close up photo of mining rig
Photo by panumas nikhomkhai on Pexels.com
Posted inIT Audit / Compliance / Security

IT-Revision und GITC in kleinen öffentlichen Unternehmen

IT-Revision im öffentlichen Sektor: General IT Controls für kleine Unternehmen – Schluss mit „Over-Auditing“

Die digitale Transformation trifft kleine öffentliche Unternehmen wie Stadtwerke, Zweckverbände oder Kultureinrichtungen mit voller Wucht. Sie verwalten kritische Infrastrukturen und sensible Bürgerdaten, verfügen aber oft nur über IT-Budgets und Personalstärken auf dem Niveau des privaten Mittelstands. Der Artikel zeigt auf, wie die Interne Revision hier praxisnah prüfen kann, ohne an der Realität kleiner Teams zu scheitern.

Das Fundament: Warum „General IT Controls“ (GITC) unverzichtbar sind

Die GITC bilden die Basis für alle automatisierten Geschäftsprozesse und die Verlässlichkeit der Rechnungslegung. Wenn dieses Fundament brüchig ist, sind auch alle darauf aufbauenden Anwendungskontrollen kompromittiert. Für kleine Einheiten scheitern Standard-Checklisten aus der Privatwirtschaft jedoch oft, da sie entweder zu abstrakt sind oder Anforderungen stellen (z. B. strikte Funktionstrennung), die in einem Drei-Personen-IT-Team faktisch nicht umsetzbar sind.

Die 5 Kernbereiche der GITC-Checkliste

Die Autoren stellen eine speziell für kleine öffentliche Unternehmen entwickelte Checkliste vor:

  1. Strategie & Governance: Besteht eine IT-Strategie, die den öffentlichen Versorgungsauftrag (z. B. OZG-Anforderungen) unterstützt? Wurde geprüft, ob das Unternehmen unter die KRITIS-Verordnung fällt?
  2. Richtlinien & Compliance: Existieren Leitlinien zur Informationssicherheit (z. B. nach BSI WiBA) und werden Anforderungen zur Barrierefreiheit (BITV 2.0) berücksichtigt?
  3. Beschaffung & Dienstleister: Wird bei IT-Investitionen das Vergaberecht eingehalten? Bestehen klare Kontrollrechte der Revision gegenüber IT-Dienstleistern?
  4. IT-Betrieb & Sicherheit: Hier stehen das Identitätsmanagement (IAM), der Einsatz von Multi-Faktor-Authentifizierung (MFA) für Fernzugriffe und ein offline verfügbares Backup im Fokus.
  5. Anwendungen & Finanzen: Sind Schnittstellen für E-Rechnungen (XRechnung) getestet und wird bei Stammdatenänderungen das Vier-Augen-Prinzip gewahrt?

Praxishinweise: Herausforderungen und Lösungen

  • Das SoD-Dilemma (Funktionstrennung): In kleinen Teams ist eine strikte Trennung oft unmöglich. Die Revision sollte hier nicht reflexhaft einen Mangel feststellen, sondern prüfen, ob kompensierende, detektive Kontrollen (z. B. verstärkter Management Oversight) etabliert sind.
  • Der „IT-Kümmerer“ als Risiko: Oft hängt die gesamte IT an einer einzigen Person. Die Revision muss hier die Existenz eines „Notfall-Safes“ (Break-Glass Account) prüfen, in dem Zugangsdaten für höchste Privilegien (Domänen-Admin, Root-Passwörter) physisch versiegelt oder digital im Vier-Augen-Prinzip hinterlegt sind.
  • Schatten-IT entlarven: Um Umgehungen des komplexen Vergaberechts aufzudecken, sollte die Revision die Finanzbuchhaltung analysieren. Ein Scan von Kreditkartenabrechnungen nach Schlagworten wie „AWS“, „Dropbox“ oder „Zoom“ ist oft aufschlussreicher als jedes Interview.
  • Die Outsourcing-Illusion: Viele Kommunen glauben, mit der Auslagerung an ein Rechenzentrum auch die Verantwortung delegiert zu haben. Doch die Verantwortung für Daten und Prozesse bleibt beim Auftraggeber; die Revision muss prüfen, ob die „Schnittstelle der Verantwortung“ im Service Level Agreement (SLA) sauber definiert ist.

Wenn in kleinen IT-Teams eine strikte Funktionstrennung (Segregation of Duties – SoD) aufgrund begrenzter personeller Ressourcen faktisch nicht umsetzbar ist, rücken kompensierende, detektive Kontrollen in den Fokus der Revision. Da das Management oft weiß, dass eine präventive Trennung (z. B. zwischen Programmierung und Betrieb) nicht möglich ist, helfen folgende Maßnahmen, das Risiko dennoch zu minimieren:

  • Management Oversight: Dies ist die zentrale organisatorische detektive Kontrolle. Hierbei überwacht die Geschäftsleitung oder eine übergeordnete Instanz aktiv und nachweisbar die kritischen Tätigkeiten, um Missbrauch oder Fehler nachträglich zu identifizieren.
  • Notfall-Safe (Break-Glass Account): Um das „Kopfmonopol“ einzelner Administratoren abzusichern, sollten Zugangsdaten für höchste Privilegien (wie Domänen-Admin oder Root-Passwörter) physisch versiegelt oder in einem digitalen Tresor hinterlegt werden. Der Zugriff darauf sollte nur nach dem Vier-Augen-Prinzip möglich sein, sodass keine einzelne Person unkontrolliert kritische Änderungen vornehmen kann.
  • Protokollierung und Monitoring: Eine lückenlose Nachvollziehbarkeit von Zugriffen und Systemänderungen ist essenziell. Durch regelmäßige Auswertungen dieser Protokolle (Monitoring) können unbefugte Handlungen erkannt werden.
  • Kontrolle von Stammdatenänderungen: Speziell bei sensiblen Prozessen, wie der Änderung von Bankverbindungen oder Kreditorenstammdaten, sollte ein Vier-Augen-Prinzip etabliert werden, bei dem Änderungen systematisch protokolliert und von einer zweiten Person kontrolliert werden.
  • Rezertifizierungszyklen: Bestehende Rechte sollten in regelmäßigen Abständen überprüft und an veränderte Aufgabenprofile angepasst werden, um zu verhindern, dass sich im Laufe der Zeit zu viele (unverträgliche) Berechtigungen bei einer Person ansammeln.

Zusammenfassend sollte die Interne Revision eine fehlende technische Funktionstrennung nur dann akzeptieren, wenn solche organisatorischen detektiven Kontrollen nachweisbar sind und effektiv greifen.

Um Schatten-IT effektiv aufzudecken, sollte die Revision nicht nur Interviews mit der IT-Leitung führen, sondern gezielt die Finanzbuchhaltung analysieren.

Da offizielle Beschaffungsprozesse – insbesondere im öffentlichen Sektor – oft als langwierig und komplex wahrgenommen werden, weichen Fachabteilungen häufig auf informelle Wege aus, um schnell einsatzbereite Lösungen (SaaS) zu erhalten. Die Prüfung durch die Revision erfolgt dabei über folgende Schritte:

  • Analyse von Zahlungsströmen: Ein effektiver IT-Revisor scannt die Kreditkartenabrechnungen und Spesenkonten des Unternehmens.
  • Gezielte Schlagwortsuche: Die Buchhaltungsdaten werden nach spezifischen Schlagworten typischer Cloud- und Softwareanbieter durchsucht. Zu den im Artikel genannten Beispielen gehören „AWS“, „Dropbox“, „Adobe“, „Miro“ und „Zoom“.
  • Aufdeckung von Umgehungen: Dieser prozessfremde Blickwinkel deckt oft deutlich mehr Risiken und nicht autorisierte Anwendungen auf als klassische Befragungen der IT-Verantwortlichen, da diese Lösungen am offiziellen IT-Management vorbei gebucht wurden.

Dieser Ansatz ist besonders in Organisationen sinnvoll, in denen die Fachbereiche unter hohem Innovationsdruck stehen und die zentrale IT als zu langsam wahrnehmen.

Ein wirksames Notfallkonzept für den Ausfall eines sogenannten „IT-Kümmerers“ muss vor allem das bestehende „Kopfmonopol“ und die exklusiven Zugriffsrechte dieser Person absichern, da sie in kleinen Einheiten oft einen Single Point of Failure darstellt. Fällt dieser Administrator durch Krankheit, Unfall oder Kündigung aus, droht ohne Vorsorge ein Stillstand des gesamten Betriebs.

Ein zentraler Bestandteil eines solchen Konzepts ist der „Notfall-Safe“ (Break-Glass-Account). Hierbei sind folgende Punkte zu beachten:

  • Hinterlegung höchster Privilegien: Die Zugangsdaten für die kritischsten Systembereiche (z. B. Domänen-Admin, Root-Passwörter für Hypervisor oder Firewall) müssen sicher hinterlegt sein.
  • Sichere Verwahrung: Die Hinterlegung kann physisch in einem versiegelten Umschlag in einem Tresor (beispielsweise beim Bürgermeister oder Werkleiter) oder in einem digitalen Tresor erfolgen.
  • Vier-Augen-Prinzip: Bei einer digitalen Lösung muss der Zugriff zwingend über ein Vier-Augen-Prinzip geschützt sein, um unkontrollierte Alleingänge zu verhindern.
  • Dokumentation und Tests: Neben der reinen Passwort-Hinterlegung muss ein allgemeines Notfallkonzept für den Betrieb bei Ausfall kritischer Systeme existieren. Die Revision sollte zudem prüfen, ob die Wiederherstellung kritischer Systeme regelmäßig erfolgreich getestet und protokolliert wird.

Die Interne Revision hat hierbei die Aufgabe, über oberflächliche Vertretungsregelungen hinauszuschauen und die tatsächliche Existenz und Nutzbarkeit dieses „Notfall-Safes“ aktiv zu prüfen.

Fazit: Eine effektive GITC-Prüfung in kleinen öffentlichen Einheiten erfordert Augenmaß. Sie darf nicht nur eine Checkliste abarbeiten, sondern muss die regulatorische Realität des öffentlichen Rechts und die operativen Zwänge respektieren, um ein strategischer Partner der Geschäftsleitung zu sein.