SlideShare ist ein Scribd-Unternehmen logo
1 von 5
Downloaden Sie, um offline zu lesen
69
NEWSLETTER
ISACA-Training
Aktuelle Aus- und Weiter-
bildungsmöglichkeiten für
Mitglieder und Nicht-
Mitglieder Seite 73
F
ür den Auditor stellt dies eine sehr
grosse Herausforderung dar, denn
er muss die mit den enormen Ver-
änderungen in der IT Entwicklung
verbundenen Cyber-Risiken und Heraus-
forderungen beim Vorgehen im Audit
berücksichtigen. Obwohl die Auditing
Standards, bspw. ISA 315 (International
Standard on Auditing) die Ausgangs-
schritte für das Vorgehen aufzeigen, muss
der Auditor in der Lage sein, die techni-
sche Vielfalt der Angriffsmöglichkeiten,
die neuen Methoden zur Erkennung der
Angriffe, sowie die Verantwortlichen im
Unternehmen (Management, Verwal-
tungsrat) in seinen Audit mit einzubezie-
hen.
Der sich laufend ausweitende Einsatz
des Cloud-Computings hat die Cyber-Risi-
ken massiv verstärkt.
1. Entwicklung in der IT: Ge-
schäftsvorteile und Bedrohungs-
potential
Die Entwicklungen in der IT haben im
letzten Jahrzehnt ein schnelles Tempo
erreicht: Mobile-Wireless und Netz-Tech-
nologie, Cloud-Computing, vernetzte und
virtualisierte Plattformen oder Big-Data
Anwendungen. Die Fortschritte ermögli-
chen strukturierte Veränderungen der IT
Umgebung, wie Einführung alternativer
Sourcing-Strukturen, Hosting oder
Cloud-Computing. Diese Veränderungen
haben für die Unternehmen grosse Kos-
tenvorteile gebracht: Sie können ihre An-
bindungen an Dritt-Lieferanten und Kun-
den verbessern. Ein Beispiel dafür ist die
Cloud-Lösung, welche wesentliche Kos-
teneinsparungen gegenüber der Verwal-
tung der Daten im eigenen Rechenzent-
rum bietet:
➤ Aus strategischer Sicht ist das Unter-
nehmen effizienter, dynamischer und un-
abhängiger von Investitionen in die IT.
Audit von Cyber Risiken:
Verantwortung der Unterneh-
mensleitung und Herausforde-
rung für den Auditor
Die Audit-Methodik und der Prüfungsumfang müssen laufend den
technologischen Veränderungen angepasst und erweitert werden
um die effektive Cyber-Sicherheit beim zu prüfenden Unternehmen
wirksam beurteilen zu können. Hier kommt die Frage des „Wie“, da
zurzeit keine Cyber Gesetze oder Regulationen existieren
Von Jiri Cejka und Markus Martinides
Risikomanagement
ISACA Switzerland
Chapter bietet eine
solide Grundausbildung
in Risikomanagement
an Seite 73
Audit Vorgehen
Die Business-kritische
Bedeutung von Cyber-
Governance und struktu-
rierten Darstellung der
Cyber-Risiken Seite 69
Nr. 02 | Juni 2015 | www.isaca.ch
ISACA News  Nr. 02 | Juni 2015
70
 ISACA-NEWSLETTER
ISACA News  Nr. 02 | Juni 2015
➤ Aus ökonomischer Sicht werden die
globalen operativen Kosten reduziert, die
Verfügbarkeit und Kapazität der Daten
erhöht und der Einsatz neuer und effekti-
verer IT-Produkte oder IT-Dienstleistun-
gen ermöglicht.
Folglich fragt das Management «Wie
schnell und wie kann vom Cloud-Einsatz
profitiert werden?» Der Auditor hingegen
wird die Geschäftsleitung mit anderen
Fragen adressieren:
➤ Wie ist die strategische Geschäftsaus-
richtung mit der Informatik synchroni-
siert?
➤ Wie unterstützt die Informatik das Ge-
schäft?
➤ Basieren die IT-Investment-Entscheide
auf Business-Anforderungen?
➤ Bleibt die Verantwortung für die Daten
innerhalb der Firma, auch wenn sie von
der Sicherheit externer Systeme abhängig
ist?
Verändertes Geschäftsumfeld generiert
neues Bedrohungspotential
Der Drang nach Geschäftsvorteilen aus
der Entwicklung neuer Informatik- und
Telekommunikationstechnologien ist
gross, kann jedoch auch erhebliche Risi-
ken und Governance-Herausforderungen
mit sich bringen.
Zwar bringen diese Technologien viele
Annehmlichkeiten bei der täglichen Ar-
beit mit der Informatik, gleichzeitig aber
eröffnen sie Hackern, Betrügern und Vi-
renprogrammierern unzählige Möglich-
keiten um Computersysteme anzugreifen
und – für den Benutzer nicht erkennbar
– dabei die Vollkontrolle des Computers
zu übernehmen. Für das Unternehmen
entsteht eine neue Bedrohung - die Cy-
ber-Kriminalität.
Cyber-Kriminalität – die globale Bedro-
hung
Bei Cyber-Attacken können Kriminelle
bestehende Schutzmassnahmen häufig
einfach umgehen. Die existierenden Si-
cherheitsmassnahmen bspw. die Absi-
cherung der logischen Schichten durch
Firewalls genügen nicht mehr, um solche
Angriffe mit Erfolg abzuwenden. Durch
die weltweite Vernetzung unzähliger In-
formatik-Systeme über das Internet
haben Angreifer innerhalb Sekunden-
bruchteilen Zugriff auf alle am Internet
angeschlossenen Systeme. Dabei können
unsere traditionellen Rechtssysteme
praktisch beliebig umgangen werden. Als
Reaktion haben bereits 44 Staaten die
Konvention über Cyber-Kriminalität ratifi-
ziert, 9 Staaten haben sie unterzeichnet.
Situation in der Schweiz
«Eines der grössten Probleme im Zusam-
menhang mit der Nutzung des Internets
ist heute die Datensicherheit», erklärt
Markus Martinides, Cyber-Experte von
der im Bereich Sicherheitsanalysen spezi-
alisierten Firma SUA Telenet GmbH. «Ins-
besondere für Firmen, die über vertrauli-
che Daten verfügen, aber auch für Private
ist es wichtig, kontrollieren zu können,
wer auf interne Daten zugreift und ob
diese unerlaubt verändert oder sogar
gelöscht werden.» Aus diesem Grund
sind in der Schweiz nicht nur die grossen
Institutionen wie Versicherungen, Banken
oder Industrieunternehmen sondern
auch KMU Betriebe wie Arztpraxen und
Anwaltskanzleien ebenso wie Spitäler,
Gemeinden und Kantone bedroht.
Die gängigen Firewalls bieten dabei
immer weniger Schutz. Denn sogenannte
Zombies (Codes, die sich via Internet auf
dem System installieren und dann Daten
vom System nach aussen schicken), kön-
nen sich oft völlig unbemerkt installieren
und bleiben von Antivirenprogrammen
und Firewalls vollkommen unerkannt.
«Oftmals sind solche Programme lange
Zeit aktiv und spionieren das Netzwerk
aus, bevor sie bemerkt werden», so Mar-
kus Martinides. Tür und Tor werden Viren
und Hackern beispielsweise durch die
Verwendung von nicht überprüfter USB-
Sticks geöffnet. Ein weiteres Problem ist,
dass immer mehr Angriffe über sehr
komplexe Technologien wie Javascripts
laufen die verstärkt im Bereich der Inter-
net-Browser zum Einsatz gelangen.
2. Cyber-Governance ist Manage-
ment Aufgabe
«Cyber-Kriminalität wächst und ist auf
dem 4.Platz aller kriminellen Taten. Cy-
ber-Kriminalität ist nicht das Technologie
Problem, es ist das Business- und das
Strategie-Problem». Quelle: PWC 2014
Crime-Survey
Die Verantwortung für die Daten des
Unternehmens liegt beim Management.
Dem Verwaltungsrat sollten die Cyber-Ri-
siken deshalb bewusst sein. Folgende
Corporate Governance Prinzipien können
helfen, die Cyber-Risiken aktiv zu mana-
gen.
Prinzipien für Corporate Governance
➤ Der Verwaltungsrat soll das Vorgehen
bei Cyber-Sicherheit als unternehmens-
weites Risk-Management positionieren,
nicht nur als IT-Risiko.
➤ Der Verwaltungsrat soll die juristischen
Konsequenzen der Cyber-Risiken verste-
hen, da sie sich auf unternehmens-spezi-
fische Umstände beziehen.
➤ Der Verwaltungsrat soll Zugriff zur Cy-
ber-Sicherheit Expertise haben und die
Diskussionen über Cyber-Risiko-Manage-
ment sollten ausreichend Zeit auf seiner
Agenda einnehmen.
➤ Der Verwaltungsrat erlässt eine Richtli-
nie an das Management, dass ein unter-
nehmensweites Cyber-Risiko-Manage-
ment-Framework aufgebaut und mit ge-
nügend Personal und Budget unterstützt
wird.
➤ Cyber-Risiken können nicht einfach
durch Abschluss einer Daten-Verlustver-
sicherung gelöst werden.
➤ Die Diskussion zwischen VR und Ma-
nagement sollte die Identifikation der
tatsächlichen Cyber-Risiken und deren
effektiven Abwehr durch organisatorische
und technische Massnahmen beinhalten.
Audit Fragen an Verwaltungsräte
Der Auditor soll die Unternehmensleitung
und den Verwaltungsrat aktiv unterstüt-
zen, das Risikobewusstsein gegenüber
Cyber Attacken zu schärfen und konkret
zu formulieren. Folgende Fragen des Au-
ditors an den Verwaltungsrat können
dabei eine Hilfe sein:
➤ Wendet das Unternehmen ein Sicher-
heitsframework an?
➤ Welche sind die Top fünf Risiken im
Unternehmen, welche auf Cyber-Sicher-
heit bezogen sind?
➤ Ist bei dem Mitarbeiter ein Bewusst-
sein in Bezug auf Cyber-Sicherheit vor-
handen?
➤ Wurden bei der Planung des Cyber-Si-
cherheit Programms externe und interne
Bedrohungen beachtet?
➤ Wie ist die Sicherheits-Governance in-
nerhalb des Unternehmens geregelt?
➤ Gibt es einen konkreten Notfallplan im
Falle einer Cyber-Attacke?
3. Darstellung von Cyber-Risiken
und Vorgehen im Audit
Die Cyber-Kriminalität «profitiert» von
den, durch IT-Fortschritt erzeugten, neuen
Risiko Quellen, welche vor allem mit dem
Cloud-Computing Einsatz, mit Konzepten
71
ISACA-NEWSLETTER
ISACA News  Nr. 02 | Juni 2015
wie «Bring-Your-Own-Device» (BYOD)
mobilen Geräten und Applikationen sowie
mit der Auslagerung der für Business
kritischen IT-Bereichen, entstanden sind.
Die neuen Risiko Quellen haben die Cy-
ber-Angriffsflächen vergrössert.
Die Risiken der Cyber-Kriminalität sind:
i) Datenverlust, ii) Bedrohungen im Da-
tenschutz-Bereich, iii) Verlust der Kon-
trolle über Zugriff auf die Daten iv) Ver-
lust der Verfügbarkeit der Daten im Be-
trieb. Die Folgen der Cyber-Attacke können
dem Unternehmen weitreichenden Scha-
den zufügen wie bspw. Verlust der Wett-
bewerbsfähigkeit, Kosten, Reputations-
schaden oder Compliance-Probleme.
Die Cyber-Bedrohung wird kritisch, da
die Hacker sich auf den Missbrauch sensi-
tiver oder finanziell wertvoller Information
oder auf die Störung der wichtigen opera-
tiven Bereiche fokussieren. Dabei ist der
Anstieg von Attacken drastisch, da die
Hacker-Bedrohungen und Sicherheits-Ein-
brüche nicht nur in der Anzahl exponenti-
ell wachsen (Bild 1), sondern ihre Metho-
den kontinuierlich weiterentwickelt und
ausgeklügelter konstruiert werden.
In vielen Fällen werden Hacker-Atta-
cken viel zu spät erkannt. Sehr viele Daten
des Unternehmens können in dieser Zeit
unbemerkt ausgeforscht, verändert und
gelöscht werden. Viele Angreifer erstellen
einen versteckten Remote-Zugang, der es
ermöglicht Informationen erst bei «Be-
darf» als bezahlte Dienstleistung gegen-
über Ihren Auftraggebern bereitzustellen.
Themen  Aufgaben im Cyber Audit
Der Audit der Cyber-Risiken erweitert
sich um spezifische Themen in den Berei-
chen i) IT Governance und Assurance, ii)
IT Sicherheitsstrategie inkl. Richtlinien
und Vorgaben, iii) Implementierungen iv)
Projekt Risk-Management.
Zu den Aufgaben des Auditors gehören
die Beurteilung der Cyber-Bedrohungen
und Risiken, der Kontrollprozesse inkl.
ihrer Maturität sowie der Kommunikation
mit Verwaltungsrat, Management, Ge-
schäfts und IT Verantwortlichen. Essenti-
ell ist weiter auch ein Verständnis über
interne Kontrollen, wie das Unternehmen
auf die durch die IT initiierten Risiken
reagiert.
Cyber relevante IT-Umgebung und Cyber
Sicherheits-Framework
