Der Inside-Out-Sicherheits Blog Blog   /     /  

Compliance Brief: Sarbanes-Oxley (SOX)

Compliance Brief: Sarbanes-Oxley (SOX)

SARBANES-OXLEY (SOX) UND VARONIS

Hintergrund

Der Sarbanes-Oxley-Act von 2002, der als der Public Company Accounting Reform and Investor Protection Act von 2002 bekannt ist und allgemein „SOX“ oder „Sarbox“ genannt wird, ist ein US-Bundesgesetz, das am 30. Juli 2002 als Reaktion auf mehrere große Unternehmens- und Buchhaltungsskandale erlassen wurde. Seit 2006 müssen alle öffentlichen Unternehmen eine jährliche Bewertung über die Effektivität ihrer internen Finanzauditkontrollen an die amerikanische Börsenaufsichtsbehörde (U.S. Securities and Exchange Commission, SEC) übertragen. Darüber hinaus müssen alle externen Unternehmensprüfer die internen Kontrollberichte über das Management überprüfen und erfassen, zusätzlich zu den Geschäftsberichten des Unternehmens.

Wer ist von der Verordnung betroffen

Wenn Sie eine dieser Fragen mit JA beantworten, unterliegt Ihr Unternehmen dem SOX

  • Ist Ihr Unternehmen börsennotiert?
    Die SOX-Gesetzgebung definiert neue oder verbesserte Standards für die amerikanischen Vorstände und Geschäftsleitung in Aktiengesellschaften und Wirtschaftsprüfungsgesellschaften. Zur Compliance mit Paragraph 404 müssen Aktiengesellschaften mit einer Marktkapitalisierung von mehr als 75 Millionen USD ihre Rechnungslegungsvorschriften für den Jahresbericht des ersten Geschäftsjahres nach dem 15. November 2006 fertig haben, sowie anschließend für alle Quartalsberichte. Für kleinere Unternehmen ist eine Compliance für den Jahresabschluss des ersten Geschäftsjahres erforderlich und anschließend für alle Quartalsberichte der Finanzergebnisse ab dem 15. Juli 2006.
  • Ist Ihr Unternehmen privat, plant aber den Börsengang (Initial Public Offering, IPO)?
    Privaten Unternehmen sind nicht von SOX betroffen, allerdings müssen Unternehmen, die einen Börsengang (IPO) planen, ein SOX-konformes Rahmenwerk vorlegen.

Erste Schritte zur SOX-Compliance

COSO-FRAMEWORK

  • Risikobewertung: Der Prozess und die Technologien, die zur Identifizierung und dem Verständnis der Risikobereiche verwendet werden, die die Vollständigkeit und Gültigkeit finanzieller Berichte und anderer wichtiger und sensibler Informationen mit Einfluss auf die Finanzberichterstattung beeinträchtigen.
  • Kontrollumgebung: Dabei handelt es sich um die Grundlage zur Anwendung des COSO-Frameworks und somit um das Erzielen der SOX-Compliance. Es umfasst die Integrität und Ethik von Unternehmen in allen Prozessen, die Philosophie und den Betriebsstil des Managements, die Art der Zuweisung von Zuständigkeiten und Verantwortungen durch das Management und organisiert und beeinflusst das Personal sowie die Aufmerksamkeit und Richtung, die vom Vorstand vorgegeben wird.
  • Kontrollaktivitäten: Das umfasst Genehmigungen, Zulassungen, Verifizierungen, Abstimmungen, Prüfungen der Betriebsleistung, Sicherung von Vermögenswerten und Trennung der Aufgaben.
  • Überwachung: Audit-Prozesse und -Pläne für die Behandlung von Bereichen mit hohen Risiken innerhalb der IT-Organisation. Das IT-Personal sollte regelmäßige interne Audits durchführen.
  • Informationen und Kommunikation: Das IT-Management demonstriert der Unternehmensführung ein Verständnis darüber, was geleistet werden muss, um dem Sarbanes-Oxley-Act zu entsprechen und wie dieses Ziel erreicht werden kann.

COBIT-FRAMEWORK
Das IT Governance Institute’s Control Objectives of Information and Related Technology (COBIT) wird ebenfalls von vielen Unternehmen als Rahmenwerk zur Unterstützung der IT SOX 404 Bemühungen genutzt. Es gibt jedoch bestimmte Aspekte von COBIT, die außerhalb der Grenzen der Sarbanes-Oxley-Regulierungen liegen. COBIT definiert im Moment vier Hauptziele, die mit 34 IT-Prozessen und 318 detaillierten Kontrollen verbunden sind. Nur 12 dieser Kontrollprozesse haben jedoch einen direkten Nutzen für die SOX-Compliance. Darüber hinaus und in Bezug auf die Eignung und den Nutzen der Varonis-Software für die SOX-Compliance konzentrieren wir uns auf die zwei wichtigsten der 34 Kontrollprozesse: Sicherstellung der Systemsicherheit und Verwaltung der Konfiguration.

  • Sicherstellung der Systemsicherheit: Kontrollen, die angemessene Gewissheit bietet, dass die Systeme und Untersysteme zur Finanzberichterstattung entsprechend gesichert sind, um unbefugte Nutzung, Offenlegung, Veränderung, Beschädigung oder Verlust von Daten zu verhindern.
  • Verwaltung der Konfigurationen: Kontrollen, die angemessene Gewissheit bieten, dass alle Komponenten (in Verbindung mit der Sicherheit, Verarbeitung und Verfügbarkeit) ausreichend geschützt sind, und somit unbefugte Änderungen verhindern und bei einer Verifizierung und Erfassung der aktuellen Konfiguration helfen würden.

Darstellung der Funktionen und Anforderungen

Anforderung CobIT-Kontrolle Beschreibung Varonis-Produkt/Funktion

SOX-Paragrafen 302 und 404

COSO-Komponenten

  • Risikobewertung
  • Kontrollaktivitäten
  • Informationen und Kommunikation

SOX- Paragrafen 302 und 404

COSO-Komponenten

  • Risikobewertung
  • Kontrollaktivitäten
  • Informationen und Kommunikation

Paragrafen 302 & 404 definieren, dass der CEO und CFO eines Unternehmens direkt für die Genauigkeit, Dokumentation und Übertragung aller Finanzberichte sowie der internen Kontrollstrukturen an die SEC verantwortlich sind. Damit ein Unternehmen diese Anforderungen sicher erfüllen kann, muss es ein klares Verständnis darüber haben, wo Daten gespeichert sind, wem diese Daten gehören, wer für sie verantwortlich ist (Steward) und wer zu deren Nutzung zugelassen ist.

Varonis DatAdvantage überwacht und speichert alle Aspekte der Datennutzung von Informationen, die auf Dateiservern und Network Attached Storage (NAS) Geräten gespeichert sind, in einem durchsuchbaren Format. Varonis bietet ein detailliertes Protokoll des Inhalts der Dateiserver und wie dieser verwendet wird; einschließlich: Dateinamen, Ordner, Zugriffsprivilegien auf Dateien und Ordner (d. h. NTFS-Berechtigungen von Benutzern oder Gruppen), Datennutzung nach Benutzer- oder Gruppennamen (d. h. Erstellen, Öffnen, Löschen, Umbenennen), einer Liste der wahrscheinlichen Business Owner dieser Daten. Die Identifizierung der Business Owner basiert auf der Varonis-Analyse zur rechtmäßigen Benutzeraktivität von bestimmten Datensätzen.

SOX- Paragrafen 302 und 404

COSO-Komponenten

  • Kontrollaktivitäten
  • Informationen und Kommunikation
  • Sicherstellung der Systemsicherheit
  • Verwaltung der Konfiguration

SOX erfordert einen internen Kontrollbericht der besagt, dass die Geschäftsführung für eine „angemessene interne Kontrollstruktur und eine Bewertung der Wirksamkeit der Kontrollstruktur durch die Geschäftsführung“ verantwortlich ist. Jegliche Mängel in diesen Kontrollen müssen gemeldet werden. Um das zu erreichen, empfiehlt COBIT Sicherheitsbeauftragten die direkte Berichterstattung an die Geschäftsführung sowie eine Trennung der folgenden Aufgabenbereiche: Datenerfassung, Computerbetrieb, Netzwerkverwaltung, Systemverwaltung, Systementwicklung und -wartung, Änderungsmanagement, Sicherheitsverwaltung und Sicherheits-Audit.

Varonis hilft dabei, diese Anforderungen auf verschiedenste Arten zu erfüllen.

  • Varonis empfiehlt die Aufhebung von Datenberechtigungen für diejenigen Benutzer, die keine geschäftliche Notwendigkeit dafür haben – das sorgt dafür, dass der Benutzerzugriff auf Daten immer gewährleistet ist und auf den geringsten Rechten basiert.
  • Varonis erstellt Berichte, die den Verlauf der Aufhebung von Berechtigungen anzeigen, sowie den Prozentsatz, um den die übermäßigen Zugriffsberechtigungen reduziert wurden.
  • Varonis DataPrivilege bietet über eine webbasierte Anwendung einen Mechanismus, über den alle Zugriffsanfragen auf unstrukturierte Daten überwacht und verwaltet (Zugriff zulassen/verweigern) werden können. Antragsteller, Data Owner, technische und finanzielle Kontrollinstanzen sind alle an der Kommunikation und den Aktionen innerhalb des Systems beteiligt. In Bezug auf Anfragen zum Zugriff auf unstrukturierte Daten auf Laufwerken werden alle ergriffenen Maßnahmen und zugrunde liegenden Begründungen erfasst. Darüber hinaus wird auch ein Workflow erzwungen (d. h. Anfragen auf Finanzordner gehen direkt zum Business Owner).

Mit diesen Funktionen können Unternehmen einen Verlauf und eine nachhaltige Umsetzung des Zugriffs des geringsten Rechts sowie dessen Auswirkungen aufzeigen.

SOX- Paragrafen 302 und 404

COSO-Komponenten

  • Kontrollaktivitäten
  • Informationen und Kommunikation
  • Sicherstellung der Systemsicherheit
  • Verwaltung der Konfiguration

Formelle Sicherheitsrichtlinien, die Kommunikation dieser Richtlinien sowie die konsistente Umsetzung der Richtlinien sind wesentlich für einen sicheren Betrieb. COBIT empfiehlt Unternehmen die Entwicklung einer „Framework-Richtlinie, die den grundsätzlichen Ansatz des Unternehmens in Bezug auf Sicherheit und interne Kontrollen definiert, um den Schutz der IT-Ressourcen und die Integrität der IT-Systeme zu bestimmen und zu verbessern.“

Varonis DataPrivilege hilft Organisationen nicht nur dabei, Richtlinien zu definieren, die bestimmen, wer Zugriff erhält und wer diesen Zugriff auf unstrukturierte Daten erteilen kann, sondern setzt auch die erforderlichen Workflows und gewünschten Aktionen um (d. h. zulassen, verweigern, für bestimmten Zeitraum zulassen). Das hat einen doppelten Effekt auf die Konsistenz und umfangreiche Kommunikation der Zugriffspolitik:

  • Es beteiligt alle Parteien, einschließlich Data Owner, SOX-Compliance-Beauftragten, Prüfer, Datennutzer UND der IT, die für einen bestimmten Datensatz verantwortlich sind.
  • Es ermöglicht Organisationen eine kontinuierliche Überwachung des Zugriff-Frameworks, um Änderungen und Optimierungen für die SOX-Compliance zu machen, aber auch den gewährten Zugriff dauerhaft sicherzustellen.

SOX- Paragrafen 302 und 404

COSO-Komponenten

  • Kontrollaktivitäten
  • Überwachung der Informationen und Kommunikation
  • Sicherstellung der Systemsicherheit
  • Verwaltung der Konfiguration

SOX verlangt, dass Organisationen Nachweise für deren Konformität vorlegen können. Das bedeutet kontinuierliche Bemühungen zur Dokumentation und Messung der Compliance.

Varonis ermöglicht äußerst detaillierte Berichte, einschließlich: Datennutzung (z. B. sämtliche Datenberührungen aller Benutzer); Benutzeraktivität bezüglich sensibler/vertraulicher Daten; Änderungen wie Sicherheits- und Berechtigungsänderungen, die sich auf die Zugriffsrechte von bestimmten Dateien oder Ordnern auswirken; einen detaillierten Bericht über die aufgehobenen Berechtigungen, einschließlich der Namen der Benutzer und der Datensätze, für die die Berechtigungen aufgehoben wurden. Da DatAdvantage ermöglicht, dass auch die komplexesten Anfragen der Datennutzung innerhalb der Anwendung abgespeichert und in Berichten erfasst werden können, ist die Menge und Art an Informationen, die zur SOX-Compliance dokumentiert werden können, nahezu grenzenlos.

SOX- Paragrafen 302 und 404

COSO-Komponenten

  • Kontrollaktivitäten
  • Überwachung
  • Sicherstellung der Systemsicherheit
  • Verwaltung der Konfiguration

Buchhaltung für Zugriff (insbesondere Verwaltungszugriff) auf kritische Systeme ist ein wesentlicher Aspekt der SOX-Compliance. Systeme müssen so konfiguriert werden, dass sowohl der Zugriff von Verwaltungspersonal als auch von Benutzern erfasst wird, um die Protokolle für eine spätere Durchsicht zu speichern und die Protokolle vor unbefugtem Zugriff zu schützen.

Varonis DatAdvantage pflegt einen detaillierten Verlauf aller Objekte, die mit der Varonis-Anwendung verwaltet werden, einschließlich Benutzern, Benutzergruppen und demzufolge administrative Konten innerhalb der Benutzerverzeichnisse. Benutzer von DatAdvantage können jederzeit Berichte erstellen, die aufzeigen, welche Administratoren Sicherheitseinstellungen und Zugriffsberechtigungen auf Dateiservern und deren Inhalt verändert haben. Das gleiche Maß an Detail wird auch über die Benutzer der Daten bereitgestellt und zeigt den Zugriffsverlauf sowie jegliche Änderungen an den Sicherheitseinstellungen oder Zugriffskontrollen von Dateien oder Ordnern. Darüber hinaus können für ungewöhnliche oder übermäßige Aktivitäten an wichtigen Datensätzen auch automatische Warnungen oder Berichte eingerichtet werden. All diese Funktionen sorgen dafür, dass der Zugriff auf Daten kontinuierlich auf eine angemessene Nutzung überwacht wird, und Organisationen alle Informationen zur Hand haben, die sie für forensische Analysen und verbesserte Prozesse benötigen.

