Informationssicherheit und die Integrität der Finanzberichterstattung

Sicherung von Informationen + Integrität und Vertrauen werden in Beziehungen und Transaktionen immer wichtig bleiben. Dies setzt voraus, dass Informationen sicher und einfach zu verstehen sind und dass der Prozess zur Erstellung dieser Informationen ebenfalls sicher ist. Der Enron-Skandal und die Wirtschaftsprüfungsgesellschaft Arthur Andersen sind die Lehren, aus denen Gesetze wie der Sarbanes-Oxley Act entstanden sind. SOX zielte darauf ab, den Mangel an Integrität und Vertrauen bei der Erstellung zuverlässiger und verständlicher Finanzberichte zu beheben. Es ist so wichtig, Ihre Anwendungsschicht zu schützen, insbesondere wenn SAP-Kunden 87 % des gesamten globalen Handels generieren. SAP bietet Lösungen an, die Unternehmen bei der Einhaltung von SOX unterstützen. In diesem Artikel werfen wir einen Blick über diese SAP-Compliance-Lösungen hinaus, wie z. B. die Aufgabentrennung.

Interne Kontrollen für die Finanzberichterstattung

Gemäß Abschnitt 404 des Sarbanes-Oxley-Gesetzes müssen die internen Kontrollen für die jährliche Berichterstattung sowohl von der Geschäftsführung des börsennotierten Unternehmens als auch von der Wirtschaftsprüfungsgesellschaft, die die Prüfung durchführt, bestätigt werden. Die Folgen einer Nichteinhaltung können schwerwiegend sein und Geld- und Haftstrafen umfassen. Neben der Verwendung von SAP-Lösungen zur Sicherstellung der Compliance gibt es noch weitere Aspekte, die berücksichtigt werden müssen.

Informationssicherheit

Gemäß SOX müssen Finanzinformationen sicher sein, für autorisiertes Personal zugänglich sein und vor Betrug geschützt werden, um ihre Integrität zu gewährleisten. Dies müssen wir durch zusätzliche Sicherheitsmaßnahmen erreichen, wie z. B.:

1. Schutz von Servern und ihren Betriebssystemen.
2. Sicherstellung der Sicherheit der Netzwerkkommunikation.
3. Einrichtung einer Multi-Faktor-Authentifizierung.
4. Einrichtung eines risikobasierten Schwachstellenmanagementsystems für Ihre Server, Netzwerke, Lieferkettensysteme und Ihre SAP-Landschaften.
5. Durchführung eines routinemäßigen Penetrationstests durch ein rotes Team für Ihre Netzwerke, Computer, Lieferkettenanwendungen sowie Ihre SAP-Landschaften.
6. Einsatz von Lösungen, die das NIST-Cybersicherheitsrahmenwerk operationalisieren und jede der sechs Funktionen abdecken: Steuern, Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.

Welche Risiken bestehen?

Ein Unternehmen kann alle erforderlichen Prozesse, Verfahren und Richtlinien implementieren, um die Einhaltung des SOX sicherzustellen. Dies kann jedoch nicht verhindern, dass es von einem Bedrohungsakteur eines Nationalstaats oder einem Insider ins Visier genommen wird. Es genügt eine einzige raffinierte Phishing-E-Mail, auf die ein Mitarbeiter klickt, damit ein Bedrohungsakteur intern Fuß fassen kann. Einmal im Inneren, kann der Bedrohungsakteur eine SAP-Schwachstelle ausnutzen, die ihm vollen Zugriff auf die Finanzdaten eines Unternehmens ermöglicht. Leider kann dies zu einem Versagen der internen Kontrollen für die Finanzberichterstattung führen und sowohl zivil- als auch strafrechtliche Sanktionen für Führungskräfte nach sich ziehen.

Was kann ein Unternehmen tun?

Abgesehen von der Implementierung eines soliden Cybersicherheitsrahmens und der Nutzung der SAP-Angebote müssen Unternehmen ihre Lieferkette überprüfen und sicherstellen, dass auch die Anbieter der Informationssicherheit Priorität einräumen. Bei Onapsis untersuchen wir beispielsweise SAP-Schwachstellen und arbeiten mit SAP zusammen, um diese zu beheben. Wir verstehen auch SAP-Schwachstellen und stellen sicher, dass unsere Plattform SAP-Landschaften erkennen und schützen kann, manchmal vor dem SAP-Patch-Day, ansonsten immer am SAP-Patch-Day. Wir bieten auch Black-Box-Penetrationstests von SAP-Landschaften an.

Schlussfolgerung

Das oberste Ziel von SOX und die Anforderung von ICFR ist es, die Sicherheit und Integrität von Finanzdaten zu gewährleisten. Das bedeutet, dass die Daten nicht manipuliert werden können. Wenn Systeme und Daten sicher sind, bedeutet dies, dass börsennotierte Unternehmen ihre Finanzdaten sowohl rechtzeitig als auch genau melden können. Letztendlich führt dies zu Transparenz und Vertrauen in das Unternehmen durch den Vorstand, durch Investoren, durch Aktionäre, durch Mitarbeiter und die Öffentlichkeit. Und Vertrauen ist das, was die Weltwirtschaft am Laufen hält.

Autor:  Paul Laudanski, Leiter der Sicherheitsforschung bei Onapsis, bringt über zwanzig Jahre Erfahrung in den Bereichen Cybersicherheit, Bedrohungsforschung und -technik, Bedrohungsaufklärung und Spionageabwehr in seine Position ein. Paul ist außerdem Mitglied des Onapsis Research Labs-Teams und hat sich der Suche nach Schwachstellen in geschäftskritischen Anwendungen verschrieben, die dazu beigetragen haben, über 1.000 Zero-Day-Schwachstellen in SAP- und Oracle-Anwendungen zu beheben. Paul hat einen BA in Mathematik von der Rider University und lebt mit seiner Familie in Tacoma, Washington.

Source: Onapsis-Blog

Onapsis bei LinkedIn

Bild/Quelle: https://depositphotos.com/de/home.html