CIA Informationssicherheit: Schutzziele für Finance-Prozesse

Es ist Mittwochnachmittag, kurz vor 14 Uhr. Die Zahlungsdatei für den wöchentlichen Lieferantenrun ist freigegeben, die Freigabe-E-Mail liegt im Postfach der Buchhaltung. Doch bevor die Datei an die Bank übermittelt wird, fällt einer aufmerksamen Mitarbeiterin auf: Die IBAN eines langjährigen Lieferanten wurde über Nacht geändert. Kein Workflow, kein Ticket, keine Genehmigung. Die Zahlung wäre in wenigen Minuten rausgegangen – an ein unbekanntes Konto. Der Schaden: potenziell sechsstellig. Die Ursache: ein kompromittierter Account, fehlende Kontrollmechanismen, kein Vier-Augen-Prinzip bei Stammdatenänderungen – ein klassischer Fall mangelnder Informationssicherheit.

Solche Szenarien sind keine Seltenheit. Sie zeigen: Informationssicherheit ist kein reines IT-Thema. Sie ist ein Business-Continuity-, Risiko- und Steuerungsthema, das CFOs, IT-Leiter und Revisionsverantwortliche gleichermaßen betrifft. Wenn Vertraulichkeit, Integrität oder Verfügbarkeit in kritischen Finanz- und Verwaltungsprozessen verletzt werden, entstehen direkte Kosten – durch Fraud, Ausfallzeiten, manuelle Nacharbeit, Audit-Feststellungen und Reputationsverluste.

Die Frage ist nicht, ob Sicherheit nötig ist, sondern wie Sie sie strukturiert, messbar und wirtschaftlich sinnvoll umsetzen. Genau hier setzt das Konzept der CIA Informationssicherheit an: ein Denkmodell, das Ihnen hilft, Sicherheitsmaßnahmen zu priorisieren, Risiken zu quantifizieren und Kontrollen auditierbar zu machen – in einer gemeinsamen Sprache zwischen Finance, IT und Revision.

CIA Informationssicherheit: Die drei Schutzziele als Entscheidungsmodell

Die Abkürzung CIA steht für Confidentiality, Integrity, Availability – auf Deutsch: Vertraulichkeit, Integrität, Verfügbarkeit. Diese drei Begriffe bilden die Grundlage der Informationssicherheit und dienen als universelles Orientierungsmodell: Jede Sicherheitsmaßnahme, jede Kontrolle, jede Investitionsentscheidung lässt sich auf eines oder mehrere dieser Schutzziele zurückführen.

Anders als konkrete Sicherheitslösungen – etwa Firewalls, Antivirenprogramme oder SIEM-Systeme – beschreibt die CIA-Triade nicht das Wie, sondern das Was: Welche Ziele wollen wir schützen? Welche Risiken entstehen, wenn eines dieser Ziele verletzt wird? Und welche Kontrollen sind notwendig, um diese Risiken auf ein akzeptables Maß zu senken?

Für CFOs, Leiter Rechnungswesen und IT-Verantwortliche ist die CIA-Triade deshalb mehr als eine technische Definition. Sie ist ein Kommunikations- und Priorisierungsinstrument. Statt über abstrakte Bedrohungen zu sprechen, können Sie sich auf konkrete Fragen konzentrieren:

• Welche Prozesse und Daten sind geschäftskritisch – und welche Schutzziele sind dort besonders relevant?
• Was kostet uns ein Ausfall, eine Manipulation oder ein Datenleck – in Euro und in Reputation?
• Welche Kontrollen sind für Zahlungsverkehr, Stammdaten, E-Rechnung und Reporting unverzichtbar?
• Wie weisen wir diese Kontrollen im Audit nach – und wer ist dafür verantwortlich?

Die CIA-Triade wird häufig um ein viertes Schutzziel ergänzt: Authentizität. Gemeinsam bilden sie das sogenannte CIAA-Quartett. Authentizität stellt sicher, dass Absender, Identität und Dokumente echt sind – und dass Handlungen einer bestimmten Person oder Rolle eindeutig zugeordnet werden können. Gerade in digitalen Freigabe- und Zahlungsprozessen ist das entscheidend.

So übersetzen Sie CIA in messbare Risiken und CFO-Kennzahlen

Für Entscheider in Finance und Verwaltung ist die Frage zentral: Was bedeutet ein Verstoß gegen eines der Schutzziele konkret – in Euro, in Arbeitszeit, in Audit-Feststellungen?

Hier einige typische Übersetzungen:

• Vertraulichkeit verletzt: Unbefugter Zugriff auf Zahlungsdaten, Lieferantenbankverbindungen oder Gehaltsinformationen. Folge: potenzieller Fraud, Datenschutzverletzungen, Meldepflichten, Reputationsschaden, eventuell Bußgelder.
• Integrität verletzt: Manipulation von Stammdaten (z. B. IBAN-Änderung), fehlerhafte Schnittstellen-Mappings, unbemerkte Änderungen in Zahlungsdateien. Folge: falsche Zahlungen, fehlerhafte Reports, Nacharbeit, Rückabwicklung, Vertrauensverlust bei Lieferanten und Partnern.
• Verfügbarkeit verletzt: Systemausfall während Monatsabschluss oder Zahlungsrun, Ransomware-Angriff. Folge: Downtime-Kosten, Verzögerungen, SLA-Verstöße, manuelle Notprozesse, operative Zusatzarbeit.

Ein konkretes Beispiel: Ein CFO möchte wissen, was ein eintägiger Ausfall des ERP-Systems während des Zahlungsruns kostet. Die Antwort setzt sich zusammen aus: entgangenen Skonti, Verzugszinsen, Zusatzarbeit durch manuelle Notprozesse, Reputationsverlust bei Lieferanten und eventuell Vertragsstrafen bei verspäteten Zahlungen an kritische Partner. In vielen Unternehmen liegt dieser Betrag schnell im fünf- bis sechsstelligen Bereich – pro Tag.

Solche Berechnungen ermöglichen es Ihnen, Sicherheitsinvestitionen zu priorisieren: Welche Maßnahmen bringen die größte Risikoreduktion bei vertretbaren Kosten? Wo lohnt sich eine Verstärkung der Kontrollen, wo reicht ein Basisschutz?

Vertraulichkeit: Schutz vor unbefugtem Zugriff auf kritische Finanzinformationen

Vertraulichkeit bedeutet: Informationen dürfen nur von berechtigten Personen oder Systemen eingesehen, abgerufen oder verarbeitet werden. Das klingt selbstverständlich – ist in der Praxis aber oft schwerer zu gewährleisten, als es scheint.

Typische Risiken in Finance und Verwaltung sind:

• Zu breite Berechtigungen: Mitarbeiter haben Zugriff auf Daten, die sie für ihre Arbeit nicht benötigen.
• Fehlende oder schwache Authentifizierung: Accounts ohne Mehrfaktor-Authentifizierung, geteilte Passwörter, ungesicherte Remote-Zugänge.
• Medienbrüche und Schattenablagen: Zahlungsdaten oder Stammdaten werden lokal exportiert, per E-Mail verschickt oder in nicht gesicherten Cloud-Ablagen gespeichert.
• Social Engineering: Angreifer täuschen Identitäten vor, um Zugang zu sensiblen Informationen zu erhalten – etwa über gefälschte E-Mails oder Telefonanrufe.

Die Folgen können gravierend sein: Wird etwa die Zahlungsdatei eines Unternehmens abgegriffen, können Angreifer gezielt Bankverbindungen manipulieren oder Zahlungen umleiten. Werden Gehaltsdaten oder Vertragsinformationen öffentlich, drohen Datenschutzverstöße, Bußgelder und Vertrauensverluste.

Praxisnahe Maßnahmen zur Gewährleistung von Vertraulichkeit:

• Rollen- und Rechtekonzept nach dem Least-Privilege-Prinzip: Jeder Nutzer erhält nur die Berechtigungen, die er für seine Aufgaben tatsächlich benötigt.
• Regelmäßige Rezertifizierung kritischer Berechtigungen, z. B. vierteljährlich oder bei Rollenwechseln.
• Starke Authentifizierung: Mehrfaktor-Authentifizierung für alle Zugriffe auf Finanzsysteme, besonders für privilegierte Accounts und Remote-Zugriffe.
• Verschlüsselung: Daten müssen sowohl bei der Übertragung (z. B. Zahlungsdateien an die Bank) als auch bei der Speicherung geschützt werden.
• Security Awareness: Regelmäßige Schulungen zu Phishing, Social Engineering und sicheren Umgang mit sensiblen Daten.

