Digicomp Academy AG, profile picture
Hochgeladen vonDigicomp Academy AG
1,287 aufrufe

Revisoren und hacker

Das Dokument behandelt die Rolle der Wirtschaftsprüfung im Bereich IT-Revision und Hacking, fokussiert auf regulatorische Vorgaben, Prüfmethoden und damit verbundene Risiken. Umberto Annino erläutert die Verantwortung der Wirtschaftsprüfer und das Management in Bezug auf die finanzielle Integrität und diskutiert verschiedene Arten der Revision sowie die damit verbundenen rechtlichen und sicherheitstechnischen Herausforderungen. Außerdem werden aktuelle Hacker-Risiken und Maßnahmen zur Informationssicherheit sowie Haftungsfragen behandelt.

Präsentation einbetten

Downloaden Sie, um offline zu lesen
Wirtschaftsprüfung Revisoren und Hacker Umberto Annino, Juni 2012
Zur Person Umberto Annino  social networks, XING, Linkedin PwC, Risk Assurance FS, OneSecurity Information Security Society Switzerland ISSS Vizepräsident, Kassier www.isss.ch ISACA Switzerland Chapter Certification Coordinator www.isaca.ch Dozent und Lehrmittelautor für Informationssicherheit, verschiedene Schulen Revision & Hacking • PwC 3 Umberto Annino, Juni 2012
Agenda 1. IT-Revision: verschiedene Arten und Prüftiefen für IT und IT-Systeme 2. Regulatorische und gesetzliche Vorgaben 3. Hacker-Risiken 4. Verantwortung und Haftung der betroffenen Parteien PwC
IT-Revision: Ordentliche Revision Ordentliche Revision (Full Audit, OR 728) bei Publikumsgesellschaften zwingend; Nicht-öffentliche AG, GmbH, Stiftungen auch, wenn eine der Bedingungen erfüllt ist: >=20 MCHF Bilanzsumme >= 250 Vollzeitstellen >=40 MCHF Umsatz Vorgaben: • Zugelassene Revisionsexperten oder staatlich beaufsichtigtes Revisionsunternehmen  Basis ISO 2700x, COBIT IT-Governance Framework • Weitgehende und umfassende Prüfung • Anzeige- und Informationspflichten bei Verstössen gegen Gesetz, Statuten, Organisationsreglement oder bei Überschuldung (SEC Guidelines) • Umfassender Revisionsbericht an VR und zusamenfassender an GV PwC
IT-Revision: Eingeschränkte Revision Eingeschränkte Revision (Review, OR 729), prinzipiell wenn Bedingungen für ordentliche Revision nicht erreicht werden sowie: keine Revisionspflicht für Kleinstunternehmen Vorgaben: • Zugelassener Revisor • Weniger weit gehende Prüfung, auf bestimmte Prüfungshandlungen beschränkt • Anzeigepflicht bei Überschuldung • Zusammenfassender Revisionsbericht an GV • Keine Rotationspflicht des leitenden Revisors PwC
Erwartungshaltung und Realität • Wirtschaftsprüfer übernimmt volle Verantwortung für die geprüften Jahresrechnungen • “Clean Opinion” heisst, dass der Wirtschaftsprüfer eine 100-prozentige Prüfung vorgenommen hat • Der Wirtschaftsprüfer warnt frühzeitig, dass die Gesellschaft in den Konkurs läuft • Der Wirtschaftsprüfer entdeckt mögliche Unstimmigkeiten in der Jahresrechnung  Diese Erwartungen können so nicht immer erfüllt werden • Primäre Verantwortung liegt klar beim Management und VR • Wirtschaftsprüfer kann keine “Konkursfreiheit” sichern, nur auf wesentliche Risiken hinweisen • Stichpropen und “professional scepticism” um Fraud zu entdecken PwC
Rahmenbedingungen, v.a. für ordentliche und eingeschränkte Revision • Fokus auf Jahresrechnung (Bilanz und Erfolgsrechnung; Jahresabschluss)  “Finanzsysteme” und wesentliche Wertschöpfungskette stehen im Fokus • Internes Kontrollsystem (Existenz und Wirksamkeit) und Risikobeurteilung • Wesentlichkeit der Feststellung (Finding)  Relevanz bezüglich Unvollständigkeit, Fehler (Fraud und unbewusste Fehler), Gesetzmässigkeit • Unabhängigkeit (gilt für Revisionsgesellschaft und alle Mitarbeitende!) • Keine “Selbstprüfung” • Keine Entscheide für den Kunden (management decisions) • Keine engen Beziehungen zum Kunden, keine Beteiligungen/wirtschaftliche Abhängigkeit, nicht marktkonforme PwC Bedingungen (z.B. Spezialrabatte)
