IDW-RS-FAIT-2 - IDW Stellungnahme zur Rechnungslegung

Transcrição

Institut der Wirtschaftsprüfer - Fachausschuss für Informationstechnologie
(FAIT)
Stellungnahme vom 29.09.2003
0800686
IDW-RS-FAIT-2 - IDW Stellungnahme zur
Rechnungslegung: Grundsätze ordnungsmäßiger
Buchführung bei Einsatz von Electronic Commerce (IDW RS
FAIT 2)
(Stand: 29.09.2003)
[1]
1. Vorbemerkungen
2. Grundlagen des E-Commerce
2.1. Ausprägungen des E-Commerce
2.1.1. Arten von E-Commerce-Aktivitäten
2.1.2. Differenzierung von E-Commerce nach den beteiligten Wirtschaftssubjekten
2.2. Rechtliches, technisches und organisatorisches Umfeld
2.2.1. Rechtliches Umfeld
2.2.2. Technisches und organisatorisches Umfeld
3. Verpflichtungen der gesetzlichen Vertreter im Zusammenhang mit E Commerce
4. Besondere IT-Risiken beim Einsatz von E-Commerce-Systemen
4.1. Risiken aus der Kommunikation
4.2. Risiken aus der Verarbeitung
5. Ordnungsmäßigkeit und Sicherheit beim Einsatz von E-Commerce-Systemen
5.1. Belegfunktion
5.2. Journal- und Kontenfunktion
5.3. Dokumentation
5.4. Aufbewahrungspflichten
5.5. Aufbewahrungspflichten beim Einsatz von EDI
6. Einrichtung eines E-Commerce-Systems
6.1. Das IT-Umfeld bei Einsatz von E-Commerce-Systemen
6.2. Die IT-Organisation bei Einsatz von E-Commerce-Systemen
6.3. E-Commerce-Infrastruktur
6.4. E-Commerce-Anwendungen
6.5. E-Commerce Geschäftsprozesse
Dokument: idw rs fait 2
Seite 1 von 37
6.6. Überwachung des IT-Kontrollsystems bei Einsatz von E-Commerce-Systemen
6.7. Internet-Service-Provider/Outsourcing
Anhang 1: Besonderheiten hinsichtlich der Risiken und Anforderungen beim Einsatz
von E-Commerce
1. Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce
2. Sicherheitsanforderungen
2.1. Integrität
2.2. Verfügbarkeit
2.3. Vertraulichkeit
2.4. Authentizität
2.5. Autorisierung
2.6. Verbindlichkeit
3. Ordnungsmäßigkeit
3.1. Vollständigkeit
3.2. Richtigkeit
3.3. Zeitgerechtheit
3.4. Ordnung
3.5. Nachvollziehbarkeit
3.6. Unveränderlichkeit
Anhang 2: Glossar
1. Vorbemerkungen
(1) Electronic Commerce (E-Commerce) beinhaltet die Anbahnung und Abwicklung von
Geschäftsvorfällen (von der Kontaktaufnahme bis zum Zahlungsverkehr) zwischen
Marktteilnehmern in elektronischer Form unter Verwendung verschiedener Informations- und
Kommunikationstechnologien über öffentlich zugängliche Netzwerke. E-Commerce umfasst
somit alle Aktivitäten, die das Ziel verfolgen, den Handel mit Informationen, Gütern und
Dienstleistungen über alle Phasen der Geschäftsabwicklung hinweg elektronisch zu
ermöglichen [2]. Als E-Commerce-Systeme i.S.d. IDW Stellungnahme zur Rechnungslegung
werden diejenigen Komponenten des IT-Systems verstanden, die ausschließlich oder
überwiegend zur Durchführung des E-Commerce eingesetzt werden [3].
(2) Rechnungslegungsrelevante E-Commerce-Systeme lassen Daten über betriebliche
Aktivitäten entweder direkt (d.h. ohne manuelle Eingaben) in die IT-gestützte
Rechnungslegung einfließen oder stellen diese Daten in elektronischer Form als Grundlagen
für Buchungen im Rechnungslegungssystem zur Verfügung.
Seite 2 von 37
(3) Diese IDW Stellungnahme zur Rechnungslegung konkretisiert die aus den §§ 238, 239
und 257 HGB resultierenden Anforderungen an die Führung der Handelsbücher mittels ITgestützter Systeme. Sie verdeutlicht damit die im IDW RS FAIT 1 dargestellten
Ordnungsmäßigkeits- und Sicherheitsanforderungen im Bereich von E-Commerce und stellt
ergänzende, über den IDW RS FAIT 1 hinausgehende Anforderungen auf, um den mit dem
Einsatz von E-Commerce-Systemen zusammenhängenden besonderen IT-Risiken zu
begegnen.
(4) Wirtschaftszweigspezifische (z.B. bei Kreditinstituten und Versicherungsunternehmen) und
sonstige Besonderheiten, die im Einzelfall zusätzlich zu berücksichtigen sind, bleiben in dieser
IDW Stellungnahme zur Rechnungslegung außer Betracht.
(5) Zu Prüfungen von E-Commerce-Systemen im Rahmen von WebTrust vergleiche IDW PS
890.
(6) Diese IDW Stellungnahme zur Rechnungslegung ersetzt die Stellungnahme FAMA 1/1995:
Aufbewahrungspflichten beim Einsatz von EDI [4].
2. Grundlagen des E-Commerce
2.1. Ausprägungen des E-Commerce
2.1.1. Arten von E-Commerce-Aktivitäten
(7) E-Commerce-Aktivitäten lassen sich grundsätzlich in folgende Kategorien einteilen, die
unterschiedliche Relevanz für die Rechnungslegung aufweisen:

Information:
Die einfachste Form des E-Commerce ist die rein informierende Darstellung des
Unternehmens sowie seiner Produkte und Dienstleistungen im Internet. Das
Leistungsspektrum reicht von Produktdemonstrationen und Preisübersichten bis hin zu
individuellen Angebotsabrufen wie z.B. Flugplänen. In der Regel entfalten diese
Informationsangebote keine Rechnungslegungsrelevanz.

Interaktion:
Eine über die reine Information hinausgehende und sich häufig daran unmittelbar
anschließende Form von E-Commerce-Aktivitäten ist die Kommunikation als Austausch
von Daten über das Internet (z.B. in Form von E-Mails).

Transaktion:
Unter Transaktion i.S.d. IDW Stellungnahme zur Rechnungslegung wird die Abwicklung
von Geschäftsvorfällen im Rahmen von E Commerce-Geschäftsprozessen verstanden,
die die Veränderung von Rechtspositionen zum Gegenstand haben, und damit das
Eingehen von Rechten und Pflichten betreffen. Die wichtigsten Beispiele sind
Bestellung bzw. Vertragsabschluss, Lieferung, Rechnungsstellung und Zahlung.

Integration:
Die Integration ist gekennzeichnet durch die unternehmensübergreifende Abwicklung
von Transaktionen im Rahmen von E-Commerce-Geschäftsprozessen. Vormals isolierte
Teilgeschäftsprozesse werden mittels IT zu einem E-Commerce-Geschäftsprozess
zusammengeführt. Diese Integration betrifft insbesondere die Bereiche Ein- und
Verkauf, Logistik und Produktion und ist durch eine weitgehend automatisierte und
Seite 3 von 37
internetbasierte Abwicklung gekennzeichnet. Diese Abwicklungsform von E-CommerceGeschäftsprozessen wird auch als E-Business bezeichnet und findet zunehmend über
sog. elektronische Marktplätze, E-Customer-Relationship-Management und EProcurement statt.
(8) Einfluss auf die Rechnungslegung haben vornehmlich die E-Commerce-Aktivitäten
"Transaktionen" und "Integration", die Gegenstand der weiteren Betrachtung dieser IDW
Stellungnahme zur Rechnungslegung sind. Im Zusammenhang mit der Kommunikation
können bereits dokumentationspflichtige Vorgänge vorliegen, z.B. durch den Versand von
Erläuterungen bzw. Konkretisierungen zu einem Geschäftsvorfall.
2.1.2. Differenzierung von E-Commerce nach den beteiligten
Wirtschaftssubjekten
(9) E-Commerce wird anhand der beteiligten Wirtschaftssubjekte wie folgt eingeteilt:
Im Vordergrund dieser IDW Stellungnahme zur Rechnungslegung stehen die Business-toBusiness (B2B) und Business-to-Consumer (B2C)-Beziehungen.
(10) Im Business-to-Business-Bereich (B2B) ist sowohl der Anbieter der Lieferung oder
Leistung als auch der Nachfrager ein Unternehmen. Die Einsatzmöglichkeiten erstrecken sich
hierbei auf alle Wertschöpfungsstufen sowie interne und externe Geschäftsprozesse, wie z.B.
Beschaffung, Produktion, Absatz, Zahlungsverkehr, Rechnungswesen, Forschung und
Entwicklung oder Personal. Typisch für B2B sind die individuell zwischen den Partnern
bestehenden Geschäftsbeziehungen auf der Basis von individuellen Vereinbarungen. Dabei
kann es sich sowohl um langfristig ausgehandelte Rahmenverträge als auch um eine
einmalige Vertragsbeziehung handeln.
Seite 4 von 37
(11) Im Business-to-Consumer-Bereich (B2C) ist der Anbieter der Lieferung oder Leistung ein
Unternehmen, der Nachfrager ein Verbraucher.
2.2. Rechtliches, technisches und organisatorisches Umfeld
2.2.1. Rechtliches Umfeld
(12) Neben den rechnungslegungsspezifischen Vorschriften des HGB (§§ 238 f. HGB) und den
Grundsätzen ordnungsmäßiger Buchführung (GoB) bestehen beim Einsatz von E-Commerce
zahlreiche weitere rechtliche Anforderungen. Diese betreffen beispielsweise den Schutz von
personenbezogenen Daten oder - bei Rechtsgütern wie Urheberschutzrechten - das
anzuwendende Vertragsrecht. Darüber hinaus sorgt die Internationalität des Internets und
damit verbunden die grenzüberschreitende Geschäftsabwicklung für weitere rechtliche
Problemstellungen. Diese betreffen z.B. nationale und internationale Rechtsfragen des
Handelsrechts, des Steuerrechts, des Strafrechts, des Zivilrechts oder des Datenschutzes.
(13) Mit dem Gesetz zur Regelung der Rahmenbedingungen für Informations- und
Kommunikationsdienste (IuKDG) hat der Gesetzgeber spezielle Rechtsnormen erlassen, wie
z.B. das Gesetz zur digitalen Signatur (SigG), das Teledienstegesetz (TDG), das
Teledienstedatenschutzgesetz (TDDSG) und das Fernabsatzgesetz (FernAbsG), um die
Rechtssicherheit und die informationelle Selbstbestimmung beim E-Commerce zu
gewährleisten.
(14) Insbesondere bei WebTrust-Prüfungen (vgl. IDW PS 890) werden die zu den Bereichen
Datenschutz und Datensicherheit vom Unternehmen im Internet getätigten Angaben zur
Abwicklung des elektronischen Geschäftsverkehrs auf ihre Einhaltung hin überprüft.
Werden dem Abschlussprüfer im Rahmen der Durchführung von Abschlussprüfungen
schwerwiegende Verstöße der gesetzlichen Vertreter oder der Arbeitnehmer gegen gesetzliche
Anforderungen, wie z.B. das BDSG oder das TDDSG, bekannt, so ist hierüber nach § 321 Abs.
1 Satz 3 HGB im Prüfungsbericht zu berichten.
2.2.2. Technisches und organisatorisches Umfeld
(15) Das Internet ist ein weltweites öffentliches Netz von IT-Systemen, das unter Beachtung
von technischen und administrativen Rahmenbedingungen prinzipiell jedem Unternehmen,
jeder Institution und jeder Privatperson zur Verfügung steht und in dem standardisierte
Dienste bereitgestellt werden. Es erlaubt die elektronische Kommunikation zwischen allen
Teilnehmern auf Basis des Internet-Protokolls (IP). Hierzu erhält jeder an das Internet
angeschlossene Computer oder jedes andere Endgerät (z.B. Mobiltelefon etc.) seine
(dauerhafte oder temporäre) IP-Adresse (zur Erläuterung internetspezifischer Begriffe und
Abkürzungen vgl. Anhang 2: Glossar).
(16) In der Regel wählen sich private Internetnutzer direkt in das Netzwerk eines InternetService-Providers (ISP) ein, während Unternehmen oder Institutionen ihr internes Netzwerk
mit dem Netzwerk des ISP (z.B. Router und Firewall) verbinden. Der Router ist die
Schnittstelle zwischen dem internen Netzwerk und der Datenleitung zum ISP. Das FirewallSystem soll das interne Netzwerk schützen und sichern.
(17) Die technische Abwicklung von E-Commerce ist im Wesentlichen gekennzeichnet durch

die Nutzung ungeschützter, öffentlich zugänglicher Netzwerke,
Seite 5 von 37

die Anonymität der Geschäftspartner, insbesondere im B2C-Bereich,

den Austausch von Handelsbriefen und Dokumenten, denen Belegfunktion zukommt,
in elektronischer Form,

