Cybersecurity – Aktuelles zur Sicherheit in der Wirtschaftsprüfung
News
Bildquelle: Catrin Johnson (Unsplash)
21/11/2024
| Datenschutz und Sicherheit
| Cybersicherheit
| NIS-2
Gerade für Wirtschaftsprüfungsgesellschaften, die tagtäglich mit sensiblen Mandantendaten umgehen ist es von entscheidender Bedeutung, über aktuelle Entwicklungen in Sachen Cybersicherheit auf dem Laufenden zu sein. Im Blogbeitrag erfahren Sie, wo aktuell die größten Schwachstellen in puncto Cybersicherheit liegen, wie Wirtschaftsprüfungspraxen sich strategisch aufstellen sollten und wie White-Hat-Hacker dabei unterstützen. Außerdem werfen wir einen Blick auf die Umsetzung der NIS-2-Richtlinie und ihre Rolle in der Cybersicherheitsarchitektur.
Mit den richtigen Strategien lässt sich ein hohes Cybersicherheitsniveau aufbauen. Mehr dazu lesen Sie in den Fokus-Beiträgen der aktuellen November-Ausgabe der Mitgliederzeitschrift des Instituts der Wirtschaftsprüfer „IDW Life“. Im Blog von SOLON X erfahren Sie, welche Unterstützungsleistungen die Transferstelle Cybersicherheit anbietet.
Die Plattform SOLON X bietet Wirtschaftsprüfungsgesellschaften aller Größen einen Überblick und Zugang zu digitalen Tools und Services, die auf die Branche zugeschnitten sind und bei einer effizienten digitalen Transformation unterstützen - sowohl für die Prozesse in der eigenen Praxis als auch bei der Mandatsarbeit.
Mehrere Experten aus Wirtschaftsprüfung, Rechtswissenschaft und IT-Sicherheit wurden von der Mitgliederzeitschrift „IDW Life“ um ihre Einschätzung zum Thema Cybersicherheit gebeten. Die gute Nachricht: Niemand ist den Bedrohungen schutzlos ausgeliefert.
Aktuelle Cybersicherheit in Deutschland
Erfolgreiche Strategien für die Wirtschaftsprüfung
Gängige IT-Frameworks und Normen wie COBIT, ISO 27001 und das IT-Grundschutzkompendium des BSI bieten eine Vielzahl von Maßnahmen zur Erhöhung der Cybersicherheit. Dazu gehören die Inventarisierung von IT-Komponenten, die Festlegung von Benutzerberechtigungskonzepten, ein Datensicherungskonzept, regelmäßige Updates sowie die Implementierung von Firewalls und Virenschutz-Software. Auch die Nutzung von Cloud-Lösungen kann Vorteile bieten, solange die Verantwortung für die gespeicherten Daten klar geregelt ist.
Neben den rein technischen Maßnahmen sollten Wirtschaftsprüfungspraxen ihre Mitarbeitenden für das Thema Cybersicherheit sensibilisieren und regelmäßige Awareness-Trainings organisieren, etwa mittels Simulation von Phishing-Angriffen.
Schmittner/Schneider resümieren: „Angesichts der Sensibilität der vorgehaltenen Daten sollten Wirtschaftsprüfer eine Vorreiterrolle in Sachen Cybersicherheit einnehmen und entsprechende Sicherheitsmaßnahmen bei der strategischen Ausrichtung der Kanzlei angemessen berücksichtigen.“
NIS-2-Richtlinie – Unternehmen unter Druck?
