Je mehr IT-Systeme in einem Unternehmen genutzt werden, desto höher summiert sich das Risiko, Einfalltüren für Cyberkriminalität zu schaffen. Im Rahmen einer guten Cybersecurity-Strategie spielen also zukünftig IT Audits eine immer wichtigere Rolle – und bieten damit ein Beschäftigungsfeld für junge Berufseinsteiger:innen, ihr BWL- und IT-Know-how miteinander zu verknüpfen.
Prof. Eulerich, Sie lehren unter anderen zum Themenkomplex „IT Audit und Cybersecurity“. Ziel der beiden Bereiche ist es in der Regel, Unternehmen zu schützen. Wie verbinden Sie die beiden Bereiche im eigentlichen Prüfvorgang?
Grundsätzlich umfasst das IT Audit alle Prüfungen durch die Interne Revision oder ähnliche Funktionen, die die Ordnungsmäßigkeit und Leistungsfähigkeit der bestehenden IT-Systeme, Softwarelösungen und der Einbindung in die Geschäftsprozesse abbildet. Diese Prüfungen müssen nicht zwingend etwas mit Cybersecurity zu tun haben. Allerdings ist natürlich durch die Entwicklungen von web-/cloudbasierten (Software-)Lösungen, den Themenkomplex Industrie 4.0 und durch die fortschreitende Kommunikation per E-Mail / Videokonferenz und so weiter die Sicherheit der IT-Infrastruktur und der Anwendungen immer kritischer geworden. Unternehmen und öffentliche Organisationen müssen sich in der heutigen Zeit auf eine funktionierende Informationstechnologie verlassen können, weshalb gerade die Cybersicherheit, also der Schutz der Systeme vor Angriffen von außen oder innen, immer wichtiger wird. Aus diesem Grund haben wir die Veranstaltung Cybersecurity und IT Audit kombiniert, sodass die Studierenden zunächst Wissen über die grundsätzlichen IT-Risiken im Kontext von Cybersecurity erhalten und danach das Handwerkszeug zur Prüfung von IT im Rahmen der IT Audit Inhalte erlernen. Idealerweise sind danach die Studierenden also in der Lage, auch IT-Prüfungen in Unternehmen durchzuführen beziehungsweise zu begleiten.
Um der Verwechslungsgefahr vorzubeugen: Es geht nicht um den klassischen WP-Audit, wo Cybersecurity auch ein immer wichtigeres Thema wird. Welche Bedeutung nimmt Cyber Security im Prüfprozess selbst ein?
Ganz genau. Innerhalb der klassischen Wirtschaftsprüfung sind die Prüfungen mit Cybersecurity-Bezug noch immer Randerscheinungen. Dies liegt natürlich auch an der eigentlichen Aufgabe der Wirtschaftsprüfung, die Ordnungsmäßigkeit des Jahresabschlusses beziehungsweise der Finanzberichterstattung zu prüfen. Anders sieht dies gegebenenfalls bei Beratungsaufträgen der Wirtschaftsprüfungsgesellschaften aus. Da wir der einzige Lehrstuhl für Interne Revision im deutschsprachigen Raum sind, geht es uns mehr um die Interne Revision und andere prüfende Funktionen in diesem Kontext (wie die IT-Abteilungen oder seltener auch die Compliance-Funktion, wenn es zum Beispiel um Datenschutz geht). Dadurch, dass allerdings ein Großteil der Finanzberichterstattung durch IT-Systeme verarbeitet und bearbeitet wird, ist die Ordnungsmäßigkeit vor dem Hintergrund von Cybersicherheit natürlich immer wichtiger geworden.
Da Revisionsabteilungen nicht nur die Finanzberichterstattung im Rahmen ihrer Prüfungen abdecken, sondern alle anderen Unternehmensbereiche ebenfalls, ist der „Scope“, also der Betrachtungsumfang, deutlich breiter. Da mittlerweile fast alle Unternehmensprozesse durch IT unterstützt oder sogar durchgeführt werden, ist folglich das Thema IT auch für eine Vielzahl der Revisionsprüfungen von Bedeutung. So werden häufig IT-Risiken im Rahmen der Prüfungsvorbereitung aufgenommen oder die Validität von Daten im Rahmen der eigentlichen Prüfung sichergestellt. Dies ist bereits ein Schritt in Richtung Prüfungen mit Cybersecurity-Bezug, allerdings natürlich keine vollumfängliche Prüfung. Leider ist die Lücke zwischen den Cyberrisiken und der Prüfung eben dieser noch sehr groß in der Praxis. Es gibt viel zu wenig Cybersecurity-Prüfungen, was einerseits auf ein mangelndes Verständnis der Kritikalität von Cybersecurity zurückzuführen ist und andererseits auf das Problem, dass schlicht und ergreifend noch nicht eine ausreichende Anzahl an Revisoren entsprechend qualifiziert ist. Genau aus diesem Grund haben wir uns damals für die Einführung der Veranstaltung entschieden.
Inwiefern kann Technologie beim Audit-Prozess selbst auch eine Gefahr darstellen?
Natürlich führt die vermehrte Nutzung von Datenanalysen innerhalb des Prüfungsprozesses auch zu einer gewissen Anfälligkeit für entsprechende Risiken. Allerdings ist zum Beispiel im schlimmsten Fall das Prüfungsergebnis nicht korrekt oder der Inhalt wird kompromittiert. Beides ist nicht schön, aber definitiv nicht so problematisch wie ein Hackerangriff auf Kunden- oder Forschungsdaten. Wenn allerdings mehr Remote Audits durchgeführt werden, also Prüfungen, die nicht beim Kunden (teils dezentral) vor Ort stattfinden, steigen damit natürlich auch die Cybergefahren im gleichen Umfang.
Welche weiteren Herausforderungen stellt man sich als Expert:in in diesem Fachbereich in den nächsten Jahren?
Die Entwicklung der nächsten Jahre wird sehr, sehr intensiv sein. Durch die Zunahme von Cloud-basierten Anwendungen und Systemen, die Vernetzung von Produkten im Rahmen von Smart Home, die zunehmende Automatisierung durch Robotic Process Automation (RPA) oder die Anwendung von Machine Learning und künstlicher Intelligenz steigen die möglichen Cyberrisiken exponentiell an. Datendiebstahl, Veränderungen bestehender Informationen oder die kriminelle Verschlüsselung bestehender Systeme, um hierdurch Lösegeld zu erpressen, wird uns immer mehr beschäftigen. Deshalb müssen Unternehmen und öffentliche Organisation auch schnell handeln und langfristig besser werden.
Um den Fachbereich IT Audit erfolgreich zu meistern: Worauf sollten Studierende so früh wie möglich Wert legen?
Unser Studiengang verbindet zunächst alle Bereiche der Internen Revision und hat viele Verknüpfungen zu Wirtschaftsprüfungsthemen unserer Fakultät. Daher versuchen wir, einen generalistischen Ansatz zu verfolgen. Es geht bei IT Audit also nicht um tiefgreifende Informatikexpertise, sondern um das grundlegende Verständnis wie und wo IT in Unternehmen eingesetzt wird und welche Risiken dadurch entstehen. Die Studierenden sollten also neben einer IT-Affinität auch immer ein entsprechendes Prozessverständnis mitbringen. Grundsätzlich ist das Thema IT Audit für Betriebswirte und Informatiker spannend und auch ohne Probleme abbildbar. Durch die Existenz von nationalen und internationalen Berufsvorgaben und Standards kann sich jeder Studieninteressierte vorab ein Bild machen und die notwendigen Kompetenzen selber besser bewerten.
Inwiefern mischen sich bei „IT Audit und Cybersecurity“ die Stellenprofile klassische BWL und Informatik?
In der Unternehmenspraxis sehen wir beide Optionen: Informatiker, die beispielsweise in Revisionsfunktionen beim Thema IT Audit und Cybersecurity unterstützen und auch BWLer, die vermehrt Fragen und Aufgaben der Informatik abdecken. Gerade in diesem Bereich ist also die Mischung tatsächlich schon in der Unternehmenswelt angekommen und ich hoffe, dass unsere Lehrveranstaltungen diesen Trend noch weiter forcieren. Wir bieten mittlerweile auch Veranstaltungen zum Thema Data Analytics, Robotic Process Automation oder Process Mining an. Alles klassische Informatikthemen, welche heute allerdings mehr denn je für Revisionsfunktionen und Wirtschaftsprüfer relevant sind.
Wie stellt man Ihrer Meinung nach sicher, dass das eigene IT-Know-how als frische:r Hochschulabsolvent:in nicht sofort zu veralten beginnt?
Aus meiner Sicht ist das persönliche Interesse der Schlüssel zu einem guten Studium und einer späteren Karriere. Wenn mir die behandelten Themen Spaß machen, bin ich motiviert und wenn ich motiviert bin, werde ich mehr Zeit und Muße investieren und schlussendlich auch bessere Noten erhalten.
Hätten Sie eine persönliche Empfehlung oder Tipp für Studierende bezüglich ihres anstehenden Berufseinstiegs?
Studierende sollten sich aus meiner Sicht immer auch persönlich beziehungsweise neben den Studienleistungen weiterentwickeln. Das kann einerseits mit direktem Bezug zum späteren Job sein und die Studierenden erlangen etwa Zusatzzertifikate oder nehmen an Schulungen teil. Das kann aber auch durch das Engagement in anderen Bereichen, beispielsweise im Sport, in Vereinen oder kirchlichen und sozialen Einrichtungen erfolgen. Profile werden dann spannend, wenn Sie etwas Einzigartiges haben. Das kann das Zertifikat als IT-Auditor sein (zum Beispiel CISA), aber auch die Yoga-Ausbildung in Indien oder der Mannschaftssport im heimischen Sportverein. Wenn diese Motivation ersichtlich ist, sollten der Berufseinstieg und die spätere Karriere zusammen mit den zuvor genannten persönlichen Interessen und entsprechenden Studienleistungen gelingen.
Zurück zum Karrierenetzwerk Cybersecurity & IT-Sicherheit geht es hier.