Die steigende Anzahl von Cyberangriffen und Datenschutzvorfällen macht die IT-Sicherheit zu einem grundlegenden Thema in jeder Branche. Wie auf diesem Blog schon häufiger erwähnt wurde, bietet der Aufbau eines Informationssicherheitsmanagementsystems nach ISO 27001 und einer entsprechenden Zertifizierung einen umfassenden Schutz gegen jegliche Art von Angriffen auf Informationstechnologie. Ist ein Unternehmen nach ISO 27001 zertifiziert, erfüllt es auch die zentralen Anforderungen von Wirtschaftsprüfern, welche die ordnungsgemäße Buchführung sowie Jahres- oder Lageberichte prüfen. Den Wirtschaftsprüfern begegnen Richtlinien dieser Art allerdings schon deutlich früher – in den Anforderungen zur ordnungsgemäßen Buchführung.
Das Institut für Wirtschaftsprüfer (IDW) hat zahlreiche Standards als Grundlage für die Prüfungshandlungen der Wirtschaftsprüfer veröffentlicht. Maßgeblich für die IT-Sicherheit ist dabei der Prüfstandard IDW-PS-330, der sich mit der Abschlussprüfung beim Einsatz von IT befasst. Konkretisiert wird dieser Standard in den Grundsätzen ordnungsgemäßer Buchführung
(IDW-RS-FAIT-1), in denen die Sicherheitsanforderungen an rechnungsrelevante Daten um Themen bezüglich Integrität, Verfügbarkeit und Vertraulichkeit ergänzt werden. Der Standard schreibt dabei kein spezifisches Buchführungsverfahren vor. Zulässig sind alle Systeme, die den Anforderungen entsprechen, einschließlich IT-gestützter Systeme.
Das Veröffentlichungsdatum dieser Stellungnahme (24.09.2002) lässt vermuten, dass diese Grundsätze möglicherweise nicht mehr vollständig dem Stand der Technik entsprechen. Insbesondere die Tatsache, dass in der Zwischenzeit eine neue Datenschutzgrundverordnung verabschiedet wurde, die das damalige Bundesdatenschutzgesetz um einige neue Punkte ergänzt hat, legt die Vermutung nahe, dass einige Aspekte in diesem Standard inzwischen überarbeitet werden müssten.
Um dies zu überprüfen, wird dieses 21-seitige Dokument im Folgenden auf seine Aktualität untersucht.
Vorbemerkung
Bereits die Vorbemerkung (Kapitel 1) deutet auf eine veraltete Herangehensweise hin. In diesem Abschnitt ist beschrieben, dass alle Arten von Buchungssystemen zugelassen sind, sofern sie die darauffolgenden Anforderungen erfüllen – wobei explizit betont wird, dass IT-gestützte Systeme ebenfalls eine Berechtigung erhalten können. Im Jahr 2002 mag es noch legitim gewesen zu sein, davon auszugehen, dass der Großteil der Buchhaltung nicht bereits vollständig digital abgewickelt wird. Zur heutigen Zeit wirkt dieser Wortlaut jedoch fast absurd. In einer aktualisierten Fassung wäre es daher überflüssig diese Tatsache zu erwähnen.
Einsatz von IT im Unternehmen
Im zweiten Kapitel sind das IT-System und der Einsatz von IT im Unternehmen beschrieben. Im Abschnitt 8 werden IT-Kontrollen beschrieben, zu der unter anderem Eingabe-, Verarbeitungs- und Ausgabekontrollen zählen. Dieser Wortlaut ist an §9 Satz 1 des Bundesdatenschutzgesetzes (BDSG) angelehnt, in dem die acht Gebote des Datenschutzes aufgezählt werden: Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle. In der aktuell geltenden EU-DSGVO werden diese Gebote nicht mehr explizit beschrieben. Stattdessen gibt es eine allgemeinere Formulierung, in der ausgedrückt wird, dass der Schutz personenbezogener Daten gemäß dem Stand der Technik zu erfolgen hat (Art. 32 Abs. 1 DSGVO). Die detaillierte Aufzählung in diesem Standard ist zwar sprachlich offenkundig an das BDSG angelehnt, ist inhaltlich jedoch nach wie vor aktuell. Dass die Gliederung nach dem BDSG-Format erfolgt ist, ist in diesem Fall sogar durchaus positiv, da es dem Leser das Verständnis erleichtert.
Einsatz von IT in der Rechnungslegung
Im Kapitel 3.1 Sicherheitsanforderungen an rechnungsrelevanten Daten ist beschrieben, dass das BDSG die Aufgabe hat, personenbezogene Daten vor Missbrauch zu bewahren, der u.a. aus der Löschung von Daten resultieren kann. Inzwischen wurde diese Regelung von der DSGVO durch Art. 17 Recht auf Vergessenwerden spezifiziert. Die gesetzliche Löschpflicht, die greift, sobald die Daten nicht mehr zum ursprünglichen Verarbeitungszweck nötig sind oder sobald der Betroffene seine Einwilligung zurückzieht, wurde um ein Anrecht auf Vergessenwerden erweitert. Demnach müssen Maßnahmen getroffen werden (technischer und organisatorischer Art), die dazu verhelfen die veröffentlichten personenbezogenen Daten des Betroffenen an allen Verarbeitungsstellen zu entfernen. Dieser Aspekt fehlt an dieser Stelle in den Sicherheitsanforderungen der IDW-RS-FAIT-1.
In dem Kapitel wird außerdem dargelegt, dass der Datenschutzbeauftragte eines Unternehmens die Verantwortung für die Überwachung des Sicherheitskonzeptes trägt. Aus Sicht eines Wirtschaftsprüfers ist der Datenschutzbeauftragte insbesondere bei der Abschlussprüfung von Relevanz, da er Teil des internen Kontrollsystems ist. An dieser Stelle ist aus heutiger Sicht erwähnenswert, dass viele wesentliche Neuerungen der DSGVO den Bereich des Datenschutzbeauftragten ausweiten, da dieser in seiner Tätigkeit neue Aspekte zu berücksichtigen hat.
Aufgrund dieser bedeutsamen Rolle für die Wirtschaftsprüfung sind in diesem Zusammenhang die Neuerungen der DSGVO, die in diesem Standard nicht abgedeckt werden, bedeutsam.
Dazu gehört die Informationspflicht eines Unternehmens, die zwar im vorherigen BDSG bereits existiert hat, die nun jedoch weitreichender beschrieben sind. Artikel 13 und 14 der DSGVO regeln die Informationspflichten bei Erhebung personenbezogener Daten direkt bei der betroffenen Person sowie die Erhebung der Daten nicht beim Betroffenen selbst. Beide enthalten eine detaillierte Auflistung der Informationen, die in solchen Fällen dargelegt werden müssen, wie u.a. die Identität des Verantwortlichen, das Interesse, die Verarbeitungszwecke, die Rechtsgrundlage und die Dauer der Speicherung.
Weiterhin ist die Rechenschaftspflicht neu eingeführt worden, welche die Verantwortung für die Einhaltung der Grundsätze zur Verarbeitung personenbezogener Daten und den Nachweis der Einhaltung erfordert.
Zudem haben sich mögliche Bußgelder erheblich erhöht. Nach Art. 83 Abs. 5 DSGVO können bis zu 20 Mio. Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes verhängt werden. Bisher war das maximale Bußgeld, welches bis dato 300.000 Euro betrug, für den Jahresabschluss bedeutungslos. Durch das neue Gesetz kann diese Strafzahlung nun ein deutlich größeres Ausmaß annehmen. Wenn entsprechende Risiken bestehen und sie im Abschluss nichtzutreffend abgebildet werden, muss der Abschlussprüfer diese möglichen Konsequenzen für den Bestätigungsvermerk in Erwägung ziehen. Dies ist im Hinblick auf die vorher genannten Neuerungen von großer Relevanz, weil eine Nichtbeachtung der Gesetze, die in diesem Standard noch nicht berücksichtigt sind, nun hohe Sanktionen mit sich ziehen kann.
