Digitalisierung: Steigende Anforderungen an die IT-Sicherheit und IT-Prüfung – Ein Rückblick auf das 13. Forum IT-Revision und das 17. Forum IT-Sicherheit

Das 13. Forum IT-Revision und das 17. Forum IT-Sicherheit fanden wie in den Vorjahren als kombinierte Veranstaltung unter dem Motto „Digitalisierung – steigende Anforderungen an die IT-Sicherheit und IT-Prüfung“ auf Schloss Montabaur statt. Der Teilnehmerkreis besteht aus Revisoren, Mitarbeitern der IT, der Organisation und des Beauftragtenwesens sowie Vertretern der genossenschaftlichen Prüfungsverbände. Für viele Teilnehmer gibt die Themenmischung aus der Prüfungspraxis, Entwicklungsperspektiven, Einsatzerfahrungen sowie rechtlichen und aufsichtsrechtlichen Anforderungen, ergänzt mit der Möglichkeit eines intensiven Networkings den Anlass zu einem regelmäßigen jährlichen Treffen bei der ADG.

Autor: Dr. Haiko Timm

Den Auftakt des Forums IT-Revision machte Dr. Martin Fröhlich, PricewaterhouseCoopers AG WPG, mit seinem Vortrag „Neuere Entwicklungen in der IT-Prüfung aus Sicht der Wirtschaftsprüfung“. Er berichtete über die Überarbeitung / Neufassung der Prüfungsstandards vom Institut der Wirtschaftsprüfer (IDW) und stellte den zunehmenden Einfluss der Digitalisierung auf den Ablauf von Abschlussprüfungen dar. Erfahrungen aus der Prüferpraxis brachte Dr. Haiko Timm, Forum Gesellschaft für Informationssicherheit mbH, mit seinem Beitrag „IT-Prüfung in der Umsetzung“ ein. Sein Schwerpunkt war die Integration verantwortlicher Mitarbeiter bei der Gestaltung des Informationssicherheits- und des Risikomanagements. In diesem Zusammenhang zeigte der Dozent ein Konzept zur Risikostrukturierung und –bewertung.

Martin Klapheck, der Piano-Referent, leitete die Nachmittagsrunde des IT-Forums mit Motivationsübungen innerhalb seines musikalischen Beitrags „Auf der Tonleiter zum Erfolg“ ein. Ihm folgte Michael Helfer, Finanzkolloquium Heidelberg Consult GmbH, mit seinem Thema „IT-IKS Update: Neue Erkenntnisse aus den MaRisk 6.0 aus revisorischer Sicht“. Er thematisierte die bevorstehenden Änderungen durch die 5. MaRisk-Novelle ebenso wie Ergebnisse aktueller IT-Prüfungen. In diesem Zusammenhang wurde ein Ausblick auf die angekündigten bankaufsichtlichen Anforderungen an die IT (BAIT) gegeben und die Auslagerbarkeit des Informationssicherheitsbeauftragten aus Sicht der BaFin diskutiert. Den ersten Tag beendete Andreas Kolb, DZ BANK AG, mit seinem Thema „Business Continuity Management – Implementierungsvorschläge und Prüfungsanforderungen“. Er brachte neben Entwicklungsstandards die Prozesssicht bzw. -anforderungen zum Notfallmanagement ein und thematisierte Prüfungsanforderungen.

Prof. Dr. Viktor Mayer-Schönberger, Professor of Internet Governance & Regulation, Universität Oxford, eröffnete den gemeinsamen Tag beider Foren mit seinem Vortrag „Big Data – eine neue Sicht der Dinge“. Seine bilderreiche Präsentation zeigte viele Dinge/Themen des Alltags und den Einfluss bzw. die Veränderungen durch die Digitalisierung. Im Vordergrund stand dabei der Einfluss von Big Data auf Geschäftsmodelle. Aktuelle Herausforderungen in der Praxis präsentierte Karsten Wilop, PricewaterhouseCoopers AG WPG, in seinem Beitrag „Cyber Security“. Der Referent zeigte die Zunahme bzw. die Veränderung der Gefahren durch die Digitalisierung und gleichzeitig Sicherheitsmaßnahmen zur Abwehr von Cyber-Angriffen. Seine empfohlenen Maßnahmen zielen in erster Linie auf die Vermeidung von finanziellen Schäden Reputationsschäden und Rechtstreitigkeiten ab.

Es folgte Stefan Maas, Maas Rechtsanwälte, mit „IT-Sicherheitsgesetz: Umsetzung in die Praxis.“ Der Vortrag enthielt eine Betrachtung der Entwicklung des Gesetzes, der Betroffenen und eine Übersicht der wesentlichen Inhalte. Ergänzend wurde das Telemediengesetz behandelt und der Handlungsbedarf für Banken aufgezeichnet.

Dr. Jochen Dinger von der Genossenschaftlichen Rechenzentrale begann den Nachmittag mit seinem Vortrag „IT-Sicherheit bei der Fiducia & GAD IT AG“. Einer Darstellung aktueller Fälle von Cyberkriminalität folgte eine Präsentation wie die Rechenzentrale auf Angriffe reagiert bzw. wie präventiv gegengesteuert wird. Anhand der Angriffsszenarien Spam/Phishing, Schadsoftware, SB-Malware, Kartenbetrug und gezieltes Hacking zeigte der Referent jeweils die präventiven Maßnahmen, Elemente der Aufdeckung und die jeweiligen Reaktionen der Fiducia & GAD IT AG auf.

Die Herren Kim Nguyen, D-Trust, und Jens Albrecht, Bundesdruckerei widmeten sich mit Ihrem Beitrag „Vertrauen und Identität als Basis sicherer IT Prozesse“ der eIDAS-Verordnung. Diese Verordnung regelt elektronische Transaktionen in der EU in Hinsicht auf die elektronische Identifizierung und Vertrauensdienste. Als bankspezifisches Beispiel wurde der Geschäftsprozess Online-Finanzierung und der Kommunikationsworkflow mit seinen Authentifizierungsmechanismen vorgestellt. Den zweiten Tagungstag beendete Frank Stiegler, Anwalt IT-Recht Frankfurt, mit seinem Thema „Smartphone-Fintech: Welche Rechtshürden müssen Banken bei der Erstellung und Verwendung von mobilen Apps nehmen?“. Sein Vortrag zeigte den Einfluss diverser bestehender und kommender Rechtsvorschriften (z.B. BDSG/EU-DSGVO, UWG) bei der Bereitstellung von Fintechs durch Banken.

Christoph Roß, VR-Bank Kreis Steinfurt eG, startete den dritten Tag mit seinen Praxisvortrag „Prozessmanagement – Basis für das Informationssicherheits-und Notfallmanagement“. Er demonstrierte wie in seiner Bank das Prozessmanagement mit dem Informationssicherheits-und Notfallmanagement verknüpft wurde und welchen Mehrwert die Bank in Hinsicht auf eine ganzheitliche IT daraus erzielt hat. Die Risikokultur und das Risikoverständnis haben ebenso positive Impulse durch den integrativen Ansatz mit der Beteiligung der Fachbereiche erhalten. Andrei Martchouk, KI Labs, zeigte mit „Blockchain – More than technology“ die Basistechnologie für Kryptowährungen wie Bitcoins und gleichzeitg die Verbesserungsmöglichkeiten zur Stabilisierung von Transaktionen in Netzwerken. Nach einer kurzen Einführung zur Geschichte und Funktionsweise von Blockchain wurden an diversen Beispielen praktische Einsatzmöglichkeiten gezeigt. In seinem Ausblick stellte Herr Martchouk den zunehmenden Einzug der Technologie in Finanzinstituten dar und gleichzeitig die zukünftige Entwicklung von Blockchain.

Thomas Herbarth beendete das Forum mit seinem Vortrag „Digitalisierung in Banken – Handlungsbedarf für das Informationssicherheitsmanagement“. Vor dem Hintergrund des Mehrwerts durch die Digitalisierung für Banken und deren Kunden thematisierte er den damit einhergehenden zunehmenden Anspruch an die Informationssicherheit von Prozessen und Abläufen. Der Dozent schloss seinen Vortrag mit einer Übersicht von technischen, organisatorischen und personellen Praxismaßnahmen ab.

Aktive Diskussionen während der 13 Vorträge zeigten das Interesse der Teilnehmer und zugleich die richtige Auswahl der Themen. Das Rahmenprogramm beider Tagungen wurde ebenfalls positiv bewertet, gerade in Hinsicht auf den Austausch mit Teilnehmern und Dozenten. Im nächsten Jahr finden die beiden IT-Foren vom 20. bis 22. September 2017 auf Schloss Montabaur statt.