Der Auditor verschafft sich eine Übersicht
im Unternehmen betreffend IT-Organisa-
tion, Compliance Regeln, IT-Infrastruktur
und den assoziierten Risiken. Weiter
geht es darum wie IT-Prozesse und Ap-
plikation gemanagt werden und welche
Dienstleistungen an Drittfirmen ausgela-
gert sind. Dabei muss er in seinem Be-
richt die Risiken nachweisen und beur-
teilen können.
Für den Aufbau der Cyber-Sicherheit
ist es wichtig, das Gesamtbild in einem
Framework darzustellen, welches die
aktuelle Situation und Ausblick umfasst,
damit das Vorgehen beim Audit mit dem
Kunden festgelegt werden kann. Das
Cybersecurity Framework NIST (National
Institute of Standards and Technology,
Feb 2014) hilft dem Auditor die Situation
abgestimmt und transparent in Querver-
gleichen beurteilen zu können. Dieses
Framework besteht aus den drei Berei-
chen Basis Framework, Implementie-
rung in Schichten und Framework Profi-
len.
Das Basis Framework -beinhaltet Funk-
tionen, Aktivitäten, Resultate und Referen-
zen, welche die Priorisierung der Cyber
Sicherheit relevanten Entscheide ermögli-
chen. In diesem Basis Framework wird der
Aufbau der Cyber Sicherheit als ein konti-
nuierlicher Prozess mit fünf Funktionen
definiert: Identifikation, Schutz, Detektie-
ren, Reagieren und Recovery.
Die Implementierung in Schichten be-
inhaltet vorhandene Cyber-Sicherheit
Messwerte, mit welchen die Tiefe der
erfüllten Vorgaben der Sicherheitspro-
zesse (Maturität) beurteilt werden kann.
Dabei wird unterschieden zwischen
‚partiell‘, ‚Risiko informativ‘ und ‚wie-
derholbar‘.
Mit den Framework Profilen wird die
Beurteilung der existierenden Position
(Ist Zustand) sowie die Definition der zu
erreichenden Ziele der Cyber-Sicherheit
formuliert.
Entlang dieses Frameworks kann das Cy-
ber-Security-Program mit den nachfol-
genden sechs Schritten erfasst und for-
muliert werden:
1. Priorisierung und Festlegung des Um-
fangs (Business Ziele, organisatorisches
Umfeld, Umfangs des Cyber-Security-Pro-
gramms).
2. Positionierung und Identifizierung der
Systeme, Anforderungen, Risiko-Ansatz,
Schwachstellen und Bedrohung.
3. Das Erstellen des Profils der aktuellen
Situation sowie Bestimmen der Maturität
der bestehenden Prozesse.
4. Risk-Assessments: Durchführung der
Risiko-Impact-Analyse, Bewertung der
Ereignis-Eintritts-Wahrscheinlichkeit und
die Bestimmung der Risiko-Eskalation.
5. Das Erstellen des Ziel-Profils: Festle-
gung der geforderten Ziele unter Berück-
sichtigung der Business-Strategie
6. IST-SOLL Analyse und Priorisierung der
Verbesserungs-Schritte.
Die Bedeutung des «Three Lines of De-
fense Model»
Im Kontext eines Audits zu Cyber-Security
liegt eine grosse Bedeutung auf dem
Bild 1: Zunehmende Anzahl der Hacker Angriffe
(Quelle: Verizon 2014 Data Breach Investigation Report)
Bild 2: Die 5 Funktionen im Basis Framework
72
 ISACA-NEWSLETTER
ISACA News  Nr. 02 | Juni 2015
Three Lines of Defense Models (IAA: The
Institute of Internal Auditors). Das Externe
und Interne Audit rapportiert das Assess-
ment und die erstellten IST- und SOLL-Pro-
file des Cyber-Security-Programms direkt
an den Verwaltungsrat und das Manage-
ment um entsprechende Risiken dort zu
adressieren. Damit soll sichergestellt wer-
den, dass Cyber-Risiken in der Unterneh-
mensleitung bekannt sind und das Ma-
nagement die Verantwortung übernimmt.
Auditors Fokus und Vorbereitung
Der Auditor soll sich bei seinem Audit auf
drei Themen fokussieren: Zuerst eine
Priorisierung auf Bereichen, bei denen
die Cyber-Bedrohung besonders relevant
ist: Cloud Computing, Mobile Applikatio-
nen, Sozial-Engineering und Soziale
Netze, Angestellte und externe Firmen
Berater. Die zweite Voraussetzung für ein
effizientes Audit Vorgehen ist die Erwei-
terung eigener Kenntnisse der neuen
Methoden, welche vor allem bei der Ana-
lyse von grossen Datenmengen hilfreich
sind, sowie die Monitoring und Logging
Techniken, mit welchen die Spuren der
Cyber-Attacke erkannt werden können.
Das letzte Fokus-Thema ist die Entwick-
lung der Fähigkeit der Erkennung des
Cyber-Betrugs im Geschäftsumfeld sowie
am Arbeitsplatz.
Die Vorbereitung auf den Cyber-Sicher-
heits-Audit sollte Fragen beinhalten, wel-
che sich auf die Benutzung der Mobi-
le-und/oder Internet in geschäftskritischen
Prozessen sowie auf die Verarbeitung und
Speicherung der geschäftskritischen Daten
konzentrieren. Weiterhin sollten die Berei-
che der Überwachung und Aufzeichnung
der Transaktionen und der Daten ange-
fragt werden. Wichtige Fragenthemen sind
auch das Change Management, Imple-
mentierung neuer Funktionen sowie die
Qualität der Sicherheitsmassnahmen in
der Organisation.
Cyber-Audit-Programm
Im Cyber-Audit-Programm werden zehn
typische Bereiche für den Plan des Audi-
tors aufgeführt:
➤ Planung und Umfangsabschätzung des
Audits – was gehört zum Audit und was
ist ausgeschlossen?
➤ Kenntnisse und Verständnis der vor-
handenen IT-Architektur. Sind diese be-
kannt?
➤ Governance - Wie sollte die Gover-
nance für die Cyber-Kriminalität struktu-
riert werden?
➤ Organisation - Wie ist VR  Manage-
ment bei Cyber-Themen involviert und in
welcher Rolle?
➤ Richtlinien und Verordnungen – wel-
che sind spezifiziert und werden diese in
der Praxis angewendet?
➤ Geschäftsunterstützende Rolle in Cy-
ber-Verbrechen Prävention – wie ist die
Business-Gruppe in der Prävention von
der Cyber-Kriminalität involviert?
➤ IT Management – welches Know-How
ist vorhanden und welche Massnahmen
sind implementiert?
➤ Störfallmanagement Richtlinien und
Prozesse – welche sind vorhanden und
wurden getestet?
➤ Störfallmanagement Implementierung
– welche Schutzmassnahmen sind einge-
führt?
➤ Krisenmanagement - wenn eine Cy-
ber-Attacke passiert, wie ist die Organisa-
tion auf die Krisen Situation vorbereitet?
Zusammenfassung: Wichtige Schlüsse für
den Audit der Cyber-Risiken:
➤ Cyber-Governance hat Business-kriti-
sche Bedeutung. Das Management muss
wissen, wo die Risiken liegen.
➤ Jede Organisation kann von Cyber-Atta-
cken betroffen werden.
➤ Cyber-Sicherheit kann in der Organisa-
tion mit Hilfe des Frameworks aufgebaut
werden.
➤ Auditors Fokus soll Kenntnis neuer
Methoden und Erkennung der Cyber-Risi-
ken im Geschäftsumfeld beinhalten.
➤ Vorbereitung für Cyber-Audit besteht
aus Fragen/Programm zu neuer Techno-
logie und geschäftskritischen Daten.
Weitere Informationen
Der vollständige Artikel, das Literaturver-
zeichnis inkl. des Beispiels des Cyber
Audits beim Cloud Einsatz kann hier her-
untergeladen werden: www.acons.ch und
www.sua-tele.net.
Bild 3: Das »Three Lines of Defence Model” (IIA)
DIE AUTOREN
Jiri Cejka, Senior Mana-
ger, Acons Governance 
Audit AG
Dipl. El.-Ing, Fach
technische Kybernetik,
CISA, Quality Auditor ISO
9000
jiri.cejka@acons.ch
www.acons.ch
Bereiche  Kompetenzen: GRC, BCM, IT 
Cyber Sicherheit, IT Risikomanagement,
Programm Management
Jiri Cejka prüft bei ISACA HQ weltweit das
Lernprogramm «IS Audit and Control» für
Universitäten. Er war langjähriger Entwickler
der Börsen-Systeme, tätig im IT Audit der
KPMG sowie Leiter IT Audit OC Oerlikon.
Markus Martinides,
CEO SUA Telenet GmbH
Studium: ETH Zürich
Nachrichten- und
Informationstechnologien
(1986)
info@sua-tele.net
www.sua-tele.net /
www.sec-check.net
Bereiche  Kompetenzen: Informatik, Mobil-,
Richtfunk-, Daten- und Sprachkommunika-
tion, IT-Sicherheit, Projektmanagement,
Betriebssysteme, Cloud Architektur.
Mitglied ISACA, Information Security Society
Switzerland (ISSS) und Dozent UZH MedLAW
73
ISACA-NEWSLETTER
ISACA-TRAINING
Datum Code Hauptthema – Kurstitel
15.06.2015 CISA-VK CISA Zertifikatskurs 2015
15.06.2015 CISM-VK CISM Zertifikatskurs 2015
15.06.2015 CGEIT-VK CGEIT Zertifikatskurs 2015
15.06.2015 CRISC-VK CRISC Zertifikatskurs 2015
01.10.2015 CGEIT-PV2 CGEIT Prüfungsvorbereitung 2015
08.10.2015 CRISC-PV2 CRISC Prüfungsvorbereitung 2015
www.isaca.ch
15. - 17.6.2015 P-COF3 COBIT 5 Foundation
22. - 24.6.2015 P-COI3 COBIT 5 Implementation
27.7. - 29.7.2015 P-COF3 COBIT 5 Foundation
www.glenfis.ch
IMPRESSUM ISACA NEWS
Herausgeber, Redaktion:	 ISACA Switzerland Chapter
Adresse: 	 Sekretariat ISACA c/o BDO AG, Biberiststrasse 16, 4501 Solothurn
Erscheinungsweise: 	 4x jährlich in Swiss IT Magazine
Mitgliedschaft: 	 Wir begrüssen alle, die Interesse an Audit, Governance und Sicherheit von Informationssystemen haben.
	 Es ist nicht notwendig, dass Sie Sicherheitsspezialist oder Revisor sind, um bei uns Mitglied zu werden.
	 Weitere Informationen finden Sie unter www.isaca.ch
Copyright: 	 © Switzerland Chapter der ISACA
ISACA News  Nr. 02 | Juni 2015
Informationen des Verbands
Risikomanagement – (auch)
für Cyber Risk unabdingbar
D
er vorangehende Artikel von Jiri
Cejka zum Audit von Cyber-Risi-
ken zeigt sehr gut auf, mit wel-
chen Fragestellungen sich nicht
nur der Revisor sondern auch der eigent-
lich für dieses Thema zuständige Risiko-
manager beschäftigen muss. Neben der
Analyse der Entwicklungen innerhalb des
Unternehmens selbst (z.B. Geschäftsstra-
tegie oder Sourcing-Strategie), den Ver-
änderungen im Markt (neue Gesetze und
regulatorischen Anforderungen, verän-
derte Konkurrenzsituation, Devisenkur-
sentwicklung usw.) sind auch die spezifi-
schen Risiken in den jeweiligen Fachberei-
chen zu identifizieren, zu bewerten, wo
sinnvoll zu vermindern und ganz grund-
sätzlich zu überwachen. Dabei darf man
Spezialrisiken wie die Cyber-Risiken weder
überbewerten noch vernachlässigen.
Was wir für so einen »Job” benötigen,
sind umfassend ausgebildete Risikoma-
nager, wie sie zum Beispiel im CRISC-Be-
rufsbild von ISACA vorgestellt werden.
Gemäss CRISC muss ein Risikomanager
insgesamt 39 verschiedene Aufgaben in
fünf übergeordneten Themen¬bereichen
abdecken: Von der Identifikation, Ein-
schätzung und Bewertung von Risiken bis
zu deren Management und Überwa-
chung. Ein Schwerpunkt im CRISC-Be-
rufsbild ist aber auch die Informations-
technologie (IT), wo spezifische IT-Mass-
nahmen entworfen und implementiert
werden müssen.
Das ISACA Switzerland Chapter bietet
eine solide Grundausbildung zum CRISC
an. Jeweils ab Februar bis anfangs Juni
bereitet sich die Teilnehmer zuerst mit
einem strukturierten Selbststudium vor.
Im Sommer (Juni/Juli) findet dann der
eigentliche Präsenzunterricht in Zürich
statt. Mit einem separaten Prüfungstrai-
ning im Spätherbst wird dann die Vorbe-
reitung auf die internationale Zertifikats-
prüfung anfangs Dezember (insgesamt 13
Kurstage) abgeschlossen.
Der durch ITACS Training AG im Auftrag
des ISACA Switzerland Chapter durchge-
führte Kurs vermittelt und vertieft theore-
tisches wie praktisches Fachwissen im
breiten Feld von Risikomanagement und
internen Kontrollen, bereitet aber auch
intensiv auf die von ISACA organisierte
CRISC-Prüfung vor.
WEITERE INFORMATIONEN
Weitere Details zum CRISC-Zertifikat und zur
entsprechenden Ausbildung finden Sie auf
www.isaca.ch

