IDW-RS-FAIT-2 - IDW Stellungnahme zur Rechnungslegung
Transcrição
IDW-RS-FAIT-2 - IDW Stellungnahme zur Rechnungslegung
Institut der Wirtschaftsprüfer - Fachausschuss für Informationstechnologie (FAIT) Stellungnahme vom 29.09.2003 0800686 IDW-RS-FAIT-2 - IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS FAIT 2) (Stand: 29.09.2003) [1] 1. Vorbemerkungen 2. Grundlagen des E-Commerce 2.1. Ausprägungen des E-Commerce 2.1.1. Arten von E-Commerce-Aktivitäten 2.1.2. Differenzierung von E-Commerce nach den beteiligten Wirtschaftssubjekten 2.2. Rechtliches, technisches und organisatorisches Umfeld 2.2.1. Rechtliches Umfeld 2.2.2. Technisches und organisatorisches Umfeld 3. Verpflichtungen der gesetzlichen Vertreter im Zusammenhang mit E Commerce 4. Besondere IT-Risiken beim Einsatz von E-Commerce-Systemen 4.1. Risiken aus der Kommunikation 4.2. Risiken aus der Verarbeitung 5. Ordnungsmäßigkeit und Sicherheit beim Einsatz von E-Commerce-Systemen 5.1. Belegfunktion 5.2. Journal- und Kontenfunktion 5.3. Dokumentation 5.4. Aufbewahrungspflichten 5.5. Aufbewahrungspflichten beim Einsatz von EDI 6. Einrichtung eines E-Commerce-Systems 6.1. Das IT-Umfeld bei Einsatz von E-Commerce-Systemen 6.2. Die IT-Organisation bei Einsatz von E-Commerce-Systemen 6.3. E-Commerce-Infrastruktur 6.4. E-Commerce-Anwendungen 6.5. E-Commerce Geschäftsprozesse Dokument: idw rs fait 2 Seite 1 von 37 6.6. Überwachung des IT-Kontrollsystems bei Einsatz von E-Commerce-Systemen 6.7. Internet-Service-Provider/Outsourcing Anhang 1: Besonderheiten hinsichtlich der Risiken und Anforderungen beim Einsatz von E-Commerce 1. Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce 2. Sicherheitsanforderungen 2.1. Integrität 2.2. Verfügbarkeit 2.3. Vertraulichkeit 2.4. Authentizität 2.5. Autorisierung 2.6. Verbindlichkeit 3. Ordnungsmäßigkeit 3.1. Vollständigkeit 3.2. Richtigkeit 3.3. Zeitgerechtheit 3.4. Ordnung 3.5. Nachvollziehbarkeit 3.6. Unveränderlichkeit Anhang 2: Glossar 1. Vorbemerkungen (1) Electronic Commerce (E-Commerce) beinhaltet die Anbahnung und Abwicklung von Geschäftsvorfällen (von der Kontaktaufnahme bis zum Zahlungsverkehr) zwischen Marktteilnehmern in elektronischer Form unter Verwendung verschiedener Informations- und Kommunikationstechnologien über öffentlich zugängliche Netzwerke. E-Commerce umfasst somit alle Aktivitäten, die das Ziel verfolgen, den Handel mit Informationen, Gütern und Dienstleistungen über alle Phasen der Geschäftsabwicklung hinweg elektronisch zu ermöglichen [2]. Als E-Commerce-Systeme i.S.d. IDW Stellungnahme zur Rechnungslegung werden diejenigen Komponenten des IT-Systems verstanden, die ausschließlich oder überwiegend zur Durchführung des E-Commerce eingesetzt werden [3]. (2) Rechnungslegungsrelevante E-Commerce-Systeme lassen Daten über betriebliche Aktivitäten entweder direkt (d.h. ohne manuelle Eingaben) in die IT-gestützte Rechnungslegung einfließen oder stellen diese Daten in elektronischer Form als Grundlagen für Buchungen im Rechnungslegungssystem zur Verfügung. Dokument: idw rs fait 2 Seite 2 von 37 (3) Diese IDW Stellungnahme zur Rechnungslegung konkretisiert die aus den §§ 238, 239 und 257 HGB resultierenden Anforderungen an die Führung der Handelsbücher mittels ITgestützter Systeme. Sie verdeutlicht damit die im IDW RS FAIT 1 dargestellten Ordnungsmäßigkeits- und Sicherheitsanforderungen im Bereich von E-Commerce und stellt ergänzende, über den IDW RS FAIT 1 hinausgehende Anforderungen auf, um den mit dem Einsatz von E-Commerce-Systemen zusammenhängenden besonderen IT-Risiken zu begegnen. (4) Wirtschaftszweigspezifische (z.B. bei Kreditinstituten und Versicherungsunternehmen) und sonstige Besonderheiten, die im Einzelfall zusätzlich zu berücksichtigen sind, bleiben in dieser IDW Stellungnahme zur Rechnungslegung außer Betracht. (5) Zu Prüfungen von E-Commerce-Systemen im Rahmen von WebTrust vergleiche IDW PS 890. (6) Diese IDW Stellungnahme zur Rechnungslegung ersetzt die Stellungnahme FAMA 1/1995: Aufbewahrungspflichten beim Einsatz von EDI [4]. 2. Grundlagen des E-Commerce 2.1. Ausprägungen des E-Commerce 2.1.1. Arten von E-Commerce-Aktivitäten (7) E-Commerce-Aktivitäten lassen sich grundsätzlich in folgende Kategorien einteilen, die unterschiedliche Relevanz für die Rechnungslegung aufweisen: Information: Die einfachste Form des E-Commerce ist die rein informierende Darstellung des Unternehmens sowie seiner Produkte und Dienstleistungen im Internet. Das Leistungsspektrum reicht von Produktdemonstrationen und Preisübersichten bis hin zu individuellen Angebotsabrufen wie z.B. Flugplänen. In der Regel entfalten diese Informationsangebote keine Rechnungslegungsrelevanz. Interaktion: Eine über die reine Information hinausgehende und sich häufig daran unmittelbar anschließende Form von E-Commerce-Aktivitäten ist die Kommunikation als Austausch von Daten über das Internet (z.B. in Form von E-Mails). Transaktion: Unter Transaktion i.S.d. IDW Stellungnahme zur Rechnungslegung wird die Abwicklung von Geschäftsvorfällen im Rahmen von E Commerce-Geschäftsprozessen verstanden, die die Veränderung von Rechtspositionen zum Gegenstand haben, und damit das Eingehen von Rechten und Pflichten betreffen. Die wichtigsten Beispiele sind Bestellung bzw. Vertragsabschluss, Lieferung, Rechnungsstellung und Zahlung. Integration: Die Integration ist gekennzeichnet durch die unternehmensübergreifende Abwicklung von Transaktionen im Rahmen von E-Commerce-Geschäftsprozessen. Vormals isolierte Teilgeschäftsprozesse werden mittels IT zu einem E-Commerce-Geschäftsprozess zusammengeführt. Diese Integration betrifft insbesondere die Bereiche Ein- und Verkauf, Logistik und Produktion und ist durch eine weitgehend automatisierte und Dokument: idw rs fait 2 Seite 3 von 37 internetbasierte Abwicklung gekennzeichnet. Diese Abwicklungsform von E-CommerceGeschäftsprozessen wird auch als E-Business bezeichnet und findet zunehmend über sog. elektronische Marktplätze, E-Customer-Relationship-Management und EProcurement statt. (8) Einfluss auf die Rechnungslegung haben vornehmlich die E-Commerce-Aktivitäten "Transaktionen" und "Integration", die Gegenstand der weiteren Betrachtung dieser IDW Stellungnahme zur Rechnungslegung sind. Im Zusammenhang mit der Kommunikation können bereits dokumentationspflichtige Vorgänge vorliegen, z.B. durch den Versand von Erläuterungen bzw. Konkretisierungen zu einem Geschäftsvorfall. 2.1.2. Differenzierung von E-Commerce nach den beteiligten Wirtschaftssubjekten (9) E-Commerce wird anhand der beteiligten Wirtschaftssubjekte wie folgt eingeteilt: Im Vordergrund dieser IDW Stellungnahme zur Rechnungslegung stehen die Business-toBusiness (B2B) und Business-to-Consumer (B2C)-Beziehungen. (10) Im Business-to-Business-Bereich (B2B) ist sowohl der Anbieter der Lieferung oder Leistung als auch der Nachfrager ein Unternehmen. Die Einsatzmöglichkeiten erstrecken sich hierbei auf alle Wertschöpfungsstufen sowie interne und externe Geschäftsprozesse, wie z.B. Beschaffung, Produktion, Absatz, Zahlungsverkehr, Rechnungswesen, Forschung und Entwicklung oder Personal. Typisch für B2B sind die individuell zwischen den Partnern bestehenden Geschäftsbeziehungen auf der Basis von individuellen Vereinbarungen. Dabei kann es sich sowohl um langfristig ausgehandelte Rahmenverträge als auch um eine einmalige Vertragsbeziehung handeln. Dokument: idw rs fait 2 Seite 4 von 37 (11) Im Business-to-Consumer-Bereich (B2C) ist der Anbieter der Lieferung oder Leistung ein Unternehmen, der Nachfrager ein Verbraucher. 2.2. Rechtliches, technisches und organisatorisches Umfeld 2.2.1. Rechtliches Umfeld (12) Neben den rechnungslegungsspezifischen Vorschriften des HGB (§§ 238 f. HGB) und den Grundsätzen ordnungsmäßiger Buchführung (GoB) bestehen beim Einsatz von E-Commerce zahlreiche weitere rechtliche Anforderungen. Diese betreffen beispielsweise den Schutz von personenbezogenen Daten oder - bei Rechtsgütern wie Urheberschutzrechten - das anzuwendende Vertragsrecht. Darüber hinaus sorgt die Internationalität des Internets und damit verbunden die grenzüberschreitende Geschäftsabwicklung für weitere rechtliche Problemstellungen. Diese betreffen z.B. nationale und internationale Rechtsfragen des Handelsrechts, des Steuerrechts, des Strafrechts, des Zivilrechts oder des Datenschutzes. (13) Mit dem Gesetz zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (IuKDG) hat der Gesetzgeber spezielle Rechtsnormen erlassen, wie z.B. das Gesetz zur digitalen Signatur (SigG), das Teledienstegesetz (TDG), das Teledienstedatenschutzgesetz (TDDSG) und das Fernabsatzgesetz (FernAbsG), um die Rechtssicherheit und die informationelle Selbstbestimmung beim E-Commerce zu gewährleisten. (14) Insbesondere bei WebTrust-Prüfungen (vgl. IDW PS 890) werden die zu den Bereichen Datenschutz und Datensicherheit vom Unternehmen im Internet getätigten Angaben zur Abwicklung des elektronischen Geschäftsverkehrs auf ihre Einhaltung hin überprüft. Werden dem Abschlussprüfer im Rahmen der Durchführung von Abschlussprüfungen schwerwiegende Verstöße der gesetzlichen Vertreter oder der Arbeitnehmer gegen gesetzliche Anforderungen, wie z.B. das BDSG oder das TDDSG, bekannt, so ist hierüber nach § 321 Abs. 1 Satz 3 HGB im Prüfungsbericht zu berichten. 2.2.2. Technisches und organisatorisches Umfeld (15) Das Internet ist ein weltweites öffentliches Netz von IT-Systemen, das unter Beachtung von technischen und administrativen Rahmenbedingungen prinzipiell jedem Unternehmen, jeder Institution und jeder Privatperson zur Verfügung steht und in dem standardisierte Dienste bereitgestellt werden. Es erlaubt die elektronische Kommunikation zwischen allen Teilnehmern auf Basis des Internet-Protokolls (IP). Hierzu erhält jeder an das Internet angeschlossene Computer oder jedes andere Endgerät (z.B. Mobiltelefon etc.) seine (dauerhafte oder temporäre) IP-Adresse (zur Erläuterung internetspezifischer Begriffe und Abkürzungen vgl. Anhang 2: Glossar). (16) In der Regel wählen sich private Internetnutzer direkt in das Netzwerk eines InternetService-Providers (ISP) ein, während Unternehmen oder Institutionen ihr internes Netzwerk mit dem Netzwerk des ISP (z.B. Router und Firewall) verbinden. Der Router ist die Schnittstelle zwischen dem internen Netzwerk und der Datenleitung zum ISP. Das FirewallSystem soll das interne Netzwerk schützen und sichern. (17) Die technische Abwicklung von E-Commerce ist im Wesentlichen gekennzeichnet durch die Nutzung ungeschützter, öffentlich zugänglicher Netzwerke, Dokument: idw rs fait 2 Seite 5 von 37 die Anonymität der Geschäftspartner, insbesondere im B2C-Bereich, den Austausch von Handelsbriefen und Dokumenten, denen Belegfunktion zukommt, in elektronischer Form, Schnittstellen der im Unternehmen eingesetzten IT-Systeme zu öffentlich zugänglichen Netzwerken, wie z.B. zum Internet, automatisierte Geschäftsprozesse, die teilweise auch unternehmensübergreifend ohne personenbezogene Kontrollen oder Sicherungsmaßnahmen abgewickelt werden. 