Wie EY Ihre digitale Transformation sicher macht

Die digitale Transformation bringt Chancen – aber auch Risiken. EY unterstützt Sie dabei, Sicherheit, Vertrauen und Compliance in einer vernetzten Welt zu schaffen. Gemeinsam gestalten wir Ihre digitale Zukunft erfolgreich.

Verwandte Themen

Porträtfoto von Sven Bartheidel

Sven Bartheidel

Leiter Technology Risk, Assurance, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

In einer digitalisierten Welt bieten wir Sicherheit und schaffen vertrauenswürdige Kommunikationsstrukturen. Durch unsere umfassende Erfahrung in der Kombination aus IT-Prüfung und Beratung helfen wir Ihnen, IT-Risiken zu verstehen und fundierte Entscheidungen zu treffen. Vertrauen Sie auf unser globales Technology-Risk-Team, um Ihre digitale Transformation sicher und erfolgreich zu gestalten.

Ansprechpartner: Ole Halfpap

Ein internes Kontrollsystem für IT (IT-IKS) schützt nicht nur vor Cyberbedrohungen, sondern stellt auch die Einhaltung regulatorischer Anforderungen sicher und steigert die Effizienz interner Prozesse. Damit ist es ein entscheidender Erfolgsfaktor – insbesondere für mittelständische Unternehmen.

Was EY für Sie tun kann

Aufbau: Integration eines IT-IKS in relevante Prozesse, Definition von Kontrollen und Schulung der Mitarbeitenden
Assessment: Prüfung der Wirksamkeit bestehender Kontrollen, zum Beispiel im Rahmen von IT-Audits, Management Testing oder Pre-/Post-Transaction Assessments.
Verbesserung: Kontinuierliche Umsetzung von Optimierungsmaßnahmen inklusive Schwachstellenanalyse

Durch Automatisierung und Künstliche Intelligenz steigern wir Effizienz und Qualität – etwa bei Stichprobenprüfungen oder Management Testing.

Ansprechpartner: Lutz Naake

Digitale Transformationen sind komplex, risikobehaftet und erfolgskritisch. Sie betreffen weit mehr als IT-Systeme – sie greifen tief in Prozesse, Strukturen und Verantwortlichkeiten ein. Unternehmen stehen dabei unter hohem Zeit- und Erfolgsdruck und sollten regulatorische Anforderungen, Sicherheitsaspekte oder die Akzeptanz von Stakeholdern nicht aus dem Blick verlieren.

Was EY für Sie tun kann

Wir unterstützen Sie entlang des gesamten Transformationsprozesses – von der Planung bis zur Stabilisierung.

Transformation Readiness & Risk Assessment: Frühzeitige Identifikation von Kontrolllücken und Umsetzungsrisiken
Begleitung entlang des Projektlebenszyklus: Integrierte Reviews in allen Phasen – von Planung über Implementierung bis zum Go-Live
S/4HANA Transformation Assurance: Spezifische Begleitung von SAP-Programmen (Datenmigration, Prozessdesign, Kontrolllandschaft, Systemakzeptanz)

Unsere Methodik ist auf die Anforderungen von Audit Committees, CFOs und CIOs abgestimmt und wird zunehmend als Standard in großen Transformationsprogrammen etabliert. Ziel ist nicht nur Sicherheit, sondern auch Mehrwert durch Transparenz und Effizienz.

Ansprechpartner: Lutz Naake

Der EU AI Act schafft einen einheitlichen Rechtsrahmen für den sicheren Einsatz Künstlicher Intelligenz. Unternehmen haben KI-Anwendungen zu identifizieren, risikobasiert zu klassifizieren und regulatorische Anforderungen zu erfüllen – insbesondere für hochriskante Systeme. Gleichzeitig ist eine qualitativ hochwertige Datenbasis unverzichtbar.

