Das große Kompendium für IT-Audit und Governance im DACH-Raum

Ein umfassender Leitfaden für Auditoren, CISOs und Vorstände zur Bewältigung der regulatorischen Komplexität in Deutschland, Österreich und der Schweiz.

1. Prolog: Warum IT-Audit eine Frage des Überlebens ist

Das Narrativ des IT-Audits hat sich fundamental gewandelt. Was einst als lästige Pflichtübung der IT-Abteilung galt – das Abhaken von Checklisten für Firewalls und Backups – ist heute in den Fokus der Unternehmensführung gerückt. Der Grund dafür ist trivial und erschreckend zugleich: Die Abhängigkeit der Wertschöpfung von der Informationstechnologie ist total. In einer Zeit, in der ein einzelner Ransomware-Angriff nicht nur Server verschlüsselt, sondern ganze Lieferketten zum Erliegen bringt und die Existenz von Unternehmen vernichtet, ist das IT-Audit die letzte Verteidigungslinie vor dem Chaos.

IT-Governance ist heute Corporate Governance. Ein Aufsichtsrat, der die IT-Sicherheit nicht prüft, handelt grob fahrlässig. Ein Vorstand, der kein funktionierendes Internes Kontrollsystem (IKS) nachweisen kann, steht mit einem Bein in der privaten Haftung. Das IT-Audit (Information Technology Audit) ist der methodische Prozess, mit dem Organisationen die Wirksamkeit ihrer Kontrollmechanismen validieren.

1.1 Die Definition des modernen IT-Audits

Ein IT-Audit ist die unabhängige, objektive Prüfung der IT-Infrastruktur, der Anwendungen, der Datennutzung und der Management-Prozesse. Es beantwortet drei Kardinalfragen:

  • Effektivität: Tun die IT-Systeme das, was das Business benötigt, um Geld zu verdienen?
  • Sicherheit & Compliance: Sind die Daten vor Diebstahl geschützt und werden Gesetze (DSGVO/DSG, HGB, OR) eingehalten?
  • Effizienz: Werden Ressourcen (Hardware, Lizenzen, Personal) wirtschaftlich eingesetzt?
Deep Dive: Die Organhaftung im DACH-Raum Das Risiko ist real. In allen drei Ländern haben Gesetzgeber die Pflichten der Leitungsorgane (Vorstand, Geschäftsführer, Verwaltungsrat) geschärft. Wer IT-Risiken ignoriert, haftet persönlich.

Deutschland: Gemäß § 93 AktG und § 43 GmbHG muss die Geschäftsleitung die Sorgfalt eines "ordentlichen und gewissenhaften Geschäftsleiters" anwenden. Dazu gehört zwingend ein Risikofrüherkennungssystem (§ 91 AktG). Fehlt ein IT-Audit und entsteht ein Schaden (z.B. Cyber-Hack), liegt oft eine Beweislastumkehr vor: Der Manager muss beweisen, dass er sorgfältig war.

Schweiz: Der Art. 717 OR (Obligationenrecht) verlangt unübertragbare und unentziehbare Aufgaben des Verwaltungsrates, darunter die Oberaufsicht. Art. 728a OR schreibt für größere Unternehmen explizit die Prüfung der Existenz eines IKS vor.

Österreich: Auch hier normieren § 25 GmbHG und § 84 AktG die Sorgfaltspflicht. Verstöße gegen die DSGVO oder die kommende NIS2-Richtlinie können Regressansprüche des Unternehmens gegen das eigene Management auslösen.

2. Recht & Compliance: Der Fokus Deutschland

DEUTSCHLAND

Deutschland gilt weltweit als einer der am stärksten regulierten Märkte für IT-Sicherheit. Das Zusammenspiel aus Handelsrecht, Steuerrecht und spezifischen IT-Sicherheitsgesetzen schafft ein komplexes "Compliance-Gitter".

2.1 GoBD: Die steuerliche IT-Prüfung

Jedes Unternehmen, das in Deutschland steuerpflichtig ist, muss die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) einhalten. Ein IT-Audit muss sicherstellen, dass:

  • Unveränderbarkeit: Eine Buchung darf nicht nachträglich spurlos geändert werden (Log-Files, Festschreibung).
  • Zeitgerechtigkeit: Geschäftsvorfälle müssen zeitnah erfasst werden.
  • Verfahrensdokumentation: Es muss eine technische Dokumentation existieren, die beschreibt, *wie* die IT-Systeme (z.B. SAP, DATEV) funktionieren und wie Belege digitalisiert werden (Scannen).

Fehlt diese Prüfung, darf das Finanzamt die Buchführung verwerfen und Umsätze schätzen – oft existenzbedrohend.

