SOX und die IT-Sicherheit – Der »Sarbanes-Oxley-Act« (SOX) verunsichert deutsche Unternehmen. Was schreibt er vor, für wen gilt er? Mit wie viel Aufwand ist zu rechnen, will man sich der Gesetzesregelung stellen?

Seit seinem Erlass im Jahr 2002 sorgt der amerikanische »Sarbanes-Oxley-Act« (SOX) in europäischen Unternehmen für Kopfschmerzen. Die Senatoren Paul Sarbanes und Michael Oxley haben diese Gesetzesregelung als Reaktion auf die Finanzskandale bei Enron und Worldcom ins Leben gerufen. Viele global operierende Unternehmen haben daraufhin großzügig ausgestattete Task-Forces eingerichtet, um die Folgen von SOX zu evaluieren. Davon haben zu allererst die Compliance-Experten profitiert, weil die hohe Nachfrage ihre Stundensätze sprunghaft hat ansteigen lassen. Hat aber eine ausländische Regelung Einfluss auf den deutschen Markt? Was hat SOX überhaupt mit IT-Sicherheit zu tun?

Schnittmengen

Der Zusammenhang zwischen IT-Sicherheit und SOX erschließt sich nicht gleich. Denn der Gesetzestext nimmt auf die Sicherheit der IT-Systeme nicht einmal ausdrücklich Bezug. Nichtsdestotrotz werben gerade amerikanische Anbieter von Security-Lösungen damit, dass ihre Software »SOX-kompatibel« sei. Damit tragen sie ihren Teil zur Verunsicherung bei, denn sie verschleiern, was das Gesetz eigentlich bezweckt.

Im Grunde stellt SOX konkrete Anforderungen an die interne Prozessdokumentation von börsennotierten Unternehmen. Deren Geschäfte und vor allem die damit verbundenen Risiken sollen so transparenter werden. Dazu regelt das Gesetz beispielsweise die Einrichtung einer nationalen Aufsichtsbehörde (Public-Accounting-Oversight-Board) und spezielle unternehmensinternen Kontrollgremien (Audit-Committee). SOX verpflichtet aber auch die Manager selbst. Im Rahmen des Gesetzes sind sie gehalten, Jahresabschlüsse bei der amerikanischen Börsenaufsicht SEC einzureichen. Diese Informationen müssen korrekt sein und beispielsweise die Rechnungslegung dokumentieren. Für die Erfüllung dieser Bedingung verlangt SOX, dass Unternehmen ein internes Kontrollsystem einrichten. Ein System, das auf sämtliche Prozesse angesetzt ist, die direkt oder indirekt auf die Geschäftsinformationen und ihre Richtigkeit Einfluss nehmen.

Der berüchtigte »Abschnitt 404« in SOX schreibt dies fest. Darin wird explizit verlangt, dass alle Geschäftsprozesse, welche die Vorbereitung, Erfassung und Verarbeitung von berichtsrelevanten Daten und natürlich die Berichterstattung selbst betreffen, ausführlich dokumentiert und kontrolliert sein müssen.

Diese Prozesse werden heute größtenteils über IT-Systeme abgewickelt. Damit schafft SOX den direkten Bezug zur IT. Neu sind diese Anforderungen nicht. Denn auch in Deutschland sind ähnliche Bedingungen definiert, beispielsweise im »Deutscher Prüfungsstandard 330« des Instituts der Wirtschaftsprüfer.

Beide Vorschriften bedingen schließlich, dass die Kontrolle der IT-Systeme einer der wichtigsten Bestandteile beim Aufbau eines regelgerechten internen Kontrollsystems ist. Wer aber IT-Systeme überwachen will, muss sie zwingend sichern. Denn: Nur wenn die zur Rechnungslegung eingesetzten Computer, Datenspeicher und Netzwerke manipulationssicher und fortlaufend überwacht sind, darf das Unternehmen verlässlich davon ausgehen, dass die mit diesen Systemen erstellten und gespeicherten Daten den tatsächlichen Gegebenheiten entsprechen.

Anforderungen an die IT-Sicherheit

Auch im Zusammenhang mit SOX gilt: Unternehmen müssen zuerst alljene Geschäftsprozesse identifizieren, die mit berichtsrelevanten Daten hantieren. Danach haben sie die Risiken für diese Komponenten zu identifizieren und soweit wie möglich zu reduzieren.

Dies geschieht konkret mit Hilfe von Sicherheitslösungen. Produkte, die die Integrität und Vertraulichkeit der Daten gewährleisten, indem sie Kontroll- und Überwachungsmechanismen einsetzen. Nur auf diese Weise lassen sich in der EDV unberechtigte Zugriffs- oder Manipulationsversuche erkennen und vereiteln.

Diese Kontroll- und Security-Systeme müssen weiterhin umfassend dokumentiert sein. SOX selbst legt hier nichts Konkretes fest. Ansatzpunkte bieten hier beispielsweise die Grundsätze ordnungsgemäßer Buchführungssysteme (GoBS). Eine ordnungsgemäße Dokumentation erfasst danach zumindest den Namen, die eingesetzte Version und den Hersteller, die eingesetzten IT-Sicherheits-Anwendungen sowie die Organisationsbezeichnungen der fachlichen und der technischen Betreuung. Gegebenenfalls sind dabei auch Outsourcing- oder Managed-Security-Service-Beziehungen zu dokumentieren. Der Detailgrad der Dokumentation gemäß SOX erfolgt dabei auf der Grundlage von Zielvorgaben. Auch hierzu muss man sich anderer Quellen bedienen. Im IT-Bereich hat sich diesbezüglich mit »COBIT« ein definiertes Standard-Prozessmodell etabliert, das jedem Einzelprozess spezifische Kontrollen zuordnet.

Übrigens: Sollte noch kein ausreichendes Maß an IT-Sicherheit bestehen, darf der IT-Verantwortliche nicht vergessen, dass nicht nur die Sicherheitsprozesse selbst, sondern auch deren Implementierung einer vollständigen und korrekten Dokumentation bedürfen. Wie detailliert muss diese sein? Als Bezugspunkt fordert hierzu die GoBS eine Detailtiefe, die »von einem sachverständigen Dritten hinsichtlich ihrer formellen und sachlichen Richtigkeit in angemessener Zeit zu prüfen sein muss«. Konkret bedeutet das zumindest eine Beschreibung des erkannten Problems und der sachlogischen und programmtechnischen Problemlösung. Diese thematisiert insbesondere die Sicherung der Datenintegrität. Und schließlich sollte die Dokumentation entsprechende Arbeitsanweisungen für die Anwender enthalten.
Risiken bei mangelhafter Compliance

Angesichts des mit einer Umsetzung von SOX verbundenen Aufwands stellen sich viele Unternehmen die Frage, ob dieser tatsächlich erforderlich ist. Dabei dürfen sie nicht vergessen, dass bereits nach deutschem Recht Vorstände und Geschäftsführer persönlich für Schäden haften, die auf mangelhafte IT-Sicherungsvorkehrungen zurückzuführen sind. Auch Basel II, die »GDPdU« und andere Vorschriften verlangen eine funktionierende IT-Sicherheit. Für die von SOX betroffenen Unternehmen bestehen aber noch weitere Risikofaktoren. SOX definiert ganz konkret den CEO und den CFO als die Personen im Unternehmen, die in letzter Instanz für die Einführung und die Umsetzung des vom Gesetzgeber verlangten Kontrollsystems verantwortlich sind. Diese Verantwortung sollte nicht unterschätzt werden. Fehler in den bei der SEC einzureichenden Berichten des Unternehmens, die auf mangelhafte oder gar auf manipulierte Daten zurückzuführen sind, können zu empfindlichen Geldstrafen oder sogar zu ernst zu nehmenden Gefängnisstrafen führen. SOX sieht hierzu eine Höchststrafe von 21 Jahren für den Fall der vorsätzlichen Manipulation von berichtsrelevanten Zahlen oder fehlerhaften Aussagen im Bericht vor. Ob deutsche Geschäftsführer die ganze Härte zu spüren bekommen werden, ist noch offen.

Praxisempfehlung

Der Verantwortliche sollte zuerst festellen, ob SOX das Unternehmen überhaupt betrifft. Wenn weder das Unternehmen noch eine Muttergesellschaft an einer amerikanischen Börse notiert ist und auch sonst keine Verpflichtung zu SEC-Berichten besteht, darf sich die Firma getrost auf andere Dinge konzentrieren – SOX ist dann kein Thema für die Agenda.

Für den anderen Fall sollte das Unternehmen zunächst untersuchen, welchen Stand das interne Kontrollsystem hat und wie die Prozessdokumentation beschaffen ist. Sind die Kontrollen im gesamten Prozess an der richtigen Stelle etabliert? Sind sie ausreichend, um eventuelle Schwächen frühzeitig zu erkennen? Garantieren die IT-Sicherheitssysteme, dass die Kontrollen nicht umgangen werden können, und sind die Kontrollmechanismen selbst zuverlässig? Sind die Informationsflüsse im Unternehmen bekannt?

Wer diese Fragen beantwortet hat, sollte dann beispielsweise auf der Grundlage von Cobit und den einschlägigen Prüfungsstandards eine Compliance-Checkliste erstellen und diese Punkt für Punkt abarbeiten. Dabei sollten immer die Anstrengungen umfassend dokumentiert und sichergestellt sein, dass es für jeden Kontrollmechanismus Verantwortliche gibt.

Wichtig ist aber stets eine grundlegende Erkenntnis: Der einmalige Aufbau eines internen Kontrollsystems und der zu seinem Schutz erforderlichen Sicherheitsinfrastruktur reichen nicht aus, um Compliance zu sichern. Es handelt sich hierbei vielmehr um ein äußerst dynamisches Regelwerk, das ständig kontrolliert, überarbeitet und neuen Gegebenheiten und an die damit verbundenen Prozesse angepasst werden muss. Nur dann ist gewährleistet, dass die IT-Systeme verlässliche Zahlen liefern, mit denen die Wirtschaftsprüfer bedenkenlos arbeiten können.