IT-Systemlandschaften müssen heute nicht nur technisch einwandfrei funktionieren und die Prozesse der Unternehmen digital unterstützen, sondern auch die strikten regulatorischen Anforderungen der Länder, des Bundes und der EU erfüllen.

Nach §5 Abs. 1 der BSI-Kritisverordnung handelt es sich bei Systemen der Datenspeicherung und -verarbeitung um kritische Infrastruktur, ein SAP-System kann also, aus einem gewissen Blickwinkel, als ebenso kritisch wie Energie oder Wasser betrachtet werden.

Diese Wichtigkeit der Systeme drückt sich auch in den Strafen aus, die bei Nichteinhaltung der regulatorischen Anforderungen potenziell erlassen werden können.
Für besonders gravierende Verstöße gemäß Art. 83 Abs. 5 DSGVO können bis zu 20 Millionen Euro oder bis zu 4% des gesamten Jahresumsatzes (je nachdem welcher Wert der höhere ist) als Bußgeld verhängt werden.

Im ersten Moment liegt der Gedanke nahe, dass es sich hierbei vor allem um technische Probleme handelt, die Daten des eigenen Unternehmens hinter besonders starken Firewalls zu schützen.
Doch während dieser Gedanke nicht falsch ist, darf man nicht vergessen, die Prozesse einer jeden Organisation zu betrachten, auch hier verbergen sich Risiken.

Sicherheit in Systemen darf nicht als erreichter Zustand betrachtet werden, sondern muss als ein immer wieder zu erreichendes Ziel gesehen werden.
Eine Organisation befindet sich ständig im Wandel, sei es durch sich verändernde fachliche Aufgaben, Infrastruktur oder aber durch externe Faktoren wie neue Gesetzgebungen z.B. in Form des IT-SiG 2.0.

Die IT-Systeme befinden sich hierfür ständig in einem Lebenszyklus aus Planung, Umsetzung, Kontrolle und Optimierung. Um hierbei nicht im Nebel des Unwissens zu agieren ist es wichtig einen Überblick über die gesamte SAP-Landschaft zu haben.

Hierbei können Tools, wie zum Beispiel die  OX-GRC-Suite helfen. Sie ermöglichen es, stetig eine Soll-Kontrolle durchzuführen und von vorneherein einem Verstoß vorzubeugen, sei es ein SoD-Konflikt oder der Versuch das elektronische Radierverbot nach GoBD zu umgehen.

Auch für branchenspezifische Anforderungen wie BAIT (Bankaufsichtliche Anforderungen an die IT) und dem damit verbundenen IT-Notfallmanagement bieten wir mit Hilfe des SAP-Notfallnutzers eine Lösungskomponente, welche wir gemeinsam mit Ihnen in Ihre Organisation integrieren können.

Häufig werden aus Unwissenheit oder Bequemlichkeit kritische Geschäftsprozesse nicht als solche erkannt und entsprechend technisch oder organisatorisch kompensiert.

Ein Beispiel hierfür sind die Pflichten zur Finanzberichterstattung. Es muss hierbei auf jeder Prozessebene sichergestellt sein, dass die Datenbank sicher vor Manipulation ist und auf die Daten verlass ist.
Um dies zu gewährleisten ist ein stringentes Berechtigungsmanagement notwendig, aber auch mit Hilfe von einer GRC-Lösung, wie der OX-GRC-Suite, sind immer wieder interne Kontrollen durchzuführen. Nur so ist es möglich eine verlässliche Aussage über die Sicherheit und Zuverlässigkeit der eigenen Daten zu treffen.

Gerne beraten wir Sie bei Fragen zu regulatorischen Anforderungen und Optimierung der Prozesse ihrer Organisation hinsichtlich dieser, sowie ihrer eigenen Governance Erfordernissen.