Der Nutzen für Sie als Entscheider: Geringere Wahrscheinlichkeit von Fraud, schnellere Aufdeckung von Account-Kompromittierungen, bessere Auditierbarkeit – weil Sie nachweisen können, wer wann auf welche Daten zugreifen durfte.

Integrität: Sicherstellung korrekter, vollständiger und unveränderter Daten

Integrität umfasst drei Dimensionen: Daten müssen korrekt, vollständig und unverändert sein. Das betrifft nicht nur die Informationen selbst, sondern auch Metadaten wie Änderungszeitpunkte, Freigabestatus oder Versionsnummern. Darüber hinaus bezieht sich Integrität auch auf die korrekte Funktionsweise von IT-Systemen, Schnittstellen und Berechnungslogiken.

Typische Risiken:

• Manipulation von Stammdaten: Ein Angreifer oder ein kompromittierter Account ändert die Bankverbindung eines Lieferanten – die Zahlung geht an ein falsches Konto.
• Fehlerhafte Schnittstellen: Mapping-Fehler führen dazu, dass Beträge, Kostenstellen oder Buchungskreise falsch übertragen werden.
• Unautorisierte Änderungen: Mitarbeiter nehmen Quick Fixes vor, ohne Workflow oder Dokumentation – Änderungen bleiben unbemerkt und unkontrolliert.
• Malware oder Insider-Bedrohungen: Schadsoftware oder böswillige Akteure manipulieren Daten oder Prozesse unbemerkt.

Ein Praxisbeispiel: In einem mittelständischen Unternehmen wurde die Bankverbindung eines Lieferanten im ERP-System geändert. Die Änderung erfolgte außerhalb des normalen Workflows, es gab keine Freigabe, kein Ticket, keinen zweiten Blick. Erst nach der Zahlung fiel auf, dass das Geld auf ein unbekanntes Konto überwiesen worden war. Der finanzielle Schaden: über 80.000 Euro. Der Reputationsschaden: erheblich. Die Ursache: fehlende Integrität-Kontrollen.

Maßnahmen zur Sicherstellung von Integrität:

• Vier-Augen-Prinzip und Workflow-Freigaben: Änderungen an Stammdaten, Zahlungsfreigaben und kritischen Parametern müssen von einer zweiten Person geprüft und genehmigt werden.
• Änderungsprotokolle und Audit Trails: Jede Änderung wird automatisch protokolliert – wer, wann, was, warum. Regelmäßige Reviews dieser Protokolle decken Ausnahmen und Auffälligkeiten auf.
• Digitale Signaturen oder Hash-Prüfungen: Bei besonders sensiblen Dateien (z. B. Zahlungsdateien) können technische Verfahren sicherstellen, dass Änderungen erkennbar sind.
• Change-Management für Systeme und Schnittstellen: Jede Änderung an Systemkonfigurationen, Mappings oder Berechnungslogiken durchläuft einen strukturierten Test- und Freigabeprozess.
• Segregation of Duties: Die Rollen Anlegen, Ändern, Freigeben und Zahlen dürfen nicht in einer Hand liegen.

Der Business-Nutzen: Sie verhindern direkte finanzielle Verluste, vermeiden fehlerhafte Reports und Entscheidungen, reduzieren Nacharbeitsaufwand und minimieren Audit-Findings. Gleichzeitig schaffen Sie Vertrauen bei Partnern und Lieferanten.

Verfügbarkeit: Sicherstellung zugänglicher Systeme in kritischen Momenten

Verfügbarkeit bedeutet: Informationen, IT-Systeme und Anwendungen sind dann zugänglich und nutzbar, wenn sie gebraucht werden. Das ist besonders wichtig für fristgebundene Prozesse wie Zahlungsruns, Monats- und Jahresabschlüsse oder die Verarbeitung eingehender E-Rechnungen.

Typische Risiken:

• Systemausfälle durch technische Fehler, Netzwerkstörungen oder fehlerhafte Software-Updates.
• Ransomware-Angriffe, die Daten verschlüsseln und Systeme unzugänglich machen.
• Denial-of-Service-Angriffe, die Systeme durch Überlastung lahmlegen.
• Fehlkonfigurationen oder fehlgeschlagene Releases, die Anwendungen unbrauchbar machen.

Die Auswirkungen sind unmittelbar spürbar: Downtime bedeutet Stillstand. Zahlungen können nicht freigegeben werden, Monatsabschlüsse verzögern sich, Lieferanten und Kunden warten, operative Zusatzarbeit entsteht. Hinzu kommen SLA-Verstöße, Reputationsschäden und im schlimmsten Fall regulatorische Konsequenzen.

Maßnahmen zur Gewährleistung von Verfügbarkeit:

• Backup- und Restore-Strategien: Regelmäßige Backups sind Standard – entscheidend ist aber, dass Restore-Prozesse getestet werden. Recovery Time Objective (RTO) und Recovery Point Objective (RPO) müssen klar definiert und eingehalten werden.
• Redundanz und Failover: Kritische Systeme sollten redundant ausgelegt sein, sodass bei Ausfall einer Komponente ein Ersatzsystem übernehmen kann.
• Kapazitäts- und Patch-Management: Systeme müssen ausreichend dimensioniert sein, um Lastspitzen zu bewältigen. Sicherheitsupdates müssen zeitnah eingespielt werden – ohne die Stabilität zu gefährden.
• Notfallprozesse für Finance: Wenn das ERP-System ausfällt, braucht es definierte Notfallprozesse – etwa einen manuellen Zahlungsnotbetrieb mit klaren Limits, Freigaben und späterer Nachbuchung.
• Incident Response und Business Continuity Management: Rollen, Eskalationswege und Kommunikationspläne müssen vorab festgelegt und regelmäßig geübt werden – idealerweise mit Tabletop-Übungen, die realistische Szenarien durchspielen.

Der Nutzen: Sie minimieren Ausfallkosten, halten Fristen ein, sichern SLA-Einhaltung und schaffen Vertrauen bei internen und externen Stakeholdern. Gleichzeitig verbessern Sie die Reaktionsfähigkeit im Krisenfall und reduzieren manuelle Zusatzarbeit.

Balance und Trade-offs: Schutzziele priorisieren statt überall maximal absichern

Ein häufiges Missverständnis: Alle drei Schutzziele müssen immer und überall auf höchstem Niveau gewährleistet werden. Das ist weder praktikabel noch wirtschaftlich sinnvoll. In der Praxis entstehen Zielkonflikte:

• Strenge Zugriffsbeschränkungen erhöhen die Vertraulichkeit – können aber die Verfügbarkeit einschränken, wenn Mitarbeiter in Notfällen nicht schnell genug auf benötigte Daten zugreifen können.
• Zusätzliche Freigabeschritte stärken die Integrität – verlängern aber Durchlaufzeiten und können Prozesse verlangsamen.
• Hohe Redundanz verbessert die Verfügbarkeit – erhöht aber Kosten und Komplexität.

Die Lösung liegt in einer risikobasierten Priorisierung:

1. Schutzbedarf festlegen: Welche Prozesse, Daten und Systeme sind geschäftskritisch? Wo ist der finanzielle und operative Impact am höchsten?
2. Risikoklassen definieren: Hoch, mittel, niedrig – je nach Eintrittswahrscheinlichkeit und Schadenshöhe.
3. Minimal-Kontrollset festlegen: Welche Kontrollen sind unverzichtbar, um akzeptable Risiken zu erreichen?
4. Gezielte Verstärkung: Nur dort, wo der Impact besonders hoch ist, investieren Sie in zusätzliche Maßnahmen.

Dieser Ansatz ermöglicht es Ihnen, Investitionen gezielt zu steuern, Budgets zu begründen und Sicherheitsdebatten zu versachlichen. Sie können gegenüber Vorstand, Aufsichtsrat oder Wirtschaftsprüfern klar darlegen: Hier haben wir priorisiert, weil hier der größte Schaden entstehen würde – und hier haben wir bewusst auf zusätzliche Kontrollen verzichtet, weil das Risiko vertretbar ist.

Erweiterung CIAA: Authentizität als viertes Schutzziel

Die klassische CIA-Triade wird häufig um das Schutzziel Authentizität erweitert. Authentizität bedeutet: Die Echtheit und Vertrauenswürdigkeit von Identitäten, Dokumenten und Systemen ist sichergestellt.

Konkret heißt das:

• Eine E-Mail stammt tatsächlich von der angegebenen Absenderin.
• Ein Dokument wurde von der Person erstellt, die als Autorin angegeben ist.
• Ein Nutzer, der sich anmeldet, ist wirklich die Person, für die er sich ausgibt.

Authentizität ist besonders relevant in Freigabe- und Zahlungsprozessen. Beispiele:

• CEO-Fraud: Ein Angreifer gibt sich als Geschäftsführer aus und fordert per E-Mail eine dringende Überweisung an.
• Gefälschte Rechnungen: Ein Dokument wird manipuliert, sodass eine falsche Bankverbindung erscheint – aber die Rechnung sieht echt aus.
• Kompromittierte Accounts: Ein Angreifer übernimmt einen Account und nutzt ihn, um Freigaben zu erteilen oder Stammdaten zu ändern.

Maßnahmen zur Gewährleistung von Authentizität:

• Starke Authentifizierungsverfahren: Mehrfaktor-Authentifizierung, individuelle Accounts (kein Passwort-Sharing).
• Digitale Signaturen: Elektronische Signaturen können die Echtheit von Dokumenten und Freigaben belegen.
• Out-of-band-Verifikation: Bei sensiblen Änderungen (z. B. Bankdatenänderung) erfolgt eine Rückbestätigung über einen zweiten Kanal – etwa per Telefon.
• Audit Trails: Jede Handlung wird protokolliert und ist einer konkreten Identität zuordenbar.

Eng verbunden mit Authentizität ist das Konzept der Nichtabstreitbarkeit: Handlungen sollen nicht unzulässig abstreitbar sein. Wenn ein Nutzer eine Freigabe erteilt hat, muss diese Handlung nachvollziehbar und zuordenbar sein – und zwar so, dass sich der Nutzer später nicht darauf berufen kann, das war ich nicht.

In der Praxis bedeutet das: individuelle Accounts, keine gemeinsam genutzten Passwörter, saubere Protokollierung, klare Verantwortlichkeiten.

Minimaler Kontrollsatz für Zahlungsverkehr und Stammdaten

Für CFOs und Finanzverantwortliche ist die zentrale Frage: Welche Kontrollen sind unverzichtbar, um Zahlungsverkehr und Stammdaten sicher und prüfbar zu gestalten?

Hier ein praxisnaher Minimal-Kontrollsatz:

Zahlungsverkehr

• Dual Control/Vier-Augen-Freigabe: Jede Zahlung wird von zwei Personen geprüft und freigegeben. Betragslimits definieren, ab wann zusätzliche Freigaben erforderlich sind.
• Getrennte Rollen: Die Funktionen Erstellen, Freigeben und Senden von Zahlungen liegen in verschiedenen Händen.
• Schutz der Zahlungsdatei: Gesicherte Ablage, Zugriffskontrolle, optional Hash-Prüfung oder digitale Signatur.
• Bankkanal-Absicherung: Mehrfaktor-Authentifizierung für Banking-Software, Whitelists für Empfänger, soweit möglich.
• Tägliche Kontrollreports: Automatisierte Reports zeigen neue Empfänger, geänderte IBAN, Zahlungen über Schwellwert oder ungewöhnliche Muster.

Stammdaten (Debitor, Kreditor, Bankdaten)

• Änderungen nur über Workflow: Keine direkten Änderungen in der Datenbank oder im System ohne strukturierten Prozess.
• Vier-Augen-Prinzip: Jede Stammdatenänderung muss von einer zweiten Person genehmigt werden.
• Begründungspflicht: Jede Änderung erfordert einen Begründungstext oder ein Ticket.
• Rezertifizierung kritischer Berechtigungen: Monatlich oder vierteljährlich prüfen, wer Stammdaten ändern darf.
• Audit Trail und Review: Alle Änderungen werden protokolliert. Regelmäßige Stichprobenprüfungen decken Ausnahmen auf.
• Verifikation bei Bankdatenänderung: Out-of-band-Rückruf oder schriftliche Bestätigung gemäß definierter Policy.