3. Verpflichtungen der gesetzlichen Vertreter im Zusammenhang mit E Commerce (18) Die gesetzlichen Vertreter haben unabhängig von der eingesetzten Informationstechnologie, den implementierten Geschäftsprozessen oder den angewandten Geschäftsmodellen bei der Verarbeitung rechnungslegungsrelevanter Daten die Einhaltung der gesetzlichen Anforderungen an die Ordnungsmäßigkeit der Rechnungslegung sicherzustellen. (19) Die Einhaltung der gesetzlichen Anforderungen beim Einsatz von E-Commerce-Systemen ist von den gesetzlichen Vertretern bei der Entwicklung und Umsetzung der IT-Strategie und des daraus abgeleiteten Sicherheitskonzeptes angemessen zu gewährleisten. Relevant für die Einhaltung der datenschutzrechtlichen Anforderungen sind insbesondere die aus den Sicherheitsanforderungen des IDW RS FAIT 1 (die in dem Anhang 1 im Bezug auf den Einsatz von E-Commerce-Systemen konkretisiert werden) abgeleiteten Maßnahmen. In diesem Zusammenhang ist darauf hinzuweisen, dass die gesetzlichen Anforderungen an den Schutz personenbezogener Daten auch Sicherungsmaßnahmen betreffen, die nicht mit der Rechnungslegung im Zusammenhang stehen, bspw. Sicherungsmaßnahmen des BDSG gegen das unbefugte Abfragen von Daten aller Art [5]. 4. Besondere IT-Risiken beim Einsatz von E-Commerce-Systemen (20) Durch den Einsatz von internetbasierten Kommunikationstechnologien, die Erweiterung des Kreises der möglichen Geschäftspartner sowie die Beeinflussung durch Dritte, z.B. ISP, oder anderer in der Geschäftsabwicklung ergeben sich E-Commerce-spezifische Probleme und Risiken. Bei deren Analyse und Wertung kann unterschieden werden zwischen den Risiken, die sich aus der Kommunikation, und den Risiken, die sich aus der Verarbeitung ergeben. Dokument: idw rs fait 2 Seite 6 von 37 4.1. Risiken aus der Kommunikation (21) Die Kommunikation über öffentlich zugängliche Netzwerke beginnt ab dem Punkt, an dem der Absender bewusst die Einwirkungsmöglichkeit über die zu übermittelnden Daten (bspw. Transaktionsdaten) verliert, bis zu dem Punkt, an dem diese Daten dem Empfänger zugehen. (22) Ein Zugang ist dann erfolgt, wenn die übermittelten Daten in einer maschinell und/oder visuell lesbaren Form in den Verantwortungsbereich des Empfängers gelangt sind. Auf dem Weg vom Absender bis zum Empfänger bleibt das Risiko der unvollständigen, unrichtigen oder verspäteten Zustellung bzw. die Nachweispflicht über die erfolgte Zustellung - auch bei elektronischer Versendung - beim Absender. Entsprechend den herkömmlichen unterschiedlichen Versendungsformen bleibt es ihm überlassen, dieses Risiko u.a. durch elektronische Empfangsbestätigungen zu reduzieren. (23) Darüber hinaus ergeben sich bei der Kommunikation Risiken insbesondere aus der fehlenden Kontrolle über den Datentransfer im Internet, die wie folgt differenziert werden können: Daten werden häufig ohne oder mit unzureichendem Schutz vor Verfälschung übertragen, was zu Integritätsverletzungen führen kann (Verlust der Integrität). Daten werden häufig unverschlüsselt oder unter Verwendung einer unsicheren Verschlüsselung übertragen, was eine Gefährdung der Vertraulichkeit bedeutet (Verlust der Vertraulichkeit). Dokument: idw rs fait 2 Seite 7 von 37 Der Anschluss eines IT-Systems an das Internet birgt die Gefahr, Ziel von Angriffen zu werden, bspw. durch Viren, Trojanische Pferde oder Hacker, die zu einer Gefährdung der Verfügbarkeit des IT-Systems führen (Verlust der Verfügbarkeit). Es existieren keine wirksamen Authentisierungsmechanismen zwischen den im Internet angeschlossenen Rechnern, bzw. es ist leicht möglich, falsche Adressen (IPSpoofing) oder Rechnernamen (DNS-Spoofing) zu verwenden (Verlust der Authentizität). Beim Datentransfer können Hilfsprogramme (Java, Active-X) zu unautorisierten Zugriffen auf IT-Systeme führen (Verlust der Autorisierung). Eine unzureichende Protokollierung der Transaktionsdaten kann dazu führen, dass der Nachweis über die Geschäftstätigkeit nicht hinreichend erbracht werden kann. Darüber hinaus bergen fehlende national sowie international gültige Regelungen bezüglich der internetbasierten Geschäftsabwicklung die Gefahr, dass gewollte Rechtsfolgen nicht bindend herbeigeführt werden können (Verlust der Verbindlichkeit). 4.2. Risiken aus der Verarbeitung (24) Die Verarbeitung der Transaktionsdaten in der E-Commerce-Anwendung reicht von dem Punkt des Zugangs bis zu dem Punkt, an dem die Daten vom Front-End (Zugangs/Erfassungssysteme) an die Rechnungslegungssysteme (z.B. ERP-Systeme) übergeben werden. Die Risiken ergeben sich aus der Transaktionsdatenverarbeitung in der E-CommerceAnwendung sowie insbesondere aus der Konvertierung, Entschlüsselung und Formatierung von Daten in der Schnittstelle zu anderen Teilen des IT-Systems.(25) Zu den Risiken bei der Verarbeitung führen insbesondere folgende Sachverhalte: Integritätsverletzungen bei Daten führen dazu, dass aufzeichnungspflichtige Geschäftsvorfälle nicht oder unvollständig erfasst werden (Verletzung des Vollständigkeitsgrundsatzes). Mangelnde Authentizität und Autorisierung bewirkt, dass Geschäftsvorfälle inhaltlich unzutreffend abgebildet werden (Verletzung des Grundsatzes der Richtigkeit). Störungen der Verfügbarkeit des E-Commerce-Systems oder Mängel bei der Protokollierung des Datenverkehrs können eine zeitgerechte Aufzeichnung des Geschäftsvorfalls beeinträchtigen (Verletzung des Grundsatzes der Zeitgerechtigkeit). Eine unzureichende Aufzeichnung der eingehenden Daten kann zu einer Beeinträchtigung der Nachvollziehbarkeit der Buchführung (Verletzung des Grundsatzes der Nachvollziehbarkeit) und zu einem Verstoß gegen die Aufbewahrungspflichten (§ 257 HGB) führen. (26) Aufgrund dieser besonderen Risiken beim Einsatz von E-Commerce-Systemen ist die Einhaltung der Sicherheitsanforderung an rechnungslegungsrelevante Daten als Voraussetzung der Ordnungsmäßigkeit der IT-gestützten Rechnungslegung von besonderer Bedeutung [6]. Die Sicherheitsanforderungen beziehen sich sowohl auf den Übertragungsweg und damit auf die im öffentlichen Netz übertragenen Informationen und durchgeführten Transaktionen als auch auf die Verarbeitung der Informationen und Transaktionen in den ITSystemen der Marktpartner. 5. Ordnungsmäßigkeit und Sicherheit beim Einsatz von E-CommerceSystemen Dokument: idw rs fait 2 Seite 8 von 37 (27) Die Kriterien zur Beurteilung der Ordnungsmäßigkeit und Sicherheit beim Einsatz von IT sind im IDW RS FAIT 1 dargestellt. Die konkrete Ausgestaltung des IT-Kontrollsystems zur Gewährleistung dieser Sicherheits- und Ordnungsmäßigkeitsanforderungen ist im Einzelfall festzulegen in Abhängigkeit von der Risikosituation und dem daraus abgeleiteten Sicherheitskonzept, das den erforderlichen Grad an Informationssicherheit definiert. (28) Eine IT-Kontrolle kann technologiebedingt sowohl dazu geeignet sein, Sicherheits- als auch Ordnungsmäßigkeitsanforderungen zu gewährleisten. Eine IT-Kontrolle, die bspw. umgesetzt wurde, um die Sicherheitsanforderung Integrität im Bezug auf die Kommunikation zu gewährleisten, kann auch dazu führen, die Ordnungsmäßigkeitsanforderung Vollständigkeit bei der Verarbeitung sicherzustellen. Daher sind die einzelnen IT-Kontrollen nicht nur isoliert zu betrachten, sondern ganzheitlich im Hinblick auf ihr Zusammenwirken im internen Kontrollsystem. Die Besonderheiten zu den Risiken und Anforderungen beim Einsatz von E Commerce sind im Anhang 1 tabellarisch dargestellt. 5.1. Belegfunktion (29) Die in § 238 Abs. 1 HGB geforderte Nachvollziehbarkeit der Buchführung vom Urbeleg zum Abschluss und vice versa setzt voraus, dass jede Buchung und ihre Berechtigung durch einen Beleg nachgewiesen wird (Grundsatz der Belegbarkeit). Sie ist die Grundvoraussetzung für die Beweiskraft der Buchführung. (30) Die für die papiergebundenen Belege geltenden Anforderungen sind analog auch bei Einsatz von E-Commerce zu erfüllen. Aus dem GoB-Bezug in § 239 Abs. 4 HGB kann allerdings nicht abgeleitet werden, dass an E-Commerce-Belege höhere Anforderungen als an Papierbelege zu stellen sind. (31) Nicht alle Daten über E-Commerce-Aktivitäten führen zu einer Buchung und sind damit als dokumentations- und aufbewahrungspflichtiger Vorgang anzusehen. Vielmehr sind folgende Voraussetzungen zu erfüllen: Der Vorgang muss den Bilanzierenden erreichen. Der Vorgang muss durch den Empfänger autorisiert sein. Es muss ein buchungspflichtiger Vorgang vorliegen. (32) Die Autorisierung soll sicherstellen, dass keine unberechtigten bzw. keine fiktiven Geschäftsvorfälle in das System eingehen. Es muss festgelegt sein, wann, wie und durch wen die Autorisierung erfolgt. (33) Eine elektronische Unterschrift des Absenders bzw. eine Verschlüsselung der Nachrichten ist generell nicht zwingend erforderlich: Eine Buchung aufgrund einer E-CommerceTransaktion wird nicht durch die Unterschrift oder die digitale Signatur des Absenders bzw. durch die Verschlüsselungstechnik begründet, sondern durch den vom Empfänger als buchungspflichtig erkannten Inhalt der übermittelten Daten. Allerdings ist eine digitale Signatur des Absenders bzw. eine Verschlüsselung der Daten insbesondere in Bereichen mit erhöhten Sicherheitsanforderungen zu empfehlen. Ebenso können digitale Signaturen und Datenverschlüsselungen unverzichtbar sein, wenn anderenfalls eine Akzeptanz der übermittelten Daten nicht begründet werden kann. Dokument: idw rs fait 2 Seite 9 von 37 (34) Sofern E-Commerce-Geschäftprozesse automatisierte Buchungen auf Grundlage der übermittelten Transaktionsdaten auslösen und ein Nachweis durch konventionelle Belege nicht erbracht werden kann, ist die Belegfunktion über den verfahrensmäßigen Nachweis des Zusammenhangs zwischen der jeweiligen E-Commerce-Transaktion und ihrer Buchung zu erfüllen. Nach IDW RS FAIT 1, Tz. 35 sind nachfolgende Anforderungen zu erfüllen: Dokumentation der programminternen Vorschriften zur Generierung der Buchungen Nachweis, dass die in der Dokumentation enthaltenen Vorschriften einem autorisierten Änderungsverfahren unterlegen haben (u.a. Zugriffsschutz, Versionsführung, Test- und Freigabeverfahren) Nachweis der Anwendung des genehmigten Verfahrens sowie Nachweis der tatsächlichen Durchführung der einzelnen Buchung. 5.2. Journal- und Kontenfunktion (35) Das Buchführungsverfahren muss gewährleisten, dass die buchungspflichtigen Geschäftsvorfälle sowohl in zeitlicher Ordnung (Journalfunktion) als auch in sachlicher Ordnung (Kontenfunktion) dargestellt werden können. Die Daten müssen innerhalb angemessener Zeit festgestellt und optisch lesbar gemacht werden können (§ 239 Abs. 4 HGB). (36) Im Rahmen des E-Commerce gilt diese Forderung in gleicher Weise für die Konvertierung und die Verarbeitung der rechnungslegungsbezogenen Daten in den E-CommerceAnwendungen. So ist sicherzustellen, dass die versandten bzw. empfangenen Daten chronologisch aufgezeichnet werden sowie die sachliche Ordnung bei Transaktionen mit mehreren Transaktionsschritten gewahrt bleibt. (37) Die Erfüllung der Journalfunktion kann durch eine auswertbare Speicherung (Einzelnachweis) der Buchung im E-Commerce-System bei Sammelbuchungen in das Rechnungslegungssystem übertragen werden. Voraussetzung dafür ist, dass im Rahmen des E-Commerce-Systems die Ordnungsmäßigkeitsanforderungen an die Buchführung eingehalten werden. Sofern keine Autorisierung im E-Commerce-System erfolgt, sind die erfassten Daten als Erfassungsprotokolle und nicht als Journale einzustufen [7]. 