Informationssicherheit und die Integrität der Finanzberichterstattung

Von:

22. Oktober 2024

Informationssicherheit

Integrität und Vertrauen werden in Beziehungen und Transaktionen stets eine wichtige Rolle spielen. Dies setzt voraus, dass Informationen sicher und leicht verständlich sind und dass auch der Prozess zur Erstellung dieser Informationen sicher ist. Der Enron-Skandal und die damit verbundene Affäre um die Wirtschaftsprüfungsgesellschaft Arthur Andersen sind die Lehren, aus denen Gesetze wie der Sarbanes-Oxley Act hervorgegangen sind. SOX wurde eingeführt, um dem Mangel an Integrität und Vertrauen durch die Schaffung einer zuverlässigen und verständlichen Finanzberichterstattung entgegenzuwirken.  Es ist äußerst wichtig, Ihre Anwendungsschicht zu schützen, insbesondere da SAP-Kunden 87 % des gesamten weltweiten Handels ausmachen. SAP bietet Lösungen an, die Unternehmen comply SOX unterstützen. In diesem Artikel blicken wir über diese SAP-Compliance-Lösungen hinaus, wie beispielsweise die Aufgabentrennung.

Interne Kontrollen für die Finanzberichterstattung

Gemäß Abschnitt 404 des Sarbanes-Oxley-Gesetzes müssen die internen Kontrollen für die Jahresberichterstattung sowohl von der Geschäftsleitung des börsennotierten Unternehmens als auch von der mit der Prüfung beauftragten Wirtschaftsprüfungsgesellschaft bestätigt werden. Die Folgen einer Nichteinhaltung können schwerwiegend sein und Geldstrafen sowie Freiheitsstrafen nach sich ziehen. Neben dem Einsatz von SAP-Lösungen zur Gewährleistung der Compliance müssen noch weitere Aspekte berücksichtigt werden.

Maßnahmen zur Informationssicherheit

 Der SOX schreibt vor, dass Finanzdaten sicher und für befugtes Personal zugänglich sein sowie vor Betrug geschützt sein müssen, um ihre Integrität zu gewährleisten. Dies müssen wir durch zusätzliche Sicherheitsmaßnahmen erreichen, wie zum Beispiel:

  1. Schutz von Servern und deren Betriebssystemen.
  2. Sicherstellung der Sicherheit der Netzwerkkommunikation.
  3. Einrichtung der Multi-Faktor-Authentifizierung.
  4. Einrichtung eines risikobasierten Schwachstellenmanagementsystems für Ihre Server, Netzwerke, Lieferkettensysteme und Ihre SAP-Landschaften.
  5. Durchführung regelmäßiger Red-Team-Penetrationstests für Ihre Netzwerke, Computer, Lieferkettenanwendungen sowie Ihre SAP-Landschaften.
  6. Implementieren Sie Lösungen, die das Cybersicherheits-Framework des NIST umsetzen und alle sechs Funktionen abdecken: Steuerung, Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung.

Was sind die Risiken?

Ein Unternehmen kann zwar alle erforderlichen Prozesse, Verfahren und Richtlinien implementieren, um die Einhaltung des SOX-Gesetzes sicherzustellen; dies schützt jedoch nicht unbedingt vor Angriffen durch staatlich gestützte Akteure oder Insider. Es reicht schon eine einzige raffinierte Phishing-E-Mail, auf die ein Mitarbeiter klickt, damit sich ein Angreifer im Unternehmensnetzwerk festsetzen kann.  Einmal drinnen, kann der Angreifer eine SAP-Sicherheitslücke ausnutzen, die ihm vollen Zugriff auf die Finanzdaten des Unternehmens gewährt. Leider kann dies zu einem Versagen der internen Kontrollen für die Finanzberichterstattung führen und sowohl zivil- als auch strafrechtliche Sanktionen für Führungskräfte nach sich ziehen.

Was kann ein Unternehmen tun?

Neben der Einführung eines soliden Cybersicherheits-Rahmenwerks und der Nutzung der von SAP angebotenen Lösungen müssen Unternehmen ihre Lieferkette überprüfen und sicherstellen, dass auch ihre Lieferanten der Informationssicherheit Priorität einräumen. Bei Onapsis beispielsweise erforschen wir SAP-Sicherheitslücken und arbeiten mit SAP zusammen, um diese zu beheben. Wir kennen uns mit SAP-Sicherheitslücken aus und stellen sicher, dass unsere platform SAP-Landschaften erkennen und schützen platform – manchmal bereits vor dem SAP-Patch-Tag, andernfalls immer am SAP-Patch-Tag. Darüber hinaus bieten wir Black-Box-Penetrationstests für SAP-Landschaften an.

Fazit

Das oberste Ziel von SOX und die Anforderungen an das interne Kontrollsystem (ICFR) bestehen darin, die Sicherheit und Integrität der Finanzdaten zu gewährleisten. Das bedeutet, dass die Daten nicht manipuliert werden können.  Wenn Systeme und Daten sicher sind, können börsennotierte Unternehmen ihre Finanzdaten sowohl zeitnah als auch genau melden. Letztendlich führt dies zu Transparenz und Vertrauen in das Unternehmen seitens des Vorstands, der Investoren, der Aktionäre, der Mitarbeiter und der Öffentlichkeit. Und Vertrauen ist das, was die Weltwirtschaft am Laufen hält.

Stichworte, , , ,
Über den Autor

Paul Laudanski

Leiter der Sicherheitsforschung

Paul Laudanski, Leiter der Sicherheitsforschung bei Onapsis, bringt über zwanzig Jahre Erfahrung in den Bereichen Cybersicherheit, threat research -entwicklung, threat intelligence sowie Spionageabwehr in seine Position ein. Paul ist zudem Mitglied des Onapsis Research Labs und widmet sich der Aufdeckung von Schwachstellen in geschäftskritischen Anwendungen, was bereits zur Behebung von über 1.000 Zero-Day-Schwachstellen in SAP- und Oracle-Anwendungen beigetragen hat. Paul hat einen Bachelor-Abschluss in Mathematik von der Rider University und lebt mit seiner Familie in Tacoma, Washington.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen