Schlagwortarchiv für: SOC

DORA steht für “Digital Operational Resilience Act” und ist eine EU-Verordnung, die darauf abzielt, die digitale Betriebsfähigkeit und Widerstandsfähigkeit von Unternehmen im Finanzsektor zu stärken. Diese Verordnung wurde erstmals im September 2020 von der Europäischen Kommission vorgeschlagen und hat das Ziel, den Umgang mit Informations- und Kommunikationstechnologierisiken (IKT-Risiken) im Finanzdienstleistungssektor zu verbessern.

Die Verordnung wurde im November 2022 offiziell vom Rat der Europäischen Union und dem Europäischen Parlament angenommen. DORA gilt für eine Vielzahl von Finanzinstituten, darunter Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und weitere. Auch Unternehmen, die kritische IKT-Dienstleistungen für den Finanzsektor erbringen, fallen unter den Anwendungsbereich von DORA.

Die Umsetzung von DORA erfolgt schrittweise. Obwohl die Verordnung bereits in Kraft ist, wird ihre Anwendung erst ab dem 17. Januar 2025 wirksam. Dies gibt den betroffenen Unternehmen Zeit, die notwendigen Anpassungen vorzunehmen.

Die Hauptziele von DORA

  1. Umfassende Behandlung des IKT-Risikomanagements: DORA legt großen Wert auf die Einführung eines umfassenden IKT-Risikomanagements im Finanzsektor. Das beinhaltet die Identifizierung von Risiken, die Bewertung ihrer Auswirkungen auf den Geschäftsbetrieb und die Umsetzung von Maßnahmen zur Reduzierung dieser Risiken.
  2. Harmonisierung der IKT-Risikomanagementvorschriften: Vor DORA gab es in den verschiedenen EU-Mitgliedstaaten unterschiedliche Vorschriften zum IKT-Risikomanagement. DORA strebt eine Harmonisierung dieser Vorschriften an, um ein einheitliches Regelwerk zu schaffen und die Compliance für Finanzinstitute zu erleichtern.
  3. Stärkung der Resilienz des Finanzsystems: Durch die Einführung von strengen Anforderungen an die digitale Betriebsfähigkeit und Cybersicherheit zielt DORA darauf ab, die Widerstandsfähigkeit des gesamten EU-Finanzsystems gegenüber digitalen Störungen und Sicherheitsvorfällen zu stärken.
  4. Schaffung eines europaweiten Regelwerks: DORA schafft ein europaweites Regelwerk für die digitale Betriebsfähigkeit und Cybersicherheit im Finanzsektor. Dies soll dazu beitragen, regulatorische Fragmentierung zu reduzieren und gleichzeitig die Sicherheit des Finanzsektors zu gewährleisten.

Um diese Ziele zu erreichen, setzt DORA strenge Anforderungen an die betroffenen Finanzinstitute. Diese müssen sicherstellen, dass ihre IKT-Systeme robust sind, gut durchdachte Prozesse implementiert sind und klare Vereinbarungen mit IKT-Dienstleistern getroffen werden. Die Verordnung legt außerdem besonderen Wert auf das Risikomanagement von Drittanbietern und die Notwendigkeit eines effektiven Informationsaustauschs über Cyberbedrohungen zwischen den Finanzunternehmen und den Aufsichtsbehörden.

Für wen gilt DORA?

DORA (Digital Operational Resilience Act) gilt für eine breite Palette von Akteuren im Finanzsektor innerhalb der Europäischen Union. Zu den Hauptgruppen, die von DORA erfasst werden, gehören:

  1. Finanzinstitute: Dazu gehören Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, (Rück-)Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Schwarmfinanzierungsdienstleister und andere.
  2. IKT-Drittdienstleister: Unternehmen, die IKT-Dienstleistungen für den Finanzsektor erbringen, sind ebenfalls von DORA betroffen. Dazu gehören Cloud-Service-Anbieter, Rechenzentren und andere Unternehmen, die kritische IKT-Dienstleistungen für Finanzinstitute bereitstellen.
  3. Aufsichtsbehörden: Die Regulierung und Aufsicht über die Einhaltung von DORA obliegt den zuständigen nationalen Aufsichtsbehörden in den EU-Mitgliedstaaten. Dazu gehören beispielsweise die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) sowie die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA).
  4. Kritische IKT-Drittanbieter: Unternehmen, die als kritische IKT-Drittanbieter eingestuft werden, unterliegen ebenfalls den Bestimmungen von DORA. Die genauen Kriterien zur Bestimmung dieser kritischen Anbieter werden noch ausgearbeitet, aber sie spielen eine entscheidende Rolle im Kontext der digitalen operationellen Resilienz und werden direkt von den führenden Aufsichtsstellen der ESAs (Europäische Aufsichtsbehörden) überwacht.

Die Verordnung betrifft somit nicht nur traditionelle Finanzinstitute, sondern auch diejenigen, die entscheidende IKT-Dienstleistungen für den Finanzsektor erbringen. Dieser breite Anwendungsbereich zeigt die Absicht von DORA, sicherzustellen, dass alle relevanten Akteure im Finanzsektor die notwendigen Maßnahmen ergreifen, um die digitale Betriebsfähigkeit und Sicherheit zu gewährleisten.