5.3. Dokumentation (38) Für die Verfahrensdokumentation von E-Commerce-Systemen gelten die allgemeinen Anforderungen an die Dokumentation von IT-Systemen entsprechend [8]. Aufbau, Inhalt und Umfang der Verfahrensdokumentation müssen es einem sachverständigen Dritten ermöglichen, das Rechnungslegungsverfahren in angemessener Zeit nachvollziehen zu können. (39) Den Schwerpunkt der Verfahrensdokumentation beim Einsatz von E Commerce bildet die Beschreibung der technischen Einrichtungen und Verfahren zur Verarbeitung und Übertragung der Daten (z.B. Ver- und Entschlüsselung). Dies sind z.B.: Beschreibung der eingesetzten Hard- und Software (z.B. Router, Firewall und Virenscanner) Darstellung der Netzwerkarchitektur, insbesondere die Anbindung an einen ISP Dokument: idw rs fait 2 Seite 10 von 37 Beschreibung der zur Übertragung verwendeten Protokolle (z.B. TCP/IP) Beschreibung der verwendeten Verschlüsselungsverfahren Beschreibung der eingesetzten Signaturverfahren Datenflusspläne vom Eingang der Daten im Unternehmen bis zu den weiterverarbeitenden Rechnungslegungssystemen Beschreibung der Schnittstellen sowie der darauf bezogenen Kontrollen bei mit dem Rechnungslegungssystem nicht integrierten E-Commerce-Systemen Dokumentation der Autorisierungsverfahren einschließlich der Verfahren zur Generierung automatisierter Buchungen Beschreibung der Rechte und Pflichten von beauftragten Providern nebst den vertraglichen Vereinbarungen. (40) Neben den technischen Gegebenheiten sind in der Verfahrensdokumentation auch die organisatorischen Maßnahmen und insbesondere die Kontrollen zur Gewährleistung der Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce zu beschreiben. Hierzu rechnen beispielsweise Beschreibungen zur Selektion und Protokollierung der rechnungslegungsrelevanten Geschäftsvorfälle aus den empfangenen Daten, Abstimmung der vollständigen, richtigen und zeitgerechten Verarbeitung der empfangenen Daten, manuellen Nachkorrektur unvollständiger oder nicht formatgerechter Daten. 5.4. Aufbewahrungspflichten (41) Nicht alle im Zusammenhang mit E-Commerce-Aktivitäten stehenden Daten sind aufbewahrungspflichtig. Gemäß § 257 HGB umfasst die Aufbewahrungspflicht die empfangenen und abgesandten Handelsbriefe, Buchungsbelege sowie zum Verständnis der Buchführung erforderlichen Arbeitsanweisungen und sonstige Organisationsunterlagen. (42) Die empfangenen Daten gelten als empfangener Handelsbrief, sofern diese ein Handelsgeschäft betreffen. Sie sind analog § 257 Abs. 1 Nr. 2 i.V.m. Abs. 4 HGB für eine Dauer von sechs Jahren aufzubewahren. Um die Beweiskraft der empfangenen Daten sicherzustellen, müssen technische und organisatorische Vorkehrungen gewährleisten, dass ein Verlust oder eine Veränderung des Originalzustands der übermittelten Daten (Originaldaten) über den Zeitraum der gesetzlichen Aufbewahrungsfrist verhindert wird. Werden Konvertierungs- bzw. Signatur- oder Verschlüsselungsverfahren eingesetzt, so ist durch den Buchführungspflichtigen sicherzustellen, dass durch das eingesetzte Konvertierungs- bzw. Entschlüsselungsverfahren die Integrität der in eine lesbare Form überführten Daten (Inhouse-Format), die Authentizität des verwendeten Schlüssels sowie die Unveränderlichkeit der im Inhouse-Format gespeicherten Daten während der gesetzlichen Aufbewahrungsfrist gewährleistet werden. Soweit ein nachweislich zuverlässiges Konvertierungs- bzw. Entschlüsselungsverfahren eingesetzt wird, genügt die Archivierung im Inhouse-Format. Eine redundante Datenhaltung ist in diesem Fall nicht erforderlich. (43) Werden die Originaldaten in verschlüsselter Form gespeichert, sind Schlüssel und Algorithmen zur Entschlüsselung während der gesamten Aufbewahrungsfrist vorzuhalten. Ebenso muss es im Rahmen der Archivierung der zur Entschlüsselung verwendeten Verfahren möglich sein, die Daten in angemessener Zeit lesbar zu machen. Soweit die in verschlüsselter Dokument: idw rs fait 2 Seite 11 von 37 Form gespeicherten eingehenden Handelsbriefe Belegfunktion besitzen, ist zusätzlich eine Archivierung im Inhouse-Format notwendig, also in dem Format und in der Form, in denen der Handelsbrief bei Autorisierung des Geschäftsvorfalls vorgelegen hat. (44) Die Aufbewahrungsfrist für die Daten mit Belegfunktion beträgt gemäß § 257 Abs. 1 Nr. 4 i.V.m. Abs. 4 HGB zehn Jahre. (45) Vor dem Hintergrund der mit Wirkung ab dem 1. Januar 2002 in Kraft getretenen Änderung der Abgabenordung und dem in diesem Zusammenhang erlassenen BMF-Schreiben "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU) wird auf die besonderen Aufbewahrungsanforderungen für Abrechnungen i.S.d. § 14 Abs. 4 Satz 2 UStG und für sonstige aufbewahrungspflichtige Unterlagen i.S.d. § 147 Abs. 1 AO hingewiesen. Diese Anforderungen betreffen Unterlagen, die in digitalisierter Form übermittelt werden und für die Besteuerung von Bedeutung sind. Nach Auffassung der Finanzverwaltung sind derzeit - abweichend von den handelsrechtlichen Anforderungen - empfangene Daten in ihrer ursprünglichen Form (Originaldaten) und bei Konvertierung in ein unternehmenseigenes Format (Inhouse-Format) auch in der umgewandelten Form zu archivieren. Diese Anforderung besteht unabhängig davon, ob ein zuverlässiges Konvertierungsverfahren eingesetzt wird. Werden Signatur- bzw. Verschlüsselungsverfahren eingesetzt, so sind die verwendeten Schlüssel und Algorithmen ebenfalls während der gesetzlichen Aufbewahrungsfrist vorzuhalten und sowohl die in verschlüsselter Form erhaltenen Daten als auch die entschlüsselte Form aufzubewahren. Dies gilt unabhängig davon, ob ein zuverlässiges Entschlüsselungsverfahren eingesetzt wird. Aufgrund der steuerrechtlichen Anforderungen kann es deshalb derzeit geboten sein, die Daten redundant, d.h. in der ursprünglichen und in der lesbaren (sog. Inhouse-Format) Form zu archivieren. Auf die darüber hinaus bestehenden zusätzlichen Aufbewahrungspflichten im Zusammenhang mit Abrechnungen i.S.d. § 14 Abs. 4 Satz 2 UStG wird hingewiesen. (46) Sofern versandte Daten abgesandten Handelsbriefen gleichzusetzen sind, ergeben sich keine Besonderheiten gegenüber herkömmlichen Verfahren, da § 257 Abs. 1 Nr. 3 i.V.m. Abs. 3 Nr. 1 HGB lediglich eine inhaltliche Wiedergabe fordert. Die Verfahrensdokumentation beim Einsatz von E-Commerce ist gemäß § 257 Abs. 1 Nr. 1 i.V.m. Abs. 4 HGB zehn Jahre aufzubewahren. 5.5. Aufbewahrungspflichten beim Einsatz von EDI (47) Ebenso wie beim E-Commerce stellt sich generell bei der elektronischen Datenübermittlung die Frage, wie die ausgetauschten elektronischen Nachrichten zu behandeln sind, um den Aufbewahrungspflichten gerecht zu werden. Grundsätzlich sind eingehende EDI-Nachrichten insoweit aufbewahrungspflichtig, als Daten, die über dieses standardisierte Verfahren übermittelt werden, Handelsbrief- oder Belegfunktion entfalten. (48) Zur Archivierung von EDI-Daten, die durch den Empfänger akzeptiert (autorisiert) wurden, bestehen keine besonderen Anforderungen an ein bestimmtes Aufbewahrungsformat. (49) Soweit eine EDI-Nachricht Belegfunktion hat, hat die Archivierung im Inhouse-Format zu erfolgen (vgl. Tz. 42). Das zur Archivierung von EDI-Daten verwendete Verfahren muss sicherstellen, dass die Daten in angemessener Zeit lesbar gemacht werden können. Dies kann bei der getrennten Speicherung von Schlüsseldateien und EDI-Nachricht über einen längeren Dokument: idw rs fait 2 Seite 12 von 37 Zeitraum schwierig sein, da hierfür eine exakte Historienführung der Stammdatenänderung Voraussetzung ist. 6. Einrichtung eines E-Commerce-Systems (50) Um die Unternehmensziele zu erreichen und erkannte Risiken zu bewältigen, stimmen die gesetzlichen Vertreter ihre IT-Strategie mit der Unternehmensstrategie ab. Hierfür ist ein angemessenes IT-Kontrollsystem einzurichten. (51) Gegenstand der IT-Strategie ist auch der Einsatz von E-Commerce-Systemen. Daher sind die E-Commerce-Aktivitäten in den Rahmen der IT-Strategie zu integrieren und auch in das Sicherheitskonzept einzubeziehen. Die Überwachung der Umsetzung der IT-Strategie und die Implementierung eines angemessenen und wirksamen IT-Kontrollsystems ist Aufgabe der gesetzlichen Vertreter. (52) Das Sicherheitskonzept umfasst eine Gefährdungs- bzw. Risikoanalyse sowie daraus abgeleitet die Festlegung des angemessenen Sicherheitsniveaus und die sich daraus ergebenden zusätzlichen Sicherungsmaßnahmen. Es muss daher in Übereinstimmung mit der IT-Strategie und der IT-Organisation stehen und eine Bewertung der spezifischen Sicherheitsrisiken der E-Commerce-Aktivitäten des Unternehmens enthalten. Ein solches Sicherheitskonzept wird durch Ausführungsanweisungen etwa im Bereich des IT-Betriebs, des Netzbetriebs und der Administration sowie bei der Gestaltung von Zugriffsschutzverfahren konkretisiert. (53) Wenn Unternehmen ganz oder teilweise Elemente des E-Commerce-Systems auslagern, müssen die gesetzlichen Vertreter beurteilen, wie sich dies auf das IT-Kontrollsystem auswirkt. Die Verantwortlichkeit der gesetzlichen Vertreter des Unternehmens erstreckt sich in diesem Fall auch auf die ausgelagerten Teile des IT-Systems. Insbesondere für Unternehmen, deren Geschäftstätigkeit ausschließlich oder überwiegend ECommerce umfasst, können die damit verbundenen IT-Risiken bestandsgefährdend sein. Sie müssen deshalb im Risikofrüherkennungssystem festgestellt, analysiert und bewertet werden. Die risikobezogenen Informationen sind in systematisch geordneter Weise an die verantwortlichen Personen weiterzuleiten [9]. 6.1. Das IT-Umfeld bei Einsatz von E-Commerce-Systemen (54) Voraussetzung für ein geeignetes IT-Umfeld beim E-Commerce ist eine angemessene Grundeinstellung zum Einsatz von E-Commerce und ein Problembewusstsein für mögliche Risiken aus dem Einsatz von E Commerce-Systemen bei den gesetzlichen Vertretern und den Mitarbeitern. Dies betrifft insbesondere ein ausgeprägtes Bewusstsein für die Sicherheitsrisiken bei der Nutzung des Internets in der Unternehmensorganisation. Dieses ist zugleich eine wesentliche Bedingung für die angemessene Umsetzung des Sicherheitskonzepts. Soweit kein hinreichendes Sicherheitsbewusstsein vorhanden ist, besteht das Risiko, dass die zur Vermeidung von E-Commerce-Risiken umgesetzten Maßnahmen ganz oder teilweise unwirksam bleiben. 6.2. Die IT-Organisation bei Einsatz von E-Commerce-Systemen Dokument: idw rs fait 2 Seite 13 von 37 (55) Die IT-Organisation umfasst auch die Verantwortlichkeiten und Kompetenzen im Zusammenhang mit dem Einsatz von E-Commerce-Systemen im Unternehmen. Sie beinhaltet insbesondere organisatorische und dem Betrieb angemessene Sicherungs- und Schutzverfahren (z.B. Einsatz von Firewalls zum Schutz vor unautorisierten Systemzugriffen, Einsatz von Intrusion Detection Systemen zur Aufdeckung von unerlaubten Angriffen, Einsatz von kryptographischen Verfahren zur Vermeidung von Datenmanipulationen u.a.). (56) Die Anforderungen an die Gestaltung der IT-Organisation betreffen die Aufbau- und Ablauforganisation des E-Commerce-Systems. Im Rahmen der Aufbauorganisation werden die Verantwortlichkeiten und Kompetenzen im Zusammenhang mit dem Einsatz von ECommerce-Systemen geregelt. Die Ablauforganisation betrifft sowohl die Organisation der Entwicklung, Einführung und Änderung als auch die Steuerung des Einsatzes von ECommerce-Anwendungen unter Berücksichtigung des Grundsatzes der Funktionstrennung. Auch im Rahmen des E-Commerce-Betriebs müssen Aufgaben, Kompetenzen und Verantwortlichkeiten der Mitarbeiter klar definiert sein. Übliche Instrumente hierfür sind Prozess- und Funktionsbeschreibungen oder Organisationshandbücher. 