Die Gewährleistung von Datensicherheit gehört zum Risikomanagement. Verantwortlich ist die Unternehmensleitung
In einer IT-vernetzten Welt sind alle Unternehmen von der Sicherheit der IT bzw. EDV einerseits und der des Internets (E-Mail) andererseits abhängig. Das gilt prinzipiell für alle Unternehmensgrößen! Verantwortlich für Governance und Corporate-Compliance und somit für den Schutz der Werte eines Unternehmens sind stets in erster Linie die Geschäftsleiter (Geschäftsführer oder Vorstand). Des Weiteren sind auch die Aufsichtsorgane für die Sicherheit von Unternehmen verantwortlich und aufgefordert pro-aktiv zu handeln.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzte im Dezember 2010 das Gefährdungsniveau der IT-Sicherheit in Deutschland insgesamt als erhöht ein. Unter Federführung des BSI und des Bundesministeriums des Inneren soll nun ein nationales Cyber-Abwehrzentrum errichtet werden, das international mit anderen Staaten zusammenarbeiten soll, um vor entsprechenden Risiken gewappnet zu sein.
Wir möchten Sie sensibilisieren und ermuntern, für Ihr Unternehmen eine erste Bestandsaufnahme vorzunehmen und ggf. (weitere) Schutz-Maßnahmen gegen mögliche Zugriffe auf Ihre Unternehmenswerte einzuführen oder vorhandene Maßnahmen zu überprüfen bzw. zu verbessern. Ihre Unternehmenswerte umfassen Ihr Unternehmens-Wissen, Ihr geistiges (Firmen-) Eigentum, ihre Betriebsgeheimnisse, das Wissen Ihrer Mitarbeiter, Ihre IT/EDV, Ihr Know-how in der Produktion, im Einkauf und im Absatz- bzw. Verkaufsprozess, ihre Kundenkontakte und, und, und.
Wir werden Ihnen in einer neuen Serie die Notwendigkeit und den Nutzen des Schutzes von Unternehmenswerten vorstellen und Ihnen praktische Maßnahmen nahelegen. Schwerpunkt ist zunächst der Schutz vor IT- und EDV-Risiken. Im Fortgang werden wir uns mit dem Schutz vor Diebstahl Ihres geistigen Firmen-Eigentums sowie mit Maßnahmen zum Schutz vor Betrug und Korruption im Allgemeinen sowie den Einkaufs- und Absatzprozessen im Besonderen befassen.
Schutz vor IT- und EDV-Risiken
Welche Gefahren gibt es im Bereich der IT und EDV? Die meisten Benutzer von IT-/EDV-Anlagen sind sogenannte Anwender, d. h. Endnutzer. Vielmals wird auf interne oder externe IT-Spezialisten verwiesen, „die sich damit auskennen.“ Insofern unterscheidet man grundsätzlich auch interne und externe Gefahren.
Interne Gefahren entstehen durch Mitarbeiter des eigenen Unternehmens oder durch externe Personen, denen Zugang zu den Daten des Unternehmens eingeräumt wird. Externe Gefahren entstehen dadurch, dass IT- und EDV-Systeme nicht oder nicht ausreichend gegen fremden Zugriff gesichert werden und somit für externe Personen via Internet oder Smartphone ein Zugang in unternehmensinterne Datensysteme möglich wird.
Einsatz von Datenanalysen im Rahmen der Abschlussprüfung
Für die Wirtschaftsprüfer hat das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) am 20. Dezember 2010 einen sog. Prüfungshinweis, den IDW PH 9.330.3 „Einsatz von Datenanalysen im Rahmen der Abschlussprüfung“, herausgebracht. Ziel ist es, den Einsatz spezieller Datenanalysen im Rahmen der Jahresabschlussprüfung darzustellen und die Integration des methodischen Ansatzes von Datenanalysen in den risikoorientierten Prüfungsansatz zu erläutern. Darüber hinaus haben Wirtschaftsprüfer im Rahmen der Prüfung von Jahresabschlüssen – je nach Umfang und Intensität des IT-/EDV-Einsatzes in den zu prüfenden Unternehmen – das (rechnungslegungsbezogene) IT-System zu beurteilen im Hinblick auf mögliche Risiken oder Kontrollrisiken. Hierbei wird u. a. auf die IT-Organisationsstruktur, auf das IT-Umfeld sowie auf die IT-Infrastruktur eingegangen. Insofern kann bdp den Unternehmen in diesem Zusammenhang erste Erkenntnisse in Bezug auf das rechnungslegungsbezogene IT-System liefern, wenn eine IT-Systemprüfung durch uns vorgenommen wurde.
Aber auch für Prüfungen von kleinen und mittelgroßen Unternehmen (KMU) hat das IDW einen entsprechenden Prüfungshinweis entwickelt. In diesem Hinweis wird explizit darauf hingewiesen, dass die IT-Systemprüfung nach IDW PS 330 auch die KMU betrifft. Ob und in welchem Umfang Prüfungshandlungen vorzunehmen sind, richtet sich weniger nach der Größe des zu prüfenden Unternehmens als vielmehr nach der Komplexität der eingesetzten IT/EDV.
