Risikomanagement in der Finanzabteilung

4 Schritte zu Compliance und IT-Sicherheit

07.05.2021
Von 
Frederik Weidemann ist Experte für Cyber-Sicherheit und Chief Technical Evangelist bei Onapsis wo er Innovationen vorantreibt. In seiner 15-jährigen Berufslaufbahn hat er sich auf ERP- SAP- und Cloud-Sicherheit fokussiert und zahlreiche Zero-Day-Schwachstellen in geschäftskritischen Anwendungen gefunden. Er ist Mitautor des ersten Buchs über sichere ABAP-Programmierung und war weltweit auf über 50 sicherheitsbezogenen Konferenzen wie RSA und Troopers mit Fachvorträgen vertreten.
Viele Finanzchefs schätzen Compliance- und Cyber-Gefährdungen höher ein als die Probleme, die durch Lieferausfälle oder rückläufige Umsätze und Gewinne entstehen. Beides braucht proaktives Risikomanagement.
Hacker finden auch das kleinste Schlupfloch.
Hacker finden auch das kleinste Schlupfloch.
Foto: Andrea Vasco - shutterstock.com

Nach einer aktuellen Trend Micro-Studie haben 75 Prozent der Unternehmen in Deutschland im vergangenen Jahr Cyberangriffe erlitten. Am meisten Sorgen bereiten den Befragten der Verlust von Kundendaten, der unbefugte Zugang zu geistigem Eigentum und Finanzdaten, die Abwanderung von Kunden sowie beschädigte IT-Systeme. Dabei handelt es sich allesamt um die Folgen von Hackerattacken, die gezielt auf ERP-Systeme wie SAP oder Oracle - das Rückgrat der täglichen Betriebsabläufe - erfolgen. Sie können bei Unternehmen schnell hohe Kosten verursachen - und CFOs in den Krisenmodus stürzen. Nach einer Studie von IBM und Ponemon Institute büßen die Unternehmen pro Datenverstoß durchschnittlich 3,86 Millionen US-Dollar ein.

Noch größere finanzielle Verluste können Verstöße gegen aufsichtsrechtliche Vorschriften nach sich ziehen, deren Zahl und Komplexität von Jahr zu Jahr steigen. Eine der größten Herausforderungen für die Finanzverantwortlichen stellt die Europäische Datenschutz-Grundverordnung (EU-DSGVO) dar, die Datenschutzverletzungen mit Bußgeldern in Höhe von 4 Prozent des weltweit erzielten Jahresumsatzes oder 20 Millionen Euro belegt - je nachdem, welcher Betrag höher ist.

Lesetipp: Bußgeldkatalog - Die teuersten Datenschutz-Fails

Risikomanagement in 4 Schritten

Um solchen Schäden vorzubeugen, müssen die CFOs Compliance und Cybersicherheit konsequent zur Chefsache machen. Da ihnen die Ressorts IT und Risikomanagement meist ohnehin unterstehen, sind die organisatorischen Rahmenbedingungen dafür gegeben. CFOs sollten die entsprechenden Pflichten und Verantwortlichkeiten an die internen Compliance- und IT-Sicherheitsexperten delegieren. In enger Zusammenarbeit mit den Fachbereichen müssen die notwendigen Maßnahmen und Werkzeuge identifiziert und installiert werden, um das Unternehmen vor Compliance- und Cyberrisiken zu schützen. 4 Schritte führen zum wirksamen Risikomanagement:

1. Alle relevanten IT-Systeme einbeziehen

Zunächst ist zu klären, welche IT-Systeme überhaupt einzubeziehen sind. Besonderes Augenmerk gebührt den Finanzanwendungen, die zu den attraktivsten Zielen von Cyberkriminellen gehören. Externe wie interne Angreifer nutzen Schwachstellen in den Finanzsystemen aus, um Zahlungen zu veranlassen, Kontendaten abzugreifen, Bilanzergebnisse zu verfälschen oder Insidergeschäfte zu tätigen. Ein erschreckendes Beispiel gab ein ehemaliger Mitarbeiter eines Versicherers, der eine E-Mail-Adresse ins SAP-Finanzsystem seines alten Arbeitgebers eingeschmuggelt hatte. An diese Adresse ließ er sich regelmäßig die Quartalszahlen des Versicherers schicken, noch ehe sie an der Börse veröffentlicht wurden. In anderen Fällen wurden Kontodaten manipuliert, um ausgehende Zahlungen auf die Konten der Angreifer umzuleiten. Den beteiligten Unternehmen entstanden dadurch erhebliche Verluste.

Doch auch die Anwendungen der anderen Fachbereiche geraten verstärkt ins Visier von Angreifern, wie der aktuelle Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt. Cyberkriminelle kapern SCM-, CRM- und HR-Systeme, um Wettbewerbs- und Personalinformationen abzuziehen, zu ändern oder zu löschen. Schlimmstenfalls kommt der ERP-Betrieb vollständig zum Erliegen. Daher muss das interne Risikomanagement immer die gesamte Systemlandschaft auf dem Schirm haben. Dies betrifft jedoch nicht nur die Infrastruktur, sondern auch die Anwendungen, auf denen die relevanten End-to-End-Geschäftsprozesse - wie Procure-to-Pay - laufen. Berücksichtigt werden müssen sämtliche Systeme. Gerade in hybriden Szenarien ist häufig nicht klar, wer auf welchem System Zugriff auf welche Daten hat. Häufig sind die Daten über mehrere Systeme in der Cloud und im Unternehmen verteilt. Jedes dieser Systeme bietet eine Angriffsfläche auf die Unternehmen.

