Berater für Informationssicherheit: Praxisleitfaden für CFOs

Wie weisen Sie gegenüber Kunden, Auditoren, Wirtschaftsprüfern oder Aufsicht nach, dass Ihre Informationssicherheit und Ihre Finance- sowie Payment-Prozesse angemessen geschützt sind – ohne ein Mammutprojekt zu starten? Diese Frage beschäftigt CFOs, Leiter des Rechnungswesens und IT-Verantwortliche zunehmend. Typische Auslöser sind Kundenanforderungen wie TISAX oder ISO-Zertifizierungen, neue kritische Dienstleister im Bereich Payment Service Provider oder E-Rechnung, Sicherheitsvorfälle wie BEC oder CEO-Fraud, Cloud- und Outsourcing-Programme, M&A-Transaktionen oder Carve-outs sowie neue regulatorische Erwartungen und Findings aus Jahresabschluss- oder Internal Audits.

Das Thema ist keineswegs nur technisch. Es betrifft Steuerung, Risiko, Budget, Abschluss- und Auditfähigkeit sowie die operative Lieferfähigkeit Ihres Unternehmens. Informationssicherheit ist ein Managementthema, das in Finance-Prozesse und Kontrollsysteme eingreift. Genau hier setzt externe Beratung an: Sie übersetzt zwischen Management, Fachbereichen, IT, Datenschutz, Compliance und Revision und schafft evidenzfähige Strukturen, die im Tagesgeschäft wirken.

Was macht ein Berater für Informationssicherheit – und was nicht?

Ein solcher Berater ist kein reiner IT-Dienstleister. Informationssicherheit umfasst weit mehr als IT-Sicherheit: Sie betrifft auch Papier, Datenträger, mündliche Kommunikation und organisatorische Abläufe. Der Kernauftrag liegt in der Sicherstellung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit – im Englischen als CIA-Triade bekannt. Hinzu kommt in der Praxis oft die Nachvollziehbarkeit, also der Audit-Trail, der für CFOs und Revisionen zentral ist.

Die Rolle ist die eines Übersetzers: Er verbindet die Sichtweisen von Management, Fachbereichen wie Finance, Procurement und Treasury, IT, Datenschutz, Compliance und Interner Revision. Sein Fokus liegt auf Ergebnisorientierung: vom Ist-Zustand über priorisierte Maßnahmen bis zur evidenzfähigen Umsetzung. Dazu gehören Dokumentation, Kontrollen und Reporting. Wichtig ist die Klarstellung: Beratung bereitet vor und begleitet – Zertifizierungen oder Atteste erfolgen durch unabhängige Stellen.

Warum Unternehmen externe Unterstützung brauchen

Informationssicherheit ist selten Tagesgeschäft. Oft wird sie erst nach Vorfällen oder Audit-Findings priorisiert. Cyberkriminalität stellt ein unmittelbares Business-Risiko dar: Reputationsschäden, Produktions- oder Serviceausfälle, Wiederanlaufkosten, Forensik-Aufwände und der Verlust von Kundenvertrauen gehören zu den Folgen. Hinzu kommen Fraud-Verluste, beispielsweise durch Zahlungsbetrug.

Die interne Ressourcenlage ist oft angespannt: Spezialistinnen und Spezialisten sind knapp, das Tagesgeschäft muss parallel weiterlaufen, und die Routine bei Audits, Zertifizierungen und Evidenzführung fehlt. Externe Beratung bringt hier entscheidende Vorteile: Erfahrung, etablierte Methodik, Beschleunigung, realistische Priorisierung, Entlastung und den Blick von außen. Gerade beim Thema Finance-Angriffe wie BEC, manipulierte Rechnungen oder Fake-Lieferanten ist dieser externe Blick wertvoll.

Business Case und ROI: Kostenwahrheit für CFOs

Ein belastbarer Business Case muss Treiber, Bandbreiten und Skalierbarkeit transparent machen. Typische Kostentreiber sind: manuelle Kontrollen und Medienbrüche in Payment-Prozessen, Audit-Overhead durch fehlende Nachweise, Incident-Response und Forensik nach Vorfällen, Tool-Wildwuchs ohne zentrale Steuerung, Lieferantenaudits ohne strukturierte Prozesse sowie M&A-Integration ohne Security-Standards.

