Anhang 1

(zur Anlage 3 [GoB-HKR])

Die u. a. Vorgaben sind hier in ihrer Gesamtheit abgebildet. Für die Bearbeitung im Rahmen eines Einwilligungsverfahrens gibt das MF auf Wunsch eine praxistaugliche Tabelle heraus.

1. HKR-Verfahren: Allgemeiner Teil - IT-Umfeld und Organisation

Kontrollziel:

Wesentliche Voraussetzung für die Beurteilung des IT-Kontrollsystems im Rahmen der Umsetzung einer IT-Strategie und eines Sicherheitskonzeptes ist die vorherige genaue Festlegung und Bewertung von IT-Fehlerrisiken durch die Behördenleitung. Es muss festgestellt werden können, ob die Behörde durch die Einrichtung eines wirksamen IKS auf die festgestellten inhärenten Risiken des IT-Systems angemessen reagiert hat.

1.1 IT-Organisation: Kontrollen stellen sicher, dass die Aufbauprüfung des IT-Umfelds und der IT-Organisation auf Basis des vorgelegten Sicherheitskonzeptes, der IT- Strategie, der Regelungen zur Aufbau- und Ablauforganisation (Organisationsplan, Richtlinien und Arbeitsanweisungen) sowie auf der Grundlage von Prozess- und Funktionsbeschreibungen erfolgt.

Die IT-Organisation muss dokumentiert und die Rollen und Verantwortlichkeiten klar definiert und strukturiert sein.

1.2 IT-Strategie: Kontrollen stellen sicher, dass für eine geeignete Risikobegrenzung die Ausrichtung der IT auf die Geschäftsstrategien und Prozessanforderungen der Behörde erfolgt. Geschäftsrisiken und IT-Risiken können dauerhaft nur auf ein sinnvolles Maß begrenzt werden, wenn die geschäftlichen Strategien der Behörde auch über eine adäquate IT-Strategie umgesetzt werden.

Eine dokumentierte IT-Strategie muss gegeben sein. In dieser muss die strategische Entwicklung der IT-Organisation, der IT-Technik, der IT-Prozesse und der digitalen Kultur, um langfristige Ziele zu erreichen, geplant werden. Dabei ist es wichtig, dass die IT-Strategie neben dem Zielbild (Strategie-Papier) auch Ansätze für die pragmatische Umsetzung, deren strategische Kommunikation und das Fortschrittscontrolling liefert.

Für die Pflege und Wartung der Softwareanwendung muss ein Budget im Haushaltsplan eingeplant sein.

1.3 Auslagerung: Kontrollen stellen sicher, dass bei Auslagerung von Systemen und Prozessen zu dritten Anbietern eine Beurteilung möglich ist, wie sich die Auslagerung auf das IKS der Behörde auswirkt.

Sofern Systeme und Prozesse an dritte Anbieter ausgelagert werden, muss die Einhaltung des IKS anhand von abgestimmten und vertraglich festgehaltenen Geschäftsbesorgungsverträgen sichergestellt werden.

1.4 Notfallkonzept: Unter Berücksichtigung der Wichtigkeit für den Geschäftsbetrieb muss ein Notfallkonzept vorliegen. In diesem sollen die Geschäftsprozesse so stabilisiert werden, dass die Wahrscheinlichkeit eines Schadenszwischenfalls minimiert wird und zum anderen soll die Behörde bestmöglich auf einen Zwischen- bzw. Notfall vorbereitet werden, um die Konsequenzen so weit wie möglich zu verringern.

Kontrollen stellen sicher, dass sämtliche Maßnahmen, die nach Eintritt eines notfallauslösenden Ereignisses zu ergreifen sind, in einem Notfallplan dokumentiert und verfügbar sind. Er muss Sofortmaßnahmen für verschiedene Szenarien enthalten und Kontaktdaten verantwortlicher Personen nach Funktion und Zuständigkeitsbereich aufführen.

1.5 Physische Sicherheit: Kontrollen stellen die Datensicherheit, die Integrität der Daten und die Verfügbarkeit der IT durch physische Sicherungsmaßnahmen zum Schutz der Hardware sowie der Programme und Daten (u. a. bauliche Maßnahmen, Zugangskontrollen, Feuerschutzmaßnahmen und Maßnahmen zur Sicherung der Stromversorgung) sicher.

