Cyber-Resilienz: Unternehmen müssen mehr tun
News
Bildquelle: Matthew Waring (Unsplash)
10/04/2024
| Datenschutz und Sicherheit
| Cyberresilienz
Geopolitische Risiken, Digitalisierung und zunehmend globale Vernetzung von Geschäftsprozessen steigern die Gefahr von Cybercrime - für Gesellschaft und Wirtschaft. Cyberrisiken können zu erheblichen finanziellen, operativen und reputativen Schäden führen, wenn sie nicht angemessen berücksichtigt werden. Wirtschaftsprüfungsgesellschaften sind hier doppelt gefragt: Zum einen müssen sie sich selbst vor Cyberangriffen schützen. Gleichzeitig müssen sie in der Lage sein, Cybersicherheit und -resilienz ihrer Mandanten zu beurteilen und zu prüfen. Der Blogbeitrag beleuchtet, wie es um die Cybersicherheit in der deutschen Wirtschaft bestellt ist, wie der Berufsstand der Wirtschaftsprüfer mit seiner doppelten Herausforderung umgeht und wie sich Cyberangriffe auf die Abschlussprüfung auswirken.
Das Management von Cybergefahren steht in Unternehmen und Wirtschaftsprüfungspraxen zunehmend ganz oben auf der Agenda. Wie Cybersicherheitsexperten zeigen, erfordert Cyber-Resilienz neben dem Problembewusstsein auch umfangreiches fachliches (internes oder externes) Know-How, und sie hat ihren Preis. Angesichts rasanter technologischer Entwicklungen (Stichwort Künstliche Intelligenz) ist Cybersicherheit auch kein Projekt, sondern eine Daueraufgabe.
Mehr dazu lesen Sie in den Fokus-Beiträgen der aktuellen April-Ausgabe der Mitgliederzeitschrift des Instituts der Wirtschaftsprüfer „IDW Life“.
Die Plattform SOLON X bietet Wirtschaftsprüfungsgesellschaften aller Größen einen Überblick und Zugang zu digitalen Tools und Services, die bei einer effizienten und maßgeschneiderten digitalen Transformation der Prozesse und Tätigkeiten sowohl in der eigenen Praxis als auch bei der Mandatsarbeit unterstützen.
Drei Experten wurden von der Mitgliederzeitschrift „IDW Life“ um ihre Einschätzung zum Thema Cybersicherheit gebeten. Ihre Analysen sind teilweise beunruhigend, geben aber auch Anlass zur Zuversicht.
Cyberangriffe und Cybersicherheit in der deutschen Wirtschaft
Das Allianz-Risk-Barometer 2023 hebt Cyberrisiken als die vorherrschende Bedrohung für Unternehmen weltweit hervor, ein Trend, der sich auch in Deutschland widerspiegelt. Nach Angaben von Dr. Sven Herpig, Experte für Cybersicherheitspolitik und Resilienz bei der Stiftung Neue Verantwortung, befindet sich die Bedrohung durch Cyberkriminalität und -spionage „auf einem sehr hohen Niveau“, was durch Lageberichte des Bundesamtes für Sicherheit in der Informationstechnik bestätigt wird, obwohl diese nur einen Ausschnitt der Wirklichkeit darstellen.
Hinsichtlich der Methoden und Ziele von Cyberangreifern zeichnet Herpig ein Bild eines hochorganisierten und arbeitsteiligen Sektors, der sich durch eine rasante Entwicklung und Anpassungsfähigkeit auszeichnet. Das Spektrum reicht von staatlich unterstützten Spionageoperationen bis hin zu Kleinkriminellen, die mit minimalen Mitteln finanziellen Gewinn erzielen möchten. Die Bedrohung durch Cyberkriminalität wird laut Herpig weiter zunehmen, was Unternehmen und Prüfer vor neue Herausforderungen stellt.
Herpig betont, „dass die Wirtschaft definitiv mehr für die IT-Sicherheit tun muss“. Entscheidend ist die Eigenverantwortung der Unternehmen, ihre IT-Sicherheit zu priorisieren und entsprechende Investitionen zu tätigen, da der Staat nicht in der Lage ist, jedes Unternehmen umfassend zu schützen. Es gilt, die IT-Sicherheit als fortlaufenden Prozess zu verstehen, um auf neue Bedrohungen reagieren zu können. Abschließend betont Herpig die Wichtigkeit von Awareness, aktuellen Patches und der Resilienz durch regelmäßige Überprüfungen und Anpassungen der IT-Infrastruktur. Er resümiert: „IT-Sicherheit muss gelebt werden und nicht nur zu einem bestimmten Zeitpunkt stattfinden.“
Cyber-Resilienz in der Wirtschaftsprüferbranche
Frank Gerber, Partner bei BDO für IT & Controls Assurance und Mitglied der IDW Arbeitsgruppe Cyber Security in der WP-Praxis, unterstreicht die essenzielle Notwendigkeit von Cyber-Resilienz in der Wirtschaftsprüfungsbranche. Wirtschaftsprüfungsgesellschaften als Hüter sensibler Daten stehen vor der Herausforderung, diese vor Offenlegung, Verlust oder Verfälschung zu schützen. Die Frage, ob Cybersicherheitsmaßnahmen benötigt werden, wandelt sich somit zu einer Frage nach dem notwendigen Budget für eine adäquate Resilienz. Gerber betont, dass Cyber-Resilienz weitgehend von der Einstellung abhängt und dass neben den finanziellen Mitteln für Sicherheitstechnologien auch Anpassungen bestehender Prozesse und die Bereitstellung personeller Ressourcen erforderlich sind.