Weitere ähnliche Inhalte

Ähnlich wie Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni 2015

cysmo by PPI Cyber
cysmo by PPI Cybercysmo by PPI Cyber
cysmo by PPI CyberPPI AG
 
CyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfCyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfTobiasBessel
 
Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Praxistage
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitFilipe Felix
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securitybhoeck
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungBranding Maintenance
 
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter Effizienz in Serverräumen und Rechenzentren
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Praxistage
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorbhoeck
 
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...IBsolution GmbH
 
Internetkriminalität in Deutschland - Status und Trends
Internetkriminalität in Deutschland - Status und TrendsInternetkriminalität in Deutschland - Status und Trends
Internetkriminalität in Deutschland - Status und TrendsVogel IT-Medien
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)Gigya
 
Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Sopra Steria Consulting
 
Ein Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceEin Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceSymantec
 
Rethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRamona Kohrs
 
abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019
abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019
abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019bhoeck
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Praxistage
 

Ähnlich wie Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni 2015 (20)

CWMC Insights 2020|12 - Einführung IIoT Architekturen
CWMC Insights 2020|12 - Einführung IIoT ArchitekturenCWMC Insights 2020|12 - Einführung IIoT Architekturen
CWMC Insights 2020|12 - Einführung IIoT Architekturen
 
cysmo by PPI Cyber
cysmo by PPI Cybercysmo by PPI Cyber
cysmo by PPI Cyber
 
CyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfCyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdf
 
Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der Instandhaltung
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT Security
 
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
 
Fn neu broschuere_mai2017
Fn neu broschuere_mai2017Fn neu broschuere_mai2017
Fn neu broschuere_mai2017
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
 
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
 
Internetkriminalität in Deutschland - Status und Trends
Internetkriminalität in Deutschland - Status und TrendsInternetkriminalität in Deutschland - Status und Trends
Internetkriminalität in Deutschland - Status und Trends
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)
 
Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting
 
Ein Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceEin Manifest für Cyber Resilience
Ein Manifest für Cyber Resilience
 
Rethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event Report
 
abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019
abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019
abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
 

Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni 2015

  • 1. 69 NEWSLETTER ISACA-Training Aktuelle Aus- und Weiter- bildungsmöglichkeiten für Mitglieder und Nicht- Mitglieder Seite 73 F ür den Auditor stellt dies eine sehr grosse Herausforderung dar, denn er muss die mit den enormen Ver- änderungen in der IT Entwicklung verbundenen Cyber-Risiken und Heraus- forderungen beim Vorgehen im Audit berücksichtigen. Obwohl die Auditing Standards, bspw. ISA 315 (International Standard on Auditing) die Ausgangs- schritte für das Vorgehen aufzeigen, muss der Auditor in der Lage sein, die techni- sche Vielfalt der Angriffsmöglichkeiten, die neuen Methoden zur Erkennung der Angriffe, sowie die Verantwortlichen im Unternehmen (Management, Verwal- tungsrat) in seinen Audit mit einzubezie- hen. Der sich laufend ausweitende Einsatz des Cloud-Computings hat die Cyber-Risi- ken massiv verstärkt. 1. Entwicklung in der IT: Ge- schäftsvorteile und Bedrohungs- potential Die Entwicklungen in der IT haben im letzten Jahrzehnt ein schnelles Tempo erreicht: Mobile-Wireless und Netz-Tech- nologie, Cloud-Computing, vernetzte und virtualisierte Plattformen oder Big-Data Anwendungen. Die Fortschritte ermögli- chen strukturierte Veränderungen der IT Umgebung, wie Einführung alternativer Sourcing-Strukturen, Hosting oder Cloud-Computing. Diese Veränderungen haben für die Unternehmen grosse Kos- tenvorteile gebracht: Sie können ihre An- bindungen an Dritt-Lieferanten und Kun- den verbessern. Ein Beispiel dafür ist die Cloud-Lösung, welche wesentliche Kos- teneinsparungen gegenüber der Verwal- tung der Daten im eigenen Rechenzent- rum bietet: ➤ Aus strategischer Sicht ist das Unter- nehmen effizienter, dynamischer und un- abhängiger von Investitionen in die IT. Audit von Cyber Risiken: Verantwortung der Unterneh- mensleitung und Herausforde- rung für den Auditor Die Audit-Methodik und der Prüfungsumfang müssen laufend den technologischen Veränderungen angepasst und erweitert werden um die effektive Cyber-Sicherheit beim zu prüfenden Unternehmen wirksam beurteilen zu können. Hier kommt die Frage des „Wie“, da zurzeit keine Cyber Gesetze oder Regulationen existieren Von Jiri Cejka und Markus Martinides Risikomanagement ISACA Switzerland Chapter bietet eine solide Grundausbildung in Risikomanagement an Seite 73 Audit Vorgehen Die Business-kritische Bedeutung von Cyber- Governance und struktu- rierten Darstellung der Cyber-Risiken Seite 69 Nr. 02 | Juni 2015 | www.isaca.ch ISACA News  Nr. 02 | Juni 2015
  • 2. 70 ISACA-NEWSLETTER ISACA News  Nr. 02 | Juni 2015 ➤ Aus ökonomischer Sicht werden die globalen operativen Kosten reduziert, die Verfügbarkeit und Kapazität der Daten erhöht und der Einsatz neuer und effekti- verer IT-Produkte oder IT-Dienstleistun- gen ermöglicht. Folglich fragt das Management «Wie schnell und wie kann vom Cloud-Einsatz profitiert werden?» Der Auditor hingegen wird die Geschäftsleitung mit anderen Fragen adressieren: ➤ Wie ist die strategische Geschäftsaus- richtung mit der Informatik synchroni- siert? ➤ Wie unterstützt die Informatik das Ge- schäft? ➤ Basieren die IT-Investment-Entscheide auf Business-Anforderungen? ➤ Bleibt die Verantwortung für die Daten innerhalb der Firma, auch wenn sie von der Sicherheit externer Systeme abhängig ist? Verändertes Geschäftsumfeld generiert neues Bedrohungspotential Der Drang nach Geschäftsvorteilen aus der Entwicklung neuer Informatik- und Telekommunikationstechnologien ist gross, kann jedoch auch erhebliche Risi- ken und Governance-Herausforderungen mit sich bringen. Zwar bringen diese Technologien viele Annehmlichkeiten bei der täglichen Ar- beit mit der Informatik, gleichzeitig aber eröffnen sie Hackern, Betrügern und Vi- renprogrammierern unzählige Möglich- keiten um Computersysteme anzugreifen und – für den Benutzer nicht erkennbar – dabei die Vollkontrolle des Computers zu übernehmen. Für das Unternehmen entsteht eine neue Bedrohung - die Cy- ber-Kriminalität. Cyber-Kriminalität – die globale Bedro- hung Bei Cyber-Attacken können Kriminelle bestehende Schutzmassnahmen häufig einfach umgehen. Die existierenden Si- cherheitsmassnahmen bspw. die Absi- cherung der logischen Schichten durch Firewalls genügen nicht mehr, um solche Angriffe mit Erfolg abzuwenden. Durch die weltweite Vernetzung unzähliger In- formatik-Systeme über das Internet haben Angreifer innerhalb Sekunden- bruchteilen Zugriff auf alle am Internet angeschlossenen Systeme. Dabei können unsere traditionellen Rechtssysteme praktisch beliebig umgangen werden. Als Reaktion haben bereits 44 Staaten die Konvention über Cyber-Kriminalität ratifi- ziert, 9 Staaten haben sie unterzeichnet. Situation in der Schweiz «Eines der grössten Probleme im Zusam- menhang mit der Nutzung des Internets ist heute die Datensicherheit», erklärt Markus Martinides, Cyber-Experte von der im Bereich Sicherheitsanalysen spezi- alisierten Firma SUA Telenet GmbH. «Ins- besondere für Firmen, die über vertrauli- che Daten verfügen, aber auch für Private ist es wichtig, kontrollieren zu können, wer auf interne Daten zugreift und ob diese unerlaubt verändert oder sogar gelöscht werden.» Aus diesem Grund sind in der Schweiz nicht nur die grossen Institutionen wie Versicherungen, Banken oder Industrieunternehmen sondern auch KMU Betriebe wie Arztpraxen und Anwaltskanzleien ebenso wie Spitäler, Gemeinden und Kantone bedroht. Die gängigen Firewalls bieten dabei immer weniger Schutz. Denn sogenannte Zombies (Codes, die sich via Internet auf dem System installieren und dann Daten vom System nach aussen schicken), kön- nen sich oft völlig unbemerkt installieren und bleiben von Antivirenprogrammen und Firewalls vollkommen unerkannt. «Oftmals sind solche Programme lange Zeit aktiv und spionieren das Netzwerk aus, bevor sie bemerkt werden», so Mar- kus Martinides. Tür und Tor werden Viren und Hackern beispielsweise durch die Verwendung von nicht überprüfter USB- Sticks geöffnet. Ein weiteres Problem ist, dass immer mehr Angriffe über sehr komplexe Technologien wie Javascripts laufen die verstärkt im Bereich der Inter- net-Browser zum Einsatz gelangen. 2. Cyber-Governance ist Manage- ment Aufgabe «Cyber-Kriminalität wächst und ist auf dem 4.Platz aller kriminellen Taten. Cy- ber-Kriminalität ist nicht das Technologie Problem, es ist das Business- und das Strategie-Problem». Quelle: PWC 2014 Crime-Survey Die Verantwortung für die Daten des Unternehmens liegt beim Management. Dem Verwaltungsrat sollten die Cyber-Ri- siken deshalb bewusst sein. Folgende Corporate Governance Prinzipien können helfen, die Cyber-Risiken aktiv zu mana- gen. Prinzipien für Corporate Governance ➤ Der Verwaltungsrat soll das Vorgehen bei Cyber-Sicherheit als unternehmens- weites Risk-Management positionieren, nicht nur als IT-Risiko. ➤ Der Verwaltungsrat soll die juristischen Konsequenzen der Cyber-Risiken verste- hen, da sie sich auf unternehmens-spezi- fische Umstände beziehen. ➤ Der Verwaltungsrat soll Zugriff zur Cy- ber-Sicherheit Expertise haben und die Diskussionen über Cyber-Risiko-Manage- ment sollten ausreichend Zeit auf seiner Agenda einnehmen. ➤ Der Verwaltungsrat erlässt eine Richtli- nie an das Management, dass ein unter- nehmensweites Cyber-Risiko-Manage- ment-Framework aufgebaut und mit ge- nügend Personal und Budget unterstützt wird. ➤ Cyber-Risiken können nicht einfach durch Abschluss einer Daten-Verlustver- sicherung gelöst werden. ➤ Die Diskussion zwischen VR und Ma- nagement sollte die Identifikation der tatsächlichen Cyber-Risiken und deren effektiven Abwehr durch organisatorische und technische Massnahmen beinhalten. Audit Fragen an Verwaltungsräte Der Auditor soll die Unternehmensleitung und den Verwaltungsrat aktiv unterstüt- zen, das Risikobewusstsein gegenüber Cyber Attacken zu schärfen und konkret zu formulieren. Folgende Fragen des Au- ditors an den Verwaltungsrat können dabei eine Hilfe sein: ➤ Wendet das Unternehmen ein Sicher- heitsframework an? ➤ Welche sind die Top fünf Risiken im Unternehmen, welche auf Cyber-Sicher- heit bezogen sind? ➤ Ist bei dem Mitarbeiter ein Bewusst- sein in Bezug auf Cyber-Sicherheit vor- handen? ➤ Wurden bei der Planung des Cyber-Si- cherheit Programms externe und interne Bedrohungen beachtet? ➤ Wie ist die Sicherheits-Governance in- nerhalb des Unternehmens geregelt? ➤ Gibt es einen konkreten Notfallplan im Falle einer Cyber-Attacke? 3. Darstellung von Cyber-Risiken und Vorgehen im Audit Die Cyber-Kriminalität «profitiert» von den, durch IT-Fortschritt erzeugten, neuen Risiko Quellen, welche vor allem mit dem Cloud-Computing Einsatz, mit Konzepten
  • 3. 71 ISACA-NEWSLETTER ISACA News  Nr. 02 | Juni 2015 wie «Bring-Your-Own-Device» (BYOD) mobilen Geräten und Applikationen sowie mit der Auslagerung der für Business kritischen IT-Bereichen, entstanden sind. Die neuen Risiko Quellen haben die Cy- ber-Angriffsflächen vergrössert. Die Risiken der Cyber-Kriminalität sind: i) Datenverlust, ii) Bedrohungen im Da- tenschutz-Bereich, iii) Verlust der Kon- trolle über Zugriff auf die Daten iv) Ver- lust der Verfügbarkeit der Daten im Be- trieb. Die Folgen der Cyber-Attacke können dem Unternehmen weitreichenden Scha- den zufügen wie bspw. Verlust der Wett- bewerbsfähigkeit, Kosten, Reputations- schaden oder Compliance-Probleme. Die Cyber-Bedrohung wird kritisch, da die Hacker sich auf den Missbrauch sensi- tiver oder finanziell wertvoller Information oder auf die Störung der wichtigen opera- tiven Bereiche fokussieren. Dabei ist der Anstieg von Attacken drastisch, da die Hacker-Bedrohungen und Sicherheits-Ein- brüche nicht nur in der Anzahl exponenti- ell wachsen (Bild 1), sondern ihre Metho- den kontinuierlich weiterentwickelt und ausgeklügelter konstruiert werden. In vielen Fällen werden Hacker-Atta- cken viel zu spät erkannt. Sehr viele Daten des Unternehmens können in dieser Zeit unbemerkt ausgeforscht, verändert und gelöscht werden. Viele Angreifer erstellen einen versteckten Remote-Zugang, der es ermöglicht Informationen erst bei «Be- darf» als bezahlte Dienstleistung gegen- über Ihren Auftraggebern bereitzustellen. Themen Aufgaben im Cyber Audit Der Audit der Cyber-Risiken erweitert sich um spezifische Themen in den Berei- chen i) IT Governance und Assurance, ii) IT Sicherheitsstrategie inkl. Richtlinien und Vorgaben, iii) Implementierungen iv) Projekt Risk-Management. Zu den Aufgaben des Auditors gehören die Beurteilung der Cyber-Bedrohungen und Risiken, der Kontrollprozesse inkl. ihrer Maturität sowie der Kommunikation mit Verwaltungsrat, Management, Ge- schäfts und IT Verantwortlichen. Essenti- ell ist weiter auch ein Verständnis über interne Kontrollen, wie das Unternehmen auf die durch die IT initiierten Risiken reagiert. Cyber relevante IT-Umgebung und Cyber Sicherheits-Framework Der Auditor verschafft sich eine Übersicht im Unternehmen betreffend IT-Organisa- tion, Compliance Regeln, IT-Infrastruktur und den assoziierten Risiken. Weiter geht es darum wie IT-Prozesse und Ap- plikation gemanagt werden und welche Dienstleistungen an Drittfirmen ausgela- gert sind. Dabei muss er in seinem Be- richt die Risiken nachweisen und beur- teilen können. Für den Aufbau der Cyber-Sicherheit ist es wichtig, das Gesamtbild in einem Framework darzustellen, welches die aktuelle Situation und Ausblick umfasst, damit das Vorgehen beim Audit mit dem Kunden festgelegt werden kann. Das Cybersecurity Framework NIST (National Institute of Standards and Technology, Feb 2014) hilft dem Auditor die Situation abgestimmt und transparent in Querver- gleichen beurteilen zu können. Dieses Framework besteht aus den drei Berei- chen Basis Framework, Implementie- rung in Schichten und Framework Profi- len. Das Basis Framework -beinhaltet Funk- tionen, Aktivitäten, Resultate und Referen- zen, welche die Priorisierung der Cyber Sicherheit relevanten Entscheide ermögli- chen. In diesem Basis Framework wird der Aufbau der Cyber Sicherheit als ein konti- nuierlicher Prozess mit fünf Funktionen definiert: Identifikation, Schutz, Detektie- ren, Reagieren und Recovery. Die Implementierung in Schichten be- inhaltet vorhandene Cyber-Sicherheit Messwerte, mit welchen die Tiefe der erfüllten Vorgaben der Sicherheitspro- zesse (Maturität) beurteilt werden kann. Dabei wird unterschieden zwischen ‚partiell‘, ‚Risiko informativ‘ und ‚wie- derholbar‘. Mit den Framework Profilen wird die Beurteilung der existierenden Position (Ist Zustand) sowie die Definition der zu erreichenden Ziele der Cyber-Sicherheit formuliert. Entlang dieses Frameworks kann das Cy- ber-Security-Program mit den nachfol- genden sechs Schritten erfasst und for- muliert werden: 1. Priorisierung und Festlegung des Um- fangs (Business Ziele, organisatorisches Umfeld, Umfangs des Cyber-Security-Pro- gramms). 2. Positionierung und Identifizierung der Systeme, Anforderungen, Risiko-Ansatz, Schwachstellen und Bedrohung. 3. Das Erstellen des Profils der aktuellen Situation sowie Bestimmen der Maturität der bestehenden Prozesse. 4. Risk-Assessments: Durchführung der Risiko-Impact-Analyse, Bewertung der Ereignis-Eintritts-Wahrscheinlichkeit und die Bestimmung der Risiko-Eskalation. 5. Das Erstellen des Ziel-Profils: Festle- gung der geforderten Ziele unter Berück- sichtigung der Business-Strategie 6. IST-SOLL Analyse und Priorisierung der Verbesserungs-Schritte. Die Bedeutung des «Three Lines of De- fense Model» Im Kontext eines Audits zu Cyber-Security liegt eine grosse Bedeutung auf dem Bild 1: Zunehmende Anzahl der Hacker Angriffe (Quelle: Verizon 2014 Data Breach Investigation Report) Bild 2: Die 5 Funktionen im Basis Framework
