IT-Sicherheit in Zeiten der GoBD

PrintMailRate-it

​​​​zuletzt aktualisiert am 26. Februar 2020 | Lesedauer ca. 2 Minuten


Ein Update zum BMF-Schreiben vom 28. November 2019: Die Grundlage zur Erfüllung der GoBD-Anforderungen ist ein sicherer, belastbarer und nachvollziehbarer IT-Be­trieb.


Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) wurden mit dem BMF-Schreiben vom 28. November 2019 veröffentlicht und stellen eine Klammer in Bezug auf die Anforderungen an zu führende Bücher und sonstige erforderliche Aufzeichnungen aus außersteuerlichen und steuerlichen Vorschriften dar. Dabei stellt der Gesetzgeber anhand seiner Begriffsbestimmungen zu Aufzeichnungen, Büchern, Geschäftsvorfällen, Inhalten, Speicherformaten, Medien, Datenfeldinhalten, etc. deutlich heraus, welche Daten und Dokumente des jeweiligen Unternehmens nach diesen Grundsätzen betroffen sind.

 

Führt man sich aber vor Augen, dass eine unternehmensweite IT-Anwendung i.d.R. keine inhaltliche Unter­scheidung treffen kann, so wird deutlich, dass aus Sicht der Anforderung zu Datenschutz und Datensicherheit alle Daten und somit auch alle Systeme betroffen sind. Durch die sich immer weiter ausdehnende Digitali­sierung der Geschäftsprozesse ist der IT-Betrieb somit als Ganzes betroffen.

 

Beispiel

Ein Unternehmen organisiert den internen Dokumentenaustausch über ein Dokumentenmanagementsystem (DMS) mit Workflow-Komponenten. Ob die Dokumente nach den GoBD den außersteuerlichen oder steuer­lichen Buchführungs- und Aufbewahrungspflichten unterliegen, ist aus Sicht des DMS-Betriebs zunächst unerheblich. Die Dokumente werden in weiten Teilen des Systems gleich behandelt (Erstellung, Weiterleitung, Bearbeitung, Ablage, Archivierung). Die Anforderungen aus den GoBD sind durch das DMS somit insgesamt zu erfüllen.

 

Überträgt man diese Erkenntnis, so sind fast alle IT-Anwendungen direkt durch die GoBD betroffen:

  • ERP-Systeme (Vertrieb, Faktura, Logistik, Rechnungswesen etc.),
  • Cloud- bzw. Software-as-a-Service-Systeme,
  • eCommerce- oder eShop-Systeme,
  • Kommunikationssysteme (E-Mail, Sharepoint, Austauschplattformen etc.),
  • Dokumentenmanagementsystem, Workflow, Archiv-Systeme,
  • Speichermedien (Datenbanken, Filesysteme, externe Medien, Notebooks, Mobile etc.),
  • Konvertierungs- und Verschlüsselungsverfahren sowie
  • Produktiv-, Backup-, Ersatz- bzw. Notfallsysteme.

Der Gesetzgeber setzt nun über die GoBD deutliche Akzente, was er durch den Betrieb dieser Anwendungen sichergestellt wissen will. Dazu gehören folgende Sachverhalte:
  • Ein Berechtigungskonzept (dedizierte Zugriffs-, Pflege- und Löschrechte, Verhinderung unberechtigter Eingaben und Veränderungen).
  • Ein Datensicherheitskonzept, das über den kompletten Aufbewahrungszeitraum u.a. den Zugriff (Einzelbeleg, progressiv und retrograd), die Lesbarmachung (Verschlüsselung, Format), die Veränderungs- und Löschungs­protokol­lierung, die Verhinderung eines Verlusts (u.a. Unauffindbarkeit, Vernichtung, Untergang, Diebstahl, also die „Unverlierbarkeit") sowie die Historisierung der Stamm- und Bewegungsdaten sicherstellt. Das betrifft auch die Datensicherung und Auslagerung.
  • Ein IT-Sicherheitskonzept, welches die komplette IT-Infrastruktur (u.a. Firewall, Intrusion Detection, Zugriff durch Externe etc.) einbezieht.
  • Ein geregelter Auswahl-, Entwicklungs- und Änderungsprozess, unter den auch Updates, Releasewechsel und ganze Systemmigrationen fallen.
  • Eine Historisierung aller mitgeltenden Dokumente (z.B. Verfahrensbeschreibungen, -anweisungen, Schnitt­stellen­beschreibungen, interne Regelungen etc.).
  • Vorgaben zu einem IT-Regel- und Notbetrieb sowie zur Sicherung der Betriebsbereitschaft wären die Schlussfolgerung.
  • Aufbau und Umsetzung angemessener Kontrollen sowie Protokollierung derselben, um die Einhaltung obiger Konzepte sicherzustellen.

Die Liste erscheint erdrückend und lässt Gedanken an ein „Bürokratiemonster" aufkommen. Betrachtet man die Liste aus anderer Sicht, so sind das ganz gewöhnliche Instrumente, die Unternehmen im Sinne einer guten Unternehmensführung oder getrieben durch andere Anforderungen schon immer umsetzen müssen (Zertifi­zierung nach ISO/IEC 27001ff, Informationssicherheit nach ISIS12, IT-Systemprüfung bei der Prüfung des Jahresabschlusses, Kundenaudits z.B. aus der Automobilindustrie, Forderungen durch das IT-Sicherheitsge­setz, u.v.m.).


Fazit

Man sollte die GoBD zum Anlass nehmen, Unternehmen in Sachen IT-Sicherheit einem Check zu unterziehen. Auf Basis eines solchen Checks können gezielte Maßnahmen ergriffen werden, die nicht nur der Erfüllung der Anforderungen aus den GoBD dienen, sondern dem Unternehmen insgesamt.

Kontakt

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Contact Person Picture

Martin Mannes

Certified Information Systems Auditor (CISA)

+49 89 9287 802 93

Anfrage senden

Unternehmer­briefing

Kein Themenspecial verpas­sen mit unserem Newsletter!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu