Anzeigen

Anbieter von Lösungen zur elektronischen Steuerprüfung
hmd Solftware
Verfahrensdoku
DATEV eG
GISA
Caseware
Home

Risikomanagement und IT-Sicherheit  - eine übertriebene, unerfüllbare Forderung?

Von Hans-Jürgen Stritter


Hans-Jürgen Stritter

Hans-Jürgen Stritter ist selbständiger IT-Revisor/ Unternehmensberater für IT-Revision & Sicherheitsmanagement, Computermanipulationen, Forensic Computing und IKS-/ Risikomanagement-Untersuchungen. Er ist Geschäftsführer der EDV-Audit Consult (www.edv-auditconsult.de).

Globalisierung, Outsourcing, Information-Warehouse, Prozessorientierung, Vernetzung, Customizing, Implementation-Guide ... sind nur einige wenige Begriffe, die für Unternehmen jedweder Größe zumindest immer wieder dann eine Rolle zu spielen scheinen, wenn durch den immer schärfer werdenden Wettbewerb eine immer schnellere Datenverfügbarkeit und Transparenz sichergestellt sein muss! Die Unternehmen sind - keine Frage - von einer aktuellen und funktionsfähigen Informationsverarbeitung in starkem Maße abhängig geworden. Wenn man den Prüfungsergebnissen des Autors folgt, so ist ein anhaltender und steigender Trend z.B. zu Wirtschaftsspionage, Datenschutzverstößen, Datenmanipulation, Verhökerung von Firmendaten durch eigene Mitarbeiter nicht nur festzustellen, sondern wird gerade zu durch nachlässige Risikoeinschätzungen des Managements oder fehlende und keinesfalls ausreichende IKS-Maßnahmen gefördert!

Stellen Sie sich vor, während Sie bei einem Ihrer Mandanten gerade eine IKS-Prüfung durchführen, wird durch die IT-Abteilung festgestellt, dass irgend jemand aus dem Betrieb einen noch nicht konkret ermittelten Datenbestand der wichtigsten Kunden-/ Lieferantendaten verändert oder kopiert hat. Ob mit Vorsatz oder eher aufgrund eines Bearbeitungsfehlers, ist noch nicht erkennbar. Im Verlaufe Ihrer Untersuchung ergibt sich folgendes Bild: 

  • Es muss sich um eine bewusst gewollte „Datenänderung“ (= Manipulation) handeln, zumindest sprechen die derzeitigen Fakten dafür.
  • Die Datenänderungen wurden mit Sicherheit von einem ehemaligen IT-Mitarbeiter (Anwendungsentwickler FiBu) des Outsourcers, der vor ca. 2 Jahren in den FiBu-Bereich gewechselt ist und dort für die Datenpflege Kundenstämme verantwortlich ist, vorgenommen. Mit diesem Mitarbeiter hat es immer wieder Gespräche gegeben, weil man seitens des Arbeitgebers mit seiner Leistung nicht besonders zufrieden ist. Nachdem auch der Mitarbeiter sich aufgrund seiner Erfahrung (langjähriger erfahrener und derzeit am Markt gesuchter Implementierer und  SW-Entwickler im Bereich FiBu einer bekannten deutschen Standard-Software) unterbezahlt und seiner Meinung nicht eben verantwortungsgemäß positioniert ist, hat er gekündigt.
  • Seit seiner Tätigkeitsaufnahme in der FiBu verfügt der Mitarbeiter nach wie vor über sein ursprüngliches „Entwickler-Profil“, das ihm nach wie vor einen ungehinderten und inhaltlich jederzeit und ohne jede Einschränkung möglichen Zugriff auf den Entwicklungs- und Zentralrechner des Unternehmens erlaubt. Dabei kann er auch auf die für die Produktivverarbeitung notwendigen Programmsourcen zugreifen und verfügt darüber hinaus über einen für das Softwareunternehmen, aus dem die eingesetzte Software stammt, erforderlichen Entwicklerschlüssel, um Programmänderungen via Leitung durchführen zu können.
  • Im Rahmen der Untersuchung wird erkannt, dass mehrere Programme vom Arbeitsplatz des fraglichen Mitarbeiters auf dem Entwicklungsrechner generiert und anschließend per Transportauftrag, einem dieser Software quasi entsprechenden spezifischen Freigabeverfahren, auf das Produktivsystem übertragen wurden. Noch nicht geklärt ist, welche Verarbeitungsfunktionen mit diesen Programmen tatsächlich ausgeführt wurden.