2. Audit-Prozesse weitgehend automatisieren

Mit den verschärften aufsichtsrechtlichen Vorschriften wächst der Druck auf die CFOs, für einen Compliance-konformen Betrieb der IT- Systemumgebung zu sorgen - ob es um Regelungen zur Vermeidung von Wirtschaftskriminalität, Geldwäsche und Bilanzbetrug oder um Verordnungen zur Einhaltung von Datenschutz und Informationssicherheit geht. Dies stellt die Finanzchefs und internen Compliance- und IT-Sicherheitsbeauftragten vor eine doppelte Aufgabe: Sie müssen die sich ständig ändernden Vorschriften technisch in den Griff bekommen und gleichzeitig der weit verbreiteten Audit-Müdigkeit entgegenwirken. Denn in vielen Unternehmen werden Compliance-Anforderungen als notwendiges Übel betrachtet, das viel Aufwand verursacht, aber keinen nennenswerten Nutzen bringt. Besonders in Cloud-Szenarien verlässt man sich häufig auf die Cloud-Anbieter. Die Verantwortung für die eigenen Daten, die zugehörigen Business-Prozesse und den zugehörigen Zugriff liegt allerdings weiterhin bei den Unternehmen und nicht beim Cloud-Anbieter.

Eine Lösung verspricht die Automatisierung der Audit-Prozesse. Moderne Audit-Tools helfen, den hohen Zeit- und Kostenaufwand manueller Testverfahren zu reduzieren. Ermüdende Routine-Aufgaben entfallen, Personalressourcen werden für wertschöpfende Tätigkeiten freigesetzt. Da menschliche Fehler ausgeschlossen werden, lässt sich eine deutlich höhere Genauigkeit der Berichte erzielen. Im SAP-Umfeld zum Beispiel stehen verschiedene Audit-Werkzeuge zur Verfügung, die tausende Checks für Compliance- und SAP-Sicherheitsrichtlinien umfassen, darunter:

  • Zugriffskontrollen,

  • aktive Einbruchserkennung,

  • Abläufe des Risikomanagements,

  • Datenschutz sowie die Sicherung und Aufbewahrung von Daten.

Unternehmen können damit über 90 Prozent der erforderlichen Audit-Prozesse automatisieren und ein Sicherheitsniveau etablieren, das regulatorischen Verstößen vorzubeugen hilft.

3. IT-Kontrollen und Patchen institutionalisieren

Permanente Kontrollen sind auch dann angesagt, wenn es um den Schutz von ERP-Systemen vor den immer ausgefeilteren Hackerangriffen geht. So lassen sich in SAP-Umgebungen mithilfe automatischer Analysen Sicherheitslücken im Bereich von Systemkonfigurationen, Eigenentwicklungen und Transporten aufspüren, beheben und vermeiden. SAP-Basisadministratoren, Programmierer und Qualitätssicherer erhalten damit das nötige Rüstzeug, um in ihrem Segment für eine Reduzierung der Cybergefahren zu sorgen.

Besondere Aufmerksamkeit sollten die CFOs und ihre IT-Sicherheitsteams dem Thema Patchen schenken. Viele SAP-Kunden spielen die monatlich veröffentlichten SAP-Sicherheitsupdates nicht ein, weil sie den Aufwand und Systemstillstände fürchten. Mit schwerwiegenden Folgen: Hacker nutzen diese Versäumnisse gezielt aus, indem sie über die gemeldeten Schwachstellen in die SAP-Systeme eindringen. Daher sollten die Unternehmen schleunigst die erforderlichen Rollen und Prozesse für ein systematisches Patchmanagement festlegen. So muss klar geregelt sein, welche Mitarbeiter zu welcher Zeit und an welchen Systemstandorten die aktuellen SAP-Sicherheitspatches einspielen.

Ergänzt werden müssen diese Maßnahmen um kontinuierliche Monitoring- und Reporting-Funktionen. Damit ist es den Finanz- und IT-Sicherheitsverantwortlichen möglich, den Gesamtüberblick über die Sicherheitslage in einem zentralen Dashboard zu behalten. Dieses sollte die Auswertung aller Sicherheits- und Compliance-Vorgaben zusammen mit entsprechenden Bewertungen und Handlungsempfehlungen zur Verfügung stellen. Kommt es dennoch zu Angriffsversuchen, können die IT-Sicherheitsverantwortlichen unmittelbar und automatisiert alarmiert werden, um adäquat reagieren zu können. Dafür zahlen sich Notfallpläne aus.

Lesetipp: IT-Notfallplan - Was Uber, Marriot und Co. falsch gemacht haben

4. Notfall-Konzepte auf die Agenda setzen

Wie groß der finanzielle Schaden eines Cyberangriffs für ein Unternehmen tatsächlich ist, entscheidet sich in der Regel innerhalb weniger Minuten. Daher sollten die CFOs die Entwicklung geeigneter Notfallkonzepte ganz oben auf ihre Agenda setzen. Notfallpläne definieren, welche Maßnahmen in welcher Reihenfolge zu ergreifen sind, sobald es zu einer Cyberattacke kommt. Zudem wird festgelegt, welche Personen im Unternehmen wann über einen Angriff zu informieren sind. Zusätzlich empfiehlt sich bei Sicherheitsvorfällen die Bildung eines Krisenstabs, der von einem Krisenmanager geleitet wird und neben dem CFO aus den IT-Sicherheitsverantwortlichen, den Datenschutzbeauftragten und betroffenen Fachabteilungen besteht. (bw)