Novus INFORMATIONSTECHNOLOGIE - Post-COVID und die neue (Prüfungs-)Realität Elektronische Signaturen - Digitalisierung von Zeichnungsprozessen im ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
1. AUSGABE 2021
novus
INFORMATIONSTECHNOLOGIE
Post-COVID und die Elektronische Signaturen – Informationssicherheit:
neue (Prüfungs-)Realität Digitalisierung von Zertifizierung durch die
Zeichnungsprozessen im ESecurity-CERT GmbH
Geschäftsalltag
novus EDITORIAL POST COVID ist ANTE COVID? COVID-19 begleitet uns weiterhin – auch wenn für viele Unternehmen so langsam die post-COVID-Zeit beginnt, nachdem man sich mehr als ein Jahr quasi in einer Art „Notfallprozess“ befand. Dies bedeutet bspw. für uns als Geschäftsbereich IT-Revision (GBIT), dass wieder häufiger Termine vor Ort durchgeführt werden können, auch wenn sicherlich sowohl Sie als auch wir festgestellt haben, dass eine Remote-Prüfung bis zu einem gewissen Grade möglich und zum Teil sehr effizient ist. Deshalb wird sich auch für uns Prüfer einiges ändern und die post-COVID-Zeit wird höchstwahrscheinlich eine andere als die ante-COVID-Zeit. Das letzte halbe Jahr hat einige interessante Themen mit sich gebracht, über die wir Sie informieren möchten. Im Rahmen des Aufsichtsrechts wird die Ende des letzten Jahres veröffentlichte Konsultationsfassung der BAIT sicherlich Auswirkungen auf die KAIT und VAIT nach sich ziehen. Wir beleuchten dazu den Notfallmanagement-Prozess aus Sicht der neuen Konsultationsfassung. Später als erwartet, ist in diesem Jahr das „lang ersehnte“ IT-Sicherheitsgesetz 2.0 in Kraft getreten. Nach dem Beschluss des Bundestages am 23.04.2021, der Zustimmung durch den Bundesrat sowie der Veröffentlichung am 27.05.2021 im Bundesgesetzblatt war dies konkret am 28.05.2021 der Fall. Mit dem IT-Sicherheitsgesetz verbunden sind eine Vielzahl an Änderungen und Anpassungen, die noch folgen werden, wie etwa seitens der Bundesnetzagentur für den IT-Sicherheitskatalog gemäß §11 Energiewirtschaftsgesetz (EnWG). Insb. über die wesentlichen Änderungen, wie die erneute Erhöhung der Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI), möchten wir Sie infor- mieren. Erfreulicherweise hat die ESecurity-CERT GmbH (ESCERT) als unabhängige Zertifizierungsstelle die Akkreditierung für die DIN EN ISO/IEC 27001:2017-06 erfolgreich abschließen können, sodass diese nun berichtigt ist, entsprechende Zertifizierungsprüfungen durchzuführen. Gerne möchten wir Ihnen die ESCERT kurz vorstellen. Weitere Themen im Bereich der IT-Sicherheit betreffen Änderungen im IT-Sicherheitskatalog. Bis zum 30.06.2021 hätte die Bundesnetzagentur die Zertifizierungsstelle benennen müssen, mit der das Audit nach IT-Sicherheitskatalog gemäß §11 Abs. 1b EnWG durchgeführt werden soll. Da auch COVID-19-bedingt noch keine Zertifizierungsstelle die Akkreditierung besitzt, um dies durchführen zu können, wurde die Frist verlängert. Der Geschäftsbereich IT-Revision (GBIT) wünscht Ihnen viel Freude bei der Lektüre und steht Ihnen bei Rückfragen natürlich gern zur Verfügung. Ihr GBIT 2
INHALT
IN EIGENER SACHE
Informatiker in der Wirtschaftsprüfung: Ebner Stolz 4
IT & WIRTSCHAFTSPRÜFUNG
Post-COVID und die neue (Prüfungs-)Realität 6
BMF – Einjährige Nutzungsdauer bei Computerhardware und Software 7
Prüfung des IT-Notfallmanagement – (nicht nur) aus Sicht der BAIT 8
IT-RECHT
Neue EU-Standardvertragsklauseln für internationale Datentransfers 10
Elektronische Signaturen – Digitalisierung von Zeichnungsprozessen im Geschäftsalltag 12
IT-SICHERHEIT
Informationssicherheit: Zertifizierung durch die ESecurity-CERT GmbH 14
IT-Sicherheitsgesetz 2.0 – Durchbruch für Deutschlands Cybersicherheit? 16
ISO/IEC DIS 27002:2021-01 – Überarbeitung oder Erweiterung der Version aus 2013? 19
Umstellung ISO/IEC 27019:2017 21
Fristverlängerung – Update BNetzA Umsetzung IT-Sikat § 11 Abs. 1b EnWG 22
INTERN 23
3
novus IN EIGENER SACHE
Informatiker in der Wirtschaftsprüfung: Ebner Stolz
Warum Datenwerkzeuge weiterentwickelt Die dritte, und bei weitem nicht die unwich- Passiert es, dass Kunden von Ihnen auch
und geschärft werden müssen, um die neu- tigste Kategorie, sind Fragestellungen rund konkrete Implementierungen erwarten?
en Geschäftsmodelle bei Mandanten prüfen um die neuen Anforderungen an den Men-
zu können, erklärt Interviewpartner Holger schen, wie etwa „Was sind die notwendigen Unsere Softwareentwickler sind unsere
Klindtworth. Er ist seit 25 Jahren im Beruf, Qualifikationen der Fachkräfte in der Zu- Werkzeugmacher. Sie versorgen uns vor al-
seit 10 Jahren bei Ebner Stolz und bezeich- kunft und für die Firmen? Wie kommt man lem mit den Werkzeugen, die wir in unseren
net sich selbst als „IT-Prüfer aus Leiden- an diese Fachkräfte?“ aktuellen und zukünftigen Projekten benöti-
schaft”. gen. Aber natürlich gefällt dem ein oder
Um uns Ihrer Arbeit einmal über zwei anderen Mandanten auch eines unserer
Holger Klindtworth ist Partner bei Ebner konkrete Aufgabenstellungen zu nä glänzenden Werkzeuge und sie möchten
Stolz sowie Mitglied im Fachausschuss IT des hern: Wie gehen Sie vor bei der Prüfung diese für ihre eigenen Zwecke nutzen. Dann
IDW. Lange Jahre war er zudem Vorstand von IT-Sicherheit oder IT-Compliance und wird man sich schon einig. Aber das ist eher
im Berufsverband ISACA. Herr Klindtworth was muss man dafür mitbringen? die Ausnahme, wir sind – noch – kein Soft-
besitzt den Expertenstatus beim Bundesver- warehaus.
band der mittelständischen Wirtschaft und Technisches Know-how ist eine zwingend
wird häufig als Gutachter in Fragestellungen notwendige Voraussetzung für gute Prü- Setzen Ihre Kunden auf Präsenz vor Ort?
der Informationsverarbeitung eingesetzt. Er fungsarbeit. Darüber hinaus ist aber ein
hat Lehraufträge an mehreren Hochschulen schnelles und umfassendes Verständnis der In Sachen Reisetätigkeit haben sich die
in Deutschland, aktuell an der HAW Ham- Gesamtsituation dringend erforderlich. Dazu Zeiten generell durch die Corona-Pandemie
burg im Fachbereich Informatik, und ist gehören das Wissen über den Mandant, geändert. Wir haben schon vor COVID-19
Autor verschiedener Bücher und zahlreicher dessen Geschäftsmodelle und das Markt zum Teil mit Remote-Prüfungen gearbeitet.
Publikationen. umfeld, aber natürlich auch das Verständnis Das war zu Beginn der Pandemie ein echter
der rechtlichen und regulatorischen Rah Erfahrungsvorsprung und einer der Gründe,
Herr Klindtworth, in Ihrem Geschäfts menbedingungen und ihre Bedeutung im warum wir so erfolgreich durch die Corona-
bereich IT-Revision beschäftigen Sie sich konkreten Fall. Krise gekommen sind. Allerdings haben die
mit den Herausforderungen, welche die Mandanten in der Vergangenheit eher eine
Digitalisierung für Unternehmen und Wie man bei einer Prüfung von IT-Sicherheit Vor-Ort-Prüfung von uns erwartet. Das hat
ihre Geschäftsmodelle mit sich bringt. bzw. IT-Compliance genau vorgeht, lässt sich sich mittlerweile komplett gedreht und
Mit welchen Fragestellungen werden dagegen weniger einfach beantworten. wird auch nach der Pandemie weitgehend
Sie konfrontiert? Auch wenn sich Problemfälle ähneln, ist jede Bestand haben. Hatten wir früher Reiseantei-
Prüfung einzigartig. Wesentlich ist in jedem le von ca. 50 %, rechne ich in Zukunft mit
Die Fragestellungen sind sehr vielfältig, Fall ein gut gefüllter, auch zum Teil digitaler maximal 10 bis 20 %.
lassen sich aber in drei wesentliche Klassen Werkzeugkasten, verbunden mit viel Erfah-
einteilen: Zum einen sind es die Fragestellun- rung und ständiger Weiterbildung. Ebner Stolz konzentriert sich stark auf
gen, die sich aus den Veränderungen der die Champions des Mittelstandes. Ist
Geschäftsmodelle und -prozesse durch die Um mit diesem zu arbeiten, suchen Sie dort der Anpassungsdruck der Digitali
Digitalisierung ergeben, wie z. B. der Einsatz Software Developer. Welche Herausfor sierung nicht noch größer als bei inter
von Kundenportalen mit automatisierter derungen erwarten diese? nationalen Industriekonzernen?
Bestellabwicklung, die Anpassung einer
Preisgestaltung auf Basis von „Echtzeitabver- Tatsächlich ähnelt die interne Herausforde- Erst einmal ist für uns jeder Mittelständler ein
kaufsdaten“ oder eine KI-gestützte Buchungs- rung in der Entwicklung sehr den Herausfor- Champion! Was den Mittelstand auszeich-
kontierung. derungen in unseren externen Projekten. Es net, ist die Vielfalt, die hohe Dynamik und
ist vor allem die Vielfalt, die unsere Aufga- der unternehmerische Spirit. Dadurch be-
Die zweite Kategorie ergibt sich aus den Ver- ben auszeichnet. Durch die Breite unseres steht bei vielen Mittelständlern eine richtig-
änderungen der Basis allen digitalen Seins – Angebots gegenüber unseren Mandanten gehende Aufbruchstimmung und das macht
der technischen (IT-)Infrastruktur, wie z. B. wächst natürlich auch der Bedarf an unter- natürlich einen großen Reiz für uns aus, die
Cloud-Lösungen. schiedlicher Softwareunterstützung. Vom Unternehmen auf Augenhöhe zu begleiten
Umsatzsteuercockpit über unser umfangrei- und als echte Unterstützung und Teil der
ches Datawarehouse mit Prüfungsdaten bis Mission wahrgenommen zu werden.
hin zur Vertragsanalyse mit KI im Rechtsbe-
reich spannt sich hier der Bogen.
4
Von Berufseinsteigern erwarten Sie bei wicklung, z. B. über Seminare zur Gesprächs- zuentwickeln und zu schärfen, weil die neu-
manchen Ihrer Stellenausschreibungen führung, zum Zeitmanagement oder zur en Geschäftsmodelle beim Mandanten sonst
ausgeprägte IT-Affinität. Warum ist die Rolle der Führungskraft etc., im Blick. Unsere nicht mehr prüfbar sind. Hoher Integrations-
se wichtig in der Wirtschaftsprüfung? Ausrichtung liegt auf langfristigen Arbeits- grad über verschiedene Plattformen und
beziehungen zu unseren Mitarbeitern. Unser Massentransaktionen – das ist die große
Die Informationsverarbeitung bildet die Ausbildungsprogramm läuft nicht nur weni- Herausforderung und der stellt sich die Bran-
Grundlage digitaler Geschäftsprozesse und ge Wochen, sondern erstreckt sich konzepti- che im Allgemeinen und Ebner Stolz im
damit auch die Grundlage sowohl der Bilanz onell über mehrere Jahre hinweg. Die Ausbil- Besonderen.
als auch der Steuererklärung. In unserer dungsmodule bauen aufeinander auf und
Branche ist inzwischen absolutes Teamwork werden durch individuelle Förder- und Aus- Für welche Digital Talents mit ausge
zwischen Wirtschaftsprüfern, Steuerbera- bildungsmaßnahmen ergänzt. Gerade diese prägtem IT-Know-how ist Ebner Stolz
tern und sogar Rechtsanwälten angesagt. So Kombination aus Langfristigkeit, Kontinuität der passende erste Arbeitgeber und
wie wir von unseren IT-Revisoren betriebs- und Individualität kommt bei unseren Mit welches Versprechen können Sie denje
wirtschaftliches, steuerliches und zum Teil arbeitern sehr gut an. nigen machen, die bei Ihnen ihre Karrie
rechtliches Basiswissen erwarten, erwarten re starten?
wir von den anderen Bereichen IT-Kenntnis- Gibt es spezielle Möglichkeiten für Ba
se. Man muss die Probleme insgesamt ver- chelor-Absolventen der Informatik, die Für diejenigen, die sich auch in Zukunft stän-
stehen, um sie dann im Team zu lösen. mit einem berufsbegleitenden Master dig persönlich und fachlich weiterentwickeln
studium ihr Profil stärken möchten? wollen, die kreativ sind, über den Tellerrand
Gerade wenn man als Informatiker noch hinausschauen wollen und das große Ganze
keine Berührungspunkte mit Prüfung Ein hoher Grad an Individualität ist Bestand- nicht aus dem Blick lassen. Für alle, die Vielfalt
hatte, ist eine fundierte Weiterbildung teil unserer Unternehmens-DNA. Deshalb in der täglichen Aufgabenstellung lieben, ist
elementar. Welche Angebote haben Sie unterstützen wir spezielle berufsbegleiten- Ebner Stolz der richtige Arbeitgeber. Ein Ver-
für Ihre neuen Mitarbeiter? den Konzepte, sei es ein Masterstudium, sprechen fällt mir insofern besonders leicht:
eine Doktorarbeit oder ein thematisch nahe- Es wird niemals langweilig!
In der IT-Revision werden vier wesentliche liegendes Zweitstudium. Für all das entwi-
Kenntnisbereiche erwartet. Das sind zu- ckeln wir gemeinsam mit dem Mitarbeiter
nächst die Themen Informationstechnologie, eine Lösung, sei es durch abweichende
Betriebswirtschaft und Prüfungswesen. Der Arbeitszeitmodelle oder andere Formen der
vierte Kenntnisbereich betrifft den Umgang Unterstützung. Aber unsere Flexibilität endet
mit Mandanten. Absolventen oder andere nicht beim Thema Ausbildung. Da wir aus
Bewerber mit eher geringer Berufserfahrung einer langfristigen Perspektive kommen, wis-
haben je nach Ausbildung in der Regel in ei- sen wir, dass Mitarbeiter auch besondere
nem oder mehreren der Bereiche noch Lebensphasen nach der Ausbildung haben,
Kenntnislücken. Dies ist eine Situation, die in denen Bedarf nach flexiblen Regelungen
wir sehr gut und seit langem kennen und besteht, etwa wenn Kinder kommen und
auch erwarten! Deshalb stecken wir sehr viel noch klein sind oder aber nahestehende Holger Klindtworth
Zeit, Geld und Energie in die ergänzende Personen gepflegt werden müssen. Auch Partner bei Ebner Stolz in Hamburg
Ausbildung unserer Mitarbeiter. Dies ge- hierfür haben wir passende Modelle.
schieht im Rahmen unserer Ebner Stolz Aka-
demie und einem individuellen Förder- und Was denken Sie, an welchen Stellen die
Ausbildungsprogramm für jeden Mitarbeiter. Wirtschaftsprüfung in den kommenden
Jahren den größten Digitalisierungs
Welches Konzept steht dahinter? schub bekommen wird und welches sind
die Treiber dieser Entwicklung?
Das Konzept der Akademie basiert zum
einen auf einer breiten fachlichen Ausbil- Wie heißt es so schön: „Daten sind das neue
dung in den klassischen Themen rund um Gold oder auch Öl“ – das macht natürlich
Prüfung und Beratung, zum anderen hat die auch vor der Wirtschaftsprüfung nicht Halt.
Akademie auch die persönliche Weiterent- Es gilt, die eigenen Datenwerkzeuge weiter-
5
novus IT & WIRTSCHAFTSPRÜFUNG
Post-COVID und die neue (Prüfungs-)Realität
Frei nach dem Motto „wir können, wenn wir den seit Beginn der neuerlichen Home-Office- te-Audits hervorgehen. Die Methodik soll die
müssen“ wurden sämtliche Prüfungen seit Kultur merklich spürbaren globalen Engpass an herkömmliche Prüfung mit physischer Präsenz
dem Frühjahr 2020 erfolgreich im Remote- Halbleitern als Beispiel heran, wird die Zeit als nicht gänzlich ersetzen, vielmehr diese für alle
Ansatz durchgeführt. Unter dem Deckmantel Schlüsselfaktor greifbar. Unter der Prämisse, beteiligten Parteien effizient ergänzen.
des Notfallprozesses konnten bereits laufende dass sämtliche Mitarbeiter bereits über das
sowie geplante Prüfungen aber auch Neuman- notwendige technische Verständnis verfügen, Der unfreiwillige Umstieg auf Remote-Auditing
date im Remote-Ansatz erfolgen. Die anfängli- die Geräte ortsunabhängig nutzen zu können, bzw. die daraus gewonnen Erfahrungen soll-
che Skepsis, sowohl bei uns als auch bei den steht und fällt die Unternehmung mit der ten in künftige Modellüberlegungen einflie-
Mandanten, wurde durch gemeinsame Kraft Bereitstellung der erforderlichen Hardware. ßen. Viel deutlicher als noch vor 18 Monaten
anstrengungen durch die Erkenntnis „geht Insb. für unsere Mandanten, die ihre Mitarbei- können nun Vor- und Nachteile, sowohl fachli-
doch (!)“ ersetzt – zumal Remote-Audits vom tenden kurzfristig ins Home-Office beordern cher als auch persönlicher Natur, abgewogen
Grundsatz her keine wirkliche Innovation dar- mussten, wirkte sich die Knappheit an Halblei- werden. Die Durchführung von Prüfungen
stellten. tern sowie das Auftun technischer Grenzen kann nicht zuletzt aufgrund des niedrigeren
besonders negativ aus. Die Konsequenzen für organisatorischen Aufwands noch flexibler
Nichtsdestotrotz ist es ein Unterschied, ob man das Remote-Audit sind unverkennbar. und individueller an die jeweiligen Bedürfnisse
Webmeetings aufgrund ihrer Vorteile durch- der Kunden und Erfordernisse der Prüfungen
führt, wie Zeit- und Kostenersparnisse oder Mit dem Austausch sensibler Daten unter Ein- angepasst werden. Auf die gemachten Erfah-
einer erhöhten Flexibilität, oder ob man schlicht haltung der rechtlichen Rahmenbedingungen, rungen und gewonnen Erkenntnisse sollte
keine andere Wahl hat. Nachteile können nicht welche insb. die Wahrung von Sicherheit und wohlüberlegt aufgebaut werden.
ausbleiben, wenn die Notwendigkeit des Vertraulichkeit umfassen, geht die besonnene
Abwägens etwaiger Vor- und Nachteile nicht Wahl eines geeigneten Kollaborations-Tools Das viel propagierte „gemeinsam durch die
besteht und eine (zielführende) Durchführung einher. Ungeachtet der technischen Infrastruk- Krise“-Credo sollten wir nun umwandeln, in
unter geänderten Rahmenbedingungen alter- tur stellt die Umstellung eines „physischen“ ein gemeinsames Gestalten der post-COVID-
nativlos ist. Audits auf das Remote-Audit auch eine nicht Zeit und der damit verbundenen Chancen
zu unterschätzende Gewöhnungsphase für eines neuen Miteinanders (auch) im Prüfungs-
Wenngleich vereinzelte Aspekte für sich ge- alle beteiligten Parteien dar. alltag.
nommen ohne Weiteres als überwindbare Hür-
den wahrgenommen werden, können sich Dennoch wissen wir nun einmal mehr „wir „Wir können, wenn wir wollen“ ist heute „Wir
diese unter der Einwirkung des Faktors Zeit können, wenn wir müssen“; aber vielleicht wollen, weil wir können“!
überproportional nachteilig auf das Audit aus- „wollen“ wir ja in Zukunft. Ein Perspektiv-
wirken. Dies gilt sowohl aufseiten des Prüfers wechsel zeigt, dass sich vorerst nachteilig ge-
ebenso wie auf der des Geprüften. Ohnehin glaubte Charakteristika nun als Vorteile her-
sollten die Nachteile des Umstiegs auf das ausstellen und sich insb. auch als solche
Remote-Audit, der gewissermaßen nach dem ausschöpfen lassen. Folglich können die ge-
Big-Bang-Ansatz erfolgte, vor dem Hinter- wonnenen Erkenntnisse und Erfahrungen
grund betrachtet werden, dass Audits auch vor nicht nur als kurz- bis mittelfristige Notwendig-
der Pandemie schon unter enormem Zeitdruck keit gesehen werden. Vielmehr kann aus ihnen
und eng getaktet erfolgten. Zieht man etwa ein langfristig erfolgreiches Konzept für Remo-
6
BMF – Einjährige Nutzungsdauer bei Computerhardware
und Software
Das Bundesfinanzministerium (BMF) hat am Anders als noch im Entwurfsschreiben vom Eine Verkürzung der Nutzungsdauer von
26.02.2021 ein Schreiben zur Nutzungs- Januar 2021 wird in dem finalen Schreiben Hard- und Software durch den zunehmenden
dauer von Computerhardware und Software nicht mehr ausgeführt, dass die Anschaffungs- technologischen Wandel lässt sich nicht be-
veröffentlicht und räumt darin die Möglich- bzw. Herstellungskosten infolge der einjähri- streiten, allerdings würde eine Sofortabschrei-
keit einer einjährigen, statt bisher dreijähri- gen Nutzungsdauer im Jahr der Anschaffung bung regelmäßig nicht dem tatsächlichen
gen, Nutzungsdauer ein (Az. IV C 3 – bzw. Herstellung vollständig abzuschreiben Nutzungsverlauf dieser Vermögensgegenstän-
S 2190/21/10002 :013). Das Ziel der Neurege- wären. Da aber eine Verteilung der Anschaf- de entsprechen.
lung besteht in der Anpassung der Abschrei- fungs- und Herstellungskosten im Wege der
bung an die tatsächlichen Wertverhältnisse, Abschreibung nur für Wirtschaftsgüter mit Die Zugrundelegung einer tatsächlichen be-
da infolge des raschen technischen Fortschritts einer Nutzungsdauer von über einem Jahr vor- triebsgewöhnlichen Nutzungsdauer von mehr
ein immer schnellerer Wandel entsteht. Auch zunehmen ist, könnte es hier dennoch zu als einem Jahr für Zwecke der Handelsbilanz
im Sinne der Digitalisierung soll an dieser Stelle einem Sofortabzug der Anschaffungs- und führt nicht dazu, dass nach dem Grundsatz
durch die Neuregelung eine zusätzliche steu- Herstellungskosten kommen (vgl. H 7.4 „Nut- der Maßgeblichkeit die steuerliche Mög-
erliche Förderung gewährt werden. zungsdauer“ EStH sowie z. B. Schnitter in lichkeit der Zugrundelegung einer fiktiven
Frotscher/Geurts, EStG, § 7, Rz. 263). betriebsgewöhnlichen Nutzungsdauer von
Steuerbilanzielle Auswirkungen einem Jahr ins Leere läuft. Wird in der Steuer-
Die Anwendung ist für Geschäftsjahre vorge- bilanz von der einjährigen Nutzungsdauer
Der Anwendungsbereich des BMF-Schreibens sehen, die nach dem 31.12.2020 beginnen. Gebrauch gemacht, kommt es folglich zu
umfasst sowohl Computerhardware als auch Restbuchwerte früher angeschaffter oder einer Durchbrechung der Maßgeblichkeit
Software. Zu Computerhardware gehören hergestellter (digitaler) Wirtschaftsgüter, bei der Handelsbilanz für die Steuerbilanz. Als
nach Auffassung des BMF neben (Desktop- denen bislang eine längere Nutzungsdauer Resultat aus den unterschiedlichen Wertansät-
und Notebook-) Computern z. B. auch Desk- berücksichtigt wurde, können in Gewinner- zen ergibt sich (bei isolierter Betrachtung
top-Thin-Clients, mobile Workstations oder mittlungen nach dem 31.12.2020 vollständig des Sachverhalts) in der Handelsbilanz das
Peripherie-Geräte. Die Anwendung der einjäh- abgeschrieben werden. Erfordernis des Ausweises passiver latenter
rigen Nutzungsdauer bei bestimmten Compu- Steuern.
tern setzt allerdings voraus, dass der Hersteller Handelsrechtliche Auswirkungen
einer Kennzeichnungspflicht nach der EU-
Verordnung Nr. 617/2013 vom 26.06.2013 Das veröffentlichte BMF-Schreiben betrifft die
zur Umsetzung der Ökodesign-Richtlinie Steuerbilanz und ist demnach nicht auf die
2009/125/EG vom 21.10.2009 unterliegt. Handelsbilanz anzuwenden. Der Fachaus-
schuss Unternehmensberichterstattung (FAB)
Unter den Begriff der Software fallen sowohl des IDW stellte in einer außerordentlichen
Betriebs- als auch Anwendersoftware zur Sitzung im März dieses Jahres zudem klar,
Dateneingabe und -verarbeitung, was u. a. dass er die Zugrundelegung einer Nutzungs-
auch eine ERP-Software oder sonstige Anwen- dauer von nur einem Jahr für die begünstigten
dungssoftware zur Unternehmensverwaltung digitalen Investitionen für handelsbilanzielle
oder Prozesssteuerung umfasst. Zwecke regelmäßig als nicht zulässig erachtet.
7
novus IT & WIRTSCHAFTSPRÜFUNG
Prüfung des IT-Notfallmanagement – (nicht nur) aus Sicht
der BAIT
Business Continuity Management bzw. Not- Im Rahmen der Reihe „Notfallkonzept“ ver- Aufgrund der Bedeutung und der weitrei-
fallmanagement stellt viele Unternehmen weisen wir auf die dreiteilige Reihe in unse- chenden Konsequenzen der zu treffenden
vor ernsthafte Herausforderungen, da dies rem novus IT 2019, Ausgaben 1 bis 3: Entscheidungen muss der Prozess „Notfall-
grundlegende prozessuale Einschnitte bedeu- management“ von der obersten Leitungs-
tet sowie konkrete Maßnahmen bedarf, die ff
Ausgabe 1/2019: Hintergrund bzw. der ebene der Unternehmen initiiert, gesteuert
im gesamten Unternehmen umzusetzen sind. Weg hin zu einem Notfallkonzept und kontrolliert werden.
Dafür stellt das Notfallmanagement aber ff
Ausgabe 2/2019: Beschreibung von Maß-
auch die Aufrechterhaltung des Geschäfts nahmen zur Aufrechterhaltung des Not- Die Verfahren für den Notbetrieb umfassen
betriebes in Krisensituationen sicher. Eine fallkonzeptes organisatorische Regelungen zur Wiederher-
wesentliche Voraussetzung dafür ist die ff
Ausgabe 3/2019: Aufbau eines (IT-) Not- stellung der Betriebsbereitschaft und reichen
jederzeitige Verfügbarkeit der IT-Systeme. fallhandbuches (praxisbezogene Umset- von Maßnahmen bei Systemstörungen (Wie-
Aus diesem Grund fordern sowohl u. a. das zung). deranlaufkonzepte) bis hin zu Konzepten bei
Institut der Wirtschaftsprüfer e. V. (IDW), einem vollständigen Ausfall des IT-Systems
das Bundesamt für Sicherheit in der Informa- Die Ausführungen, die sich im Folgenden (Katastrophenfall-Konzept).
tionstechnik (BSI), die ISO/IEC 2700x als auch insb. aus Anforderungen der MaRisk und
die Mindestanforderungen an das Risikoma- den BAIT ergeben, können ebenfalls auf Weiter sind Notfallhandbücher vorzuhalten
nagement (MaRisk), Vorkehrungen für einen Unternehmen übertragen werden, die nicht und die betroffenen Mitarbeiter in den Maß-
Notbetrieb zu treffen. Ein Ausfall wesentli- den bankaufsichtlichen Anforderungen un- nahmen zu schulen. Die definierten Maßnah-
cher IT-Anwendungen ohne kompensierende terworfen sind. Berücksichtigt wird dabei men haben den Bedürfnissen des Unterneh-
Notfallstrategien und kurzfristige Ausweich- die Konsultationsfassung der BAIT aus 2020. mens zu entsprechen. Ferner sind die
möglichkeit (Anforderung der Bankaufsichtli- Es ist davon auszugehen, dass diese nach Ver- Notfalllösungen regelmäßig zu testen und
che Anforderungen an die IT (BAIT)) kann abschiedung ebenfalls auf die Konsultations- der geordnete Wiederanlauf der einzelnen
materielle und immaterielle Vermögensschä- fassungen der Kapitalverwaltungsaufsichtli- Systeme in der von der Unternehmensleitung
den nach sich ziehen und stellt einen wesent- che Anforderungen an die IT (KAIT) und vorgegebenen Zeit sicherzustellen (Testse-
lichen Mangel der Buchführung dar. Versicherungsaufsichtliche Anforderungen quenz).
an die IT (VAIT) übertragen werden.
8Ergänzend erwähnen die MaRisk das Erfor- Der Begriff des Notfallmanagements fordert ff
Ist das verantwortliche (IT-)Personal ent-
dernis, dass die Notfallkonzepte des Instituts gemäß dem BSI-Standard „100-4 Notfall- sprechend geschult und sensibilisiert?
und des Auslagerungsunternehmens aufein- management“ definierte Leitlinien zum Not- ff
Wie werden durchgeführte Wiederan-
ander abzustimmen sind. fallmanagement, Rollenbeschreibungen mit laufprozeduren dokumentiert und ausge-
Aufgaben, Rechten und Pflichten, eine Über- wertet?
Bisher war in den BAIT der Themenkom - sicht über Ressourcen-Anforderungen und ff
Welche IT-Sicherheitsmaßnahmen sind
plex des Notfallbetriebs keinem eigenen deren Bereitstellung sowie Notfallkonzepte festgelegt?
Abschnitt zugeordnet. Vielmehr fand der nebst Notfallhandbuch (Anleitung zur Bewäl- ff
Wie werden Sicherheitsvorfälle festgehal-
Begriff des Notfallmanagements in den Ab- tigung des Notfalls). ten und Maßnahmen aus diesen abgelei-
schnitten „IT-Strategie“ und „Auslagerungen tet?
und sonstiger Fremdbezug von IT-Dienstleis- Darüber hinaus stellt der Standard klar, dass
tungen“ Anwendung. Die Konsultationsfas- das Notfallmanagement einen kontinuierli-
sung aus Oktober 2020 der BAIT enthält nun chen Verbesserungsprozess darstellt, der die
einen gesonderten Abschnitt zum IT-Notfall- Maßnahmen und Konzepte hinterfragt sowie Abgeleitete Fragen aus BAIT und MaRisk
management. auch die Sensibilisierung und Schulung der
Mitarbeiter vorsieht. ff
Welche Ziele des Notfallmanagements
Gemäß der BAIT und MaRisk müssen Ziele wurden definiert? Wurden Schnittstel-
zum Notfallmanagement definiert und dar- Die folgende Aufstellung gibt Ihnen einen len zu anderen Bereichen (z. B. Risiko-
auf aufbauend ein Notfallmanagementpro- Überblick, welche Prüfungsfragen im Rah- management, Informationssicherheits-
zess implementiert werden. Für Aktivitäten men der IT-Revision durch den Jahresab- management) berücksichtigt?
und Prozesse, bei deren Beeinträchtigung für schlussprüfer oder die Interne Revision hin- ff
Wurden zeitkritische Aktivitäten und Pro-
definierte Zeiträume ein nicht mehr akzepta- sichtlich des IT-Notfallmanagements relevant zesse definiert und finden diese Berück-
bler Schaden zu erwarten ist, ist ein Notfall- sein könnten. Weiterhin bieten sie ergänzend sichtigung im Notfallmanagement?
konzept zu erstellen. zu den oben genannten Standards, z. B. vom ff
Welche Regelungen sind für den Not-
BSI oder aus der Informationssicherheit, eine betrieb und zur Wiederherstellung der
Des Weiteren sind auf Basis des Notfallkon- gute Grundlage für eine Selbsteinschätzung, Betriebsbereitschaft getroffen? Liegen
zeptes für diejenigen Systeme, welche zeitkri- z. B. zur Prüfungs- oder Zertifizierungsvorbe- Wiederanlaufkonzepte für Systemstörun-
tische Aktivitäten und Prozesse unterstützen, reitung, oder als Unterstützung für eine Rei- gen und den vollständigen Ausfall des IT-
IT-Notfallpläne auszuarbeiten. Die Wirksam- fegradbestimmung. Systems (Katastrophenfall-Konzept) vor?
keit der Pläne ist mindestens jährlich zu ff
Werden Notfallhandbücher mit definier-
überprüfen und das Notfallkonzept gemäß Ausgewählte Prüfungsfragen zum Not ten Maßnahmen, die den Bedürfnissen
MaRisk anlassbezogen zu aktualisieren. Die fallmanagement: des Instituts entsprechen, vorgehalten?
Geschäftsleitung ist dazu aufgefordert, sich ff
Werden die definierten Notfalllösungen
mindestens quartalsweise- oder anlassbezo- ff
Nimmt die oberste Leitungsebene des regelmäßig getestet, um den anforde-
gen über den Zustand des Notfallmanage- Unternehmens eine angemessene Rolle rungsgerechten Wiederanlauf der einzel-
ments schriftlich berichten zu lassen. (Initiieren, Steuern und Kontrollieren) im nen Systeme sicherzustellen?
Notfallmanagement ein? ff
Sind die Notfallkonzepte des Instituts
Nach den BAIT besteht darüber hinaus die ff
Ist ein Notfallmanagementprozess, der und die der Auslagerungsunternehmen
Anforderung nachzuweisen, dass bei einem die Notfallvorsorge, die Notfallbewälti- für Auslagerungen und auch sonstigen
Ausfall des Rechenzentrums die zeitkritischen gung und die Notfallnachsorge umfasst, Fremdbezug aufeinander abgestimmt?
Aktivitäten und Prozesse aus einem ausrei- definiert? ff
Können zeitkritische Aktivitäten und Pro-
chend entfernten Rechenzentrum für eine ff
Wurde eine Klassifizierung/Kategorisie- zesse bei Ausfall eines Rechenzentrums in
angemessene Zeit sowie für die Wieder- rung der Systeme nach ihrer Wichtigkeit einem Ausweichrechenzentrum erbracht
herstellung des IT-Normalbetriebs erbracht für den Geschäftsbetrieb durchgeführt? werden?
werden können. ff
Ist ein IT-Notfallkonzept sachgerecht ff
Sind die Leitlinie zum Notfallmanage-
umgesetzt und wird dieses kontinuierlich ment, die Notfallkonzepte und -handbü-
angepasst? cher (Anleitung zur Bewältigung des
ff
Sind hier u. a. auch wesentliche IT-Kon- Notfalls) kommuniziert und zugänglich?
takte und Ansprechpartner von IT-Dienst- ff
Unterliegt das Notfallmanagement einem
leistern und Lieferanten festgehalten? kontinuierlichem Review- und Verbesse-
Sind Verhaltensweisen und Prozesse für rungsprozess?
(IT-)Notfälle definiert?
9novus IT-RECHT
Neue EU-Standardvertragsklauseln für internationale
Datentransfers
Die Europäische Kommission hat am Die bisherigen Standardvertragsklauseln, Eine weitere Vereinfachung ergibt sich durch
04.07.2021 die finale Version der neuen zuletzt aktualisiert im Jahr 2010, waren die Aufnahme der notwendigen Regelungen
„EU-Standardvertragsklauseln“ für die Über- jedoch noch ein Relikt aus der Zeit vor einer Vereinbarung zur Auftragsverarbeitung
mittlung personenbezogener Daten ins Inkrafttreten der Datenschutzgrundver- (Art. 28 DSGVO). Während unter Geltung
EU-Ausland veröffentlicht. Mit den neuen ordnung (DSGVO) und bedurften dringend der alten Standardvertragsklauseln zwischen
EU-Standardvertragsklauseln sollen interna- einer Modernisierung, nicht zuletzt im Nach- Datenexporteur und Datenimporteur jeweils
tionale Datentransfers vereinfacht und die gang zu dem EuGH-Urteil „Schrems-II“ zum noch gesonderte Auftragsverarbeitungsver-
Anforderungen der Schrems-II-Entscheidung internationalen Datentransfer. Dem ist die träge geschlossen werden mussten, sind die
berücksichtigt werden. Unternehmen sind EU-Kommission durch Verabschiedung hierfür erforderlichen Vorschriften in den
zur Umsetzung der neuen Vertragsbedingun- neuer Standardvertragsklauseln nun nach- neuen Standardvertragsklauseln bereits ent-
gen verpflichtet und sollten sich rechtzeitig gekommen. Die neuen Standardvertrags- halten. Darüber hinaus haben Dritte nun-
mit den neuen Regelungen vertraut machen. klauseln sollen vor allem bestehende An- mehr die Möglichkeit, einer zwischen Impor-
Absolute Rechtssicherheit für internationale wendungslücken schließen und die seit teur und Exporteur bereits existierenden
Datenübermittlungen können die neuen geraumer Zeit geforderte Vereinheitlichung Vereinbarung, die auf Grundlage der neuen
Standardvertragsklauseln aber nicht bieten. mit den Regelungen der DSGVO schaffen. Standardvertragsklauseln geschlossen wur-
de, beizutreten. Dies dürfte gerade bei
Hintergrund Modularer Aufbau und Ersatz von komplexen Mehrparteienverträgen zu einer
Auftragsverarbeitungsvereinbarungen Vereinfachung führen.
Die EU-Standardvertragsklauseln sind das
in der Praxis mit Abstand am häufigsten Eine wesentliche Neuerung ist der modulare Berücksichtigung der Schrems-II-
verwendete Instrument für die Übermittlung Aufbau des Vertragswerks. Insgesamt wird Entscheidung
personenbezogener Daten in Länder außer- es nunmehr vier verschiedene Module der
halb der EU bzw. des EWR (sog. Drittländer). Standardvertragsklauseln geben: Neben einem erweiterten Anwendungs
Nahezu jedes Unternehmen hat in der Ver- bereich sollen durch die neuen EU-Standard-
gangenheit bei internationalen Datentrans- ff
Modul 1: Datenübermittlungen zwischen vertragsklauseln auch die Anforderungen
fers bereits auf die EU-Standardvertragsklau- zwei Verantwortlichen der im letzten Jahr ergangenen sog.