Einsparhebel entstehen durch: Automatisierung von Access Reviews und SoD-Kontrollen, Reduktion manueller Freigaben durch Workflow-Integration, schnellere Audit-Zyklen durch kontinuierliche Evidenzführung, Vermeidung von Fraud-Verlusten durch präventive Kontrollen sowie geringere Versicherungsprämien durch nachweisbare Risikoreduktion.

Typische Kostenrahmen für ein mittelständisches Unternehmen mit 500 bis 2000 Mitarbeitenden:

ROI-Logik: Vermeidung eines einzigen erfolgreichen BEC-Angriffs mit einem Median-Schaden von 50.000 bis 250.000 EUR amortisiert bereits ein ISMS-Grundprojekt. Hinzu kommen: schnellere Kundenfreigaben durch Zertifizierung, geringere Audit-Kosten durch kontinuierliche Nachweise, Reduktion manueller Kontrollen um 30 bis 50 Prozent sowie Skalierbarkeit bei M&A ohne Security-Neubau je Transaktion.

Top-10 Quick Wins für CFOs: 30/60/90-Tage-Plan

Die Priorisierung aus CFO-Sicht folgt dem Prinzip: maximaler Risikoabbau bei minimalem Disruptionsrisiko. Ein strukturierter Plan schafft schnelle Sichtbarkeit.

30-Tage Quick Wins

• Multi-Faktor-Authentifizierung (MFA) für alle Bankportale, ERP-Finance-Module und Payment-Systeme aktivieren
• Vier-Augen-Prinzip bei Zahlungsfreigaben technisch erzwingen, keine manuellen Overrides ohne dokumentierte Ausnahmegenehmigung
• Bankdatenänderungen nur nach Out-of-Band-Verifikation wie Telefon oder separate E-Mail zulassen, keine reine E-Mail-Freigabe
• Access-Review für privilegierte Finance-Accounts durchführen: ERP-Superuser, Treasury-Admins, Konsolidierungszugriffe
• Awareness-Training zur Informationssicherheit für Finance, Treasury, Assistenz und Einkauf: 90 Minuten, praxisnah, mit Fallbeispielen

60-Tage Strukturmaßnahmen

• SoD-Regeln definieren und in ERP konfigurieren: keine Kombination aus Vendor-Anlage und Zahlungsfreigabe, keine Kombination aus Journalbuchung und Abschlussfreigabe
• Logging und Audit-Trail für kritische Transaktionen aktivieren: Zahlungsläufe, Bankdatenänderungen, Journaleinträge, Gutschriften
• Lieferantenklassifizierung für Payment Service Provider, E-Invoicing, ERP-Hosting, Payroll: kritische Partner identifizieren und Nachweisforderung definieren
• Incident-Response-Runbook für Finance-Fraud erstellen: Rollen, Eskalationswege, Banknotfallkontakte, Zahlungsstopp-Prozedur
• KPI-Dashboard aufsetzen: SoD-Verstöße, offene Access-Reviews, Bankdatenänderungen ohne Verifikation, kritische Audit-Findings

90-Tage Governance und Evidenz

• ISMS-Light für Finance etablieren: Risikomanagementprozess, Policy-Set, Ausnahmeprozess, Kontrollbibliothek
• Backup- und Restore-Test für kritische Finance-Systeme durchführen und dokumentieren wie ERP, Treasury, Konsolidierung
• Lieferantenaudits für Top-3-Kritikalitätspartner durchführen: SOC-2-Report, ISO-Zertifikat oder eigenes Assessment
• Management-Reporting etablieren: monatliches Security-Readout an CFO mit Trend-KPIs, Top-Risiken, Maßnahmenstatus
• Pre-Audit oder Mock-Audit durch externe Revision oder Berater: Lückenanalyse, Maßnahmenplan, Zeitschiene bis Audit-Readiness

Minimum Viable ISMS für Audit-Readiness

Nicht jedes Unternehmen braucht sofort ein vollständiges ISO-27001-ISMS. Ein pragmatischer Ansatz ist das Minimum Viable ISMS: die kleinste Menge an Dokumentation, Prozessen und Kontrollen, die Audit-Readiness herstellt und Finance-Risiken abdeckt.

