maßnahmen möglich. Angefangen von klassischen Projektmanagement-Aktivitäten wie der Auswahl einer geeigneten Projektmethodik, ordentlicher Projektplanung und Steuerung sowie Ressourcen-Ausstattung, einem sauberen Anforderungs- und Qualitätsmanagement, bis hin zu einem angemessenen Testing und der formalen Projektabnahme.

Darüber hinaus gibt es aber auch die Möglichkeit, Projektrisiken durch das Hinzuziehen einer externen, neutralen Instanz zu minimieren, die das Projekt punktuell für die Abnahme von bestimmten Projektmeilensteinen oder aber über die gesamte Projektdauer bis hin zur Endabnahme prüfend begleitet.

Die Etablierung einer solchen projektbegleitenden Prüfung durch eine externe und neutrale Instanz bietet dabei folgende Chancen:

  • Frühzeitige Absicherung der Berücksichtigung aller Anforderungen im Pflichtenheft
    • Compliance-Anforderungen
    • Einhaltung relevanter Ordnungsmäßigkeitsanforderungen (u.a. Bilanzkontinuität)
    • Security by Design
    • Angemessene IT-Kontrollen
    • Abdeckung von Anforderungen für zukünftige Prüfungen
  • Neutrale unabhängige Einschätzung zum Projektstatus (Liefergegenstände und Meilensteine)
  • Neutrale unabhängige Einschätzung zu Risiken und Maßnahmen bei der Projektumsetzung
  • Zusätzliche Qualitätssicherung
  • Gesamt-Abnahme des Projekts durch unabhängige externe Instanz

Das Vorgehen für eine solche projektbegleitende Prüfung richtet sich dabei an dem vom Institut der Wirtschaftsprüfer ausgegebenen Prüfungsstandard IDW PS 850 aus. Dieser Standard beinhaltet wichtige Vorgaben für die Prüfung über den gesamten Projektlebenszyklus:

  • Projektplanung und Projektorganisation
  • Systemdesign, Entwicklung und Testphasen
  • Datenmigration
  • Rollout und Produktivsetzung

Darüber hinaus macht der PS 850 auch Vorgaben zur Verwertung von Untersuchungen oder Prüfergebnissen Dritter sowie zur Dokumentation und Berichterstattung.

Fazit

Die frühzeitige Einbeziehung eines externen unabhängigen Experten gewährleistet die Einhaltung der Ordnungsmäßigkeitsanforderungen und Bilanzkontinuität, fungiert als neutrale Instanz für Qualitätssicherung und Risiko-Monitoring und kann ggf. sogar als Institution für die Abnahme des Gesamtprojekts dienen.

Die externe prüferische Instanz kann dabei auf Erfahrungen aus ähnlich gelagerten Projekten zurückgreifen, wertvolle Hinweise und Empfehlungen bei der Projektumsetzung liefern und dadurch den Gesamt-Projekterfolg maßgeblich unterstützen.