Der Autor der Idee spricht von einer Lösung, die sowohl Unternehmen als auch Wirtschaftsprüfer entlastet.
Audits der Cybersicherheit sollten nicht nur eine formale Verpflichtung sein, sondern ein Instrument, das Schwachstellen aufdeckt, Unternehmen ein klares Bild ihrer Sicherheitslage vermittelt und bei der strategischen Entscheidungsfindung hilft. In der Praxis sind sie jedoch oft mit Verwaltungsaufwand, zahlreichen Tabellenkalkulationen und langwierigen Prozessen verbunden. Deshalb gibt es ein neues slowakisches System, Cyberman, das ein chaosfreies Audit garantiert.
Nach der aktuellen Änderung des Cybersicherheitsgesetzes gilt die Verpflichtung zu regelmäßigen Audits für etwa 6.000 regulierte Unternehmen. Dennoch werden Audits immer noch als eine eher lästige Pflicht empfunden. Die slowakische Lösung Kyberman – eine Anwendung, die Vermögensregistrierung, Audit-Prozesse und Cybersicherheitsmanagement in einem System vereint – ist eine Antwort auf diese Herausforderungen. Ihr Ziel ist es, die Arbeit von Sicherheitsmanagern zu erleichtern, Auditoren zu unterstützen und ein höheres Maß an Transparenz und Glaubwürdigkeit in den gesamten Prozess zu bringen.
Monika Vilimová sprach mit ĽUBOMÍR KOPÁČK, unserem Kollegen, dem Autor der Idee und einem Experten für Cybersicherheit, darüber, wie Cyberman funktioniert, welche Probleme es löst und welchen Mehrwert es für Nutzer und Prüfer bringt.
Audits werden oft als „notwendiges Übel“ angesehen. Machen wir uns klar: Ist ein Sicherheitsaudit eher eine administrative Belastung oder ein echter Vorteil für Unternehmen?
Wir leben immer noch in einer Zeit, in der Auditing als etwas Negatives wahrgenommen wird, als ein Mechanismus zur Kontrolle, zur Fehlersuche oder zur Suche nach Schuldigen. Leider ist diese Sichtweise tief verwurzelt und rührt von einem schwachen Bewusstsein dafür her, was Auditing wirklich ist. Es mangelt nicht nur an der Ausbildung von Führungskräften, sondern auch von Cybersicherheitsmanagern selbst. Sie sind nicht immer in der Lage, dem Unternehmen das Audit so zu vermitteln, dass es als Vorteil und nicht als „Schreckgespenst“ wahrgenommen wird. Darüber hinaus stellen selbst die Regulierungsbehörden das Audit der Öffentlichkeit nicht als ein Instrument vor, das der Organisation hilft, ihre Governance und Widerstandsfähigkeit zu verbessern. Die Gesetzgebung ist streng, was gut ist, aber die Kommunikation sollte weicher sein. Die Prüfung sollte etwas sein, das der Organisation hilft, und als solches sollte auch darüber gesprochen werden. Dies ist meiner Meinung nach immer noch eine große Herausforderung.
In der Praxis stellen wir fest, dass Organisationen Probleme mit der Erfassung von Vermögenswerten, der Dokumentation und dem Nachweis der Einhaltung von Maßnahmen haben. Wo liegen Ihrer Meinung nach die häufigsten Schwachstellen?
