{"id":1043,"date":"2026-02-12T09:27:29","date_gmt":"2026-02-12T08:27:29","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=1043"},"modified":"2026-02-12T09:28:03","modified_gmt":"2026-02-12T08:28:03","slug":"it-revision-und-gitc-in-kleinen-oeffentlichen-unternehmen","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2026\/02\/12\/it-revision-und-gitc-in-kleinen-oeffentlichen-unternehmen\/","title":{"rendered":"IT-Revision und GITC in kleinen \u00f6ffentlichen Unternehmen"},"content":{"rendered":"

IT-Revision im \u00f6ffentlichen Sektor: General IT Controls f\u00fcr kleine Unternehmen \u2013 Schluss mit \u201eOver-Auditing\u201c<\/strong><\/p>\n

Die digitale Transformation trifft kleine \u00f6ffentliche Unternehmen wie Stadtwerke, Zweckverb\u00e4nde oder Kultureinrichtungen mit voller Wucht. Sie verwalten kritische Infrastrukturen und sensible B\u00fcrgerdaten, verf\u00fcgen aber oft nur \u00fcber IT-Budgets und Personalst\u00e4rken auf dem Niveau des privaten Mittelstands. Der Artikel zeigt auf, wie die Interne Revision hier praxisnah pr\u00fcfen kann, ohne an der Realit\u00e4t kleiner Teams zu scheitern.<\/p>\n

Das Fundament: Warum \u201eGeneral IT Controls\u201c (GITC) unverzichtbar sind<\/h3>\n

Die GITC bilden die Basis f\u00fcr alle automatisierten Gesch\u00e4ftsprozesse und die Verl\u00e4sslichkeit der Rechnungslegung. Wenn dieses Fundament br\u00fcchig ist, sind auch alle darauf aufbauenden Anwendungskontrollen kompromittiert. F\u00fcr kleine Einheiten scheitern Standard-Checklisten aus der Privatwirtschaft jedoch oft, da sie entweder zu abstrakt sind oder Anforderungen stellen (z. B. strikte Funktionstrennung), die in einem Drei-Personen-IT-Team faktisch nicht umsetzbar sind.<\/p>\n

Die 5 Kernbereiche der GITC-Checkliste<\/h3>\n

Die Autoren stellen eine speziell f\u00fcr kleine \u00f6ffentliche Unternehmen entwickelte Checkliste vor:<\/p>\n

    \n
  1. Strategie & Governance:<\/strong> Besteht eine IT-Strategie, die den \u00f6ffentlichen Versorgungsauftrag (z. B. OZG-Anforderungen) unterst\u00fctzt? Wurde gepr\u00fcft, ob das Unternehmen unter die KRITIS-Verordnung f\u00e4llt?<\/li>\n
  2. Richtlinien & Compliance:<\/strong> Existieren Leitlinien zur Informationssicherheit (z. B. nach BSI WiBA) und werden Anforderungen zur Barrierefreiheit (BITV 2.0) ber\u00fccksichtigt?<\/li>\n
  3. Beschaffung & Dienstleister:<\/strong> Wird bei IT-Investitionen das Vergaberecht eingehalten? Bestehen klare Kontrollrechte der Revision gegen\u00fcber IT-Dienstleistern?<\/li>\n
  4. IT-Betrieb & Sicherheit:<\/strong> Hier stehen das Identit\u00e4tsmanagement (IAM), der Einsatz von Multi-Faktor-Authentifizierung (MFA) f\u00fcr Fernzugriffe und ein offline verf\u00fcgbares Backup im Fokus.<\/li>\n
  5. Anwendungen & Finanzen:<\/strong> Sind Schnittstellen f\u00fcr E-Rechnungen (XRechnung) getestet und wird bei Stammdaten\u00e4nderungen das Vier-Augen-Prinzip gewahrt?<\/li>\n<\/ol>\n

    Praxishinweise: Herausforderungen und L\u00f6sungen<\/h3>\n
      \n
    • Das SoD-Dilemma (Funktionstrennung):<\/strong> In kleinen Teams ist eine strikte Trennung oft unm\u00f6glich. Die Revision sollte hier nicht reflexhaft einen Mangel feststellen, sondern pr\u00fcfen, ob kompensierende, detektive Kontrollen<\/strong> (z. B. verst\u00e4rkter Management Oversight) etabliert sind.<\/li>\n
    • Der \u201eIT-K\u00fcmmerer\u201c als Risiko:<\/strong> Oft h\u00e4ngt die gesamte IT an einer einzigen Person. Die Revision muss hier die Existenz eines \u201eNotfall-Safes\u201c (Break-Glass Account)<\/strong> pr\u00fcfen, in dem Zugangsdaten f\u00fcr h\u00f6chste Privilegien (Dom\u00e4nen-Admin, Root-Passw\u00f6rter) physisch versiegelt oder digital im Vier-Augen-Prinzip hinterlegt sind.<\/li>\n
    • Schatten-IT entlarven:<\/strong> Um Umgehungen des komplexen Vergaberechts aufzudecken, sollte die Revision die Finanzbuchhaltung analysieren<\/strong>. Ein Scan von Kreditkartenabrechnungen nach Schlagworten wie \u201eAWS\u201c, \u201eDropbox\u201c oder \u201eZoom\u201c ist oft aufschlussreicher als jedes Interview.<\/li>\n
    • Die Outsourcing-Illusion:<\/strong> Viele Kommunen glauben, mit der Auslagerung an ein Rechenzentrum auch die Verantwortung delegiert zu haben. Doch die Verantwortung f\u00fcr Daten und Prozesse bleibt beim Auftraggeber; die Revision muss pr\u00fcfen, ob die \u201eSchnittstelle der Verantwortung\u201c<\/strong> im Service Level Agreement (SLA) sauber definiert ist.<\/li>\n<\/ul>\n

      Wenn in kleinen IT-Teams eine strikte Funktionstrennung (Segregation of Duties \u2013 SoD)<\/strong> aufgrund begrenzter personeller Ressourcen faktisch nicht umsetzbar ist, r\u00fccken kompensierende, detektive Kontrollen<\/strong> in den Fokus der Revision. Da das Management oft wei\u00df, dass eine pr\u00e4ventive Trennung (z. B. zwischen Programmierung und Betrieb) nicht m\u00f6glich ist, helfen folgende Ma\u00dfnahmen, das Risiko dennoch zu minimieren:<\/p>\n

        \n
      • Management Oversight:<\/strong> Dies ist die zentrale organisatorische detektive Kontrolle. Hierbei \u00fcberwacht die Gesch\u00e4ftsleitung oder eine \u00fcbergeordnete Instanz aktiv und nachweisbar die kritischen T\u00e4tigkeiten, um Missbrauch oder Fehler nachtr\u00e4glich zu identifizieren.<\/li>\n
      • Notfall-Safe (Break-Glass Account):<\/strong> Um das \u201eKopfmonopol\u201c einzelner Administratoren abzusichern, sollten Zugangsdaten f\u00fcr h\u00f6chste Privilegien (wie Dom\u00e4nen-Admin oder Root-Passw\u00f6rter) physisch versiegelt oder in einem digitalen Tresor hinterlegt werden. Der Zugriff darauf sollte nur nach dem Vier-Augen-Prinzip<\/strong> m\u00f6glich sein, sodass keine einzelne Person unkontrolliert kritische \u00c4nderungen vornehmen kann.<\/li>\n
      • Protokollierung und Monitoring:<\/strong> Eine l\u00fcckenlose Nachvollziehbarkeit von Zugriffen und System\u00e4nderungen ist essenziell. Durch regelm\u00e4\u00dfige Auswertungen dieser Protokolle (Monitoring) k\u00f6nnen unbefugte Handlungen erkannt werden.<\/li>\n
      • Kontrolle von Stammdaten\u00e4nderungen:<\/strong> Speziell bei sensiblen Prozessen, wie der \u00c4nderung von Bankverbindungen oder Kreditorenstammdaten, sollte ein Vier-Augen-Prinzip<\/strong> etabliert werden, bei dem \u00c4nderungen systematisch protokolliert und von einer zweiten Person kontrolliert werden.<\/li>\n
      • Rezertifizierungszyklen:<\/strong> Bestehende Rechte sollten in regelm\u00e4\u00dfigen Abst\u00e4nden \u00fcberpr\u00fcft und an ver\u00e4nderte Aufgabenprofile angepasst werden, um zu verhindern, dass sich im Laufe der Zeit zu viele (unvertr\u00e4gliche) Berechtigungen bei einer Person ansammeln.<\/li>\n<\/ul>\n

        Zusammenfassend sollte die Interne Revision eine fehlende technische Funktionstrennung nur dann akzeptieren, wenn solche organisatorischen detektiven Kontrollen<\/strong> nachweisbar sind und effektiv greifen.<\/p>\n

        Um Schatten-IT effektiv aufzudecken, sollte die Revision nicht nur Interviews mit der IT-Leitung f\u00fchren, sondern gezielt die Finanzbuchhaltung analysieren<\/strong>.<\/p>\n

        Da offizielle Beschaffungsprozesse \u2013 insbesondere im \u00f6ffentlichen Sektor \u2013 oft als langwierig und komplex wahrgenommen werden, weichen Fachabteilungen h\u00e4ufig auf informelle Wege aus, um schnell einsatzbereite L\u00f6sungen (SaaS) zu erhalten. Die Pr\u00fcfung durch die Revision erfolgt dabei \u00fcber folgende Schritte:<\/p>\n

          \n
        • Analyse von Zahlungsstr\u00f6men:<\/strong> Ein effektiver IT-Revisor scannt die Kreditkartenabrechnungen<\/strong> und Spesenkonten<\/strong> des Unternehmens.<\/li>\n
        • Gezielte Schlagwortsuche:<\/strong> Die Buchhaltungsdaten werden nach spezifischen Schlagworten typischer Cloud- und Softwareanbieter durchsucht. Zu den im Artikel genannten Beispielen geh\u00f6ren \u201eAWS\u201c, \u201eDropbox\u201c, \u201eAdobe\u201c, \u201eMiro\u201c und \u201eZoom\u201c<\/strong>.<\/li>\n
        • Aufdeckung von Umgehungen:<\/strong> Dieser prozessfremde Blickwinkel deckt oft deutlich mehr Risiken und nicht autorisierte Anwendungen auf als klassische Befragungen der IT-Verantwortlichen, da diese L\u00f6sungen am offiziellen IT-Management vorbei gebucht wurden.<\/li>\n<\/ul>\n

          Dieser Ansatz ist besonders in Organisationen sinnvoll, in denen die Fachbereiche unter hohem Innovationsdruck stehen und die zentrale IT als zu langsam wahrnehmen.<\/p>\n

          Ein wirksames Notfallkonzept f\u00fcr den Ausfall eines sogenannten \u201eIT-K\u00fcmmerers\u201c<\/strong> muss vor allem das bestehende \u201eKopfmonopol\u201c<\/strong> und die exklusiven Zugriffsrechte dieser Person absichern, da sie in kleinen Einheiten oft einen Single Point of Failure<\/strong> darstellt. F\u00e4llt dieser Administrator durch Krankheit, Unfall oder K\u00fcndigung aus, droht ohne Vorsorge ein Stillstand des gesamten Betriebs.<\/p>\n

          Ein zentraler Bestandteil eines solchen Konzepts ist der \u201eNotfall-Safe\u201c (Break-Glass-Account)<\/strong>. Hierbei sind folgende Punkte zu beachten:<\/p>\n

            \n
          • Hinterlegung h\u00f6chster Privilegien:<\/strong> Die Zugangsdaten f\u00fcr die kritischsten Systembereiche (z. B. Dom\u00e4nen-Admin, Root-Passw\u00f6rter f\u00fcr Hypervisor oder Firewall) m\u00fcssen sicher hinterlegt sein.<\/li>\n
          • Sichere Verwahrung:<\/strong> Die Hinterlegung kann physisch in einem versiegelten Umschlag<\/strong> in einem Tresor (beispielsweise beim B\u00fcrgermeister oder Werkleiter) oder in einem digitalen Tresor<\/strong> erfolgen.<\/li>\n
          • Vier-Augen-Prinzip:<\/strong> Bei einer digitalen L\u00f6sung muss der Zugriff zwingend \u00fcber ein Vier-Augen-Prinzip<\/strong> gesch\u00fctzt sein, um unkontrollierte Alleing\u00e4nge zu verhindern.<\/li>\n
          • Dokumentation und Tests:<\/strong> Neben der reinen Passwort-Hinterlegung muss ein allgemeines Notfallkonzept f\u00fcr den Betrieb<\/strong> bei Ausfall kritischer Systeme existieren. Die Revision sollte zudem pr\u00fcfen, ob die Wiederherstellung kritischer Systeme regelm\u00e4\u00dfig erfolgreich getestet und protokolliert wird.<\/li>\n<\/ul>\n

            Die Interne Revision hat hierbei die Aufgabe, \u00fcber oberfl\u00e4chliche Vertretungsregelungen hinauszuschauen und die tats\u00e4chliche Existenz und Nutzbarkeit dieses \u201eNotfall-Safes\u201c aktiv zu pr\u00fcfen.<\/p>\n

            Fazit:<\/strong> Eine effektive GITC-Pr\u00fcfung in kleinen \u00f6ffentlichen Einheiten erfordert Augenma\u00df. Sie darf nicht nur eine Checkliste abarbeiten, sondern muss die regulatorische Realit\u00e4t des \u00f6ffentlichen Rechts und die operativen Zw\u00e4nge respektieren, um ein strategischer Partner der Gesch\u00e4ftsleitung zu sein.<\/p>\n","protected":false},"excerpt":{"rendered":"

            IT-Revision im \u00f6ffentlichen Sektor: General IT Controls f\u00fcr kleine Unternehmen \u2013 Schluss mit \u201eOver-Auditing\u201c Die…<\/p>\n","protected":false},"author":1,"featured_media":654,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-1043","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1043","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=1043"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1043\/revisions"}],"predecessor-version":[{"id":1044,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1043\/revisions\/1044"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/654"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=1043"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=1043"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=1043"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}