Der zeitliche Ablauf von DORA

  • September 2020: Die Europäische Kommission schlägt DORA erstmals vor.
  • November 2022: Der Rat der Europäischen Union und das Europäische Parlament nehmen DORA offiziell an.
  • 2024: Die Europäische Bankenaufsichtsbehörde (EBA) stellt technische Regulierungsstandards (RTS) bereit, die verschiedene Aspekte von DORA abdecken. Dazu gehören Netzwerksicherheit, Schutzvorrichtungen gegen Eindringen und Missbrauch von Daten, Kontrollen von Zugangs- und Zugriffsrechten, Erkennung anomaler Aktivitäten, Überwachung anomalen Verhaltens, Reaktionsprozesse, IKT-Geschäftsfortführungsplanung, Überprüfung des IKT-Risikomanagementrahmens, Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, Meldungen über schwerwiegende IKT-bezogene Vorfälle und erweiterte Tests von IKT-Tools, -Systemen und -Prozessen.
    Die Europäische Kommission entwickelt einen Aufsichtsrahmen für entscheidende IKT-Anbieter.
  • Januar 2025: Die rechtliche Durchsetzung von DORA beginnt. Ab diesem Zeitpunkt können die zuständigen Behörden in den EU-Mitgliedstaaten Sicherheitsmaßnahmen verlangen, Sicherheitslücken beheben und Sanktionen gegen Finanzunternehmen verhängen, die gegen die DORA-Vorgaben verstoßen.

Wie erfolgt die Durchsetzung von DORA?

DORA sieht vor, dass die EU-Mitgliedstaaten sicherstellen, dass ihre zuständigen nationalen Behörden die Einhaltung der DORA-Anforderungen wirksam überwachen. Die Geldbußen sollen dabei “wirksam, verhältnismäßig und abschreckend” sein, wie es in Artikel 50 Absatz 3 der DORA-Verordnung festgelegt ist.

Die zuständigen Behörden können demnach Geldbußen gegen Finanzunternehmen verhängen, die gegen die DORA-Vorschriften verstoßen. Die Höhe der Geldbuße wird unter Berücksichtigung der Umstände des Einzelfalls festgelegt. Es wird betont, dass die Sanktionen angemessen und darauf ausgerichtet sein sollten, Verstöße zu beheben und zukünftige Verstöße zu verhindern.

Zusätzlich zu Geldbußen können Behörden Maßnahmen wie die Aussetzung oder Kündigung von Verträgen ergreifen.

Es ist wichtig zu beachten, dass die Durchsetzung von DORA nicht nur auf nationaler Ebene erfolgt. Kritische IKT-Drittanbieter, die als entscheidend eingestuft werden, unterliegen der direkten Aufsicht der Europäischen Aufsichtsbehörden (ESAs). Die führenden Aufsichtsstellen der ESAs können Sicherheits- und Abhilfemaßnahmen verlangen und Bußgelder gegen IKT-Anbieter verhängen, die die Vorschriften nicht einhalten. Bußgelder können bis zu 1 Prozent des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im vorangegangenen Geschäftsjahr betragen. Bei anhaltenden Verstößen können Geldbußen täglich für bis zu sechs Monate verhängt werden.

Was können wir für Sie tun?

IAP verfügt als Dienstleister für Wirtschaftsprüfer im Finanzsektor über eine breite Erfahrung in der Entwicklung und Testierung von IT-bezogenen Internen Kontrollsystemen (IKS). Die immer weiterwachsende Landschaft an Anforderungen erfordert einen pragmatischen und flexiblen Ansatz, die Konformität zu diesen Anforderungen nachzuweisen.

Der zentrale Ansatz von iAP ist es für Unternehmen, ein zentrales IKS aufzubauen, aus dem alle Anforderungen heraus nachgewiesen werden können.

Folgende Pakete bieten wir Ihnen an:

  1. SOC2 IKS nach BAIT/DORA
  2. SOC2 IKS nach BSI C5/BAIT/DORA
  3. Cybersecurity Testing (Basis, Standard, Extened)
  4. IKS Aufbau – Basis, Standard, Extended
  5. Notfallmanagement- Konzept und –Testierung (BCM nach ISO22301)

Rufen Sie uns an!

 

Foto: istockphoto/Dmytro Yarmolin

 

In der modernen Geschäftswelt steht Sicherheit und Qualität an erster Stelle. Insbesondere für Unternehmen im Bereich Rechenzentren und Cloudbetreuung ist das Wirtschaftsprüfer-Testat entscheidend geworden, das weit mehr ist als nur eine Bescheinigung.

Die Relevanz einer Rechenzentrums-Zertifizierung

Die fortschreitende Digitalisierung und der verstärkte Einsatz von Cloud-Infrastrukturen machen die Sicherheit von Rechenzentren zur Schlüsselkomponente für den Geschäftserfolg. Die Zertifizierung durch einen unabhängigen Wirtschaftsprüfer gewährleistet, dass Ihre IT-Infrastruktur und Dienstleistungen höchsten Sicherheits- und Qualitätsstandards entsprechen.

Warum ein Wirtschaftsprüfer-Testat?