Sie sind überraschenderweise bei allen Unternehmen gleich. Das größte Problem ist eindeutig die Erfassung der Vermögenswerte. Wir leben immer noch in der „Excel-Ära“. Viele Unternehmen – wenn sie überhaupt Aufzeichnungen haben – bewahren diese in einigen wenigen Tabellenkalkulationen auf, die nicht konsistent sind, nicht mit denselben Daten arbeiten, Dutzende von Versionen haben und langfristig nicht haltbar sind. Wenn jemand Hunderte oder gar Tausende von Vermögenswerten hat, ist es praktisch unmöglich, Aufzeichnungen in Excel zu führen, die für Audits oder Risikoanalysen verwendet werden können. Solange ein Unternehmen nicht weiß, welche Assets es besitzt, weiß es einfach nicht, was es schützen muss. Und das ist ein grundlegendes Problem, das immer wieder auftaucht. Wann immer wir eine Prüfung oder eine Risikoanalyse durchführen, verbringen wir die ersten Stunden oder Tage damit, eine Vermögensdatenbank aufzubauen. Das ist die Grundlage, ohne die Sie nicht weitermachen können, und für viele Unternehmen ist das immer noch eine „unlösbare“ Aufgabe.
Ein Audit-Bericht ist nur dann aussagekräftig, wenn er den tatsächlichen Stand der Sicherheit genau widerspiegelt. Wie können Digitalisierung und Automatisierung sicherstellen, dass die Audit-Ergebnisse wirklich genau, vergleichbar und relevant sind?
Das erste, was ich dazu sagen möchte, ist das Wort Konsistenz. Solange wir keinen einheitlichen Rahmen haben, in dem die Prüfung durchgeführt wird, werden die Ergebnisse immer unterschiedlich ausfallen, je nachdem, welcher Prüfer sie durchführt. Bei einer Lückenanalyse arbeite ich mit dem, was der Kunde mir sagt. Ich will also keine Beweise vom Kunden, denn das Ziel ist es, sich schnell ein Bild von der Situation zu machen. Aber bei einer Prüfung ist man verpflichtet, mit Beweisen zu arbeiten, das Gesetz schreibt es vor. Und da ist die Digitalisierung unverzichtbar: Sie schafft einen klaren, soliden Rahmen, in dem wir uns bewegen. Aus dem digitalisierten Audit-Set können Sie nicht aussteigen. Das System definiert genau die Kontrolle, das Risiko, die Beweisaufnahme und den Output. Dies gewährleistet die Wiederholbarkeit und Messbarkeit von Audits. Entscheidend ist, dass die Aufsichtsbehörde, wenn sie fünf über ein einziges System erstellte Berichte erhält, diese vergleichen kann. In der heutigen Situation, in der jedes Audit ein ‚Original‘ ist, ist ein Vergleich praktisch unmöglich.
Das heißt, wir bringen Ordnung in eine Welt des Chaos. Die Cyberman App wurde mit dieser Idee im Hinterkopf entwickelt. Was war der ausschlaggebende Impuls für die Entwicklung dieser Lösung?
Seien wir ehrlich: Es wurde aus purer Frustration geboren. Als ich anfing, Audits in großem Maßstab durchzuführen, war ich erstaunt, wie mühsam das war und wie sehr es von der Person abhing. Dutzende von Dokumenten, Hunderte von Seiten, Excel-Tabellen, die keinen Sinn ergaben, inkonsistente Daten… Mir war klar, dass dies auf Dauer nicht tragbar war. Ich war auch überrascht, dass selbst angesehene Wirtschaftsprüfungsgesellschaften keine digitalen Lösungen haben, dass alles auf Excel basiert. Diese Praxis brachte mich dazu, darüber nachzudenken, wie man das Ganze anders gestalten könnte. Und so wurde die Idee geboren, ein System zu schaffen, das robust, konsistent, professionell und sowohl für Wirtschaftsprüfer als auch für Unternehmen nutzbar ist.
Wie ist Cyberman architektonisch aufgebaut? Welche Module bilden seine Basis?