In einem weiteren Standard (IDW PH 9.860.1 für Prüfungen nach der DSGVO und dem BDSG) sind technische und organisatorische Maßnahmen zur Sicherstellung der Berücksichtigung der Datenschutzgrundsätze genannt. Diese befassen sich mit den erwähnten Neuerungen der DSGVO, gehen allerdings nur grob auf die spezifischen Anforderungen ein. Grundsätze wie die Informationspflicht und das Recht auf Vergessenwerden werden dort jedoch wenigstens im Ansatz angesprochen.
Orientiert sich ein Unternehmen bei ihrer Buchführung mit IT-Einsatz ausschließlich an den Aspekten des hier analysierten Standards, missachtet es allerdings mehrere gesetzliche Neuerungen der DSGVO und riskiert hohe Bußgelder.
Einrichtung eines IT-Systems mit Rechnungslegungsbezug
Das vierte Kapitel befasst sich mit der genauen Spezifikation des IT-Systems und den Risiken, die durch den Einsatz von IT bestehen. Die dabei erwähnten Anweisungen für ein Sicherungskonzept der IT-Infrastruktur, welches physische Sicherheitsmaßnahmen und logische Zugriffskontrollen sowie Datensicherungs- und Auslagerungsverfahren umfasst, sind allgemein gehalten und daher immer noch aktuell und geeignet.
In 4.1 wird betont, dass ein angemessenes Problem- und Sicherheitsbewusstsein Voraussetzung für ein geeignetes IT-Umfeld sind. Da die Risiken der IT-Nutzung in den vergangenen Jahren erheblich zugenommen haben, ist inzwischen ein anderes Bewusstsein notwendig als zur Erstellung des Dokuments im Jahr 2002. Durch Verwendung des Wortlautes „angemessen“, ist dieser Aspekt allerdings nach wie vor anwendbar.
Kapitel 4.2 IT-Infrastruktur und 4.2 IT-Anwendungen beschreiben, dass das Hauptziel die Wahrung der Sicherheitsziele Integrität, Verfügbarkeit und Vertraulichkeit ist. Die technischen und organisatorischen Maßnahmen zur Sicherstellung dieser Sicherheitsziele haben sich inzwischen gewandelt – beispielsweise in Form von sichereren Verschlüsselungsmechanismen zur Wahrung der Integrität von Dateien. Die Tatsache, dass dies das Hauptaugenmerk der Informationssicherheit ist, hat sich jedoch nicht verändert.
Ebenso sind die Aspekte, die in den darauffolgenden Unterkapiteln zum IT-Kontrollsystem und Outsourcing angesprochen werden, heute noch passend. Die technischen Möglichkeiten zur Überwachung eines IT-Kontrollsystems sowie die Auswahl an Outsourcing Optionen haben sich vervielfacht, die Verwendung ist allerdings gleich.
Fazit
Durch die allgemein gehaltenen Formulierungen sind die Kernaussagen des Standards weiterhin passend. Obwohl die Anwendung von IT-Systemen sowie die damit einhergehenden Risiken heutzutage sicherlich andere Ausmaße einnehmen, sind die Grundsätze aufgrund ihres großen Interpretationsspielraums auch heute noch gut anwendbar. Problematisch sind allerdings die fehlenden datenschutzrechtlichen Aspekte, die seit 2018 verpflichtend für alle Unternehmen gelten.
Orientiert sich ein Unternehmen bei ihrer Buchführung mit IT-Einsatz ausschließlich an den Aspekten des hier analysierten Standards, missachtet es mehrere gesetzliche Neuerungen der DSGVO und riskiert hohe Bußgelder. Eine aktualisierte Fassung dieses Standards ist daher durchaus angebracht.