Kernkomponenten Minimum Viable ISMS

• Informationssicherheitsleitlinie oder Policy: Management Commitment, Geltungsbereich, Verantwortlichkeiten, Ziele auf 2 bis 3 Seiten
• Risikomanagementprozess: Identifikation, Bewertung, Maßnahmen, Risk Acceptance durch Management, Review-Zyklus
• Asset-Inventar: kritische Systeme wie ERP, Treasury, Payment und Datenklassifizierung in öffentlich, intern, vertraulich, streng vertraulich
• Access Management Standard: Berechtigungsvergabe, Rezertifizierung halbjährlich, Offboarding-Prozess, privilegierte Accounts
• Kontrollbibliothek Finance: SoD-Regeln, Zahlungsfreigaben, Bankdatenänderungen, Vendor Master Data, Journaleinträge
• Incident-Response-Prozess: Meldewege, Eskalation, Dokumentation, Lessons Learned
• Lieferantenmanagement: Klassifizierung, Mindestanforderungen, Nachweisführung wie ISO-Zertifikat, SOC-Report, Assessment
• Awareness-Konzept: Onboarding, jährliche Trainings, spezifische Trainings für Finance-Rollen
• Dokumentations- und Nachweisführung: wer erstellt, wer prüft, wer genehmigt, Ablage, Review-Zyklen
• Management-Review: quartalsweise Risiko- und KPI-Review durch CFO, IT-Leitung, Compliance

Aufwand für Minimum Viable ISMS: 3 bis 5 Monate Kalenderzeit, 40 bis 80 Personentage intern verteilt auf Finance, IT, Compliance sowie 30 bis 50 Beratertage extern. Ergebnis: Audit-Ready für Jahresabschlussprüfung, Internal Audit oder Kundenassessment.

Perspektive CFO: Zentrale Fragen an den Berater

Aus Sicht des CFO sind folgende Fragen zentral: Wie wird Informationssicherheit steuerbar? Das bedeutet Transparenz, KPIs, klare Verantwortlichkeiten und Reporting an Geschäftsleitung oder Aufsichtsorgane. Wie werden Risiken und Investitionen priorisiert – nach Risiko- und Kontrolllogik, nicht nach Technikdetails? Welche Kostentreiber entstehen typischerweise? Medienbrüche, manuelle Kontrollen, fehlende Standards, Audit-Overhead, Incident-Kosten und Tool-Wildwuchs sind häufige Problemfelder.

Ebenso wichtig: Wie reduziert man Audit- und Compliance-Risiken und verbessert die Abschluss- und Prüfungsfähigkeit? Dazu gehören Nachweise, Kontrollwirksamkeit und Audit-Trails. Welche CFO-relevanten Kontrollen sind zentral? Das umfasst Zahlungsfreigaben, Bankzugänge, Vendor Master Data, Segregation of Duties und Ausnahmeprozesse. Und schließlich: Wie sieht ein belastbarer Business Case aus, der Treiber, Bandbreiten und Skalierbarkeit bei Wachstum oder M&A berücksichtigt?

Einkaufs- und Vertragsdimension: Was CFOs von Beratern erwarten sollten

Die Vergabe von Beratungsleistungen im Bereich Informationssicherheit erfordert klare vertragliche Rahmenbedingungen. Zentrale Punkte sind: Leistungsumfang und Deliverables wie Gap-Assessment-Report, Roadmap, ISMS-Dokumentationsset, Kontrollbibliothek, Management-Präsentation, Abgrenzung Beratung vs. Zertifizierung da Berater vorbereitet und unabhängige Stelle zertifiziert, Haftung und Versicherung mit Berufshaftpflicht, Cyber-Versicherung, Haftungsobergrenzen, Vertraulichkeit und NDA besonders bei Zugriff auf Finance-Daten, Zahlungsprozesse, Lieferanteninformationen, SLAs und Reaktionszeiten bei Incident-Support oder Pre-Audit-Unterstützung sowie Exit-Regelungen und Wissenstransfer mit Übergabe an internes Team, Dokumentation, Schulung.

Empfohlene Vertragsstruktur: Rahmenvertrag mit Abrufoptionen für Assessment, Umsetzung, Pre-Audit, Incident-Support, feste Tagessätze oder Paketpreise, Meilenstein-basierte Abrechnung für größere Projekte, klare Definition of Done für jedes Deliverable.

Perspektive IT-Leiter: Integration in gewachsene Systemlandschaften

Für IT-Leiter ist die Frage, wie sich Beratung in gewachsene Systemlandschaften einfügt, entscheidend. Das betrifft ERP-Systeme wie SAP, Oracle, Microsoft Dynamics, Treasury-Plattformen, Bankportale mit EBICS-Anbindung, Payment Service Provider, E-Invoicing-Lösungen und Workflow- oder DMS-Systeme. Was bedeutet Scope praktisch? Es geht um Systeme, Standorte, Prozesse, Datenflüsse, Gesellschaften und Shared Services.

Referenzarchitektur für Finance-Payment-Security

Eine praxisnahe Referenzarchitektur hilft, Sicherheitskontrollen systematisch zu verankern. Typische Komponenten sind: Identity und Access Management (IAM) mit zentraler Benutzerverwaltung über Active Directory, Azure AD oder Okta, Single Sign-On (SSO) für Finance-Applikationen, rollenbasierte Zugriffe (RBAC) mit SoD-Regeln sowie automatisierte Access Reviews über IAM-Plattform. Privileged Access Management (PAM) light umfasst sichere Verwaltung von Admin-Accounts für ERP, Treasury, Datenbank, Session-Recording für kritische Zugriffe, Passwort-Rotation und Just-in-Time-Access.

Logging und SIEM für Security Information and Event Management beinhaltet zentrale Log-Sammlung für ERP, Payment, Bankportale, Alerting bei anomalen Mustern wie Massenzahlungen oder Bankdatenänderungen außerhalb Geschäftszeiten sowie Audit-Trail-Export für Wirtschaftsprüfer. Netzwerk- und Schnittstellensicherheit sichert EBICS- oder HBCI-Kommunikation mit Zwei-Faktor, API-Security für PSP und E-Invoicing mit OAuth, API-Keys, Rate Limiting, SFTP-Härtung für Datei-Transfers sowie Network Segmentation zwischen Finance-Zone und Rest-Netzwerk.

Backup und Business Continuity umfasst tägliche Backups kritischer Finance-Systeme, Offsite-Storage, monatliche Restore-Tests sowie dokumentierte Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO). Change Management und Patch-Prozess beinhaltet Finance-Window für Patches außerhalb Closing-Zeiten, Change Advisory Board mit Finance-Vertretung, Rollback-Pläne sowie Segregation of Duties zwischen Development, Test und Production.

Technische Mindeststandards: Konkret und umsetzbar

IT-Leitungen brauchen klare technische Standards, die sofort umsetzbar sind. Multi-Faktor-Authentifizierung (MFA) ist Pflicht für: alle Bankportale und Treasury-Systeme, ERP-Finance-Module wie FI, CO, TR, Payment-Transaktionen, Zahlungsfreigabe-Workflows, Remote-Zugriffe über VPN oder RDP sowie Admin-Accounts. Authentifizierungsmethoden: Hardware-Token wie FIDO2, Mobile-Push wie Microsoft Authenticator oder Duo, SMS als Fallback auch wenn weniger sicher, aber besser als nichts.

Segregation of Duties (SoD) in ERP-Systemen verbietet folgende Kombinationen: Vendor Master Data Anlage plus Zahlungsfreigabe, Vendor Master Data Änderung der Bank plus Zahlungsfreigabe, Journalbuchung plus Abschlussfreigabe, Gutschrift-Erstellung plus Gutschrift-Freigabe sowie Admin-Rechte plus operative Finance-Rolle. Tools: SAP GRC Access Control, Oracle Access Governance, Microsoft Dynamics Security Roles.

Logging-Anforderungen umfassen: alle Zahlungsläufe mit Ersteller, Genehmiger, Zeitstempel, Betrag, Bankdatenänderungen mit Alt- oder Neu-Wert, User, Zeitstempel, Journaleinträge mit User, Betrag, Konto, Zeitstempel, Zugriffe auf Vendor Master Data wie Anzeige, Änderung, Anlage, privilegierte Logins wie Admin oder Superuser, fehlgeschlagene Login-Versuche sowie Export- oder Import-Aktivitäten. Retention: mindestens 12 Monate online, 7 Jahre archiviert.

Automation-Patterns für Access Reviews und SoD

Manuelle Access Reviews sind fehleranfällig und zeitaufwendig. Automation-Patterns reduzieren Aufwand und erhöhen Qualität. Automatisierte Access Reviews nutzen IAM-Plattform exportiert alle Berechtigungen wie User, Role, System, Vergabedatum, Manager erhalten Review-Aufgabe per Workflow, automatische Eskalation bei Nicht-Reaktion nach 7 Tagen sowie automatische Deaktivierung nicht bestätigter Accounts nach 14 Tagen. Tools: SailPoint IdentityIQ, Okta Identity Governance, Microsoft Identity Governance.

