Der Sarbanes-Oxley Act von 2002, besser bekannt als SOX oder Sarbox, ist ein US-amerikanisches Gesetz, das darauf abzielt, Investoren vor Bilanzbetrug zu schützen, insbesondere in Bezug auf börsennotierte Unternehmen. Benannt nach den beiden Kongressabgeordneten, die es entworfen haben, Paul Sarbanes und Michael Oxley, wurde das Gesetz erlassen, nachdem eine Reihe von hochkarätigen Bilanzskandalen die Finanzwelt in den frühen 2000er Jahren erschütterte. Es wird von der US Securities and Exchange Commission (SEC) durchgesetzt.
SOX brachte strengere Regeln für die Offenlegung von Unternehmensfinanzen mit sich, deckte aber auch eine Reihe zusätzlicher Themen ab, wie z. B. die Unternehmensführung und die Bewertung der internen Kontrolle. Es schuf das Public Company Accounting Oversight Board (PCAOB), um Wirtschaftsprüfer zu beaufsichtigen und die Erstellung informativer, genauer und unabhängiger Prüfungsberichte zum Schutz der Investoren sicherzustellen.
Obwohl SOX keine speziellen IT-Anforderungen in seinem Text enthält, hat es dennoch einen großen Einfluss darauf, wie börsennotierte Unternehmen ihre IT-Systeme absichern müssen. Und warum? Die Antwort ist recht einfach: Heutzutage werden aufgrund der Digitalisierung die Finanzinformationen, die unter den Schutz des Sarbanes-Oxley Act fallen, in IT-Systemen verarbeitet und gespeichert.
Abschnitt 302 und Abschnitt 404
Unter den vielen Bestimmungen des Sarbanes-Oxley Acts gibt es vor allem zwei, die die IT betreffen, da sie klare Auswirkungen auf die Sicherheit und das Datenmanagement haben. Section 302 verlangt, dass der CEO und der CFO eines Unternehmens persönlich bestätigen, dass alle bei der SEC eingereichten Finanzberichte vollständig und korrekt sind. Genauer gesagt, müssen sie persönlich die Verantwortung für alle internen Kontrollen übernehmen und diese in den letzten 90 Tagen vor der Einreichung der Berichte überprüfen. Zu diesen internen Kontrollen gehört zwangsläufig auch die IT-Infrastruktur und wie diese die Finanzdaten schützt.
Section 404 geht sogar noch weiter und verlangt von Unternehmen eine jährliche Prüfung dieser internen Kontrollen, die von einer externen Firma durchgeführt werden muss. Ziel der Prüfung ist es, die Effektivität der Kontrollen zu bewerten. Die Ergebnisse werden direkt an die SEC zurückgemeldet.
In dem Bemühen, diese SOX-Anforderungen zu verdeutlichen, wählte das PCAOB das Rahmenwerk des Committee of Sponsoring Organizations (COSO) als Leitfaden für Unternehmen bei der Erstellung und Implementierung interner Kontrollen. Viele Unternehmen haben sich jedoch dafür entschieden, auch das IT-spezifischere Control Objectives for Information and related Technology (COBIT)-Framework zu verwenden, um eine vollständige Compliance sicherzustellen. COBIT deckt 34 IT-Prozesse ab, die es in verschiedene Kategorien wie Überwachung, Erwerb und Implementierung sowie Bereitstellung und Support einteilt.
Die in den beiden Frameworks aufgeführten Empfehlungen bilden einen hervorragenden Ausgangspunkt für die Entwicklung von Good Practices für die Governance und das Management der Unternehmens-IT, die weithin akzeptierte Konzepte und internationale Standards beinhalten.
Strafen unter SOX
Wenn es um Strafen geht, ist mit SOX nicht zu spaßen. CEOs und CFOs sind verpflichtet, regelmäßig Finanzberichte bei der SEC einzureichen, zusammen mit einer schriftlichen Erklärung, die bestätigt, dass die darin enthaltenen Informationen korrekt sind.
Sollten Unregelmäßigkeiten in diesen Berichten aufgedeckt werden, drohen denjenigen, die sie bescheinigen, gemäß Abschnitt 906 des SOX ernste Konsequenzen: Wenn ihnen nachgewiesen wird, dass sie wissentlich einen ungenauen Bericht genehmigt haben, können sie mit einer Geldstrafe von bis zu 1.000.000 Dollar oder einer Freiheitsstrafe von bis zu 10 Jahren oder beidem bestraft werden. Diejenigen, die vorsätzlich einen falschen Bericht beglaubigt haben, riskieren dagegen deutlich mehr: bis zu 5.000.000 Dollar Geldstrafe oder 20 Jahre Gefängnis oder beides.
Gleichzeitig wird gemäß Abschnitt 802 jeder, der wissentlich Finanzdokumente fälscht, mit Geldstrafen und möglichen Haftstrafen von bis zu 20 Jahren oder beidem belegt.
Schutz vor Datenverlust und SOX-Compliance
Datensicherheit ist für die SOX-Compliance unerlässlich: Finanzinformationen sollten nicht von unbefugtem Personal eingesehen werden können oder anfällig für Manipulationen oder Diebstahl durch böswillige Außenstehende oder verärgerte Insider sein. Die Möglichkeit, dass Daten verloren gehen oder gestohlen werden, untergräbt die Integrität von soliden Finanzunterlagen. Daher ist es unerlässlich, dass Unternehmen neben Standard-Firewalls und Antiviren-Software auch auf Data Loss Prevention (DLP)-Lösungen setzen, die die Wahrscheinlichkeit solcher Sicherheitsvorfälle deutlich verringern können.
DLP-Tools wie Endpoint Protector können ganze Netzwerke nach Finanzdaten durchsuchen und diese verschlüsseln, wenn sie an einem nicht autorisierten Ort gefunden werden. Es kann auch die Übertragung von vordefinierten Datentypen blockieren und sicherstellen, dass alle Informationen, die auf tragbare USB-Geräte kopiert werden, sicher verschlüsselt und vor potenziellem Diebstahl oder Unachtsamkeit geschützt sind. Seine Datenverfolgungsprotokolle und -berichte eignen sich auch hervorragend als unterstützende Dokumentation für Revisionszwecke.