Sie sagen – das gibt’s nicht, das kann doch nicht möglich sein? Aber ja: so geschehen bei einem international tätigen Maschinenbaukonzern in Oberfranken. Im Rahmen dieser Untersuchung haben sich sowohl für das auftraggebende Unternehmen als auch für den auftragnehmenden IT-Dienstleister weitere erhebliche Risiken und Schwachstellen ergeben. Unter anderem wurden ca. 700 falsch generierte Ausgangsrechnungen, die zu über 90 % bereits an Endkunden versandt worden waren, mit einem Fakturenwert von ca. Mio. 2,5 ermittelt. Diese Risiken betrafen allesamt fehlende oder nicht korrekt installierte IKS-Maßnahmen, die bis zum Zeitpunkt der Prüfung (durch den Verfasser) durch die eigene Interne Revision weder geprüft, noch erkannt worden waren.

Es stellte sich im Laufe der Ermittlungen auch heraus, dass der betreffende Mitarbeiter die erwähnten Kunden-/ Lieferantendaten an einen ortsansässigen Mitbewerber verkaufen wollte. Der Verkauf von elektronisch gespeicherten Unternehmensdaten, die vom FiBu-Mitarbeiter auf CD gebrannt waren und ohne jedes Risiko per Post (natürlich mit dem durch die Poststelle frankierten Umschlag) an die eigene Adresse des Mitarbeiters versandt wurden. <!--[endif]-->

Erstaunlich ist in solchen Fällen immer wieder, dass Unternehmen häufig erst dann in Richtung Sicherheitsbewusstsein – Manipulationsmöglichkeiten – Funktionsfähigkeit des IKS Maßnahmen und Aktivitäten einleiten, wenn sich bereits zum Teil erhebliche Risikopotentiale gebildet haben. Im geschilderten Fall wäre es ein leichtes gewesen, nicht nur für viele Millionen Beratungshonorar die Implementierung der Standard-Software ordnungsmäßig vornehmen zu lassen, sondern vielmehr projektbegleitend auch revisionssichere Verfahren in Sachen Vergabe Benutzerprofile Standard-Software und dem daraus auch Mitarbeiter-bezogen definierten „Kopier-Recht von Daten“ zu definieren. Erstaunlich ist weiter, dass vielfach zahlreiche gesetzliche Vorschriften zur Risikoerkennung und –reduzierung (u.a. aus dem KonTraG*1), zur Dokumentation und Nachweisführung (GoBS*2) und zum sicheren Umgang mit personenbezogenen Daten (BDSG*3), deren Missachtung oder Nichteinhaltung nicht nur mit Gefängnisstrafen und erkläglichen Bußgeldern belegt werden können, den Unternehmen in der Umsetzung und Durchführbarkeit nicht oder nur in Auszügen bekannt scheinen. Mit anderen Worten: in einigen Fällen befinden sich manche Geschäftsführer/ Vorstände schon (vielleicht unwissentlich) im „roten Bereich“. <!--[endif]-->

Erhöht wachsende Abhängigkeit von Systemen und Netzwerken das Risiko?

Werden Daten im Unternehmen fahrlässig behandelt, also nicht ausreichend gesichert und nicht ausreichend gegen Datenveränderung geschützt, haftet der Unternehmer für den daraus entstandenen Schaden. Darüber hinaus spielen auch die Vorgaben zur Dokumentation von DV-gestützten Systemen im Rahmen der Aufbewahrungsfristen neuerlich durch die überarbeitete AO)*4 und die mit dem 01. Januar 2002 durch den Gesetzgeber definierte „steuerliche DV-gestützte Außenprüfung“ (BMF-Schreiben  „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)“ vom 16. Juli 2001) eine entscheidende Rolle. Dies sollte das Unternehmen eigentlich verstärkt zu eigenen, sehr viel umfangreicheren Überlegungen anregen.