Ein Wirtschaftsprüfer-Testat bietet eine unabhängige, neutrale und objektive Überprüfung Ihrer Prozesse, die über Mindeststandards hinausgeht. Es identifiziert potenzielle Schwachstellen und stärkt die Glaubwürdigkeit Ihrer Organisation, was das Vertrauen Ihrer Kunden und Geschäftspartner fördert.

Die Vorteile im Detail:

  1. Risikobewertung und -management: Wir evaluieren nicht nur vorhandene Sicherheitslücken, sondern bieten auch maßgeschneiderte Empfehlungen zur Risikominderung. Unser Fokus liegt darauf, Ihre Organisation proaktiv vor potenziellen Bedrohungen zu schützen und gleichzeitig die Integrität Ihrer IT-Infrastruktur zu stärken. Durch eine umfassende Analyse identifizieren wir Risiken, präsentieren klare Empfehlungen und begleiten Sie partnerschaftlich auf dem Weg zu einer widerstandsfähigen Sicherheitsstrategie. In einer sich ständig wandelnden digitalen Landschaft sind eine effektive Risikobewertung und proaktives Management entscheidend.
  2. Individuelle Anpassung: Jedes Unternehmen ist einzigartig. Unser Wirtschaftsprüfer-Testat wird präzise an die spezifischen Anforderungen Ihrer Organisation angepasst. Wir erkennen die Einzigartigkeit Ihres Unternehmens an und stellen sicher, dass die Sicherheitsstandards genau auf Ihre Bedürfnisse zugeschnitten sind.
  3. Rechtsverbindlichkeit: Das Wirtschaftsprüfer-Testat bietet erhöhte rechtliche Verbindlichkeit, wodurch Ihrer Organisation eine zusätzliche rechtliche Absicherung gewährt wird.

Vertrauen schaffen durch Transparenz

Ein Wirtschaftsprüfer-Testat bietet nicht nur eine Bestätigung der Einhaltung internationaler Standards, sondern schafft auch Vertrauen bei Kunden und Geschäftspartnern. Die transparente Dokumentation von Prüfergebnissen, Empfehlungen und Maßnahmen zur kontinuierlichen Verbesserung gibt Aufschluss über die Verlässlichkeit der IT-Infrastruktur.

Zeit- und Kostenersparnis durch Standardisierung

Die Zertifizierung nach internationalen Standards wie SOC1, SOC2,  ISAE3402, EN 50600 oder BSI C5 ermöglicht eine Standardisierung der Sicherheitsprozesse. Dies führt nicht nur zu einer effizienteren Implementierung von Sicherheitsmaßnahmen, sondern erspart auch die Notwendigkeit kundenindividueller Audits, wodurch wiederum Zeit und Ressourcen gespart werden können.

Prüfung des dienstleistungsbezogenen internen Kontrollsystems (IKS)

Die Grundlage für die Prüfung sind die Standards IDW PS 951, ISAE 3402 oder SSAE 18, die sich auf (rechnungslegungsrelevante) Dienstleistungen des Unternehmens konzentrieren. Das interne Kontrollsystem des Dienstleistungsunternehmens bildet die Basis für die Überprüfung.

Die Ergebnisse der Prüfung werden in einem Bericht festgehalten, der den Abschlussprüfern der Kunden des Dienstleistungsunternehmens als Prüfungsergebnisse Dritter dient. Die Prüfung kann zeitpunkt- oder zeitraumbezogen sein und sich auf bestimmte Dienstleistungen konzentrieren. Dabei kann die Tiefe der Prüfung zwei Typen umfassen:

  • Typ 1: Beurteilung der Angemessenheit und des Designs der beschriebenen Kontrollen (Berichterstattung Typ A).
  • Typ 2: Zusätzlich die Beurteilung der Wirksamkeit der Kontrollen im Internen Kontrollsystem (Berichterstattung Typ B).

Die Wahl des Prüfungstyps hängt vom Dienstleistungsangebot und den geschlossenen Verträgen mit den auslagernden Unternehmen ab. Der Prüfungstyp A erfordert weitere Prüfungen durch die Kunden bzw. auslagernden Unternehmen.

Unsere Dienstleistungen im Bereich Rechenzentrums-Zertifizierung

Unsere Expertise erstreckt sich über verschiedene Zertifizierungsstandards, um Ihren individuellen Anforderungen gerecht zu werden. Wir unterstützen Sie nicht nur bei der Zertifizierung Ihres Rechenzentrums, sondern begleiten Sie auch bei der Implementierung von Optimierungsmaßnahmen. Unsere ganzheitliche Herangehensweise ermöglicht es Ihnen, nicht nur die Zertifizierungsanforderungen zu erfüllen, sondern auch Ihre IT-Infrastruktur kontinuierlich zu optimieren und an sich wandelnde Branchenstandards anzupassen.

Schlussgedanken

In einer Zeit, in der Datensicherheit und -integrität entscheidend sind, wird eine Rechenzentrums-Zertifizierung zum Wettbewerbsvorteil. Vertrauen Sie auf unsere Erfahrung und Kompetenz, um die Sicherheit Ihrer IT-Infrastruktur nachhaltig zu gewährleisten.

