Zum Hauptinhalt springen
Research:
Research
14 Okt. 2025
6 Minuten Lesezeit

Cyber Assurance – Prüfung des Cyber Security Management Systems

Vertraulichkeit, Integrität und Verfügbarkeit für Ihre Informationen

In der heutigen digitalen Zeit sind Unternehmen zunehmend Cyberbedrohungen ausgesetzt, die sowohl in ihrer Anzahl als auch Komplexität zunehmen. Diese Entwicklungen stellen hohe Anforderungen an die Cybersicherheitsmaßnahmen von Organisationen. Ein wirksames Cyber Security Management System (CSMS) spielt dabei eine entscheidende Rolle. Es hilft nicht nur dabei, Sicherheitsrisiken systematisch zu identifizieren und zu bewältigen, sondern unterstützt auch die Einhaltung gesetzlicher und regulatorischer Anforderungen.

Heiko Jacob
Manuel Woditsch

Die Bewältigung von rechtlichen, regulatorischen und sicherheitsrelevanten Vorgaben ist eine fortwährende Herausforderung für Unternehmen und ihr Management. Es ist entscheidend, die geschäftsrelevanten Informationen zu verwalten und zu schützen.

Gemäß dem Gesetz zur Stärkung der Finanzmarktintegrität (§ 91 Abs. 3 AktG) sind die Vorstände einer börsennotierten Gesellschaft dazu verpflichtet, zusätzlich zu einem Risikofrüherkennungssystem nach § 91 Abs. 2 AktG, ein geeignetes und effizientes internes Kontroll- und Risikomanagementsystem einzurichten. Dieses System soll in Bezug auf den Umfang der Geschäftstätigkeit sowie die Risikosituation angemessen sein. Dabei sollen die Prinzipien, Verfahren und Maßnahmen, die das interne Kontrollsystem und Risikomanagementsystem umfassen, die Effizienz und Wirtschaftlichkeit der Geschäftstätigkeit sicherstellen. Zudem sollen sie die Ordnungsmäßigkeit der Buchführung und die Einhaltung der relevanten rechtlichen Anforderungen gewährleisten. 

Die Verpflichtung zur Implementierung eines internen Kontrollsystems und eines Risikomanagementsystems kann auch aus den von ihnen beauftragten Sorgfaltspflichten für die gesetzlichen Vertreter nicht börsennotierter Unternehmen resultieren, beispielsweise nach § 93 Abs. 1 AktG oder § 43 Abs. 1 GmbHG.

Mit dem wachsenden Stellenwert des Cyberraums und dem kontinuierlichen Anstieg an Bedrohungen war es nie wichtiger, digitale Infrastrukturen abzusichern. Ein entscheidender Faktor in diesem Zusammenhang stellt das Cyber Security Management System (CSMS) dar. Das CSMS ist ein wesentliches Element der Corporate Governance und somit integraler Bestandteil eines unternehmensweiten internen Kontrollsystems. Insgesamt trägt ein effektives CSMS dazu bei, das Vertrauen in die Fähigkeit des Unternehmens zu stärken, seine digitalen Assets zu schützen und auf Cyber-Bedrohungen zu reagieren.

Prüfung des Cyber Security Management Systems

Das Hauptziel einer CSMS-Prüfung besteht darin, zu bewerten, ob das Unternehmen durch die Implementierung eines CSMS präventive Maßnahmen ergriffen hat. Diese Maßnahmen sollen dazu dienen, wesentliche Cyber Security Risiken, die die Erreichung der strategischen und operativen Ziele des Unternehmens behindern könnten, rechtzeitig zu erkennen, zu bewerten, zu managen und zu überwachen. Eine Prüfung nach erkennt bestehende Restrisiken und schützt ihr Unternehmen so vor den Bedrohungen aus dem Cyberraum und bietet außerdem die Möglichkeit, strukturelle oder prozessuale Schwachstellen innerhalb des CSMS zu identifizieren.

Zudem liefert sie wertvolle Impulse für die Weiterentwicklung bestehender Sicherheitsstrukturen und fördert eine risikoorientierte Unternehmenskultur. In Zeiten zunehmender Digitalisierung und wachsender regulatorischer Anforderungen gewinnt die regelmäßige Überprüfung des CSMS an strategischer Bedeutung – nicht nur zur Risikominimierung, sondern auch als Wettbewerbsvorteil im Markt.

Deloitte kann dazu beitragen, einen objektiven Nachweis für die fehlerfreie Ausübung der Organisations- und Sorgfaltspflichten seitens des Vorstands und des Aufsichtsrats zu liefern.

Kernelemente des Cyber-Security-Managementsystems gemäß des Deloitte Leading Practice Ansatzes

Ein CSMS besteht aus mehreren sich gegenseitig beeinflussenden Elementen, die in die betrieblichen Abläufe integriert werden. Die Gestaltung des CSMS hängt hauptsächlich von den definierten Zielen des CSMS sowie von Art, Umfang und Komplexität der Unternehmensaktivitäten ab.

Ein effektives Cyber-Risikomanagement umfasst die systematische Identifikation, Bewertung und Priorisierung von Risiken, die sich aus digitalen Bedrohungen ergeben. Dazu gehören die Analyse von Geschäftsprozessen, IT-Systemen und externen Bedrohungsszenarien sowie die Ableitung geeigneter Maßnahmen zur Risikominimierung. Die Risikobewertung bildet die Grundlage für alle weiteren Sicherheitsaktivitäten.