Welches Unternehmen kann sich heute noch ohne Informationsverarbeitung am Markt behaupten? In die Architektur der Informationsverarbeitung (Hardware, Software, Netzwerke, Internetnutzung, etc.) haben die Unternehmen auch tatsächlich immense Summen investiert. Gleichermaßen aber wird die Begutachtung einer notwendigen Überarbeitung eventuell bereits früher durchgeführter Schwachstellenanalysen, um daraus die neuesten Erkenntnisse der IT-Risiken aufgezeigt zu bekommen, sehr häufig auf das sträflichste vernachlässigt. Alles muss schneller, detaillierter, noch besser und umfangreicher transparent gemacht und marktspezifischer ausgerichtet sein! Je größer die Durchdringung des Unternehmens mit Computersystemen ist, desto größer die Abhängigkeit und desto größer die Forderung nach einer permanenten Verfügbarkeit der Systeme und Netzwerke für die Informationsversorgung. Die Verfügbarkeit geeigneter und unternehmensbezogener Kontrollsysteme hat dagegen bisher nur in einigen wenigen Fällen einen vergleichbaren Stellenwert beim Management eingenommen. Dabei spielt es grundsätzlich keine Rolle, ob wir über Großrechnersysteme, PC-Netze oder Stand-Alone Rechner sprechen. Der weise Spruch: „Die richtige Information zum richtigen Zeitpunkt am richtigen Ort bringt Vorteile im Wettbewerb“ hat nach wie vor seine Gültigkeit. Damit ist die Verfügbarkeit der IT-Systeme und das Erkennen, die Einschätzung und die Behandlung damit verbundener Risiken zu einer wesentlichen Komponente des Wettbewerbs geworden.

Der eingangs geschilderte Fall ist kein Einzelfall bei den vom Autor durchgeführten Systemprüfungen. Immer wieder sind die schwierigsten Gespräche mit dem Management die Sensibilisierungsgespräche, die für das Unternehmen das zentrale Nervenzentrum aller betrieblichen Funktionen vorhandene Rechnersystem und der dort tätigen Mitarbeiter betreffen. Regelmässig scheint dabei eine Unterschätzung der IT-Risiken eines der Kernprobleme zu sein. Wenn dem Unternehmer und dem verantwortlichen Wirtschaftsprüfer aufgezeigt werden kann, dass ein funktionsfähiges Zugriffsschutz- oder Berechtigungssystem die Unternehmenswerte sichern helfen und damit eindeutig eine Reduzierung der zu tragenden vielfältigen Risiken darstellt, dann ist ein erster Meilenstein erreicht. Das heißt allerdings noch lange nicht, dass bei einer heutzutage eingesetzten Standard-Software, die zumeist als integriertes Paket im Unternehmen eingesetzt wird, auch klar vom Unternehmer und vom Wirtschaftsprüfer eine notwendige (kostenpflichtige?) Systemprüfung zur Erkennung entsprechender Risiken vorgesehen wird. Heutzutage ein Unding! Überlegungen, die sehr häufig nicht erfolgen, betreffen z.B. die umfassenden (betrieblich umfangreichen) Funktionen des Systemadministrators. Was kann dieser Mitarbeiter wann, wo und wie im Unternehmen durchführen und gibt es eine (regelmäßige) Kontrollmöglichkeit für diesen Bereich?

Die Frage, wer auf welche Daten wann und in welchem Umfang von wo zugreifen darf, bleibt eine Standardfrage und die allein zu lösende organisatorische Frage jedes einzelnen Unternehmens. Das betrifft auch – oder gerade – die Kontrolle und Prävention gegen Manipulationen oder Vandalismus-Erscheinungen. Ein gesundes, vertretbares Maß an Datensicherheitsvorkehrungen, an Risikoabschätzungen in die Betriebsabläufe einzubinden, bedarf häufig eines längeren Veränderungsprozesses – man spricht hier über die zuvor genannte Sensibilisierung. Ein Unternehmer muss sich u.a. die entscheidende Frage hierzu stellen oder wenigstens beantworten lassen: Wie lange kann ich mich ohne aktuelle Informationen behaupten, wie lange kann ich Kundenwünsche erfüllen und Aufträge ausführen, wenn denn kein sicheres, möglichst durch Schwachstellenanalysen risiko-reduziertes IT-System verfügbar wäre?

Nicht nur die Verfügbarkeit und die Definition von entsprechenden IT-Budgets für Hard- und/ oder Softwarekäufe, sondern gleichzeitig auch das Vorsehen für Orgware-Themen wie Risikoeinschätzung, Berechtigungskonzeptionen, Dokumentation der Systemeinstellungen, Änderungen im Rahmen von Releasewechseln usw. sollte letztlich dem Unternehmer ein Mehr an Sicherheit und ein Weniger an Risiko wert sein.

Die täglich zu treffenden Entscheidungen basieren unter anderem auf den durch das IT-System generierten Daten. Diese müssen verlässlich, zeitnah, integer und ordnungsgemäß sein. Dabei geht es immer um den sogenannten vierten Produktionsfaktor – die Information. Wenn dieser Produktionsfaktor leichtfertig an Stellen behandelt wird, die wir täglich durch aktuellste Berichterstattungen den Presseorganen entnehmen können, dann scheinen einige Fragen vom Management noch immer stiefmütterlich behandelt zu werden. Ja – es ist schon klar: mit etwas mehr Sicherheit – die Geld kostet – erreicht man keine höheren Umsätze. Aber – wer weiß – vielleicht sind ja Ihren Mitbewerbern Ihre Kunden-/ Lieferantendaten einiges wert? Noch wissen Sie nicht, dass Ihr Systemadministrator - Ihr Anwendungsentwickler - Ihr Systembetreuer nicht mehr so richtig bei der Sache ist! Oder müssen Sie Umsatzeinbrüche bei Ihren Schlüsselkunden/ Ihren Schlüsselprodukten feststellen? Kennen Sie deren Ursache? Wann haben Sie das letzte Mal das IKS auf Risikopunkte überprüfen lassen? Sind diese Prüfungen mit dem Wirtschaftsprüfer abgestimmt? Wo laufen die Fäden für das – hoffentlich vorhandene – Zugriffsschutz- oder Berechtigungskonzept zusammen? Was passiert eigentlich, wenn Ihr Systemadministrator überraschend das Unternehmen verlässt?

Walter Scheel sagte einmal: "Nichts geschieht ohne Risiko, aber ohne Risiko geschieht auch nichts!"

Über seine Risiken im Unternehmen Bescheid zu wissen, ist eine sehr umfangreiche und wichtige Aufgabe. Über die IT-Risiken im Unternehmen Bescheid zu wissen, heißt ständig dazu lernen. Denn das, was heute Gültigkeit hat, kann morgen schon wieder völlig anders funktionieren oder sich darstellen. Will sagen: Risikoeinschätzung im IT-Bereich setzt ein ständiges Risikomanagement und eine unternehmensabgestimmte IT-Sicherheit voraus, die vornehmliche Pflicht von verantwortungsbewussten Unternehmern ist und gleichermaßen den Wirtschaftsprüfer ebenso verantwortlich bei der Einschätzung zu diesen Fragen einbinden muss. In manchen Unternehmen noch ein weiter Weg!

Risikomanagement und IT-Sicherheit ist sicher keine übertriebene, unerfüllbare Forderung. Sie ist auch bezahlbar. Nur: die vielleicht auf dem Golfplatz unter Vorstandskollegen getroffene und kolportierte Entscheidung, die Standard-Software XYZ  ab sofort auch im eigenen Unternehmen einsetzen zu wollen, zieht eben nicht nur eine ziemliche millionenschwere Entscheidung nach sich, nein, vielmehr sind Unternehmer und die Berater heutzutage gefordert, auch die entsprechenden Risikoaspekte in Sachen IT-Sicherheit zu beleuchten und mit der Implementierung der Software gleichzeitig vorzusehen!

Warten wir also gespannt die nächste Systemprüfung ab, wie weit sich diese Erkenntnisse eines 'erfahrenen' IT-Revisors bereits durchgesprochen haben.



______________________________

*1  KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, 05.1998)

*2  GoBS: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme, 11.1995)               

*3  BDSG: Bundesdatenschutzgesetz

*4  AO: Abgabenordnung

Newsletter
 hier abonnieren
Hans-Jürgen Stritter: Risikomanagement und IT-Sicherheit

18.03.2024

powered by webEdition CMS
powered by webEdition CMS