Unsere umfassende Expertise in den Bereichen Prüfung & Zertifizierung, IT-Sicherheit & Cyber Security, Nachhaltigkeit & ESG und Datenschutz macht uns zum idealen Partner für die Sicherheit Ihrer IT-Infrastruktur und die Durchführung von Prüfungen des dienstleistungsbezogenen internen Kontrollsystems.

Besuchen Sie uns für weitere Informationen über die Zertifizierung für Rechenzentren und Cloudbetreiber und Prüfungen Ihres internen Kontrollsystems (IKS) auf https://audit-professionals.de/lp-rechenzentrums-zertifizierung. Ihr Vertrauen ist unser Maßstab für Qualität.

 

Foto: istockphoto.com/oselote

Die zunehmende Digitalisierung der Geschäftsprozesse in Unternehmen – meist mit Einsatz eines ERP-Systems – hat die Bedeutung der IT-Prüfung im Rahmen der Jahresabschlussprüfung verstärkt, insbesondere nach den Standards der International Standards on Auditing (ISA) 315. In diesem Artikel werfen wir einen genaueren Blick auf die Herausforderungen der IT-Prüfung durch den Wirtschaftsprüfer und beleuchten spezifische Aspekte im Hinblick auf die Prüfungsdurchführung.

  1. Sorgfältige Prüfungsplanung der Jahresabschlußprüfung

    In der intensiven Prüfungssaison zum Ende eines jeden Jahres – vor allem aufgrund des gängigen Bilanzstichtags zum 31.12. – ist eine sorgfältige Prüfungsplanung von entscheidender Bedeutung. Dies umfasst insbesondere eine präzise Planung und Zuweisung der knappen Personalressourcen, um spezifische Risiken im IT-Bereich angemessen zu bewerten. Hierbei spielt die Identifikation kritischer Geschäftsprozesse, die Abhängigkeit von IT-Systemen und die Bewertung der Kontrollumgebung eine entscheidende Rolle.

  2. Vorab-Anfrage von Nachweisdokumentation beim Mandanten

    Um die Effizienz der Prüfung zu maximieren, setzen Wirtschaftsprüfer auf die Vorab-Anfrage von Nachweisdokumentation beim Mandanten. Diese Strategie ermöglicht eine frühzeitige Anforderung relevanter Unterlagen, um besser vorbereitet in den Prüfungstermin zu gehen. Durch diesen Vorab-Prozess stellen Prüfer sicher, dass alle notwendigen Informationen verfügbar sind, was den Ablauf der Prüfung erheblich erleichtert.

  3. Prüfungstermin

    Die begrenzte Zeit während des Prüfungstermins ist eine zentrale Herausforderung. In nur wenigen Stunden müssen die Prüfer eine umfassende Prüfung der IT-Kontrollen durchführen. Dies erfordert eine klare Strukturierung des Prüfungsablaufs und eine zielgerichtete Analyse der zuvor identifizierten Risikobereiche. Eine effiziente Nutzung dieser begrenzten Zeit ist entscheidend, um eine gründliche Prüfung durchzuführen.

  4. Nachbereitung des Prüfungstermins

    Der Prüfungstermin muss anschließend sorgfältig nachbereitet werden, da dies einen entscheidenden Einfluss auf die Qualität und Aussagekraft der Prüfungsergebnisse hat. Die sorgfältige Nachbereitung umfasst die Dokumentation aller während des Prüfungstermins durchgeführten Prüfungshandlungen. Eine klare und detaillierte Dokumentation ist wichtig, um den Prüfungsprozess nachvollziehbar und transparent zu gestalten. Dies ist nicht nur für die Prüfer selbst wichtig, sondern dient auch als Basis für etwaige spätere externe Überprüfungen und die Kommunikation mit anderen Prüfungsstellen.

  5. Anforderung zusätzlicher Dokumentation

    Während des Prüfungstermins werden in der Regel aus dem Gesprächsverlauf heraus auch zusätzliche Dokumentationsanforderungen identifiziert, die über die ursprüngliche Vorab-Anfrage hinausgehen. Die Fähigkeit der Prüfer, flexibel auf solche Entwicklungen zu reagieren und die erforderliche Dokumentation zu erlangen, ist entscheidend, um eine ganzheitliche Prüfung sicherzustellen.

  6. Qualitätssicherung der Prüfungsergebnisse

    Die Qualitätssicherung der Prüfungsergebnisse bildet einen kritischen Schritt, um sicherzustellen, dass die erlangten Erkenntnisse korrekt und aussagekräftig sind. Dieser Prozess beinhaltet die eingehende Überprüfung der Prüfungsdokumentation, die Gewährleistung der Konsistenz der durchgeführten Prüfungshandlungen und die sorgfältige Abstimmung mit den ermittelten Risiken und Kontrollen.

  7. Dokumentation und Abschluss

    Die abschließende Dokumentation und Integration der Ergebnisse in einen Prüfungsbericht sind von entscheidender Bedeutung. Neben der detaillierten Auflistung festgestellter Risiken und Schwachstellen sollten auch klare Handlungsempfehlungen für die Geschäftsführung bereitgestellt werden. Die Dokumentation erfolgt idealerweise unter Verwendung geeigneter Anwendungen oder Tools, um eine systematische Erfassung, GoBD-konforme Archivierung und Verlinkung der vom Mandanten bereitgestellten Nachweise zu gewährleisten.
    Die Abschlussphase dient jedoch nicht nur der formalen Vollendung der Prüfung. Sie bietet auch die Gelegenheit, in einen aktiven Dialog mit der Geschäftsführung zu treten. Der Austausch über die ermittelten Schwachstellen, mögliche Handlungsschritte und präventive Maßnahmen fördert nicht nur das Vertrauen, sondern stärkt auch die Rolle des Wirtschaftsprüfers als strategischer Berater.