Diese Kontrollen sind nicht nur technisch umsetzbar, sondern auch auditierbar: Sie können nachweisen, dass die Kontrollen existieren, regelmäßig durchgeführt werden und Ausnahmen dokumentiert und begründet sind.

Operative Sicherheitsbausteine: Umsetzung in Finance- und Verwaltungsprozessen

Wie setzen Sie die Schutzziele praktisch um? Hier ein Überblick über zentrale operative Bausteine – ohne Tool-Overload, dafür mit Fokus auf Fähigkeiten und Routinen:

Identity and Access Management

• Mehrfaktor-Authentifizierung für alle Zugriffe auf Finanzsysteme.
• Rollenmodelle nach Least Privilege: Nur die notwendigen Berechtigungen.
• Joiner-Mover-Leaver-Prozess: Berechtigungen werden bei Eintritt, Rollenwechsel und Austritt automatisch angepasst.

Protokollierung und Nachweise

• Zentrale Logs für sicherheitsrelevante Ereignisse.
• Revisionssichere Aufbewahrung.
• Definierte Review-Routinen: Wer prüft was, wann, wie werden Auffälligkeiten behandelt?

Schutz und Detektion

• Netzwerksegmentierung: Kritische Systeme getrennt vom Rest.
• Endpoint Detection and Response (EDR): Schutz vor Malware auf Arbeitsplätzen und Servern.
• Basis-Härtung: Sichere Standardkonfigurationen, regelmäßige Patch-Zyklen.

SIEM und Security Operations

• Fähigkeit, Ereignisse zu korrelieren, Alarme zu priorisieren, Response zu steuern – nicht primär die Produktauswahl.

Incident-Handling und Business Continuity

• Definierte Rollen und Eskalationswege.
• Tabletop-Übungen mit Finance-Szenarien (z. B. Ausfall während Zahlungsrun).
• Notfallhandbücher, die regelmäßig aktualisiert und getestet werden.

Backup und Restore

• Nicht nur Backup vorhanden, sondern Restore regelmäßig testen und dokumentieren.
• RTO und RPO klar definieren und kommunizieren.

Praxisfälle: Vorher-Nachher mit messbarem Effekt

Fall 1: Integrität und Fraud – Manipulation der Bankverbindung

Ausgangslage: Ein mittelständisches Unternehmen nutzte ein ERP-System ohne strukturierte Workflows für Stammdatenänderungen. Berechtigungen waren breit vergeben, es gab kein Vier-Augen-Prinzip. Ein kompromittierter Account änderte die Bankverbindung eines Lieferanten. Die Zahlung ging raus – 82.000 Euro an ein unbekanntes Konto.

Maßnahmen: Einführung eines Workflow-basierten Stammdaten-Managements mit Vier-Augen-Freigabe, Begründungspflicht und Audit Trail. Out-of-band-Verifikation bei Bankdatenänderungen. Monatliche Berechtigungsreviews. Automatisierte Ausnahme-Reports für Änderungen außerhalb des Workflows.

Ergebnis: Seit Einführung der Kontrollen kein Fraud-Vorfall mehr. Nacharbeit für manuelle Korrekturen um 60 Prozent gesunken. Audit-Findings im Bereich Stammdaten vollständig behoben.

Nachweis im Audit: Änderungsprotokolle, Freigabe-Records, Review-Protokolle, Tickets mit Begründungen.

Fall 2: Verfügbarkeit – Ransomware legt Finanzsysteme lahm

Ausgangslage: Ein Ransomware-Angriff verschlüsselte Teile des ERP-Systems. Der Zahlungsrun konnte nicht durchgeführt werden. Ausfallkosten: ca. 15.000 Euro pro Tag (Skonti, Verzugszinsen, Zusatzarbeit). Wiederherstellung dauerte vier Tage.

Maßnahmen: Segmentierte Backups mit getrennter Netzwerkzone. Regelmäßige Restore-Tests (vierteljährlich). Notfallzahlungsprozess mit manuellen Limits und Freigaben. Incident-Response-Plan mit klaren Rollen. Tabletop-Übung alle sechs Monate.

Ergebnis: RTO reduziert auf acht Stunden. Ausfallkosten im Worst Case auf ca. 5.000 Euro begrenzt. Notfallprozess wurde in einer Übung erfolgreich getestet – Zahlungsfähigkeit bleibt auch bei System-Ausfall gewährleistet.