Die Architektur ist einfach, es handelt sich um eine sichere Client-Server-Webanwendung. Aber die Module sind wesentlich. Die Grundlage des gesamten Systems ist die Vermögensverwaltung, bei der die Organisation eine vollständige Datenbank der Vermögenswerte erstellt. Darauf aufbauend gibt es das Audit-Modul, das die so genannten Audit-Sets enthält, d.h. digitalisierte Anforderungen von Gesetzen oder Normen. Der Benutzer wählt einfach aus, was er prüfen möchte, und startet das Audit. Die Module sind miteinander verknüpft, d.h. wir können die Sets im System, die der Auditkontrolle unterliegen, miteinander verknüpfen. Die Ausgabe ist ein Ausdruck des Auditberichts und ein Aktionsplan der zu lösenden Auditaufgaben. Obwohl wir in dieser Version nicht über ein voll entwickeltes Risikoanalysemodul mit Gewichten und numerischen Modellen verfügen, macht es das System einfach, mit Risiken zu arbeiten – wir verknüpfen die identifizierten Risiken mit den Vermögenswerten und arbeiten standardmäßig über Aufgaben mit ihnen. Dieser vereinfachte Ansatz ist in der Praxis für normale Benutzer, die in erster Linie KB-Manager sind, oft effektiver. Das System ist intuitiv, aber gleichzeitig auch umfassend.
Wie hilft Cyberman bei der Umsetzung der slowakischen Gesetzgebung?
Der Benutzer arbeitet mit einem Audit-Set, das genau auf den gesetzlichen Metriken basiert. Anbieter von kritischen Kerndiensten (CCS) haben einen obligatorischen zweijährigen Audit-Zyklus bzw. im Falle von Betreibern von Kerndiensten (CS) einen fünfjährigen Zyklus mit regelmäßiger Selbstbeurteilung. Wenn der Anwender in Cyberman kontinuierliche, in kleinere Teile gegliederte interne Audits und Selbstbewertungen gemäß dem Audit-Set durchführt, sie auswertet, Maßnahmen anwendet, die Zustände aus den Audits der vorangegangenen Perioden miteinander vergleicht, wird die Organisation sehr gut auf das obligatorische externe Audit am Ende der Periode vorbereitet sein. Und wenn sie dies wirklich ehrlich tun und die Maßnahmen auf dieselbe Weise angehen, werden sie einer hohen Konformitätsrate nahe kommen. Gleichzeitig erfüllen sie auf diese Weise die Anforderungen an die Cybersicherheit und erhöhen ihre Widerstandsfähigkeit im Bereich der Cybersicherheit.
Die Gesetzgebung ist jedoch nicht nur slowakisch. Wie sind Sie mit der Kompatibilität mit europäischen Rahmenwerken umgegangen: NIS2, DORA, TISAX, NIST und anderen?
Ganz einfach: Wir haben uns nicht auf eine Gesetzgebung oder ausschließlich auf die Cybersicherheit festgelegt. Wir haben universelle Audit-Prinzipien nach dem Standard gewählt, die für alle Audits gelten, unabhängig von der Branche. Ein Audit ist im Wesentlichen ein Vergleich eines Zustands mit einem Standard. Und dieses Prinzip kann digitalisiert werden. Deshalb können wir Sets nach europäischen Richtlinien, nationalen Gesetzen oder nach den internen Standards von Organisationen erstellen. Solange es ein Dokument gibt, das den Standard definiert, können wir es digitalisieren. Es gibt sogar Interesse aus der Tschechischen Republik, die ein neues Gesetz zur Cybersicherheit hat – und Cyberman ist darauf vorbereitet.
Was genau sind Audit-Kits und wie funktionieren sie in der Praxis?
Das Audit-Set ist ein digitalisierter Standard von Anhang 1 des Dekrets 227/2025 Slg. über Sicherheitsmaßnahmen. Es handelt sich jedoch nicht nur um eine mechanische Neuformulierung der Anforderungen. Wir haben auch sogenannte generische Risiken, Lösungsvorschläge und Empfehlungen, Erklärungen und Vorlagen aufgenommen, damit der Benutzer versteht, was zu prüfen ist und welche Risiken typisch sind. Das System bietet dem Benutzer eine Auswahl an Risiken, und er kann seine eigenen hinzufügen, so dass die gesamte Prüfung auf einheitliche Weise erfolgt. Das Ziel ist, dass auch weniger erfahrene Prüfer mit dem System arbeiten können. Für die Zukunft planen wir, die Audit-Suiten mit KI-Funktionen zu erweitern, die die Kontrollen automatisch bewerten können. Dies wird den gesamten Prüfungsprozess erheblich beschleunigen.
Wie arbeitet Cyberman mit Beweisen? Die Integrität von Beweisen ist oft ein Problem.
Bei jeder Prüfung lädt der Benutzer elektronische Beweise hoch – das kann ein Dokument, ein Foto, ein Screenshot, eine Ausgabe aus dem System sein. Cyberman erstellt beim Hochladen automatisch eine Prüfsumme der Datendatei. Alle Beweise werden sowohl mit einem Zeitstempel als auch mit einer Prüfsumme protokolliert. Wenn die Prüfung abgeschlossen ist, erstellt das System eine große Datendatei mit der gesamten Prüfung, einschließlich der Beweise und Prüfsummen, und speichert diese auf der Blockchain. Auf diese Weise kann jeder jederzeit überprüfen, ob die Beweise nicht manipuliert wurden. Die Änderung eines einzigen Bytes würde die Prüfsumme verändern und das System würde dies sofort erkennen.
Verwendet Cyberman die Blockchain auch zur Archivierung der gesamten Prüfung?
Ganz genau. Das ist der „heilige Gral“, den ich von Anfang an erreichen wollte. Wenn ein Audit gesperrt wird, wird sein digitaler Fußabdruck in der Blockchain gespeichert. Er ist unveränderlich. Das bedeutet, dass die Prüfungsergebnisse auch Jahre später noch gültig und überprüfbar sind. Eine Aufsichtsbehörde, ein Wirtschaftsprüfer, ein Manager, jeder kann überprüfen, ob der Prüfpfad glaubwürdig ist und die Daten konsistent sind. Es ist ein absoluter Beweis dafür, dass die Prüfung nicht im Nachhinein modifiziert, angepasst oder verändert wurde.
Das Ziel von Cyberman ist es, Routinetätigkeiten zu vereinfachen und KB-Managern und Prüfern zu helfen, Zeit zu sparen. Welche sind sie?
Viele. Bei der Automatisierung geht es darum, den Überblick darüber zu behalten, was getan wird. Innerhalb der Aufgaben des KB-Managers sind die Prozesse vollständig automatisiert und er weiß jederzeit, was zu tun ist oder was wo nicht funktioniert. So behält die Anlagenverwaltung beispielsweise den Überblick über das End-of-Life- und Ablaufdatum von Anlagen, wann die Wartung durchgeführt wurde und welche Lizenzen sie haben. Für einen Cybersicherheitsmanager ist das größte Problem oft der Überblick, und auch das löst Cyberman. Alles befindet sich in einem einzigen System: Assets, Kontrollen, Risiken, Beweise, Aufgaben. Es handelt sich nicht mehr um hundert Excel- oder Word-Tabellen auf einer Festplatte. Jeder Schritt hat seinen festen Platz, der Prozess ist automatisiert und leicht zu verstehen.
Wie kann Cyberman aus der Sicht der Geschäftsleitung beim strategischen Sicherheitsmanagement helfen?
Das Management erhält messbare Daten. Keine Vermutungen, keine Wohlfühlbewertungen. Jeder Check wird auf einer CMMI-Metrik von 0 bis 5 bewertet. Nur Ergebnisse, die genau gemessen werden, können wirklich verwaltet werden. Die Ergebnisse können im Laufe der Zeit verglichen werden. Zwischen Audits, zwischen Organisationen, zwischen Bereichen. So kann das Management sehen, wo Verbesserungen stattfinden, wo sie stagnieren, wo das Problem liegt und wo Ressourcen verlagert werden müssen. Für Unternehmen mit mehreren Niederlassungen oder Betrieben ist dies ein enormer Vorteil, da diese Komponenten in dem System aufgeräumt sind. Dadurch verringert sich der Zeitaufwand für die Verwaltung einer bestimmten Komponente, und das Unternehmen erhält einen absoluten Überblick über alles an einem Ort.
