- Anzeigen -

Sicherheit informationstechnischer Systeme


Die Auswirkungen des IT-Sicherheitsgesetzes auf die Interne Revision
Betreiber sind auf die Einhaltung demnächst zu veröffentlichender Branchenstandards sowie der Erbringung eines regelmäßigen Nachweises über die getroffenen Maßnahmen verpflichtet

Anzeige

Von Michael Goldshteyn, Michael Adelmeyer

(19.01.16) - Die Sicherheit und der Schutz von IT-Systemen gewinnen in der heutigen Unternehmenslandschaft zunehmend an Bedeutung. Aus diesem Grund hat der Gesetzgeber das IT-Sicherheitsgesetz verabschiedet. Hierdurch soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme herbeigeführt und Kritische Infrastrukturen besser vor Cyberangriffen geschützt werden. Nach einer Darstellung der Änderungen und ihrer kritischen Würdigung wird der Frage nachgegangen, welche Auswirkungen die Gesetzesnovelle auf die Unternehmen selbst und die Arbeit der Internen Revision entfaltet. Anschließend werden Handlungsempfehlungen ausgesprochen. Dieser Beitrag spiegelt die persönliche Auffassung der Autoren wider.

Der Deutsche Bundestag hat am 17. Juli 2015 das IT-Sicherheitsgesetz verabschiedet. Es soll Mindeststandards für die IT-Sicherheit setzen und hierdurch eine erhebliche Verbesserung der Sicherheit informationstechnischer Systeme herbeiführen. Um dieses Ziel zu erreichen, sind zahlreiche Prüfungs- und Meldepflichten bei Betreibern sog. "Kritischer Infrastrukturen" vorgesehen. Hierbei handelt es sich um Unternehmen aus den Branchen Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie dem Finanz- und Versicherungswesen. Sie müssen angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der Verfügbarkeit, ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Damit einhergehend sind die Betreiber auf die Einhaltung demnächst zu veröffentlichender Branchenstandards sowie der Erbringung eines regelmäßigen Nachweises über die getroffenen Maßnahmen verpflichtet. Sofern dabei sog. "erhebliche Störungen" der Systeme festgestellt werden, sind sie an das Bundesamt für Sicherheit in der Informationstechnik zu melden.

Dieser Beitrag aus der Zeitschrift für Interne Revision (ZIR) (Ausgabe 6, 2015, Seite 244 bis 255) wurde von der Redaktion von Compliance-Magazin.de gekürzt.

In voller Länge können Sie ihn und weitere hier nicht veröffentliche Artikel im ZIR lesen.

Zeitschrift Interne Revision - Fachzeitschrift für Wissenschaft und Praxis

Hier geht's zur Kurzbeschreibung der Zeitschrift

Hier geht's zum Probe-Abo
Hier geht's zum Normal-Abo

Hier geht's zum pdf-Bestellformular (Normal-Abo) [72 KB]
Hier geht's zum pdf-Bestellformular (Probe-Abo) [71 KB]

Hier geht's zum Word-Bestellformular (Normal-Abo) [48 KB]
Hier geht's zum Word-Bestellformular (Probe-Abo) [45 KB]

Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


- Anzeigen -


Im Überblick

Zeitschrift Interne Revision (ZIR)

Denkansatz für die Struktur des Audit Universe Audit Universe wird in der Literatur als bekannt vorausgesetzt und nur in Bezug auf bestimmte Gebiete näher ausgeführt. Eine Darstellung als funktionales System fehlt bislang. Ausgangspunkt der Betrachtungen sind Dynamiken des öffentlichen Sektors: die Weiterentwicklung der Verwaltung, wie auch jene der Internen Revision. Wenn "moderne" Interne Revisionen umfassend prüfen, dürfte sich ihr Audit Universe über die Struktur der Interaktionen der Unternehmung systemisch abbilden lassen.

Interne Revision und Fraud Obwohl Fraud schon immer ein bedeutendes Thema für die Interne Revision war und in den einzelnen Standards verankert ist, wurde durch die Veröffentlichung des Practice Guide (PG) "Internal Auditing and Fraud" des Institute of Internal Auditors (IIA) im Rahmen des International Professional Practice Framework (IPPF) im Jahr 2009 das Thema Fraud noch mehr in den Fokus gerückt. Leider ist dieser PG nicht sehr umfassend und beinhaltet keine Implementierungshilfe. Der folgende Artikel skizziert anhand eines strukturierten Vorgehens einen ganzheitlichen Implementierungsvorschlag und versucht diese Lücke anhand von Praxisbeispielen zu schließen.

Interne Revision & zuverlässige Network Governance Verbundgruppen und Franchise-Systeme besitzen enorme volkswirtschaftliche Bedeutung. Als zwischenbetriebliche Kooperationen des Mittelstands können sie auf mehr als 100 Jahre erfolgreiches Wirtschaften zurückblicken. Trotz ihres Erfolgs muss aber auch auf das Misserfolgsrisiko von Verbundgruppen und Franchise-Systemen hingewiesen werden, welches insbesondere mit einem hohen Risikopotenzial und schwacher Governance in den Netzwerken (Network Governance) zu erklären ist. Hierauf haben die Netzwerkverbände reagiert und seit 2004 verschiedene Netzwerk-Qualitätssicherungsstandards (z. B. "F&C-System-Check", "DIN CERTCO Systemcheck") entwickelt sowie 2010 den "Network Governance Kodex" (NGK) veröffentlicht.

Prüfung von Social Media Immer mehr Unternehmen nutzen Social Media für die Kommunikation mit ihren Stakeholdern (z. B. Aktionäre, Kunden, Öffentlichkeit). Genauso nutzen Mitarbeiter die Anwendungen, um über Firmenrechner oder Smartphones mit ihrem Bekanntenkreis in Kontakt zu bleiben und sich auszutauschen. Ob und wie Unternehmen Social Media-Risiken erkannt haben und wie eine Revisionsprüfung zu diesem Themenbereich ausgestaltet werden kann, soll nachfolgend näher dargestellt werden.

Revision der Beschaffungsstrategien Der Arbeitskreis "Revision der Beschaffung " des Deutschen Instituts für Interne Revision (DIIR) hat mit Band 11 der DIIR-Schriftenreihe einen Leitfaden mit Prüfungsfragen für die Revision im Beschaffungsbereich erarbeitet und sich dabei auch mit "Beschaffungsstrategien " auseinandergesetzt. In einer zweiteiligen ZIR-Veröffentlichung wird dieses Thema weiter vertieft. Im ersten Teil hat sich der Autor Dr. P. Schneider im Wesentlichen mit strategischen Grundlagen und strategischem Denken befasst. In Teil 2 folgt eine inhaltliche Beschreibung möglicher Beschaffungsstrategien, ergänzt um Praxisbeispiele und konkrete revisorische Prüfungsansätze und -fragen.

Autor / Quelle (abcd) der Beiträge siehe Angaben in Klammern vor Doppelpunkt: (abcd:)