2.2 KRITIS & BSI-Gesetz

Für Betreiber Kritischer Infrastrukturen (Energie, Wasser, Ernährung, Finanzen, Gesundheit, Transport) gilt das IT-Sicherheitsgesetz 2.0. Diese Unternehmen müssen alle zwei Jahre ein Audit nach § 8a BSIG durchführen lassen. Dabei prüft der Auditor, ob der "Stand der Technik" eingehalten wird. Mängel müssen direkt an das BSI (Bundesamt für Sicherheit in der Informationstechnik) gemeldet werden.

2.3 Das Lieferkettengesetz (LkSG)

Ein neuer Aspekt im IT-Audit ist das LkSG. IT-Systeme müssen nun auch daraufhin geprüft werden, ob sie Transparenz in der Lieferkette schaffen können und ob Lieferanten (3rd Party Risk Management) ebenfalls IT-Sicherheitsstandards einhalten, um Ausfälle in der Kette zu verhindern.

3. Recht & Compliance: Der Fokus Schweiz

SCHWEIZ

Die Schweiz verfolgt traditionell einen prinzipienbasierten Ansatz ("Comply or Explain"), der jedoch durch das neue Datenschutzgesetz und die strenge Finanzmarktaufsicht deutlich verschärft wurde.

3.1 Das revidierte Datenschutzgesetz (revDSG / nDSG)

Seit dem 1. September 2023 ist das neue Datenschutzgesetz in Kraft. Es harmonisiert das Schweizer Recht weitgehend mit der EU-DSGVO, enthält aber einen entscheidenden "Swiss Finish": Die strafrechtliche Sanktionierung von natürlichen Personen.

Achtung, Führungskräfte: Werden vorsätzlich falsche Auskünfte erteilt oder die Datensicherheit (Art. 8 revDSG) missachtet, drohen Bussen bis zu 250.000 CHF. Diese Busse zahlt nicht die Firma, sondern die Privatperson (CISO, CIO, Verwaltungsrat).
Ein IT-Audit, das die "Technischen und Organisatorischen Massnahmen" (TOMs) validiert, ist daher die wichtigste Versicherungspolice für Führungskräfte, um im Fall eines Datenlecks nachzuweisen, dass sie nicht fahrlässig gehandelt haben.

3.2 FINMA: Der Goldstandard für Banken & Versicherungen

Die Eidgenössische Finanzmarktaufsicht (FINMA) setzt weltweite Maßstäbe. Relevant sind vor allem:

  • FINMA Rundschreiben "Operationelle Risiken und Resilienz" (ehemals 2008/21): Banken müssen ihre Cyber-Risiken nicht nur managen, sondern quantifizieren. Das IT-Audit prüft hier die CIA-Triade (Confidentiality, Integrity, Availability) der kritischen Assets (CID - Client Identifying Data).
  • Outsourcing (2018/3): Wenn eine Schweizer Bank Cloud-Dienste (Azure/AWS) nutzt, muss das IT-Audit sicherstellen, dass die Bank jederzeit die Kontrolle behält und im Notfall den Provider wechseln kann (Exit-Strategie).

3.3 IKS-Pflicht nach OR

Nach Art. 728a OR muss die Revisionsstelle bei ordentlich revidierten Unternehmen (Börsennotierte, große AGs) die "Existenz des Internen Kontrollsystems" prüfen. Da Buchhaltung heute zu 100% IT-basiert ist, ist diese Gesetzesprüfung faktisch ein IT-Audit der Finanzsysteme (IT General Controls - ITGC).

4. Recht & Compliance: Der Fokus Österreich

ÖSTERREICH

Österreich ist stark in das EU-Recht eingebunden, hat aber spezifische nationale Ausprägungen, insbesondere im E-Government und Steuerrecht.

4.1 RKS-V (Registrierkassensicherheitsverordnung)

Ein spezifisches österreichisches Audit-Thema ist die Sicherheit von Kassensystemen. Diese müssen über eine Signaturerstellungseinheit verfügen, die jeden Umsatz kryptografisch signiert und im Datenerfassungsprotokoll speichert. IT-Auditoren prüfen hier die Unversehrtheit des Siegels und die korrekte Anbindung an FinanzOnline.

4.2 NISG (Netz- und Informationssystemsicherheitsgesetz)

Das österreichische NISG setzt die EU-Vorgaben um. Es verpflichtet Betreiber wesentlicher Dienste zu Sicherheitsvorkehrungen und Meldungen von Vorfällen an das CERT.at. Mit der Einführung von NIS2 wird dieses Gesetz massiv erweitert werden.