  • 4. 72 ISACA-NEWSLETTER ISACA News  Nr. 02 | Juni 2015 Three Lines of Defense Models (IAA: The Institute of Internal Auditors). Das Externe und Interne Audit rapportiert das Assess- ment und die erstellten IST- und SOLL-Pro- file des Cyber-Security-Programms direkt an den Verwaltungsrat und das Manage- ment um entsprechende Risiken dort zu adressieren. Damit soll sichergestellt wer- den, dass Cyber-Risiken in der Unterneh- mensleitung bekannt sind und das Ma- nagement die Verantwortung übernimmt. Auditors Fokus und Vorbereitung Der Auditor soll sich bei seinem Audit auf drei Themen fokussieren: Zuerst eine Priorisierung auf Bereichen, bei denen die Cyber-Bedrohung besonders relevant ist: Cloud Computing, Mobile Applikatio- nen, Sozial-Engineering und Soziale Netze, Angestellte und externe Firmen Berater. Die zweite Voraussetzung für ein effizientes Audit Vorgehen ist die Erwei- terung eigener Kenntnisse der neuen Methoden, welche vor allem bei der Ana- lyse von grossen Datenmengen hilfreich sind, sowie die Monitoring und Logging Techniken, mit welchen die Spuren der Cyber-Attacke erkannt werden können. Das letzte Fokus-Thema ist die Entwick- lung der Fähigkeit der Erkennung des Cyber-Betrugs im Geschäftsumfeld sowie am Arbeitsplatz. Die Vorbereitung auf den Cyber-Sicher- heits-Audit sollte Fragen beinhalten, wel- che sich auf die Benutzung der Mobi- le-und/oder Internet in geschäftskritischen Prozessen sowie auf die Verarbeitung und Speicherung der geschäftskritischen Daten konzentrieren. Weiterhin sollten die Berei- che der Überwachung und Aufzeichnung der Transaktionen und der Daten ange- fragt werden. Wichtige Fragenthemen sind auch das Change Management, Imple- mentierung neuer Funktionen sowie die Qualität der Sicherheitsmassnahmen in der Organisation. Cyber-Audit-Programm Im Cyber-Audit-Programm werden zehn typische Bereiche für den Plan des Audi- tors aufgeführt: ➤ Planung und Umfangsabschätzung des Audits – was gehört zum Audit und was ist ausgeschlossen? ➤ Kenntnisse und Verständnis der vor- handenen IT-Architektur. Sind diese be- kannt? ➤ Governance - Wie sollte die Gover- nance für die Cyber-Kriminalität struktu- riert werden? ➤ Organisation - Wie ist VR Manage- ment bei Cyber-Themen involviert und in welcher Rolle? ➤ Richtlinien und Verordnungen – wel- che sind spezifiziert und werden diese in der Praxis angewendet? ➤ Geschäftsunterstützende Rolle in Cy- ber-Verbrechen Prävention – wie ist die Business-Gruppe in der Prävention von der Cyber-Kriminalität involviert? ➤ IT Management – welches Know-How ist vorhanden und welche Massnahmen sind implementiert? ➤ Störfallmanagement Richtlinien und Prozesse – welche sind vorhanden und wurden getestet? ➤ Störfallmanagement Implementierung – welche Schutzmassnahmen sind einge- führt? ➤ Krisenmanagement - wenn eine Cy- ber-Attacke passiert, wie ist die Organisa- tion auf die Krisen Situation vorbereitet? Zusammenfassung: Wichtige Schlüsse für den Audit der Cyber-Risiken: ➤ Cyber-Governance hat Business-kriti- sche Bedeutung. Das Management muss wissen, wo die Risiken liegen. ➤ Jede Organisation kann von Cyber-Atta- cken betroffen werden. ➤ Cyber-Sicherheit kann in der Organisa- tion mit Hilfe des Frameworks aufgebaut werden. ➤ Auditors Fokus soll Kenntnis neuer Methoden und Erkennung der Cyber-Risi- ken im Geschäftsumfeld beinhalten. ➤ Vorbereitung für Cyber-Audit besteht aus Fragen/Programm zu neuer Techno- logie und geschäftskritischen Daten. Weitere Informationen Der vollständige Artikel, das Literaturver- zeichnis inkl. des Beispiels des Cyber Audits beim Cloud Einsatz kann hier her- untergeladen werden: www.acons.ch und www.sua-tele.net. Bild 3: Das »Three Lines of Defence Model” (IIA) DIE AUTOREN Jiri Cejka, Senior Mana- ger, Acons Governance Audit AG Dipl. El.-Ing, Fach technische Kybernetik, CISA, Quality Auditor ISO 9000 jiri.cejka@acons.ch www.acons.ch Bereiche Kompetenzen: GRC, BCM, IT Cyber Sicherheit, IT Risikomanagement, Programm Management Jiri Cejka prüft bei ISACA HQ weltweit das Lernprogramm «IS Audit and Control» für Universitäten. Er war langjähriger Entwickler der Börsen-Systeme, tätig im IT Audit der KPMG sowie Leiter IT Audit OC Oerlikon. Markus Martinides, CEO SUA Telenet GmbH Studium: ETH Zürich Nachrichten- und Informationstechnologien (1986) info@sua-tele.net www.sua-tele.net / www.sec-check.net Bereiche Kompetenzen: Informatik, Mobil-, Richtfunk-, Daten- und Sprachkommunika- tion, IT-Sicherheit, Projektmanagement, Betriebssysteme, Cloud Architektur. Mitglied ISACA, Information Security Society Switzerland (ISSS) und Dozent UZH MedLAW
  • 5. 73 ISACA-NEWSLETTER ISACA-TRAINING Datum Code Hauptthema – Kurstitel 15.06.2015 CISA-VK CISA Zertifikatskurs 2015 15.06.2015 CISM-VK CISM Zertifikatskurs 2015 15.06.2015 CGEIT-VK CGEIT Zertifikatskurs 2015 15.06.2015 CRISC-VK CRISC Zertifikatskurs 2015 01.10.2015 CGEIT-PV2 CGEIT Prüfungsvorbereitung 2015 08.10.2015 CRISC-PV2 CRISC Prüfungsvorbereitung 2015 www.isaca.ch 15. - 17.6.2015 P-COF3 COBIT 5 Foundation 22. - 24.6.2015 P-COI3 COBIT 5 Implementation 27.7. - 29.7.2015 P-COF3 COBIT 5 Foundation www.glenfis.ch IMPRESSUM ISACA NEWS Herausgeber, Redaktion: ISACA Switzerland Chapter Adresse: Sekretariat ISACA c/o BDO AG, Biberiststrasse 16, 4501 Solothurn Erscheinungsweise: 4x jährlich in Swiss IT Magazine Mitgliedschaft: Wir begrüssen alle, die Interesse an Audit, Governance und Sicherheit von Informationssystemen haben. Es ist nicht notwendig, dass Sie Sicherheitsspezialist oder Revisor sind, um bei uns Mitglied zu werden. Weitere Informationen finden Sie unter www.isaca.ch Copyright: © Switzerland Chapter der ISACA ISACA News  Nr. 02 | Juni 2015 Informationen des Verbands Risikomanagement – (auch) für Cyber Risk unabdingbar D er vorangehende Artikel von Jiri Cejka zum Audit von Cyber-Risi- ken zeigt sehr gut auf, mit wel- chen Fragestellungen sich nicht nur der Revisor sondern auch der eigent- lich für dieses Thema zuständige Risiko- manager beschäftigen muss. Neben der Analyse der Entwicklungen innerhalb des Unternehmens selbst (z.B. Geschäftsstra- tegie oder Sourcing-Strategie), den Ver- änderungen im Markt (neue Gesetze und regulatorischen Anforderungen, verän- derte Konkurrenzsituation, Devisenkur- sentwicklung usw.) sind auch die spezifi- schen Risiken in den jeweiligen Fachberei- chen zu identifizieren, zu bewerten, wo sinnvoll zu vermindern und ganz grund- sätzlich zu überwachen. Dabei darf man Spezialrisiken wie die Cyber-Risiken weder überbewerten noch vernachlässigen. Was wir für so einen »Job” benötigen, sind umfassend ausgebildete Risikoma- nager, wie sie zum Beispiel im CRISC-Be- rufsbild von ISACA vorgestellt werden. Gemäss CRISC muss ein Risikomanager insgesamt 39 verschiedene Aufgaben in fünf übergeordneten Themen¬bereichen abdecken: Von der Identifikation, Ein- schätzung und Bewertung von Risiken bis zu deren Management und Überwa- chung. Ein Schwerpunkt im CRISC-Be- rufsbild ist aber auch die Informations- technologie (IT), wo spezifische IT-Mass- nahmen entworfen und implementiert werden müssen. Das ISACA Switzerland Chapter bietet eine solide Grundausbildung zum CRISC an. Jeweils ab Februar bis anfangs Juni bereitet sich die Teilnehmer zuerst mit einem strukturierten Selbststudium vor. Im Sommer (Juni/Juli) findet dann der eigentliche Präsenzunterricht in Zürich statt. Mit einem separaten Prüfungstrai- ning im Spätherbst wird dann die Vorbe- reitung auf die internationale Zertifikats- prüfung anfangs Dezember (insgesamt 13 Kurstage) abgeschlossen. Der durch ITACS Training AG im Auftrag des ISACA Switzerland Chapter durchge- führte Kurs vermittelt und vertieft theore- tisches wie praktisches Fachwissen im breiten Feld von Risikomanagement und internen Kontrollen, bereitet aber auch intensiv auf die von ISACA organisierte CRISC-Prüfung vor. WEITERE INFORMATIONEN Weitere Details zum CRISC-Zertifikat und zur entsprechenden Ausbildung finden Sie auf www.isaca.ch