Mit dem Hinweis, dass "Cybersicherheitskompetenz" entscheidend ist, legt Gerber dar, dass Unternehmen sich entscheiden müssen, ob sie diese Kompetenz intern vorhalten oder extern einkaufen. Er hebt hervor: "Denn nur, wer diese Kompetenz hat, kann die Abwägungen zum Sicherheitsbedarf und -maßnahmen richtig einschätzen." Dazu gehört auch die Nutzung einschlägiger Frameworks und Richtlinien, zu nennen sind beispielsweise das IT-Grundschutz-Kompendium des BSI oder IDW PH 9.860.3 für Prüfungen von Cloud-Diensten.
Gerber weist auf die Notwendigkeit eines Security Incident & Event Management (SIEM) hin, das eine professionelle und kapazitativ angemessene Behandlung von Sicherheitsvorfällen ermöglicht. Dieses Engagement erfordert auch eine kontinuierliche Anpassung an neue schädliche Technologien, einschließlich solcher, die durch künstliche Intelligenz vorangetrieben werden.
Cyberrisiken und Cyber-Assessment in der Abschlussprüfung
In Zeiten der digitalen Transformation und der vernetzten Geschäftsprozesse betont Olaf Riedel - Wirtschaftsprüfer und Partner bei EY im Sektor Technologie, Medien und Telekommunikation - dass Cyberrisiken weit über die Bedrohung der IT-Infrastruktur hinausgehen und erhebliche Auswirkungen auf die Finanzberichterstattung von Unternehmen haben können. Riedel hebt vier wichtige Kontextfelder hervor, die für das Verständnis und die Abwehr von Cyberbedrohungen essenziell sind: den Unternehmenskontext, die Lieferkettenanalyse, die Bedrohungsakteur-Analyse und das Cybersecurity-Assessment. Er betont: "Unternehmen müssen diese Faktoren verstehen, um ihre finanzielle Integrität und den Jahresabschluss als verlässliche Informationsquelle für Stakeholder zu schützen."
Die Prüfung von Cyberrisiken bei der Jahresabschlussprüfung ist nicht verpflichtend. Bei erfolgreichen Cyberangriffen müssen Abschlussprüfer*innen allerdings deren Auswirkungen auf die Ertragslage und auf den Lagebericht des Unternehmens und ggf. sogar Going-Concern-Risiken beurteilen. Ein Assessment, welche Vorsorge das Unternehmen für Cyberrisiken getroffen hat, kann laut Riedel im Zuge der Prüfung empfehlenswert sein, da Abschlussprüfer*innen wichtige Impulsgeber für Veränderungen beim geprüften Unternehmen sind. Das Cyber-Assessment besteht aus einer umfassenden Analyse, die von der Unternehmenskontextanalyse über die Bewertung der Governance des Informationssicherheitsmanagementsystems (ISMS) bis hin zur Überprüfung technischer Maßnahmen reicht.
Riedel schließt mit einem Blick in die Zukunft, in der technologische Innovationen wie Quantencomputer und KI die Cyberrisiken weiter erhöhen werden. Er plädiert dafür, dass Abschlussprüfende sich - unabhängig von einer möglichen Verpflichtung – mit den Cybersicherheitsmaßnahmen der Unternehmen auseinandersetzen und diese zu einem regelmäßigen Thema in der Berichterstattung an Aufsichtsrat und Geschäftsführung machen sollten.
Weitere Artikel
Wir setzen auf unserer Webseite Cookies ein, die zur Sicherheit und Funktionalität der Webseite erforderlich sind. Soweit Sie auf die Schaltfläche „Alle Cookies akzeptieren“ klicken, werden alle von uns gesetzten Cookies angenommen.
Ihre Einwilligung umfasst auch den Einsatz von Matomo Cookies, die uns Informationen über die Webseitennutzung geben. Weitere ausführliche Informationen dazu finden Sie in unserer Datenschutzerklärung.
Natürlich können Sie eine abgegebene Einwilligung auch jederzeit ohne Angabe von Gründen widerrufen.
Soweit Sie auf die Schaltfläche Konfigurieren klicken, können Sie Ihre jeweilige Zustimmung zum Einsatz nicht erforderlicher Cookies im Einzelfall wählen.