Automatisierte SoD-Checks erfolgen kontinuierlich nicht nur bei Access Review, Alerting bei SoD-Verletzung mit sofortiger E-Mail an Compliance, automatische Blockierung kritischer Kombinationen im Provisionierungsprozess sowie Dashboard mit offenen SoD-Verstößen und Ausnahmegenehmigungen. Tools: SAP GRC, Oracle Access Governance, Custom-Scripts für kleinere ERP-Systeme.

Entlastung im Tagesgeschäft: Operating Model

Ein guter Berater entwickelt einen Maßnahmenplan, der Teams entlastet statt lähmt. Das erfordert ein klares Operating Model: wer designt wie Berater mit internem Security oder Compliance, wer betreibt wie IT-Operations oder Finance-Teams, wer prüft wie Interne Revision oder externe Audits. Konkrete Arbeitspakete mit Owner, Deadline, Abhängigkeiten und Entscheidungsbedarf sorgen für Transparenz. Minimale Betriebsstörungen werden erreicht durch Finance-Windows für Änderungen außerhalb Closing, Pilotierung kritischer Maßnahmen wie MFA erst Treasury, dann alle Finance-User sowie Rollback-Pläne für jede Systemänderung.

ISMS verständlich erklärt: Managementsystem statt Tool-Zoo

Ein Informationssicherheitsmanagementsystem (ISMS) ist ein kontinuierlicher Managementzyklus: planen, umsetzen, überwachen, verbessern. Es ist mehr als eine Sammlung von Tools. Es umfasst Policies, Rollen, Risikomanagement, Kontrollen, Nachweise und Ausnahmen. Der Nutzen liegt in Wiederholbarkeit, Auditfähigkeit, Skalierbarkeit und klaren Verantwortlichkeiten.

Typische ISMS-Bausteine sind: Leitlinie oder Policy, Standards und Exceptions, Risikomanagementprozess inklusive Risk Acceptance, Asset- und Informationsklassifizierung, Identity und Access Management inklusive Rezertifizierungen, Incident- und Problem-Management mit Meldewegen, Lieferantenmanagement oder Third Party Risk, Business Continuity und Notfallmanagement, Awareness und rollen-basierte Trainings sowie Dokumentations- und Nachweisführung.

Risikomanagement: Szenarien mit Finance-Bezug

Das Risikomanagement identifiziert, analysiert, bewertet und überwacht Risiken – inklusive Prozess- und Fraud-Risiken. Maßnahmenarten sind: vermeiden, vermindern, übertragen oder akzeptieren – immer mit dokumentierter Begründung. Szenarien für Finance und Payment sind BEC oder CEO-Fraud mit Median-Schaden 75.000 EUR bei Mittelstand bis 500.000 EUR, Rechnung- oder IBAN-Manipulation mit durchschnittlich 25.000 bis 100.000 EUR pro Fall, kompromittierte Bankzugänge mit Totalverlust möglich abhängig von Limits, ERP-Admin-Missbrauch wie Journaleinträge, Gutschriften, Datenextraktion sowie Dienstleisterausfälle bei Payment Service Provider, E-Invoicing, Treasury-Plattform.

Risikobewertung erfolgt nach Impact wie finanziell, operativ, rechtlich, Reputation und Wahrscheinlichkeit wie historische Vorfälle, Branchenstatistik, Kontrollreife. Risiken begleiten den gesamten Lebenszyklus von Systemen und Prozessen: von der Einführung über Betrieb und Änderung bis zur Stilllegung. Ein strukturierter Risikomanagementprozess sorgt dafür, dass Entscheidungen nachvollziehbar und steuerbar bleiben.

Security-by-Design in Finance-Prozessketten

In Finance-Prozessketten sind konkrete Kontrollpunkte entlang der Prozesse Purchase-to-Pay (P2P), Order-to-Cash (O2C) und Record-to-Report (R2R) entscheidend. Im P2P-Prozess gehören dazu Vendor-Onboarding mit Vier-Augen und Verifikation, Vendor Master Data Änderung mit Out-of-Band-Bestätigung bei Bankdaten, Bestellfreigabe mit Vier-Augen ab definiertem Schwellenwert, Wareneingang mit 3-Way-Match aus Bestellung, Wareneingang, Rechnung, Rechnungsfreigabe mit Vier-Augen und SoD zu Wareneingang sowie Zahlungsfreigabe mit Vier-Augen und SoD zu Vendor-Anlage und Rechnungsfreigabe.

Im Payment- und Treasury-Bereich sind Bankportale mit EBICS- oder HBCI-Zugängen wichtig mit MFA und dedizierten Workstations, Zahlungsdatei-Erstellung automatisiert aus ERP und signiert, Zahlungsfreigabe mit Vier-Augen-Prinzip technisch erzwungen, Limits wie System-Limits, Tageslimits, Einzeltransaktionslimits, Notfallzahlungen mit dokumentierter Ausnahmeprozedur und nachträglicher Prüfung sowie Rückrufprozesse mit definierten Ansprechpartnern bei Banken und Eskalationswegen zentral.

Im O2C-Prozess betrifft das Berechtigungen in der Preis- und Konditionspflege mit SoD zu Auftragserfassung, Gutschriften mit Vier-Augen und SoD zu Rechnungsstellung, Stornos mit Begründung, Genehmigung, Protokollierung, Mahn- und Sperrprozesse automatisiert mit Ausnahmen dokumentiert sowie Monitoring atypischer Muster wie große Gutschriften oder Preisnachlässe außerhalb Toleranz. Im R2R-Prozess sind Journaleinträge mit Vier-Augen und SoD zu Abschlussfreigabe, Abschlussbuchungen mit restricted User-Kreis und vollständiger Protokollierung, Zugriffe auf Konsolidierung und Reporting mit read-only für die meisten User und write nur für Controller sowie evidenzfähige Freigaben mit elektronischem Workflow und Audit-Trail relevant.

IKS, Interne Revision und Wirtschaftsprüfung verzahnen

Die Verbindung zwischen ISMS und Internem Kontrollsystem (IKS) ist sinnvoll: Kontrollen sollten konsolidiert werden, statt sie doppelt zu bauen. Eine gemeinsame Kontrollbibliothek schafft Effizienz. Die Evidenzstrategie klärt, welche Nachweise ausreichen: Access-Review-Protokolle, Change-Tickets, Log-Auszüge oder Restore-Test-Protokolle.

Auditfähigkeit im Alltag bedeutet kontinuierliche Nachweisführung statt Jahresend-Hektik. Die Rollenklärung zeigt, wer designt, wer betreibt und wer prüft – nach dem 1st-, 2nd- und 3rd-Line-Modell: Erste Linie mit Operations und Finance-Teams führt Kontrollen aus und dokumentiert, zweite Linie mit Risk, Compliance, ISMS, Datenschutz definiert Standards und überwacht, dritte Linie mit Interner Revision prüft unabhängig. Diese Verzahnung reduziert Aufwand und erhöht die Qualität der Kontrollen.

Lieferanten- und Dienstleisterprüfung: Third-Party Risk

Kritische Partner wie ERP-Hosting, Managed Services, Payment Service Provider, E-Invoicing-Anbieter, Banken-Schnittstellen, Payroll und DMS- oder Workflow-Anbieter müssen geprüft werden. Die Prüfung umfasst Sicherheitsanforderungen mit Mindeststandards für Verschlüsselung, Zugriffskontrolle, Logging, technische und organisatorische Maßnahmen (TOM) nach DSGVO, Nachweise wie ISO-Zertifikate für ISO 27001 oder ISO 27018 für Cloud, SOC-2-Reports als Type II, Penetrationstest-Ergebnisse, Exit- und BCM-Regelungen für Business Continuity, Datenrückgabe, Löschung sowie Subdienstleister wie Cloud-Provider oder Rechenzentren.

Die kontinuierliche Überprüfung erfolgt risikobasiert: kritische Partner jährlich, weniger kritische alle 2 bis 3 Jahre. Audit-Rechte im Vertrag verankern. Ziel ist die Reduktion von Ausfall-, Fraud- und Compliance-Risiken. Ein Berater strukturiert diese Prüfungen und sorgt für evidenzfähige Nachweise.

