06.11.2024
|
Risikomanagement und IT-Sicherheit - eine übertriebene, unerfüllbare Forderung?Von Hans-Jürgen Stritter
Hans-Jürgen Stritter ist selbständiger IT-Revisor/ Unternehmensberater für IT-Revision & Sicherheitsmanagement, Computermanipulationen, Forensic Computing und IKS-/ Risikomanagement-Untersuchungen. Er ist Geschäftsführer der EDV-Audit Consult (www.edv-auditconsult.de). Globalisierung, Outsourcing, Information-Warehouse, Prozessorientierung, Vernetzung, Customizing, Implementation-Guide ... sind nur einige wenige Begriffe, die für Unternehmen jedweder Größe zumindest immer wieder dann eine Rolle zu spielen scheinen, wenn durch den immer schärfer werdenden Wettbewerb eine immer schnellere Datenverfügbarkeit und Transparenz sichergestellt sein muss! Die Unternehmen sind - keine Frage - von einer aktuellen und funktionsfähigen Informationsverarbeitung in starkem Maße abhängig geworden. Wenn man den Prüfungsergebnissen des Autors folgt, so ist ein anhaltender und steigender Trend z.B. zu Wirtschaftsspionage, Datenschutzverstößen, Datenmanipulation, Verhökerung von Firmendaten durch eigene Mitarbeiter nicht nur festzustellen, sondern wird gerade zu durch nachlässige Risikoeinschätzungen des Managements oder fehlende und keinesfalls ausreichende IKS-Maßnahmen gefördert!Stellen Sie sich vor, während Sie bei einem Ihrer Mandanten gerade eine IKS-Prüfung durchführen, wird durch die IT-Abteilung festgestellt, dass irgend jemand aus dem Betrieb einen noch nicht konkret ermittelten Datenbestand der wichtigsten Kunden-/ Lieferantendaten verändert oder kopiert hat. Ob mit Vorsatz oder eher aufgrund eines Bearbeitungsfehlers, ist noch nicht erkennbar. Im Verlaufe Ihrer Untersuchung ergibt sich folgendes Bild:
Sie sagen das gibts nicht, das kann doch nicht möglich sein? Aber ja: so geschehen bei einem international tätigen Maschinenbaukonzern in Oberfranken. Im Rahmen dieser Untersuchung haben sich sowohl für das auftraggebende Unternehmen als auch für den auftragnehmenden IT-Dienstleister weitere erhebliche Risiken und Schwachstellen ergeben. Unter anderem wurden ca. 700 falsch generierte Ausgangsrechnungen, die zu über 90 % bereits an Endkunden versandt worden waren, mit einem Fakturenwert von ca. Mio. 2,5 ermittelt. Diese Risiken betrafen allesamt fehlende oder nicht korrekt installierte IKS-Maßnahmen, die bis zum Zeitpunkt der Prüfung (durch den Verfasser) durch die eigene Interne Revision weder geprüft, noch erkannt worden waren. Es stellte sich im Laufe der Ermittlungen auch heraus, dass der betreffende Mitarbeiter die erwähnten Kunden-/ Lieferantendaten an einen ortsansässigen Mitbewerber verkaufen wollte. Der Verkauf von elektronisch gespeicherten Unternehmensdaten, die vom FiBu-Mitarbeiter auf CD gebrannt waren und ohne jedes Risiko per Post (natürlich mit dem durch die Poststelle frankierten Umschlag) an die eigene Adresse des Mitarbeiters versandt wurden. <!--[endif]--> Erstaunlich ist in solchen Fällen immer wieder, dass Unternehmen häufig erst dann in Richtung Sicherheitsbewusstsein Manipulationsmöglichkeiten Funktionsfähigkeit des IKS Maßnahmen und Aktivitäten einleiten, wenn sich bereits zum Teil erhebliche Risikopotentiale gebildet haben. Im geschilderten Fall wäre es ein leichtes gewesen, nicht nur für viele Millionen Beratungshonorar die Implementierung der Standard-Software ordnungsmäßig vornehmen zu lassen, sondern vielmehr projektbegleitend auch revisionssichere Verfahren in Sachen Vergabe Benutzerprofile Standard-Software und dem daraus auch Mitarbeiter-bezogen definierten Kopier-Recht von Daten zu definieren. Erstaunlich ist weiter, dass vielfach zahlreiche gesetzliche Vorschriften zur Risikoerkennung und reduzierung (u.a. aus dem KonTraG*1), zur Dokumentation und Nachweisführung (GoBS*2) und zum sicheren Umgang mit personenbezogenen Daten (BDSG*3), deren Missachtung oder Nichteinhaltung nicht nur mit Gefängnisstrafen und erkläglichen Bußgeldern belegt werden können, den Unternehmen in der Umsetzung und Durchführbarkeit nicht oder nur in Auszügen bekannt scheinen. Mit anderen Worten: in einigen Fällen befinden sich manche Geschäftsführer/ Vorstände schon (vielleicht unwissentlich) im roten Bereich. <!