Die Angemessenheit und Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen zur Sicherstellung der physischen Sicherheit (z. B. Wasserschäden, Feuer oder Einbruch) muss konzeptionell und kritisch gewürdigt werden.

1.6 Datensicherungen: Kontrollen stellen sicher, dass Daten regelmäßig und ordnungsgemäß gesichert werden.

Eine stichprobenhafte Prüfung der Durchführung periodischer und fehlerfreier Datensicherungen mit Hilfe der Logdateien der Backup-Technologien stellt sicher, dass Daten regelmäßig und ordnungsgemäß gesichert werden.

1.7 Informationssicherheit: Kontrollen stellen sicher, dass die Risiken der IT-Infrastruktur durch ein auf das Bedürfnis der Behörde ausgerichtetes Sicherheitskonzept und die daraus abgeleiteten technischen und organisatorischen Kontrollen bewältigt werden.

Ein dokumentiertes, freigegebenes und regelmäßig zu aktualisierendes Informationssicherheitskonzept muss vorhanden sein. Das Informationssicherheitskonzept ist in die Prozesse zu unterteilen:

• Planung und Risikobewertung,

• Erarbeitung von Maßnahmen, um Risiken zu verhindern/minimieren,

• Umsetzung der Maßnahmen,

• regelmäßige Kontrolle der Maßnahmen,

• Auswertung der Kontrollen und ggf. Verbesserung des Prozesses.

2. HKR-Verfahren: Zugang zu Programmen und Daten - SEPROM und Active Directory

Kontrollziel:

Logische Zugriffskontrollen sind wesentliche Elemente der Datensicherheit und des Datenschutzes und Voraussetzung zur Gewährleistung der Vertraulichkeit. Die Sicherheitsanforderungen Autorisierung und Authentizität bedingen zwingend logische Zugriffskontrollen. Die Prüfungshandlungen im Rahmen der Aufbauprüfung logischer Zugriffskontrollen richten sich auf die Implementierung eines organisatorischen Verfahrens zur Beantragung, Genehmigung und Einrichtung von Benutzerberechtigungen in IT-Systemen.

2.1 Berechtigungskonzept: Kontrollen stellen sicher, dass der Prozess der Berechtigungsvergabe und -änderung, die definierten Benutzerberechtigungen, einzuhaltende Funktionstrennungen und der Umgang mit Benutzer-IDs mit weitreichenden Berechtigungen in einem Konzept dokumentiert und regelmäßig aktualisiert wird. Berechtigungen dürfen nur eingerichtet werden, soweit dies zur Aufgabenerfüllung zwingend erforderlich ist (Prinzip der minimalen Berechtigung).

Eine dokumentierte Beschreibung zur Einrichtung von Benutzer-IDs und einzuhaltender Funktionstrennungen muss vorhanden sein.

Das systemseitig implementierte Berechtigungskonzept muss nachvollziehbar und transparent sowie anhand bestehender Dokumentation abgeleitet sein.

2.2 Benutzeradministration: Kontrollen stellen sicher, dass Benutzer-IDs bzw. Berechtigungen im System ausschließlich nach definierten Prozessen und durch eine abschließende Freigabe der Vorgesetzten angelegt bzw. vergeben werden.

Die Benutzer-IDs im System müssen gemäß des Berechtigungskonzepts und der Beschreibung der Behörde implementiert sein. Deren entsprechende Berechtigungen müssen ordnungsgemäß beantragt werden.

2.3 Identifikation und Authentifizierung: Kontrollen stellen sicher, dass sich Benutzer anhand eindeutiger Benutzer-IDs und Passworten am System authentifizieren.

Die Dokumentation des Berechtigungsprozesses muss die Vergabe eindeutiger Benutzer-IDs vorgeben. Die Mindestanforderungen an Passwörter müssen definiert sein.

Die Benutzer-IDs im System müssen eindeutig einem Mitarbeiter zugeordnet werden können.

Kontrollen müssen sicherstellen, dass Passwort-Mindestparameter im System umgesetzt sind.

2.4 Überwachung der Rechtevergabe: Kontrollen stellen sicher, dass vergebene Berechtigungen im System regelmäßig von den Verantwortlichen überprüft werden. Bei Abweichungen zu den tatsächlich benötigten Berechtigungen werden diese an die Verantwortlichen gemeldet und berichtigt.

Eine Dokumentation der regelmäßigen Überwachung des Berechtigungskonzepts muss vorhanden sein.

Eine Überprüfung der vergebenen Berechtigungen muss regelmäßig durchgeführt werden.

2.5 Kritische Systembenutzer: Kontrollen stellen sicher, dass kritische Systemberechtigungen restriktiv vergeben werden.

Das Verfahren zur Vergabe von kritischen Benutzerberechtigungen muss dokumentiert sein.

Kritische Benutzerberechtigungen dürfen nur restriktiv vergeben werden.

Kritische Benutzerberechtigungen im Active Directory dürfen nur restriktiv vergeben werden.

2.6 Protokollierung: Kontrollen stellen sicher, dass kritische Systemaktivitäten, wie z. B. die Änderung von rechnungslegungsrelevanten Tabellen und Datenbanken, vom System protokolliert werden.

Die Protokollierung von kritischen Systemaktivitäten muss in Sicherheitskonzepten dokumentiert sein.

Änderungen an rechnungslegungsrelevanten Daten müssen vom System protokolliert werden.

3. HKR-Verfahren: Programmänderungsverfahren

Kontrollziel:

Voraussetzung für die Ordnungsmäßigkeit und Sicherheit von IT-Anwendungen ist eine angemessene Organisation der Programmänderungen. Ebenso sind Regelungen, wie Test und Freigabe zur Änderung bzw. Erweiterung von IT-Anwendungen durchgeführt werden, erforderlich.

3.1 Verfahren zu Programmänderungen: Kontrollen stellen sicher, dass das Programmänderungsverfahren den vollumfänglichen Prozess von Autorisation, Entwicklung, Test, Freigabe und Produktivstellung abbildet und somit ein nachvollziehbarer und transparenter Programmänderungsprozess sichergestellt ist.

Das Verfahren der Programmänderungen muss dokumentiert sein und die wesentlichen Kontrollen Autorisation, Entwicklung, Test, Freigabe und Produktivstellung enthalten.

3.2 Systemänderungen: Kontrollen stellen sicher, dass Änderungen am System vor der Produktivsetzung getestet und freigegeben werden.

Es muss vorgegeben sein, dass Systemänderungen vor der Produktivsetzung getestet und freigegeben werden.

3.3 Konfigurationsänderungen: Kontrollen stellen sicher, dass Änderungen an Systemkonfigurationen getestet und freigegeben werden.

Es muss vorgegeben sein, dass Konfigurationsänderungen vorher getestet und freigegeben werden.

3.4 Notfalländerungen: Kontrollen stellen sicher, dass Änderungen im Notfall vor der Produktivsetzung getestet und freigegeben werden.

Notfalländerungen müssen nach einem beschriebenen Prozess durchgeführt werden.

3.5 Trennung zwischen Entwicklungs-, Test- und Produktivumgebung: Kontrollen stellen sicher, dass eine Trennung zwischen Entwicklung-, Test- und Produktivsystemen implementiert ist und die Transportwege eingehalten werden.

Die Entwicklungs- und Testumgebung muss von der Produktivumgebung getrennt sein.

3.6 Trennung zwischen Entwicklung und Transport: Kontrollen stellen sicher, dass eine logische Funktionstrennung zwischen Entwicklern und zum Transport Berechtigten gegeben ist.

Zwischen Entwicklern und zum Transport Berechtigten muss eine Funktionstrennung bestehen.

4. HKR-Verfahren: Programmentwicklungsverfahren

Kontrollziel:

Voraussetzung für die Ordnungsmäßigkeit und Sicherheit von IT-Anwendungen ist eine angemessene Organisation bei Projekten, wie Eigenentwicklungen bzw. der Vorgehensweise bei der Auswahl und dem Kauf von Standardsoftware.

4.1 Programmentwicklungen: Kontrollen stellen sicher, dass Systementwicklungen und die Auswahl von Standardsoftware einem geordneten, transparenten und nachvollziehbaren Prozess folgen.

Der Prozess der Programmentwicklung muss geordnet, transparent und nachvollziehbar sein.

4.2 Programmierrichtlinien: Kontrollen stellen sicher, dass Entwicklungen ausschließlich gemäß der Entwicklungsrichtlinien durchgeführt werden.

Sofern Entwicklungsrichtlinien bestehen, müssen diese konsequent angewendet werden.

4.3 Freigabe: Kontrollen stellen sicher, dass Projekte vor dem Start formal freigegeben und budgetiert werden.

Das Projekt zur Einführung des HKR-Verfahrens muss formal freigegeben und budgetiert sein.

4.4 Kontrollen stellen sicher, dass ausschließlich getestete und freigegebene Programme in die Produktion übernommen werden.

Es dürfen ausschließlich getestete und freigegebene Programme in die Produktion übernommen werden.

5. HKR-Verfahren: IT-Betrieb

Kontrollziel:

Durch eine anforderungsgerechte Ausgestaltung des Kontrollumfeldes in den Bereichen Systembetrieb und Überwachung kann die Verfügbarkeit der zahlungsrelevanten Daten sowie deren Vollständigkeit gewährleistet werden.

5.1 Betriebsführungsbücher: Kontrollen stellen den korrekten Betrieb der Anwendung durch verbindliche Arbeitsanweisungen sowie Verfahrensbeschreibungen aus dem IT-Betrieb (z. B. RZ-Handbuch, Betriebskonzepte) sicher.

Betriebsführungsbücher für das System des Vorverfahrens müssen vorhanden sein.

5.2 Systemüberwachung: Kontrollen stellen die Überwachung der Systeme hinsichtlich Stör- und Ausfällen sicher.

Das Verfahren zur Überwachung von Systemen und Störfällen muss dokumentiert sein.

Es muss geregelt sein, dass Störungen zu dem HKR-Verfahren in angemessener Zeit behoben und die Endanwender über die Behebung informiert werden.

5.3 Einwilligungserklärung und Risikoanalyse zum HKR-Verfahren: Sollen HKR-Verfahren eingesetzt oder geändert werden, so bedarf es der Einwilligung des MF. Für die Einwilligung ist die Verfahrensdokumentation einschließlich der Risikoanalyse und des Sicherheitskonzeptes vorzulegen.

Bevor das HKR-Verfahren in Betrieb genommen werden darf, muss das MF eine Einwilligungserklärung erteilen.

Für das HKR-Verfahren muss eine technische Risikoanalyse erstellt werden. In dieser müssen die ermittelten Risiken von unterschiedlichen Sachverhalten und Gefahrensituationen analysiert werden. Die Risikoanalyse muss zudem auf der Grundlage der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik im IT-Grundschutzhandbuch und im IT-Sicherheitshandbuch erstellt werden.

Bei der Bewertung ist auch zu berücksichtigen, ob im Rahmen der Bearbeitung festgestellte Mängel erfasst und ausgewertet werden und eine Innenrevision vorhanden ist.

6. HKR-Verfahren: IT-Anwendungskontrollen

Kontrollziel:

Prozessintegrierte Kontrollen stellen das Kontrollziel ‚Gewährleistung der Ordnungsmäßigkeit und Sicherheit der rechnungslegungsrelevanten Daten‘ sicher.

6.1 Verfahrensdokumentation zur Datenerfassung und zum Datentransport: Kontrollen stellen sicher, dass der Ablauf der Datenerfassung und zum Datentransport ordnungsgemäß dokumentiert ist und regelmäßig aktualisiert wird.

Der Ablauf der Datenerfassung und des Datentransports muss dokumentiert sein.

6.2 Vier-Augen-Prinzip bei der Datenerfassung: Kontrollen stellen die Richtigkeit der Daten bei der Erfassung und Bearbeitung der Auszahlungssätze sicher.

Das Vier-Augen-Prinzip bei der Erfassung und Bearbeitung bzw. Freigabe der Daten muss systemseitig hinterlegt sein.

6.3 Laufwerke zur Zwischenspeicherung: Kontrollen stellen sicher, dass Zugriffe auf die verwendeten Laufwerke zur Zwischenspeicherung der zahlungsrelevanten Daten restriktiv vergeben werden.

Sofern Transferlaufwerke beim Erstellen der Zahldatei verwendet werden, müssen deren Berechtigungen zum Zugriff auf die Daten restriktiv vergeben werden.

6.4 Eingriffsmöglichkeiten beim Datentransport: Kontrollen stellen sicher, dass Dateien auf dem Transport vom Vorverfahren zur Auszahlung nicht unautorisiert geändert werden können.

Zahldateien dürfen beim Transport nicht unautorisiert verändert werden. Der Datentransport muss kontrolliert werden.