Blog

Schutzziele Informationssicherheit BSI: Praxisleitfaden für CFOs

Geschrieben von Bonpago | Mar 3, 2026 7:00:01 AM

Der Monatsabschluss steht bevor. Zahlungsfreigaben laufen wie gewohnt per E-Mail und Excel-Liste. Parallel dazu erreicht Sie eine Warnmeldung: verdächtige Login-Versuche auf das ERP-System. Ein Branchenkollege meldet einen Ransomware-Vorfall, der den Zahlungsverkehr für drei Tage lahmlegte. Solche Szenarien sind heute keine Seltenheit mehr. Sie werfen eine zentrale Frage auf: Welche Schutzziele der Informationssicherheit definiert das BSI – und wie übersetzen Sie diese Ziele in wirksame, messbare Maßnahmen in Ihren Finance- und Verwaltungsprozessen?

Warum Schutzziele der Informationssicherheit jetzt entscheidungsrelevant sind

Cyberkriminalität verursacht jährlich Schäden in Milliardenhöhe. Zahlungsbetrug, Erpressung durch Ransomware, Betriebsunterbrechungen und Datenabfluss sind reale Risiken mit direkten und indirekten Kosten. Direkte Kosten entstehen durch Fehlzahlungen, Stillstandzeiten, Incident Response, externe Dienstleister und Sonderprüfungen. Indirekte Kosten zeigen sich in Reputationsverlusten, verlorenem Vertrauen bei Lieferanten und Kunden sowie erhöhter Prüfungsintensität.

Treiber dieser Entwicklung sind standortunabhängiges Arbeiten, die zunehmende Nutzung von Cloud-Diensten und externen Dienstleistern, mehr Schnittstellen und APIs sowie wachsende Datenmengen. Hinzu kommen schnelle Systemwechsel im Zuge von ERP-Transformationen. Für Entscheiderinnen und Entscheider in Finance und IT bedeutet dies: Informationssicherheit ist kein reines IT-Thema mehr, sondern ein Business-Enabler. Sie sichert Betriebsfähigkeit, Steuerbarkeit und Prüfungsfestigkeit.

Begriffsklärung: Informationssicherheit, IT-Sicherheit und Datenschutz

Bevor wir in die Schutzziele einsteigen, ist es wichtig, die Begriffe klar zu trennen. Informationssicherheit bezeichnet den Schutz von Informationen unabhängig vom Trägermedium – ob auf Papier, in IT-Systemen oder in den Köpfen Ihrer Mitarbeiterinnen und Mitarbeiter. IT-Sicherheit ist eine Teilmenge und fokussiert sich auf den Schutz von IT-Systemen und Netzwerken. Datenschutz und Datensicherheit beziehen sich auf personenbezogene Daten im Sinne der DSGVO, während Informationssicherheit auch Unternehmensinformationen wie Preislisten, Bankdaten oder Abschlusszahlen umfasst.

Zwei weitere Begriffe sind zentral: Authentifizierung meint die Prüfung der Identität einer Person oder eines Systems. Autorisierung hingegen regelt die Vergabe von Rechten, also was eine authentifizierte Person tun darf. Integrität bedeutet nicht nur Schutz vor unbemerkter oder unerlaubter Änderung, sondern auch Nachvollziehbarkeit von Änderungen. Verfügbarkeit umfasst nicht nur, dass ein System läuft, sondern auch die Fähigkeit zur Wiederherstellung mit definierten RTO- und RPO-Werten. (Wenn Sie die Abgrenzung im Detail vertiefen möchten, hilft der Beitrag zum Unterschied zwischen Datenschutz und Informationssicherheit.)

BSI als Referenzrahmen: Was bedeutet „BSI-Schutzziele" in der Praxis?

Das Bundesamt für Sicherheit in der Informationstechnik definiert im IT-Grundschutz klare Schutzziele als Zielbilder für die Informationssicherheit. Diese Schutzziele dienen als Grundlage, um Maßnahmen abzuleiten – basierend auf dem Schutzbedarf und der Risikoanalyse. Der IT-Grundschutz ist eng verzahnt mit der internationalen Norm ISO 27001, die ein Informationssicherheits-Managementsystem als Umsetzungsrahmen bereitstellt. Ein solches System ist rollenbasiert, risikoorientiert und messbar.

Für Entscheiderinnen und Entscheider bietet diese Logik einen klaren Vorteil: Sie können Risiken priorisieren, Investitionen begründen, Audits vorbereiten und belastbare Nachweise liefern. Die Schutzziele Informationssicherheit schaffen ein gemeinsames Vokabular zwischen CFO, IT-Leitung, Revision, Compliance und den Fachbereichen. Sie machen Risiken bewertbar, stärken das Interne Kontrollsystem, helfen bei der Priorisierung von Investitionen und senken langfristig Prüfungsaufwände.

Die vier zentralen Schutzziele im Detail

Das BSI definiert vier zentrale Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität. Jedes dieser Ziele adressiert eine spezifische Dimension der Informationssicherheit und ist direkt mit Finance-Prozessen verknüpft.

Vertraulichkeit: Nur Befugte erhalten Zugang

Vertraulichkeit stellt sicher, dass nur autorisierte Personen Zugang zu Informationen erhalten. Typische Verletzungen entstehen durch fehlerhafte Berechtigungen, unverschlüsselte Datenübertragungen, Datenabfluss über E-Mail oder unsichere Cloud-Links sowie Schatten-IT. In Finance-Prozessen betrifft dies unter anderem Zahlungsdateien, Bankverbindungen, Konditionslisten, Personaldaten, Vergabeunterlagen und interne Reports.

Ein Beispiel: Wird eine SEPA-Datei unverschlüsselt per E-Mail versendet, kann sie abgefangen und missbraucht werden. Die Kontrolle liegt in der Implementierung klarer Rollen- und Rechtekonzepte, der Verschlüsselung sensibler Datenströme und der regelmäßigen Rezertifizierung von Zugriffsrechten.

Integrität: Vollständigkeit und Nachvollziehbarkeit gewährleisten

Integrität bedeutet, dass Informationen vollständig, korrekt und nicht unbemerkt verändert sind. Änderungen müssen nachvollziehbar sein – inklusive Metadaten wie Zeitstempel und Bearbeiterin. Typische Verletzungen sind manipulierte Bankverbindungen im Kreditorenstamm, unkontrollierte Excel-Versionen, fehlende Protokollierung und fehlerhafte Schnittstellen.

In Finance-Prozessen ist Integrität entscheidend für korrekte Buchungen, saubere Stammdaten, verlässliche Reporting-Zahlen und Fraud-Prävention. Ein Beispiel: Wird die IBAN eines Lieferanten ohne Dual Control und Verifikation geändert, können Zahlungen auf ein falsches Konto fließen. Kontrollen umfassen Workflows mit Vier-Augen-Prinzip, Audit-Trails und Master-Data-Governance mit klaren Data Ownern.

Verfügbarkeit: Systeme nutzbar halten und wiederherstellen

Verfügbarkeit sichert, dass Systeme und Informationen nutzbar sind, wenn sie benötigt werden – inklusive schneller Wiederherstellung nach Ausfällen. Typische Verletzungen entstehen durch Ransomware, Systemausfälle, DDoS-Attacken, fehlende Redundanzen und ungeprüfte Backups. Für Finance bedeutet dies: Zahlungsfähigkeit, fristgerechte Abschlüsse, Einhaltung von Service-Levels und kontinuierliche Verwaltungsleistungen.

Ein Beispiel: Ein Ransomware-Angriff legt den Fileserver lahm, auf dem Zahlungsdateien gespeichert sind. Ohne getestete Backups und klare Notfallpläne kann die Zahlungsfähigkeit für Tage unterbrochen sein. Kontrollen umfassen definierte RTO/RPO, regelmäßige Restore-Tests, Segmentierung, Monitoring und Incident-Response-Playbooks.

Authentizität: Echtheit von Identität und Quelle sicherstellen

Authentizität garantiert, dass Identität und Quelle einer Information echt sind. Dies betrifft Personen, Absender und Urheber. In der Praxis ist dies besonders relevant für CEO-Fraud, Lieferantenbetrug, Account Takeover und gefälschte Rechnungsanhänge.

Ein Beispiel: Eine E-Mail, die vorgibt, von der Geschäftsführung zu stammen, fordert eine dringende Überweisung auf ein unbekanntes Konto. Ohne starke Authentifizierung wie Multi-Faktor-Authentifizierung und Out-of-band-Verifikation ist das Risiko hoch. Kontrollen umfassen MFA für alle kritischen Zugänge, Absenderprüfungen und definierte Verifikationsprozesse bei sensiblen Änderungen.

Erweiterte Schutzziele: Zurechenbarkeit und Nichtabstreitbarkeit

Zusätzlich zu den vier Hauptzielen spielen Zurechenbarkeit und Nichtabstreitbarkeit eine wichtige Rolle für die Prüfungsfestigkeit. Zurechenbarkeit bedeutet, dass Handlungen eindeutig einem Konto oder einer Person zuordenbar sind. Nichtabstreitbarkeit stellt sicher, dass diese Handlungen nicht plausibel abgestritten werden können.

In der Praxis heißt das: eindeutige Benutzerkonten, keine Shared Accounts, revisionssichere Protokollierung und digitale Freigabe-Workflows mit manipulationsarmen Logs. Dies ist insbesondere für IKS-Nachweise und Wirtschaftsprüfungen entscheidend.

Warum Schutzziele nicht nur IT betreffen: Finance- und Verwaltungsrealität

Die Schutzziele sind nicht abstrakt, sondern betreffen konkrete Informationswerte und Prozessstellen in Finance und Verwaltung. Kritische Informationen sind unter anderem Zahlungsdaten und SEPA-XML-Dateien, EBICS- und Bankzugänge, SWIFT- und Provider-Zugänge, Kreditoren- und Debitorenstammdaten, Bankverbindungen, Mandate, Rechnungen, Gutschriften, Zahlungsavise, Kontoauszüge, Verträge, Preis- und Konditionslisten, Budget- und Forecast-Daten sowie Rollen- und Berechtigungskonzepte, Freigabeprotokolle und Audit-Trails.

Typische Prozessstellen mit hohem Risiko sind Medienbrüche, Ausnahmen und manuelle Notfreigaben, Stammdatenänderungen ohne gesicherte Identität oder Out-of-band-Check, intransparenter Dateiverkehr, fehlende Checks, fehlendes Monitoring sowie unklare Ownership zwischen Fachbereich, IT und Shared Services und fehlende Kontrollnachweise.

Typische Bedrohungs- und Fehlerquellen in Finance-Prozessen

Bedrohungen und Fehlerquellen sind vielfältig. Externe Bedrohungen umfassen Phishing, Social Engineering, Ransomware, Malware, Credential Stuffing und Account Takeover. Interne Risiken entstehen durch Fehlbedienung, Berechtigungswildwuchs, Schatten-IT und Umgehung von Kontrollen. Technische Schwachstellen sind ungepatchte Systeme, fehlerhafte Schnittstellen, fehlende Segmentierung und unzureichendes Monitoring. Organisatorische Lücken zeigen sich in unklaren Policies, fehlenden Schulungen, fehlender Rezertifizierung und fehlender Vendor-Steuerung.

Folgen von Schutzzielverletzungen in CFO-Logik

Welche konkreten Folgen haben Verletzungen der Schutzziele? Bei der Vertraulichkeit führt Datenabfluss zu Verhandlungs- und Wettbewerbsschäden, unter Umständen auch zu Konsequenzen nach DSGVO. Bei der Integrität resultieren falsche Zahlungen oder Abschlüsse in Fraud, Fehlentscheidungen und IKS-Findings. Bei der Verfügbarkeit verursachen Zahlungsstopps oder Abschlussverzug Liquiditäts- und Lieferketteneffekte. Bei der Authentizität führen Identitäts- oder Absenderfälschungen zu umgeleiteten Zahlungen, Fake-Invoices und unautorisierte Freigaben.

CFO-Entscheidungsunterstützung: Baseline versus Zielzustand

Um Investitionen zu priorisieren, hilft ein klarer Vergleich zwischen Baseline und Zielzustand. Die Baseline umfasst oft E-Mail-Freigaben, unklare Rollen, keine Rezertifizierung, schwer auswertbare Logs und Backups ohne Restore-Test. Der Zielzustand beinhaltet workflow-basierte Freigaben, Dual Control, saubere Rollen, zentrale Logs mit Alerts, getestete Wiederherstellung und klare Ownership.

Für die Quantifizierung genügt eine pragmatische Logik: Schadensklassen definieren, Erwartungswert-Logik nutzen und Investitionen nach Risikoreduktion plus Audit- und IKS-Relevanz priorisieren. Eine Fehlzahlung von 50.000 Euro ist ein mittlerer Schaden. Ein Stillstand von drei Tagen kann ein großer Schaden sein. Eine Revisionsfeststellung mit Maßnahmenpaket ist ein mittlerer indirekter Schaden.

Anbindung an Prüfungs- und Compliance-Anforderungen

Die Schutzziele sind eng verbunden mit typischen Prüfungs- und Compliance-Anforderungen. Das Interne Kontrollsystem verlangt Vier-Augen-Prinzip, Berechtigungsmanagement, Änderungsprotokolle und Prozessdokumentation. Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff fordern Nachvollziehbarkeit, Vollständigkeit und Unveränderbarkeit in relevanten Prozessketten.

Die IDW-Prüfungsstandards bieten weitere Orientierung. IDW PS 951 verlangt Nachweise zu Kontrollen, Zugriffen, Logs sowie Change-, Incident- und Business-Continuity-Management. IDW PS 982 fordert risikoorientierte Steuerung, Monitoring und Wirksamkeitsprüfung. Die Quintessenz: Schutzziele führen zu Kontrollen, Kontrollen erzeugen belastbare Nachweise – und diese reduzieren Prüfungsaufwand und Findings.

Top 10 Kontrollen für Finance: Priorisiert und CFO-tauglich

Welche Kontrollen bieten das beste Verhältnis von Aufwand zu Wirkung? Hier sind die Top 10:

  1. MFA für alle kritischen Finance-Zugänge: ERP, Banking/EBICS, Payment-Provider, Admin-Konten
  2. Dual Control/Vier-Augen-Prinzip: für Zahlungen und Stammdatenänderungen, insbesondere Bankverbindungen
  3. Out-of-band-Verifikation: bei Bankdatenänderung über bekannte Nummer, Lieferantenportal oder definierten Kanal
  4. Rollen-/Rechtekonzept nach Least Privilege: plus quartalsweise Rezertifizierung für Finance-kritische Rollen
  5. Verbot von Shared Accounts: plus eindeutige Identitäten inklusive Dienstleisterzugänge, Break-Glass geregelt
  6. Revisionssichere Protokollierung: wer/was/wann für Freigaben, Stammdaten, Zahlungsdatei-Generierung, Exporte
  7. Zahlungsverkehrskontrollen: Limits, Whitelists, Empfängerprüfung, Auffälligkeitschecks wie neue IBAN oder Betragsausreißer
  8. Backup- und Restore-Fähigkeit: definierte RTO/RPO für Finance-Prozesse plus regelmäßige Restore-Tests
  9. Patch-/Vulnerability-Management: mit SLA für kritische Systeme wie ERP-Umfeld, Schnittstellenserver, Jump Hosts
  10. Awareness und Anti-Phishing-Prozess: Training, Meldeweg, simulierte Phishing-Kampagnen, klare Reaktionsroutine

IT- und Digital-Umsetzung: Architektur- und Integrationsbausteine

Für komplexe Landschaften benötigen Sie eine durchdachte Zielarchitektur. Typische Bausteine sind: ERP-System, Banking-Anbindung, Payment-Provider, Treasury-System, DMS/ECM für Rechnungen und Verträge, Workflow- und Approval-Engine, IAM/SSO/MFA wie zentraler Identity Provider, PAM für privilegierte Konten sowie SIEM/Logplattform und SOAR/Alerting oder ein pragmatischer Start mit zentralem Log-Hub. Für den Dokumenten- und Vertragsbereich lohnt zudem ein Blick auf passende DMS-Anbieter, um Ablage, Zugriff und Nachvollziehbarkeit sauber zu unterstützen.

Betriebs- und Wartbarkeit sind Sicherheitsfaktoren. Definieren Sie Logging-Standards, Alert-Schwellen, Runbooks, Ownership und SLAs. Das Prinzip Detect & Respond ist entscheidend: Sie können nicht alle Angriffe verhindern, aber Sie müssen sie erkennen und sauber reagieren können.

Schnittstellen- und Dateiverkehrssicherheit im Zahlungsverkehr

Der Zahlungsverkehr ist besonders kritisch. Achten Sie auf diese Maßnahmen:

  • Transport: SFTP/TLS, gesicherte Schlüsselverwaltung, Zertifikats- und Key-Rotation, Härtung der Transfer-Server
  • Datenformat/Message-Sicherheit: Signaturen und Checksummen, Schema-Validierung, Plausibilitätschecks für Empfänger, Betrag und Währung
  • Idempotenz und Replay-Schutz bei APIs: Nonces/Request-IDs, Zeitfenster, Double-Submit-Schutz
  • Freigabe an der richtigen Stelle: Sign/Release getrennt, klare Verantwortlichkeiten
  • Monitoring: Erkennung ungewöhnlicher Muster wie Dateigröße, Anzahl Zahlungen, neue Empfänger, Uhrzeit oder Land

Third-Party-/Vendor-Risk und Dienstleisterzugänge

Externe Dienstleister stellen ein erhebliches Risiko dar. Typische Risiken sind externe Buchhaltungs- oder Payroll-Dienstleister, IT-Betriebspartner, Payment-Provider und Beratungen mit Admin-Zugriff. Mindestkontrollen umfassen:

  • Vertragliche Anforderungen: Zugriffskonzept, Logging, Incident-Meldewege, Regelungen zu Subdienstleistern, Backup und Business-Continuity-Management
  • Technisch: zeitlich begrenzte Zugänge, MFA, Jump Host, Session Recording wo möglich, Least Privilege
  • Organisatorisch: regelmäßige Überprüfung der Zugänge plus Offboarding-Prozess

Risikomanagement-Logik: entscheidungsorientiert und anschlussfähig

Ein strukturiertes Risikomanagement ist Voraussetzung für ein wirksames ISMS oder IKS. Der Prozess ist iterativ: Risiken identifizieren, bewerten, priorisieren, Maßnahmen umsetzen, Wirksamkeit prüfen und nachsteuern. Priorisieren Sie nach Schutzbedarf und Business-Kritikalität. Zahlungsverkehr und Stammdaten stehen typischerweise ganz oben. Wählen Sie Maßnahmen so, dass sie Risiko senken und prüfbar sind – denken Sie Nachweise von Anfang an mit.

Messbarkeit: KPIs und Management-Indikatoren

Ohne Messbarkeit keine Steuerung. Definieren Sie operative KPIs und strategische Indikatoren.

Operative KPIs

  • MFA-Abdeckung für kritische Systeme in Prozent
  • Rezertifizierungsquote kritischer Rollen fristgerecht in Prozent
  • Zeit bis Account-Deaktivierung bei Austritt als Median/95%-Perzentil
  • Anteil Zahlungen/Stammdatenänderungen mit Dual Control in Prozent
  • Anzahl/Quote abgewiesener Bankdatenänderungen durch Verifikationsprozess
  • Patch-Compliance-Rate und Time to Patch für kritische Schwachstellen
  • Backup-Erfolgsquote, Restore-Test-Frequenz und Restore-Erfolgsquote
  • MTTD/MTTR für sicherheitsrelevante Events im Finance-Umfeld

Strategische Indikatoren

  • Reifegrad der Kernprozesse: Zahlungsprozess, Stammdaten-Governance, IAM/PAM, BCM
  • Trend kritischer Audit-Findings plus Zeit bis Remediation

Zwei Hebel mit besonders hoher Wirkung

Zwei Maßnahmen stechen heraus:

  • Awareness: Social-Engineering-Resilienz in Finance ist zentral. Trainieren Sie Ihre Teams auf Szenarien wie Lieferantenwechsel, dringende Zahlung und CEO-Fraud-Muster
  • Patch- und Vulnerability-Management: 90 Prozent der Ransomware-Attacken gelingen, weil Patches nicht rechtzeitig installiert wurden. Reduzieren Sie dieses Einfallstor konsequent

Praxisnahe Schutzmaßnahmen je Schutzziel: Werkzeugkasten

Vertraulichkeit

  • Rollen-/Rechtekonzept, Least Privilege, regelmäßige Rezertifizierung
  • Verschlüsselung in Transit/at Rest wo sinnvoll, sichere Kollaboration statt Dateiversand
  • Datenklassifikation als Leitplanke: öffentlich/intern/vertraulich/streng vertraulich

Integrität

  • Workflows und Vier-Augen-Prinzip für Stammdaten wie Bankverbindungen und Zahlungsfreigaben
  • Audit-Trails: wer hat was wann geändert/freigegeben; Versionierung statt Excel-Wildwuchs
  • Schnittstellen-Validierungen mit Schema/Plausibilität, Signaturen/Hashes nach Schutzbedarf
  • Master-Data-Governance: Data Owner, Qualitätsregeln, Monitoring

Verfügbarkeit

  • RTO/RPO je Prozess, Backups plus regelmäßige Restore-Tests, Segmentierung
  • Monitoring, Incident-Response-Playbooks, Notfallbetrieb wie Notzahlweg

Authentizität

  • MFA, risikobasierte Authentifizierung, sichere Geräte/Conditional Access
  • Anti-Phishing: Absenderprüfungen als Prinzip, sichere Kommunikationskanäle, Meldeprozess
  • Out-of-band-Verifikation für kritische Änderungen, starke Identitätsprozesse wie Joiner/Mover/Leaver

Mapping: Schutzziel – Kontrollen – Nachweise

Schutzziel Typische Kontrollen Typische Nachweise
Vertraulichkeit Rollenmodell, Verschlüsselung Berechtigungslisten, Rezertifizierungsprotokolle, Konfigurationsnachweise
Integrität Workflows, Änderungsprotokolle Audit-Logs, Freigabeprotokolle, Änderungsreports, Datenqualitäts-KPIs
Verfügbarkeit Backup/Restore, Notfalltests Restore-Testprotokolle, Notfallübungsberichte, Monitoring-Reports
Authentizität MFA/IAM, Verifikation MFA-Reports, IAM-Prozessnachweise, Verifikationsdokumentation
Zurechenbarkeit/Nichtabstreitbarkeit Eindeutige Accounts, Logging Account-Policies, PAM-/Login-Protokolle, Session-/Audit-Logs

Mini-Cases: Vorher-Nachher-Szenarien aus der Praxis

Case 1: Manipulierte Bankverbindung im Kreditorenstamm

Vorher: Änderungen per E-Mail und Excel, keine Protokollierung, Freigabe unklar. Ein Lieferant meldet, eine Zahlung sei nicht angekommen. Recherche ergibt: Die IBAN wurde vor zwei Wochen geändert – aber von wem und warum, ist nicht nachvollziehbar.

Nachher: Workflow mit Dual Control, Out-of-band-Verifikation über Rückruf, Protokollierung, Rollenmodell, KPI für Rezertifizierung und abgewiesene Änderungen. Änderungen sind nachvollziehbar, Fraud-Versuche werden erkannt.

Zuordnung: Integrität, Authentizität, Zurechenbarkeit

Case 2: Ransomware legt Fileserver/Workflow lahm

Vorher: Backups vorhanden, Restore nie getestet; Patch-Backlog; keine Runbooks. Nach einem Angriff dauert die Wiederherstellung drei Tage.

Nachher: Patch-SLA, Segmentierung, regelmäßige Restore-Tests, Notfallplan, Runbooks, klare Ownership. Wiederherstellung innerhalb von vier Stunden.

Zuordnung: Verfügbarkeit, Integrität

Case 3: Zahlungsdatei-Transfer unsicher/unklar

Vorher: SEPA-Datei per Mail/Shares, keine Signatur/Checks, kein Monitoring. Eine Datei geht verloren, Zahlungen verzögern sich.

Nachher: SFTP/TLS, Schema- und Plausibilitätschecks, Freigabe im Workflow, Monitoring/Alerting, Nachweislogs. Transfer ist nachvollziehbar, Fehler werden sofort erkannt.

Zuordnung: Vertraulichkeit, Integrität, Zurechenbarkeit

Quick-Win-Plan: 30/60/90 Tage plus RACI

0–30 Tage: Sofortwirkung

  • MFA für kritische Finance-Zugänge priorisieren, Shared Accounts stoppen
  • Out-of-band-Verifikation für Bankdatenänderungen einführen mit Prozess und Verantwortlichen
  • Logging für kritische Events aktivieren: Zahlungsfreigabe, Stammdatenänderung, Login-Anomalien
  • Awareness-Push für Finance zu CEO-Fraud und Lieferantenbetrug plus klarer Meldeweg

31–60 Tage: Stabilisierung

  • Rollen-/Rechtebereinigung plus Rezertifizierungsprozess starten
  • Dual Control/Approval-Workflow für Zahlungen und Stammdaten konsequent umsetzen
  • Patch-SLA für kritische Systeme plus Reporting an Management
  • Backup/Restore-Test erstmals durchführen, RTO/RPO definieren

61–90 Tage: Skalierung und Prüfungsfestigkeit

  • Standard für Schnittstellen-/Dateiverkehr: SFTP/TLS, Validierung, Monitoring
  • Runbooks, Alerting, Ownership/On-Call light für Finance-kritische Systeme
  • Third-Party-Zugänge inventarisieren, Zugriffsmodell plus Review-Prozess einführen

RACI-Leitplanke

  • Responsible: Process Owner Finance, IT Ops, IAM/Security, Shared Services
  • Accountable: CFO für Finance Controls, CIO/IT-Leitung für Betrieb/Security
  • Consulted: Revision/Compliance/Datenschutz, Einkauf/Vendor Management
  • Informed: Management, betroffene Fachbereiche

Einbindung relevanter Standards und Regularien als Orientierung

Die Schutzziele Informationssicherheit sind in zahlreiche Standards und Regularien eingebettet. Der BSI IT-Grundschutz definiert Schutzziele, Schutzbedarf und Maßnahmenkataloge. ISO 27001/ISMS bietet einen risikobasierten Umsetzungsrahmen mit kontinuierlicher Verbesserung. Die DSGVO Artikel 32 dient als Orientierung für Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Branchen- und Prüfungslogik wie IKS, Auslagerung und Audit Trails folgen ähnlichen Schutzziel- und Nachweis-Mechaniken.

Belastbarkeit und Resilienz als ergänzender Aspekt

Neben den klassischen Schutzzielen spielt Belastbarkeit/Resilienz eine wachsende Rolle. Ziel ist, Störungen zu überstehen, schnell in den Normalbetrieb zurückzukehren und kritische Prozesse priorisiert wiederanlaufen zu lassen. Praktisch bedeutet dies: Notfallübungen, Redundanzen, Wiederanlaufpläne und klare Verantwortlichkeiten.

Bezug zur Digitalisierung und Prozessoptimierung

Sicherheit entsteht durch saubere, digitale Prozesse mit klaren Rollen, Freigaben und nachvollziehbaren Datenflüssen. Prozessoptimierungen, die Sicherheitsziele stützen, umfassen standardisierte Workflows statt E-Mail-Freigaben, automatisierte Schnittstellen mit Monitoring statt manueller Exporte, zentrale Stammdatenpflege mit Governance statt verteilter Listen und Protokollierung by design statt nachträglicher Rekonstruktion. In der Praxis greift das oft direkt in Purchase-to-Pay-Ketten ein – vom Bedarf bis zur Zahlung – wie sie im Kontext von Purchase to Pay beschrieben werden.

Konkrete Checkfragen zur Selbstdiagnose

Nutzen Sie diese Checkfragen als Take-away:

  • Wer darf Zahlungsdaten sehen, ändern und freigeben – und wie oft werden Rechte rezertifiziert?
  • Können wir beweisen, wer eine Bankverbindung geändert und wer sie freigegeben hat inklusive Verifikation?
  • Haben wir Limits, Whitelists und Auffälligkeitsprüfungen im Zahlungsverkehr – und werden Treffer bearbeitet?
  • Wie schnell können wir nach einem Ausfall wieder zahlen und buchen – und wurde Restore getestet?
  • Sind MFA, eindeutige Identitäten und ein sauberer Offboarding-Prozess für interne und externe Accounts durchgesetzt?
  • Wo sind die größten Medienbrüche wie E-Mail, Excel oder Papier – und welches Schutzziel gefährden sie?

Fazit: Risikobasiert priorisieren, Quick Wins starten, dann systematisch reifen

Die Schutzziele Informationssicherheit BSI – Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität – sind kein abstraktes IT-Thema. Sie sind die Grundlage für robuste, steuerbare und prüfungsfeste Finance- und Verwaltungsprozesse. Die Übersetzung in konkrete Kontrollen und messbare KPIs macht Risiken bewertbar, Investitionen begründbar und Prüfungen planbarer.

Starten Sie mit den Quick Wins: MFA, Dual Control, Out-of-band-Verifikation, Logging und Awareness. Stabilisieren Sie danach durch Rollen-/Rechtebereinigung, Patch-Management und getestete Backups. Skalieren Sie schließlich durch Standards für Schnittstellen, Runbooks und Third-Party-Management. Ein risikobasiertes Vorgehen – orientiert an ISO 27001 oder BSI IT-Grundschutz – stellt sicher, dass Sie Ressourcen dort einsetzen, wo sie den größten Nutzen bringen.

Informationssicherheit ist ein kontinuierlicher Prozess. Beginnen Sie pragmatisch, messen Sie Fortschritt und reifen Sie systematisch. So schaffen Sie nicht nur Schutz, sondern auch Vertrauen – intern bei Revision und Management, extern bei Kunden, Lieferanten und Aufsicht.
Vollständigen Beitrag anzeigen