Schnittstellen der im Unternehmen eingesetzten IT-Systeme zu öffentlich zugänglichen
Netzwerken, wie z.B. zum Internet,

automatisierte Geschäftsprozesse, die teilweise auch unternehmensübergreifend ohne
personenbezogene Kontrollen oder Sicherungsmaßnahmen abgewickelt werden.
3. Verpflichtungen der gesetzlichen Vertreter im Zusammenhang mit E
Commerce
(18) Die gesetzlichen Vertreter haben unabhängig von der eingesetzten
Informationstechnologie, den implementierten Geschäftsprozessen oder den angewandten
Geschäftsmodellen bei der Verarbeitung rechnungslegungsrelevanter Daten die Einhaltung der
gesetzlichen Anforderungen an die Ordnungsmäßigkeit der Rechnungslegung sicherzustellen.
(19) Die Einhaltung der gesetzlichen Anforderungen beim Einsatz von E-Commerce-Systemen
ist von den gesetzlichen Vertretern bei der Entwicklung und Umsetzung der IT-Strategie und
des daraus abgeleiteten Sicherheitskonzeptes angemessen zu gewährleisten. Relevant für die
Einhaltung der datenschutzrechtlichen Anforderungen sind insbesondere die aus den
Sicherheitsanforderungen des IDW RS FAIT 1 (die in dem Anhang 1 im Bezug auf den Einsatz
von E-Commerce-Systemen konkretisiert werden) abgeleiteten Maßnahmen.
In diesem Zusammenhang ist darauf hinzuweisen, dass die gesetzlichen Anforderungen an
den Schutz personenbezogener Daten auch Sicherungsmaßnahmen betreffen, die nicht mit
der Rechnungslegung im Zusammenhang stehen, bspw. Sicherungsmaßnahmen des BDSG
gegen das unbefugte Abfragen von Daten aller Art [5].
4. Besondere IT-Risiken beim Einsatz von E-Commerce-Systemen
(20) Durch den Einsatz von internetbasierten Kommunikationstechnologien, die Erweiterung
des Kreises der möglichen Geschäftspartner sowie die Beeinflussung durch Dritte, z.B. ISP,
oder anderer in der Geschäftsabwicklung ergeben sich E-Commerce-spezifische Probleme und
Risiken. Bei deren Analyse und Wertung kann unterschieden werden zwischen den Risiken,
die sich aus der Kommunikation, und den Risiken, die sich aus der Verarbeitung ergeben.
Seite 6 von 37
4.1. Risiken aus der Kommunikation
(21) Die Kommunikation über öffentlich zugängliche Netzwerke beginnt ab dem Punkt, an
dem der Absender bewusst die Einwirkungsmöglichkeit über die zu übermittelnden Daten
(bspw. Transaktionsdaten) verliert, bis zu dem Punkt, an dem diese Daten dem Empfänger
zugehen.
(22) Ein Zugang ist dann erfolgt, wenn die übermittelten Daten in einer maschinell und/oder
visuell lesbaren Form in den Verantwortungsbereich des Empfängers gelangt sind. Auf dem
Weg vom Absender bis zum Empfänger bleibt das Risiko der unvollständigen, unrichtigen oder
verspäteten Zustellung bzw. die Nachweispflicht über die erfolgte Zustellung - auch bei
elektronischer Versendung - beim Absender. Entsprechend den herkömmlichen
unterschiedlichen Versendungsformen bleibt es ihm überlassen, dieses Risiko u.a. durch
elektronische Empfangsbestätigungen zu reduzieren.
(23) Darüber hinaus ergeben sich bei der Kommunikation Risiken insbesondere aus der
fehlenden Kontrolle über den Datentransfer im Internet, die wie folgt differenziert werden
können:

Daten werden häufig ohne oder mit unzureichendem Schutz vor Verfälschung
übertragen, was zu Integritätsverletzungen führen kann (Verlust der Integrität).

Daten werden häufig unverschlüsselt oder unter Verwendung einer unsicheren
Verschlüsselung übertragen, was eine Gefährdung der Vertraulichkeit bedeutet
(Verlust der Vertraulichkeit).
Seite 7 von 37

Der Anschluss eines IT-Systems an das Internet birgt die Gefahr, Ziel von Angriffen zu
werden, bspw. durch Viren, Trojanische Pferde oder Hacker, die zu einer Gefährdung
der Verfügbarkeit des IT-Systems führen (Verlust der Verfügbarkeit).

Es existieren keine wirksamen Authentisierungsmechanismen zwischen den im
Internet angeschlossenen Rechnern, bzw. es ist leicht möglich, falsche Adressen (IPSpoofing) oder Rechnernamen (DNS-Spoofing) zu verwenden (Verlust der
Authentizität).

Beim Datentransfer können Hilfsprogramme (Java, Active-X) zu unautorisierten
Zugriffen auf IT-Systeme führen (Verlust der Autorisierung).

Eine unzureichende Protokollierung der Transaktionsdaten kann dazu führen, dass der
Nachweis über die Geschäftstätigkeit nicht hinreichend erbracht werden kann. Darüber
hinaus bergen fehlende national sowie international gültige Regelungen bezüglich der
internetbasierten Geschäftsabwicklung die Gefahr, dass gewollte Rechtsfolgen nicht
bindend herbeigeführt werden können (Verlust der Verbindlichkeit).
4.2. Risiken aus der Verarbeitung
(24) Die Verarbeitung der Transaktionsdaten in der E-Commerce-Anwendung reicht von dem
Punkt des Zugangs bis zu dem Punkt, an dem die Daten vom Front-End (Zugangs/Erfassungssysteme) an die Rechnungslegungssysteme (z.B. ERP-Systeme) übergeben
werden. Die Risiken ergeben sich aus der Transaktionsdatenverarbeitung in der E-CommerceAnwendung sowie insbesondere aus der Konvertierung, Entschlüsselung und Formatierung
von Daten in der Schnittstelle zu anderen Teilen des IT-Systems.(25) Zu den Risiken bei der
Verarbeitung führen insbesondere folgende Sachverhalte:

Integritätsverletzungen bei Daten führen dazu, dass aufzeichnungspflichtige
Geschäftsvorfälle nicht oder unvollständig erfasst werden (Verletzung des
Vollständigkeitsgrundsatzes).

Mangelnde Authentizität und Autorisierung bewirkt, dass Geschäftsvorfälle inhaltlich
unzutreffend abgebildet werden (Verletzung des Grundsatzes der Richtigkeit).

Störungen der Verfügbarkeit des E-Commerce-Systems oder Mängel bei der
Protokollierung des Datenverkehrs können eine zeitgerechte Aufzeichnung des
Geschäftsvorfalls beeinträchtigen (Verletzung des Grundsatzes der Zeitgerechtigkeit).

Eine unzureichende Aufzeichnung der eingehenden Daten kann zu einer
Beeinträchtigung der Nachvollziehbarkeit der Buchführung (Verletzung des
Grundsatzes der Nachvollziehbarkeit) und zu einem Verstoß gegen die
Aufbewahrungspflichten (§ 257 HGB) führen.
(26) Aufgrund dieser besonderen Risiken beim Einsatz von E-Commerce-Systemen ist die
Einhaltung der Sicherheitsanforderung an rechnungslegungsrelevante Daten als
Voraussetzung der Ordnungsmäßigkeit der IT-gestützten Rechnungslegung von besonderer
Bedeutung [6]. Die Sicherheitsanforderungen beziehen sich sowohl auf den Übertragungsweg
und damit auf die im öffentlichen Netz übertragenen Informationen und durchgeführten
Transaktionen als auch auf die Verarbeitung der Informationen und Transaktionen in den ITSystemen der Marktpartner.
5. Ordnungsmäßigkeit und Sicherheit beim Einsatz von E-CommerceSystemen
Seite 8 von 37
(27) Die Kriterien zur Beurteilung der Ordnungsmäßigkeit und Sicherheit beim Einsatz von IT
sind im IDW RS FAIT 1 dargestellt. Die konkrete Ausgestaltung des IT-Kontrollsystems zur
Gewährleistung dieser Sicherheits- und Ordnungsmäßigkeitsanforderungen ist im Einzelfall
festzulegen in Abhängigkeit von der Risikosituation und dem daraus abgeleiteten
Sicherheitskonzept, das den erforderlichen Grad an Informationssicherheit definiert.
(28) Eine IT-Kontrolle kann technologiebedingt sowohl dazu geeignet sein, Sicherheits- als
auch Ordnungsmäßigkeitsanforderungen zu gewährleisten. Eine IT-Kontrolle, die bspw.
umgesetzt wurde, um die Sicherheitsanforderung Integrität im Bezug auf die Kommunikation
zu gewährleisten, kann auch dazu führen, die Ordnungsmäßigkeitsanforderung Vollständigkeit
bei der Verarbeitung sicherzustellen. Daher sind die einzelnen IT-Kontrollen nicht nur isoliert
zu betrachten, sondern ganzheitlich im Hinblick auf ihr Zusammenwirken im internen
Kontrollsystem.
Die Besonderheiten zu den Risiken und Anforderungen beim Einsatz von E Commerce sind im
Anhang 1 tabellarisch dargestellt.
5.1. Belegfunktion
(29) Die in § 238 Abs. 1 HGB geforderte Nachvollziehbarkeit der Buchführung vom Urbeleg
zum Abschluss und vice versa setzt voraus, dass jede Buchung und ihre Berechtigung durch
einen Beleg nachgewiesen wird (Grundsatz der Belegbarkeit). Sie ist die Grundvoraussetzung
für die Beweiskraft der Buchführung.
(30) Die für die papiergebundenen Belege geltenden Anforderungen sind analog auch bei
Einsatz von E-Commerce zu erfüllen. Aus dem GoB-Bezug in § 239 Abs. 4 HGB kann
allerdings nicht abgeleitet werden, dass an E-Commerce-Belege höhere Anforderungen als an
Papierbelege zu stellen sind.
(31) Nicht alle Daten über E-Commerce-Aktivitäten führen zu einer Buchung und sind damit
als dokumentations- und aufbewahrungspflichtiger Vorgang anzusehen. Vielmehr sind
folgende Voraussetzungen zu erfüllen:

Der Vorgang muss den Bilanzierenden erreichen.

Der Vorgang muss durch den Empfänger autorisiert sein.

Es muss ein buchungspflichtiger Vorgang vorliegen.
(32) Die Autorisierung soll sicherstellen, dass keine unberechtigten bzw. keine fiktiven
Geschäftsvorfälle in das System eingehen. Es muss festgelegt sein, wann, wie und durch wen
die Autorisierung erfolgt.
(33) Eine elektronische Unterschrift des Absenders bzw. eine Verschlüsselung der Nachrichten
ist generell nicht zwingend erforderlich: Eine Buchung aufgrund einer E-CommerceTransaktion wird nicht durch die Unterschrift oder die digitale Signatur des Absenders bzw.
durch die Verschlüsselungstechnik begründet, sondern durch den vom Empfänger als
buchungspflichtig erkannten Inhalt der übermittelten Daten. Allerdings ist eine digitale
Signatur des Absenders bzw. eine Verschlüsselung der Daten insbesondere in Bereichen mit
erhöhten Sicherheitsanforderungen zu empfehlen. Ebenso können digitale Signaturen und
Datenverschlüsselungen unverzichtbar sein, wenn anderenfalls eine Akzeptanz der
übermittelten Daten nicht begründet werden kann.
Seite 9 von 37
(34) Sofern E-Commerce-Geschäftprozesse automatisierte Buchungen auf Grundlage der
übermittelten Transaktionsdaten auslösen und ein Nachweis durch konventionelle Belege nicht
erbracht werden kann, ist die Belegfunktion über den verfahrensmäßigen Nachweis des
Zusammenhangs zwischen der jeweiligen E-Commerce-Transaktion und ihrer Buchung zu
erfüllen.
Nach IDW RS FAIT 1, Tz. 35 sind nachfolgende Anforderungen zu erfüllen:

Dokumentation der programminternen Vorschriften zur Generierung der Buchungen

Nachweis, dass die in der Dokumentation enthaltenen Vorschriften einem autorisierten
Änderungsverfahren unterlegen haben (u.a. Zugriffsschutz, Versionsführung, Test- und
Freigabeverfahren)

Nachweis der Anwendung des genehmigten Verfahrens sowie

Nachweis der tatsächlichen Durchführung der einzelnen Buchung.
5.2. Journal- und Kontenfunktion
(35) Das Buchführungsverfahren muss gewährleisten, dass die buchungspflichtigen
Geschäftsvorfälle sowohl in zeitlicher Ordnung (Journalfunktion) als auch in sachlicher
Ordnung (Kontenfunktion) dargestellt werden können. Die Daten müssen innerhalb
angemessener Zeit festgestellt und optisch lesbar gemacht werden können (§ 239 Abs. 4
HGB).
(36) Im Rahmen des E-Commerce gilt diese Forderung in gleicher Weise für die Konvertierung
und die Verarbeitung der rechnungslegungsbezogenen Daten in den E-CommerceAnwendungen. So ist sicherzustellen, dass die versandten bzw. empfangenen Daten
chronologisch aufgezeichnet werden sowie die sachliche Ordnung bei Transaktionen mit
mehreren Transaktionsschritten gewahrt bleibt.
(37) Die Erfüllung der Journalfunktion kann durch eine auswertbare Speicherung
(Einzelnachweis) der Buchung im E-Commerce-System bei Sammelbuchungen in das
Rechnungslegungssystem übertragen werden. Voraussetzung dafür ist, dass im Rahmen des
E-Commerce-Systems die Ordnungsmäßigkeitsanforderungen an die Buchführung eingehalten
werden. Sofern keine Autorisierung im E-Commerce-System erfolgt, sind die erfassten Daten
als Erfassungsprotokolle und nicht als Journale einzustufen [7].
5.3. Dokumentation
(38) Für die Verfahrensdokumentation von E-Commerce-Systemen gelten die allgemeinen
Anforderungen an die Dokumentation von IT-Systemen entsprechend [8]. Aufbau, Inhalt und
Umfang der Verfahrensdokumentation müssen es einem sachverständigen Dritten
ermöglichen, das Rechnungslegungsverfahren in angemessener Zeit nachvollziehen zu
können.
(39) Den Schwerpunkt der Verfahrensdokumentation beim Einsatz von E Commerce bildet die
Beschreibung der technischen Einrichtungen und Verfahren zur Verarbeitung und Übertragung
der Daten (z.B. Ver- und Entschlüsselung). Dies sind z.B.:

Beschreibung der eingesetzten Hard- und Software (z.B. Router, Firewall und
Virenscanner)

Darstellung der Netzwerkarchitektur, insbesondere die Anbindung an einen ISP
Seite 10 von 37

Beschreibung der zur Übertragung verwendeten Protokolle (z.B. TCP/IP)

Beschreibung der verwendeten Verschlüsselungsverfahren

Beschreibung der eingesetzten Signaturverfahren

Datenflusspläne vom Eingang der Daten im Unternehmen bis zu den
weiterverarbeitenden Rechnungslegungssystemen

Beschreibung der Schnittstellen sowie der darauf bezogenen Kontrollen bei mit dem
Rechnungslegungssystem nicht integrierten E-Commerce-Systemen

Dokumentation der Autorisierungsverfahren einschließlich der Verfahren zur
Generierung automatisierter Buchungen

Beschreibung der Rechte und Pflichten von beauftragten Providern nebst den
vertraglichen Vereinbarungen.
(40) Neben den technischen Gegebenheiten sind in der Verfahrensdokumentation auch die
organisatorischen Maßnahmen und insbesondere die Kontrollen zur Gewährleistung der
Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce zu beschreiben. Hierzu
rechnen beispielsweise Beschreibungen zur

Selektion und Protokollierung der rechnungslegungsrelevanten Geschäftsvorfälle aus
den empfangenen Daten,

Abstimmung der vollständigen, richtigen und zeitgerechten Verarbeitung der
empfangenen Daten,

manuellen Nachkorrektur unvollständiger oder nicht formatgerechter Daten.
5.4. Aufbewahrungspflichten
(41) Nicht alle im Zusammenhang mit E-Commerce-Aktivitäten stehenden Daten sind
aufbewahrungspflichtig. Gemäß § 257 HGB umfasst die Aufbewahrungspflicht die
empfangenen und abgesandten Handelsbriefe, Buchungsbelege sowie zum Verständnis der
Buchführung erforderlichen Arbeitsanweisungen und sonstige Organisationsunterlagen.
(42) Die empfangenen Daten gelten als empfangener Handelsbrief, sofern diese ein
Handelsgeschäft betreffen. Sie sind analog § 257 Abs. 1 Nr. 2 i.V.m. Abs. 4 HGB für eine
Dauer von sechs Jahren aufzubewahren. Um die Beweiskraft der empfangenen Daten
sicherzustellen, müssen technische und organisatorische Vorkehrungen gewährleisten, dass
ein Verlust oder eine Veränderung des Originalzustands der übermittelten Daten
(Originaldaten) über den Zeitraum der gesetzlichen Aufbewahrungsfrist verhindert wird.
Werden Konvertierungs- bzw. Signatur- oder Verschlüsselungsverfahren eingesetzt, so ist
durch den Buchführungspflichtigen sicherzustellen, dass durch das eingesetzte
Konvertierungs- bzw. Entschlüsselungsverfahren die Integrität der in eine lesbare Form
überführten Daten (Inhouse-Format), die Authentizität des verwendeten Schlüssels sowie die
Unveränderlichkeit der im Inhouse-Format gespeicherten Daten während der gesetzlichen
Aufbewahrungsfrist gewährleistet werden. Soweit ein nachweislich zuverlässiges
Konvertierungs- bzw. Entschlüsselungsverfahren eingesetzt wird, genügt die Archivierung im
Inhouse-Format. Eine redundante Datenhaltung ist in diesem Fall nicht erforderlich.
(43) Werden die Originaldaten in verschlüsselter Form gespeichert, sind Schlüssel und
Algorithmen zur Entschlüsselung während der gesamten Aufbewahrungsfrist vorzuhalten.
Ebenso muss es im Rahmen der Archivierung der zur Entschlüsselung verwendeten Verfahren
möglich sein, die Daten in angemessener Zeit lesbar zu machen. Soweit die in verschlüsselter
Seite 11 von 37
Form gespeicherten eingehenden Handelsbriefe Belegfunktion besitzen, ist zusätzlich eine
Archivierung im Inhouse-Format notwendig, also in dem Format und in der Form, in denen
der Handelsbrief bei Autorisierung des Geschäftsvorfalls vorgelegen hat.
(44) Die Aufbewahrungsfrist für die Daten mit Belegfunktion beträgt gemäß § 257 Abs. 1 Nr.
4 i.V.m. Abs. 4 HGB zehn Jahre.
(45) Vor dem Hintergrund der mit Wirkung ab dem 1. Januar 2002 in Kraft getretenen
Änderung der Abgabenordung und dem in diesem Zusammenhang erlassenen BMF-Schreiben
"Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU) wird auf die
besonderen Aufbewahrungsanforderungen für Abrechnungen i.S.d. § 14 Abs. 4 Satz 2 UStG
und für sonstige aufbewahrungspflichtige Unterlagen i.S.d. § 147 Abs. 1 AO hingewiesen.
Diese Anforderungen betreffen Unterlagen, die in digitalisierter Form übermittelt werden und
für die Besteuerung von Bedeutung sind.
Nach Auffassung der Finanzverwaltung sind derzeit - abweichend von den handelsrechtlichen
Anforderungen - empfangene Daten in ihrer ursprünglichen Form (Originaldaten) und bei
Konvertierung in ein unternehmenseigenes Format (Inhouse-Format) auch in der
umgewandelten Form zu archivieren. Diese Anforderung besteht unabhängig davon, ob ein
zuverlässiges Konvertierungsverfahren eingesetzt wird.
Werden Signatur- bzw. Verschlüsselungsverfahren eingesetzt, so sind die verwendeten
Schlüssel und Algorithmen ebenfalls während der gesetzlichen Aufbewahrungsfrist
vorzuhalten und sowohl die in verschlüsselter Form erhaltenen Daten als auch die
entschlüsselte Form aufzubewahren. Dies gilt unabhängig davon, ob ein zuverlässiges
Entschlüsselungsverfahren eingesetzt wird. Aufgrund der steuerrechtlichen Anforderungen
kann es deshalb derzeit geboten sein, die Daten redundant, d.h. in der ursprünglichen und in
der lesbaren (sog. Inhouse-Format) Form zu archivieren. Auf die darüber hinaus bestehenden
zusätzlichen Aufbewahrungspflichten im Zusammenhang mit Abrechnungen i.S.d. § 14 Abs. 4
Satz 2 UStG wird hingewiesen.
(46) Sofern versandte Daten abgesandten Handelsbriefen gleichzusetzen sind, ergeben sich
keine Besonderheiten gegenüber herkömmlichen Verfahren, da § 257 Abs. 1 Nr. 3 i.V.m. Abs.
3 Nr. 1 HGB lediglich eine inhaltliche Wiedergabe fordert. Die Verfahrensdokumentation beim
Einsatz von E-Commerce ist gemäß § 257 Abs. 1 Nr. 1 i.V.m. Abs. 4 HGB zehn Jahre
aufzubewahren.
5.5. Aufbewahrungspflichten beim Einsatz von EDI
(47) Ebenso wie beim E-Commerce stellt sich generell bei der elektronischen
Datenübermittlung die Frage, wie die ausgetauschten elektronischen Nachrichten zu
behandeln sind, um den Aufbewahrungspflichten gerecht zu werden. Grundsätzlich sind
eingehende EDI-Nachrichten insoweit aufbewahrungspflichtig, als Daten, die über dieses
standardisierte Verfahren übermittelt werden, Handelsbrief- oder Belegfunktion entfalten.
(48) Zur Archivierung von EDI-Daten, die durch den Empfänger akzeptiert (autorisiert)
wurden, bestehen keine besonderen Anforderungen an ein bestimmtes Aufbewahrungsformat.
(49) Soweit eine EDI-Nachricht Belegfunktion hat, hat die Archivierung im Inhouse-Format zu
erfolgen (vgl. Tz. 42). Das zur Archivierung von EDI-Daten verwendete Verfahren muss
sicherstellen, dass die Daten in angemessener Zeit lesbar gemacht werden können. Dies kann
bei der getrennten Speicherung von Schlüsseldateien und EDI-Nachricht über einen längeren
Seite 12 von 37
Zeitraum schwierig sein, da hierfür eine exakte Historienführung der Stammdatenänderung
Voraussetzung ist.
6. Einrichtung eines E-Commerce-Systems
(50) Um die Unternehmensziele zu erreichen und erkannte Risiken zu bewältigen, stimmen
die gesetzlichen Vertreter ihre IT-Strategie mit der Unternehmensstrategie ab. Hierfür ist ein
angemessenes IT-Kontrollsystem einzurichten.
(51) Gegenstand der IT-Strategie ist auch der Einsatz von E-Commerce-Systemen. Daher
sind die E-Commerce-Aktivitäten in den Rahmen der IT-Strategie zu integrieren und auch in
das Sicherheitskonzept einzubeziehen. Die Überwachung der Umsetzung der IT-Strategie und
die Implementierung eines angemessenen und wirksamen IT-Kontrollsystems ist Aufgabe der
gesetzlichen Vertreter.
(52) Das Sicherheitskonzept umfasst eine Gefährdungs- bzw. Risikoanalyse sowie daraus
abgeleitet die Festlegung des angemessenen Sicherheitsniveaus und die sich daraus
ergebenden zusätzlichen Sicherungsmaßnahmen. Es muss daher in Übereinstimmung mit der
IT-Strategie und der IT-Organisation stehen und eine Bewertung der spezifischen
Sicherheitsrisiken der E-Commerce-Aktivitäten des Unternehmens enthalten. Ein solches
Sicherheitskonzept wird durch Ausführungsanweisungen etwa im Bereich des IT-Betriebs, des
Netzbetriebs und der Administration sowie bei der Gestaltung von Zugriffsschutzverfahren
konkretisiert.
(53) Wenn Unternehmen ganz oder teilweise Elemente des E-Commerce-Systems auslagern,
müssen die gesetzlichen Vertreter beurteilen, wie sich dies auf das IT-Kontrollsystem
auswirkt. Die Verantwortlichkeit der gesetzlichen Vertreter des Unternehmens erstreckt sich
in diesem Fall auch auf die ausgelagerten Teile des IT-Systems.
Insbesondere für Unternehmen, deren Geschäftstätigkeit ausschließlich oder überwiegend ECommerce umfasst, können die damit verbundenen IT-Risiken bestandsgefährdend sein. Sie
müssen deshalb im Risikofrüherkennungssystem festgestellt, analysiert und bewertet werden.
Die risikobezogenen Informationen sind in systematisch geordneter Weise an die
verantwortlichen Personen weiterzuleiten [9].
6.1. Das IT-Umfeld bei Einsatz von E-Commerce-Systemen
(54) Voraussetzung für ein geeignetes IT-Umfeld beim E-Commerce ist eine angemessene
Grundeinstellung zum Einsatz von E-Commerce und ein Problembewusstsein für mögliche
Risiken aus dem Einsatz von E Commerce-Systemen bei den gesetzlichen Vertretern und den
Mitarbeitern. Dies betrifft insbesondere ein ausgeprägtes Bewusstsein für die
Sicherheitsrisiken bei der Nutzung des Internets in der Unternehmensorganisation. Dieses ist
zugleich eine wesentliche Bedingung für die angemessene Umsetzung des
Sicherheitskonzepts. Soweit kein hinreichendes Sicherheitsbewusstsein vorhanden ist, besteht
das Risiko, dass die zur Vermeidung von E-Commerce-Risiken umgesetzten Maßnahmen ganz
oder teilweise unwirksam bleiben.
6.2. Die IT-Organisation bei Einsatz von E-Commerce-Systemen
Seite 13 von 37
(55) Die IT-Organisation umfasst auch die Verantwortlichkeiten und Kompetenzen im
Zusammenhang mit dem Einsatz von E-Commerce-Systemen im Unternehmen. Sie beinhaltet
insbesondere organisatorische und dem Betrieb angemessene Sicherungs- und
Schutzverfahren (z.B. Einsatz von Firewalls zum Schutz vor unautorisierten Systemzugriffen,
Einsatz von Intrusion Detection Systemen zur Aufdeckung von unerlaubten Angriffen, Einsatz
von kryptographischen Verfahren zur Vermeidung von Datenmanipulationen u.a.).
(56) Die Anforderungen an die Gestaltung der IT-Organisation betreffen die Aufbau- und
Ablauforganisation des E-Commerce-Systems. Im Rahmen der Aufbauorganisation werden die
Verantwortlichkeiten und Kompetenzen im Zusammenhang mit dem Einsatz von ECommerce-Systemen geregelt. Die Ablauforganisation betrifft sowohl die Organisation der
Entwicklung, Einführung und Änderung als auch die Steuerung des Einsatzes von ECommerce-Anwendungen unter Berücksichtigung des Grundsatzes der Funktionstrennung.
Auch im Rahmen des E-Commerce-Betriebs müssen Aufgaben, Kompetenzen und
Verantwortlichkeiten der Mitarbeiter klar definiert sein. Übliche Instrumente hierfür sind
Prozess- und Funktionsbeschreibungen oder Organisationshandbücher.
6.3. E-Commerce-Infrastruktur
(57) Die E-Commerce-Infrastruktur umfasst die technischen Ressourcen und die Regelungen
des IT-Betriebs im Bezug auf den Einsatz des E-Commerce-Systems. Dies schließt die
notwendige Systemsoftware sowie sonstige Hilfsprogramme ein,
"die zur Verbindung des IT-Systems mit öffentlichen Netzen, dritten Anwendern und
Unternehmen dienen und
"den ordnungsmäßigen und sicheren Einsatz von E-Commerce-Anwendungen durch geeignete
Schutz- und Steuerungsmaßnahmen unterstützen.
Die E-Commerce-Infrastruktur umfasst damit typischerweise Komponenten wie z.B. WebServer, Firewall-Systeme als Schutzvorrichtung, Router zur Steuerung des Datenflusses sowie
die für die E-Commerce-Dienste erforderliche Software (z.B. Web-Applikationen und Directory
Services; http- und Mail-Services sowie Betriebssysteme). Weitere Hilfsprogramme, die z.B.
dem Virenschutz oder der Überwachung von Angriffen von außen dienen (Intrusion-DetectionProgramme), sind ebenfalls der E Commerce-Infrastruktur zuzuordnen.
(58) Die technischen Ressourcen und die Verfahren für einen sicheren und geordneten ITBetrieb sollen insbesondere die Integrität und Verfügbarkeit des E Commerce-Systems auf
der Grundlage des Sicherheitskonzepts gewährleisten.
(59) Die aus dem Sicherheitskonzept abgeleiteten Sicherungsmaßnahmen umfassen
physische Sicherungsmaßnahmen und logische Zugriffskontrollen sowie Datensicherungs- und
Auslagerungsverfahren.
(60) IT-Grundlage für die Bereitstellung der E-Commerce-Anwendungen und damit für die
Realisierung der E-Commerce-Aktivitäten im Internet sind Internet-Server, die entweder von
den Unternehmen selbst betrieben oder von Internet-Service-Providern zur Verfügung gestellt
werden. Dementsprechend sind Internet-Server wie die gesamte E-Commerce-Infrastruktur
durch physische Sicherungsmaßnahmen zu schützen [10].
(61) Zur Absicherung des E-Commerce-Systems kommen Firewall-Systeme zum Einsatz. Sie
dienen der Trennung des E-Commerce-Systems und des öffentlich zugänglichen Internets und
schützen gegen Angriffe aus dem Internet. Firewall-Systeme bestehen aus einer Kombination
Seite 14 von 37
von Hard- und Software, die als alleiniger Übergang zwischen dem E-Commerce-System des
Unternehmens und dem davon zu trennenden Internet (TCP/IP-Netz) dient. Durch den
Einsatz von speziellen Firewall-Komponenten (Application-Gateway/Packet-Filter) wird der
Datentransfer auf unerwünschte Inhalte hin untersucht bzw. werden unerwünschte Zugriffe
unterbunden. Die wesentlichen Hardware-Komponenten der E-Commerce-Infrastruktur sollten
redundant ausgelegt sein.
(62) Ein weiteres wesentliches Element der E-Commerce-Infrastruktur sind kryptographische
Verfahren, die als Hardwarekomponenten oder Softwareprogramme die Integrität,
Authentizität und Vertraulichkeit und damit die Ordnungsmäßigkeit und Sicherheit von Daten
sicherstellen.
(63) Bei den Datensicherungs- und Auslagerungsverfahren [11] ergeben sich beim Einsatz von
E-Commerce-Systemen Besonderheiten, soweit diese im Outsourcing betrieben werden. Das
Unternehmen muss daher sicherstellen, dass die von den Outsourcingpartnern eingesetzten
Datensicherungs- und Auslagerungsverfahren angemessen sind und entsprechend
durchgeführt werden. Dies erfordert einerseits zusätzliche interne Überwachungsmaßnahmen,
andererseits explizite vertragliche Vereinbarungen und Service Level Agreements mit den
Outsourcing-Partnern.
6.4. E-Commerce-Anwendungen
(64) E-Commerce-Anwendungen bilden typischerweise diejenigen Funktionalitäten ab, die für
eine Abbildung, Kommunikation und Verarbeitung von E Commerce-Geschäftsprozessen
notwendig sind.

Beim Empfänger sind dies die Funktionalitäten, die zur Realisierung der E-CommerceAktivitäten über das Internet sowie zur Übernahme und Verarbeitung der über das ECommerce-System übermittelten Daten notwendig sind, bis diese in dem
unternehmenseigenen Format (sog. Inhouse-Format) verarbeitungsfähig vorliegen.

Beim Sender sind dies die Funktionalitäten, die die für den Versand über das Internet
bestimmten Daten aufbereiten und über die E-Commerce-Infrastruktur übermitteln.
Dementsprechend bilden E-Commerce-Anwendungen typischerweise Funktionalitäten der
Präsentation, des Datentransfers sowie deren Aufbereitung im Rahmen von Shop-Systemen
und elektronischen Marktplätzen ab oder sind auf die Abwicklung der Bestell- oder
Auftragsabwicklungsvorgänge oder des Zahlungsverkehrs ausgerichtet.
Soweit rechnungslegungsrelevante Funktionalitäten durch E Commerce-Anwendungen
abgebildet werden, sind die Ordnungsmäßigkeitsanforderungen an die Buchführung
einzuhalten; insbesondere muss die Beleg-, Journal- und Kontofunktion gewährleistet sein
(vgl. IDW RS FAIT 1).
(65) Bei dem Einsatz von E-Commerce-Anwendungen muss gewährleistet sein, dass die in der
IT-Strategie in Bezug auf die Funktionalität dieser Anwendungen formulierten Anforderungen
eingehalten werden. Neben der Einführung von anwendungsbezogenen IT-Kontrollen müssen
generelle Kontrollen dafür sorgen, dass die E-Commerce-Anwendungen und die verarbeiteten
rechnungslegungsrelevanten Daten den Ordnungsmäßigkeitsanforderungen entsprechen.
Diese Forderung betrifft sowohl die Verarbeitungsfunktionalitäten als auch die
sicherheitsrelevanten Funktionalitäten wie den Zugriffsschutz, die Sicherungs- und
Wiederanlaufverfahren sowie die Programmentwicklung, -wartung und -freigabe [12].
Seite 15 von 37
6.5. E-Commerce Geschäftsprozesse
(66) Die Implementierung von E-Commerce-Geschäftsprozessen führt prinzipiell zu einer
ganzheitlichen Betrachtung und Analyse aller mit dem E-Commerce-Geschäftsprozess im
Zusammenhang stehenden Wertschöpfungsprozesse, wobei operative Logistik- und
Produktionsprozesse nur eine Teilmenge bilden. Insbesondere bei
unternehmensübergreifenden E-Commerce-Geschäftsprozessen (Integration) kann es
notwendig sein, Geschäftsprozesse, die externe Geschäftsbeziehungen betreffen, zu
restrukturieren und neu auszurichten. Dabei ist es für eine sachgerechte Umsetzung der
Unternehmensstrategie von entscheidender Bedeutung, dass die Einrichtung des E
Commerce-Systems sowie der betroffenen E Commerce-Geschäftsprozesse in
Übereinstimmung mit der IT-Strategie und dem Sicherheitskonzept erfolgt.
(67) Insbesondere E-Commerce-Aktivitäten in Form der Transaktion und Integration führen
dazu, dass Daten über betriebliche Aktivitäten direkt in das Rechnungslegungssystem und
damit in die IT-gestützte Rechnungslegung einfließen.
Komplexe E-Commerce-Geschäftsprozesse können mit ihren Teilprozessen mehrere
funktionale Bereiche im Unternehmen mit nicht integrierten Bestandteilen von ITAnwendungen bzw. der IT-Infrastruktur betreffen. Bei unternehmensübergreifenden
Wertschöpfungsketten sind komplexe rechnungslegungsrelevante E-CommerceGeschäftsprozesse durch eine direkte Übernahme der Transaktionsdaten vom
Geschäftspartner in das E Commerce-System gekennzeichnet, was zu einer Vermeidung von
Mehrfacherfassungen und Medienbrüchen führt. Damit verbunden ist die vermehrte
Anbindung von IT-Anwendungen an das E-Commerce-System, die somit den
Geschäftspartnern (so genannte "available-to-promise-Applikationen") zur Bestätigung von
Aufträgen oder Lieferzeitpunkten zur Verfügung gestellt werden. Hier birgt eine auf
Teilsysteme ausgerichtete Analyse der Sicherheits- und Ordnungsmäßigkeitsrisiken sowie eine
auf den Funktionsbereich isoliert ausgerichtete Implementierung des IT-Kontrollsystems die
Gefahr, dass Risiken aus dem geschäftsprozessbedingten Datenaustausch zwischen den
Teilsystemen unberücksichtigt bleiben.
Damit im Zusammenhang steht auch die Gefahr einer mangelnden Berücksichtigung der
systemtechnischen Zusammenhänge. Sie beinhaltet die Gefahr, dass bspw. Zugriffsrechte
oder Datensicherungsmaßnahmen lediglich bezüglich der einzelnen IT-Teilsysteme und damit
für den Teilprozess, jedoch nicht für den Gesamtprozess wirksam sind.
(68) Beim Einsatz internetbasierter Kommunikationsprotokolle, wie z.B. TCP/IP,
Datentransferformate wie bspw. XML (Extended Markup Language), XBRL (Extensible
Business Reporting Language) oder im Falle von EDI bei der Nutzung strukturierter und
normierter Datentransferformate, besteht aufgrund unzureichender implementierter
Schnittstellen oder nicht sachgerecht konfigurierter Konvertierungsprogramme die Gefahr,
dass Daten unvollständig oder unrichtig in das weiterzuverarbeitende Inhouse-Format
überführt werden. Wesentliche Voraussetzung für eine vollständige und richtige
Weiterverarbeitung im Rechnungslegungssystem ist die sachgerechte Implementierung von
Schnittstellen- und Konvertierungsprogrammen, deren korrekte Funktionsweise durch
prozessintegrierte Kontrollen und Sicherungsmaßnahmen zu gewährleisten ist. In diesem
Zusammenhang kommt der Protokollierung des Datentransfers auf Schnittstellenebene
besondere Bedeutung zu. Neben einer automatischen Protokollierung ist die Einrichtung von
Eskalationsverfahren sicherzustellen, die unvollständige bzw. fehlerbehaftete
Transaktionsdatensätze ggf. automatisch an die verantwortliche Stelle zur
Sachverhaltsklärung weiterleiten.
Seite 16 von 37
6.6. Überwachung des IT-Kontrollsystems bei Einsatz von E-CommerceSystemen
(69) Unter der Überwachung des IT-Kontrollsystems beim Einsatz von E Commerce-Systemen
ist die prozessunabhängige Beurteilung der Wirksamkeit des E-Commercere-relevanten ITKontrollsystems im Zeitablauf zu verstehen. Dabei ist zu beurteilen, ob das IT-Kontrollsystem
sowohl angemessen ist als auch kontinuierlich funktioniert. Darüber hinaus haben die
gesetzlichen Vertreter dafür Sorge zu tragen, dass festgestellte Mängel im IT-Kontrollsystem
abgestellt werden.
(70) IT-Kontrollsysteme sind beim Einsatz von E-Commerce-Systemen um diejenigen
Grundsätze, Verfahren und Maßnahmen (Regelungen) zu ergänzen bzw. zu erweitern, die zur
Bewältigung der IT-Risiken aus dem Einsatz der Durchführung von E-Commerce resultieren.
Hierzu gehören Regelungen zur Steuerung des Einsatzes von E-Commerce im Unternehmen
(internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser
Regelungen (internes Überwachungssystem) [13].
(71) Zu den E-Commerce-bezogenen IT-Kontrollen zählen die prozessintegrierten Kontrollen
und organisatorischen Sicherungsmaßnahmen (z.B. die Überprüfung von Dateiinhalten in der
Firewall) ebenso wie die generellen Kontrollen, die sich auf das gesamte E-Commerce-System
auswirken (z.B. im Rahmen der Entwicklung von E-Commerce-Anwendungen,
Changemanagement). Die prozessunabhängigen Überwachungsmaßnahmen werden durch die
Interne Revision oder durch unmittelbare Überwachungsmaßnahmen der gesetzlichen
Vertreter durchgeführt. Dies erfolgt beispielsweise in der Form von Abweichungsanalysen
bzw. anhand der Feststellung des Zielerreichungsgrades der umgesetzten IT-Strategie [14].
(72) Neben der Beurteilung der sachgerechten Umsetzung der IT-Strategie in
Übereinstimmung mit der Unternehmensstrategie sind in regelmäßigen Abständen das
Sicherheitskonzept und das eingerichtete IT-Kontrollsystem - insbesondere im Hinblick auf die
sehr kurzen Innovationszyklen im Bereich der Sicherheitstechnologie - auf ihre
Angemessenheit und Wirksamkeit hin zu überwachen.
(73) Für die kontinuierliche Überwachung der Angemessenheit und Wirksamkeit des ITKontrollsystems bietet sich bspw. der Einsatz spezieller Programme ("Scanner") an, die
systematisch nach Sicherheitslücken suchen. Zudem haben sich programmgestützte
Angriffssimulationen (Penetration-Test-Verfahren) als nützlich erwiesen, die in systematischer
Weise Angriffe auf das E Commerce-System simulieren. Damit können die im Rahmen der ECommerce-Infrastruktur eingerichteten IT-Kontrollmaßnahmen unter Echtzeitbedingungen auf
ihre Angemessenheit und Wirksamkeit überprüft werden ("Attack and Penetration"). Vor
Einsatz von Scannern und der Simulation von Angriffen sind die damit verbundenen Gefahren
im Bezug auf eine Beeinträchtigung der Verfügbarkeit des E-Commerce-Systems abzuwägen.
6.7. Internet-Service-Provider/Outsourcing
(74) Typischerweise bedienen sich Unternehmen zur Abwicklung von E Commerce sog.
Internet-Service-Provider (ISP), die ganz oder teilweise die Elemente des E-CommerceSystems, wie z.B. Web-Server, den Zugang zum Internet sowie weitere Internetdienste (z.B.
Website-Hosting) zur Verfügung stellen.
Soweit ganz oder teilweise Elemente des E-Commerce-Systems ausgelagert werden, bleibt
die Unternehmensführung für die Erfüllung der Anforderungen an die Ordnungsmäßigkeit und
Sicherheit durch den ISP verantwortlich. Folglich hat die Unternehmensführung
Seite 17 von 37
sicherzustellen, dass die diesbezüglichen Anforderungen beim Einsatz von E-Commerce durch
den ISP gewährleistet werden [15].
(75) Da der Buchführungspflichtige auch nach Beendigung der vertraglichen Beziehungen mit
dem ISP für die Einhaltung der Ordnungsmäßigkeits- und Sicherheitsanforderungen
verantwortlich ist, kommt der Auswahl des ISP eine hohe Bedeutung zu. Es sollte darauf
geachtet werden, dass die Einhaltung dieser Anforderungen im Detail vertraglich geregelt
wird. Neben eindeutigen Regelungen der Verantwortlichkeiten zu den Aufbewahrungspflichten
sollten insbesondere die Prüfungsrechte der unternehmenseigenen Internen Revision und des
Abschlussprüfers im Voraus vertraglich fixiert werden. Darüber hinaus können sich durch die
Einschaltung eines ISP weitere Fehlerrisiken ergeben, die im Rahmen von sog. Service Level
Agreements (SLA), also durch vertragliche Vereinbarungen mit dem ISP (bspw. hinsichtlich
der zugesicherten Verfügbarkeit der Dienste), zu adressieren sind. Deswegen empfiehlt es
sich, vor Vertragsabschluss den ISP durch einen unabhängigen Sachverständigen auf seine
Eignung hin beurteilen zu lassen und rechtlichen Rat bei der Vertragsgestaltung einzuholen.
Anhang 1: Besonderheiten hinsichtlich der Risiken und Anforderungen beim
Einsatz von E-Commerce
1. Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce
(1) Grundsätzlich sind die Anforderungen hinsichtlich der Kriterien zur Beurteilung der
Ordnungsmäßigkeit beim Einsatz von IT im IDW RS FAIT 1 dargestellt.
(2) Ein zentrales E-Commerce-spezifisches Risiko ergibt sich insbesondere aus der Anbindung
von E-Commerce-Systemen an öffentlich zugängliche Netzwerke (Internet). Hierdurch kann
der Zugriff von unberechtigten Personen auf IT-Systeme und Daten ermöglicht und zum
Nachteil des Unternehmens ausgenutzt werden (Manipulation von Systemen und Daten,
Entwendung von vertraulichen Daten und Betriebsgeheimnissen, Gefährdung der
Systemverfügbarkeit usw.). Dabei kann der Zugriff von Mitarbeitern des Unternehmens
erfolgen oder durch Dritte, die sich von außen Zugang zum IT-System verschaffen.
(3) Die konkrete Ausgestaltung des IT-Kontrollsystems zur Gewährleistung der nachfolgend
angeführten Sicherheits- und Ordnungsmäßigkeitsanforderungen ist abhängig von der
Risikosituation und dem Sicherheitskonzept, das den erforderlichen Grad an
Informationssicherheit (Sicherheitsniveau) definiert.
(4) Zur Risikoreduzierung werden nachfolgend Maßnahmen genannt, die jedoch nicht isoliert,
sondern als Teil eines umfassenden Systems zur Vermeidung von IT-Risiken unter
Einbeziehung der E-Commerce-Risiken zu betrachten sind. Voraussetzung für die Wirksamkeit
der im Weiteren dargestellten Maßnahmen ist die Einrichtung von generellen IT-Kontrollen,
insbesondere von verlässlichen Zugriffsschutzverfahren (Benutzerberechtigungskonzepten)
sowie effektiven Change Management-Verfahren.
(5) Die nachfolgend dargestellten Kommunikations- und Verarbeitungsrisiken sowie die zu
ihrer Begegnung erforderlichen Maßnahmen basieren auf dem jetzigen Stand der Technik und
können nicht als abschließend betrachtet werden. Darüber hinaus sind im Einzelfall weitere
Risiken möglich, die die Ordnungsmäßigkeit und Sicherheit der Rechnungslegung beeinflussen
können.
Seite 18 von 37
2. Sicherheitsanforderungen
2.1. Integrität
(6) Integrität von IT-Systemen ist gegeben, wenn Daten und Systeme vollständig und richtig
zur Verfügung stehen und vor nicht autorisierten Änderungen und Manipulation geschützt
sind.
(7) Die Integrität der Daten kann durch nicht autorisierte Änderungen und Manipulationen bei
der unverschlüsselten Übertragung über öffentlich zugängliche Netzwerke gefährdet sein.
Ferner können auch technische Fehler bei der Übertagung auftreten, die zu einer
unvollständigen oder unrichtigen Übermittlung der Daten auf dem Übertragungsweg führen.
Kommunikationsrisiken
Anforderungen/Maßnahmen
Veränderungen bzw. Verlust von Daten auf der
Durch den Einsatz leistungsfähiger kryptografischer
Übertragungsstrecke durch Manipulation, nicht autorisierte Verfahren und Techniken kann die Unveränderlichkeit der
Änderungen sowie aufgrund des Auftretens von
übermittelten Daten (sowie die Vertraulichkeit und auch
technischen Fehlern.
Authentizität des Absenders, s. a.a.O.) gewährleistet
werden. Überprüfbar wird die Integrität der übermittelten
Daten durch den Einsatz von Prüfsummenverfahren
(Message Digest) oder digitaler Signaturen. Das Dokument
selbst kann dabei unverschlüsselt bleiben, die Prüfsumme
wird jedoch unter Verwendung eines wirksamen
Verschlüsselungsverfahrens (bspw. PKI) verschlüsselt.
Integritätsverletzungen durch unberechtigte bzw.
Maßnahmen zum Schutz vor Änderungen und Zugriffen
fehlerhafte Veränderungen des E-Commerce-Systems.
von unberechtigten Personen innerhalb des Unternehmens
sind insbesondere physische und logische
Zugriffsschutzmaßnahmen einschl. einer ordnungsmäßigen
Berechtigungsverwaltung, deren Einhaltung regelmäßig zu
überprüfen ist. Um Änderungen und Zugriffe zu erkennen,
sind Zugriffsprotokollierungen, Prüfsummenverfahren,
Plausibilitätskontrollen etc. einzusetzen, deren
regelmäßige Auswertung sichergestellt sein muss.
Zu Maßnahmen zum Schutz vor Veränderungen und
Zugriffen von unberechtigten Personen außerhalb des
Unternehmens siehe "Integritätsverletzungen durch
nichtautorisierte Zugriffe von außen".
Integritätsverletzungen durch nicht autorisierte Zugriffe
Zu den Maßnahmen zum Schutz vor unberechtigten
von außen (z.B. durch Viren oder Hacker).
Änderungen und Zugriffen von Personen außerhalb des
Unternehmens gehören die Einrichtung eines Firewall-
Dabei lassen sich prinzipiell zwei Risikobereiche
unterscheiden:
E-Commerce-Infrastruktur (Systemsoftware):
Systems, das das interne Netzwerk gegen unerlaubte
Zugriffe abschirmt und der Betrieb von
Virenschutzprogrammen. Neben dem Firewall-System
sollten auch Vorrichtungen zur Überwachung der Zugriffe
Seite 19 von 37
Die für die Anbindung des internen Netzwerkes an die
Außenwelt notwendige Software, z.B. das Betriebssystem
mit den Kommunikationsprotokollen, eröffnet aufgrund
von Softwarefehlern oder Fehlkonfiguration
Außenstehenden ungewollt den Zugang zum internen
Netzwerk.
E-Commerce-Anwendungen (Programmtransfer):
auf das E Commerce-System eingerichtet werden (s. auch
Intrusion Detection-Systeme, die zumeist integraler
Bestandteil von Firewallkonzepten sind).
Dabei ist die sachgerechte Konfiguration, Implementierung
und Wartung der E Commerce-Anwendung einschließlich
der kurzfristigen Behebung aufgetretener Schwachstellen
sicherzustellen. Die Firewall- und Virenschutz-Konzepte
sind laufend auf ihre Aktualität hin zu überprüfen. Dies gilt
insbesondere auch für die Filterung von E Mails und
anderen Webinhalten (Content-Inspection) auf
unerwünschte Inhalte und Programme.
Viren können bspw. durch E-Mails in interne Netzwerke
Im Bedarfsfall ist zur Gewährleistung eines hohen
eindringen. Browsertechnologien, wie z.B. Java oder
Sicherheitsniveaus die Deaktivierung der
Active-X, sehen den Transfer von Programmen vor, die
Programmtransfermöglichkeiten vom Sender zum
beim Empfänger unmittelbar zur Ausführung gelangen.
Empfänger (z.B. bei JAVA und Active-X) in Betracht zu
Dadurch können Daten unautorisiert verändert bzw.
ziehen.
beschädigt, der Zugriff auf das interne Netzwerk des
Unternehmen für Dritte sowie der Missbrauch von
Die Konzeption, Konfiguration und Änderung von
Elementen des E Commerce-Systems zum Angriff auf
Systemkomponenten sowie des Regelwerks zur Abwehr
andere Netzwerke ermöglicht werden und damit der
Transfer von Daten an unberechtigte Dritte erfolgen
unberechtigter Angriffe (Firewall-System, IntrusionDetection-System, Virenschutz) ist schriftlich und in
nachvollziehbarer Form zu dokumentieren.
2.2. Verfügbarkeit
(8) Verfügbarkeit verlangt, dass das Unternehmen die zur Aufrechterhaltung des
Geschäftsbetriebs erforderliche Hardware, Software sowie Daten dauerhaft produktiv
bereitstellt. Insbesondere müssen nach Systemstörungen oder ausfällen Hardware, Software,
Daten sowie die erforderliche IT-Organisation in angemessener Zeit wieder funktionsfähig
bereitstehen.
(9) Beim Einsatz von E-Commerce kann die Verfügbarkeit durch potentielle Angriffe aufgrund
der Öffnung der unternehmensinternen Netzwerke nach außen gefährdet werden. Dabei
werden vielfach Fehler in der Systemsoftware oder in deren Konfiguration ausgenutzt. Durch
das Eindringen Dritter in das interne Netzwerk können beispielsweise auch
Anwendungsserver, Datenbankserver und Front-End-Computer bis hin zum gesamten
Netzwerk außer Betrieb gesetzt und/oder Daten und Datenbanken zerstört werden. In diesem
Fall entsteht neben dem Schaden aus der Nichtverfügbarkeit weiterer materieller Schaden für
die Wiederherstellung und den Wiederanlauf der Systeme.
(10) Die Verfügbarkeit der IT-Systeme ist zunehmend von externen Dritten (z.B. ISP)
abhängig und daher durch vertragliche Regelungen angemessen sicherzustellen. Ferner ist
beim E-Business zu berücksichtigen, dass technologiebedingt die Verfügbarkeit des eigenen
E-Commerce-Systems von der Verfügbarkeit der anderen am E-Commerce-Geschäftsprozess
beteiligten E Commerce-Systeme abhängt.
Seite 20 von 37
Aufgrund der Abhängigkeit von Dritten (z.B. ISP) besteht Als Maßnahmen kommen insbesondere in Betracht:
die Gefahr, dass die E-Commerce-Infrastruktur nicht zur

erforderlichen Zeit oder nicht im erforderlichen Umfang
redundante Systeme bzw. E-Commer-ceInfrastruktur-Komponenten
zur Verfügung steht.

