Fachbegriffe zu IT-Sicherheit und Kontrolle für Wirtschaftsprüfer*innen
News
Bildquelle: Alexander Mils (Unsplash)
23/05/2023
| Datenschutz und Sicherheit
KYC, CA&CM, aber auch so plastische Begriffe wie „Honeypot“ begegnen Wirtschaftsprüferinnen und Wirtschaftsprüfern, wenn es um IT-Sicherheit und um Kontroll- und Monitoring-Systeme geht. Lesen Sie hier einige prägnante Definitionen und Anwendungsbeispiele.
Über diese und weitere Digitalisierungsthemen mit Bedeutung für Unternehmen und Wirtschaftsprüfung informiert Sie regelmäßig der SOLON X Newsletter.
Backdoor
Der Begriff Backdoor („Hintertür“) bezeichnet die gewollte oder heimliche Implementierung des Zugangs zu einer Soft- oder Hardware in der Absicht, die üblichen Sicherheitsmechanismen für den Zugriffsschutz umgehen zu können.
- Anwendungsbeispiele: Wirtschaftsspionage, Cyberware, Fernzugriff für Reparatur-/Serviceleistungen.
- WP-Bezug: IDW PS 860, IDW PS 861 (03.2023), IDW PH 9.860.2 und 9.860.3.
Eine Backdoor kann bewusst programmiert werden, um z.B. herstellerseitig im Kundenauftrag auf Hard- oder Softwaresysteme zugreifen zu können, oder um von Benutzern selbst verwendet zu werden, die ihre Zugriffsbeschränkungen vergessen haben. Dabei kann die „Hintertür“ zum Beispiel ein standardisiert vergebenes Universalpasswort sein. Als Malware oder Schadsoftware ermöglicht die Backdoor Angreifern Zugriff auf einen Rechner oder ein Netzwerk. Sofern ein Trojaner für die Installation der Backdoor verwendet wird, ist dieser das Hilfswerkzeug, um Daten auszuspionieren, zu verschlüsseln und zu sperren oder Eingaben manipulieren zu können.
Common Vulnerability Scoring System
Das Common Vulnerability Scoring System (CVSS) ist ein Industriestandard zur Bewertung der Verwundbarkeit von IT-Lösungen und der Schwere von Sicherheitslücken auf der Grundlage eines metrischen Punktesystems.
- Anwendungsbeispiele: Risikomanagement, Schwachstellen-Analysen, Penetrationstests.
- WP-Bezug: Assurance-Leistungen, IDW PS 850 n.F. (01.2022), IDW PS 860, IDW PS 880 n.F. (01.2022).
Das CVSS basiert auf der Ermittlung von Verwundbarkeitswerten in drei Kategorien: Die base metric (Basisbewertung) beschreibt die Gefährlichkeit einer Schwachstelle, sie wird für die jeweilige Schwachstelle einmalig festgelegt. Die temporal metric bewertet die aktuelle Bedrohungslage. Ein unternehmensbezogener Faktor (environmental metric) berücksichtigt die jeweilige Umgebung, wie z.B. Anforderungen an Vertraulichkeit, Verfügbarkeit, und Integrität oder mögliche Kollateralschäden durch Produktionsausfälle u.ä. Abschließend werden die einzelnen ermittelten Werte zu einem Gesamt-Score verrechnet. Dabei bedeutet ein Score von 0 keine, von 0,1 bis 3,9 niedrige, von 4,0 bis 6,9 mittlere, von 7,0 bis 8,9 hohe und von 9,0 bis 10,0 kritische Verwundbarkeit.
DORA
Der Digital Operational Resilience Act (DORA) ist ein aus einer EU-Verordnung und der Änderung diverser EU-Richtlinien bestehendes Gesetzespaket, das Cyberangriffen auf Unternehmen und dessen Kunden begegnen und die digitale Betriebsstabilität des europäischen Finanzsystems insgesamt sicherstellen soll.
- Anwendungsbeispiele: IT-Systeme von Banken, Versicherungen, Zahlungsdienstleistern, Wertpapierfirmen und sonstigen Akteuren im Finanzsektor.
- WP-Bezug: Überprüfung der Anwendung auf Abschlussprüfer und Prüfungsgesellschaften gem. der Review-Klausel in Art. 58 Abs. 3 der Cyberresilienz-Verordnung.