Was EY für Sie tun kann

Reifegrad-Assessment & Auditierung von Responsible AI: Prüfung bestehender Governance-Frameworks als Vorbereitung auf eine ISO-42001-Zertifizierung oder von AI-Compliance System Audits
AI-Compliance-Unterstützung: Einführung eines Compliance-Frameworks entlang des gesamten KI-Lifecycles
Readiness Assessment & Prüfung nach IDW PS 861: Durchführung von Readiness Assessments und Audits für KI-Systeme inklusive Prüfberichten als Compliance-Nachweis

So stellen wir sicher, dass Ihr Unternehmen sowohl die gesetzlichen Anforderungen erfüllt als auch das volle Potenzial von KI-Anwendungen ausschöpft.
Ansprechpartner: Steffen Haiges und Mathias Feil

An Dienstleister vergebene Services sind häufig relevant für den Jahresabschluss und werden oft als Black Box erbracht. Auslagernde Unternehmen benötigen daher belastbare Nachweise, ob sie sich auf die erbrachten Services verlassen können und ob Risiken ausreichend berücksichtigt sind.

Was EY für Sie tun kann

EY führt weltweit Prüfungen und Beratungen zur Angemessenheit und Wirksamkeit von Kontrollen durch. Auf Basis unseres Prüfungsansatzes – inklusive Kontrollset, Prüfungsplan und -bericht – erhalten Sie konkrete Empfehlungen zur Verbesserung Ihrer Prozesse. Unsere Branchenexperten verfügen über fundierte Berufs- und Projekterfahrung in unterschiedlichen Sektoren. Dieses Know-how ermöglicht effiziente Prüfungen und die gezielte Umsetzung geforderter Maßnahmen.

ISAE 3402/PS 951 Prüfung: Durchführung gemäß relevanter Prüfstandards inklusive Prüfberichte als Compliance-Nachweis. Unser integrierter Ansatz erlaubt die Erstellung mehrerer Berichte oder Zertifikate aus einer einzigen Prüfung (zum Beispiel ISAE 3402, SOC 2, C5, ISO 27001).
ISAE 3402/PS 951 Consulting: Unterstützung bei der Identifizierung relevanter Prüfstandards, Systemgrenzen, Kundenanforderungen und Risiken sowie Definition maßgeschneiderter Kriterien und Kontrollziele. Auf Wunsch übernehmen wir Planung, Management und Abschluss externer Prüfungen für Sie.

Ansprechpartner: Steffen Haiges und Mathias Feil

IT-Services werden zunehmend ausgelagert. Für Unternehmen ist entscheidend, dass zugesagte Qualitätsstandards eingehalten werden – insbesondere in Bezug auf Sicherheit, Verfügbarkeit, Vertraulichkeit, Integrität und Datenschutz.

Was EY für Sie tun kann

EY verfügt über umfassende Erfahrung in SOC-2-Prüfungen im nationalen und internationalen Umfeld. Wir unterstützen Unternehmen mit Readiness-Assessments sowie bei Aufbau und Implementierung geeigneter Kontrollen. SOC-2-Berichte sind ein im regulatorischen Umfeld anerkanntes Instrument, um Compliance nachzuweisen. Zusätzlich können wir für Marketingzwecke SOC-3-Berichte erstellen, die sich zur Publikation auf Ihrer Website eignen.

SOC-2-Prüfung: Durchführung gemäß Standards inklusive Prüfberichte als Compliance-Nachweis. Auch hier erlaubt unser integrierter Prüfungsansatz die parallele Erstellung mehrerer Berichte oder Zertifikate.
SOC-2-Consulting: Unterstützung bei der Kriterien-Interpretation, Definition von Systemgrenzen, Risikoanalyse sowie Integration notwendiger Maßnahmen in Ihre Prozesslandschaft.

Ansprechpartner: Steffen Haiges und Mathias Feil

Die Nutzung von Cloud-Diensten wächst stetig. Für Anwender ist jedoch oft nicht transparent, wie sicher und zuverlässig diese Dienste tatsächlich sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher mit dem C5-Katalog Mindestanforderungen an die Informationssicherheit von Cloud-Diensten definiert. Seit Inkrafttreten des Digital-Gesetzes sind aktuelle C5-Berichte (oder gleichwertige Prüfungen) für Cloud-Dienste, die Patienten- und Gesundheitsdaten verarbeiten, verpflichtend.