Kapazitätsanalysen hinsichtlich der Übertragungsund Speichervolumina unter Berücksichtigung der
geplanten Geschäftsentwicklung

getestete und geschulte Backup- und NotfallLösungen (Business Continuity Planning) sowie
getestete System-, Programm- und
Datensicherungsverfahren.
Bezüglich der Abhängigkeit von der Leistung Dritter sind als
Vorsorgemaßnahme die Verträge entsprechend zu gestalten
(u.a. mit Definition der Verfügbarkeit und Leistung, z.B. in
Form von Service-Level-Agreements) und deren Einhaltung
zu überwachen (vgl. Outsourcing in IDW RS FAIT 2, Tz.
75).
Externe Angriffe mit dem Ziel, neben dem Eindringen in
Die Anforderungen und Maßnahmen sind weitgehend
das IT-System dieses auch außer Betrieb zu setzen
identisch mit denen für einen Schutz vor unerlaubten
("Denial-of-Service-Attacks").
Systemzugriffen von außen (s.o. Integrität). Eine besondere
Rolle spielen in diesem Zusammenhang
Überwachungsverfahren (z.B. Intrusion-DetectionSysteme), die derartige Angriffe abwehren oder frühzeitig
erkennen und melden, damit eine schnelle Reaktion
erfolgen kann. Die Maßnahmen sollten in einem
Eskalationsverfahren festgelegt sein, das z.B. von der
Verfolgung der Herkunft der Angriffe bis zur Deaktivierung
angegriffener Systemkomponenten reicht.
Diese Anforderungen gelten insbesondere auch für den ISP.
Sowohl vertragliche Regelungen als auch die Verifikation
dieser Regelungen (z.B. durch Prüfung vor Ort) sind
erforderlich.
2.3. Vertraulichkeit
(11) Vertraulichkeit verlangt, dass die Kenntnisnahme von Daten durch nichtberechtigte
Personen ausgeschlossen ist. Hierzu gehört auch, dass von Dritten erlangte Daten nicht
unberechtigt weitergegeben oder veröffentlicht werden. Organisatorische und technische
Maßnahmen umfassen u.a. Anweisungen zur Beschränkung der Übermittlung
personenbezogener Daten an Dritte, die verschlüsselte Übermittlung von Daten an
berechtigte Dritte, die eindeutige Identifizierung und Verifizierung des Empfängers von Daten
oder die Einhaltung von gesetzlichen Löschfristen bei der Speicherung personenbezogener
Daten (bspw. TDDSG).
Seite 21 von 37
(12) Da bei unverschlüsselter Datenübertragung über öffentliche Netzwerke die
Vertraulichkeit von Daten nicht gewährleistet werden kann, ist sicherzustellen, dass die
empfangenen Daten und geführten Protokolldateien sowohl gegen Zugriffe von außen als
auch von innen hinreichend geschützt und innerhalb des Unternehmens nur für den
beabsichtigten Zweck unter Beachtung entsprechender gesetzlicher Vorschriften genutzt
werden. Bei der Weiterverarbeitung im IT-System sind die Anforderungen des IDW RS FAIT 1
bezüglich der Sicherheit rechnungslegungsrelevanter Daten entsprechend zu beachten.
Sofern keine Verschlüsselungsverfahren eingesetzt werden,
Zur Verschlüsselung von Daten können verschiedene
besteht das Risiko, dass Personen, die Zugriff auf zur
technische Verfahren zum Einsatz kommen. Es ist
Übertragung eingesetzte Systemkomponenten (wie z.B.
darauf zu achten, dass die verwendete
Server und Router) haben, übertragene Daten lesen
Verschlüsselungstechnik und der dabei verwendete
(Sniffen). Zudem besteht die Gefahr, dass durch die
Verschlüsselungsalgorithmus sowie die Schlüssellänge
unverschlüsselte Übertragung von Benutzernamen oder
dem im Sicherheitskonzept vorgegebenen Grad an
Passworten der Zugriff auf weitere Elemente des IT-Systems Informationssicherheit entspricht.
oder Internet-Dienste ermöglicht wird.
Durchgesetzt haben sich sog. hybride Verfahren, die
eine Kombination zwischen symmetrischen und
asymmetrischen Verschlüsselungsverfahren darstellen
(bspw. Pretty Good Privacy für den E-Mail-Versand). Im
Rahmen der browsergestützten kryptographischen
Verfahren haben sich Verfahren unter Verwendung
hierarchischer Zertifikate etabliert, wie bspw. SSL oder
S/MIME.
Beim Einsatz von kryptographischen Verfahren ist
jedoch grundsätzlich zu beachten, dass Anforderungen
an diese Verfahren einem stetigen technischen Wandel
unterliegen. Darüber hinaus ist beim Einsatz von
kryptographischen Verfahren zu berücksichtigen, dass
nicht jedes Verfahren für jede E Commerce-Aktivität
geeignet ist. So ist bspw. der Einsatz von
symmetrischen Verfahren für den B2C-Einsatz
ungeeignet, da der Schlüssel vor Aufnahme der
Geschäftsbeziehung auf sicherem Weg (z.B. per Post)
ausgetauscht werden muss.
Zugriff auf Unternehmenssysteme von außen (siehe oben:
Die Maßnahmen zum Schutz vor lesendem Zugriff sind
Integrität).
identisch mit denen zur Verhinderung von schreibendem
Zugriff (vgl. Abschnitte Integrität und
Unveränderlichkeit).
Bei der Verwendung von Internet-Browsern werden
In Abhängigkeit vom jeweiligen Sicherheitsniveau sind
standardmäßig die Aktivitäten und Informationen über
entsprechende Maßnahmen zu ergreifen (wie z.B.
besuchte Web-Server in speziellen Dateien (z.B. Cache-,
regelmäßiges Löschen) bzw. durch die Aktivierung
Verlaufs-, Bookmarkdateien und Cookies) gespeichert, die
entsprechender E-Commerce-systemseitigen
Seite 22 von 37
leicht und unbemerkt ausgelesen werden können.
Sicherheitseinstellungen der Empfang von
Cookiedateien von nicht autorisierten Anwendern zu
unterbinden.
Die von Internet-Browsern gespeicherten
Benutzererkennungen und insbesondere Passwörter
Benutzerkennungen und Passworte können unbemerkt
dürfen weder durch den Internet-Browser noch im E-
ausgelesen werden.
Commerce- bzw. IT-System gespeichert sein, soweit
nicht durch hinreichende Sicherheitsmaßnahmen ein
unberechtigtes Auslesen verhindert werden kann.
2.4. Authentizität
(13) Authentizität ist gegeben, wenn ein Geschäftsvorfall einem Verursacher eindeutig
zuzuordnen ist. Dies kann bspw. über Berechtigungsverfahren geschehen. Beim
elektronischen Datenaustausch ist die eindeutige Identifizierung des Partners, z.B. über
Verfahren der qualifizierten elektronischen Signatur, grundsätzlich möglich. Hierzu kann die
Nutzung unternehmensübergreifender oder unternehmensunabhängiger Stellen (z.B. Trust
Center) vorteilhaft sein.
(14) Bei fehlender Authentizität einer Person oder im Falle von automatisierten
Geschäftsprozessen bei fehlender Authentizität des kommunizierenden E Commerce-Systems
besteht die Gefahr, dass eine Transaktion nicht zuzuordnen und damit nicht nachvollziehbar
ist und somit keine Verbindlichkeitswirkung entfalten kann.
Unberechtigte geben sich als Absender oder
Die Verifikation kann beispielsweise auf folgende Arten erfolgen:
Empfänger der Transaktion aus.

durch elektronische Empfangsbestätigung

durch Bestätigung über einen anderen Kommunikationsweg
(z.B. Telefax)

durch PIN-Codes oder codierte Transaktionsnummern
(TAN) im Rahmen eines abgesicherten Anmeldeverfahrens
sowie

mit Hilfe digitaler Signaturen.
Insbesondere durch digitale Signaturen kann die Urheberschaft und
die Unverfälschtheit einer Nachricht (weitgehend) zweifelsfrei
nachgewiesen werden.
2.5. Autorisierung
(15) Autorisierung bedeutet, dass nur Berechtigte die Funktionen ausführen können, zu denen
sie ermächtigt wurden, und dementsprechend im E Commerce-System abgebildet sind. Dies
Seite 23 von 37
betrifft insbesondere das Lesen, Anlegen, Ändern und Löschen von Daten oder die
Administration eines IT-Systems. Dadurch soll die Verarbeitung ausschließlich genehmigter
Geschäftsvorfälle im System gewährleistet werden.
(16) Im Rahmen komplexer E-Commerce-Geschäftsprozesse ist eine klassische
Funktionstrennung unter Umständen nicht mehr gegeben. Ferner können Informationen auf
den öffentlichen Kommunikationswegen von nicht autorisierten Personen gelesen bzw.
geändert werden.
Nicht autorisierte Änderung/Manipulation der übertragenen
Siehe Integrität.
Daten.
Nicht autorisierte Personen führen Transaktionen aus.
Durch entsprechende Maßnahmen ist sicherzustellen,
dass Transaktionen nur von autorisierten Personen
durchgeführt werden können. Dies bedingt die
eindeutige Feststellung der Identität (vgl. Authentizität)
der Person und eine entsprechende Zuweisung der
Rechte.
Es findet ein unautorisierter (und in der Regel ändernder)
Hierbei handelt es sich um eine Verletzung der
Zugriff auf Daten oder Systemkomponenten, insb. Software
Vertraulichkeit oder Integrität der Daten und des
und Parameterdaten, statt.
Systems. Es wird auf die entsprechenden Abschnitte in
dieser Tabelle verwiesen.
2.6. Verbindlichkeit
(17) Unter Verbindlichkeit wird die Eigenschaft von IT-gestützten Verfahren verstanden,
gewollte Rechtsfolgen bindend herbeizuführen. Transaktionen dürfen nicht abstreitbar sein,
weil beispielsweise der Geschäftsvorfall nicht gewollt ist.
(18) Risiken beim Einsatz von E-Commerce sind insbesondere in der zunehmenden
Anonymisierung der Partner und im Fehlen von physischen Belegen mit
Autorisierungsmerkmalen (z.B. Unterschrift) zu sehen.
Es ist unklar, ob die durchgeführte Transaktion
Es muss Klarheit darüber bestehen, auf welcher rechtlichen
als rechtsverbindlich anzusehen ist.
Grundlage die E Commerce-Transaktion stattfindet. Soweit für die
Autorisierung und Rechtsverbindlichkeit erforderlich, sind die
rechtlichen Grundlagen den Geschäftspartnern (Unternehmen oder
auch Privatpersonen) zu kommunizieren.
Bei der organisatorischen und inhaltlichen Ausgestaltung der ECommerce-Anwendung ist darauf zu achten, dass die genannten
rechtlichen Grundlagen klar und zweifelsfrei beachtet werden und so
Seite 24 von 37
die Autorisierung und Rechtsverbindlichkeit sichergestellt sind.
Fehlende physische Nachweise (Handelsbriefe)
Der Empfänger von Transaktionen muss den Verbindlichkeitsgrad
erschweren die Nachvollziehbarkeit der
durch geeignete Verfahren verifizieren (z.B. durch Faxbestätigung,
Transaktionen.
vertraglich abgestimmte Verfahren oder allgemeine
Rahmenabkommen etc.) oder das Risiko akzeptieren.
Insbesondere eignen sich dazu digitale Signaturen. Hierdurch kann
die Urheberschaft (und die Unverfälschtheit bzw. Integrität) einer
Nachricht zweifelsfrei nachgewiesen werden. Die eingesetzten
Signaturen sollten in Abhängigkeit vom Schutzbedürfnis von einer
vertrauenswürdigen Zertifizierungsstelle (Trust Center) bestätigt
sein.
Vom Absender von verbindlichen Transaktionen sind Maßnahmen zu
ergreifen (z.B. in Form von Autorisierungsprozeduren, Richtlinien
zum Gebrauch von E-Mails, Richtlinien für die Anforderung von
Rückbestätigungen), die sicherstellen, dass die gesendeten
Transaktionen nachweisbar Verbindlichkeitswirkung entfalten.
Die Ausgestaltung der eingesetzten Verfahren sowie die bei der
Einrichtung zugrundeliegende Risikobeurteilung ist nachvollziehbar zu
dokumentieren.
3. Ordnungsmäßigkeit
3.1. Vollständigkeit
(19) Der Grundsatz der Vollständigkeit im Zusammenhang mit E-Commerce bezieht sich
sowohl auf eine vollständige Übertragung der Daten vom Absender zum Empfänger als auch
auf eine vollständige Erfassung und Verarbeitung der Daten bis hin zur Übergabe in das
Rechnungslegungssystem. Dabei ist insbesondere sicherzustellen, dass alle
rechnungslegungsrelevanten Geschäftsvorfälle erfasst und vollständig an die nachgelagerten
Elemente des rechnungslegungsrelevanten IT-Systems übergeben werden.
Unvollständige bzw. fehlerhafte Datenerfassung.
Die richtige Abbildung eines Geschäftsvorfalls setzt eine
vollständige Datenerfassung des Empfängers voraus.
Die Transaktionsdaten sind vor der Weiterverarbeitung
sowohl auf der Client- als auch auf der Serverseite zu
verifizieren. Soweit Daten auf einer Website erfasst
werden, ist sicherzustellen, dass absenderseitig nur
vollständig und richtig erfasste Transaktionen versendet
Seite 25 von 37
werden können. Ferner ist die Authentizität der Daten
sowie fehlerhafte Dateneingabe vor der
Weiterverarbeitung der Transaktion zu klären. Ist eine
Klärung nicht möglich, ist die Transaktion abzulehnen.
Daher ist durch geeignete IT-Kontrollmaßnahmen
sicherzustellen, dass alle für einen Geschäftsvorfall
notwendigen Daten vor der Verarbeitung der
Transaktionsdaten überprüft werden.
Nicht alle empfangenen Daten zu Geschäftsvorfällen werden
Die Vollständigkeit der weiterzuverarbeitenden
vollständig weiterverarbeitet. Insbesondere können sich
Transaktionsdaten kann beispielsweise durch
Probleme bei Übergabe der empfangenen Transaktionsdaten
Prüfsummenverfahren und/oder Verschlüsselungs-
in das Rechnungslegungssystem ergeben
/Signaturverfahren überprüft werden. Die Schnittstellen
(Schnittstellenproblematik).
sind so zu konzipieren, dass Übergabefehler erkannt
werden können. Dabei haben IT-Kontrollen die
vollständige Verarbeitung (inkl. dem Ausschluss einer
Doppelverarbeitung) zu gewährleisten und
nachzuweisen.
Nicht alle Transaktionen werden als solche erkannt.
Diese Problematik kann beispielsweise bei der
Transaktionsübermittlung via E-Mail auftreten, wenn
z.B. die E-Mail als solche keine Transaktionsdaten
enthält, diese aber im Anhang beigefügt wurden.
Die Art und Weise der Transaktionsübermittlung ist
eindeutig und im vorhinein festzulegen. Dabei ist
sicherzustellen, dass keine Daten in das
Rechnungslegungssystem Eingang finden, die nicht über
die definierten Strecken, nach dem definierten
Verfahren und der definierten Art übermittelt wurden.
3.2. Richtigkeit
(20) Nach dem Grundsatz der Richtigkeit haben die Belege und Bücher die Geschäftsvorfälle
inhaltlich zutreffend abzubilden. Die Geschäftsvorfälle müssen in Übereinstimmung mit den
tatsächlichen Verhältnissen und im Einklang mit den rechtlichen Vorschriften abgebildet
werden.
(21) Die Anforderung der Richtigkeit stimmt im Bezug auf die Kommunikation mit den
entsprechenden Sicherheitsanforderungen überein.
(22) Die Anforderungen der Richtigkeit im Bezug auf die Verarbeitung betreffen die inhaltlich
zutreffende Abbildung der Transaktionen, die zu Geschäftsvorfällen führen. Soweit Buchungen
auf Grundlage von E-Commerce-Transaktionen automatisch generiert werden, muss auch in
diesen Fällen der mit dem Beleggrundsatz verfolgte Zweck eingehalten werden. Damit sind
Seite 26 von 37
auch für Transaktionen die inhaltlichen Mindestanforderungen für die Abbildung von
Geschäftsvorfällen zu beachten [16].
(23) Geschäftsvorfälle gelten danach bereits als gebucht, wenn sie autorisiert und nach einem
Ordnungsprinzip vollständig, richtig, zeitgerecht und verarbeitungsfähig im E-CommerceSystems erfasst und gespeichert werden und in ihrer Bearbeitung keinen weiteren Kontrollen
mehr unterliegen. Daher sind bei der automatisierten Verarbeitung von E-CommerceTransaktionen eindeutige Autorisierungsverfahren festzulegen.
(24) Im Rahmen der Autorisierungsverfahren ist eindeutig festzulegen, wann, wie und durch
wen die Autorisierung erfolgte. Es ist dadurch sicherzustellen, dass keine unberechtigten und
fiktiven Geschäftsvorfälle in das Rechnungslegungssystem eingehen.
Verarbeitungsrisiken
Fehlen sachgerechter Autorisierungsverfahren.
Die automatisierten Autorisierungsverfahren müssen in
organisatorischer und technischer Hinsicht eindeutig
festgelegt sowie mittels verfahrensmäßiger Nachweise
dokumentiert werden. Dabei sind die programminternen
Vorschriften bezüglich der Freigabe darzustellen.
Buchungspflichtige Geschäftsvorfälle gelten bereits vor der
Soweit E-Commerce-Systeme von den gesetzlichen
Übertragung ins Rechnungslegungssystem als gebucht.
Vertretern in ihrer Wirkung auf die Buchführung
autorisiert wurden, sind von diesem System die
Grundsätze ordnungsmäßiger Buchführung insgesamt
zu erfüllen, insbesondere muss die Beleg-, Journal- und
Kontenfunktion gewährleistet werden.
3.3. Zeitgerechtheit
(25) Die Zeitgerechtheit der Buchführung betrifft die Zuordnung der Geschäftsvorfälle zu
Buchungsperioden sowie die Zeitnähe der Buchungen. Jeder Geschäftsvorfall ist der
Buchungsperiode zuzuordnen, in der er angefallen ist. Zwingend ist die Zuordnung zum
jeweiligen Geschäftsjahr oder zu einer nach Gesetz, Satzung oder Rechnungslegungszweck
vorgeschriebenen kürzeren Rechnungsperiode.
(26) Geschäftsvorfälle sind zeitnah, d.h. möglichst unmittelbar nach Entstehung des
Geschäftsvorfalls zu erfassen. Bei zeitlichen Abständen zwischen der Entstehung eines
Geschäftsvorfalls und seiner Erfassung sind geeignete Maßnahmen zur Sicherung der
Vollständigkeit zu treffen.
(27) Beim Einsatz von E-Commerce besteht insbesondere die Gefahr der falschen
Periodenzuordnung, wenn Daten durch technische oder organisatorische Probleme nicht
zeitgerecht gesendet bzw. empfangen sowie weiterverarbeitet werden können oder der
Versand- bzw. Empfangszeitpunkt nicht eindeutig bestimmt werden können.
Seite 27 von 37
Der Zeitpunkt des Versands einer Transaktionsmitteilung ist
Der Zeitpunkt des Versands ist für jede Transaktion
nicht eindeutig bestimmbar.
eindeutig festzuhalten und zu dokumentieren. Dies kann
durch die Verwendung eines Zeitstempels gemäß
Signaturgesetz sichergestellt werden. Dabei ist zu
