Der Erfolg moderner Unternehmen in allen Märkten und Branchen hängt zunehmend von der Informationstechnologie ab. Neben den Vorteilen gibt es jedoch auch Bedrohungen und Risiken, die zu erheblichen finanziellen Verlusten und Rufschädigung führen können. Zum Schutz kritischer Infrastruktur und der Bürger:innen erlassen Gesetzgeber auf europäischer und nationaler Ebene regelmäßig zunehmend neue Regularien und Auflagen, die von Unternehmen erfüllt werden müssen.

Im Rahmen unserer Attestation-Leistungen ermöglichen wir unseren Kund:innen nachzuweisen, dass ihre Informationssysteme den branchenüblichen Sicherheitsstandards entsprechen, gesetzlichen Regularien gerecht werden und alle notwendigen Schutzmechanismen implementiert sind.

Unsere Schwerpunkte im Bereich Attestation

Unternehmen lagern zunehmend Systeme, Geschäftsprozesse und Datenverarbeitung an externe Dienstleister aus, um sich auf ihre Kernkompetenzen zu konzentrieren, Kosten zu senken und neue Funktionen schnell bereitzustellen. Infolgedessen aktualisieren Unternehmen ihre Verfahren zur Überwachung der Beziehungen zu ausgelagerten Anbietern und zum Management der mit der Auslagerung verbundenen Risiken. Bilanzpflichtige Unternehmen müssen im Rahmen der Jahresabschlussprüfung nachweisen können, dass ihre (ausgelagerten) IT-Prozesse solide und zuverlässig gestaltet sind bzw. gelebt werden. Daher müssen Unternehmen, die auf IT-Dienstleister zurückgreifen, ihrem:ihrer Wirtschaftsprüfer:in jährlich einen Prüfbericht der internen Kontrollsysteme ihrer IT-Dienstleister vorlegen. Um zu vermeiden, dass zahlreiche Kund:innen sich jährlich zur Vor-Ort-Prüfung anmelden, beauftragen IT-Dienstleister KPMG mit der Durchführung einer ISAE-3402- oder SOC-Prüfung. ISAE-3402- sowie SOC-1-, SOC-2- und SOC-3-Berichte zielen darauf ab, hinreichende Sicherheit für die Kontrollen in Dienstleistungsunternehmen zu bieten. Diese Berichte können allen Servicenehmer:innen vorgelegt werden und ersetzen mehrmalige Audits, wodurch auf beiden Seiten Ressourcen gespart werden können.

Vorbereitung

KPMG bietet die Durchführung einer ISAE-3402-Typ-I-Prüfung oder eines SOC-Readiness-Assessments an, die eine Überprüfung der Ist-Situation beinhaltet und Beobachtungen und Empfehlungen zu etwaigen Lücken im Kontrollumfeld liefert.

Prüfung

Wir führen Bescheinigungsprüfungen durch und erstellen ISAE-3402-, SOC-1-, SOC-2- und SOC-3-Berichte, um die Kontrollen in Dienstleistungsunternehmen zu überprüfen. Die Auswahl des Berichtstyps hängt von den Anforderungen der Kund:innen ab:

ISAE 3402 (International Standard on Assurance Engagements 3402) ist ein international anerkannter Standard, der die Prüfung von Serviceorganisationen regelt. Der ISAE-3402-Bericht bietet zwei Arten von Prüfungsberichten:

  • Typ-I-Bericht: Dieser Bericht bewertet die Angemessenheit der gestalteten internen Kontrollen und deren Existenz zum Zeitpunkt der Prüfung.
  • Typ-II-Bericht: Dieser Bericht bewertet die Angemessenheit der gestalteten internen Kontrollen sowie deren tatsächliche Funktionsweise über einen bestimmten Prüfungszeitraum hinweg.

Der ISAE-3402-Bericht umfasst eine detaillierte Beschreibung der internen Kontrollen des Dienstleisters, eine Bewertung ihrer Effektivität sowie Empfehlungen zur Verbesserung, falls Schwachstellen identifiziert werden.

SOC 1 ist ein Bericht, der sich auf Risiken und Kontrollen bei der Erstellung von Finanzberichten konzentriert. Er wird üblicherweise von Organisationen angefordert, um die Anforderungen Dritter im Rahmen der Prüfung ihrer IT-Umgebungen zu erfüllen. Dieser Bericht beschränkt sich auf Prozesse und Systeme, die sich auf die Finanzberichterstattung beziehen, und ist sowohl für die Nutzer:innen als auch für deren Prüfer:innen bestimmt.

SOC 2 ist ein Bericht, der sich auf betriebliche Kontrollen konzentriert und sich auf Sicherheit, Verfügbarkeit, Vertraulichkeit, Integrität der Verarbeitung und/oder Datenschutz konzentriert. Dieser Bericht kann für jeden Prozess oder jedes System erstellt werden. Dieser Bericht ist für Benutzer:innen, deren Prüfer:innen und bestimmte Dritte bestimmt. Wenn Sie ein Dienstleistungsanbieter sind (z. B. ein Rechenzentrum, ein Cloud-Service-Anbieter, ein Webhosting-Unternehmen, ein Telekommunikationsbetreiber, ein Outsourcing-Unternehmen), der Kund:innendaten jeglicher Art erfasst, speichert, überträgt und betreibt, benötigen Sie diesen Bericht, um Ihre Kund:innen davon zu überzeugen, dass angemessene Sicherheitsvorkehrungen für ihre Daten getroffen wurden.

SOC 3 ist ein kurzer Bericht, der einen Überblick über die im SOC-2-Bericht enthaltenen Informationen gibt, wobei spezifische und vertrauliche Informationen über Systeme und Kontrollen entfernt wurden. Dieses Dokument kann weit verbreitet werden und zeigt aktuellen und potenziellen Kund:innen, dass die geprüfte Organisation das in einem SOC-2-Bericht geforderte Maß an Kontrollen aufrechterhält.

Mehrwert

Dienstleister und ihre Kund:innen können sich, nach Erhalt des Testats, darauf verlassen, dass ihre Daten ordnungsgemäß verarbeitet und sicher aufbewahrt werden und dass die Transaktionen korrekt abgewickelt werden. Unternehmen verschaffen sich dabei ein klares Alleinstellungsmerkmal und somit einen Wettbewerbsvorteil. Die unabhängige Überprüfung der Abläufe, die wir anbieten, hilft unseren Kund:innen, Schwachstellen zu erkennen und ihre Prozesse zu verbessern und zu rationalisieren.

Die ISO/IEC 27001 ist ein international anerkannter Standard mit dem Ziel, eine Anleitung bereitzustellen, auf deren Basis ein Informationssicherheits-Managementsystem (ISMS) betrieben, überwacht und kontinuierlich verbessert werden kann. Unternehmen können sich gemäß ISO/IEC 27001 zertifizieren lassen und somit ihren Kund:innen gegenüber gewährleisten, dass angemessene Sicherheitsmaßnahmen zur Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit ihrer Systeme getroffen wurden. KPMG unterstützt Unternehmen bei der Einführung eines ISMS oder der Zertifizierung eines solchen.

Vorbereitung

Initial wird im Rahmen einer GAP-Analyse ein ISO-27001-Audit simuliert. Dabei wird der Ist-Stand des Unternehmens hinsichtlich der Informationssicherheit erhoben und mit den Anforderungen der ISO 27001 abgeglichen. Ergebnis der GAP-Analyse ist ein Auditbericht, in dem alle Findings beschrieben werden. Anhand der identifizierten GAPs werden Maßnahmen zur Compliance-Erreichung vorgeschlagen. Im Anschluss wird der zu zertifizierende Geltungsbereich (Scope) definiert. Hierzu werden alle relevanten Stakeholder:innen eruiert und ein gemeinsamer Workshop aufgesetzt, da ein falsch oder ungünstig gewählter Geltungsbereich im weiteren Projektverlauf zu Verzögerungen führen kann.
Im Rahmen der anschließenden Maßnahmenumsetzung unterstützt KPMG u. a. bei der Bewältigung der Tätigkeiten durch Bereitstellung von Dokumentationsvorlagen bzw. Anpassung der bestehenden Dokumentationsvorlagen, Bereitstellen von Templates für die erforderlichen Pflichtdokumente sowie Anpassung dieser an die Anforderungen des:der Auftraggeber:in und Durchführung von Mitarbeiter:innenschulungen.

Abschließend wird, im Zuge eines ISO-27001-Readiness-Checks abermals ein ISO-27001-Audit simuliert. Der Readiness-Check wird hauptsächlich in Form von Interviews mit den Prozess- und IT-Verantwortlichen durchgeführt, wobei stichprobenartig Aufzeichnungen geprüft werden. Zusätzlich wird zur Bewertung der physischen Sicherheit und Effektivitäts-Feststellung der Maßnahmen eine Begehung des Standortes durchgeführt. Das Ergebnis ist ein Bericht, in dem Findings beschrieben werden, die vor der Bestellung eines:einer ISO-27001-Prüfer:in adressiert werden sollten.

Zertifizierung

KPMG führt als unabhängiger Zertifizierungsprüfer eine umfassende Überprüfung des Informationssicherheits-Managementsystems durch, um festzustellen, ob alle Anforderungen der ISO 27001 erfüllt sind. Nach erfolgreichem Abschluss des Audits wird eine offizielle Zertifizierung für den festgelegten Geltungsbereich ausgestellt, der die Konformität des Informationssicherheits-Managementsystems mit den ISO-27001-Standards bescheinigt. Zertifizierte Unternehmen müssen sich, bis zur Re-Zertifizierung nach drei Jahren, jährlichen Überwachungsaudits unterziehen, um sicherzustellen, dass das Informationssicherheits-Managementsystem weiterhin den ISO-27001-Standards entspricht.

Mehrwert

Eine Zertifizierung nach ISO/IEC 27001 trägt dazu bei, das Vertrauen von Kund:innen und Partnern zu stärken, das Risikomanagement zu verbessern, die Einhaltung rechtlicher und regulatorischer Anforderungen zu gewährleisten, und letztlich durch kontinuierliche Verbesserungen im Bereich der Informationssicherheit einen Wettbewerbsvorteil zu erlangen.

Gerne beraten wir Sie zu weiteren ISO-Standards wie beispielsweise:

  • 22301 (Business Continuity Management)
  • 9001 (Qualitätsmanagement)
  • 27701 (Datenschutz-Managementsystem)

KPMG prüft Ihr Unternehmen gemäß branchenspezifischen Standards bzw. bereitet Sie auf deren Prüfung durch Dritte vor. Dabei beraten und begleiten wir Sie auf dem Weg zur Konformität, führen GAP- und Readiness-Assessments durch und bereiten Sie und Ihre Mitarbeiter:innen optimal auf die bevorstehenden Prüfungshandlungen vor.

IDW PS 880

Der IDW PS 880 ist ein Prüfungsstandard (PS) des Instituts der Wirtschaftsprüfer (IDW) zur Prüfung von Softwareprodukten. KPMG prüft hierbei u. a. einzelne Systemkomponenten oder Gesamtlösungen hinsichtlich der angemessenen Konzipierung, Wartung sowie Test- und Freigabeverfahren. Des Weiteren wird anhand verschiedener Testcases die sachgerechte Umsetzung der Systemfunktionen überprüft. Kund:innen erhalten bei erfolgreicher Prüfung für ihr Produkt die Bescheinigung „Zertifiziert nach IDW PS 880“. Diese Zertifizierung stellt ein Qualitätsmerkmal der umfassten Produkte dar und bietet Unternehmen einen Wettbewerbsvorteil, der gezielt eingesetzt werden kann, um sich von der Konkurrenz abzuheben.

TISAX

TISAX (Trusted Information Security Assessment Exchange) ist ein vom Verband der Automobilindustrie (VDA) freigegebener und veröffentlichter Prüf- und Austauschmechanismus. Dieser erlaubt es Automobilherstellern sicherzustellen, dass innerhalb der gesamten Lieferkette ein angemessenes und einheitliches Informationssicherheitsniveau vorherrscht. Wenngleich TISAX vom europäischen Gesetzgeber nicht verpflichtend gefordert wird, wird ein positives Prüfungsergebnis bereits von vielen namhaften deutschen Automobilherstellern für die Zusammenarbeit mit Zulieferern vorausgesetzt. Automobilzulieferer (die Teile, Komponenten, Dienstleistungen usw. anbieten) müssen gemäß TISAX ein Informationssicherheits-Managementsystem (ISMS) einführen und aufrechterhalten und anschließend die TISAX-Prüfung bestehen, um weiterhin von einem OEM unter Vertrag genommen zu werden und/oder auf dem deutschen Automobilmarkt zu partizipieren.

KPMG unterstützt Unternehmen beim Aufbau eines ISMS gemäß TISAX oder prüft die festgelegten Bereiche. Das Prüfergebnis ist drei Jahre lang gültig und muss nach Ablauf erneut ausgestellt werden.