Anforderungen durch Sarbanes Oxley (SOX) beim Zugangsmanagement (IAM)

vPierre Compliance, Datenschutz, DevOps, DevSecOps, IAM, Identitätsmanagement (IdM), Sicherheit / Security Leave a Comment

Der Sarbanes-Oxley Act (SOX) von 2002 [1] ist nur eine von vielen Vorschriften, die wir beachten müssen, wenn es um Compliance geht. SOX, auch Corporate Responsibility Act genannt, kann Änderungen an den Richtlinien für Identitäts- und Zugriffsmanagement (IAM) erforderlich machen, um sicherzustellen, dass dein Unternehmen die Anforderungen an die Integrität der Finanzunterlagen und die Berichterstattung erfüllt.

Zuerst: Was ist der Sarbanes-Oxley Act (SOX)?

SOX wurde im Juli 2002 als Reaktion von Vorfällen infolge von Fehlverhalten in der Buchhaltung verabschiedet. Die Verordnung ergänzte die bestehenden Leitlinien und beinhaltete „Reformen zur Verbesserung der finanziellen Offenlegung von Unternehmen und zur Verhinderung von Bilanzfälschung“ mit dem Ziel, die Anleger vor „betrügerischen Buchführungstätigkeiten“ zu schützen.

Alle börsennotierten Unternehmen mit Sitz oder Geschäftstätigkeit in den USA unterliegen den SOX-Vorschriften. Die Punkte sind:

  • Erhöht die unternehmerische Verantwortung für die Finanzberichterstattung.
  • Einführung neuer Rechnungslegungsrichtlinien
  • Mandaten Schutz vor Bilanzbetrug
  • Verhängt schwerwiegendere Strafen bei Nichteinhaltung.

Datensätze, die von von SOX betroffenen Unternehmen gesammelt und gespeichert werden, unterliegen einer Reihe von Protokollen, die darauf abzielen, die Genauigkeit der Berichterstattung zu erhöhen und die unrechtmäßige Fälschung und Vernichtung von Datensätzen zu verhindern. Mit strengen Regeln für die Finanzberichterstattung und die Aufbewahrungsdauer von Aufzeichnungen verändert dieses Gesetz die Art und Weise, wie viele Unternehmen mit der Buchhaltung umgehen.

SOX-Compliance-Anforderungen

Der erste Schritt zur SOX-Konformität besteht darin, einen „Accounting Framework“ zu schaffen, um überprüfbare Papier- und Datenspuren für alle Finanzaktivitäten zu erstellen. Jede Handlung, die sich auf die Finanzberichterstattung auswirken kann, muss als Nachweis der Compliance verfolgt und dokumentiert werden, einschließlich Änderungen an der Finanz- und Buchhaltungssoftware.

Darüber hinaus müssen Unternehmen interne Kontrollen einrichten, um betrügerische Aktivitäten und Berichte zu verhindern. CEOs und CFOs sind verpflichtet, alle Aufzeichnungen gemäß Abschnitt 302 SOX persönlich als „vollständig und korrekt“ zu zertifizieren und bestätigen, dass sie die Kontrollen in den letzten 90 Tagen mindestens einmal überprüft haben.

Abschnitt 404 beschreibt die Anforderungen an die Überwachung und Aufrechterhaltung der Kontrollen. Mit einem Framework wie COBIT [2] müssen Unternehmen ein jährliches Audit durchführen, um festzustellen, wie gut die Kontrollen funktionieren, und die Ergebnisse direkt an die Security Exchange Commission (SEC) melden. Alle Auditaufzeichnungen, ob physisch oder digital, müssen mindestens fünf Jahre lang aufbewahrt werden.

Sollte ein Sicherheitsverstoß die Finanzen oder Aufzeichnungen gefährden, verlangen die SOX-Bestimmungen, dass betroffene Unternehmen den Vorfall so schnell wie möglich melden.

Risiko bei Nichteinhaltung

Die Nichteinhaltung von SOX kann zu schweren Strafen führen. Führungskräfte von Unternehmen, die falsche Berichte bestätigen, können mit einer Geldstrafe von bis zu einer Million US-Dollar pro Fall belegt werden, die zu bis zu 10 Jahren Gefängnis oder beidem verurteilt wird. Die vorsätzliche Zertifizierung falscher Berichte ist mit einer Geldstrafe von bis zu 5 Millionen USD, einer Gefängnisstrafe von bis zu 20 Jahren oder beidem verbunden. Der strenge Charakter dieser Sanktionen macht deutlich, wie wichtig strenge Sicherheitsmaßnahmen sind, zumal ein einziger Buchhaltungsfehler mehrere ungenaue Berichte zusammensetzen und erstellen kann, wenn er nicht rechtzeitig erfasst wird.

Wie verhält sich IAM zu SOX?

Da sowohl physische als auch digitale Datensätze von SOX betroffen sind, ist das Zugriffsmanagement ein integraler Bestandteil neben Log Management der Compliance. Als das Gesetz zum ersten Mal verabschiedet wurde, beschäftigten sich viele Unternehmen noch nicht mit der Komplexität der Konnektivität, die in modernen Unternehmen zu beobachten ist. Die Anforderung, „angemessene interne Kontrollen“ für „Finanzberichterstattung und Governance“ einzuführen, erstreckt sich jedoch auch auf die IT, insbesondere in Umgebungen, in denen mehrere Gerätetypen von verschiedenen Standorten aus mit dem Unternehmensnetz verbunden sind und viele Informationen in der Cloud verarbeitet werden.

Strategische IAM-Praktiken steuern mehrere Faktoren, die sich auf die Finanzberichte auswirken können:

  • Datenschutzverletzungen
  • Insider-Bedrohungen
  • Menschliches Versagen

Durch die Automatisierung von Aktivitäten wie Benutzerbereitstellung und Deprovisionierung sowie die Implementierung detaillierter bedingter Zugriffskontrollen minimieren Unternehmen das Risiko eines unbefugten Zugriffs und reduzieren Fälle von Privilegienabstürzen. Die Zuweisung von Identitäten an Geräte erleichtert die Kontrolle darüber, wie und wo Mitarbeiter auf Unternehmensnetze zugreifen, und trägt dazu bei, einige der Probleme bei der Erstellung und Durchsetzung von BYOD-Richtlinien zu vermeiden.

Business IAM-Lösungen beinhalten auch automatische Protokollierungs- und Berichtstools, so dass für jedes Audit klare Berichte erstellt werden können. Da Unternehmen in der Regel eine große Anzahl von Mitarbeitern mit unterschiedlichem Netzugriffen haben, sind die automatisierte Protokollierung und Berichtserstellung für die Einhaltung von SOX unerlässlich. Ohne diese Werkzeuge wäre es fast unmöglich, die Aktionen jedes Benutzers und jedes Geräts zu verfolgen, und verdächtiges Verhalten könnte lange genug übersehen werden, um ernsthafte Probleme zu verursachen.

Alle digitalen Sicherheitsrichtlinien, einschließlich IAM, sollten im Rahmen des jährlichen SOX-Compliance-Audits auf ihre Wirksamkeit überprüft werden.

Zugriffsverwaltungskontrollen

Für die SOX-Konformität sollten Unternehmen folgende Punkte einhalten:

  • Verwaltung von Zugriffsrechten während des On-Boarding, Off-Boarding, Rollenwechsels, etc.
  • Sicherstellung der Funktionstrennung (SoD=segregation of duties oder separation of duties) [3]
  • Zugriffskontrollmatrix pflegen (RBAC=Role Based Access Control)
  • Regelmäßige Zugriffsprüfungen durchführen
  • Automatisierung der Berichterstattung

Die Einhaltung von Vorschriften wie SOX ist wichtig für die Sicherheit deines Unternehmens und der von dir verwalteten Daten. Wenn du noch keine Maßnahmen ergriffen hast, um die Einhaltung der Vorschriften in Bezug auf die Finanzaufzeichnungen und das Berichtswesen sicherzustellen, arbeite mit Iden Abteilung zusammen, um eine IAM-Strategie zu entwickeln, die darauf abzielt, Fehler zu minimieren, unbefugten Zugriff zu verhindern und alle Aufzeichnungen während der Übertragung und Speicherung zu protokollieren.

Links

[1] https://www.congress.gov/bill/107th-congress/house-bill/3763/text/enr
[2] http://www.isaca.org/cobit
[3] https://de.wikipedia.org/wiki/Funktionstrennung
[4] https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/rs_1210_marisk_ba.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.