5. Die Europäische Dimension: NIS2, DORA und der AI Act

EUROPEAN UNION

Unabhängig vom nationalen Sitz müssen Unternehmen im DACH-Raum (auch die Schweiz durch den "Brussels Effect" und Marktverflechtungen) die neuen EU-Verordnungen beachten.

5.1 NIS2: Die Ausweitung der Betreiberpflichten

Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen drastisch. Neben Energie und Verkehr sind nun auch Abfallwirtschaft, Lebensmittelproduktion, Postdienste und Chemie betroffen.
Audit-Implikation: Die Geschäftsleitung wird erstmals gesetzlich verpflichtet, Schulungen wahrzunehmen und haftet für die Umsetzung der Risikomanagementmaßnahmen. Auditoren müssen prüfen, ob die "Supply Chain Security" gewährleistet ist.

5.2 DORA (Digital Operational Resilience Act)

Speziell für den Finanzsektor. DORA harmonisiert die Regeln für IKT-Risiken.
Das Novum: DORA führt ein Überwachungsrahmenwerk für kritische IKT-Drittdienstleister (z.B. Cloud-Provider) ein. Banken müssen "Threat-Led Penetration Testing" (TLPT) durchführen – also Audits, die echte Hackerangriffe simulieren (Red Teaming).

5.3 EU AI Act (KI-Verordnung)

Die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Sie teilt KI in Risikoklassen ein.
Audit-Fokus: Für "Hochrisiko-KI" (z.B. Scoring bei Kreditvergabe, HR-Software) ist ein Konformitätsbewertungsverfahren Pflicht. Auditoren müssen prüfen: Datenqualität (Bias), Transparenz, menschliche Aufsicht und Robustheit gegen Angriffe.

6. Frameworks: Das Rüstzeug des Auditors

Ein Audit ohne Standard ist nur eine Meinung. Um Objektivität zu gewährleisten, nutzen professionelle Prüfer im DACH-Raum etablierte Frameworks.

6.1 COBIT 2019 (Control Objectives for Information and Related Technologies)

COBIT ist das "Dach-Framework". Es verbindet die Unternehmensziele mit der IT. Es ist besonders stark darin, zu definieren, *was* kontrolliert werden muss, nicht *wie* technisch. Es eignet sich hervorragend für das IT-Governance-Audit auf C-Level-Ebene.

6.2 ISO/IEC 27001:2022

Der weltweite Standard für Informationssicherheits-Managementsysteme (ISMS). Ein ISO-Audit prüft nicht nur Technik, sondern den PDCA-Zyklus (Plan-Do-Check-Act).
Neuerungen 2022: Die Controls wurden von 114 auf 93 reduziert und in 4 Themenbereiche gegliedert. Neu sind Controls für Threat Intelligence, Cloud Security und Data Masking. Für DACH-Unternehmen ist die Zertifizierung oft Voraussetzung für Aufträge.

6.3 ITIL 4 (IT Infrastructure Library)

Während ISO die Sicherheit prüft, prüft ITIL die Qualität des Service Managements. Ein ITIL-Audit fragt: Funktioniert der Service Desk? Werden Changes (Änderungen) sauber getestet, bevor sie live gehen? Wie wird ein Incident (Störung) bearbeitet?

7. Die Prüfungsstandards der Wirtschaftsprüfer (IDW & ISAE)

Wenn Wirtschaftsprüfer (KPMG, EY, PwC, Deloitte oder mittelständische Kanzleien) prüfen, nutzen sie spezifische Standards, die im DACH-Raum hohe Autorität genießen.

IDW PS 330: Abschlussprüfung bei Einsatz von IT Dieser Standard ist in Deutschland bindend für die Jahresabschlussprüfung. Er unterteilt sich in:
  • ITGC (General Controls): Generelle Kontrollen (Zugriffsrechte, Programmentwicklung, Rechenzentrumsbetrieb). Wenn hier Fehler gefunden werden, kann man sich auf kein System verlassen.
  • Application Controls: Anwendungskontrollen. Rechnet das System die Mehrwertsteuer richtig? Funktionieren Plausibilitätsprüfungen?

IDW PS 880: Softwaretestat

Softwarehersteller lassen ihre Produkte (z.B. ERP, Archivierung) nach diesem Standard prüfen. Das Testat bescheinigt: "Wenn Sie diese Software richtig einsetzen, können Sie GoBD-konform arbeiten." Es ist ein massives Marketinginstrument.

ISAE 3402 / SOC 2: Der Outsourcing-Nachweis

Ein Rechenzentrum oder SaaS-Anbieter kann nicht jeden einzelnen Kunden zum Audit reinlassen. Stattdessen beauftragt er *einmal* einen Auditor nach ISAE 3402.
Typ 1 Bericht: Bestätigt: Die Kontrollen waren an einem Stichtag vorhanden und passend designet.
Typ 2 Bericht: Bestätigt: Die Kontrollen haben über einen Zeitraum (z.B. 12 Monate) *wirksam funktioniert*. Nur Typ 2 ist wirklich wertvoll.

8. Der Audit-Lebenszyklus: Ein Phasenmodell

Ein erfolgreiches IT-Audit ist kein spontaner Besuch, sondern ein minutiös geplantes Projekt.

Phase 1: Audit Universe & Risk Assessment

Bevor geprüft wird, muss definiert werden, was prüfbar ist (Audit Universe). Aufgrund begrenzter Ressourcen erfolgt eine risikoorientierte Auswahl: Systeme mit sensiblen Daten oder hoher Ausfallwahrscheinlichkeit werden priorisiert.

Phase 2: Planning & Scoping

Erstellung des "Audit Program". Definition der Prüfziele. Ankündigung bei den Fachbereichen (außer bei forensischen Sonderprüfungen, wo Überraschungseffekte gewünscht sind).

Phase 3: Fieldwork (Die Prüfungshandlungen)

  • Inquiry: Befragung der Mitarbeiter (Achtung: Vertrauen ist gut, Kontrolle ist besser).
  • Observation: Beobachtung von Prozessen (z.B. Zutritt zum Serverraum).
  • Inspection: Einsichtnahme in Dokumente (Richtlinien, Verträge).
  • Re-Performance: Der Auditor führt eine Kontrolle selbst durch (z.B. Wiederherstellung eines Backups), um zu sehen, ob es klappt.
  • Data Analytics: Analyse von Massendaten (CAATs - Computer Aided Audit Techniques) auf Anomalien.

Phase 4: Reporting

Der heikelste Teil. Findings (Feststellungen) müssen validiert werden. Struktur eines Findings:
1. Soll (Criteria): Was schreibt die Richtlinie vor?
2. Ist (Condition): Was haben wir vorgefunden?
3. Ursache (Cause): Warum weicht es ab? (Unwissenheit? Technikfehler?)
4. Auswirkung (Risk): Was kann passieren? (Finanzieller Schaden?)
5. Empfehlung (Recommendation): Was muss getan werden?

Phase 5: Follow-Up

Nach 3-9 Monaten wird geprüft, ob die Massnahmen umgesetzt wurden ("Remediation").

9. Cloud & Hyperscaler Audits

Die Verlagerung in die Cloud (AWS, Azure, Google Cloud) ändert das Audit fundamental. Man kann nicht mehr das Rechenzentrum physisch begehen.

Das Shared Responsibility Model

Der Auditor muss genau abgrenzen: Was macht Microsoft (Sicherheit *der* Cloud) und was macht der Kunde (Sicherheit *in* der Cloud)?
Typische Prüffelder im Cloud-Audit:

  • IAM (Identity & Access Management): Ist MFA (Multi-Faktor-Authentifizierung) überall aktiviert? Sind Berechtigungen minimal (Least Privilege)?
  • Encryption: Wer besitzt die Schlüssel? (Key Management Service).
  • S3 Buckets / Blob Storage: Sind Speicherbereiche versehentlich öffentlich ("Public")? Eine der häufigsten Ursachen für Mega-Leaks.

10. Technologien & GRC-Software

Excel-Listen sterben aus. Das moderne Audit ist datengetrieben und toolgestützt.

Process Mining

Tools wie Celonis oder SAP Signavio lesen Log-Daten aus ERP-Systemen und visualisieren den Prozessfluss. Auditoren sehen sofort "Happy Paths" (Regelprozess) und Abweichungen (z.B. Bestellungen ohne Genehmigung). Dies ersetzt stichprobenartige Walkthroughs durch eine 100%-Prüfung.

Continuous Auditing / Monitoring

Skripte überwachen Kontrollen in Echtzeit.
Beispiel: Ein Bot prüft jede Nacht, ob es User-Accounts gibt, die länger als 90 Tage inaktiv sind, aber nicht deaktiviert wurden. Das Audit wird vom jährlichen Event zum permanenten Prozess.

11. Epilog: Die Zukunft der Prüfung

Das IT-Audit der Zukunft wird hybrid sein: Menschliche Empathie und strategischer Weitblick kombiniert mit KI-gestützter Datenanalyse. In einer Welt, in der Algorithmen Entscheidungen treffen (Algorithmic Auditing) und Smart Contracts Geschäfte abwickeln, wird der Auditor zum "Trust Architect".

Unternehmen im DACH-Raum, die IT-Audits als strategischen Vorteil begreifen und nicht als bürokratische Last, werden resilienter, vertrauenswürdiger und letztlich erfolgreicher sein.