Generell gehören Unternehmen demnach zahlenmäßig zu den Betroffenen, wenn sie mindestens 50 Personen beschäftigen oder der Jahresumsatz und die Jahresbilanz zehn Millionen Euro übersteigen. Aber es gibt auch Ausnahmen von dem Größenkriterium, wenn Betriebe abschließend aufgezählte qualifizierende Anforderungen erfüllen, falls sie beispielsweise eine kritische Tätigkeit ausüben oder das IT-bedingte Nichtfunktionieren Auswirkungen auf die öffentliche Ordnung oder gar systemische Risiken zur Folge hat. Prof. Kipker: „Qualitativ sind durch NIS-2 nicht nur die Kritischen Infrastrukturen wie bislang auch, zum Beispiel Energie, Verkehr oder Gesundheitswesen betroffen, sondern ebenso die chemische Industrie und das verarbeitende Gewerbe bis hin zu Forschungseinrichtungen.“ Bei Nichteinhaltung der NIS-2-Vorgaben können sehr hohe Bußgelder drohen.
Der Rechtsexperte empfiehlt Unternehmen, ein Risikomanagementsystem für die Informationssicherheit zu etablieren und regelmäßig zu auditieren, um die Anforderungen der NIS-2 zu erfüllen. Wirtschaftsprüfer und betroffene Unternehmen sollten sich auf eine intensivere Zusammenarbeit einstellen, da IT-Compliance immer komplexer werde und an der Schnittstelle zwischen Recht und Technik angesiedelt sei. Er appelliert an Wirtschaftsprüferinnen und Wirtschaftsprüfer, die Unternehmen jetzt für die NIS-2-Anforderungen zu sensibilisieren.
Cybersicher dank Pen-Tests
Immanuel Bär erklärt: „Ein Penetrationstest simuliert einen realistischen Angriff auf ein Unternehmen, um Sicherheitslücken aufzudecken und sie kontrolliert auszunutzen. Dabei ist es uns besonders wichtig, ein ganzheitliches Bild der Sicherheitslage des Unternehmens zu schaffen: Wo liegen die Schwachstellen? Und welcher Schaden kann dadurch entstehen?“ Potenzielle Schwachstellen befinden sich laut Bär oft an den Schnittstellen. Das sind zum Beispiel öffentlich zugängliche IT-Dienste wie Internetplattformen, Applikationen, Datenbanken, E-Mails oder Zugangsaccounts, etwa zu ERP-Systemen.
Eine entscheidende Rolle bei der Anfälligkeit für Cyberangriffe spielt auch der Faktor Mensch. Christoph Ludwig: „Menschen sind in vielen Unternehmen eine kritische Schwachstelle. Positiv ausgedrückt: Sie haben ein hohes Schutzpotenzial. Sie sind sich dessen und der Risiken oft nicht bewusst und können das Ausmaß krimineller Handlungen nicht einschätzen.“
Die Sicherheitsexperten betonen, dass es nicht ausreicht, wenn die IT-Verantwortlichen die Schwachstellen kennen. Vielmehr sollte Cybersicherheit im Unternehmen so kommuniziert werden, dass das Bewusstsein für die Risiken auf allen Ebenen vorhanden ist.
Als Reaktion auf die steigende Cyberkriminalität erhält das Ethical Hacking einen immer höheren Stellenwert in der Wirtschaftswelt. „Penetrationstests können ein effizientes Mittel sein, um der wachsenden Cyberbedrohung entgegenzuwirken“, resümiert Bär. Sie helfen Unternehmen und Wirtschaftsprüfungspraxen, ein effektives Sicherheitsbewusstsein zu entwickeln.
Weitere Artikel
Wir setzen auf unserer Webseite Cookies ein, die zur Sicherheit und Funktionalität der Webseite erforderlich sind. Soweit Sie auf die Schaltfläche „Alle Cookies akzeptieren“ klicken, werden alle von uns gesetzten Cookies angenommen.
Ihre Einwilligung umfasst auch den Einsatz von Matomo Cookies, die uns Informationen über die Webseitennutzung geben. Weitere ausführliche Informationen dazu finden Sie in unserer Datenschutzerklärung.
Natürlich können Sie eine abgegebene Einwilligung auch jederzeit ohne Angabe von Gründen widerrufen.
Soweit Sie auf die Schaltfläche Konfigurieren klicken, können Sie Ihre jeweilige Zustimmung zum Einsatz nicht erforderlicher Cookies im Einzelfall wählen.