gewährleisten, dass der Versandzeitpunkt in
unveränderbarer Form festgehalten und dokumentiert
wird.
Zeitpunkt und Ort des Eingangs einer Transaktion sind nicht
Neben dem Zeitpunkt ist auch der (technische) Ort, an
(eindeutig) bestimmbar.
dem eine Meldung eingeht, zu dokumentieren. Ein
Zugang gilt spätestens dann als erfolgt, wenn die
übersandten Daten maschinell in den Machtbereich des
Empfängers gelangen. Dies ist regelmäßig der
Zeitpunkt, an dem die Daten vom Front-End (Firewall)
an das E-Commerce-System zur weiteren Verarbeitung
übergeben wurden.
Der eingehende Datenbestand stellt häufig einen
"empfangenen Handelsbrief" dar.
Das Zugangsdatum ist auch im Rahmen der
Konvertierung weiter zu verarbeiten und vor
Veränderungen zu schützen.
Jeder Versand und Empfang einer Transaktion ist durch
Log-Dateien zu dokumentieren. Hinsichtlich der
Aufbewahrungsfristen gelten die entsprechenden
gesetzlichen Bestimmungen in Bezug auf empfangene
bzw. abgesandte Handelsbriefe (vgl. § 257 HGB).
Transaktionsdaten werden nicht zeitgerecht in das
In Fällen, in denen keine sofortige Übertragung der
Rechnungslegungssystem übertragen.
Transaktionsdaten in das Rechnungslegungssystem
erfolgt, ist sicherzustellen, dass zwischengespeicherte
Daten vollständig abgerufen und bis dahin vollständig
vorgehalten werden. Dies ist durch entsprechende
Vereinbarungen mit dem ISP sicherzustellen und
nachweisbar zu überwachen.
3.4. Ordnung
(28) Das Buchführungsverfahren muss gewährleisten, dass die Buchungen sowohl in zeitlicher
Ordnung (Journalfunktion) als auch in sachlicher Ordnung (Kontenfunktion) dargestellt
Seite 28 von 37
werden können. Die Buchungen bzw. die einzelnen Geschäftsvorfälle müssen innerhalb
angemessener Zeit festgestellt und optisch lesbar gemacht werden können.
(29) Im Rahmen des E-Commerce ergibt sich diese Forderung analog für die Konvertierung
und die Verarbeitung der Daten in den E-Commerce-Anwendungen. So ist sicherzustellen,
dass die versandten bzw. empfangenen Daten chronologisch aufgezeichnet werden sowie die
sachliche Ordnung bei Transaktionen mit mehreren Transaktionsschritten gewahrt bleibt.
(30) Die Erfüllung der Journalfunktion kann durch eine auswertbare Speicherung
(Einzelnachweis) der Buchungen im E-Commerce-System mit der Übertragung von
Sammelbuchungen in das Rechnungslegungssystem erfolgen. Voraussetzung dafür ist, dass
im Rahmen des E-Commerce-Systems die Ordnungsmäßigkeitsanforderungen an die
Buchführung eingehalten werden. Sofern keine Autorisierung im E-Commerce-System erfolgt,
sind erfasste Daten als Erfassungsprotokolle und nicht als Journale einzustufen [17].
(31) Soweit nur Sammelbuchungen vom E-Commerce-System ins Rechnungslegungssystem
übertragen werden, sind auch im Rahmen des E-Commerce-Systems die
Ordnungsmäßigkeitsanforderungen an die Buchführung einzuhalten. Dazu sind neben der
Dokumentation des Verfahrens Kontroll- und Abstimmungsverfahren erforderlich, mit denen
die Identität der im E Commerce-System gespeicherten Buchungen mit denen in den Hauptund Nebenbüchern vorhandenen Buchungen gewährleistet und nachgewiesen werden kann.
Die inhaltliche Ordnung ist gefährdet, wenn Transaktionen
Es ist sicherzustellen, dass die einzelnen
über mehrere Websites generiert und dabei unzutreffende
Transaktionsschritte und deren Zusammenhang in
Vorgänge nicht sachgerecht ausgegliedert werden.
nachvollziehbarer Weise protokolliert und dokumentiert
werden.
3.5. Nachvollziehbarkeit
(32) Ein sachverständiger Dritter muss nach dem Grundsatz der Nachvollziehbarkeit in der
Lage sein, sich in angemessener Zeit einen Überblick über die Geschäftsvorfälle und die Lage
des Unternehmens zu verschaffen. Die Abwicklung des einzelnen Geschäftsvorfalls sowie des
angewandten Buchführungs- bzw. Rechnungslegungsverfahrens müssen nachvollziehbar sein.
Die Prüfbarkeit muss über die Dauer der Aufbewahrungsfrist gegeben sein.
(33) Dies umfasst auch die zum Verständnis der Abläufe und Verfahren in den E CommerceProzessen erforderlichen Dokumentationen. Aufgrund weitgehender maschineller Abwicklung
ohne zusätzliche manuelle Kontrollen und dem Fehlen von physischen Belegen sind an die
Verfahrensdokumentation deutlich erhöhte Ansprüche zu stellen.
Daten gelangen über systemseitig nicht definierte
Geschäftsprozesse, im Rahmen derer Transaktionsdaten
Geschäftsprozesse in das Rechnungslegungssystem.
verarbeitet werden, sind eindeutig und im Vorhinein zu
definieren. Dabei ist sicherzustellen, dass keine Daten in
die Rechnungslegung Eingang finden, die nicht über die
Seite 29 von 37
im Vorhinein festgelegten Strekken und Verfahren
übermittelt wurden.
ISP verändern einseitig Geschäftsprozessabläufe.
Durch entsprechende vertragliche Regelungen ist
sicherzustellen, dass unabgestimmte Änderungen der
technischen Realisierung von Prozessabläufen seitens
der ISP ausgeschlossen sind.
Fehlen physischer Nachweise beim Einsatz von E-Commerce. Die einzelnen Geschäftsvorfälle sind durch die
lückenlose Aufbewahrung der elektronischen Belege
nachzuweisen. Um die Beweiskraft der empfangenen
Daten sicherzustellen, müssen technische und
organisatorische Vorkehrungen gewährleisten, dass ein
Verlust oder eine Veränderung des Originalzustands der
übermittelten Daten (Originaldaten) über den Zeitraum
der gesetzlichen Aufbewahrungsfrist verhindert wird.
Zu den Aufbewahrungspflichten bei dem Einsatz von
Konvertierungs- bzw. Signatur- oder
Verschlüsselungsverfahren vgl. Abschn. 5.4.
Verfahren im Rahmen der Verarbeitung der empfangenen
Die Verfahren sind analog den in IDW RS FAIT 1
Daten sind häufig nicht ausreichend dokumentiert.
dargestellten Anforderungen zu dokumentieren. Es ist
sicherzustellen, dass die Verfahren nur im Rahmen
dokumentierter Vorgehensweisen und Abläufe geändert
und freigegeben werden (siehe
Unveränderlichkeit/Integrität). Es ist laufend zu prüfen,
ob die eingesetzten Verfahren auch den dokumentierten
Verfahren entsprechen.
Eine eindeutige Referenzierung zwischen Buchung und
Die Entwicklung der Daten über alle Verfahrensschritte
zugrundeliegendem Geschäftsvorfall ist nicht gegeben.
ist nachzuweisen. Die entsprechenden
Zuordnungslogiken sind prüfbar zu dokumentieren und
ihr Einsatz zeitpunkt- und zeitraumbezogen
nachzuweisen.
3.6. Unveränderlichkeit
(34) Nach dem Buchungszeitpunkt darf entsprechend dem Grundsatz der Unveränderlichkeit
eine Eintragung oder Aufzeichnung nicht in einer Weise verändert werden, dass der
ursprüngliche Inhalt nicht mehr feststellbar ist (§ 239 Abs. 3 Satz 2 HGB). Daher sind
Seite 30 von 37
derartige Eintragungen oder Aufzeichnungen ausschließlich so vorzunehmen, dass sowohl der
ursprüngliche Inhalt als auch die Tatsache, dass Veränderungen vorgenommen wurden,
erkennbar bleiben.
(35) Beim Einsatz von E-Commerce steht dieser Grundsatz - in Bezug auf die Kommunikation
- in engem Zusammenhang mit der Unveränderlichkeit der Daten auf dem Übertragungsweg
(Integrität).
(36) Hinsichtlich der Verarbeitung ist insbesondere sicherzustellen, dass zur Sicherstellung
der Beweiskraft empfangener Daten die eingesetzten Konvertierungs- und
Entschlüsselungsverfahren, die Integrität der in eine lesbare Form überführten Daten, die
Authentizität des verwendeten Schlüssels sowie die Unveränderlichkeit der im InhouseFormat gespeicherten Daten während der gesetzlichen Aufbewahrungsfrist gewährleistet
werden.
Fehlen externer physischer Nachweise.
Vergleiche Maßnahmen zur Nachvollziehbarkeit und
Zeitgerechtigkeit.
Anhang 2: Glossar
Begriff
Erläuterung
Active-X
Entwicklungstool für (dynamische) Internet-Anwendungen.
Anwendungsprotokoll
Software für Internet-Dienst (z.B. WWW).
Asymmetrische Verschlüsselungsverfahren
Verfahren, das mit einem Schlüsselpaar arbeitet, bestehend aus
einem öffentlichen Schlüssel (Public Key), der an den Empfänger
gegeben wird, und dem dazu passenden privaten Schlüssel (Private
Key), der geheim gehalten wird. Daten, die mit einem der beiden
Schlüssel verschlüsselt wurden, können nur mit dem jeweils anderen
Schlüssel wieder entschlüsselt werden. Gängige Verfahren sind bspw.
RSA.
Available-to-promise-Applikation
Anwendung zur Verfügbarkeitsabfrage (z.B. Waren) und zur
Bestätigung von definierten Geschäftsvorgängen (z.B.
Warenbestellung).
Browsertechnologie
Softwaretechnologie zur Anzeige der Internet-Dienste am Client. Java
oder Active X sind z.B. Browsertechnologien.
Seite 31 von 37
Begriff
Erläuterung
Cache-, Verlaufs-, Bookmarkdateien und
Dateien, in die vom Browser Informationen über aufgerufene Web-
Cookies
Seiten (Server) gespeichert werden.
Denial-of-Service-Attacks
Angriffe auf das interne Netzwerk, um dieses lahm zu legen.
Digitale Signatur
Gemäß Signaturgesetz handelt es sich hierbei um ein mit einem
privaten Signaturschlüssel erzeugtes Siegel zu digitalen Daten, das
mit Hilfe eines zugehörigen öffentlichen Schlüssels den Inhaber des
Signaturschlüssels und die Unverfälschtheit der Daten erkennen
lässt. Zusätzlich kann die Signatur durch ein SignaturschlüsselZertifikat einer öffentlichen Zertifizierungsstelle bestätigt werden.
DNS-Spoofing
Angriffstechnik, bei der dem angegriffenen System eine gefälschte
IP-Adresse übermittelt wird. Hinter der gefälschten IP-Adresse
verbirgt sich der Rechner des Angreifers.
EDI
Electronic Data Interchange. Elektronischer Geschäftsverkehr
zwischen Handelspartnern (Geschäftspartnern) auf der Basis von
Standardformaten (z.B. EDIFACT).
E-Mail
Internet-Dienst zum Versenden von elektronischen Nachrichten.
E-Procurement
Internetbasierte Bestellabwicklung.
ERP-Systeme
Enterprise Ressource Planning Systeme. Integrierte Systeme zur
operativen Unternehmensplanung und Unternehmenssteuerung
einschließlich Rechnungslegung.
Filter
Bestandteil einer Firewall, der ankommende IP-Pakete einer
Zulässigkeitsprüfung entweder weiterleitet oder blockiert.
Firewall-System
Einrichtung/Technik, die jedes IP-Paket untersucht und seine
Ursprungsadresse feststellt. Nur IP-Pakete, deren Ursprungsadresse
in einer genehmigten Liste verzeichnet sind, erhalten Zugang zum
internen Netzwerk.
Es gibt folgende Möglichkeiten der Filterung:

Paket-Filter

Circuit-Relays

Application-Gateway.
Seite 32 von 37
Begriff
Erläuterung
Front-End-Computer
Client in einer Client-Server-Architektur.
Gateway
Verbindung zwischen zwei verschiedenen Netzwerktypen.
Hacker
Personen, die das Internet nutzen, um sich unautorisierten Zugriff
auf ein IT-System (Rechnersystem) zu verschaffen.
Hybride Verschlüsselungsverfahren
Verfahren, das auf einer Kombination von symmetrischer und
asymmetrischer Verschlüsselung beruht.
Internet-Protokoll (IP)
Methode, die die Kommunikation zwischen den Internetteilnehmern
steuert. Hierzu erhält jeder an das Internet angeschlossene
Computer seine (dauerhafte oder temporäre) IP-Adresse von einem
Internet-Service-Provider.
Internet-Server
Rechner, über den die Internet-Dienste den Clients angeboten
werden.
Internet-Service-Provider (ISP)
Es können folgende Internet-Service-Provider unterschieden werden:

Zugangs-Provider, die lediglich den Internet-Zugang
ermöglichen

Network-Provider, die Netzwerke im Internet zur Verfügung
stellen, z.B. auch Firmennetzwerke

Web-Space-Provider, die ihren Kunden auf ihren Rechnern
Speicherplatz für deren Web-Präsenz zur Verfügung stellen

Content-Provider, die qualifizierte Informationen im Internet
zur Verfügung stellen, z.B. Angebote für Recherchezwecke

Online-Dienste, die über die genannten Dienstleistungen
hinaus weitere Dienstleistungen, z.B. Portale, Unified
Messaging, Chat, Foren etc., anbieten.
Intrusion-Detection-Systeme
Programme, die unerlaubte Zugriffe auf Ressourcen erkennen und
melden.
IP-Adresse
Adresse eines Rechners, die aus einem Zahlencode besteht und zur
Identifizierung eines Rechners im Internet dient.
IP-Spoofing
Angriffsverfahren, bei dem der Angreifer eine IP-Adresse eines
anderen Rechners vortäuscht.
Seite 33 von 37
Begriff
Erläuterung
Java
Netzwerk-Programmiersprache.
Kryptographische Verfahren
Verschlüsselungsverfahren. Durch den Einsatz leistungsfähiger
Verschlüsselungsverfahren und Techniken kann sowohl die
Unveränderlichkeit der transportierten Nachricht als auch die
Authentizität des Absenders sichergestellt werden. Diese können von
rein Software-orientierten Verfahren bis hin zu einer Kombination von
Software, Hardware (Dongles) und der Beteiligung Dritter ("Trusted
Third Party") reichen.
Log-Datei
Datei, in der vordefinierte Aktionen, die am System durchgeführt
wurden, protokolliert werden.
Message-Digest
Verfahren zur Integritätsprüfung anhand von Prüfsummen.
Netzwerkarchitektur
Aufbau/Struktur eines lokalen Netzwerks (LAN) oder
Weitverkehrsnetzwerks (WAN).
Penetration-Test
Verfahren zur systematischen Simulation von Angriffen auf
geschützte Systeme.
PIN / TAN
Es gibt Zugriffsschutzsysteme, die durch eine persönliche
Identifikationsnummer (PIN) und eine Transaktionsnummer (TAN) die
Zulässigkeit des Zugriffs verifizieren und ggf. abweisen.
PKI
Unter PKI (Public Key Infrastructure) wird die Gesamtheit aller
technischen Einrichtungen und organisatorischen Maßnahmen zur
elektronischen Verschlüsselung von Daten mittels eines öffentlichen
(public) und eines privaten Schlüssels (private key) unter
Einbeziehung einer Zertifizierungsstelle verstanden.
Public Key / Private Key
Schlüsselpaar, das im Rahmen von asymmetrischen
Verschlüsselungsverfahren zum Einsatz kommt.
Router
Schnittstelle zwischen dem internen Netz und der Datenleitung zum
ISP bzw. direkt zum Internet. Grundsätzlich dienen Router zur
Verbindung verschiedener Netzwerke.
S/Mime
Secure Multipurpose Internet Mail Extension. Spezielles
Übertragungsformat für E-Mails, das um kryptographische Funktionen
Seite 34 von 37
Begriff
Erläuterung
erweitert wurde.
Secure Socket Layer (SSL)
Die Kommunikation von Client-Server-Anwendungen kann durch das
Sicherheitsprotokoll SSL vor Abhörung, Manipulation und Fälschung
geschützt werden.
Service Level Agreement (SLA)
Vertragliche Vereinbarungen über die Verfügbarkeit von IT-Diensten.
Sniffen
Mitlesen und Protokollieren des Datenverkehrs mit Hilfe von
Programmen oder Geräten.
Symmetrische Verschlüsselungsverfahren
Austausch ein und desselben Schlüssels zwischen Sender und
Empfänger. Der Sender verschlüsselt die zu übertragenden Daten mit
dem vereinbarten Schlüssel, die nunmehr durch den Empfänger
mittels desselben Schlüssels entschlüsselt werden kann.
TCP/IP-Protokoll
Transmission Control Protocol/Internet Protocol. Methoden zur
Datenübertragung im Internet.
Transportprotokoll
Methode zur Datenübertragung im Internet. Es gibt diverse
Übertragungsprotokolle. Eine Methode ist das TCP/IP-Protokoll.
Trojanische Pferde
Programme, die neben ihrer eigentlichen Funktion noch weitere für
den Benutzer nicht ersichtliche Funktionen haben, wie beispielsweise
das Auslesen von Passwörtern und deren Versand via E-Mail über das
Internet an Dritte.
Trust-Center
Zentrale Vergabestelle von digitalen Signaturen bzw. Schlüsseln.
Viren
Programme, die auf den Rechner einer Person gelangen und dort
Schäden von Datenverlusten bis hin zur physischen Zerstörung von
Hardware verursachen.
Virenscanner
Programm, das Dateien auf vorhandene Viren untersucht und diese
ggf. entfernt.
XBRL
Extensibel Business Reporting Language. International akzeptierter
Standard für den Austausch, die Interpretation und die Darstellung
finanzieller und nicht finanzieller Unternehmensinformationen.
Basierend auf dem Internetstandard XML erlaubt XBRL die Erstellung
Seite 35 von 37
Begriff
Erläuterung
sowie Veröffentlichung von strukturierten Dokumenten im Internet
sowie deren systematische Auswertung und Weiterverarbeitung.
XML
Extended Markup Language. Internetstandard, der es ermöglicht,
strukturierte Dokumente im Internet zu veröffentlichen und
auszuwerten.
Fußnoten:
[1]
Verabschiedet vom Fachausschuss für Informationstechnologie (FAIT) am 29.09.2003.
[2]
Vgl. IDW Prüfungsstandard: Die Durchführung von WebTrust-Prüfungen (IDW PS 890), Tz.
5, in: WPg 2001, S. 458 ff.
[3]
Vgl. in diesem Zusammenhang IDW Stellungnahme zur Rechnungslegung: Grundsätze
ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1), Tz.
7, in: WPg 2002, S. 1157 ff.
[4]
Vgl. WPg 1995, S. 168 ff.
[5]
Vgl. Stellungnahme FAMA 1/1979: Bundesdatenschutzgesetz und Jahresabschlussprüfung,
in: WPg 1979, S. 440 ff.
[6]
Vgl. IDW RS FAIT 1, Tz. 19.
[7]
[8]
Vgl. IDW RS FAIT 1, Tz. 52 ff.
[9]
Vgl. IDW Prüfungsstandard: Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs.
4 HGB (IDW PS 340), Tz. 4, in: WPg 1999, S. 658 ff.
[10]
[11]
[12]
[13]
Vgl. IDW Prüfungsstandard: Das interne Kontrollsystem im Rahmen der Abschlussprüfung
(IDW PS 260), Tz. 5 und 6, in: WPg 2001, S. 821 ff.
[14]
[15]
[16]
[17]
Normen:
HGB:238 HGB:239 HGB:257 HGB:239/4 HGB:257/1/2 HGB:257/1/3 HGB:257/1/4
HGB:257/3/1 HGB:257/4
Seite 36 von 37
Seite 37 von 37

IDW-RS-FAIT-2 - IDW Stellungnahme zur Rechnungslegung

Transcrição

Documentos relacionados

Die Bewertung von KMU in der Praxis

Praxisbewertung: Wert- und Preistreiber - dstv

Graceland Duo - Beat Club Greven e.V.

E-Commerce-Lösungen für KMU

Who`s perfect? - Internet World

E-Commerce und ERP - Netzwoche (34/2006)

Online-Shop- Internationalisierung

mein decathlon.

Anleitung IPC

Gescannte Dokumente bearbeiten