Das alternative Universum der Compliance-Risiken und wie man ihm entkommt

Von:

17. September 2020

Es ist schon eine Weile her, seit ich meinen letzten Blogbeitrag geschrieben habe, und ich kann kaum glauben, dass ich bereits seit sieben Monaten bei Onapsis bin. Seitdem habe ich eine Menge Informationen aufgenommen und mit Dutzenden von Kunden und Kollegen aus den Bereichen Audit und Compliance gesprochen. Es gibt viel, was ich mit euch teilen möchte, also lasst uns mit einigen wichtigen Erkenntnissen beginnen, die für jeden in einer Audit- und Compliance-Funktion von Bedeutung sind.

In meinem ersten Blogbeitrag habt ihr viel über meinen alten Freund und heutigen Kollegen Sergio Abraham erfahren. Ich bin mir sicher, dass er auf euch als ein toller Typ gewirkt hat, der jemandem wie mir geholfen hat, die Augen für Risiken zu öffnen, die mir zuvor nicht bewusst waren. Was ich damals nicht erzählt habe, aber jetzt erzählen werde, ist, dass meine Erfahrungen nach diesem Treffen (meinem Vorstellungsgespräch bei Onapsis) in vielerlei Hinsicht erschreckend waren.

Zunächst ging es für mich direkt vom Treffen mit Sergio zum Treffen mit den Mitgliedern der Onapsis-Führungsriege. „Gehe nicht über Los, ziehe keine 200 Dollar ein.“ Da stand ich nun, als Chief Audit Executive vor einigen der besten und klügsten Köpfe bei einem Vorstellungsgespräch bei einem ERP-Cybersicherheitsunternehmen – und, um ganz ehrlich zu sein, ich wusste nicht einmal, dass es so etwas wie ERP-Cybersicherheit überhaupt gibt oder wie wichtig sie für Unternehmen ist. Ich denke, das kann ich jetzt ruhig zugeben, da meine Probezeit vorbei ist. Zweitens hatte ich zuvor noch nie bei einem Softwareunternehmen gearbeitet und kannte die Fachsprache nicht, und ich hatte auch noch nie in den Bereichen Vertrieb, Markteinführung, Marketing, Produktentwicklung usw. gearbeitet. Nachdem ich während meines Bewerbungsprozesses alle Führungskräfte kennengelernt und mir all die Bereiche bewusst geworden waren, in denen mir Kenntnisse fehlten, habe ich die erste Runde überstanden. Und es hat tatsächlich viel Spaß gemacht, wenn auch geistig anstrengend, und ich lächle sogar heute noch, während ich darüber schreibe.

Dann wurde ich gebeten, zurückzukommen und den Geschäftsführer, Mariano Nunez, zu treffen. Da fing mein Kopf an zu schmerzen. Das ist kein Scherz. Ich legte meine Hände an die Schläfen und verstummte einfach. Er sah mich an und fragte, ob ich okay sei. Ich sah ihn an und fragte ihn, ob er den Film „Matrix“ kenne. Er sagte natürlich. Ich sah ihm direkt in die Augen und sagte: „Mein Kopf tut weh.“ Ich finde immer mehr Informationen über Risiken, von denen ich keine Ahnung hatte, dass sie existieren.  Risiken, von denen die Geschäftsleitung und der Vorstand wissen sollten. Risiken, von denen anscheinend NIEMAND etwas weiß oder über die niemand sprechen will. Risiken, die die control und die Integrität des Jahresabschlusses einer Organisation komplett untergraben können. Ich habe das Gefühl, in einer Traumwelt gelebt zu haben, in der IT-Generalkontrollen (ITGC), ein jährlicher Penetrationstest und die Existenz einer Sicherheitsfunktion in einer Organisation ausreichten. „Wenn das, was du mir erzählst, wahr ist, habe ich die letzten 15 Jahre in der Matrix gelebt.“ Er sah mir direkt in die Augen und fragte: „Also, Brian, wird es die rote Pille oder die blaue Pille?“ Das ist zu einem Insiderwitz zwischen Mariano und mir geworden, und es vergeht kein Tag, an dem ich nicht dankbar dafür bin, die rote Pille genommen zu haben.

Was hat mir das Onapsis-Führungsteam also in solchen Mengen um die Ohren gehauen, dass mir beim Nachdenken darüber buchstäblich der Kopf schmerzte? Warum habe ich jetzt das Gefühl, dass ITGCs die Maske sind, die Auditoren tragen, um dem Management und dem Vorstand ein falsches Gefühl der Sicherheit zu vermitteln? Was war so überzeugend, dass ich eine Organisation und ein Managementteam, für die ich gerne gearbeitet habe und die ich respektierte, verlassen habe, um die rote Pille zu nehmen und mein Leben als Chief Audit Executive hinter mir zu lassen? 

Als ich mir meine ERP-Systeme, die wichtigsten Anwendungen und die IT-Kontrollen angesehen habe, sind mir eigentlich zwei Hauptschwerpunkte aufgefallen: Control Änderungsmanagement. Ja, es gibt noch andere, weniger wichtige Bereiche, aber letztendlich sind dies die entscheidenden Aspekte. Ich werde mich insbesondere auf die IT-Kontrollen im Zusammenhang mit Sarbanes-Oxley konzentrieren, da diese denen anderer regulatorischer und Compliance-Rahmenwerke ähneln.

Wir betrachten das Zugriffs- und Änderungsmanagement aus der Perspektive von ERP-Produktionssystemen, wie beispielsweise denen von SAP und Oracle, sowie der in einem Unternehmen bestehenden Prozesse. Zum Beispiel:

  • Wie richtet man Benutzer ein und entzieht ihnen die Zugriffsrechte?
  • Wie stellen Sie sicher, dass die Benutzer in Ihrem System über die entsprechenden Rollen und Zugriffsrechte verfügen und dass Konflikte bei der Aufgabentrennung (SoD) überwacht und vermieden werden?
  • Wie stellen Sie sicher, dass Änderungen an Ihrem System Ihrem festgelegten Änderungsmanagementprozess entsprechen?

All dies sind berechtigte Risiken, die im Rahmen von ITGC-Tests berücksichtigt werden müssen. Es sind jedoch nicht die einzigen Risiken, die sich auf control das Änderungsmanagement auswirken. Was wäre, wenn ich Ihnen sagen würde:

  • Können Benutzer und Systeme außerhalb der Produktion Ihre Zugriffs- und Änderungskontrollen umgehen?
  • Nicht authentifizierte Angreifer (d. h. solche ohne entsprechende Zugangsdaten) können dasselbe tun, ohne auch nur eine Aufzeichnung ihrer Aktivitäten zu hinterlassen, sodass Ihrem Unternehmen nach dem Eindringen in Ihre geschäftskritischen Anwendungen keinerlei Prüfpfad zur Verfügung steht?
  • Werden bei der Programmierung und bei Importvorgängen zusätzliche Codezeilen eingefügt, die über das für die Änderung tatsächlich erforderliche Maß hinausgehen, und enthalten diese manchmal Sicherheitslücken oder sogar böswillige Absichten?

Die Liste ließe sich noch fortsetzen, und ich werde in meinem nächsten Beitrag näher darauf eingehen. 

Deshalb frage ich Sie, liebe Kolleginnen und Kollegen aus den Bereichen Audit, Risiko und Compliance: Für welche Pille entscheiden Sie sich? Für die blaue Pille, bei der Sie Ihre ITGC-Audits mit Bravour bestehen und sich gut dabei fühlen, wie Sie mit Risiken umgehen – während Sie der Geschäftsleitung und dem Vorstand gleichzeitig ein falsches Gefühl der Sicherheit vermitteln? Oder schließen Sie sich mir an, nehmen die rote Pille, öffnen Ihren Geist für neue Möglichkeiten und denken anders darüber nach, wie sich Risiken im Zusammenhang mit Zugriffs- und Änderungsmanagement in Ihrem Unternehmen manifestieren, um Ihren Stakeholdern besser zu dienen?

Wenn Sie dem Schreckgespenst des Compliance-Risikos entkommen möchten, zeigen wir Ihnen den richtigen Weg.

Fordern Sie noch heute eine unserer kostenlosen Analysen zur Darstellung von Geschäftsrisiken an.

Onapsis-Ressourcen anzeigen

Stichworte, ,
Über den Autor

Brian Tremblay

Brian Tremblay leitet den Bereich Compliance bei Onapsis und kann dabei auf über 20 Jahre Erfahrung in den Bereichen interne Revision und Risikomanagement zurückgreifen. Als ehemaliger Chief Audit Executive verfügt er über fundierte praktische Erfahrung bei der Vorbereitung von Unternehmen auf Börsengänge und der Umsetzung wichtiger Rahmenwerke wie SOX und DSGVO. Dank seiner fundierten Kenntnisse im Bereich IT-General Controls und der Einhaltung gesetzlicher Vorschriften kann Brian Kunden dabei unterstützen, Risiken im Zusammenhang mit ihren geschäftskritischen Anwendungen zu minimieren. Seine Tätigkeit bei globalen Unternehmen wie Raytheon und Deloitte macht ihn zu einer anerkannten Autorität für auditfähige SAP-Systeme und die Überbrückung der Kluft zwischen Sicherheit und Compliance.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen