Mit Baker Tilly IT Risiken im Griff

Sensible Geschäftsdaten sollten zuverlässig vor Verlust oder Manipulationen geschützt werden. Unternehmen sind deshalb auf die Sicherheit ihrer IT-Systeme angewiesen, was einen hohen Sicherheitsaufwand von Fachabteilungen, internen IT-Abteilungen und Dienstleistern erfordert. Neben Hackerangriffen, Sabotage und Fehlkonfigurationen stellt aber auch ein geringes Sicherheitsbewusstsein der eigenen Mitarbeiter ein hohes Risiko für die IT-Sicherheit dar.

Baker Tilly verfügt über umfangreiche Erfahrung in den Bereichen IT-Security, Einführung von Information Security Management Systemen (ISMS), IT-Governance und Compliance sowie SAP-Kontrollen.


Unser Bestreben ist es, Sicherheit, Verlässlichkeit und Widerstandsfähigkeit von Systemen und Prozessen im Unternehmen zu erhöhen, so dass 

  • die Eintrittswahrscheinlichkeit von Angriffen herabgesetzt wird,
  • Angriffen ihre Effektivität genommen wird bzw. diese erheblich gemindert werden,
  • die Angriffserkennung erleichtert und damit die Gefahrenabwehr stetig verbessert wird,
  • das Sicherheitsniveau dem Stand der Technik sowie den geschäftspolitischen und branchenüblichen Anforderungen entspricht,
  • Qualitäts- und Sicherheitsstandards und die regulatorischen Vorgaben eingehalten werden. 
Unsere Service-Bereiche in der Übersicht:

Unsere IT-Security Experten analysieren Ihre IT-Anforderungen und beraten Sie darin, welche Sicherheitstechnologien für Ihr Unternehmen sinnvoll sind und was für die Aufrechterhaltung eines adäquaten Sicherheitsniveaus zu berücksichtigen ist. Baker Tilly orientiert sich dabei an bewährten und aktuellen IT-Sicherheitsstandards und regulatorischen Vorgaben und sorgt dabei gleichzeitig für einen optimalen ROI aller notwendigen Investitionen. Dabei ist besonders wichtig, dass Geschäftsprozesse selbst in kritischen Situationen stabil bleiben und den aktuellen rechtlichen Anforderungen genügen. 

Unsere Leistungen von IT-Security Beratung umfassen:

  • Entwicklung einer individuellen Sicherheitsstrategie
  • Etablierung der Informationssicherheit auf allen Ebenen
  • Cyber-Security Strategie
  • IT-Risikomanagement und Risikoanalyse
  • Einführung von Information Security Management Systemen- und Zertifizierungsberatung
  • Datenschutzberatung vom Gesetz der Datenschutzgrundverordnung (DSGVO) bis zur Implementierung
  • IT-Sicherheit bei Migrations- oder Outsourcing Projekte

Baker Tilly unterstützt Information Security Officer (CISO), IT-Sicherheitsbeauftragte und Datenschutzbeauftragte dabei, ihrer hohen Verantwortung gerecht zu werden und unterstützt in allen Fragen der Informationssicherheit: Vom IT-Sicherheitskonzept über die Implementierung und den Betrieb der dazugehörigen Kontrollprozesse bis zum Reporting. 

Unsere Leistungen im Bereich IT-Information Security Management System umfassen:

  • Analyse und Sicherheitsbewertung von IT-Sicherheitskonzepten nach ISO 27001, modernisiertem BSI Grundschutz und Information Technology Infrastructure Library ITIL
  • Implementierung und Betrieb von IT-Kontrollprozessen und Benutzerberechtigungsmanagement
  • Unterstützung des IT-Sicherheitsbeauftragten und Datenschutzbeauftragten bei der Umsetzung von Sicherheitsmaßnahmen
  • Vorbereitung von Prüfungen und Audits

Baker Tilly analysiert die Anforderungen Ihres Unternehmens sowie die regulatorischen Vorgaben und gleicht das Risikoumfeld mit den aktuellen Sicherheitsvorkehrungen in Ihrem Unternehmen ab. Auf dieser Basis entwickeln unsere Experten ein maßgeschneidertes IT-Governance- und Sicherheitskonzept mit folgenden Schwerpunkten:

  • Analyse der organisatorischen Ausgestaltung der IT-Sicherheitsrichtlinien und Standrads in Ihrem Unternehmen.
  • Sicherheitsüberprüfungen einzelner IT-Systeme, Applikationen oder eines Verbundes von IT-Systemen auf Anwendungs-, Betriebssystem- und Datenbankebene.
  • Untersuchung der Netzstruktur, der Netzsegmentierung sowie die Analyse der Konfiguration von aktiven Netzkomponenten
  • Beurteilung der vertraglichen Situation mit externen Dienstleistern und gesetzlichen Aspekten sowie deren Risiken. Dies gilt für Wartungsverträge mit Hard- und Software-Herstellern ebenso wie für Vereinbarungen mit internen oder externen Dienstleistungserbringern von Service Level Agreements (SLA).
  • Beratung bei der Planung und Überwachung der IT-Sicherheitsvorhaben und projektbegleitende und qualitätssichernde Maßnahmen.

Unser Ansatz zur Gestaltung einer effizienten und zuverlässigen Kontrolllandschaft berücksichtigt drei wesentliche Ebenen: die Kontrollen zur Anwendungssicherheit, die Datenbanken- und Infrastrukturkontrollen sowie die Geschäftsprozesskontrollen. Das Zusammenspiel dieser Kontrollen wird durch ein grundlegendes Kontrollrahmenwerk abgestimmt und gesteuert, da die Komplexität und die Abhängigkeiten der SAP Kontrollkomponenten untereinander häufig unterschätzt werden und die Fokussierung auf lediglich einen einzelnen Kontrollbereich nicht zu einer umfassenden Kontrollsicherheit führen kann. 

Neben den bekannten Risiken bei ERP-Systemen, bestehen auch neue Risiken durch die Verwendung von SAP HANA: die nächste Stufe eines ERP-Systems. HANA-Systeme bestehen im Gegensatz zu einem SAP ERP-System in erster Linie aus Webanwendungen, die in den vorherigen Versionen eher als optional betrachtet wurden. Diese Webanwendungen können durch diverse Suchmaschinen im Internet aufgefunden und so von Hackern "angegriffen" werden. Das Thema Berechtigungen wird bei vielen SAP-Einführungen oder Umstellungen lediglich als Nebensächlichkeit gesehen. Dabei ist es ein wichtiges Thema und sollte mit der nötigen Sorgfalt bedacht werden.

Aus unserer Erfahrung erschweren im Wesentlichen die folgenden sechs Hürden das Erreichen einer ausgewogenen Balance der SAP-Berechtigungen zwischen ihren Risiken und Kontrollen:

  • Unkenntnis des Status quo: Durch die Komplexität der SAP-Systeme und den Mangel an Standard-Reports zur Beleuchtung der Risikosituation, sind viele Unternehmen möglicherweise unbewusst einer Anzahl von Risiken ausgesetzt. 
  • Lücken im Kontrollsystem: Auditoren konstatieren wiederholt Mängel, jedoch ohne praktische Handlungsempfehlungen anbieten zu können. 
  • Funktionstrennung immer noch eine große Herausforderung: Durch eine Ansammlung von sensitiven Rechten bei einer Person, können erforderliche Geschäftsprozesskontrollen einfach ausgehebelt werden. 
  • Nutzung des Potentials automatisierter Kontrollen: Viele Unternehmen haben vorwiegend manuelle Kontrollen eingeführt, da der erste Aufwand für das Design und die Umsetzung relativ gering ist. Der spätere Personalaufwand sowie die Fehleranfälligkeit manueller Kontrollen im laufenden Betrieb werden jedoch häufig unterschätzt. Durch die Einführung automatisierter Kontrollen wäre bei vielen Unternehmen ein hohes Potenzial  zu Effizienz- und Qualitätssteigerungen vorhanden. 
  • Management von Super Usern: Die Kontrolle und Verwaltung von "Super Usern“ für die Anwendungs- und Systembetreuung sowie Zugriffsrechte vom externen Dienstleistern, stellen für Unternehmen immer noch eine Herausforderung dar. 
  • Datenbank- und Infrastrukturkontrollen: Bei der Betrachtung von SAP-Komponenten  werden häufig die Kontrollen zur Datenbank- und Infrastruktursicherheit vernachlässigt. 
Eine Übersicht aller Baker Tilly Services rund um das Thema Compliance finden Sie hier >>