Nachweis: Restore-Testprotokolle, Notfallhandbuch, Übungsprotokolle, RTO/RPO-Dokumentation.

Fall 3: Vertraulichkeit und Authentizität – Phishing kompromittiert Accounts

Ausgangslage: Phishing-E-Mail führte zur Kompromittierung mehrerer Accounts. Angreifer erhielten Zugriff auf Rechnungsdaten und Workflows. Schaden: begrenzt, da frühzeitig erkannt – aber erheblicher Aufwand für Analyse und Bereinigung.

Maßnahmen: Einführung von Conditional Access und Mehrfaktor-Authentifizierung für alle Finance-Systeme. Privilegierte Accounts mit zusätzlichen Kontrollen. Security-Awareness-Trainings vierteljährlich. Monitoring riskanter Anmeldungen mit automatischer Alarmierung. Klarer Meldeweg für verdächtige E-Mails.

Ergebnis: Phishing-Erfolgsquote sank um über 80 Prozent. Incident-Response-Zeit halbiert. Trainingsquote liegt bei 95 Prozent.

Nachweis: MFA-Abdeckung, Trainingsquote, Incident-Tickets, Review der riskanten Sign-ins.

Mess- und Steuerungsperspektive: KPIs für Entscheider

Um Informationssicherheit steuerbar zu machen, brauchen Sie Kennzahlen, die Risiken, Kosten und Kontrollreifegrad sichtbar machen:

Impact- und Kostenindikatoren

• Ausfallkosten pro Tag (z. B. für ERP-System, Zahlungsverkehr).
• Fraud-Verluste und Beinahe-Schäden.
• Nacharbeitsstunden für manuelle Korrekturen.
• Zahlungsverzugskosten durch verspätete Zahlungsruns.

Kontrollindikatoren

• Anteil der Nutzer mit Mehrfaktor-Authentifizierung.
• Anzahl kritischer Berechtigungen und Rezertifizierungsquote.
• Anzahl ungeprüfter Stammdatenänderungen.
• Restore-Erfolgsquote bei Tests.
• Patch- und Change-Disziplin (z. B. Anteil fristgerecht eingespielter Updates).

Risiko-Workshops

Regelmäßige Workshops mit Vertretern aus Finance, IT und Revision helfen, Schutzbedarf zu klären, Impact und Eintrittswahrscheinlichkeit zu bewerten und eine Prioritätenliste für Maßnahmen zu erstellen.

ROI-Logik

Stellen Sie die Frage: Was kostet ein Tag Ausfall und vergleichen Sie diese Kosten mit den Kosten der Maßnahmen. Fragen Sie: Wie viele Ausnahmen und wie viel manuelle Arbeit sparen wir durch diese Kontrolle?

Diese Kennzahlen ermöglichen es Ihnen, Sicherheitsinvestitionen zu begründen, Fortschritte zu messen und gegenüber Vorstand, Aufsichtsrat oder Wirtschaftsprüfern klar zu kommunizieren.

Third-Party- und Lieferkettenrisiken: Abhängigkeiten steuern

In digitalisierten Finance- und Verwaltungsprozessen sind Sie auf externe Partner angewiesen: ERP- und Cloud-Provider, E-Rechnungsplattformen, Payment-Dienstleister, Banken, IT-Outsourcing-Partner, Managed-Service-Anbieter.

Diese Abhängigkeiten bergen Risiken:

• Datenflüsse: Wo werden welche Daten verarbeitet, gespeichert, übertragen?
• Verantwortungsgrenzen: Wer ist für welche Schutzziele verantwortlich?
• Zugriffswege: Welche externen Partner haben Zugriff auf Ihre Systeme – und wie wird dieser Zugriff kontrolliert?
• Subdienstleister: Welche weiteren Parteien sind involviert?
• Exit- und Notfallfähigkeit: Was passiert, wenn ein Partner ausfällt oder die Zusammenarbeit endet?

Praktische Steuerung:

• Mindestanforderungen definieren (z. B. Zertifizierungen, Sicherheitsstandards).
• Security-Ansprechpartner beim Dienstleister benennen.
• Incident-Meldepflichten vertraglich vereinbaren.
• Regelmäßige Reviews (z. B. jährlich) – unterstützt durch Berichte, Attestierungen oder Audits.
• Notfallpläne für kritische Abhängigkeiten entwickeln.