Smartphone-Sicherheit
Immer öfter werden Unternehmen über ungesicherte Smartphones „besucht“. Ursachen dafür sind z. B., dass die PIN nicht unter Verschluss gehalten wird, dass das Smartphone unbeaufsichtigt herumliegt und Zugriffe durch Dritte möglich sind, dass die Software nicht aktuell gehalten wird, dass Applikationen nicht aus vertrauenswürdigen Quellen stammen, dass drahtlose Schnittstellen (WLAN oder Bluetooth) nicht deaktiviert werden, wenn diese nicht benötigt werden, oder ungesicherte öffentliche Hotspots genutzt werden. Bei extrem hohen Rechenzeiten von Applikationen oder anderen Auffälligkeiten sollten die verdächtigen Applikationen gelöscht werden. Bei Verlust von Smartphones sind SIM-Karten umgehend zu sperren.
Mangelhafte Passwörter
Interne Gefahren entstehen ferner meist durch schlecht gewählte Passwörter. Oftmals werden nur kurze oder wenig komplexe Zeichenkombinationen oder dasselbe Passwort für mehrere Anwendungen gewählt. Das BSI gibt umfangreiche Hinweise für wichtige Tipps zur Gestaltung von Passwörtern. Das Passwort sollte komplex sein. Es sind keine Namen zu verwenden. Passwörter sind regelmäßig zu ändern. Passwörter sollten nicht aufgeschrieben werden. Voreingestellte Passwörter sind zu ändern und dergleichen.
Die Benutzung von eigenen Passwörtern durch andere Personen eröffnet eine Fülle von Missbrauchsmöglichkeiten. IT-Sicherheit ist wichtig, weil der Datenschutz gewährleistet werden muss, um insbesondere den Datenmissbrauch von personenbezogenen Daten zu vermeiden. Der Verantwortliche, meist der mittelständische Unternehmer, würde sonst gegen das Bundesdatenschutzgesetz verstoßen.
Welche Haftungsgefahren drohen?
Datensicherheit ist ferner wichtig, um Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten. Daten dürfen nur von berechtigten und autorisierten Benutzern gelesen bzw. verändert werden. Gleiches gilt für den Zugriff auf gespeicherte Daten wie auch bei Datenübertragungen.
Unternehmensleiter sollten sich vergegenwärtigen, dass die Informationssicherheit auch von verschiedenen Gesetzen gefordert wird. So sind eigenständige Haftungsverpflichtungen im Falle von grob fahrlässigen Verstößen beispielsweise aus dem Gesellschaftsrecht, dem Haftungsrecht, dem Recht über Datenschutz etc. herzuleiten. Insofern stellt die Informationssicherheit einen Teil des Risikomanagements von Unternehmen dar.
Der Verlust von Daten oder die Manipulation von Datenbeständen kann auch Reputationsschäden nach sich ziehen, wenn mit Kunden zusammengearbeitet wird, die die Daten aus dem Unternehmen benötigen. Folgekosten zur Wiederherstellung von Informationen könnten beträchtlich sein. Es könnten auch Verstöße gegen die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) oder gegen die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) vorliegen.
Bedrohungen der IT-Sicherheit
Das Risikomanagement hat insbesondere folgende Risiken zu vermeiden bzw. darauf zu reagieren:
- Manipulation von Daten
- Verlust von Daten
- unzuverlässiger Empfang von Daten
- verspätete Verfügbarkeit von Daten
- unzulässige Verwertung von Daten
- fehlende Möglichkeit der Weiterentwicklung von eingesetzten Systemen
Es besteht auch die Möglichkeit von technischen Systemausfällen oder von Systemmissbrauch. Angriffsmöglichkeiten auf unternehmenseigene IT- bzw. EDV-Systeme sind vielfältig. Absolute Sicherheit ist jedoch meist nicht möglich. Dennoch empfehlen sich einige Maßnahmen zur Erhöhung der Sicherheit, die bdp bereits erfolgreich beraten konnte.
Wie kann man IT und EDV wirksam schützen?
Zunächst müssen die physische und räumliche Sicherung von Daten, Zugriffskontrollen, das Aufstellen von Systemen und die Maßnahmen der Datensicherung und Verschlüsselung gewährleistet sein. Zentral ist somit die Sicherheit der verarbeitenden Systeme (Computerraum).
Daneben sind auch personelle und organisatorische Maßnahmen zu ergreifen. So ist es dringend erforderlich, stets die Software zu aktualisieren, aktuelle Antiviren-Software zu verwenden und ggf. Firewalls zu installieren. Eine weitere Möglichkeit ist die Nutzung unterschiedlicher Software, um nicht von einem großen Marktanbieter abhängig zu sein. Wichtige personelle Maßnahmen sind die Vergabe von eingeschränkten Benutzerrechten und die Verschlüsselung von sensiblen Daten (Kryptografie). Zur Identifizierung von vorgenommenen Datenveränderungen sollten sogenannte automatische Protokolle oder Log-in-Dateien erstellt werden. Da oftmals tatsächlich schon gute Systeme und Handlungsanweisungen vorliegen, ist es ganz wesentlich, die Mitarbeiter (insbesondere neue Mitarbeiter) zu schulen, zu sensibilisieren und zu befähigen die IT-Sicherheitsrichtlinien umzusetzen. Die Einhaltung der Vorschriften ist, auch in kleinen Unternehmen, durch Prüfungen und Überprüfungen zu kontrollieren.
Im Fortgang dieser Serie stellen wir Ihnen Schutzmaßnahmen für die Sicherheit des geistigen (Firmen-) Eigentums vor.