DORA schafft einen Rechtsrahmen mit einheitlichen Anforderungen für die Sicherheit der Netz- und Informationssysteme von im Finanzsektor tätigen Unternehmen und Organisationen sowie Dritten, die Dienstleistungen im Bereich IKT (Informations- und Kommunikationstechnologien) wie Cloud-Plattformen oder Datenanalysedienste bereitstellen. Geregelt werden u.a. die Anforderungen an das IKT-Risikomanagement, die Behandlung von IKT-Vorfällen und deren Meldung sowie die Steuerung und Überwachung von IKT-Drittdienstleisterrisiken. DORA beinhaltet auch Vorgaben, die anderen Regularien entsprechen, wie z. B. den bank- und versicherungsaufsichtlichen Regelungen der MaRisk/BAIT bzw. der MaGo/VAIT oder den EBA-Guidelines on Outsourcing Arrangements on ICT. Allerdings ergänzt oder präzisiert DORA diese in Teilbereichen auch. Die Cyberresilienz-Verordnung ist am 17.01.2023 in Kraft getreten und wird zum 17.01.2025 wirksam werden.
Honeypot
Ein Honeypot (Honigtopf) ist ein IT-System, das durch bewusste Konfiguration des Servers oder der Datenbank Angreifer gezielt anlockt, um Erkenntnisse über deren Verhalten zu erhalten.
- Anwendungsbeispiele: Analyse von Cyberangriffsmethoden, Identifikation von Verbesserungspotenzial in Sicherheitsinfrastrukturen, Verfolgung von Straftaten.
- WP-Bezug // Prüfung und Beratung im Bereich der Cybersicherheit und des IT-Managements, IDW PS 850 n.F. (01.2022), IDW PS 880 (01.2022).
Damit Honeypots real wirken, sind authentisch wirkende Anwendungen und Services auf dem System zu finden und es werden alle Zugangskontrollen simuliert, die auch im echten Unternehmensnetzwerk vorkommen. Da diese Services regelmäßig nicht von normalen Usern genutzt werden, ist jede Kontaktaufnahme oder jede Nutzung mit hoher Wahrscheinlichkeit missbräuchlich. Um Angreifer von sensiblen Systemen fernzuhalten, wird der Honeypot isoliert und in einem separaten Teil des Netzwerks platziert, der durch eine Firewall abgeschottet wird. Bei einem clientseitigen Honeypot handelt es sich um Anwendungssoftware. Mit einem simulierten Browser werden unsichere Webseiten analysiert und Informationen über Sicherheitslücken gesammelt.
Mehr: IDW Knowledge Paper Cyberrisk Teil 1 und Teil 2
Know Your Customer (KYC)
Das Know Your Customer (KYC)-Prinzip dient der Identifizierung und Überprüfung von Kunden zur Bekämpfung von Geldwäsche und weiterer Wirtschaftskriminalität.
- Anwendungsbeispiele: Kunden-Onboarding, Aufdeckung von Identitätsbetrug.
- WP-Bezug: Verpflichtung nach § 2 Abs. 1 GwG, IDW Praxishinweis 1/2022, IDW PS 980 (09.2022), IDW PS 981, Due Diligence-Prüfungen.
KYC-Prüfungen sollen sicherstellen, dass der Geschäftspartner nicht auf Sanktions-, Watch- oder PEP-Listen gelistet ist. Grundsätzlich sind die Herkunft von Geldern und Vermögen sowie die Details der geplanten Kundenbeziehung bzw. Transaktion zu erfassen. Die zentrale Rechtsgrundlage für das KYC-Prinzip bilden Art. 8 der 3. Geldwäsche-RL, die 4. Geldwäsche-RL sowie das Geldwäschegesetz. Auch Anti-Korruptionsgesetze mit exterritorialer Wirkung und entsprechenden Haftungsrisiken verlangen eine angemessene Prüfung und Überwachung von Geschäftspartnern nach dem KYC-Prinzip.
Weitere Artikel
Wir setzen auf unserer Webseite Cookies ein, die zur Sicherheit und Funktionalität der Webseite erforderlich sind. Soweit Sie auf die Schaltfläche „Alle Cookies akzeptieren“ klicken, werden alle von uns gesetzten Cookies angenommen.
Ihre Einwilligung umfasst auch den Einsatz von Matomo Cookies, die uns Informationen über die Webseitennutzung geben. Weitere ausführliche Informationen dazu finden Sie in unserer Datenschutzerklärung.
Natürlich können Sie eine abgegebene Einwilligung auch jederzeit ohne Angabe von Gründen widerrufen.
Soweit Sie auf die Schaltfläche Konfigurieren klicken, können Sie Ihre jeweilige Zustimmung zum Einsatz nicht erforderlicher Cookies im Einzelfall wählen.