Zum Inhalt springen

Exabeam wurde im Gartner ® Magic Quadrant™ für SIEM 2025 zum sechsten Mal als führend ausgezeichnet –Mehr lesen

Demo anfordern

SOX-Compliance: Anforderungen und Checkliste

  • 5 minutes to read

Inhaltsverzeichnis

    Was ist SOX-Compliance?

    Der Sarbanes-Oxley Act (SOX) aus dem Jahr 2002 ist eine Verordnung für US-Unternehmen. Er wurde vom US-Kongress als Reaktion auf mehrere Finanzskandale erlassen, die die Notwendigkeit einer stärkeren Kontrolle der Finanzberichterstattungspraktiken von Unternehmen deutlich gemacht hatten.

    Ziele: SOX zielte darauf ab, die Transparenz in der Unternehmens- und Finanzführung zu erhöhen und Kontrollmechanismen zu schaffen, die verhindern, dass einzelne Personen innerhalb eines Unternehmens unethisch oder illegal handeln.

    Gilt für: Die Verordnung gilt für alle in den USA ansässigen Aktiengesellschaften, internationale Unternehmen, die Aktien oder Wertpapiere bei der SEC registriert haben, sowie Buchhaltungs- oder Wirtschaftsprüfungsunternehmen, die Dienstleistungen für solche Unternehmen erbringen.

    Strafen: Die Nichteinhaltung von SOX kann zu Geldstrafen in Millionenhöhe oder einer strafrechtlichen Verurteilung führen.

    Vorteile: Die SOX-Konformität ist nicht nur eine gesetzliche Anforderung, sondern auch eine gute Geschäftspraxis, da sie robuste Informationssicherheitsmaßnahmen fördert und Datendiebstahl verhindern kann.

    Über diesen Erklärer:

    Dieser Inhalt ist Teil einer Reihe zum Thema Informationssicherheit.

    Wer muss die SOX-Vorschriften einhalten?

    Die folgenden Unternehmen müssen SOX einhalten:

    • Börsennotierte Unternehmen
    • Hundertprozentige Tochtergesellschaften
    • Ausländische Unternehmen, die in den USA öffentlich handeln und Geschäfte tätigen
    • Wirtschaftsprüfungsgesellschaften, die Aktiengesellschaften prüfen

    Wirtschaftsprüfungsgesellschaften und Wirtschaftsprüfung

    SOX unterscheidet zwischen der Wirtschaftsprüfungsfunktion und der Wirtschaftsprüfungsgesellschaft. Die Wirtschaftsprüfungsgesellschaft, die die Bücher eines börsennotierten Unternehmens prüft, darf nicht die Buchhaltung, Unternehmensbewertungen und Wirtschaftsprüfungen dieses Unternehmens durchführen. Sie darf auch kein Informationssystem entwerfen oder implementieren, keine Anlageberatung und Bankdienstleistungen anbieten oder in verschiedenen Managementfragen beraten.

    Unternehmen und Non-Profit-Organisationen

    Private Unternehmen, gemeinnützige Organisationen und Wohltätigkeitsorganisationen müssen nicht alle SOX-Vorschriften einhalten, sollten jedoch niemals Finanzinformationen fälschen oder wissentlich vernichten.

    Schutz von Hinweisgebern

    SOX verhängt Strafen gegen Organisationen, die gegen Vorschriften verstoßen, sowie gegen diejenigen, die versuchen, Vergeltungsmaßnahmen gegen Whistleblower zu ergreifen – also gegen Personen, die den Strafverfolgungsbehörden Informationen über mögliche Bundesvergehen zukommen lassen. Der SOX-Hinweisgeberschutz sieht vor, dass jeder, der Vergeltungsmaßnahmen gegen Whistleblower ergreift, mit bis zu zehn Jahren Gefängnis bestraft werden kann.

    Börsengänge (IPOs)

    Private Unternehmen, die ihren Börsengang planen, müssen vor ihrem Börsengang die SOX-Vorschriften einhalten.

    Kontrollen des Lohn- und Gehaltsabrechnungssystems

    SOX regelt die Einführung von Lohn- und Gehaltsabrechnungssystemen und verpflichtet Unternehmen zur Bilanzierung von Personal, Sozialleistungen, Gehältern, Anreizen, Schulungskosten und bezahltem Urlaub. Darüber hinaus sind bestimmte Arbeitgeber verpflichtet, ein Ethikprogramm mit einem Ethikkodex, Mitarbeiterschulungen und einem Kommunikationsplan einzuführen.