6.3. E-Commerce-Infrastruktur (57) Die E-Commerce-Infrastruktur umfasst die technischen Ressourcen und die Regelungen des IT-Betriebs im Bezug auf den Einsatz des E-Commerce-Systems. Dies schließt die notwendige Systemsoftware sowie sonstige Hilfsprogramme ein, "die zur Verbindung des IT-Systems mit öffentlichen Netzen, dritten Anwendern und Unternehmen dienen und "den ordnungsmäßigen und sicheren Einsatz von E-Commerce-Anwendungen durch geeignete Schutz- und Steuerungsmaßnahmen unterstützen. Die E-Commerce-Infrastruktur umfasst damit typischerweise Komponenten wie z.B. WebServer, Firewall-Systeme als Schutzvorrichtung, Router zur Steuerung des Datenflusses sowie die für die E-Commerce-Dienste erforderliche Software (z.B. Web-Applikationen und Directory Services; http- und Mail-Services sowie Betriebssysteme). Weitere Hilfsprogramme, die z.B. dem Virenschutz oder der Überwachung von Angriffen von außen dienen (Intrusion-DetectionProgramme), sind ebenfalls der E Commerce-Infrastruktur zuzuordnen. (58) Die technischen Ressourcen und die Verfahren für einen sicheren und geordneten ITBetrieb sollen insbesondere die Integrität und Verfügbarkeit des E Commerce-Systems auf der Grundlage des Sicherheitskonzepts gewährleisten. (59) Die aus dem Sicherheitskonzept abgeleiteten Sicherungsmaßnahmen umfassen physische Sicherungsmaßnahmen und logische Zugriffskontrollen sowie Datensicherungs- und Auslagerungsverfahren. (60) IT-Grundlage für die Bereitstellung der E-Commerce-Anwendungen und damit für die Realisierung der E-Commerce-Aktivitäten im Internet sind Internet-Server, die entweder von den Unternehmen selbst betrieben oder von Internet-Service-Providern zur Verfügung gestellt werden. Dementsprechend sind Internet-Server wie die gesamte E-Commerce-Infrastruktur durch physische Sicherungsmaßnahmen zu schützen [10]. (61) Zur Absicherung des E-Commerce-Systems kommen Firewall-Systeme zum Einsatz. Sie dienen der Trennung des E-Commerce-Systems und des öffentlich zugänglichen Internets und schützen gegen Angriffe aus dem Internet. Firewall-Systeme bestehen aus einer Kombination Dokument: idw rs fait 2 Seite 14 von 37 von Hard- und Software, die als alleiniger Übergang zwischen dem E-Commerce-System des Unternehmens und dem davon zu trennenden Internet (TCP/IP-Netz) dient. Durch den Einsatz von speziellen Firewall-Komponenten (Application-Gateway/Packet-Filter) wird der Datentransfer auf unerwünschte Inhalte hin untersucht bzw. werden unerwünschte Zugriffe unterbunden. Die wesentlichen Hardware-Komponenten der E-Commerce-Infrastruktur sollten redundant ausgelegt sein. (62) Ein weiteres wesentliches Element der E-Commerce-Infrastruktur sind kryptographische Verfahren, die als Hardwarekomponenten oder Softwareprogramme die Integrität, Authentizität und Vertraulichkeit und damit die Ordnungsmäßigkeit und Sicherheit von Daten sicherstellen. (63) Bei den Datensicherungs- und Auslagerungsverfahren [11] ergeben sich beim Einsatz von E-Commerce-Systemen Besonderheiten, soweit diese im Outsourcing betrieben werden. Das Unternehmen muss daher sicherstellen, dass die von den Outsourcingpartnern eingesetzten Datensicherungs- und Auslagerungsverfahren angemessen sind und entsprechend durchgeführt werden. Dies erfordert einerseits zusätzliche interne Überwachungsmaßnahmen, andererseits explizite vertragliche Vereinbarungen und Service Level Agreements mit den Outsourcing-Partnern. 6.4. E-Commerce-Anwendungen (64) E-Commerce-Anwendungen bilden typischerweise diejenigen Funktionalitäten ab, die für eine Abbildung, Kommunikation und Verarbeitung von E Commerce-Geschäftsprozessen notwendig sind. Beim Empfänger sind dies die Funktionalitäten, die zur Realisierung der E-CommerceAktivitäten über das Internet sowie zur Übernahme und Verarbeitung der über das ECommerce-System übermittelten Daten notwendig sind, bis diese in dem unternehmenseigenen Format (sog. Inhouse-Format) verarbeitungsfähig vorliegen. Beim Sender sind dies die Funktionalitäten, die die für den Versand über das Internet bestimmten Daten aufbereiten und über die E-Commerce-Infrastruktur übermitteln. Dementsprechend bilden E-Commerce-Anwendungen typischerweise Funktionalitäten der Präsentation, des Datentransfers sowie deren Aufbereitung im Rahmen von Shop-Systemen und elektronischen Marktplätzen ab oder sind auf die Abwicklung der Bestell- oder Auftragsabwicklungsvorgänge oder des Zahlungsverkehrs ausgerichtet. Soweit rechnungslegungsrelevante Funktionalitäten durch E Commerce-Anwendungen abgebildet werden, sind die Ordnungsmäßigkeitsanforderungen an die Buchführung einzuhalten; insbesondere muss die Beleg-, Journal- und Kontofunktion gewährleistet sein (vgl. IDW RS FAIT 1). (65) Bei dem Einsatz von E-Commerce-Anwendungen muss gewährleistet sein, dass die in der IT-Strategie in Bezug auf die Funktionalität dieser Anwendungen formulierten Anforderungen eingehalten werden. Neben der Einführung von anwendungsbezogenen IT-Kontrollen müssen generelle Kontrollen dafür sorgen, dass die E-Commerce-Anwendungen und die verarbeiteten rechnungslegungsrelevanten Daten den Ordnungsmäßigkeitsanforderungen entsprechen. Diese Forderung betrifft sowohl die Verarbeitungsfunktionalitäten als auch die sicherheitsrelevanten Funktionalitäten wie den Zugriffsschutz, die Sicherungs- und Wiederanlaufverfahren sowie die Programmentwicklung, -wartung und -freigabe [12]. Dokument: idw rs fait 2 Seite 15 von 37 6.5. E-Commerce Geschäftsprozesse (66) Die Implementierung von E-Commerce-Geschäftsprozessen führt prinzipiell zu einer ganzheitlichen Betrachtung und Analyse aller mit dem E-Commerce-Geschäftsprozess im Zusammenhang stehenden Wertschöpfungsprozesse, wobei operative Logistik- und Produktionsprozesse nur eine Teilmenge bilden. Insbesondere bei unternehmensübergreifenden E-Commerce-Geschäftsprozessen (Integration) kann es notwendig sein, Geschäftsprozesse, die externe Geschäftsbeziehungen betreffen, zu restrukturieren und neu auszurichten. Dabei ist es für eine sachgerechte Umsetzung der Unternehmensstrategie von entscheidender Bedeutung, dass die Einrichtung des E Commerce-Systems sowie der betroffenen E Commerce-Geschäftsprozesse in Übereinstimmung mit der IT-Strategie und dem Sicherheitskonzept erfolgt. (67) Insbesondere E-Commerce-Aktivitäten in Form der Transaktion und Integration führen dazu, dass Daten über betriebliche Aktivitäten direkt in das Rechnungslegungssystem und damit in die IT-gestützte Rechnungslegung einfließen. Komplexe E-Commerce-Geschäftsprozesse können mit ihren Teilprozessen mehrere funktionale Bereiche im Unternehmen mit nicht integrierten Bestandteilen von ITAnwendungen bzw. der IT-Infrastruktur betreffen. Bei unternehmensübergreifenden Wertschöpfungsketten sind komplexe rechnungslegungsrelevante E-CommerceGeschäftsprozesse durch eine direkte Übernahme der Transaktionsdaten vom Geschäftspartner in das E Commerce-System gekennzeichnet, was zu einer Vermeidung von Mehrfacherfassungen und Medienbrüchen führt. Damit verbunden ist die vermehrte Anbindung von IT-Anwendungen an das E-Commerce-System, die somit den Geschäftspartnern (so genannte "available-to-promise-Applikationen") zur Bestätigung von Aufträgen oder Lieferzeitpunkten zur Verfügung gestellt werden. Hier birgt eine auf Teilsysteme ausgerichtete Analyse der Sicherheits- und Ordnungsmäßigkeitsrisiken sowie eine auf den Funktionsbereich isoliert ausgerichtete Implementierung des IT-Kontrollsystems die Gefahr, dass Risiken aus dem geschäftsprozessbedingten Datenaustausch zwischen den Teilsystemen unberücksichtigt bleiben. Damit im Zusammenhang steht auch die Gefahr einer mangelnden Berücksichtigung der systemtechnischen Zusammenhänge. Sie beinhaltet die Gefahr, dass bspw. Zugriffsrechte oder Datensicherungsmaßnahmen lediglich bezüglich der einzelnen IT-Teilsysteme und damit für den Teilprozess, jedoch nicht für den Gesamtprozess wirksam sind. (68) Beim Einsatz internetbasierter Kommunikationsprotokolle, wie z.B. TCP/IP, Datentransferformate wie bspw. XML (Extended Markup Language), XBRL (Extensible Business Reporting Language) oder im Falle von EDI bei der Nutzung strukturierter und normierter Datentransferformate, besteht aufgrund unzureichender implementierter Schnittstellen oder nicht sachgerecht konfigurierter Konvertierungsprogramme die Gefahr, dass Daten unvollständig oder unrichtig in das weiterzuverarbeitende Inhouse-Format überführt werden. Wesentliche Voraussetzung für eine vollständige und richtige Weiterverarbeitung im Rechnungslegungssystem ist die sachgerechte Implementierung von Schnittstellen- und Konvertierungsprogrammen, deren korrekte Funktionsweise durch prozessintegrierte Kontrollen und Sicherungsmaßnahmen zu gewährleisten ist. In diesem Zusammenhang kommt der Protokollierung des Datentransfers auf Schnittstellenebene besondere Bedeutung zu. Neben einer automatischen Protokollierung ist die Einrichtung von Eskalationsverfahren sicherzustellen, die unvollständige bzw. fehlerbehaftete Transaktionsdatensätze ggf. automatisch an die verantwortliche Stelle zur Sachverhaltsklärung weiterleiten. Dokument: idw rs fait 2 Seite 16 von 37 6.6. Überwachung des IT-Kontrollsystems bei Einsatz von E-CommerceSystemen (69) Unter der Überwachung des IT-Kontrollsystems beim Einsatz von E Commerce-Systemen ist die prozessunabhängige Beurteilung der Wirksamkeit des E-Commercere-relevanten ITKontrollsystems im Zeitablauf zu verstehen. Dabei ist zu beurteilen, ob das IT-Kontrollsystem sowohl angemessen ist als auch kontinuierlich funktioniert. Darüber hinaus haben die gesetzlichen Vertreter dafür Sorge zu tragen, dass festgestellte Mängel im IT-Kontrollsystem abgestellt werden. (70) IT-Kontrollsysteme sind beim Einsatz von E-Commerce-Systemen um diejenigen Grundsätze, Verfahren und Maßnahmen (Regelungen) zu ergänzen bzw. zu erweitern, die zur Bewältigung der IT-Risiken aus dem Einsatz der Durchführung von E-Commerce resultieren. Hierzu gehören Regelungen zur Steuerung des Einsatzes von E-Commerce im Unternehmen (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem) [13]. (71) Zu den E-Commerce-bezogenen IT-Kontrollen zählen die prozessintegrierten Kontrollen und organisatorischen Sicherungsmaßnahmen (z.B. die Überprüfung von Dateiinhalten in der Firewall) ebenso wie die generellen Kontrollen, die sich auf das gesamte E-Commerce-System auswirken (z.B. im Rahmen der Entwicklung von E-Commerce-Anwendungen, Changemanagement). Die prozessunabhängigen Überwachungsmaßnahmen werden durch die Interne Revision oder durch unmittelbare Überwachungsmaßnahmen der gesetzlichen Vertreter durchgeführt. Dies erfolgt beispielsweise in der Form von Abweichungsanalysen bzw. anhand der Feststellung des Zielerreichungsgrades der umgesetzten IT-Strategie [14]. (72) Neben der Beurteilung der sachgerechten Umsetzung der IT-Strategie in Übereinstimmung mit der Unternehmensstrategie sind in regelmäßigen Abständen das Sicherheitskonzept und das eingerichtete IT-Kontrollsystem - insbesondere im Hinblick auf die sehr kurzen Innovationszyklen im Bereich der Sicherheitstechnologie - auf ihre Angemessenheit und Wirksamkeit hin zu überwachen. (73) Für die kontinuierliche Überwachung der Angemessenheit und Wirksamkeit des ITKontrollsystems bietet sich bspw. der Einsatz spezieller Programme ("Scanner") an, die systematisch nach Sicherheitslücken suchen. Zudem haben sich programmgestützte Angriffssimulationen (Penetration-Test-Verfahren) als nützlich erwiesen, die in systematischer Weise Angriffe auf das E Commerce-System simulieren. Damit können die im Rahmen der ECommerce-Infrastruktur eingerichteten IT-Kontrollmaßnahmen unter Echtzeitbedingungen auf ihre Angemessenheit und Wirksamkeit überprüft werden ("Attack and Penetration"). Vor Einsatz von Scannern und der Simulation von Angriffen sind die damit verbundenen Gefahren im Bezug auf eine Beeinträchtigung der Verfügbarkeit des E-Commerce-Systems abzuwägen. 6.7. Internet-Service-Provider/Outsourcing (74) Typischerweise bedienen sich Unternehmen zur Abwicklung von E Commerce sog. Internet-Service-Provider (ISP), die ganz oder teilweise die Elemente des E-CommerceSystems, wie z.B. Web-Server, den Zugang zum Internet sowie weitere Internetdienste (z.B. Website-Hosting) zur Verfügung stellen. Soweit ganz oder teilweise Elemente des E-Commerce-Systems ausgelagert werden, bleibt die Unternehmensführung für die Erfüllung der Anforderungen an die Ordnungsmäßigkeit und Sicherheit durch den ISP verantwortlich. Folglich hat die Unternehmensführung Dokument: idw rs fait 2 Seite 17 von 37 sicherzustellen, dass die diesbezüglichen Anforderungen beim Einsatz von E-Commerce durch den ISP gewährleistet werden [15]. (75) Da der Buchführungspflichtige auch nach Beendigung der vertraglichen Beziehungen mit dem ISP für die Einhaltung der Ordnungsmäßigkeits- und Sicherheitsanforderungen verantwortlich ist, kommt der Auswahl des ISP eine hohe Bedeutung zu. Es sollte darauf geachtet werden, dass die Einhaltung dieser Anforderungen im Detail vertraglich geregelt wird. Neben eindeutigen Regelungen der Verantwortlichkeiten zu den Aufbewahrungspflichten sollten insbesondere die Prüfungsrechte der unternehmenseigenen Internen Revision und des Abschlussprüfers im Voraus vertraglich fixiert werden. Darüber hinaus können sich durch die Einschaltung eines ISP weitere Fehlerrisiken ergeben, die im Rahmen von sog. Service Level Agreements (SLA), also durch vertragliche Vereinbarungen mit dem ISP (bspw. hinsichtlich der zugesicherten Verfügbarkeit der Dienste), zu adressieren sind. Deswegen empfiehlt es sich, vor Vertragsabschluss den ISP durch einen unabhängigen Sachverständigen auf seine Eignung hin beurteilen zu lassen und rechtlichen Rat bei der Vertragsgestaltung einzuholen. Anhang 1: Besonderheiten hinsichtlich der Risiken und Anforderungen beim Einsatz von E-Commerce 1. Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce (1) Grundsätzlich sind die Anforderungen hinsichtlich der Kriterien zur Beurteilung der Ordnungsmäßigkeit beim Einsatz von IT im IDW RS FAIT 1 dargestellt. (2) Ein zentrales E-Commerce-spezifisches Risiko ergibt sich insbesondere aus der Anbindung von E-Commerce-Systemen an öffentlich zugängliche Netzwerke (Internet). Hierdurch kann der Zugriff von unberechtigten Personen auf IT-Systeme und Daten ermöglicht und zum Nachteil des Unternehmens ausgenutzt werden (Manipulation von Systemen und Daten, Entwendung von vertraulichen Daten und Betriebsgeheimnissen, Gefährdung der Systemverfügbarkeit usw.). Dabei kann der Zugriff von Mitarbeitern des Unternehmens erfolgen oder durch Dritte, die sich von außen Zugang zum IT-System verschaffen. (3) Die konkrete Ausgestaltung des IT-Kontrollsystems zur Gewährleistung der nachfolgend angeführten Sicherheits- und Ordnungsmäßigkeitsanforderungen ist abhängig von der Risikosituation und dem Sicherheitskonzept, das den erforderlichen Grad an Informationssicherheit (Sicherheitsniveau) definiert. (4) Zur Risikoreduzierung werden nachfolgend Maßnahmen genannt, die jedoch nicht isoliert, sondern als Teil eines umfassenden Systems zur Vermeidung von IT-Risiken unter Einbeziehung der E-Commerce-Risiken zu betrachten sind. Voraussetzung für die Wirksamkeit der im Weiteren dargestellten Maßnahmen ist die Einrichtung von generellen IT-Kontrollen, insbesondere von verlässlichen Zugriffsschutzverfahren (Benutzerberechtigungskonzepten) sowie effektiven Change Management-Verfahren. (5) Die nachfolgend dargestellten Kommunikations- und Verarbeitungsrisiken sowie die zu ihrer Begegnung erforderlichen Maßnahmen basieren auf dem jetzigen Stand der Technik und können nicht als abschließend betrachtet werden. Darüber hinaus sind im Einzelfall weitere Risiken möglich, die die Ordnungsmäßigkeit und Sicherheit der Rechnungslegung beeinflussen können. Dokument: idw rs fait 2 Seite 18 von 37 2. Sicherheitsanforderungen 2.1. Integrität (6) Integrität von IT-Systemen ist gegeben, wenn Daten und Systeme vollständig und richtig zur Verfügung stehen und vor nicht autorisierten Änderungen und Manipulation geschützt sind. (7) Die Integrität der Daten kann durch nicht autorisierte Änderungen und Manipulationen bei der unverschlüsselten Übertragung über öffentlich zugängliche Netzwerke gefährdet sein. Ferner können auch technische Fehler bei der Übertagung auftreten, die zu einer unvollständigen oder unrichtigen Übermittlung der Daten auf dem Übertragungsweg führen. Kommunikationsrisiken Anforderungen/Maßnahmen Veränderungen bzw. Verlust von Daten auf der Durch den Einsatz leistungsfähiger kryptografischer Übertragungsstrecke durch Manipulation, nicht autorisierte Verfahren und Techniken kann die Unveränderlichkeit der Änderungen sowie aufgrund des Auftretens von übermittelten Daten (sowie die Vertraulichkeit und auch technischen Fehlern. Authentizität des Absenders, s. a.a.O.) gewährleistet werden. Überprüfbar wird die Integrität der übermittelten Daten durch den Einsatz von Prüfsummenverfahren (Message Digest) oder digitaler Signaturen. Das Dokument selbst kann dabei unverschlüsselt bleiben, die Prüfsumme wird jedoch unter Verwendung eines wirksamen Verschlüsselungsverfahrens (bspw. PKI) verschlüsselt. Integritätsverletzungen durch unberechtigte bzw. Maßnahmen zum Schutz vor Änderungen und Zugriffen fehlerhafte Veränderungen des E-Commerce-Systems. von unberechtigten Personen innerhalb des Unternehmens sind insbesondere physische und logische Zugriffsschutzmaßnahmen einschl. einer ordnungsmäßigen Berechtigungsverwaltung, deren Einhaltung regelmäßig zu überprüfen ist. Um Änderungen und Zugriffe zu erkennen, sind Zugriffsprotokollierungen, Prüfsummenverfahren, Plausibilitätskontrollen etc. einzusetzen, deren regelmäßige Auswertung sichergestellt sein muss. Zu Maßnahmen zum Schutz vor Veränderungen und Zugriffen von unberechtigten Personen außerhalb des Unternehmens siehe "Integritätsverletzungen durch nichtautorisierte Zugriffe von außen". Integritätsverletzungen durch nicht autorisierte Zugriffe Zu den Maßnahmen zum Schutz vor unberechtigten von außen (z.B. durch Viren oder Hacker). Änderungen und Zugriffen von Personen außerhalb des Unternehmens gehören die Einrichtung eines Firewall- Dabei lassen sich prinzipiell zwei Risikobereiche unterscheiden: E-Commerce-Infrastruktur (Systemsoftware): Dokument: idw rs fait 2 Systems, das das interne Netzwerk gegen unerlaubte Zugriffe abschirmt und der Betrieb von Virenschutzprogrammen. Neben dem Firewall-System sollten auch Vorrichtungen zur Überwachung der Zugriffe Seite 19 von 37 Kommunikationsrisiken Die für die Anbindung des internen Netzwerkes an die Außenwelt notwendige Software, z.B. das Betriebssystem mit den Kommunikationsprotokollen, eröffnet aufgrund von Softwarefehlern oder Fehlkonfiguration Außenstehenden ungewollt den Zugang zum internen Netzwerk. E-Commerce-Anwendungen (Programmtransfer): Anforderungen/Maßnahmen auf das E Commerce-System eingerichtet werden (s. auch Intrusion Detection-Systeme, die zumeist integraler Bestandteil von Firewallkonzepten sind). Dabei ist die sachgerechte Konfiguration, Implementierung und Wartung der E Commerce-Anwendung einschließlich der kurzfristigen Behebung aufgetretener Schwachstellen sicherzustellen. Die Firewall- und Virenschutz-Konzepte sind laufend auf ihre Aktualität hin zu überprüfen. Dies gilt insbesondere auch für die Filterung von E Mails und anderen Webinhalten (Content-Inspection) auf unerwünschte Inhalte und Programme. Viren können bspw. durch E-Mails in interne Netzwerke Im Bedarfsfall ist zur Gewährleistung eines hohen eindringen. Browsertechnologien, wie z.B. Java oder Sicherheitsniveaus die Deaktivierung der Active-X, sehen den Transfer von Programmen vor, die Programmtransfermöglichkeiten vom Sender zum beim Empfänger unmittelbar zur Ausführung gelangen. Empfänger (z.B. bei JAVA und Active-X) in Betracht zu Dadurch können Daten unautorisiert verändert bzw. ziehen. beschädigt, der Zugriff auf das interne Netzwerk des Unternehmen für Dritte sowie der Missbrauch von Die Konzeption, Konfiguration und Änderung von Elementen des E Commerce-Systems zum Angriff auf Systemkomponenten sowie des Regelwerks zur Abwehr andere Netzwerke ermöglicht werden und damit der Transfer von Daten an unberechtigte Dritte erfolgen unberechtigter Angriffe (Firewall-System, IntrusionDetection-System, Virenschutz) ist schriftlich und in nachvollziehbarer Form zu dokumentieren. 2.2. Verfügbarkeit (8) Verfügbarkeit verlangt, dass das Unternehmen die zur Aufrechterhaltung des Geschäftsbetriebs erforderliche Hardware, Software sowie Daten dauerhaft produktiv bereitstellt. Insbesondere müssen nach Systemstörungen oder ausfällen Hardware, Software, Daten sowie die erforderliche IT-Organisation in angemessener Zeit wieder funktionsfähig bereitstehen. (9) Beim Einsatz von E-Commerce kann die Verfügbarkeit durch potentielle Angriffe aufgrund der Öffnung der unternehmensinternen Netzwerke nach außen gefährdet werden. Dabei werden vielfach Fehler in der Systemsoftware oder in deren Konfiguration ausgenutzt. Durch das Eindringen Dritter in das interne Netzwerk können beispielsweise auch Anwendungsserver, Datenbankserver und Front-End-Computer bis hin zum gesamten Netzwerk außer Betrieb gesetzt und/oder Daten und Datenbanken zerstört werden. In diesem Fall entsteht neben dem Schaden aus der Nichtverfügbarkeit weiterer materieller Schaden für die Wiederherstellung und den Wiederanlauf der Systeme. (10) Die Verfügbarkeit der IT-Systeme ist zunehmend von externen Dritten (z.B. ISP) abhängig und daher durch vertragliche Regelungen angemessen sicherzustellen. Ferner ist beim E-Business zu berücksichtigen, dass technologiebedingt die Verfügbarkeit des eigenen E-Commerce-Systems von der Verfügbarkeit der anderen am E-Commerce-Geschäftsprozess beteiligten E Commerce-Systeme abhängt. Dokument: idw rs fait 2 Seite 20 von 37 Kommunikationsrisiken Anforderungen/Maßnahmen Aufgrund der Abhängigkeit von Dritten (z.B. ISP) besteht Als Maßnahmen kommen insbesondere in Betracht: die Gefahr, dass die E-Commerce-Infrastruktur nicht zur erforderlichen Zeit oder nicht im erforderlichen Umfang redundante Systeme bzw. E-Commer-ceInfrastruktur-Komponenten zur Verfügung steht. Kapazitätsanalysen hinsichtlich der Übertragungsund Speichervolumina unter Berücksichtigung der geplanten Geschäftsentwicklung getestete und geschulte Backup- und NotfallLösungen (Business Continuity Planning) sowie getestete System-, Programm- und Datensicherungsverfahren. Bezüglich der Abhängigkeit von der Leistung Dritter sind als Vorsorgemaßnahme die Verträge entsprechend zu gestalten (u.a. mit Definition der Verfügbarkeit und Leistung, z.B. in Form von Service-Level-Agreements) und deren Einhaltung zu überwachen (vgl. Outsourcing in IDW RS FAIT 2, Tz. 75). Externe Angriffe mit dem Ziel, neben dem Eindringen in Die Anforderungen und Maßnahmen sind weitgehend das IT-System dieses auch außer Betrieb zu setzen identisch mit denen für einen Schutz vor unerlaubten ("Denial-of-Service-Attacks"). Systemzugriffen von außen (s.o. Integrität). Eine besondere Rolle spielen in diesem Zusammenhang Überwachungsverfahren (z.B. Intrusion-DetectionSysteme), die derartige Angriffe abwehren oder frühzeitig erkennen und melden, damit eine schnelle Reaktion erfolgen kann. Die Maßnahmen sollten in einem Eskalationsverfahren festgelegt sein, das z.B. von der Verfolgung der Herkunft der Angriffe bis zur Deaktivierung angegriffener Systemkomponenten reicht. Diese Anforderungen gelten insbesondere auch für den ISP. Sowohl vertragliche Regelungen als auch die Verifikation dieser Regelungen (z.B. durch Prüfung vor Ort) sind erforderlich. 