--[endif]--> Erhöht wachsende Abhängigkeit von Systemen und Netzwerken das Risiko?Werden Daten im Unternehmen fahrlässig behandelt, also nicht ausreichend gesichert und nicht ausreichend gegen Datenveränderung geschützt, haftet der Unternehmer für den daraus entstandenen Schaden. Darüber hinaus spielen auch die Vorgaben zur Dokumentation von DV-gestützten Systemen im Rahmen der Aufbewahrungsfristen neuerlich durch die überarbeitete AO)*4 und die mit dem 01. Januar 2002 durch den Gesetzgeber definierte steuerliche DV-gestützte Außenprüfung (BMF-Schreiben Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) vom 16. Juli 2001) eine entscheidende Rolle. Dies sollte das Unternehmen eigentlich verstärkt zu eigenen, sehr viel umfangreicheren Überlegungen anregen. Welches Unternehmen kann sich heute noch ohne Informationsverarbeitung am Markt behaupten? In die Architektur der Informationsverarbeitung (Hardware, Software, Netzwerke, Internetnutzung, etc.) haben die Unternehmen auch tatsächlich immense Summen investiert. Gleichermaßen aber wird die Begutachtung einer notwendigen Überarbeitung eventuell bereits früher durchgeführter Schwachstellenanalysen, um daraus die neuesten Erkenntnisse der IT-Risiken aufgezeigt zu bekommen, sehr häufig auf das sträflichste vernachlässigt. Alles muss schneller, detaillierter, noch besser und umfangreicher transparent gemacht und marktspezifischer ausgerichtet sein! Je größer die Durchdringung des Unternehmens mit Computersystemen ist, desto größer die Abhängigkeit und desto größer die Forderung nach einer permanenten Verfügbarkeit der Systeme und Netzwerke für die Informationsversorgung. Die Verfügbarkeit geeigneter und unternehmensbezogener Kontrollsysteme hat dagegen bisher nur in einigen wenigen Fällen einen vergleichbaren Stellenwert beim Management eingenommen. Dabei spielt es grundsätzlich keine Rolle, ob wir über Großrechnersysteme, PC-Netze oder Stand-Alone Rechner sprechen. Der weise Spruch: Die richtige Information zum richtigen Zeitpunkt am richtigen Ort bringt Vorteile im Wettbewerb hat nach wie vor seine Gültigkeit. Damit ist die Verfügbarkeit der IT-Systeme und das Erkennen, die Einschätzung und die Behandlung damit verbundener Risiken zu einer wesentlichen Komponente des Wettbewerbs geworden. Der eingangs geschilderte Fall ist kein Einzelfall bei den vom Autor durchgeführten Systemprüfungen. Immer wieder sind die schwierigsten Gespräche mit dem Management die Sensibilisierungsgespräche, die für das Unternehmen das zentrale Nervenzentrum aller betrieblichen Funktionen vorhandene Rechnersystem und der dort tätigen Mitarbeiter betreffen. Regelmässig scheint dabei eine Unterschätzung der IT-Risiken eines der Kernprobleme zu sein. Wenn dem Unternehmer und dem verantwortlichen Wirtschaftsprüfer aufgezeigt werden kann, dass ein funktionsfähiges Zugriffsschutz- oder Berechtigungssystem die Unternehmenswerte sichern helfen und damit eindeutig eine Reduzierung der zu tragenden vielfältigen Risiken darstellt, dann ist ein erster Meilenstein erreicht. Das heißt allerdings noch lange nicht, dass bei einer heutzutage eingesetzten Standard-Software, die zumeist als integriertes Paket im Unternehmen eingesetzt wird, auch klar vom Unternehmer und vom Wirtschaftsprüfer eine notwendige (kostenpflichtige?) Systemprüfung zur Erkennung entsprechender Risiken vorgesehen wird. Heutzutage ein Unding! Überlegungen, die sehr häufig nicht erfolgen, betreffen z.B. die umfassenden (betrieblich umfangreichen) Funktionen des Systemadministrators. Was kann dieser Mitarbeiter wann, wo und wie im Unternehmen durchführen und gibt es eine (regelmäßige) Kontrollmöglichkeit für diesen Bereich? Die Frage, wer auf welche Daten wann und in welchem Umfang von wo zugreifen darf, bleibt eine Standardfrage und die allein zu lösende organisatorische Frage jedes einzelnen Unternehmens. Das betrifft auch oder gerade die Kontrolle und Prävention gegen Manipulationen oder Vandalismus-Erscheinungen. Ein gesundes, vertretbares Maß an Datensicherheitsvorkehrungen, an Risikoabschätzungen in die Betriebsabläufe einzubinden, bedarf häufig eines längeren Veränderungsprozesses man spricht hier über die zuvor genannte Sensibilisierung. Ein Unternehmer muss sich u.a. die entscheidende Frage hierzu stellen oder wenigstens beantworten lassen: Wie lange kann ich mich ohne aktuelle Informationen behaupten, wie lange kann ich Kundenwünsche erfüllen und Aufträge ausführen, wenn denn kein sicheres, möglichst durch Schwachstellenanalysen risiko-reduziertes IT-System verfügbar wäre? Nicht nur die Verfügbarkeit und die Definition von entsprechenden IT-Budgets für Hard- und/ oder Softwarekäufe, sondern gleichzeitig auch das Vorsehen für Orgware-Themen wie Risikoeinschätzung, Berechtigungskonzeptionen, Dokumentation der Systemeinstellungen, Änderungen im Rahmen von Releasewechseln usw. sollte letztlich dem Unternehmer ein Mehr an Sicherheit und ein Weniger an Risiko wert sein. Die täglich zu treffenden Entscheidungen basieren unter anderem auf den durch das IT-System generierten Daten. Diese müssen verlässlich, zeitnah, integer und ordnungsgemäß sein. Dabei geht es immer um den sogenannten vierten Produktionsfaktor die Information. Wenn dieser Produktionsfaktor leichtfertig an Stellen behandelt wird, die wir täglich durch aktuellste Berichterstattungen den Presseorganen entnehmen können, dann scheinen einige Fragen vom Management noch immer stiefmütterlich behandelt zu werden. Ja es ist schon klar: mit etwas mehr Sicherheit die Geld kostet erreicht man keine höheren Umsätze. Aber wer weiß vielleicht sind ja Ihren Mitbewerbern Ihre Kunden-/ Lieferantendaten einiges wert? Noch wissen Sie nicht, dass Ihr Systemadministrator - Ihr Anwendungsentwickler - Ihr Systembetreuer nicht mehr so richtig bei der Sache ist! Oder müssen Sie Umsatzeinbrüche bei Ihren Schlüsselkunden/ Ihren Schlüsselprodukten feststellen? Kennen Sie deren Ursache? Wann haben Sie das letzte Mal das IKS auf Risikopunkte überprüfen lassen? Sind diese Prüfungen mit dem Wirtschaftsprüfer abgestimmt? Wo laufen die Fäden für das hoffentlich vorhandene Zugriffsschutz- oder Berechtigungskonzept zusammen? Was passiert eigentlich, wenn Ihr Systemadministrator überraschend das Unternehmen verlässt? Walter Scheel sagte einmal: "Nichts geschieht ohne Risiko, aber ohne Risiko geschieht auch nichts!" Über seine Risiken im Unternehmen Bescheid zu wissen, ist eine sehr umfangreiche und wichtige Aufgabe. Über die IT-Risiken im Unternehmen Bescheid zu wissen, heißt ständig dazu lernen. Denn das, was heute Gültigkeit hat, kann morgen schon wieder völlig anders funktionieren oder sich darstellen. Will sagen: Risikoeinschätzung im IT-Bereich setzt ein ständiges Risikomanagement und eine unternehmensabgestimmte IT-Sicherheit voraus, die vornehmliche Pflicht von verantwortungsbewussten Unternehmern ist und gleichermaßen den Wirtschaftsprüfer ebenso verantwortlich bei der Einschätzung zu diesen Fragen einbinden muss. In manchen Unternehmen noch ein weiter Weg! Risikomanagement und IT-Sicherheit ist sicher keine übertriebene, unerfüllbare Forderung. Sie ist auch bezahlbar. Nur: die vielleicht auf dem Golfplatz unter Vorstandskollegen getroffene und kolportierte Entscheidung, die Standard-Software XYZ ab sofort auch im eigenen Unternehmen einsetzen zu wollen, zieht eben nicht nur eine ziemliche millionenschwere Entscheidung nach sich, nein, vielmehr sind Unternehmer und die Berater heutzutage gefordert, auch die entsprechenden Risikoaspekte in Sachen IT-Sicherheit zu beleuchten und mit der Implementierung der Software gleichzeitig vorzusehen! Warten wir also gespannt die nächste Systemprüfung ab, wie weit sich diese Erkenntnisse eines 'erfahrenen' IT-Revisors bereits durchgesprochen haben. ______________________________ *1 KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, 05.1998) *2 GoBS: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme, 11.1995) *3 BDSG: Bundesdatenschutzgesetz *4 AO: Abgabenordnung © Copyright Compario 2024, Autorenrechte bei den Autoren |
AktuellEditorialGeschenkidee„Tax Quiz“ – Lernkartenspiel zu den GoBD (Andrea Köchling) Aus dem BMFErgebnis der steuerlichen Betriebsprüfung 2023 Aus dem BMFVerfolgung von Steuerstraftaten und Steuerordnungswidrigkeiten im Jahr 2023 Aus dem BMF(IT-)ManagementRechtsprechungKeine ernstlichen Zweifel an der Richtsatzsammlung Elektronische RechnungenUmsetzungsstand der Einführung der E-Rechnung in Deutschland LiteraturVerfahrensdokumentation nach GoBD (Michael Bissinger, Elisa Lutz) Aus dem BMFRichtsatzsammlung für das Kalenderjahr 2023 veröffentlicht Partner-PortalVeranstalter |
06.11.2024