IT-Audit im Mittelstand - Ansätze, Risiken und Schwachstellen
News

Bildquelle: Toa555 (Adobe Stock)
11/03/2024
| Datenschutz und Sicherheit
| Mittelstand
Im Mittelstand unterliegt die IT-Landschaft einer ständigen Veränderung. Geschäftsprozesse, Produkte und Dienstleistungen der zu prüfenden Unternehmen verlagern sich zunehmend in die digitale Umgebung. Mittelständische Unternehmen stehen dabei vor zahlreichen Herausforderungen. Dieser Blogbeitrag zeigt auf, wie das IT-Audit ein entscheidendes Werkzeug des Abschlussprüfers sein kann, um Mandanten dabei zu unterstützen.
Die technologischen Veränderungen und damit die Gefahren von Cyberkriminalität und Sicherheitsverletzungen nehmen zu. Dies setzt Unternehmen in der heutigen Zeit dem Risiko von IT-Systemausfällen, Cyber-Angriffen und Datenschutzverletzungen aus.
IT-Audits spielen eine zentrale Rolle bei der Sicherstellung der IT-Integrität und -Effizienz in mittelständischen Unternehmen. Gleichwohl steigen damit die Anforderungen an das Knowhow und die Expertise des Abschlussprüfers. Hier könnte die Hinzunahme externer Partner ein Lösungsansatz sein. Die Implementierung von ISA [DE] 315 (Revised 2019) bietet grundsätzlich eine hervorragende Gelegenheit, IT-Audits in den Fokus zu stellen und mit den Erkenntnissen der Prüfung den wachsenden Herausforderungen in der IT-Landschaft des Mandanten erfolgreich zu begegnen.
Möchten Sie das Thema vertiefen? Im Online-Seminar der IDW Akademie „Typische Schwachstellen bei KMU“ behandeln wir weitere Themen und Praxisbeispiele.
Risiken und Schwachstellen in der IT
Die IT ist das Rückgrat moderner Unternehmen, ermöglicht Innovation, Effizienz und Wettbewerbsvorteile. Doch mit der wachsenden Abhängigkeit von IT-Systemen steigen auch die Risiken und Schwachstellen, die Unternehmen bedrohen.
Durch den Prüfungsstandard ISA [DE] 315 (Revised 2019) erfolgt ein verstärkter Fokus auf die Auditierung der IT des Mandanten im Rahmen der Jahresabschlussprüfung. Damit wird dem IT-Audit mehr als nur eine Kontrollfunktion zu Teil. Es kann ein strategisches Instrument zur Reduzierung von Risiken im Kontext IT sein. Diese Risiken umfassen ein breites Spektrum, welches sich in folgende Bereiche gliedern lässt:
- Menschliches Versagen ist eine der häufigsten Ursachen für IT-Sicherheitsvorfälle. Dies kann unbeabsichtigtes Löschen wichtiger Daten, das Teilen sensibler Informationen, die Verwendung schwacher Passwörter oder das Ignorieren von Sicherheitsupdates umfassen. Menschliches Versagen ist oft auf mangelnde Schulung, Sensibilisierung oder unzureichende Kontrollen (Vier-Augen-Prinzip) zurückzuführen.
- Technisches Versagen kann auf Softwarefehler, Hardwareausfälle oder Sicherheitslücken zurückgeführt werden. Veraltete Systeme sind besonders anfällig für Angriffe, da sie oft nicht mehr unterstützt werden und bekannte Schwachstellen aufweisen. Technische Defekte können auch durch natürliche Ereignisse wie Überschwemmungen oder Brände verursacht werden.
- Spam und Phishing sind weit verbreitete Methoden, mit denen Angreifer versuchen, an vertrauliche Informationen zu gelangen. Phishing versucht, Nutzer dazu zu bringen, sensible Informationen preiszugeben oder schädliche Links zu öffnen, während Spam oft als Vehikel für Malware oder als Ablenkungstaktik eingesetzt wird.
- Unbefugte Zugriffe sind ein weiteres großes Risiko. Sie können durch externe Angreifer erfolgen, die Sicherheitslücken ausnutzen, oder durch Insider, die missbräuchlich auf Informationen zugreifen. Die Folgen können Datenverlust, Datenmanipulation oder der Diebstahl geistigen Eigentums sein.
Was das IT-Audit untersucht
Das IT-Audit dient dazu, die Integrität, Sicherheit und Effizienz der im Einsatz befindlichen IT zu gewährleisten. Dafür werden systematisch die IT-Infrastruktur, IT-Policies und IT-Operationen eines Unternehmens bewertet.
Im Rahmen des IT-Audits können unterschiedliche Prüfungsschwerpunkte gelegt werden, wie unter anderem:
- Informationssicherheit und Zugriffskontrollen
- Netzwerkinfrastruktur und Architektur
- IT-Governance und -Management
- Datensicherungen und Desaster Recovery
- IT-Operationen und Servicemanagement
Best Practices für das IT-Audit
Im Rahmen eines IT-Audits empfiehlt sich die Anwendung von Branchenstandards und Rahmenwerken (wie bspw. COBIT und ISO/IEC 27001). Parallel dazu bestehen hohe Anforderungen, was die Expertise im Kontext IT-Systeme angeht. Der Fokus liegt auf den rechnungslegungsrelevanten IT-Systemen und der Feststellung der Verfügbarkeit, Vertraulichkeit und Integrität der verarbeiteten Daten.
Mögliche Fragen in der Prüfung können hier sein:
- Ist eine IT-Strategie vorhanden und inwieweit ist diese mit der Unternehmensstrategie verknüpft?
- Welche Schnittstellen gibt es zwischen den Systemen?
- Welche kritischen Berechtigungen sind in den jeweiligen Systemen vergeben?
Auf den Ergebnissen des IT-Audits aufbauend ist die Schulung von Mitarbeitern in Sachen Sicherheitsbewusstsein und die Implementierung von effektiven IT-Kontrollen und Sicherheitsmaßnahmen der nächste große Hebel für Unternehmen. Damit einher geht die Etablierung einer Kultur der kontinuierlichen Verbesserung. Unternehmen, die regelmäßige IT-Audits durchführen, berichten von einer stärkeren Compliance, verbesserten Sicherheitsstandards und einer effizienteren IT-Performance.
Worauf sich Abschlussprüfer jetzt einstellen sollten
Als Abschlussprüfer gilt es Expertise im Kontext IT aufzubauen. Gerade mit dem Standard des ISA [DE] 315 (Revised 2019) und vor dem Hintergrund, dass sich viele Unternehmen im Mittelstand mitten in der digitalen Transformation befinden, gilt es Schritt zu halten. Bisherige IT-Prüfungen waren oft nicht in die Tiefe gehend, aber unter anderem mit der Einführung des ISA [DE] 315 (Revised 2019) müssen sich die Abschlussprüfer intensiver mit IT-Systemen auseinandersetzen. Dies bedeutet eine Veränderung in der Prüfungspraxis und führt zu einem verstärkten Bedarf an IT-Prüfern.

Autor: CISA Diana Nestler
Lead-IT-Auditorin | SONNTAG IT Solutions GmbH & Co. KG
Diana Nestler ist IT-Auditorin und CISA-zertifiziert bei der SONNTAG IT Solutions in Augsburg. Ihre Expertise umfasst die Auditierung und Assurance von IT-Systemen und -Prozessen in national und international agierenden Unternehmen. Sie spezialisiert sich auf die Bewertung von IT-Risiken, die Sicherstellung der Compliance mit relevanten Standards und die Optimierung von IT-Prozessen. Darüber hinaus engagiert sie sich als Referentin für Workshops und Seminare zu Themen rund um IT-Compliance, Datenschutz und IT-Sicherheitsmanagement.Kontakt:
SONNTAG IT Solutions GmbH & Co. KG | Schertlinstraße 23 | 86159 Augsburg | Telefon: +49 821 9998 4323 | E-Mail: services@sp-it.de
Weitere Artikel
Wir setzen auf unserer Webseite Cookies ein, die zur Sicherheit und Funktionalität der Webseite erforderlich sind. Soweit Sie auf die Schaltfläche „Alle Cookies akzeptieren“ klicken, werden alle von uns gesetzten Cookies angenommen.
Ihre Einwilligung umfasst auch den Einsatz von Matomo Cookies, die uns Informationen über die Webseitennutzung geben. Weitere ausführliche Informationen dazu finden Sie in unserer Datenschutzerklärung.
Natürlich können Sie eine abgegebene Einwilligung auch jederzeit ohne Angabe von Gründen widerrufen.
Soweit Sie auf die Schaltfläche Konfigurieren klicken, können Sie Ihre jeweilige Zustimmung zum Einsatz nicht erforderlicher Cookies im Einzelfall wählen.