Wir sprechen hier also von einem mandantenfähigen Modus. Wie funktioniert das?
Die ranghöchste Rolle in dem System ist der Cybersicherheitsmanager. Er oder sie kann Dutzende von Unternehmen oder Organisationseinheiten, sogenannte Tenants, verwalten. Der KB-Manager verfügt über ein Konto und der Tenant wird durch den Kauf einer Lizenz aktiviert. Jeder Mieter hat seine Daten, seine Lizenzen und seinen Prüfzyklus. Wenn ein Manager aufhört, ein Unternehmen zu verwalten, bleiben seine Daten erhalten und werden an einen anderen Manager übertragen. Nichts wird gelöscht. Das ist sehr praktisch, vor allem, wenn ein Manager Dutzende von Organisationen verwaltet und in der normalen Praxis die Manager in den Organisationen wechseln.
Wie glauben Sie, dass Lösungen wie Cyberman die Kultur der Cybersicherheit in Unternehmen verändern?
Sie ermöglichen es, Ordnung zu schaffen. Das klingt banal, ist aber entscheidend. Viele Unternehmen haben so funktioniert, dass alles „irgendwie“ aufgezeichnet, irgendwo verstreut oder vergessen wurde. Wenn wir zu einem Audit kommen, ist es manchmal ein Wunder, dass das Unternehmen ohne Zwischenfälle arbeitet. Cyberman gibt Organisationen Struktur, Prozesse, Messungen und Transparenz. Es ist ein sehr mächtiges Werkzeug für den Aufbau einer Sicherheitskultur. Natürlich rettet das System selbst nichts, es muss verantwortungsvoll eingesetzt werden. Aber wenn eine Organisation ehrlich arbeitet, gibt Cyberman ihr einen sehr starken Rahmen.
Abschließend: Wie sehen Sie die Zukunft von Audits, Compliance und regulatorischen Prozessen? Wird die Digitalisierung der Standard werden?
Ich glaube schon. Und ich würde es sehr begrüßen. Auf der Seite der Aufsichtsbehörden geschieht heute etwas Absurdes: Sie erhalten Dutzende von Prüfungen, die nicht vergleichbar sind. Jeder Prüfer hat seinen eigenen Stil, seine eigenen Maßstäbe und Ergebnisse. Für die Regulierungsbehörde ist es dann äußerst schwierig, die Ergebnisse in Daten zu konsolidieren, die gemessen und verglichen werden können. Stattdessen sollte es ein einziges System geben, das zum Standard wird, idealerweise auf Ebene der Europäischen Union. Die Digitalisierung bringt Vergleichbarkeit, Messbarkeit und Qualität. Und wenn Cyberman dies bieten soll – warum nicht? Wir sind offen für eine Zusammenarbeit. Und es wäre eine effektive Lösung für alle.
Cybersecurity ist nicht mehr nur ein Thema für IT-Abteilungen. Sie wird immer mehr zu einem Teil des strategischen Managements, der Unternehmenskultur und des Rufs einer Organisation. Projekte wie Cyberman zeigen, dass Automatisierung, Datenintegration und vertrauenswürdige Aufzeichnungen den gesamten Ansatz für Sicherheitsprozesse verändern können. Dass selbst komplexe Bereiche wie Audits, die Registrierung von Vermögenswerten und die Einhaltung von Vorschriften zugänglich gemacht und automatisiert werden können, ohne dass die menschliche Dimension der Entscheidungsfindung verloren geht. Es ist ein Schritt hin zu einer neuen Generation von Lösungen, die die Gesetzgebung proaktiv in eine praktische und technologiegestützte Realität umsetzen. Hier wird die Pflicht zu einem Mehrwert und die Prüfung zu einem echten Werkzeug für die Entwicklung.