Der Nutzen: Sie behalten die Kontrolle über Ihre Daten und Prozesse, auch wenn Sie Teile der Leistung extern beziehen. Sie können im Audit nachweisen, dass Sie Third-Party-Risiken systematisch adressieren.

Compliance und Regulatorik: Orientierung statt Paragrafendschungel

Die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität tauchen in vielen regulatorischen Anforderungen und Standards auf. Für regulierte Branchen wie Finanzdienstleistungen oder öffentliche Verwaltung sind sie oft explizit gefordert.

Beispiele:

• DSGVO, Artikel 32: Vertraulichkeit, Integrität, Verfügbarkeit sowie Belastbarkeit und Resilienz von Systemen und Diensten müssen durch geeignete technische und organisatorische Maßnahmen sichergestellt werden.
• IT-Sicherheitsgesetz: Betreiber kritischer Infrastrukturen müssen organisatorische und technische Vorkehrungen treffen, um die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität ihrer IT-Systeme zu gewährleisten.
• BAIT und VAIT: Anforderungen an IT-Systeme und IT-Prozesse in Banken und Versicherungen umfassen die Wahrung aller vier Schutzziele.

Für Sie als Entscheider ist nicht der Paragraf entscheidend, sondern die prüfbare Umsetzung: Haben Sie Kontrollen implementiert? Werden diese regelmäßig durchgeführt? Gibt es Nachweise? Sind Verantwortlichkeiten klar?

Die CIA- bzw. CIAA-Schutzziele bieten Ihnen eine Orientierung, die über einzelne Anforderungen hinausgeht – und gleichzeitig kompatibel mit den meisten regulatorischen Frameworks ist.

Fazit: CIA als strukturierter Zugang zu Sicherheit in Finance-Prozessen

Die CIA Informationssicherheit – ergänzt um Authentizität zum CIAA-Quartett – ist mehr als eine technische Definition. Sie ist ein Denkmodell, das Ihnen hilft, Sicherheit strukturiert, messbar und wirtschaftlich sinnvoll zu gestalten.

Für CFOs, Leiter Rechnungswesen und IT-Verantwortliche bedeutet das konkret:

• Sie können Risiken in Euro-Impact übersetzen und Investitionen priorisieren.
• Sie schaffen eine gemeinsame Sprache zwischen Finance, IT und Revision.
• Sie designen Kontrollen so, dass sie auditierbar sind – mit klaren Nachweisen, Verantwortlichkeiten und Reviews.
• Sie reduzieren Vorfallkosten, manuelle Nacharbeit und Audit-Reibung.
• Sie stärken die Stabilität und Verlässlichkeit Ihrer Kernprozesse – Zahlungsverkehr, Stammdaten, E-Rechnung, Reporting.

Unser Rat: Nutzen Sie die CIA- bzw. CIAA-Schutzziele als Checkliste für Ihre kritischen Prozesse. Fragen Sie sich:

• Ist Vertraulichkeit gewährleistet – wer darf auf welche Daten zugreifen?
• Ist Integrität sichergestellt – wie verhindern wir Manipulation und Fehler?
• Ist Verfügbarkeit gesichert – was passiert bei Ausfall?
• Ist Authentizität gegeben – können wir Identitäten und Dokumente vertrauen?

Wenn Sie diese Fragen für Zahlungsverkehr, Stammdaten, E-Rechnung und Reporting klar beantworten können – und die Kontrollen nachweisbar umsetzen –, haben Sie ein solides Fundament geschaffen. Eines, das Kosten senkt, Risiken mindert und Vertrauen stärkt. Ein Fundament, das nicht nur technisch funktioniert, sondern auch für Menschen nachvollziehbar ist – für Ihr Team, für Ihre Partner, für Revision und Wirtschaftsprüfung. Wenn Sie die Einführung oder Optimierung der E-Rechnungsprozesse im Kontext der CIAA-Schutzziele strukturiert angehen möchten, kann eine E-Rechnung-Beratung helfen, Anforderungen, Kontrollen und Nachweise sauber zusammenzubringen.