  8. Kontinuierliche Verbesserung des Prüfvorgehens

    Eine ganzheitliche Betrachtung der Prüfungssaison zum Jahresende erfordert auch eine Analyse der durchgeführten Prüfungen, um Verbesserungsmöglichkeiten zu identifizieren. Kontinuierliche Schulungen der Prüfer und die Anpassung von Prüfungsansätzen sind entscheidend, um den ständig wechselnden Anforderungen der digitalen Wirtschaft gerecht zu werden.

Fazit

Eine ganzheitliche Betrachtung der Prüfungssaison zum Jahresende erfordert eine kontinuierliche Analyse und Anpassung der durchgeführten Prüfungen. Die Identifizierung von Verbesserungsmöglichkeiten ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess.

Kontinuierliche Schulungen der Prüfer sind dabei ebenso wichtig wie die Anpassung von Prüfungsansätzen an aktuelle Entwicklungen. Die Digitalisierung eröffnet ständig neue Herausforderungen, denen Wirtschaftsprüfer durch eine offene Lernkultur und eine flexible Anpassung ihrer Methoden begegnen sollten.

Die kontinuierliche Verbesserung ermöglicht es Prüfern, sich den sich wandelnden Gegebenheiten anzupassen und das Vertrauen in die Jahresabschlussprüfung zu stärken.

Foto: istockphoto.com/Evkaz

Viele Dienstleister – vor allem Rechenzentrumbetreiber, Cloud Provider und IT-Service Provider aller Art möchten sicherstellen und auch ihren Mandanten nachweisen, dass sie effektive Kontrollen und Sicherheitsmaßnahmen für die Erbringung ihrer Dienstleistungen installiert haben.   

Auf der anderen Seite suchen die Kunden von Dienstleistungsunternehmen den richtigen Partner für die Auslagerung von Geschäftsprozessen. Dabei spielt es eine immer wichtigere Rolle, wie effektiv und verlässlich die internen Kontrollen zur Gewährleistung einer hochverfügbaren und sicheren Datenverarbeitung der Dienstleister sind.   

Die Erfüllung mancher gesetzlichen Anforderungen (z.B. bei den Jahresabschlussprüfungen) wird durch die Auslagerung von Dienstleistungen oftmals mit auf den Dienstleister übertragen, z.B. wenn die Verarbeitung von rechnungslegungsrelevanten Daten outgesourct wird. Die „Verantwortung“ gegenüber dem Gesetzgeber bleibt dabei aber immer beim Unternehmen, das die Dienstleistung auslagert. 

Seit einiger Zeit ist auf dem Markt eine zunehmende Nachfrage nach so genannten SOC-Reports bzw. -Zertifizierungen als Nachweis über das Kontrollsystem des Dienstleisters zu beobachten.
Was bringt ein SOC-Report bzw. eine SOC-Zertifizierung? Was ist der Unterschied zwischen SOC 1, SOC 2 und SOC 3 und daraus resultierend, welcher SOC-Report ist für wen sinnvoll? 

SOC steht für engl. „System and Organization Controls“ und stellt in den Varianten SOC 1, SOC 2 und SOC 3 Prüfungs- und Berichtsstandards des AICPA dar („American Institute of Certified Public Accountants“, zu deutsch „Amerikanisches Institut für Wirtschaftsprüfer“). SOC-Berichte richten sich an Unternehmen, die die Verlässlichkeit ihrer Dienstleistungen sowie die Sicherheit der für den Kunden verarbeiteten Daten durch eine Wirtschaftsprüfer-Testat nachweisen wollen. 

SOC 1® — Interne Kontrolle der Finanzberichterstattung (ICFR)

Der SOC 1 Standard wurde speziell für die Überprüfung derjenigen Kontrollen bei den Dienstleistern konzipiert, die für die Finanzberichterstattung des Dienstleistungsnehmers relevant sind. Die Auditoren bzw. Wirtschaftsprüfer des Dienstleistungsnehmers nehmen im Rahmen der Prüfung für einen SOC 1-Bericht i.d.R. eine Risikobewertung vor und erstellen mit dem SOC 1-Bericht einen Prüfungsnachweis über die Kontrollen des Dienstleisters.  

Für den SOC 1 Bericht gibt es zwei Berichts-Typen: 

Typ 1

Bericht über die Eignung des Aufbaus und der Angemessenheit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele zu einem bestimmten Zeitpunkt 

Typ 2

Bericht über die Wirksamkeit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele während eines bestimmten Zeitraums (üblicherweise 6 Monate oder 1 Jahr). 

SOC 2® – Trust Services Criteria

Der SOC 2-Bericht wurde konzipiert für die Überprüfung der Kontrollen bzgl. Sicherheit (security), Verfügbarkeit (availability), Integrität (processing integrity) der Systeme, die der Dienstleister für die Verarbeitung der Daten der Dienstleistungsnehmer verwendet, sowie der Kontrollen zu Datenschutz und Vertraulichkeit (privacy of the information) der verarbeiteten Daten. 

Die Dienstleister für die ausgelagerten Dienstleistungen agieren dabei praktisch als „Lieferanten“ für ihre Kunden. Die SOC 2-Berichte dienen dazu, zum Risikomanagement des Dienstleistungsnehmers eine adäquate und mit einem angemessenen Detaillierungsgrad versehene Bewertung unter Berücksichtigung des SOC 2 Standards abzugeben. Die Berichte setzen ein angemessenes Maß an Fachkenntnissen und Wissen über die Abläufe, sowie die Art und Weise voraus, wie die Dienstleistungen hergestellt und angeboten werden. Daher ist Anwenderkreis für den SOC 2-Bericht eingeschränkt auf das Management des Dienstleistungsunternehmens, den Dienstleistungsnehmer und seine Wirtschaftsprüfer, aktuelle und potenzielle Geschäftspartner und Revisoren. 

Die zu überprüfenden Kontrollen bei SOC 2- und SOC 3-Berichten werden gegen die so genannten Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy geprüft. 

SOC 2- Berichte können ebenfalls als Typ 1 (Angemessenheit der Kontrollen) oder Typ 2 (Wirksamkeit der Kontrollen über einen bestimmten Zeitraum) erstellt werden. 

SOC 3® – Trust Services Criteria zur allgemeinen Verwendung

Genauso wie bei einem SOC 2-Bericht bezieht sich auch ein SOC 3-Bericht auf die Kontrollen bzgl. Sicherheit, Verfügbarkeit, Integrität sowie Datenschutz/Vertraulichkeit. Die SOC 3-Berichte unterliegen den gleichen Prüfkriterien wie SOC 2-Berichte. Es gibt allerdings einige Unterschiede zwischen SOC 2 und SOC 3: Zum einen sind die SOC 2-Berichte vertraulich und werden nur bestimmten Kunden zur Verfügung gestellt. Die SOC 3-Berichte sind hingegen für die Öffentlichkeit gedacht und stehen in der Regel als Marketing-Instrument auf der Webseite der Unternehmen (der Dienstleister).  

SOC 3-Berichte beinhalten im Gegensatz zu SOC 2-Berichten keine detaillierten Informationen über die internen Prozesse oder Kontrollen des Unternehmens sowie die exakte Art und Weise, wie die Kontrollen getestet wurden oder was das Ergebnis der jeweiligen Tests und Prüfungen im Detail war. Der Bericht ist wesentlich kürzer gefasst und wird i.d.R. in Form eines Whitepapers bereitgestellt. Ein weiterer Unterschied ist, dass ein SOC 3-Bericht nur für einen Berichtszeitraum, also als Typ 2-Bericht erstellt wird. 

Fazit

Wenn rechnungslegungsrelevante bzw. finanzkritische Daten und Verarbeitungsprozesse ausgelagert werden, sollten Unternehmen bei ihren künftigen Dienstleistern nach einem SOC 1-Bericht fragen, z.B. wenn Unternehmen ihre E-Commerce-Aktivitäten auslagern möchten. 

Wenn ein Unternehmen, z.B. die Verarbeitung seiner sensiblen Kundendaten an einen externen Dienstleister auslagern möchte (Cloud/RZ), kommt für den betreffenden IT-Dienstleister der SOC 2-Bericht in Frage. Der Dienstleistungsnehmer möchte mit seiner Anfrage nach einem solchen Bericht sicherstellen, dass der Dienstleister wirksame Mechanismen (Kontrollen) installiert hat, die die Daten seiner Kunden vor fremdem Zugriff schützen und die Hochverfügbarkeit der IT-Umgebung des Dienstleisters sicherstellen. 

Nach einem SOC 3-Bericht fragen die Kunden der Dienstleister i.d.R. nicht. Die Dienstleister stellen den SOC 3-Bericht der Öffentlichkeit selbst zur Verfügung und transportieren damit eine zertifizierte Sicherheit ihrer Dienstleistungen, ohne zu viele Details kommunizieren zu müssen. 

Die stetig wachsende Bedrohung durch Cyberangriffe erfordert eine gezielte und gut durchdachte Herangehensweise an die Informationssicherheit in Unternehmen. In diesem Kontext stehen Organisationen und Geschäftsführer vor folgenden wichtigen Fragen:

  1. Ist unsere Organisation hinreichend gegen die zunehmende Bedrohung von Cyberangriffen abgesichert?

    Angesichts der sich ständig weiterentwickelnden Angriffsmethoden müssen Unternehmen sicherstellen, dass sie über wirksame Abwehrmaßnahmen und Sicherheitsvorkehrungen verfügen, um sich vor Cyberangriffen zu schützen.

  2. Sind uns unbekannte Schwachstellen in unserer IT-Infrastruktur bewusst, die unsere Geschäftsprozesse gefährden könnten oder ein erhebliches Risiko für unser Unternehmen darstellen?

    Oftmals sind Unternehmen sich nicht bewusst, dass ihre IT-Systeme Schwachstellen aufweisen, die von Angreifern ausgenutzt werden könnten. Identifikation und Behebung dieser Schwachstellen sind entscheidend.

  3. Wie können wir die Informationssicherheit in unserer Organisation auf den aktuellen Stand der Technik bringen, ohne zusätzliche Kosten zu verursachen?

    Die Aktualisierung und Verbesserung der Informationssicherheit erfordert Ressourcen, aber Unternehmen sind bestrebt, dies kosteneffizient zu tun, um ihr Budget nicht zu überdehnen.

Herausforderungen für KMU und mittelständische Unternehmen (KMU)

Kleinere und mittelständische Unternehmen stehen bei der Informationssicherheit oft vor besonderen Herausforderungen. Diese Unternehmen haben in der Regel nicht die personellen Kapazitäten, um die erforderlichen Sicherheitsmaßnahmen intern durchzuführen, und verfügen möglicherweise nicht über die notwendige Expertise im Bereich IT-Sicherheit. Darüber hinaus sind ihre Budgets häufig begrenzt.

Die Lösung: Security Operation Center (SOC) und Cyber Defense Center (CDC)

Ein erfolgversprechender Lösungsansatz besteht in der Auslagerung von Aufgaben im Bereich Informationssicherheit an spezialisierte externe Dienstleister. Hier kommen Security Operation Center (SOC) und Cyber Defense Center (CDC) ins Spiel.

Ein SOC/CDC ist ein auf Informationssicherheit spezialisierter Dienstleister, der in die IT-Infrastruktur des Unternehmens integriert ist und eine Art Sicherheitsleitstelle darstellt. Es bietet eine breite Palette von Sicherheitsdiensten, die normalerweise von der internen IT-Abteilung wahrgenommen würden:

  • Überwachung der IT-Sicherheit: Ein SOC/CDC überwacht kontinuierlich die IT-Infrastruktur des Unternehmens auf Anzeichen von Bedrohungen.
  • Proaktive Bedrohungsbewertung durch Threat Intelligence: Mithilfe von Bedrohungsdaten und -analysen bewertet ein SOC/CDC proaktiv potenzielle Risiken.
  • Identifizierung und Beseitigung von Schwachstellen: Schwachstellen in IT-Systemen und -Prozessen werden identifiziert und behoben.
  • Erkennung und Meldung von Cyberangriffen: Ein SOC/CDC erkennt und meldet Cyberangriffe und unterstützt bei der Einleitung von Gegenmaßnahmen.
  • Abwehrmaßnahmen und Schadensbegrenzung: Im Falle eines Angriffs werden sofortige Abwehrmaßnahmen ergriffen, um den Schaden zu minimieren.
  • Kundenspezifische Unterstützung und Sicherheitsberichterstattung: Der Dienstleister bietet maßgeschneiderte Unterstützung und erstellt Sicherheitsberichte für das Unternehmen.

In einem SOC/CDC arbeiten rund um die Uhr hochspezialisierte Cybersecurity-Experten, darunter Security-Architekten, Analysten und Forensiker. Diese Experten überwachen in Echtzeit sicherheitsrelevante Informationen und reagieren unverzüglich auf Anomalien. Die Arbeitsweise zeichnet sich durch den Einsatz von optimierten Tools, eine hohe Automatisierung der Analysen und eine effiziente Teamstruktur aus.

Maßgeschneiderte Sicherheitslösungen

Je nach den spezifischen Anforderungen eines Unternehmens können verschiedene Service-Modelle für die Zusammenarbeit mit einem SOC/CDC definiert werden. Dies ermöglicht eine flexible Auslagerung von Sicherheitsaufgaben, die auf die individuellen Anforderungen des Unternehmens zugeschnitten sind. Die Vorteile der Nutzung eines SOC/CDC liegen auf der Hand:

  • Schnelle und effektive Reaktion: Automatisierung und Fachexperten ermöglichen eine schnelle Reaktion auf Bedrohungen.
  • Schutz vor aktuellen Bedrohungen: Durch den Zugang zu Threat Intelligence sind Unternehmen immer auf dem neuesten Stand.
  • Kontinuierliche Dokumentation und Nachverfolgbarkeit: Alle Sicherheitsmaßnahmen und Ereignisse werden dokumentiert und können nachverfolgt werden.
  • Kein Aufbau interner IT-Sicherheitskapazitäten erforderlich: Die Auslagerung an einen SOC/CDC eliminiert den Bedarf an zusätzlichen internen Ressourcen.
  • Ganzheitliche Sicherheitslösungen: Ein SOC/CDC kann maßgeschneiderte Sicherheitslösungen anbieten, die auf die spezifischen Anforderungen eines Unternehmens zugeschnitten sind.
  • Nachweis der Einhaltung gesetzlicher Vorgaben und Compliance: Die Zusammenarbeit mit einem SOC/CDC stellt sicher, dass alle gesetzlichen Anforderungen und Compliance-Vorschriften erfüllt sind.

Eine optimale Lösung für KMU und mittelständische Unternehmen (KMU)

Die Auslagerung von IT-Sicherheitsaufgaben an einen externen Dienstleister bietet kleinen Unternehmen und KMU die Möglichkeit, ein hohes Sicherheitsniveau auf dem aktuellen Stand der Technik zu erreichen, ohne zusätzliches Personal oder Expertise intern aufbauen zu müssen. Dies ermöglicht diesen Unternehmen, sich auf ihr Kerngeschäft zu konzentrieren, während ihre IT-Sicherheit in den kompetenten Händen eines SOC/CDC liegt.

Unternehmens-IT im stetigen Wandel

Getrieben durch den technologischen Wandel und unternehmerisches Wachstum besteht für viele Unternehmen die Notwendigkeit, ihre IT-Landschaft und Applikationsumgebung an die neuen Gegebenheiten anzupassen. Solche Anpassungen beinhalten fast immer die Veränderung der zugrunde liegenden Geschäftsprozesse als auch die Einführung neuer Technologien, sei es die Ablösung von Altsystemen oder die Entwicklung/Einführung neuer Software und Anwendungen (wie z.B. ein ERP-System), die Auslagerung der IT-Infrastruktur in die Cloud oder aber die Einführung komplexere Themen wie Blockchain-Technologie oder Künstliche Intelligenz.

Die Änderung bestehender oder die Einführung neuer IT-Systeme ist jedoch stets mit erheblichen Herausforderungen verbunden. Dies gilt sowohl im Kleinen als auch im Großen und ist z.T. unabhängig von der Art des jeweiligen Projekts, wobei die Risiken insbesondere bei mittleren und Großprojekten aufgrund ihrer gesteigerten Komplexität zunehmen.

Herausforderungen bei IT-Projekten

Die Herausforderungen bei der Durchführung von IT-Projekten bestehen dabei zuallererst aus den typischen Projektrisiken wie Termin-, Budgetüberschreitungen und Qualitätsrisiken. Jedoch kommen auch weitere Risiken hinzu wie z.B.

  • Risiko von Fehlentwicklungen und Nichterfüllung von Anforderungen
  • Lücken bei der Informationssicherheit und fehlende oder ungeeignete Kontrollen
  • Migrations-Risiken

Des Weiteren bestehen bei der Einführung neuer Prozesse und Technologien in der Regel fast immer Unsicherheiten über die regulatorischen und gesetzlichen Anforderungen, woraus sich entsprechende Compliance-Risiken ergeben.

Möglichkeiten der Risiko-Mitigation auf Basis IDW PS 850

Zur Adressierung dieser Risiken sind eine Vielzahl projektbezogener Maßnahmen möglich. Angefangen von klassischen Projektmanagement-Aktivitäten wie der Auswahl einer geeigneten Projektmethodik, ordentlicher Projektplanung und Steuerung sowie Ressourcen-Ausstattung, einem sauberen Anforderungs- und Qualitätsmanagement, bis hin zu einem angemessenen Testing und der formalen Projektabnahme.

Darüber hinaus gibt es aber auch die Möglichkeit, Projektrisiken durch das Hinzuziehen einer externen, neutralen Instanz zu minimieren, die das Projekt punktuell für die Abnahme von bestimmten Projektmeilensteinen oder aber über die gesamte Projektdauer bis hin zur Endabnahme prüfend begleitet.

Die Etablierung einer solchen projektbegleitenden Prüfung durch eine externe und neutrale Instanz bietet dabei folgende Chancen:

  • Frühzeitige Absicherung der Berücksichtigung aller Anforderungen im Pflichtenheft
    • Compliance-Anforderungen
    • Einhaltung relevanter Ordnungsmäßigkeitsanforderungen (u.a. Bilanzkontinuität)
    • Security by Design
    • Angemessene IT-Kontrollen
    • Abdeckung von Anforderungen für zukünftige Prüfungen
  • Neutrale unabhängige Einschätzung zum Projektstatus (Liefergegenstände und Meilensteine)
  • Neutrale unabhängige Einschätzung zu Risiken und Maßnahmen bei der Projektumsetzung
  • Zusätzliche Qualitätssicherung
  • Gesamt-Abnahme des Projekts durch unabhängige externe Instanz

Das Vorgehen für eine solche projektbegleitende Prüfung richtet sich dabei an dem vom Institut der Wirtschaftsprüfer ausgegebenen Prüfungsstandard IDW PS 850 aus. Dieser Standard beinhaltet wichtige Vorgaben für die Prüfung über den gesamten Projektlebenszyklus:

  • Projektplanung und Projektorganisation
  • Systemdesign, Entwicklung und Testphasen
  • Datenmigration
  • Rollout und Produktivsetzung

Darüber hinaus macht der PS 850 auch Vorgaben zur Verwertung von Untersuchungen oder Prüfergebnissen Dritter sowie zur Dokumentation und Berichterstattung.

Fazit

Die frühzeitige Einbeziehung eines externen unabhängigen Experten gewährleistet die Einhaltung der Ordnungsmäßigkeitsanforderungen und Bilanzkontinuität, fungiert als neutrale Instanz für Qualitätssicherung und Risiko-Monitoring und kann ggf. sogar als Institution für die Abnahme des Gesamtprojekts dienen.

Die externe prüferische Instanz kann dabei auf Erfahrungen aus ähnlich gelagerten Projekten zurückgreifen, wertvolle Hinweise und Empfehlungen bei der Projektumsetzung liefern und dadurch den Gesamt-Projekterfolg maßgeblich unterstützen.