Standards und Regelwerke: Entscheidungsmatrix

ISO/IEC 27001 ist der internationale ISMS-Standard mit auditfähiger Struktur und Zertifizierung als Nachweis. Einsatz wenn: internationale Kunden, Lieferketten-Anforderungen, M&A-Skalierung, regulierte Umfelder. BSI IT-Grundschutz bietet eine Methodik und ein Kompendium, besonders im deutschen Kontext, und dient als Umsetzungsbaukasten. Einsatz wenn: deutscher Markt, Behörden als Kunden, detaillierte Umsetzungshilfen gewünscht. TISAX ist eine häufige Kundenanforderung im Automotive-Umfeld und bezeichnet ein Assessment mit Label der ENX Association. Einsatz wenn: Automotive-Zulieferer, OEM-Anforderungen.

Sektorspezifische Vorgaben: PCI-DSS für Kartenzahlungen, SWIFT Customer Security Programme für Bankkommunikation, DORA also Digital Operational Resilience Act für Finanzsektor, NIS-2 für kritische Infrastrukturen. Ein Berater hilft, die relevanten Standards auszuwählen und pragmatisch umzusetzen. Entscheidungsmatrix: Kundenanforderung vorhanden? Dann TISAX oder ISO 27001. Regulatorische Pflicht? Dann sektorspezifischer Standard. Interne Governance? Dann IT-Grundschutz oder Minimum Viable ISMS.

KPI- und Steuerungslogik: Management-tauglich

Mögliche Kennzahlen sind: kritische Findings aus Audits oder Pentests und Behebungsquote mit Ziel 100 Prozent innerhalb 90 Tage, Alter offener Findings mit Ziel Median unter 30 Tage, Abdeckung und Ergebnis von Access-Reviews inklusive Finance-Apps mit Ziel 100 Prozent Coverage quartalsweise, SoD-Verstöße und Ausnahmequote inklusive Genehmigungsstatus mit Ziel unter 5 Prozent alle genehmigt, Anteil verifizierter Bankdatenänderungen oder Payment-Change-Compliance mit Ziel 100 Prozent Out-of-Band-Verifikation, MTTR oder Incident-Reaktionszeit und Anzahl Security- oder Fraud-Events mit Ziel MTTR unter 4 Stunden, Lieferantenabdeckung bei Sicherheitsbewertungen kritischer Dienstleister mit Ziel 100 Prozent mindestens jährlich sowie Backup- und Restore-Test-Erfolgsquote für kritische Systeme mit Ziel 100 Prozent quartalsweise getestet.

Die Nutzung erfolgt über Trendsteuerung mit monatlichen KPI-Reviews, Priorisierung risikobasiert, Budgetargumentation da KPIs zeigen Handlungsbedarf und Risikoreporting an Management oder Prüfungsausschuss mit quartalsweisem Readout. Diese KPIs machen Informationssicherheit messbar und steuerbar.

Auswahlkriterien: Woran erkennen Sie guten Berater?

Fachkunde ist zentral: ISMS- und Audit-Kompetenz wie ISO 27001 Lead Auditor und praxiserprobte Methodik. Verständnis für Finance-, Payment-Prozesse und Fraud-Risiken ist unverzichtbar – nicht nur Technik. Die Fähigkeit, Anforderungen aus IT, Compliance, Datenschutz, Revision und Business zusammenzuführen, zeichnet gute Berater aus.

Die Arbeitsweise sollte pragmatisch, minimalinvasiv und mit klaren Deliverables, umsetzbaren Templates und Enablement erfolgen. Integrität zeigt sich in sachlicher Kommunikation ohne Angstkommunikation, keine toolgetriebene Scheinlösung und sauberes Erwartungsmanagement. Referenzen prüfen: vergleichbare Branche, Unternehmensgröße, Scope wie Finance-Prozesse, Payment, M&A. Probeauftrag: Starten Sie mit Gap-Assessment für 4 bis 6 Wochen, evaluieren Sie Qualität der Deliverables, dann Entscheidung über Folgephasen.

Typische Fehlerbilder und wie man sie vermeidet

Häufige Fehler sind: Informationssicherheit als reines IT-Projekt ohne Management- und Prozessverantwortung, Fehler wenn CISO oder ISB in IT vergraben ohne Anbindung an Geschäftsleitung, Lösung durch 2nd Line mit Reporting an CFO oder COO. Dokumentation fürs Audit danach veraltet und ohne Owner, Fehler wenn einmalige Dokumentationswelle ohne Pflege, Lösung durch Owner-Modell, quartalsweise Reviews, Change-Prozess. Scope falsch gewählt – zu groß lähmend, zu klein mit Nachweislücken, Fehler wenn gesamtes Unternehmen auf einmal oder nur IT ohne Finance, Lösung durch Finance-Prozesse als Pilotscope mit schrittweiser Skalierung. Invest in Shiny Tools während Basics fehlen wie SoD, MFA, Logging oder Restore-Tests, Fehler wenn SIEM ohne Logging oder IAM ohne SoD-Regeln, Lösung durch Quick Wins zuerst dann Tools zur Automatisierung. Lieferantenmanagement und Payment-Fraud-Risiken unterschätzt, Fehler wenn keine Vendor-Due-Diligence und kein Out-of-Band-Check, Lösung durch Third-Party-Risk-Prozess und BEC-Trainings. Awareness als Pflichtübung statt als verankerte Prozesskontrolle, Fehler wenn jährliches E-Learning das niemand ernst nimmt, Lösung durch rollen-basiert, Phishing-Simulationen, Kopplung an Prozesse wie Bankdatenänderung.

Checkliste für den Start: Was Sie vor dem Erstgespräch sammeln sollten

Vor dem Erstgespräch sollten Sie folgende Informationen sammeln: Anlass oder Anforderung wie Kunde fordert TISAX, Audit-Finding, BEC-Vorfall, M&A, neue Regulierung, grober Scope mit Standorten, Gesellschaften, kritische Prozesse wie Payment Runs, Closing, Vendor Onboarding, Systeme wie ERP, Treasury, Bankportale, PSP, Liste kritischer Dienstleister wie Payment Service Provider, E-Invoicing, Cloud, ERP-Hosting, Payroll, vorhandene Policies und Dokumentation wie Informationssicherheitsleitlinie, Prozessdokumente, IKS-Kontrollen, frühere Audit-Findings sowie Stakeholder und Owner wie IT-Leitung, CFO, Leiter Rechnungswesen, Compliance, Datenschutzbeauftragter, Interne Revision.

Fragen an den Berater sollten sein: Vorgehensmodell mit Phasen, Deliverables, Timeline, RACI-Modell also wer macht was, Evidenzkonzept also welche Nachweise und wie geführt, Erfahrung mit Finance-, Payment-Use-Cases und Fraud-Prävention mit Referenzen und konkreten Beispielen, Umgang mit Betriebsstabilität wie Closing- oder Payment-Zyklen, Change- oder Exception-Management, Vorgehen bei Lieferantenprüfungen und Nachweisführung mit Templates und Prozess sowie KPI- und Reporting-Setup für Management mit Dashboards und Readout-Formaten.

Fazit: So starten Entscheider pragmatisch

Die Empfehlung lautet: Starten Sie mit einem kleinen, gut gescopten Assessment inklusive Finance- oder Payment-Prozesskette plus priorisierter Roadmap mit Quick Wins in einem 30/60/90-Tage-Plan. Externe Beratung lohnt sich besonders bei hohem Zeitdruck durch Kundenanforderung oder Audit, Ressourcenknappheit, M&A oder wiederkehrenden Findings und Fraud-Risiken.

Der Handlungsimpuls: Klären Sie den Scope mit Finance-Prozessen, kritischen Systemen, Dienstleistern, identifizieren Sie kritische Prozesse und Dienstleister wie P2P, Payment, Treasury, PSP, E-Invoicing, ziehen Sie das Verantwortungsmodell fest mit CISO oder ISB, Finance Owner, IT-Operations, Compliance, Revision, etablieren Sie Evidenzen wie Access Reviews, SoD-Reports, Logging, Backup-Tests, starten Sie die Roadmap mit Quick Wins zuerst und strukturellen Maßnahmen parallel und koppeln Sie Fraud- und Awareness-Maßnahmen wie BEC-Trainings, Out-of-Band-Verifikation, Incident-Response-Runbook.

Das Takeaway: Informationssicherheit ist ein steuerbares Management- und Kontrollsystem – am wirksamsten, wenn Prozesse, Menschen und Technik, insbesondere in Finance und Payment, zusammen gedacht werden. Ein Berater für Informationssicherheit ist Ihr Partner auf diesem Weg. Er bringt Methodik, Erfahrung und Praxisnähe. Mit seiner Unterstützung schaffen Sie ein ISMS, das nicht nur Audits besteht, sondern Ihr Unternehmen langfristig schützt und gleichzeitig operativ entlastet. Informationssicherheit wird so vom Pflichtthema zum strategischen Wettbewerbsvorteil.