Was EY für Sie tun kann

Mit einem C5-Prüfungsbericht lässt sich die Einhaltung der BSI-Mindestanforderungen nachweisen.

C5-Prüfung: Durchführung gemäß C5-Katalog inklusive Prüfberichte als Compliance-Nachweis oder zur Erfüllung gesetzlicher Vorgaben. Unser integrierter Prüfungsansatz ermöglicht die Kombination mit weiteren Standards (zum Beispiel ISAE 3402, SOC 2, ISO 27001) innerhalb einer einzigen Prüfung.
C5-Consulting: Unterstützung bei Risikoanalysen, Definition von Kriterien und Kontrollzielen sowie Integration in Ihre Prozesslandschaft. Auf Wunsch übernehmen wir Planung, Verwaltung und Abschluss externer Prüfungen.

Ansprechpartner: Lutz Naake und Gunter Ernst

Der Verband der Automobilindustrie (VDA) hat mit TISAX einen international anerkannten Standard zur Beurteilung von Informationssicherheits-Managementsystemen (ISMS) in der Lieferkette etabliert. EY ist das erste Wirtschaftsprüfungsunternehmen, das offiziell als TISAX-Assessment-Provider zugelassen wurde. Seitdem begleiten wir mittelständische und große Automobilzulieferer weltweit sowohl bei der Vorbereitung als auch bei der Durchführung von TISAX-Assessments.

Was EY für Sie tun kann

TISAX-Readiness-Support: Workshops, Gap-Assessments und Coaching zur Vorbereitung auf das Assessment
TISAX-Assessments: Durchführung von der Registrierung über die Scope-Definition bis zum finalen Assessment. Gültigkeit der Labels: drei Jahre
TISAX-Consulting: Unterstützung bei der Implementierung von Governance-, Security- und Compliance-Prozessen entlang der TISAX-Kriterien

Durch unsere Branchenkenntnisse, langjährige Erfahrung und unser globales Netzwerk ist EY ein weltweit anerkannter Partner für TISAX-Beratung.
Ansprechpartner: Lutz Naake

Unternehmen stehen heute vor der Herausforderung, sensible Daten nicht nur gesetzeskonform zu verarbeiten, sondern diese auch nachhaltig zu steuern und zu schützen. Datenschutz und Data Governance sind dabei zwei eng miteinander verknüpfte Säulen, die sowohl regulatorische Anforderungen erfüllen als auch einen verantwortungsvollen Umgang mit Informationen sicherstellen.

Was EY für Sie tun kann

Datenschutz
Auditierungen, die die Einhaltung gesetzlicher Vorgaben überprüfen und potenzielle Risiken identfizieren
Unterstützung bei der Entwicklung maßgeschneiderter DSGVO-Programme
Begleitung bei datenschutzrechtlichen Tätigkeiten (zum Beispiel Privacy Impact Assessments, technische und organisatorische Maßnahmen)

Data Governance
Reifegrad-Assessments bestehender Strukturen und Prozesse
Umsetzungsunterstützung bei der Integration von Governance-Maßnahmen, inklusive Klassifizierung von Daten und Schließung von Lücken im Governance-Framework

EY stellt sicher, dass personenbezogene Daten gesetzeskonform verarbeitet werden und gleichzeitig als zuverlässige Ressource für Innovation nutzbar bleiben, insbesondere im Bereich KI.

Ansprechpartner: Lutz Naake

KRITIS – Betreiber kritischer Infrastrukturen

Laut dem IT-Sicherheitsgesetz sind Betreiber kritischer Infrastrukturen verpflichtet, die Informationssicherheit wesentlicher Systeme, Komponenten und Prozesse nachzuweisen. Die Anforderungen wurden über die Jahre präzisiert und durch Schulungskonzepte des BSI konkretisiert, an deren Entwicklung EY maßgeblich beteiligt war.

Was EY für Sie tun kann

KRITIS-Prüfung: Durchführung von Audits zur Erfüllung der Nachweispflichten gemäß BSIG §8a Abs. 3 inklusive Auditbericht und BSI-konformen Formularen
Pre-Assessment: Identifikation von Verbesserungspotenzialen zur Vorbereitung auf ein KRITIS-Audit oder bei erstmaliger Betroffenheit.

