Thema der Woche

15. Januar 2008

Wer hat Angst vor EuroSOX?!

Vor übereilten Schritten im Hinblick auf die Umsetzung der 8. EU-Richtlinie, auch EuroSOX genannt, warnt die [externer Link] Defense AG: "Die IT-Industrie braucht offensichtlich immer wieder neue Schlagworte, um ihre Produkte und Dienstleistungen an den Mann zu bringen", kommentiert Defense-Vorstand Peter Dölling vereinzelte Versuche, aus EuroSOX Kapital zu schlagen. Schon über den US-amerikanischen Sarbanes-Oxley Act (SOX) lasse sich heute so ziemlich alles verkaufen – "von zeitbeständiger Druckertinte bis hin zur Firewall" – neun von zehn White Paper aus dem Bereich der IT-Security erwähnen laut Dölling Compliance und SOX gleich im ersten Satz.

"Anders als SOX eignet sich EuroSOX aber derzeit nicht als Hype-Thema", mahnt der Berater: So stehe zwar die Informationssicherheit nicht im Fokus von SOX, doch hat die IT-Security erhebliche Auswirkungen auf die Fähigkeit der Unternehmen, den SOX-Kontroll-Anforderungen gerecht zu werden. Insofern habe das US-Gesetz tatsächlich neue und strengere Anforderungen an die IT-Sicherheit und ihre Dokumentation bewirkt. Bei EuroSOX sieht Dölling derzeit jedoch keine solchen zusätzlichen Anforderungen: Anders als das gängige Kürzel suggeriert, ist EuroSOX ja keine europäische Version des Sarbanes-Oxley Act. Insbesondere überlasse EuroSOX weitestgehend den Unternehmen selbst, ihre internen Kontrollen zu optimieren und die interne Revision zu stärken. Auch Jürgen Tiedje, Leiter der Abteilung Accounting und Auditing der EU-Kommission, in der die bewusste 8. Richtlinie verfasst wurde, hatte bereits im Oktober klargestellt, dass es in Europa "keinerlei SOX oder SOX light" geben werde.

Zwar setzt auch EuroSOX bei allen "Unternehmen von öffentlichem Interesse" ein wirksames internes Kontrollsystem und damit auch ein Risikomanagementsystem voraus. Anders als SOX enthält die EU-Richtlinie jedoch keine konkreten Vorschriften, wie diese Systeme auf ihre Wirksamkeit oder auf Schwachstellen zu prüfen sind. Dölling rät von EuroSOX betroffenen Unternehmen daher, zunächst die Umsetzung der Richtlinie in nationales Recht abzuwarten: "Die Sicherheit der IT-Umgebung ist aus den verschiedensten Gründen immer ein wichtiges Thema, aber es ist aus heutiger Sicht nicht nötig, ein spezielles EuroSOX-Projekt zu initiieren. Darüber kann man erst sinnvoll reden, wenn alle Details feststehen und sich eine einschlägige Praxis herausgebildet hat."

Ein umfassendes IT-Sicherheitsmanagement ist in Unternehmen ohnehin schon seit langem gefordert – nicht zuletzt aufgrund verschiedener Regelungen wie dem deutschen Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) oder dem Baseler Akkord des Ausschusses für internationale Bankenaufsicht (Basel II). Unabhängig von EuroSOX empfiehlt Dölling deswegen, sich gegen operationelle Risiken abzusichern, die durch eine Nutzung von informationstechnischen Systemen entstehen. Dies erfolge am besten durch die Einführung eines Information-Security-Management-Systems (ISMS) auf der Basis international anerkannter Standards wie ISO/IEC 27001, über das Kontrollmechanismen und Schutzmaßnahmen definiert und implementiert werden, die ein internes Kontrollsystem wirkungsvoll ergänzen.

zum nächsten Thema der Woche

zum vorigen Thema der Woche

Valid HTML 4.01! | Valid CSS!

Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per  E-Mail. Vielen Dank.