IT-Sicherheit – Mittelstand verstärkt im Fokus der Attacken

Die Häufigkeit, mit der Angriffe auf IT-Infrastrukturen mittelständischer Unternehmen durchgeführt wurden, ist über die letzten Jahre signifikant angestiegen (mangelnde IT-Sicherheit).
Während für das Jahr 2015 noch jedes zehnte Unternehmen angab, Ziel eines Angriffs geworden zu sein, stieg dieser Wert bis April 2018 auf einen bisherigen Höchststand von 30 Prozent an. Gleichzeitig vermeldete jedes zehnte, dem Mittelstand angehörige Unternehmen, bereits wiederholten Angriffen ausgesetzt worden zu sein.

Die erhobenen Zahlen lassen den Schluss zu, dass sich die Bedrohungslage durch Angriffe auf die IT-Systemlandschaft verstärkt zuspitzen wird. Besonderer Gefahr sind dabei Unternehmen ausgesetzt, die unter anderem Branchen wie dem Gesundheitswesen (medizinische Versorgung, Arzneimittel, Labore), Staat und Verwaltung (Regierung und Verwaltung, Notfall-/Rettungswesen), der Wasserversorgung (öffentliche Wasserversorgung /öffentliche Abwasserbeseitigung) sowie dem Transport- und Verkehrswesen angehören. Sie zählen zu den sogenannten Betreibern kritischer Infrastrukturen (KRITIS) und stellen mit ihrem Bestand besonders sensibler Daten ein attraktives Ziel für Cyberangriffe dar.

Häufige Ursachen für Sicherheitsrisiken sind:

 

Mangelhafte, gebäudetechnische Maßnahmen

  • Fehlen eines separaten Rechenzentrums mit Alarmanlage, Zutrittsregelungen oder Protokollierung des Zutritts

Fehlen eines übergreifenden Berechtigungskonzepts / Benutzerrechteverwaltung (auch Datenschutz! – wer sieht was?)

  • Keine rollenbezogene Benutzerrechteverwaltung (Definition der Zugriffsrechte nach Rolle, Position und Aufgabenbereich)/Berechtigungsstrukturen!
  • Fehlende Protokollierung von Zugriffen

Unzureichendes Backup-Konzept für die genutzten IT-Anwendungen

  • Fehlende Umsetzung regelmäßiger Backups inkl. Testläufen, ob erstellte Backups (zeitnah) wieder aufgespielt werden können

Unzureichende Schulung der Mitarbeiter

  • Mangelhafte Einweisungs- und Schulungsmaßnahmen für Benutzer – technisch und fachlich; (Problembewusstsein für mögliche Risiken beim Einsatz der Software schaffen)
  • Keine dokumentierten, schriftlichen Regelungen zur IT-Sicherheit

Unregelmäßige Updates der Anwendersoftware, Antivirendatenbanken und Firewall

  • Ausbleibende Definition von Regeln und Zuständigkeiten ob und wann Updates eingespielt werden

Unregelmäßige oder verspätete Auswertung der Sicherheitsprotokolle

  • Eventuelle Sicherheitslücken oder Fremdzugriffe bzw. Angriffe werden gar nicht oder erst zu spät erkannt

Einsatz veralteter Hardware

  • Nutzung von Hardware, für die weder Wartung, noch Support verfügbar ist

 

Angreifer nutzen bewusst charakteristische Schwachstellen mittelständischer Unternehmen im Hinblick auf IT-Sicherheit aus

Hacker sind sich indes der Tatsache bewusst, dass mittelständische Unternehmen, verglichen mit größeren Konzernen, über weniger Ressourcen (Zeit / Mitarbeiter / Finanzielle Mittel) zur Absicherung der IT-Infrastrukturen verfügen.
Folglich stellt sie ein unbefugter Zugriff auf sensible Daten wie Stammdaten von Kunden oder Lieferanten, Bankdaten oder sogar Daten externer Vertragspartner vor weniger Herausforderungen. Ergänzend werden Angriffe von implementierten Systemen gar nicht registriert oder aufgrund zeitlich versetzter Kontrollmaßnahmen mit erheblicher Verzögerung erst erkannt.

Das Bewusstsein für entsprechende Bedrohungen nimmt zu, die Handlungsbereitschaft hingegen stagniert weiterhin

Über die letzten Jahre ließ sich ein Anstieg der Wahrnehmung dieser Thematik bei kleinen und mittelgroßen Unternehmen verzeichnen; das Risiko, tatsächlich Opfer eines solchen Angriffs zu werden, wird hingegen an vielen Stellen weiterhin bagatellisiert. Demzufolge werden nach wie vor nicht genügend (Sicherheits-)Maßnahmen ergriffen, um Schäden als Resultat aus erfolgreichen Angriffen entsprechend vorzubeugen.
Größtes Sicherheitsrisiko stellen dabei schlecht geschulte oder unzureichend ausgebildete Mitarbeiter (insbesondere der sorglose Umgang im Öffnen erhaltener E-Mails oder deren Anhänge), der verstärkte Einsatz mobiler Geräte, gemischt genutzte Endgeräte (privat und gewerblich genutzte Mobiltelefone oder Notebooks) sowie Social-Media-Aktivitäten dar.

IT-Systemprüfungen im Rahmen der Jahresabschlussprüfung

Die Beurteilung des IT-gestützten Rechnungslegungssystems und dessen Ordnungsmäßigkeit stellt nach IDW PS 330 einen Pflichtbestandteil der regulären Jahresabschlussprüfung dar. So heißt es dort:

„Der Abschlussprüfer hat das IT-gestützte Rechnungslegungssystem daraufhin zu beurteilen, ob es den gesetzlichen Anforderungen – insbesondere den im IDW RS FAIT 1 dargestellten Ordnungsmäßigkeits- und Sicherheitsanforderungen – entspricht, um die nach § 322 Abs. 1 Satz 1 HGB i.V.m. § 317 Abs. 1 Satz 1 HGB und § 321 Abs. 2 Satz 3 HGB geforderten Prüfungsaussagen über die Ordnungsmäßigkeit der Buchführung treffen zu können.“

Zu den Anforderungen der Ordnungsmäßigkeit der Rechnungslegung gehört daher auch insbesondere die Sicherheit der eingesetzten Systeme, soweit diese rechnungslegungsrelevant sind.
Hierfür werden neben einer Prüfung des „Internen Kontrollsystems“ (IKS) auch Funktionsprüfungen der eingesetzten Systeme durchgeführt, um die Wirksamkeit der IT-Kontrollen in den IT-gestützten Geschäftsprozessen zusätzlich zu verifizieren.

Die daraus resultierenden Ergebnisse im Rahmen der Systemprüfung bieten den Unternehmen wertvolle Informationen zur Weiterentwicklung sowie Verbesserung der eingesetzten Systeme und bestehenden Abläufe.

Wenn Sie Ihr Unternehmen in ähnlichen Situtationen sehen, freuen wir uns von PRC über Ihre Kontaktaufnahme!

 

Related Post