2.3. Vertraulichkeit (11) Vertraulichkeit verlangt, dass die Kenntnisnahme von Daten durch nichtberechtigte Personen ausgeschlossen ist. Hierzu gehört auch, dass von Dritten erlangte Daten nicht unberechtigt weitergegeben oder veröffentlicht werden. Organisatorische und technische Maßnahmen umfassen u.a. Anweisungen zur Beschränkung der Übermittlung personenbezogener Daten an Dritte, die verschlüsselte Übermittlung von Daten an berechtigte Dritte, die eindeutige Identifizierung und Verifizierung des Empfängers von Daten oder die Einhaltung von gesetzlichen Löschfristen bei der Speicherung personenbezogener Daten (bspw. TDDSG). Dokument: idw rs fait 2 Seite 21 von 37 (12) Da bei unverschlüsselter Datenübertragung über öffentliche Netzwerke die Vertraulichkeit von Daten nicht gewährleistet werden kann, ist sicherzustellen, dass die empfangenen Daten und geführten Protokolldateien sowohl gegen Zugriffe von außen als auch von innen hinreichend geschützt und innerhalb des Unternehmens nur für den beabsichtigten Zweck unter Beachtung entsprechender gesetzlicher Vorschriften genutzt werden. Bei der Weiterverarbeitung im IT-System sind die Anforderungen des IDW RS FAIT 1 bezüglich der Sicherheit rechnungslegungsrelevanter Daten entsprechend zu beachten. Kommunikationsrisiken Anforderungen/Maßnahmen Sofern keine Verschlüsselungsverfahren eingesetzt werden, Zur Verschlüsselung von Daten können verschiedene besteht das Risiko, dass Personen, die Zugriff auf zur technische Verfahren zum Einsatz kommen. Es ist Übertragung eingesetzte Systemkomponenten (wie z.B. darauf zu achten, dass die verwendete Server und Router) haben, übertragene Daten lesen Verschlüsselungstechnik und der dabei verwendete (Sniffen). Zudem besteht die Gefahr, dass durch die Verschlüsselungsalgorithmus sowie die Schlüssellänge unverschlüsselte Übertragung von Benutzernamen oder dem im Sicherheitskonzept vorgegebenen Grad an Passworten der Zugriff auf weitere Elemente des IT-Systems Informationssicherheit entspricht. oder Internet-Dienste ermöglicht wird. Durchgesetzt haben sich sog. hybride Verfahren, die eine Kombination zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren darstellen (bspw. Pretty Good Privacy für den E-Mail-Versand). Im Rahmen der browsergestützten kryptographischen Verfahren haben sich Verfahren unter Verwendung hierarchischer Zertifikate etabliert, wie bspw. SSL oder S/MIME. Beim Einsatz von kryptographischen Verfahren ist jedoch grundsätzlich zu beachten, dass Anforderungen an diese Verfahren einem stetigen technischen Wandel unterliegen. Darüber hinaus ist beim Einsatz von kryptographischen Verfahren zu berücksichtigen, dass nicht jedes Verfahren für jede E Commerce-Aktivität geeignet ist. So ist bspw. der Einsatz von symmetrischen Verfahren für den B2C-Einsatz ungeeignet, da der Schlüssel vor Aufnahme der Geschäftsbeziehung auf sicherem Weg (z.B. per Post) ausgetauscht werden muss. Zugriff auf Unternehmenssysteme von außen (siehe oben: Die Maßnahmen zum Schutz vor lesendem Zugriff sind Integrität). identisch mit denen zur Verhinderung von schreibendem Zugriff (vgl. Abschnitte Integrität und Unveränderlichkeit). Bei der Verwendung von Internet-Browsern werden In Abhängigkeit vom jeweiligen Sicherheitsniveau sind standardmäßig die Aktivitäten und Informationen über entsprechende Maßnahmen zu ergreifen (wie z.B. besuchte Web-Server in speziellen Dateien (z.B. Cache-, regelmäßiges Löschen) bzw. durch die Aktivierung Verlaufs-, Bookmarkdateien und Cookies) gespeichert, die entsprechender E-Commerce-systemseitigen Dokument: idw rs fait 2 Seite 22 von 37 Kommunikationsrisiken Anforderungen/Maßnahmen leicht und unbemerkt ausgelesen werden können. Sicherheitseinstellungen der Empfang von Cookiedateien von nicht autorisierten Anwendern zu unterbinden. Die von Internet-Browsern gespeicherten Benutzererkennungen und insbesondere Passwörter Benutzerkennungen und Passworte können unbemerkt dürfen weder durch den Internet-Browser noch im E- ausgelesen werden. Commerce- bzw. IT-System gespeichert sein, soweit nicht durch hinreichende Sicherheitsmaßnahmen ein unberechtigtes Auslesen verhindert werden kann. 2.4. Authentizität (13) Authentizität ist gegeben, wenn ein Geschäftsvorfall einem Verursacher eindeutig zuzuordnen ist. Dies kann bspw. über Berechtigungsverfahren geschehen. Beim elektronischen Datenaustausch ist die eindeutige Identifizierung des Partners, z.B. über Verfahren der qualifizierten elektronischen Signatur, grundsätzlich möglich. Hierzu kann die Nutzung unternehmensübergreifender oder unternehmensunabhängiger Stellen (z.B. Trust Center) vorteilhaft sein. (14) Bei fehlender Authentizität einer Person oder im Falle von automatisierten Geschäftsprozessen bei fehlender Authentizität des kommunizierenden E Commerce-Systems besteht die Gefahr, dass eine Transaktion nicht zuzuordnen und damit nicht nachvollziehbar ist und somit keine Verbindlichkeitswirkung entfalten kann. Kommunikationsrisiken Anforderungen/Maßnahmen Unberechtigte geben sich als Absender oder Die Verifikation kann beispielsweise auf folgende Arten erfolgen: Empfänger der Transaktion aus. durch elektronische Empfangsbestätigung durch Bestätigung über einen anderen Kommunikationsweg (z.B. Telefax) durch PIN-Codes oder codierte Transaktionsnummern (TAN) im Rahmen eines abgesicherten Anmeldeverfahrens sowie mit Hilfe digitaler Signaturen. Insbesondere durch digitale Signaturen kann die Urheberschaft und die Unverfälschtheit einer Nachricht (weitgehend) zweifelsfrei nachgewiesen werden. 2.5. Autorisierung (15) Autorisierung bedeutet, dass nur Berechtigte die Funktionen ausführen können, zu denen sie ermächtigt wurden, und dementsprechend im E Commerce-System abgebildet sind. Dies Dokument: idw rs fait 2 Seite 23 von 37 betrifft insbesondere das Lesen, Anlegen, Ändern und Löschen von Daten oder die Administration eines IT-Systems. Dadurch soll die Verarbeitung ausschließlich genehmigter Geschäftsvorfälle im System gewährleistet werden. (16) Im Rahmen komplexer E-Commerce-Geschäftsprozesse ist eine klassische Funktionstrennung unter Umständen nicht mehr gegeben. Ferner können Informationen auf den öffentlichen Kommunikationswegen von nicht autorisierten Personen gelesen bzw. geändert werden. Kommunikationsrisiken Anforderungen/Maßnahmen Nicht autorisierte Änderung/Manipulation der übertragenen Siehe Integrität. Daten. Nicht autorisierte Personen führen Transaktionen aus. Durch entsprechende Maßnahmen ist sicherzustellen, dass Transaktionen nur von autorisierten Personen durchgeführt werden können. Dies bedingt die eindeutige Feststellung der Identität (vgl. Authentizität) der Person und eine entsprechende Zuweisung der Rechte. Es findet ein unautorisierter (und in der Regel ändernder) Hierbei handelt es sich um eine Verletzung der Zugriff auf Daten oder Systemkomponenten, insb. Software Vertraulichkeit oder Integrität der Daten und des und Parameterdaten, statt. Systems. Es wird auf die entsprechenden Abschnitte in dieser Tabelle verwiesen. 2.6. Verbindlichkeit (17) Unter Verbindlichkeit wird die Eigenschaft von IT-gestützten Verfahren verstanden, gewollte Rechtsfolgen bindend herbeizuführen. Transaktionen dürfen nicht abstreitbar sein, weil beispielsweise der Geschäftsvorfall nicht gewollt ist. (18) Risiken beim Einsatz von E-Commerce sind insbesondere in der zunehmenden Anonymisierung der Partner und im Fehlen von physischen Belegen mit Autorisierungsmerkmalen (z.B. Unterschrift) zu sehen. Kommunikationsrisiken Anforderungen/Maßnahmen Es ist unklar, ob die durchgeführte Transaktion Es muss Klarheit darüber bestehen, auf welcher rechtlichen als rechtsverbindlich anzusehen ist. Grundlage die E Commerce-Transaktion stattfindet. Soweit für die Autorisierung und Rechtsverbindlichkeit erforderlich, sind die rechtlichen Grundlagen den Geschäftspartnern (Unternehmen oder auch Privatpersonen) zu kommunizieren. Bei der organisatorischen und inhaltlichen Ausgestaltung der ECommerce-Anwendung ist darauf zu achten, dass die genannten rechtlichen Grundlagen klar und zweifelsfrei beachtet werden und so Dokument: idw rs fait 2 Seite 24 von 37 Kommunikationsrisiken Anforderungen/Maßnahmen die Autorisierung und Rechtsverbindlichkeit sichergestellt sind. Fehlende physische Nachweise (Handelsbriefe) Der Empfänger von Transaktionen muss den Verbindlichkeitsgrad erschweren die Nachvollziehbarkeit der durch geeignete Verfahren verifizieren (z.B. durch Faxbestätigung, Transaktionen. vertraglich abgestimmte Verfahren oder allgemeine Rahmenabkommen etc.) oder das Risiko akzeptieren. Insbesondere eignen sich dazu digitale Signaturen. Hierdurch kann die Urheberschaft (und die Unverfälschtheit bzw. Integrität) einer Nachricht zweifelsfrei nachgewiesen werden. Die eingesetzten Signaturen sollten in Abhängigkeit vom Schutzbedürfnis von einer vertrauenswürdigen Zertifizierungsstelle (Trust Center) bestätigt sein. Vom Absender von verbindlichen Transaktionen sind Maßnahmen zu ergreifen (z.B. in Form von Autorisierungsprozeduren, Richtlinien zum Gebrauch von E-Mails, Richtlinien für die Anforderung von Rückbestätigungen), die sicherstellen, dass die gesendeten Transaktionen nachweisbar Verbindlichkeitswirkung entfalten. Die Ausgestaltung der eingesetzten Verfahren sowie die bei der Einrichtung zugrundeliegende Risikobeurteilung ist nachvollziehbar zu dokumentieren. 