    Primäre SOX-Compliance-Anforderungen

    Die folgenden SOX-Compliance-Anforderungen gelten direkt für IT-Organisationen in Unternehmen, die den SOX-Vorschriften unterliegen, und wirken sich auf Ihre Informationssicherheitsstrategie aus:

    • Abschnitt 302– Unternehmensverantwortung für Finanzberichte – Aktiengesellschaften müssen der US-Börsenaufsicht SEC (Security Exchange Commission) Berichte über ihre Finanzlage vorlegen. SOX schreibt vor, dass der CEO und der CFO des berichtenden Unternehmens jeden Bericht unterzeichnen und persönlich für dessen Inhalt verantwortlich sind. CEOs/CFOs müssen bestätigen, dass jeder Bericht wahrheitsgemäß ist, keine wesentlichen Informationen auslässt, dass sie Kontrollen eingerichtet haben, um dies sicherzustellen, und diese Kontrollen innerhalb von 90 Tagen vor Einreichung des Berichts validiert haben.
    • Abschnitt 404– Managementbewertung der internen Kontrollen – SOX macht die Unternehmensleitung für die Einrichtung einer „angemessenen“ internen Kontrollstruktur verantwortlich. Sowohl die Unternehmensleitung als auch externe Prüfer müssen die Angemessenheit der Kontrollstruktur bewerten und darüber Bericht erstatten sowie etwaige Mängel melden.
    • Abschnitt 409– Offenlegung durch Emittenten in Echtzeit – Wenn sich die finanzielle Lage oder die Geschäftsfähigkeit eines Unternehmens erheblich ändert, sind die Unternehmensvertreter dafür verantwortlich, ihre Investoren und die Öffentlichkeit rechtzeitig zu informieren.
    • Abschnitt 802– Strafrechtliche Sanktionen für die Veränderung von Dokumenten – Unternehmensvertreter oder andere Personen, die Änderungen an Finanzdokumenten oder anderen Materialien vornehmen, die die Verwaltung der SEC beeinträchtigen können, solche Dokumente verbergen oder vertuschen oder einen Eintrag fälschen, müssen mit Geld- oder Freiheitsstrafen von bis zu 20 Jahren rechnen.
    • Abschnitt 906– Unternehmensverantwortung für Finanzberichte – Unternehmensvertreter, die irreführende oder falsche Finanzberichte einreichen, können mit Geldstrafen von bis zu 5 Millionen US-Dollar und Freiheitsstrafen von bis zu 20 Jahren belegt werden.

    SOX-Compliance-Audits

    Ein SOX-Compliance-Audit wird üblicherweise gemäß einem IT-Compliance-Framework wie COBIT durchgeführt. Der umfangreichste Teil eines SOX-Audits erfolgt gemäß Abschnitt 404 und umfasst die Untersuchung von vier Elementen Ihrer IT-Umgebung:

    • Zugriff– physische und elektronische Maßnahmen, die den unbefugten Zugriff auf vertrauliche Informationen verhindern. Dazu gehören die Sicherung von Servern und Rechenzentren sowie Authentifizierungsmaßnahmen wie Passwörter und Sperrbildschirme.
    • Sicherheit– Personal, Verfahren und Tools, die eingesetzt werden, um Sicherheitsverletzungen bei Geräten und Netzwerken zu verhindern, die für Finanzdaten verwendet werden.
    • Änderungsmanagement– wie die Organisation neue Benutzerkonten definiert, Software-Updates durchführt und Prüfpfade aller Änderungen an Software oder Konfiguration verwaltet.
    • Backup– wie das Unternehmen sicherstellt, dass alle verlorenen sensiblen Daten wiederhergestellt werden können, einschließlich der außerhalb des Firmengeländes gespeicherten Daten.

    Checkliste zur SOX-Konformität

    Die folgende Checkliste hilft Ihnen dabei, den Prozess zur Erreichung der SOX-Konformität in Ihrem Unternehmen zu formalisieren.

    #ZielPraktische Schritte
    1Verhindern Sie DatenmanipulationImplementieren Sie Systeme, die Anmeldungen verfolgen und verdächtige Anmeldeversuche bei Systemen erkennen, die für Finanzdaten verwendet werden.
    2Zeitpläne für wichtige Aktivitäten aufzeichnenImplementieren Sie Systeme, die alle für die SOX-Bestimmungen relevanten Finanz- und sonstigen Daten mit Zeitstempeln versehen können. Speichern Sie diese Daten an einem sicheren Ort und verschlüsseln Sie sie, um Manipulationen zu verhindern.
    3Erstellen Sie überprüfbare Kontrollen zur ZugriffsverfolgungImplementieren Sie Systeme, die Daten aus praktisch jeder Organisationsquelle empfangen können, einschließlich Dateien, FTP und Datenbanken, und nachverfolgen können, wer auf die Daten zugegriffen oder sie geändert hat.
    4Testen, überprüfen und offenlegen von Sicherheitsvorkehrungen gegenüber PrüfernImplementieren Sie Systeme, die ausgewählten Verantwortlichen im Unternehmen täglich die ordnungsgemäße Funktion aller SOX-Kontrollmaßnahmen melden. Die Systeme sollten Prüfern Zugriff über Berechtigungen gewähren, sodass sie Berichte und Daten einsehen können, ohne Änderungen vornehmen zu müssen.
    5Bericht über die Wirksamkeit der SchutzmaßnahmenImplementieren Sie Systeme, die Berichte über die durch das System gestreamten Daten, kritische Nachrichten und Warnungen, aufgetretene Sicherheitsvorfälle und deren Behandlung erstellen.
    6Erkennen von SicherheitsverletzungenImplementieren Sie Sicherheitssysteme, die Daten analysieren, Anzeichen einer Sicherheitsverletzung erkennen und aussagekräftige Warnungen generieren können, wobei ein Vorfallmanagementsystem automatisch aktualisiert wird.
    7Melden Sie Sicherheitsverletzungen und das Versagen von Sicherheitskontrollen gegenüber Prüfern.Implementieren Sie Systeme, die Sicherheitsverletzungen protokollieren und es dem Sicherheitspersonal ermöglichen, die Lösung jedes Vorfalls zu dokumentieren. Ermöglichen Sie Prüfern die Anzeige von Berichten, aus denen hervorgeht, welche Sicherheitsvorfälle aufgetreten sind und welche erfolgreich behoben wurden.

    SOX-Konformität mit der Exabeam SOC-Plattform

    Das Verständnis der Anforderungen der Verordnung ist nur die halbe Miete, wenn es um die Einhaltung der SOX-Vorschriften geht. Um die Compliance effektiv zu erreichen, benötigen Sie die richtige Technologie. Tools, die Ihnen helfen, die richtigen Daten zu sammeln und die von den SOX-Vorschriften geforderten Sicherheitskontrollen und -maßnahmen einzurichten, helfen Ihnen, die Compliance schneller zu erreichen und Risiken für Ihr Unternehmen zu reduzieren.

    Als führendes SIEM und XDR der nächsten Generation bietet Exabeam Fusion eine Cloud-basierte Lösung zur Bedrohungserkennung und -reaktion. Exabeam Fusion kombiniert Verhaltensanalyse und Automatisierung mit bedrohungszentrierten, ergebnisorientierten Anwendungspaketen. Es kann dazu beitragen, das allgemeine Sicherheitsprofil Ihres Unternehmens zu verbessern und Sie besser für die Einhaltung von Vorschriften wie SOX gerüstet zu machen.

    Weitere Leitfäden zu wichtigen Themen der Informationssicherheit finden Sie hier.

    Gemeinsam mit unseren Content-Partnern haben wir ausführliche Leitfäden zu verschiedenen anderen Themen verfasst, die Ihnen auch bei der Erkundung der Welt vonInformationssicherheit.

    Insider-Bedrohung

    Autor: Cynet

    Netzwerkerkennung und -reaktion

    Autor: Exabeam

    DDoS-Schutz

    Autor: Radware

    Weitere Erläuterungen zur SOX-Compliance

    SOX-Audits: Anforderungen, Prozesse und Best Practices

    SOX-Tests: 4-Schritte-Prozess und wichtige Best Practices

    SOX vs. SOC: 6 wichtige Unterschiede und was für Ihr Unternehmen relevant ist

    SOX-Kontrollen: Gängige Typen, Beispiele und Implementierungspraktiken

    SOX-Compliance-Software: 10 Tools, die Sie im Jahr 2025 kennen sollten

    SOX-Verstöße: 4 Beispiele für Strafen in Millionenhöhe

    SOX-Cybersicherheitsanforderungen und Best Practices für 2025

    SOX 404: Anforderungen, Ausnahmen und Compliance-Checkliste

    Erfahren Sie mehr über Exabeam

    Informieren Sie sich über die Exabeam-Plattform und erweitern Sie Ihr Wissen zur Informationssicherheit mit unserer Sammlung von Whitepapers, Podcasts, Webinaren und mehr.

    • Der Blog

      Wie Verhaltensanalysen die Einhaltung des australischen Protective Security Policy Framework (PSPF) stärken

      Jetzt lesen
    • Bericht

      2025 Gartner ® Magic Quadrant™ für SIEM

      Jetzt lesen
    • Der Blog

      Wie Exabeam Unternehmen bei der Anpassung an Australiens Datenschutzreformen unterstützt

      Jetzt lesen
    • Der Blog

      Lehren aus dem Angriff auf das Finanzministerium

      Jetzt lesen
    • Mehr anzeigen