Nichts riskieren
Sollten alle oben genannten Punkte in der WP-Organisation gut verankert sein, bleibt einzig der Mensch als möglicher Risikofaktor für Angriffsszenarien (siehe hierzu auch unseren Beitrag "Wichtiger denn je: Cybersicherheit"). Hier gilt es, über permanente Kommunikation und Schulungen die Sensibilität der Mitarbeiterinnen und Mitarbeitern für IT-Risiken zu fördern. Eine professionelle IT-Administration, im eigenen Haus oder „zugekauft“, und eine enge Zusammenarbeit mit den Führungskräften ist ein Muss. Denn leider ist der Weg mithilfe des Menschen vor dem Bildschirm immer noch das erfolgreichste Einfallstor des Hackers.
Um es vorwegzunehmen: Erfolgreiche IT- und Cybersicherheit kann nur dann gelingen, wenn sie in die Gesamtstrategie einer WP-Praxis eingebunden ist Die Einführung eines Information Security Management Systems (ISMS) unterstützt darin, die Organisation auf Sicherheitsfragen auszurichten. Dabei bilden die nachfolgenden Themenfelder eine gute Basis zur rundum sicheren WP-Praxis.
Technik up to date halten
Datensicherheit und Datenschutz beginnen bereits mit dem sogenannten Device, dem Arbeitsgerät der WP-Praxis. Sprich Notebook, Desktop, Smartphone oder Tablet sollten mit sicheren Passwörtern, einem aktivem Patch-Management und verschlüsselten Festplatten versehen sein. Backup und Datensicherung sind wichtige Teile einer jeden IT-Strategie, denn im Falle eines Hackerangriffs droht die Gefahr eines Datenverlusts. Da auch traditionelle Backups Ziele von Cyberangriffen mit Erpressungsabsicht sind, ist eine physische Trennung notwendig, die cloudbasierte Lösungen bieten können. Das Nutzen aktueller Virenscanner und Firewall-Lösungen versteht sich von selbst, denn nur diese sind für den professionellen Einsatz gemacht.
Die Qualität von Hackerangriffen schreitet rasch voran. Ein Cyber Security Operations Center (CSOC) setzt dort an, wo Firewall und Virenscanner ihre Grenzen haben. Hat ein Angreifer die traditionellen Sicherheitsmechanismen bereits übersprungen, ist ein CSOC in der Lage, den Angreifer in den eigenen Systemen zu identifizieren und Handlungsempfehlungen zur Beseitigung zu geben. Damit stellt ein CSOC einen wichtigen Beitrag zur IT- und Cybersicherheitsstrategie dar.
Das mobile Arbeiten sicher machen
Für viele Wirtschaftsprüfer*innen ist es selbstverständlich, „remote“, also mobil zu prüfen und ihre Erkenntnisse und die Prüfungsnachweise mit ihren Mandanten zu teilen. Vor diesem Hintergrund sollten Remote-Zugriffe ausschließlich über gesicherte Verbindungen erfolgen. Klassische VPN-Verbindungen sind mitunter etwas schwerfällig im Handling und auch störungsanfällig. Cloudbasierte Sicherheitsprodukte eröffnen hingegen sehr dynamische Lösungen, die den flexiblen Anforderungen an die Arbeitspraxis entsprechen. Um gegenseitige Malware-Infektionen auszuschließen, ist es wichtig, zwischen dem Zugriff auf den eigenen zentralen Datenbestand und dem Remote-Zugriff auf die ERP-Systeme des zu prüfenden Unternehmens zu trennen.
Die Kollaboration organisieren
Die Abschlussprüfung ist ein umfassender Prozess, in dessen Verlauf es regelmäßig zum Austausch von Informationen zwischen Prüfenden und Mandanten kommt. Dabei lassen sich die synchrone Sprach- und Video-Kommunikation und der asynchrone Austausch, insbesondere von Prüfungsnachweisen, unterscheiden. Die E-Mail ist zum vertraulichen Austausch nicht die erste Wahl. Mit Blick auf den asynchronen Austausch von Informationen, insbesondere von Prüfungsnachweisen, stehen Wirtschaftsprüferinnen sowie Prüfern und deren Mandanten in der Praxis verschiedene Austauschplattformen zur Verfügung - ob als On-Premise-Lösung, bei der die Software auf einem eigenen Server der Praxis installiert wird, oder als Cloud-Lösung.