Die Etablierung einer starken Sicherheitskultur im Unternehmen ist entscheidend für die nachhaltige Cyber-Resilienz. Dies beinhaltet die Sensibilisierung der Mitarbeitenden für Cyber-Risiken, die Förderung sicherheitsbewussten Verhaltens sowie die Integration von Cyber Security in Schulungs-, Kommunikations- und Führungsprozesse. Ziel ist es, ein gemeinsames Verantwortungsbewusstsein für Informationssicherheit zu schaffen.

Ein klar definiertes Cyber Security Governance-Modell stellt sicher, dass Verantwortlichkeiten, Entscheidungsstrukturen und strategische Leitlinien für Informationssicherheit im Unternehmen verankert sind. Die Governance umfasst Richtlinien, Rollen, Gremien und Steuerungsmechanismen, die eine wirksame und nachvollziehbare Führung der Cyber Security Aktivitäten ermöglichen.

Schutzmaßnahmen und Sicherheitskontrollen dienen der Prävention von Cyber-Angriffen und der Absicherung kritischer Systeme und Daten. Dazu zählen technische Maßnahmen wie Zugriffskontrollen, Verschlüsselung und Netzwerksicherheit sowie organisatorische Maßnah-men wie Sicherheitsrichtlinien und Awareness-Programme. Die Schutzmechanismen sollten regelmäßig überprüft und angepasst werden.

Die kontinuierliche Überwachung der IT-Umgebung ermöglicht die frühzeitige Erkennung von sicherheitsrelevanten Ereignissen und Anomalien. Ein effektives Monitoring umfasst die Sammlung, Analyse und Korrelation sicherheitsrelevanter Daten sowie die Definition von Schwellenwerten und Alarmierungsmechanismen. Ziel ist es, potenzielle Bedrohungen schnell zu identifizieren und Gegenmaßnahmen einzuleiten.

Das Krisenmanagement in Bezug auf Cyber-Sicherheitsrisiken beinhaltet die Erkennung potenzieller Angriffsszenarien, die Durchführung von Auswirkungsanalysen dieser Szenarien auf das Geschäft, die Einrichtung einer Krisenmanagementstruktur für den Fall eines Angriffs sowie die Bereitstellung von Notfallstrategien basierend auf den identifizierten Angriffsszenarien.

Ein System für das Management von Sicherheitsvorfällen sollte implementiert sein, um einen raschen Nachweis, Aufnahme, Analyse und Beurteilung von Cyber-Sicherheitsvorfällen sowie eine adäquate und zeitgerechte Reaktion darauf zu gewährleisten. Die Reaktionsmechanismen auf Cyber-Sicherheitsvorfälle beinhalten sowohl interne als auch externe Kommunikation und gegebenenfalls auch gesetzlich vorgeschriebene Meldepflichten.

Warum Deloitte

Bei Deloitte verbinden wir führende Expertise im IT-Management und die Synergien unserer verschiedenen Geschäftsbereiche, um Top-Dienstleistungen im Bereich IT-Audit und Cyber Assurance zu erbringen. Unser interdisziplinäres Team aus IT-Audit und Cyber Assurance-Spezialist:innen bringt umfangreiche technische Kenntnisse mit und verfügt über langjährige Erfahrung in diesen Bereichen. Sie führen tiefgreifende Analysen und Bewertungen Ihrer IT-Systeme und Cyber-Sicherheitsmaßnahmen durch, was uns zu einem zuverlässigen Partner macht.

Zusätzlich zu unseren lokalen Spezialist:innen haben Sie Zugang zu unserem globalen Netzwerk von IT-Audit und Cyber-Assurance-Expert:innen bei Deloitte. Mit einer breiten Palette an Lösungen und branchenübergreifenden Best Practices bereichern sie unser Angebot.

Im Dialog mit unseren Kunden definieren wir den angemessenen Grad an IT-Transparenz und Cyber-Sicherheit. Unser Hauptziel ist es, die betriebliche Effizienz, die Einhaltung von Standards und die Sicherheit von Daten zu verbessern.

Fanden Sie dies hilfreich?

Ja

Vielen Dank für Ihr Feedback

Ihr Feedback ist uns wichtig

Um uns Ihre Meinung mitzuteilen, aktualisieren Sie bitte Ihre Einstellungen, um Analyse- und Performance-Cookies zu akzeptieren.

Benötigen Sie Hilfe beim Aktualisieren der Cookies?

Ihre Ansprechpartner

Heiko Jacob

Heiko Jacob

Partner | IT-Audit & IT-Assurance – Industry
+49 21187723433
Manuel Woditsch

Manuel Woditsch

Director | IT-Audit & IT-Assurance
0211 87723664

Mehr erfahren

Business Assurance | Deloitte Deutschland

Erfolgreiche Unternehmen begründen das Vertrauen ihrer Stakeholder durch eine sach- und regelgerechte Unternehmenssteuerung, -berichterstattung und -überwachung. Unser Business Assurance Team schafft Vertrauen und Sicherheit in all diesen Themenbereichen.

Controls Assurance

Das Controls Assurance Team von Deloitte bietet interne Revision, Finanzbuchhaltung und Reporting, Remediation und Testen der internen Kontrollen, Unterstützung bei der Risikobewertung sowie Folgenabschätzung und Reporting.

IT & Specialized Assurance

Das Deloitte IT & Specialized Assurance Team unterstützt Unternehmen bei der Identifizierung von Risiken und der Gestaltung effektiver (IT-)Kontrollen, um die Sicherheit sowie die Vollständigkeit und Richtigkeit finanzwirtschaftlicher Daten sicherzustellen.
Service

Risk Advisory

Unsere Risk Advisory Services kombinieren die neuesten Technologien in den Bereichen Cyber, Nachhaltigkeit, Strategie, Regulierung und Kontrolle, um verantwortungsbewusste Unternehmen zu unterstützen.