HomeNewsWozu brauchen wir Standards?Welche Standards gibt es?Anwendung im UnternehmenIT-Sicherheits- und RisikomanagementStandards mit IT-SicherheitsanforderungenVorschriftenKonTraGBasel IISOXEURO-SOXBDSGEvaluierung von IT-SicherheitNormen zu kryptographischen und IT-SicherheitsverfahrenPhysische SicherheitDanksagung

Schnelleinstieg: 

Logo: Inhalte Verbessern

In Zusammenarbeit mit

Logo: DIN

|||

SOX

Der Sarbanes-Oxley Act (SOA oder SOX) ist ein US-amerikanisches Gesetz, welches am 23. Januar 2002 erlassen und am 20. Juli vom Präsidenten der Vereinigten Staaten unterzeichnet wurde. Maßgeblich gestaltet wurde es durch die beiden Senatoren Sarbanes und Oxley. Das Gesetz ist eine Reaktion auf diverse Finanzskandale in den USA (Beispiel: Enron und Worldcom). Ziel ist es, Investoren zu schützen und verlorengegangenes Vertrauen wiederzugewinnen, indem die Genauigkeit und Verlässlichkeit der Rechnungslegung unter anderem in Übereinstimmung mit Sicherheits-Gesetzen verbessert wird.

Dabei werden die Verantwortlichkeiten der Unternehmensführung und der Wirtschaftsprüfer grundlegend neu geregelt und Regeln für die Zusammenarbeit zwischen Wirtschaftsprüfern und Unternehmensleitung definiert. Die Unternehmen müssen nachweisen, dass sie ein funktionsfähiges internes Kontrollsystem haben, dies umfasst beispielsweise die Verfahren der Rechnungsprüfung und -zeichnung durch die Vorstände. Vorstände haften mit Gültigkeit dieses Gesetzes persönlich für die Richtigkeit der Jahresabschlüsse.

Die Regelungen des Gesetzes betreffen alle Unternehmen weltweit, die an einer amerikanischen Wertpapierbörse notiert sind sowie unter bestimmten Voraussetzungen auch deren Tochterfirmen.

Aus Sicht IT-Sicherheit wird die größte Relevanz aus Sektion 404 des Sarbanes-Oxley Act abgeleitet. Der Sarbanes-Oxley Act will sichergestellt haben, dass die Ordnungsmäßigkeit der Verarbeitung und die Integrität der verarbeiteten relevanten Finanzdaten jederzeit gewährleistet ist. Weiterhin sollte der Zugriff auf die Finanzdaten jederzeit, und speziell zu Zeiten der Jahresabschlüsse oder Quartalsberichte sichergestellt sein. Zusätzlich soll eine Missbrauchserkennung ermöglicht werden. Schwachpunkte im IKS sollten deshalb rechtzeitig entdeckt und ausgebessert werden. Sektion 404 schreibt daher folgende Prozess im Unternehmen vor:

  • Auswahl und Beurteilung eines Regelwerks für ein internes Kontrollsystem
  • Dokumentation des internen Kontrollsystem (IKS)
  • Überwachung des IKS.

Über die Funktionsfähigkeit dieses IKS muss in dem periodischen Unternehmensreports berichtet werden. Hierbei wird auf die Managementverantwortung zur Einrichtung und zum Betrieb vom IKS und zu den Prozessen zum Finanz-Reporting hingewiesen. Die Einsetzung eines IT-Risikomanagement spielt hierbei eine wichtige Rolle.

Der SOX ist zurzeit nur für eine Minderheit der deutschen Unternehmen bindend. Eine frühzeitige Betrachtung lohnt sich jedoch, da eine vergleichbare Regelung im deutschen resp. europäischen Rahmen nur eine Frage der Zeit zu sein scheint. Bezogen auf die IT-Sicherheit ergeben sich hier sicherlich keine vollkommen neuen Anforderungen, der Ruf nach ihr wird jedoch verstärkt.

© 2017, BITKOM - Nutzungsbedingungen für Inhalte der BITKOM-Internetseite