Cyber-Resilienz: Erfolgsstrategien für Wirtschaftsprüfer

News

Bildquelle: Velirina (Adobe Stock)

07/05/2025 | Cyberresilienz | IT und Cybersicherheit

Kluge Strategien für die Wirtschaftsprüfungspraxis und Sensibilisierung von Unternehmen für mehr Cyber-Resilienz und Cybersicherheit

In Zeiten allgegenwärtiger Bedrohung der Cybersicherheit kann Cyber-Resilienz zum Wettbewerbsvorteil werden. Für Wirtschaftsprüfungsgesellschaften geht es bei Cyberbedrohungen nicht nur um die Vermeidung finanzieller Verluste, sondern angesichts sensibler Mandantendaten auch um den Schutz der eigenen Reputation und um die Bewahrung von Vertrauen. Dieses Kundenvertrauen führt auch dazu, dass Wirtschaftsprüferinnen und Wirtschaftsprüfer der Cybersicherheit auch in der Jahresabschlussprüfung Beachtung schenken sollten – auch, aber nicht nur, um ihre Mandanten zu sensibilisieren. In der Mai-Ausgabe der Zeitschrift IDW Life betont Dr. Dirk Drechsler die Bedeutung einer ganzheitlichen Cyber-Resilienz-Strategie für Wirtschaftsprüfungsgesellschaften. Christian Wieder beleuchtet die Rolle der Cybersicherheit in der Abschlussprüfung. Wir stellen einige Erkenntnisse vor.

Wieder schließt mit der Empfehlung, dass Abschlussprüfer ihre Mandanten für die Bedeutung der Cybersicherheit sensibilisieren sollten, da die Auswirkungen eines erfolgreichen Cyberangriffs erheblich sein können. Deshalb sei die Prüfung der Maßnahmen zur Cybersicherheit im Unternehmen bereits jetzt idealerweise Bestandteil der Abschlussprüfung. Die vollständigen Beiträge von Christian Wieder und von Prof. Dr. Dirk Drechsler lesen Sie in der Ausgabe 2025/05 der IDW Life – zusammen mit weiteren Artikeln rund um den Themenschwerpunkt „Resilienz“.

Die Plattform SOLON X bietet Wirtschaftsprüfungsgesellschaften aller Größen einen Überblick und Zugang zu digitalen Tools und Services, die auf die Branche zugeschnitten sind und bei einer effizienten digitalen Transformation unterstützen - sowohl für die Prozesse in der eigenen Praxis als auch bei der Mandatsarbeit.

Cyber-Resilienz und verantwortungsvolle KI in der Wirtschaftsprüfungsgesellschaft

Die Digitalisierung erhöht die Flexibilität und Anpassungsfähigkeit von Wirtschaftsprüfungsgesellschaften und stärkt ihre Resilienz. Gleichzeitig vergrößern technologische Fortschritte die Angriffsfläche für Cyberkriminelle. Dr. Dirk Drechsler, Professor für betriebswirtschaftliches Sicherheitsmanagement an der Hochschule Offenburg, erklärt in seinem Gastbeitrag für die Zeitschrift IDW Life, worauf es bei einer ganzheitlichen Resilienz-Strategie ankommt.

Für Wirtschaftsprüfer, die mit hochsensiblen, für Cyberkriminelle äußerst interessanten Daten arbeiten, schlägt Drechsler vor, potenzielle Gedankenspiele hinsichtlich der Entwicklung und des Einsatzes eines Assurance- oder Audit-Sprachmodells vor dem Hintergrund des IBM-KI-Risikoatlas zu evaluieren. Zudem bietet das US-amerikanische National Institute of Standards and Technology (NIST) Ressourcen für den Aufbau und den Umgang mit vertrauenswürdiger und verantwortungsvoller KI.

Eine verantwortungsvolle KI-Governance sollte als ganzheitliches, interdisziplinäres System aufgebaut sein. Zentrale Elemente sind u.a. ein integriertes Risikomanagement, Notfallpläne und Reaktionsstrategien sowie eine kontinuierliche Überwachung mit Methoden des Data Analytics, Data Minings und maschinellen Lernens.

Drechsler weist darauf hin, dass sich Wirtschaftsprüfungsgesellschaften auf mögliche Cyberbedrohungen vorbereiten müssen, da sich Kriminalität und geopolitische Konflikte bereits auf das digitale Terrain verlagert haben.

Cybersicherheit in der Abschlussprüfung

In seinem Gastbeitrag für die IDW Life „Cybersicherheit in der Abschlussprüfung“ beleuchtet Christian Wieder (CISA) die wachsende Bedeutung der Cybersicherheit in der Jahresabschlussprüfung. Wieder ist Partner bei RSM Ebner Stolz im Geschäftsbereich IT-Revision. Angesichts der steigenden Cyberkriminalität, wie sie die Bitkom-Studie „Wirtschaftsschutz 2024“ zeigt, sind deutsche Unternehmen zunehmend Ziel von Angriffen. 81 Prozent der Unternehmen waren in den letzten zwölf Monaten von Daten- und IT-Gerätediebstahl sowie Industriespionage oder Sabotage betroffen.

Wieder betont, dass Cybersicherheit den Schutz von Computersystemen, Netzwerken, Programmen und Daten vor digitalen Angriffen umfasst. Obwohl die Prüfung der Cybersicherheitsmaßnahmen nicht direkt Teil der gesetzlichen Abschlussprüfung ist, müssen Prüfer beurteilen, ob Cyberrisiken zu wesentlichen falschen Darstellungen im Abschluss führen können. Zudem ist zu würdigen, ob und wie diese gegebenenfalls bedeutsamen Risiken im internen Kontrollsystem berücksichtigt sind.

Der Abschlussprüfer muss dazu die Tiefe der IT-Integration im Geschäftsmodell verstehen und bewerten, wie Cybersicherheitsrisiken im internen Kontrollsystem behandelt werden. Wieder betont, dass der Abschlussprüfer spätestens dann, wenn er Kenntnis über einen Cybersicherheitsvorfall im Unternehmen erlangt, sich mit Art und Ursache des Vorfalls wird befassen müssen und dabei vor allem untersuchen muss, welche Auswirkungen er auf die Rechnungslegung und die zur Behandlung von Risiken wesentlicher falscher Darstellungen relevanten Kontrollen hatte.