SOX- Paragrafen 302 und 404

COSO-Komponenten

  • Kontrollaktivitäten
  • Überwachung der Informationen und Kommunikation
  • Sicherstellung der Systemsicherheit
  • Verwaltung der Konfiguration

Wissen zum Zustand aller kritischen SOX-Systeme und -Anwendungen ist wesentlich für die Compliance. Die Änderungskontrolle ermöglicht es Organisationen, aufzuzeigen, dass ihr Zustand als unter Kontrolle gilt.

Wie oben erwähnt, pflegt Varonis detaillierte Aktivitätsberichte für alle Benutzerobjekte, einschließlich der Administratoren innerhalb von Active Directory und allen Datenobjekten innerhalb von Dateisystemen. Berichte über Änderungen werden automatisch erstellt und per E-Mail, PDA etc. an die speziell für diesen Zweck definierten Personen geschickt. Diese Berichte können in einer speziell definierten Häufigkeit erstellt und versandt werden, damit die zuständigen Parteien stets rechtzeitig und in Übereinstimmung mit den Kommunikationsrichtlinien der Organisation über Änderungen an den Zugriffskontrollen informiert werden.

SOX- Paragrafen 302 und 404

COSO-Komponenten

  • Kontrollaktivitäten
  • Überwachung der Informationen und Kommunikation
  • Sicherstellung der Systemsicherheit
  • Verwaltung der Konfiguration

SOX erfordert von Organisationen eine Zugriffskontrolle für kritische Finanzsysteme und Konten hinsichtlich aller Änderungen an Finanzdaten und den zugrunde liegenden Systemen und Anwendungen, die diese unterstützen. COBIT erfordert angemessene sichere Kontrollen zur Verhinderung von unbefugtem (und unerklärlichem) Zugriff auf Daten, Anwendungen und Systeme.

Varonis begegnet diesen Anforderungen im Wesentlichen mit zwei Verfahren:

1. Varonis empfiehlt die Aufhebung von Berechtigungen auf Laufwerkdaten, indem explizit und automatisch die Personen identifiziert werden, für die keine geschäftliche Notwendigkeit besteht auf diese Daten zuzugreifen. Die Varonis-Systemadministratoren können die Empfehlungen von Varonis über diese Anwendung „umsetzen“.

2. Varonis DataPrivilege verlagert die Verantwortlichkeit für Datenzugriffskontrollen von der IT auf die Business Owner der Daten (bei deren Identifizierung Varonis DatAdvantage hilft). Indem die Zugriffskontrolle über diese Anwendung erteilt wird, können Business Owner ihre Begründungen erfassen und die richtigen Personen über Aktionen an deren Daten informieren.

SOX- Paragrafen 302 und 404

COSO-Komponenten

  • Kontrollaktivitäten
  • Überwachung der Informationen und Kommunikation
  • Sicherstellung der Systemsicherheit
  • Verwaltung der Konfiguration

Die SOX-Compliance ist ein kontinuierlicher Prozess. Prüfer achten auf die Integration der Compliance-Prozesse in die alltäglichen Geschäftsaufgaben.

Varonis weiß, dass unstrukturierte Daten mit einer Geschwindigkeit von 70 % und mehr pro Jahr anwachsen, wodurch die SOX-Compliance, die schon jetzt kostenintensiv und beschwerlich ist, noch schwieriger wird. Varonis hat eine Suite entwickelt, die robust und umfassend genug ist, um die äußerst dynamische Natur der Verwaltung von Benutzer-zu-Daten-Zuordnungen zu behandeln. Darüber hinaus entwickelte das Unternehmen eine programmatische und automatisierte Methode, um sicherzustellen, dass der Zugriff auf Daten immer basierend auf der geschäftlichen Notwendigkeit gewährt wird, und dass die Überwachung der Nutzung kontinuierlich und für die Erhaltung der Compliance relevant ist.

The post Compliance Brief: Sarbanes-Oxley (SOX) appeared first on Varonis Deutsch.

Wir sind Varonis.

Seit 2005 schützen wir, mit unserer Datensicherheits- plattform, wertvolle Daten von Unternehmen in aller Welt, vor feindlichen Übergriffen.

Wie Varonis funktioniert