seln zurückgegriffen, sei es ganz bewusst ff
Modul 2: Datenübermittlungen von Ver- „Schrems-II-Entscheidung“ berücksich-
durch gesonderte Vereinbarung oder aber antwortlichen an Auftragsverarbeiter tigt werden, die für viele Unternehmen
durch die Akzeptanz Allgemeiner Geschäfts- ff
Modul 3: Datenübermittlungen von Auf- nach wie vor eine gewaltige Herausfor
bedingungen, in denen die Standardver- tragsverarbeitern an (Unter-)Auftragsver- derung darstellt. Der EuGH hatte in sei-
tragsklauseln bereits integriert sind. Gerade arbeiter nem „Schrems-I-Urteil“ vom 16.07.2020
bekannte US-Provider wie Amazon, Google ff
Modul 4: Datenübermittlungen von Auf- (Rs. C-311/18) festgestellt, dass Datenüber-
und Facebook beziehen Standardvertrags- tragsverarbeitern an Verantwortliche. mittlungen in die USA nicht länger auf
klauseln regelmäßig in ihre AGB mit ein, so- Grundlage des Privacy Shields erfolgen kön-
dass diese bei Vertragsschluss automatisch Die letzten beiden Konstellationen waren nen und der Einsatz von EU-Standardver-
mit vereinbart werden. bislang nicht von den Standardvertragsklau- tragsklauseln bei Datenübermittlungen in
seln umfasst und mussten in der Praxis durch Drittländer nur noch unter Verwendung
umständliche Alternativen gelöst werden. wirksamer zusätzlicher Maßnahmen erfol-
Die Erweiterung ist daher sehr begrüßens- gen darf, die ein dem Schutz personen-
wert. bezogener Daten innerhalb der EU gleich-
10wertiges Niveau sicherstellen (mehr dazu vorgehen und die eigenen Abwehrmaßnah- Aber auch unabhängig von der Schrems-II-
lesen Sie unter www.ebner.stolz.de, Stich- men umfassend dokumentieren müssen. Problematik ergibt sich aufgrund der neuen
wort „Privacy Shield“. Unklar ist bisweilen jedoch, wer die dadurch Standardvertragsklauseln Handlungsbedarf:
entstehenden Kosten zu tragen hat. Bei allen neu geschlossenen Verträgen
Die neuen EU-Standardvertragsklauseln müssen nach Veröffentlichung des Annah-
sehen vor diesem Hintergrund vertragliche Fazit und Handlungsempfehlung mebeschlusses im Amtsblatt der EU die
Regelungen vor, die sowohl das datenexpor- neuen Standardvertragsklauseln berücksich-
tierende als auch das importierende Unter- Die neuen Standardvertragsklauseln enthal- tigt werden. Für alle bestehenden Verträge
nehmen verstärkt in die Pflicht nehmen. So ten längst überfällige Anpassungen an die gilt eine Frist von 18 Monaten, innerhalb der
reicht es für Datenübermittlungen in Dritt- DSGVO und schaffen durch den modularen alle bestehenden Standardvertragsklauseln
länder künftig ausdrücklich nicht mehr aus, Aufbau in Verbindung mit der Beitrittsmög- durch die neuen Standardvertragsklauseln
sich alleine auf die Standardvertragsklauseln lichkeit zu bestehenden Verträgen einen ersetzt werden müssen. Betroffene Unter-
zu berufen, ohne zuvor geprüft zu haben, ob deutlich flexibleren Rechtsrahmen für die nehmen sollten sich daher schnellstmöglich
der vertraglich vorgesehene Schutz perso- Übermittlung personenbezogener Daten in mit den neuen Vertragsbedingungen ver-
nenbezogener Daten im jeweiligen Drittland Drittländer. Gleichwohl können auch die traut machen, die entsprechenden Altverträ-
auch tatsächlich gewährleistet werden kann. neuen Standardvertragsklauseln die beste- ge identifizieren und für eine fristgerechte
Insoweit bleibt es den exportierenden Unter- hende Rechtsunsicherheit infolge der Umstellung sorgen.
nehmen auch unter Geltung der neuen Stan- Schrems-II-Entscheidung nicht vollständig
dardvertragsklauseln nach wie vor nicht beseitigen. Die erweiterten vertraglichen
erspart, das Datenschutzniveau im jewei Schutzmaßnahmen können insoweit für sich
ligen Drittland zu überprüfen und bei Be- genommen keine Übermittlung personenbe-
darf zusätzliche Maßnahmen zu ergreifen zogener Daten in Drittländer rechtfertigen,
(„Datentransfer-Folgenabschätzung“).Um- in denen das Datenschutzniveau nicht dem
gekehrt ist der Datenimporteur dazu ver- der EU entspricht. In diesen Fällen sollten
pflichtet, sich gegen unverhältnismäßige Be- Unternehmen nach wie vor eine gründliche
hördenanfragen, die den Anforderungen der Risikoanalyse durchführen, zusätzliche Maß-
DSGVO widersprechen, zu verteidigen und nahmen in Betracht ziehen und die Ergebnis-
den Datenexporteur hierüber zu informie- se der Datentransfer-Folgenabschätzung
ren. Anschließend muss der Datenexporteur dokumentieren. Andernfalls drohen auf-
selbst entscheiden, ob eine Datenübermitt- sichtsrechtliche Sanktionen, zumal einige
lung weiterhin stattfinden kann und die deutsche Aufsichtsbehörden erst vor Kurzem
zuständige Aufsichtsbehörde über die Ent- in diesem Zusammenhang gemeinsam abge-
scheidung in Kenntnis setzen. Die Pflicht stimmte Kontrollen angekündigt haben.
zur Abwehr von Regierungsanfragen geht
sogar so weit, dass Datenimporteure gegen
entsprechende Behördenzugriffe gerichtlich
11novus IT-RECHT
Elektronische Signaturen – Digitalisierung
von Zeichnungsprozessen im Geschäftsalltag
Viele Unternehmen und Institutionen stehen gen national im Signaturgesetz umgesetzt. diesem können sich Formerfordernisse erge-
vor der Herausforderung, bestehende Work- Mittlerweile greift mit der Verordnung über ben, die bei der Wahl der Signatur aus-
flows unter Einsatz elektronischer Signatu- elektronische Identifizierung und Vertrau- schlaggebend sind. Qualifizierte elektroni-
ren zu digitalisieren. Die daraus resultieren- ensdienste (eIDAS-VO) eine europaweite sche Signaturen stehen der klassischen
den Fragen greifen wir auf und geben Regelung. handschriftlichen Unterschrift gleich.
Handlungsempfehlungen für die Praxis.
Das europäische Signaturrecht Zu beachten ist, dass im internationalen
Hintergrund Kontext das Recht desjenigen Staates gilt, in
Seit dem 01.07.2016 findet die eIDAS-VO welchem die Signatur zur Anwendung kom-
Zunächst stellt sich die Frage, was unter unmittelbare Anwendung und gilt somit men soll. Welche Signaturform im jeweiligen
einer „digitalen Unterschrift“ zu verstehen unmittelbar in allen Mitgliedstaaten der Staat erforderlich ist, sollte im Einzelfall
ist. Eine digitale Unterschrift stellt rechtlich Europäischen Union. Zur Feststellung des geprüft werden.
betrachtet eine elektronische Signatur dar. erforderlichen Signaturlevels muss aber auch
Früher waren die entscheidenden Regelun- das nationale Recht beachtet werden. Aus
12Die drei Stufen der digitalen Signatur Die dritte und höchste Stufe stellt die quali- Es können jedoch auch Besonderheiten
fizierte Signatur dar. Nur diese erfüllt die bestehen, denn einige Dokumente können
Es bestehen drei Stufen der digitalen Signa- Schriftform gemäß § 126 in Verbindung nicht rechtlich wirksam elektronisch signiert
turen. Dies sind die „einfache Signatur“, die mit § 126a Bürgerliches Gesetzbuch (BGB). werden. Hierzu gehören Dokumente, die
„fortgeschrittene Signatur“ und die „qualifi- Damit kommt ihr dieselbe Rechtswirkung zu notariell beglaubigt werden müssen, Kündi-
zierte Signatur“. Je höher die Signaturstufe wie einer handschriftlichen Unterschrift. Bei gungen und Auflösungsverträge zur Beendi-
ist, desto höher sind die an sie gestellten der qualifizierten Signatur lässt sich der Inha- gung des Arbeitsverhältnisses, Arbeitszeug-
technischen Anforderungen. ber der Signatur eindeutig zuordnen, da nisse sowie Bürgschaftserklärungen und
die Authentifizierung z. B. über PostIdent, abstrakte Schuldanerkenntnisse, soweit es
Die erste Stufe stellt die einfache Signatur als VideoIdent oder eine Online-Ausweisfunk- sich nicht um Handelsgeschäfte handelt.
schwächste Form der Signatur dar. Dement- tion stattfindet. Zudem wird ein qualifiziertes
sprechend sollte sie nur genutzt werden, Zertifikat verwendet, welches von einem Fazit und Handlungsempfehlungen
wenn bei der Verwendung nur ein geringes Vertrauensdienstanbieter ausgestellt wird.
rechtliches Risiko besteht. Die einfache Sig- Auch dies ist an den Attributen im PDF- Rechtsgrundlage für elektronische Signa-
natur stellt keinerlei Anforderungen an die Dokument erkennbar. Dort findet sich bspw. turen ist die eIDAS-VO, die unmittelbar in
Identifizierung des Unterzeichners und ist die Formulierung „Unterschrieben von allen EU-Staaten gilt. Unterschieden wer-
daher nicht fälschungssicher. Über ein Zerti- [Name]“ und „Vertrauensquelle wurde vom den drei Arten der elektronischen Signatur.
fikat lässt sich jedoch die Integrität des Do- [European Union Trusted Lists (EUTL)]“ verifi- Beweiskraft einer Urkunde hat nur die quali-
kuments sicherstellen, sodass es nach dem ziert sowie „Das ist eine qualifizierte elekt fizierte elektronische Signatur. Die Wahl
„Signieren“ nicht mehr abgeändert werden ronische Signatur gemäß EU-Verordnung der Form der Signatur ist abhängig von
kann. Dies ist auch an den Attributen im 910/2014“. Schriftformerfordernissen. Daher müssen die
PDF-Dokument erkennbar. im Unternehmen einschlägigen Prozesse
Was gilt es zu beachten? – Legal Best dahingehend bestimmt werden, welche
Die nächste Stufe stellt die fortgeschrittene Practices Formerfordernisse nach nationalem Recht
Signatur dar. Auch hier erfolgt keine Identi- gelten. Danach kann entschieden werden,
fikation durch ein Identifikationsdokument. Wenn ein gesetzliches oder vertraglich welche Signatur rechtlich notwendig bzw.
Für die Authentifizierung genügt eine An- vereinbartes Schriftformerfordernis vorliegt, risikoabhängig angemessen ist. Bei der Wahl
meldung via Username und Passwort, was sollte die qualifizierte elektronische Signatur des Diensteanbieters sollte eine verbindliche
ebenfalls nicht fälschungssicher ist. Dennoch verwendet werden. In allen anderen Fäl- Erklärung zur Erfüllung der gesetzlichen
vereinfacht sie die Prüfung der Gültigkeit len kann prinzipiell auf die einfache oder Norm der technischen Anforderungen ein-
der Unterschrift im Streitfall. Der Einsatz die fortgeschrittene elektronische Signatur geholt werden.
dieser Signatur ist bei einem mittleren recht- zurückgegriffen werden. Beweiskraft als
lichen Risiko angemessen. Einige Vertrauens- Urkunde im gerichtlichen Sinne hat in erster
dienstleister ziehen zusätzliche Sicherheits- Linie nur die qualifizierte elektronische Sig-
faktoren für die Authentifizierung heran, natur. Die Haftungsrisiken und das Interesse
wie z. B. die Personalausweisnummer. Das an einer Beweiswürdigung vor Gericht sind
Vorliegen dieses Signaturlevels ist auch an stets abzuwägen. Bestehen bspw. hohe
den Attributen im PDF-Dokument erkenn- Risiken, so sollten diese durch eine entspre-
bar. Dort findet sich bspw. die Formulierung chend höhere Signaturstufe abgesichert
„Unterschrieben von [Name]“ und „Vertrau- werden.
ensquelle wurde vom [Adobe Approved
Trust List (AATL)]“ verifiziert.
13novus IT-SICHERHEIT
Informationssicherheit: Zertifizierung durch
die ESecurity-CERT GmbH
Regulatorien, u. a. des Gesetzgebers, der ISO/IEC-Normen sind weltweit anerkannte Die ESecurity-CERT ist eine bei der Deut-
Wettbewerb, Kunden und nicht zuletzt das Standards. Sie bieten einen systematischen schen Akkreditierungsstelle GmbH (DAkkS)
eigene Risikobewusstsein führen dazu, dass sowie strukturieren Ansatz und haben so den akkreditierte Konformitätsbewertungsstelle,
sich Unternehmen verstärkt den umfassen- Vorteil, dass bspw. eine Zertifizierung in der die rechtskräftig Zertifizierungen nach DIN
den Anforderungen zur Informationssicher- Informationssicherheit nach DIN EN ISO/IEC EN ISO/IEC 27001:2017-06 vornehmen
heit stellen. Im Vorteil ist, wer die Umsetzung 27001:2017-06 weltweit Anerkennung fin- kann. Eine Akkreditierung bei der DAkkS ist
mit einer Zertifizierung auch nachweisen det. Grundvoraussetzung, um rechtskräftig zerti-
kann. fizieren zu dürfen. Weitere Akkreditierungen
Zertifizierungsdienstleistungen befinden sich bei der ESecurity-CERT bereits
Doch: Wie kann die Qualität der im Unter- in Umsetzung.
nehmen implementierten Maßnahmen zur „In Deutschland hat im Bereich der Informa-
Informationssicherheit nachvollziehbar be- tionssicherheit insb. das IT-Sicherheitsgesetz Insgesamt bildet die ESecurity-CERT folgen-
legt werden? Zertifizierungsstellen für ein- mit dazu beigetragen, dass Prüfungen nach de Bereiche ab:
zelne Standards gibt es viele. Zertifizierungs- DIN EN ISO/IEC 27001:2017 sowie § 8a KRI-
stellen, die sich im Verbund umfänglich TIS durchgeführt werden müssen“, sagt Gerd ff
Zertifizierung gemäß DIN EN ISO/IEC
mit IT-Compliance beschäftigen und damit Niehuis, Geschäftsführer der ESecurity-CERT. 27001:2017-06
die jeweils passende Lösung anbieten, sind „Es werden sich bspw. durch das IT-Sicher- ff
KRITIS-Prüfungen gemäß § 8a Abs. 3
jedoch eher selten anzutreffen. heitsgesetz 2.0, das am 28.05.2021 in Kraft BSIG für Betreiber kritischer Infrastruktu-
trat, noch einmal deutliche Änderungen ren
Ebner Stolz bietet durch den Geschäftsbe- ergeben. Die ESecurity-CERT GmbH versteht ff
Zertifizierung nach IT-Sicherheitskatalog
reich IT-Revision einerseits und die ESecurity- sich im Rahmen dessen als unbürokratisches gemäß § 11 Abs. 1a und 1b EnWG
CERT andererseits genau diese umfängliche Bindeglied zur Erreichung der Anforderungen. ff
Auditierung nach ISO 27001 auf Basis
und übergreifende Sicht auf IT-Compliance. Zertifizierungsaudits mit dem Nachweis der von IT-Grundschutz
Im Folgenden stellen wir die Bedeutung von Wirksamkeit von Managementsystemen sollen ff
Smart Meter Gateway nach TR-03109
Zertifizierungen durch eine Zertifizierungs- Nutzen für unsere Mandanten schaffen. Unser
stelle wie die ESecurity-CERT dar. Ziel ist, unsere Kompetenz in einem ganzheitli-
chen Ansatz zur Verfügung zu stellen.“
DIN EN ISO/ § 8a Abs. 3 BSIG ISO 27001 auf Basis IT-Sicherheits BSI TR-03109
IEC 27001:2017-06 (KRITIS) von IT-Grundschutz katalog
ESecurity-CERT
14„Auch zukünftig wird erwartet, bspw. im Leistungen am Beispiel einer Zertifi nuität ausgelegtes System zur Absicherung
Datenschutz, dass entsprechende Zertifizie- zierung des ISMS nach DIN EN ISO/IEC der Informationssicherheit in der Organisati-
rungen nur durch akkreditierte Stellen erfol- 27001:2017-06 on zu sehen. Es darf nicht der Fehler ge-
gen dürfen“, erläutert Marc Alexander Luge, macht werden, Informationssicherheit mit
Prokurist der ESecurity-CERT GmbH. „Daher Das Informationssicherheitsmanagementsys- dem Teilgebiet IT-Sicherheit gleichzustellen.
sind weitere Zertifizierungsangebote in Vor- tem (ISMS) wird durch die ESecurity-CERT Informationssicherheit geht über die rein
bereitung, sobald diese gesetzlich konkreti- GmbH im Hinblick auf die Identifikation, Ana- technische Absicherung hinaus und bildet
siert sind.“ lyse und Ableitung von Maßnahmen zur einen Prozess zur kontinuierlichen Verbesse-
Steuerung der Informationssicherheitsrisiken rung im Unternehmen, in Geschäftsprozes-
geprüft. sen und der IT ab.
Die Norm ISO/IEC 27001 hat sich internatio- Der Zertifizierungszyklus ist aufgrund der
nal als Standard für Informationssicherheit in Gültigkeit der Zertifikate auf drei Jahre aus-
Unternehmen und Behörden etabliert. Das gelegt. Zu Beginn ist ein formaler Antrag zur
ISMS ist als ein ganzheitliches und auf Konti- Zertifizierung durch die zu prüfende Organi-
sation zu stellen.
Im Anschluss erfolgt das Zertifizierungsaudit,
das wir im Folgenden unter Erst-/Rezertifizie-
rung darstellen. Darauf baut die Entschei-
dung über die Zertifizierung auf.
1
Durch das jährliche Überwachungsaudit, wel-
ches im zweiten und dritten Jahr erfolgt, wird
sichergestellt, dass das ISMS während der
5 2 gesamten Gültigkeitsdauer des Zertifikats
aufrechterhalten wird. Der Prüfungsumfang
Dreijähriger ist hierbei deutlich geringer als der im Rah-
Zertifizierungszyklus men des Zertifizierungsaudits angesetzte.
Der Unterschied zwischen der Erst- und
Rezertifizierung ist methodisch gering. Auf-
grund der bestehenden Zertifizierung ist der
4 3
Zeitbedarf für das Audit in der Rezertifizie-
rung i. d. R. jedoch etwas geringer als bei der
Erstzertifizierung.
Die ESecurity-CERT setzt dabei auf ein mehr-
1 Ausstellung des Zertifikats 4 Rezertifizierung stufiges Verfahren: Im ersten Schritt prüft
Drei Monate bevor sich Ihr Zertifikat der (Lead-)Auditor beim Unternehmen die
2 Überwachungsaudit zum dritten Mal jährt, werden wir Konformität eines ISMS unter Verwendung
Das erste darf nicht mehr als zwölf Sie für ein erneutes Audit besuchen. des ISO-Regelwerks und fertigt einen Report
Monate nach dem Datum der an. Dieser wird im nächsten Schritt durch
Zertifizierungsentscheidung liegen. 5 Neubeginn des Zertifizierungs- andere Mitarbeiter der ESecurity-CERT quali-
Das zweite erfolgt spätestens zyklus tätsgesichert und es wird durch die ESecuri-
zwölf Monate nach dem ersten. ty-CERT abschließend die Entscheidung über
die Zertifikatserteilung getroffen.
3 Abweichungen
Diese werden während des Über Über die Website der ESecurity-CERT (www.
wachungsaudits herausgestellt esecurity-cert.com) haben Sie die Möglich-
und müssen auf die gleiche Weise keit, sich einen Überblick der Leistungen zu
beseitigt werden wie in einem verschaffen.
Audit in Stufe 2.
15novus IT-SICHERHEIT
IT-Sicherheitsgesetz 2.0 – Durchbruch für Deutschlands
Cybersicherheit?
Bereits im Frühjahr 2019 wurde der erste Erhöhung der Befugnisse des BSI Zudem erfolgte die Aufnahme von Protokol-
Referentenentwurf zum IT-Sicherheitsgesetz lierungsdaten in das BSIG. Gemäß § 2 Abs. 8a
(IT-SiG) 2.0 veröffentlicht, um das aus dem Ein Kernaspekt betrifft die Kompetenzen des BSIG versteht man unter Protokollierungsda-
Jahr 2015 stammende IT-SiG umfangreich BSI, die erheblich ausgeweitet werden. Das BSI ten Aufzeichnungen über technische Ereig-
anzupassen. Zwei Jahre später wurde es zum ist zum einen dazu berechtigt, sog. Portscans nisse oder Zustände innerhalb informations-
27.05.2021 im Bundesgesetzblatt veröffent- gemäß § 7b Abs. 1 BSIG durchzuführen. Durch technischer Systeme. Laut § 5a BSIG ist das
licht und trat zum 28.05.2021 in Kraft. Portscans können Sicherheitslücken, z. B. veral- BSI bei Protokollierungsdaten, analog zu den
tete Software oder offene Ports, in den IT-Sys- Protokolldaten, zur Verarbeitung berechtigt,
Was bedeutet diese Anpassung nun? Wie das temen identifiziert werden. Durch die neue sofern dies zur Erkennung, Eingrenzung oder
IT-SiG 1.0 bedingt auch die neue Version 2.0 Gesetzgebung soll das BSI die Möglichkeit er- Beseitigung von Störungen, Fehlern oder
als Artikelgesetz weitreichende Änderungen halten, solche Schwachstellen zu identifizieren, Sicherheitsvorfällen notwendig ist.
in einer ganzen Reihe von Einzelgesetzen das betroffene Unternehmen zu informieren
(neben dem BSI-Gesetz – BSIG – u. a. das und zu überwachen, sodass die Sicherheitslü- Durch den neu eingeführten § 7a BSIG, in
Energiewirtschaftsgesetz und das Telekom- cken zeitnah geschlossen werden. Zum anderen dem die Untersuchung der Sicherheit in der
munikationsgesetz). wird das BSI zum Einsatz von Honeypots i. S. d. Informationstechnik geregelt ist, darf das BSI
§ 7b Abs. 4 BSIG berechtigt, d. h. zum Einsatz nun jegliche, bereits auf dem Markt bereitge-
Die einzelnen wesentlichen Änderungen bzw. von Systemen und Verfahren zur Analyse von stellte wie auch dafür vorgesehene informati-
Neuerungen sind: Schadprogrammen sowie Angriffsmethoden. onstechnische Produkte und Systeme untersu-
chen. Hersteller dieser Produkte und Systeme
1. Erhöhung der Befugnisse des Bundesamtes Gemäß § 5 Abs. 2 BSIG war das BSI bereits in sind zur Auskunft gegenüber dem BSI
für Sicherheit in der Informationstechnik (BSI) der Vergangenheit zur Erhebung und Auswer- verpflichtet, dazu gehört insb. die Auskunft
2. Erweiterung der betroffenen Unternehmen tung von Protokolldaten, die beim Betrieb von über technische Details. Kommt ein Hersteller
als KRITIS-Betreiber Kommunikationstechnik des Bundes anfallen dieser Pflicht nicht nach, begeht er eine
3. Zusätzliche Pflichten für KRITIS-Betreiber (Protokolldaten i. S. d. § 5 Abs. 1 Nr. 1 BSIG), Ordnungswidrigkeit i. S. d. § 14 Abs. 2 BSIG,
4. Schutz der Bürger berechtigt. Der Zeitraum für die Datenspeiche- welche ein Bußgeld nach sich ziehen kann.
5. Neufassung der Bußgeldvorschrift. rung wurde von drei auf zwölf Monate erhöht.
KRITIS-Verordnung IT-SiG 2.0 Inkraft-
IT-Sicherheits- Korb 2 Entwürfe IT-Sicher- treten 28.05.2021
gesetz 1.0 heitsgesetz 2.0
Beschluss Bundes-
KRITIS-Verordnung
tag IT-SiG 2.0
Korb 1
2015 2016 2017 2018 2019 2020 2021
Entwurf IT-KRITIS-
Verordnung 2.0
EU NIS
Directive Entwurf EU NIS2 Beschluss Bundes-
Directive rat IT-SiG 2.0
16Sie können auch lesen