3. Ordnungsmäßigkeit 3.1. Vollständigkeit (19) Der Grundsatz der Vollständigkeit im Zusammenhang mit E-Commerce bezieht sich sowohl auf eine vollständige Übertragung der Daten vom Absender zum Empfänger als auch auf eine vollständige Erfassung und Verarbeitung der Daten bis hin zur Übergabe in das Rechnungslegungssystem. Dabei ist insbesondere sicherzustellen, dass alle rechnungslegungsrelevanten Geschäftsvorfälle erfasst und vollständig an die nachgelagerten Elemente des rechnungslegungsrelevanten IT-Systems übergeben werden. Kommunikationsrisiken Anforderungen/Maßnahmen Unvollständige bzw. fehlerhafte Datenerfassung. Die richtige Abbildung eines Geschäftsvorfalls setzt eine vollständige Datenerfassung des Empfängers voraus. Die Transaktionsdaten sind vor der Weiterverarbeitung sowohl auf der Client- als auch auf der Serverseite zu verifizieren. Soweit Daten auf einer Website erfasst werden, ist sicherzustellen, dass absenderseitig nur vollständig und richtig erfasste Transaktionen versendet Dokument: idw rs fait 2 Seite 25 von 37 Kommunikationsrisiken Anforderungen/Maßnahmen werden können. Ferner ist die Authentizität der Daten sowie fehlerhafte Dateneingabe vor der Weiterverarbeitung der Transaktion zu klären. Ist eine Klärung nicht möglich, ist die Transaktion abzulehnen. Daher ist durch geeignete IT-Kontrollmaßnahmen sicherzustellen, dass alle für einen Geschäftsvorfall notwendigen Daten vor der Verarbeitung der Transaktionsdaten überprüft werden. Nicht alle empfangenen Daten zu Geschäftsvorfällen werden Die Vollständigkeit der weiterzuverarbeitenden vollständig weiterverarbeitet. Insbesondere können sich Transaktionsdaten kann beispielsweise durch Probleme bei Übergabe der empfangenen Transaktionsdaten Prüfsummenverfahren und/oder Verschlüsselungs- in das Rechnungslegungssystem ergeben /Signaturverfahren überprüft werden. Die Schnittstellen (Schnittstellenproblematik). sind so zu konzipieren, dass Übergabefehler erkannt werden können. Dabei haben IT-Kontrollen die vollständige Verarbeitung (inkl. dem Ausschluss einer Doppelverarbeitung) zu gewährleisten und nachzuweisen. Nicht alle Transaktionen werden als solche erkannt. Diese Problematik kann beispielsweise bei der Transaktionsübermittlung via E-Mail auftreten, wenn z.B. die E-Mail als solche keine Transaktionsdaten enthält, diese aber im Anhang beigefügt wurden. Die Art und Weise der Transaktionsübermittlung ist eindeutig und im vorhinein festzulegen. Dabei ist sicherzustellen, dass keine Daten in das Rechnungslegungssystem Eingang finden, die nicht über die definierten Strecken, nach dem definierten Verfahren und der definierten Art übermittelt wurden. 3.2. Richtigkeit (20) Nach dem Grundsatz der Richtigkeit haben die Belege und Bücher die Geschäftsvorfälle inhaltlich zutreffend abzubilden. Die Geschäftsvorfälle müssen in Übereinstimmung mit den tatsächlichen Verhältnissen und im Einklang mit den rechtlichen Vorschriften abgebildet werden. (21) Die Anforderung der Richtigkeit stimmt im Bezug auf die Kommunikation mit den entsprechenden Sicherheitsanforderungen überein. (22) Die Anforderungen der Richtigkeit im Bezug auf die Verarbeitung betreffen die inhaltlich zutreffende Abbildung der Transaktionen, die zu Geschäftsvorfällen führen. Soweit Buchungen auf Grundlage von E-Commerce-Transaktionen automatisch generiert werden, muss auch in diesen Fällen der mit dem Beleggrundsatz verfolgte Zweck eingehalten werden. Damit sind Dokument: idw rs fait 2 Seite 26 von 37 auch für Transaktionen die inhaltlichen Mindestanforderungen für die Abbildung von Geschäftsvorfällen zu beachten [16]. (23) Geschäftsvorfälle gelten danach bereits als gebucht, wenn sie autorisiert und nach einem Ordnungsprinzip vollständig, richtig, zeitgerecht und verarbeitungsfähig im E-CommerceSystems erfasst und gespeichert werden und in ihrer Bearbeitung keinen weiteren Kontrollen mehr unterliegen. Daher sind bei der automatisierten Verarbeitung von E-CommerceTransaktionen eindeutige Autorisierungsverfahren festzulegen. (24) Im Rahmen der Autorisierungsverfahren ist eindeutig festzulegen, wann, wie und durch wen die Autorisierung erfolgte. Es ist dadurch sicherzustellen, dass keine unberechtigten und fiktiven Geschäftsvorfälle in das Rechnungslegungssystem eingehen. Verarbeitungsrisiken Anforderungen/Maßnahmen Fehlen sachgerechter Autorisierungsverfahren. Die automatisierten Autorisierungsverfahren müssen in organisatorischer und technischer Hinsicht eindeutig festgelegt sowie mittels verfahrensmäßiger Nachweise dokumentiert werden. Dabei sind die programminternen Vorschriften bezüglich der Freigabe darzustellen. Buchungspflichtige Geschäftsvorfälle gelten bereits vor der Soweit E-Commerce-Systeme von den gesetzlichen Übertragung ins Rechnungslegungssystem als gebucht. Vertretern in ihrer Wirkung auf die Buchführung autorisiert wurden, sind von diesem System die Grundsätze ordnungsmäßiger Buchführung insgesamt zu erfüllen, insbesondere muss die Beleg-, Journal- und Kontenfunktion gewährleistet werden. 3.3. Zeitgerechtheit (25) Die Zeitgerechtheit der Buchführung betrifft die Zuordnung der Geschäftsvorfälle zu Buchungsperioden sowie die Zeitnähe der Buchungen. Jeder Geschäftsvorfall ist der Buchungsperiode zuzuordnen, in der er angefallen ist. Zwingend ist die Zuordnung zum jeweiligen Geschäftsjahr oder zu einer nach Gesetz, Satzung oder Rechnungslegungszweck vorgeschriebenen kürzeren Rechnungsperiode. (26) Geschäftsvorfälle sind zeitnah, d.h. möglichst unmittelbar nach Entstehung des Geschäftsvorfalls zu erfassen. Bei zeitlichen Abständen zwischen der Entstehung eines Geschäftsvorfalls und seiner Erfassung sind geeignete Maßnahmen zur Sicherung der Vollständigkeit zu treffen. (27) Beim Einsatz von E-Commerce besteht insbesondere die Gefahr der falschen Periodenzuordnung, wenn Daten durch technische oder organisatorische Probleme nicht zeitgerecht gesendet bzw. empfangen sowie weiterverarbeitet werden können oder der Versand- bzw. Empfangszeitpunkt nicht eindeutig bestimmt werden können. Kommunikationsrisiken Dokument: idw rs fait 2 Anforderungen/Maßnahmen Seite 27 von 37 Kommunikationsrisiken Anforderungen/Maßnahmen Der Zeitpunkt des Versands einer Transaktionsmitteilung ist Der Zeitpunkt des Versands ist für jede Transaktion nicht eindeutig bestimmbar. eindeutig festzuhalten und zu dokumentieren. Dies kann durch die Verwendung eines Zeitstempels gemäß Signaturgesetz sichergestellt werden. Dabei ist zu gewährleisten, dass der Versandzeitpunkt in unveränderbarer Form festgehalten und dokumentiert wird. Zeitpunkt und Ort des Eingangs einer Transaktion sind nicht Neben dem Zeitpunkt ist auch der (technische) Ort, an (eindeutig) bestimmbar. dem eine Meldung eingeht, zu dokumentieren. Ein Zugang gilt spätestens dann als erfolgt, wenn die übersandten Daten maschinell in den Machtbereich des Empfängers gelangen. Dies ist regelmäßig der Zeitpunkt, an dem die Daten vom Front-End (Firewall) an das E-Commerce-System zur weiteren Verarbeitung übergeben wurden. Der eingehende Datenbestand stellt häufig einen "empfangenen Handelsbrief" dar. Das Zugangsdatum ist auch im Rahmen der Konvertierung weiter zu verarbeiten und vor Veränderungen zu schützen. Jeder Versand und Empfang einer Transaktion ist durch Log-Dateien zu dokumentieren. Hinsichtlich der Aufbewahrungsfristen gelten die entsprechenden gesetzlichen Bestimmungen in Bezug auf empfangene bzw. abgesandte Handelsbriefe (vgl. § 257 HGB). Verarbeitungsrisiken Anforderungen/Maßnahmen Transaktionsdaten werden nicht zeitgerecht in das In Fällen, in denen keine sofortige Übertragung der Rechnungslegungssystem übertragen. Transaktionsdaten in das Rechnungslegungssystem erfolgt, ist sicherzustellen, dass zwischengespeicherte Daten vollständig abgerufen und bis dahin vollständig vorgehalten werden. Dies ist durch entsprechende Vereinbarungen mit dem ISP sicherzustellen und nachweisbar zu überwachen. 3.4. Ordnung (28) Das Buchführungsverfahren muss gewährleisten, dass die Buchungen sowohl in zeitlicher Ordnung (Journalfunktion) als auch in sachlicher Ordnung (Kontenfunktion) dargestellt Dokument: idw rs fait 2 Seite 28 von 37 werden können. Die Buchungen bzw. die einzelnen Geschäftsvorfälle müssen innerhalb angemessener Zeit festgestellt und optisch lesbar gemacht werden können. (29) Im Rahmen des E-Commerce ergibt sich diese Forderung analog für die Konvertierung und die Verarbeitung der Daten in den E-Commerce-Anwendungen. So ist sicherzustellen, dass die versandten bzw. empfangenen Daten chronologisch aufgezeichnet werden sowie die sachliche Ordnung bei Transaktionen mit mehreren Transaktionsschritten gewahrt bleibt. (30) Die Erfüllung der Journalfunktion kann durch eine auswertbare Speicherung (Einzelnachweis) der Buchungen im E-Commerce-System mit der Übertragung von Sammelbuchungen in das Rechnungslegungssystem erfolgen. Voraussetzung dafür ist, dass im Rahmen des E-Commerce-Systems die Ordnungsmäßigkeitsanforderungen an die Buchführung eingehalten werden. Sofern keine Autorisierung im E-Commerce-System erfolgt, sind erfasste Daten als Erfassungsprotokolle und nicht als Journale einzustufen [17]. (31) Soweit nur Sammelbuchungen vom E-Commerce-System ins Rechnungslegungssystem übertragen werden, sind auch im Rahmen des E-Commerce-Systems die Ordnungsmäßigkeitsanforderungen an die Buchführung einzuhalten. Dazu sind neben der Dokumentation des Verfahrens Kontroll- und Abstimmungsverfahren erforderlich, mit denen die Identität der im E Commerce-System gespeicherten Buchungen mit denen in den Hauptund Nebenbüchern vorhandenen Buchungen gewährleistet und nachgewiesen werden kann. Verarbeitungsrisiken Anforderungen/Maßnahmen Die inhaltliche Ordnung ist gefährdet, wenn Transaktionen Es ist sicherzustellen, dass die einzelnen über mehrere Websites generiert und dabei unzutreffende Transaktionsschritte und deren Zusammenhang in Vorgänge nicht sachgerecht ausgegliedert werden. nachvollziehbarer Weise protokolliert und dokumentiert werden. 3.5. Nachvollziehbarkeit (32) Ein sachverständiger Dritter muss nach dem Grundsatz der Nachvollziehbarkeit in der Lage sein, sich in angemessener Zeit einen Überblick über die Geschäftsvorfälle und die Lage des Unternehmens zu verschaffen. Die Abwicklung des einzelnen Geschäftsvorfalls sowie des angewandten Buchführungs- bzw. Rechnungslegungsverfahrens müssen nachvollziehbar sein. Die Prüfbarkeit muss über die Dauer der Aufbewahrungsfrist gegeben sein. (33) Dies umfasst auch die zum Verständnis der Abläufe und Verfahren in den E CommerceProzessen erforderlichen Dokumentationen. Aufgrund weitgehender maschineller Abwicklung ohne zusätzliche manuelle Kontrollen und dem Fehlen von physischen Belegen sind an die Verfahrensdokumentation deutlich erhöhte Ansprüche zu stellen. Kommunikationsrisiken Anforderungen/Maßnahmen Daten gelangen über systemseitig nicht definierte Geschäftsprozesse, im Rahmen derer Transaktionsdaten Geschäftsprozesse in das Rechnungslegungssystem. verarbeitet werden, sind eindeutig und im Vorhinein zu definieren. Dabei ist sicherzustellen, dass keine Daten in die Rechnungslegung Eingang finden, die nicht über die Dokument: idw rs fait 2 Seite 29 von 37 Kommunikationsrisiken Anforderungen/Maßnahmen im Vorhinein festgelegten Strekken und Verfahren übermittelt wurden. ISP verändern einseitig Geschäftsprozessabläufe. Durch entsprechende vertragliche Regelungen ist sicherzustellen, dass unabgestimmte Änderungen der technischen Realisierung von Prozessabläufen seitens der ISP ausgeschlossen sind. Fehlen physischer Nachweise beim Einsatz von E-Commerce. Die einzelnen Geschäftsvorfälle sind durch die lückenlose Aufbewahrung der elektronischen Belege nachzuweisen. Um die Beweiskraft der empfangenen Daten sicherzustellen, müssen technische und organisatorische Vorkehrungen gewährleisten, dass ein Verlust oder eine Veränderung des Originalzustands der übermittelten Daten (Originaldaten) über den Zeitraum der gesetzlichen Aufbewahrungsfrist verhindert wird. Zu den Aufbewahrungspflichten bei dem Einsatz von Konvertierungs- bzw. Signatur- oder Verschlüsselungsverfahren vgl. Abschn. 5.4. Verarbeitungsrisiken Anforderungen/Maßnahmen Verfahren im Rahmen der Verarbeitung der empfangenen Die Verfahren sind analog den in IDW RS FAIT 1 Daten sind häufig nicht ausreichend dokumentiert. dargestellten Anforderungen zu dokumentieren. Es ist sicherzustellen, dass die Verfahren nur im Rahmen dokumentierter Vorgehensweisen und Abläufe geändert und freigegeben werden (siehe Unveränderlichkeit/Integrität). Es ist laufend zu prüfen, ob die eingesetzten Verfahren auch den dokumentierten Verfahren entsprechen. Eine eindeutige Referenzierung zwischen Buchung und Die Entwicklung der Daten über alle Verfahrensschritte zugrundeliegendem Geschäftsvorfall ist nicht gegeben. ist nachzuweisen. Die entsprechenden Zuordnungslogiken sind prüfbar zu dokumentieren und ihr Einsatz zeitpunkt- und zeitraumbezogen nachzuweisen. 3.6. Unveränderlichkeit (34) Nach dem Buchungszeitpunkt darf entsprechend dem Grundsatz der Unveränderlichkeit eine Eintragung oder Aufzeichnung nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist (§ 239 Abs. 3 Satz 2 HGB). Daher sind Dokument: idw rs fait 2 Seite 30 von 37 derartige Eintragungen oder Aufzeichnungen ausschließlich so vorzunehmen, dass sowohl der ursprüngliche Inhalt als auch die Tatsache, dass Veränderungen vorgenommen wurden, erkennbar bleiben. (35) Beim Einsatz von E-Commerce steht dieser Grundsatz - in Bezug auf die Kommunikation - in engem Zusammenhang mit der Unveränderlichkeit der Daten auf dem Übertragungsweg (Integrität). (36) Hinsichtlich der Verarbeitung ist insbesondere sicherzustellen, dass zur Sicherstellung der Beweiskraft empfangener Daten die eingesetzten Konvertierungs- und Entschlüsselungsverfahren, die Integrität der in eine lesbare Form überführten Daten, die Authentizität des verwendeten Schlüssels sowie die Unveränderlichkeit der im InhouseFormat gespeicherten Daten während der gesetzlichen Aufbewahrungsfrist gewährleistet werden. Kommunikationsrisiken Anforderungen/Maßnahmen Fehlen externer physischer Nachweise. Vergleiche Maßnahmen zur Nachvollziehbarkeit und Zeitgerechtigkeit. Anhang 2: Glossar Begriff Erläuterung Active-X Entwicklungstool für (dynamische) Internet-Anwendungen. Anwendungsprotokoll Software für Internet-Dienst (z.B. WWW). Asymmetrische Verschlüsselungsverfahren Verfahren, das mit einem Schlüsselpaar arbeitet, bestehend aus einem öffentlichen Schlüssel (Public Key), der an den Empfänger gegeben wird, und dem dazu passenden privaten Schlüssel (Private Key), der geheim gehalten wird. Daten, die mit einem der beiden Schlüssel verschlüsselt wurden, können nur mit dem jeweils anderen Schlüssel wieder entschlüsselt werden. Gängige Verfahren sind bspw. RSA. Available-to-promise-Applikation Anwendung zur Verfügbarkeitsabfrage (z.B. Waren) und zur Bestätigung von definierten Geschäftsvorgängen (z.B. Warenbestellung). Browsertechnologie Softwaretechnologie zur Anzeige der Internet-Dienste am Client. Java oder Active X sind z.B. Browsertechnologien. Dokument: idw rs fait 2 Seite 31 von 37 Begriff Erläuterung Cache-, Verlaufs-, Bookmarkdateien und Dateien, in die vom Browser Informationen über aufgerufene Web- Cookies Seiten (Server) gespeichert werden. Denial-of-Service-Attacks Angriffe auf das interne Netzwerk, um dieses lahm zu legen. Digitale Signatur Gemäß Signaturgesetz handelt es sich hierbei um ein mit einem privaten Signaturschlüssel erzeugtes Siegel zu digitalen Daten, das mit Hilfe eines zugehörigen öffentlichen Schlüssels den Inhaber des Signaturschlüssels und die Unverfälschtheit der Daten erkennen lässt. Zusätzlich kann die Signatur durch ein SignaturschlüsselZertifikat einer öffentlichen Zertifizierungsstelle bestätigt werden. DNS-Spoofing Angriffstechnik, bei der dem angegriffenen System eine gefälschte IP-Adresse übermittelt wird. Hinter der gefälschten IP-Adresse verbirgt sich der Rechner des Angreifers. EDI Electronic Data Interchange. Elektronischer Geschäftsverkehr zwischen Handelspartnern (Geschäftspartnern) auf der Basis von Standardformaten (z.B. EDIFACT). E-Mail Internet-Dienst zum Versenden von elektronischen Nachrichten. E-Procurement Internetbasierte Bestellabwicklung. ERP-Systeme Enterprise Ressource Planning Systeme. Integrierte Systeme zur operativen Unternehmensplanung und Unternehmenssteuerung einschließlich Rechnungslegung. Filter Bestandteil einer Firewall, der ankommende IP-Pakete einer Zulässigkeitsprüfung entweder weiterleitet oder blockiert. Firewall-System Einrichtung/Technik, die jedes IP-Paket untersucht und seine Ursprungsadresse feststellt. Nur IP-Pakete, deren Ursprungsadresse in einer genehmigten Liste verzeichnet sind, erhalten Zugang zum internen Netzwerk. Es gibt folgende Möglichkeiten der Filterung: Dokument: idw rs fait 2 Paket-Filter Circuit-Relays Application-Gateway. Seite 32 von 37 Begriff Erläuterung Front-End-Computer Client in einer Client-Server-Architektur. Gateway Verbindung zwischen zwei verschiedenen Netzwerktypen. Hacker Personen, die das Internet nutzen, um sich unautorisierten Zugriff auf ein IT-System (Rechnersystem) zu verschaffen. Hybride Verschlüsselungsverfahren Verfahren, das auf einer Kombination von symmetrischer und asymmetrischer Verschlüsselung beruht. Internet-Protokoll (IP) Methode, die die Kommunikation zwischen den Internetteilnehmern steuert. Hierzu erhält jeder an das Internet angeschlossene Computer seine (dauerhafte oder temporäre) IP-Adresse von einem Internet-Service-Provider. Internet-Server Rechner, über den die Internet-Dienste den Clients angeboten werden. Internet-Service-Provider (ISP) Es können folgende Internet-Service-Provider unterschieden werden: Zugangs-Provider, die lediglich den Internet-Zugang ermöglichen Network-Provider, die Netzwerke im Internet zur Verfügung stellen, z.B. auch Firmennetzwerke Web-Space-Provider, die ihren Kunden auf ihren Rechnern Speicherplatz für deren Web-Präsenz zur Verfügung stellen Content-Provider, die qualifizierte Informationen im Internet zur Verfügung stellen, z.B. Angebote für Recherchezwecke Online-Dienste, die über die genannten Dienstleistungen hinaus weitere Dienstleistungen, z.B. Portale, Unified Messaging, Chat, Foren etc., anbieten. Intrusion-Detection-Systeme Programme, die unerlaubte Zugriffe auf Ressourcen erkennen und melden. IP-Adresse Adresse eines Rechners, die aus einem Zahlencode besteht und zur Identifizierung eines Rechners im Internet dient. IP-Spoofing Angriffsverfahren, bei dem der Angreifer eine IP-Adresse eines anderen Rechners vortäuscht. Dokument: idw rs fait 2 Seite 33 von 37 Begriff Erläuterung Java Netzwerk-Programmiersprache. Kryptographische Verfahren Verschlüsselungsverfahren. Durch den Einsatz leistungsfähiger Verschlüsselungsverfahren und Techniken kann sowohl die Unveränderlichkeit der transportierten Nachricht als auch die Authentizität des Absenders sichergestellt werden. Diese können von rein Software-orientierten Verfahren bis hin zu einer Kombination von Software, Hardware (Dongles) und der Beteiligung Dritter ("Trusted Third Party") reichen. Log-Datei Datei, in der vordefinierte Aktionen, die am System durchgeführt wurden, protokolliert werden. Message-Digest Verfahren zur Integritätsprüfung anhand von Prüfsummen. Netzwerkarchitektur Aufbau/Struktur eines lokalen Netzwerks (LAN) oder Weitverkehrsnetzwerks (WAN). Penetration-Test Verfahren zur systematischen Simulation von Angriffen auf geschützte Systeme. PIN / TAN Es gibt Zugriffsschutzsysteme, die durch eine persönliche Identifikationsnummer (PIN) und eine Transaktionsnummer (TAN) die Zulässigkeit des Zugriffs verifizieren und ggf. abweisen. PKI Unter PKI (Public Key Infrastructure) wird die Gesamtheit aller technischen Einrichtungen und organisatorischen Maßnahmen zur elektronischen Verschlüsselung von Daten mittels eines öffentlichen (public) und eines privaten Schlüssels (private key) unter Einbeziehung einer Zertifizierungsstelle verstanden. Public Key / Private Key Schlüsselpaar, das im Rahmen von asymmetrischen Verschlüsselungsverfahren zum Einsatz kommt. Router Schnittstelle zwischen dem internen Netz und der Datenleitung zum ISP bzw. direkt zum Internet. Grundsätzlich dienen Router zur Verbindung verschiedener Netzwerke. S/Mime Secure Multipurpose Internet Mail Extension. Spezielles Übertragungsformat für E-Mails, das um kryptographische Funktionen Dokument: idw rs fait 2 Seite 34 von 37 Begriff Erläuterung erweitert wurde. Secure Socket Layer (SSL) Die Kommunikation von Client-Server-Anwendungen kann durch das Sicherheitsprotokoll SSL vor Abhörung, Manipulation und Fälschung geschützt werden. Service Level Agreement (SLA) Vertragliche Vereinbarungen über die Verfügbarkeit von IT-Diensten. Sniffen Mitlesen und Protokollieren des Datenverkehrs mit Hilfe von Programmen oder Geräten. Symmetrische Verschlüsselungsverfahren Austausch ein und desselben Schlüssels zwischen Sender und Empfänger. Der Sender verschlüsselt die zu übertragenden Daten mit dem vereinbarten Schlüssel, die nunmehr durch den Empfänger mittels desselben Schlüssels entschlüsselt werden kann. TCP/IP-Protokoll Transmission Control Protocol/Internet Protocol. Methoden zur Datenübertragung im Internet. Transportprotokoll Methode zur Datenübertragung im Internet. Es gibt diverse Übertragungsprotokolle. Eine Methode ist das TCP/IP-Protokoll. Trojanische Pferde Programme, die neben ihrer eigentlichen Funktion noch weitere für den Benutzer nicht ersichtliche Funktionen haben, wie beispielsweise das Auslesen von Passwörtern und deren Versand via E-Mail über das Internet an Dritte. Trust-Center Zentrale Vergabestelle von digitalen Signaturen bzw. Schlüsseln. Viren Programme, die auf den Rechner einer Person gelangen und dort Schäden von Datenverlusten bis hin zur physischen Zerstörung von Hardware verursachen. Virenscanner Programm, das Dateien auf vorhandene Viren untersucht und diese ggf. entfernt. XBRL Extensibel Business Reporting Language. International akzeptierter Standard für den Austausch, die Interpretation und die Darstellung finanzieller und nicht finanzieller Unternehmensinformationen. Basierend auf dem Internetstandard XML erlaubt XBRL die Erstellung Dokument: idw rs fait 2 Seite 35 von 37 Begriff Erläuterung sowie Veröffentlichung von strukturierten Dokumenten im Internet sowie deren systematische Auswertung und Weiterverarbeitung. XML Extended Markup Language. Internetstandard, der es ermöglicht, strukturierte Dokumente im Internet zu veröffentlichen und auszuwerten. Fußnoten: [1] Verabschiedet vom Fachausschuss für Informationstechnologie (FAIT) am 29.09.2003. [2] Vgl. IDW Prüfungsstandard: Die Durchführung von WebTrust-Prüfungen (IDW PS 890), Tz. 5, in: WPg 2001, S. 458 ff. [3] Vgl. in diesem Zusammenhang IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1), Tz. 7, in: WPg 2002, S. 1157 ff. [4] Vgl. WPg 1995, S. 168 ff. [5] Vgl. Stellungnahme FAMA 1/1979: Bundesdatenschutzgesetz und Jahresabschlussprüfung, in: WPg 1979, S. 440 ff. [6] Vgl. IDW RS FAIT 1, Tz. 19. [7] Vgl. IDW RS FAIT 1, Tz. 43. [8] Vgl. IDW RS FAIT 1, Tz. 52 ff. [9] Vgl. IDW Prüfungsstandard: Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340), Tz. 4, in: WPg 1999, S. 658 ff. [10] Vgl. IDW RS FAIT 1, Tz. 83. [11] Vgl. IDW RS FAIT 1, Tz. 85 ff. [12] Vgl. IDW RS FAIT 1, Tz. 93 ff. [13] Vgl. IDW Prüfungsstandard: Das interne Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260), Tz. 5 und 6, in: WPg 2001, S. 821 ff. [14] Vgl. IDW RS FAIT 1, Tz. 111. [15] Vgl. IDW RS FAIT 1, Tz. 113 ff. [16] Vgl. IDW RS FAIT 1, Tz. 33 ff. [17] Vgl. IDW RS FAIT 1, Tz. 43. Normen: HGB:238 HGB:239 HGB:257 HGB:239/4 HGB:257/1/2 HGB:257/1/3 HGB:257/1/4 HGB:257/3/1 HGB:257/4 Dokument: idw rs fait 2 Seite 36 von 37 Dokument: idw rs fait 2 Seite 37 von 37