Ansprechpartner: Lutz Naake

Die NIS2-Richtlinie erweitert den Kreis betroffener Unternehmen erheblich. Neben Betroffenheitsanalysen unterstützt EY Unternehmen bei der Umsetzung der Richtlinie sowie bei laufenden Prüfungen.

Was EY für Sie tun kann

Betroffenheitsanalyse: Einschätzung, ob Ihr Unternehmen unter NIS2 fällt
Gap-Analyse: Bewertung bestehender Strukturen und Identifikation von Verbesserungsmaßnahmen
Umsetzungsbegleitung: Unterstützung bei der Implementierung von Maßnahmen und kontinuierlichem Monitoring
Assurance & Zertifizierung: Durchführung von Readiness-Assessments, Attestierungen und Zertifizierungen
Trainings & Workshops: Praxisnahe Schulungen für Mitarbeitende und Führungskräfte, inklusive Erfahrungsaustausch mit anderen Unternehmen.

Ansprechpartner: Lutz Naake

Der Cyber Resilience Act ist eine EU-Verordnung, die verbindliche Sicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Ziel ist es, Cybersicherheit von Beginn an zu gewährleisten (Security by Design). Unternehmen sind gefordert, Konformität durch CE-Kennzeichnung nachzuweisen und Sicherheitsvorfälle kontinuierlich zu managen.

Was EY für Sie tun kann

Betroffenheitsanalyse: Identifikation betroffener Produkte und Dienstleistungen im Portfolio
CRA-Readiness-Assessment: Analyse interner Prozesse im Hinblick auf sichere Produktentwicklung und Schwachstellenmanagement
Umsetzungsunterstützung: Begleitung bei der Implementierung von Maßnahmen und kontinuierlicher Compliance-Überwachung

Trainings & Workshops: Fortbildung von Mitarbeitenden und Führungskräften zur Vorbereitung auf CRA-Anforderungen

Ansprechpartner: Marc Kremer und Fabian Peters

Der sorgfältige Umgang mit digitalen Identitäten, Rollen und Berechtigungen ist ein zentrales Element der Informationssicherheit und des internen Kontrollsystems (IKS). Ziel ist es, dass Mitarbeitende, Dienstleister, Partner, Kunden und technische Identitäten jederzeit den richtigen Zugriff in passendem Umfang erhalten.

Was EY für Sie tun kann

EY unterstützt beim Aufbau und der Weiterentwicklung Ihrer Governance für IAM und artverwandte Themen. Wir kombinieren Prüfungs- und Methodenkompetenz mit regulatorischem Know-how für das Design und die Umsetzung einer regulatorisch konformen, effektiven, effizienten, transparenten sowie zukunfts- und prüfungssicheren IAM-Aufbau- und Ablauforganisation.

IAM-Reifegrad-Assessment: Analyse der IAM-Governance sowie etablierter Methoden, Prozesse und Kontrollen im Abgleich mit Leading Practices, Identifikation von Schwachstellen sowie Ableitung von risikomindernden und reifegradsteigernden Maßnahmen
IAM-Governance Design: Design, Aufbau und Weiterentwicklung einer effizienten und anforderungsgerechten IAM-Governance inklusive Definition der IAM-Aufbau- und Ablauforganisation (Target Operating Model)
Umsetzungsunterstützung: Fachliche Beratung und Begleitung bei der Etablierung und Umsetzung von tool-gestützten IAM-Prozessen und Kontrollen
Kontroll-Design und Umsetzungssupport: Design und Unterstützung bei der Operationalisierung zusätzlicher, risikomindernder Maßnahmen, Methoden und Kontrollen im Kontext von IAM sowie angrenzender Disziplinen wie Privileged Access Management (PAM) oder Security Information and Event Management (SIEM).

Alle Maßnahmen werden risikoorientiert integriert und auf Ihre Organisation zugeschnitten, denn die Akzeptanz der MA ist entscheidend für eine nachhaltige Verankerung.

Ansprechpartner: Lutz Naake

Ein wirksames Informationssicherheits-Managementsystem (ISMS) ist die Basis für nachhaltige Cyber-Resilienz und ist zur Einhaltung regulatorischer Anforderungen unabdingbar. Es ermöglicht, Risiken strukturiert zu erkennen, zu bewerten und vorausschauend zu steuern – für eine sichere und stabile Unternehmensentwicklung.

Was EY für Sie tun kann

EY unterstützt Unternehmen dabei, Informationssicherheit als integralen Bestandteil der Unternehmensstrategie zu etablieren. Unser Ansatz ist praxisorientiert, nachhaltig und strategisch ausgerichtet – von der ersten Analyse bis zur kontinuierlichen Weiterentwicklung Ihres Informationssicherheits-Managementsystems (ISMS).

Strategische Beratung: Ausrichtung Ihrer Informationssicherheitsstrategie auf Unternehmensziele.
ISMS-Implementierung: Einführung und Integration eines Informationssicherheits-Managementsystems.
Tool-Auswahl: Unterstützung bei der Auswahl geeigneter technologischer Lösungen.
Betrieb & Weiterentwicklung: Begleitung beim laufenden Betrieb und der kontinuierlichen Optimierung des ISMS.
Reifegradanalyse: Prüfung des aktuellen ISMS-Reifegrads und Identifikation von Handlungsfeldern.
ISO/IEC 27001 Expertise: Beratung basierend auf umfassender Erfahrung aus Zertifizierungsprojekten.
Ganzheitlicher Lebenszyklus-Ansatz: Unterstützung entlang des gesamten ISMS-Lebenszyklus – von Strategie bis Betrieb.

Über unsere Zertifizierungsstelle EY Certify Point bieten wir Zertifizierungen nach gängigen Standards:

Informationssicherheit (ISO 27001)
Qualitätsmanagement (ISO 9001)
IT Service Management (ISO 20000)
Business Continuity Management (ISO 22301)
Umweltmanagement (ISO 14001)
AI-Management (ISO 42001)
World Lottery Association (WLA)

Perspektiven

Ihre Ansprechpartner

Sven Bartheidel

Leiter Technology Risk, Assurance, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Schafft Vertrauen in die Technologien des digitalen Zeitalters und in digitale Ökosysteme; ist verheiratet, hat drei Kinder und verbringt so viel Zeit wie möglich an der Nordseeküste

Lutz Naake

Partner, Technology Risk, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Setzt sich für den Schutz von Kritischer Infrastruktur ein. Hat langjährige Cybersecurity-, Audit- sowie Branchenerfahrung.

Dr. Ole Halfpap

Partner Assurance, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Technology Risk Partner mit Fokus auf hochkomplexe IT-Prüfungen. Er lebt mit seiner Frau in München und geht gerne ausgiebig wandern oder bouldern.

Mathias Feil

Partner Assurance, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Technology Risk Partner mit Fokus auf Attestation und Certifications. Er lebt mit seiner Familie in Speyer.

Marc Kremer

Partner Technology Risk, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Erfahrener Berater für Identity & Access Management und Cybersecurity, der innovative Sicherheitslösungen für Unternehmen aus unterschiedlichen Branchen entwickelt – und in seiner Freizeit gerne taucht

Eschborn/Frankfurt (Main), DEU

Steffen Haiges

Partner Technology Risk, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Technology Risk Partner mit Fokus auf Service Organizations and Service Organization Controls; lebt mit seiner Familie bei Stuttgart und macht gerne Musik

Pascal Campe

Partner Technology Risk, Wirtschaftsprüfer & Steuerberater, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Technology-Risk-Partner mit Fokus auf Informationssicherheit; lebt mit seiner Familie in Niedersachsen und ist begeisterter Brettspielsammler

Fabian Peters

Partner Technology Risk, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Technology Risk Partner mit Fokus auf Identity & Access Management und Cyber Regulatory Compliance; lebt mit seiner Frau in Frankfurt am Main und verbringt seine Freizeit gerne auf Reisen

Eschborn/Frankfurt (Main), DEU

Inhaltlich verantwortlich: EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft – Impressum

Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.