Vom Geschäftsprozess zur IT Wesentliches Konto (Debitoren)  Geschäftsprozess (Inkasso)  Risiko (Abgleich der Zahlung mit Warenlieferung)  Kontrollen ELC: Autorisierungsweisung BPC: 4-Augen Prinzip ITGC: Vollständigkeitskontrolle Revision & Hacking • PwC 10 Umberto Annino, Juni 2012
Revisionsprinzipien 1. Wirtschaftlichkeit: Nutzen der Revision 2. Wesentlichkeit (Materiality): Dringlichkeit und Wesentlichkeit für die Unternehmensführung 3. Sorgfalt: Objektivität, Vollständigkeit, Urteilsfähigkeit PwC
COSO Würfel Ein IKS besteht aus den Kontrollkomponenten: • Kontrollumfeld (… Kultur) • Risikobeurteilungsprozess des Unternehmens • Kontrollaktivitäten • Rechnungslegungsrelevante Informationssysteme, damit verbundene Geschäftsprozesse und Kommunikation • Überwachung der Kontrollen PwC
Was und wie wird geprüft ? • IT-Umgebung – HW, SW, Netzwerke, Schnittstellen • IKS / Risikomanagement • IT-Prozesse, IT-Governance; business alignment • Kontrollen (aka Massnahmen, Sicherheitsmassnahmen) • SOLL und IST; Planung, Konzepte, Projekte, Testverfahren, Betrieb; Projektbegleitende Revision z.B . Bei Migrationsprojekten in Banken vorgeschrieben IT General Controls: ITGC Logical Access Control System Development Lifecycle SDLC Change Management Datacenter Physical Security Backup Controls Computer Operation Controls PwC
Freiwillige Prüfungen ISAE 3402 Controls Report / SSAE 16 Dienstleister, Prüfbericht über Kontrollsysteme, freiwillig Typ1: Design der Kontrollen, Typ2: Umsetzung/Effektivität der Kontrollen ISO 27001 (z.B. Zertifizierung, auch „nur“ ISMS) Jegliche Unternehmen, Gewährleistung der Informationssicherheit, freiwillig COBIT Jegliche Unternehmen, Werkzeug zur Steuerung der IT (Aufbau, Ablauf) FIPS / EAL, Common Criteria Produkt- und Funktionsstandards „Security“ Revision & Hacking • PwC 14 Umberto Annino, Juni 2012
Limited Assurance – ISAE 3000 Beispiel On the basis of our procedures aimed at obtaining limited assurance, nothing has come to our attention that causes us to believe that the information in the Report does not comply with the above mentioned reporting criteria. Kontrollprozeduren, Umfang und Bedingungen werden offengelegt im Bericht. Full text: http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperforma ncedata/pages/assurancereportfromernstyoungas.aspx Revision & Hacking • PwC 15 Umberto Annino, Juni 2012
Reasonable Assurance – ISAE 3000 Beispiel We believe that our procedures provide us with an appropriate basis to conclude with a reasonable level of assurance for Statoil's HSEaccounting. Kontrollprozeduren, Umfang und Bedingungen werden offengelegt im Bericht. Full text: http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperforma ncedata/pages/assurancereportfromernstyoungas.aspx Revision & Hacking • PwC 15 Umberto Annino, Juni 2012
Prüfungsdurchführung 1. Prüfungsplanung (Termine, Ansprechpersonen, Schwerpunkte) 2. Vorerhebung, z.B. Interviews, “footprinting” 3. Sammlung und Auswertung von Informationen (evidence collection, Stichprobenauswertung, statistische Analysen) 4. Berichterstattung und Berichtabstimmung 5. Review des Audit (Nachvollziehbarkeit!) PwC
Beispiel: Stress Points der Kommunikationssicherheit Basic Vulnerabilities – Drei Kategorien 1. Interception (Abhören, Abstrahlung), auch Manipulation 2. Availability - Verfügbarkeit, bei stark genutzten Netzwerkverbindungen; global 3. Access/entry points (Schnittstellen); any device, from anywhere Revision & Hacking • PwC 17 Umberto Annino, Juni 2012
Controls – Kontrollen und Massnahmen Interception Access Control und physische Sicherheit im Bereich Datacenter, Netzwerk- Systemen und Büroräumlichkeiten  Zunehmende Verbreitung von Wireless-Technologien macht physische Massnahmen weniger effektiv Effektivste Massnahme: Verschlüsselung Applikatorisch oder auf Netzwerk-Ebene (IPsec, TLS) Revision & Hacking • PwC 18 Umberto Annino, Juni 2012
Controls – Kontrollen und Massnahmen Availability Angemessene Netzwerkarchitektur Monitoring und Überwachung Redundanz und automatisiertes Routing NOC Network Operation Center 24/7 Revision & Hacking • PwC 19 Umberto Annino, Juni 2012
Controls – Kontrollen und Massnahmen Access Points Single Point of Entry – Flaschenhals-Prinzip  Zunehmend torpediert durch BYOD bring your own device sowie genereller Trend zur “Aufweichung” der Netzwerk-Grenzen Access Control Lists Traffic Shaping Deep Packet Inspection; Antimalware, Content Protection, Leakage Protection and Prevention Härtung der Systeme Revision & Hacking • PwC 20 Umberto Annino, Juni 2012
Beispielhafte Feststellungen Patchlevel nicht aktuell Prozesse Bewilligung und Durchführung von Änderungen nicht nachvollziehbar Account-Profil Einstellungen zu schwach oder nicht den Benutzern zugeordnet Zugriffsrechte Benutzergruppe mit Administrationsrechten ist zu gross Zugriffsrechte von technischen Benutzer für Applikationszugriffe zu wenig eingeschränkt Standard-Benutzer und -Passwörter vorhanden Logging nicht aktiviert oder entspricht nicht den Anforderungen Konfiguration Hardening Verwendung unverschlüsselter Verbindungen zwischen Clients und Datenbank Unverschlüsselte Kanäle nicht deaktiviert Dokumentation Dokumentation nicht vorhanden (Konfigurationsstandard, wiederkehrende Prozesse) Revision & Hacking • PwC 21 Umberto Annino, Juni 2012
Gesetze und Regulatorien - Finanzinstitute Bundesgesetz und Verordnung über Banken und Sparkassen • FINMA ist weisungsberechtigt (z.B. Verschärfung von Kontrollen) • Organisation muss “wesentliche” Risiken erfassen, begrenzen und überwachen, inkl. Internes Kontrollsystem (IKS) • Basis für Urteil der Prüfgesellschaft zur Geschäftstätigkeit • Ordnungsgemässe Führung und Aufbewahrung der Geschäftsbücher (Archivierung) • Fokus auf “Finanzsysteme” FINMA Bestimmungen • Rundschreiben 2008/21: Operationelle Risiken Banken (Eigenmittel) • Rundschreiben 2008/7: Auslagerung von Geschäftsbereichen (Outsourcing) PwC
Haftpflicht, Sorgfaltspflicht – Alle Obligationenrecht, Haftung – Voraussetzungen: • Schaden (finanziell, psychisch etc.) • Rechtswidrigkeit • Adäquater Kausalzusammenhang, Kausalität (Verhältnis von Ursache und Wirkung) • Verschulden (schuldhafte Verursachung durch Schädiger) Sorgfaltspflicht bei der Erfüllung von Leistungen aus Obligationen (Verträgen)  Treu und Glaube, Umstände und Wissen sowie Können (Noch) Wenig Klagen bezüglich Datenverlust, ICT-Ausfällen etc. durch “Endanwender, Benutzer und Kunden”  pain-level low PwC
Strafrechtliche Bestimmungen Unbefugte Datenbeschaffung Art. 143 StGB 1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. 2 Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. PwC
Strafrechtliche Bestimmungen Unbefugtes Eindringen in ein Datenverarbeitungssystem Art. 143bis StGB 1 Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungs- system eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. 2 Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. PwC
Strafrechtliche Bestimmungen Datenbeschädigung Art. 144bis StGB 1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt. 2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitung gibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. PwC
Strafrechtliche Bestimmungen Betrügerischer Missbrauch einer Datenverarbeitungsanlage Art. 147 StGB 1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt oder eine Vermögensverschiebung unmittelbar darnach verdeckt, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. 2Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahren oder Geldstrafe nicht unter 90 Tagessätzen bestraft. 3 Der betrügerische Missbrauch einer Datenverarbeitungsanlage zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. PwC
Strafrechtliche Bestimmungen Unbefugtes Beschaffen von Personendaten Art. 179novies StGB Wer unbefugt besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die nicht frei zugänglich sind, aus einer Datensammlung beschafft, wird auf Antrag mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. PwC
Hacker-Risiken • APT, Wirtschaftsspionage • Datenklau, Beispiele (Linkedin, SONY, Global Payments “nur 1.5 M DS”) • DoS, z.B. gegen Konkurrenzunternehmen (e-commerce) • Manipulation von Daten • Racheakt – vergrämte (ehemalige) Mitarbeiter • Betrug (Phishing, Scams; Vermögensverschiebung) • Social Engineering (als Mittel) • Phishing, Spearphishing (als Mittel) Status-Quo – inhärentes Risiko durch Sicherheitslage, IKS Wirksamkeit PwC
(Heute ist alles) Penetration Testing 1. (Automatisiertes) Monitoring, Inventory Management, Patch Status Monitoring 2. Schwachstellen-Analyse, Vulnerability Assessment (automatisiert) 3. Eindringversuch – penetration testing 4. Ethical Hacking – inkl. Social Engineering (aka CTF) • Scoping: was testen, was nicht; Kommunikation, GO/NO-GO • Einwilligung (schriftlich)  Befugnis für Auftragnehmer • Incident Handling  CERT/CSIRT informieren, ev. Behörden • Haftbarkeit  v.a. für Auftragnehmer; Schaden bei Dritten • Lizenzierungsfragen: eingesetzte Angriffs-Software, SW-Manipulation PwC
Verantwortung und Haftung der betroffenen Parteien Anbieter / Service Provider  Sorgfaltspflicht  Vertragliche Leistung  Haftung und Einhaltung von Strafnormen Kunde / Betroffene Person  Informationspflicht, Zumutbare Massnahmen Revisionsunternehmen, VR: Organhaftung  Haftung für Testat-Inhalt, Geschäftsbericht, Aufsicht PwC
Versäumnisse Maturität vs. Realität Theorie und die Praxis gesunder Pragmatismus ^= “selektive Sicherheit” ... “noch ein bisschen compliance...” - c’mon. requirements engineering! Misstrauen ggü. Mitarbeitende, false incentives, (falsches) micro management Revision & Hacking • PwC 28 Umberto Annino, Juni 2012
Information Security Basics Appoint a CSO - je nach Grösse des Unternehmen mit entsprechender FTE und v.a. (realen) Kompetenzen! Verknüpfen der Information (!) Security Risks mit dem OpRisk  CRO- level Risk-aware business decisions – nicht so einfach in der Praxis (Abwägung Risiko vs. Profit/Gain) Zertifizierung, Maturität etc. ist OK (Referenz, baseline hilft) - aber passieren tut “es” in der Realität  gehen Sie an die Front, reden (!) Sie mit den Leuten, wissen (!) sie was “draussen” abgeht Revision & Hacking • PwC 29 Umberto Annino, Juni 2012
Information Security Basics, ff. Sicherheit ist das Komplementärereignis des Risiko. it matters! Nur weil es “jemand” macht, macht er es nicht (unbedingt) besser. Cloud Computing Security. You get what you pay for! But don’t pay too much - know what you pay for! Verbote und Weisungen sind OK, aber wer den Schaden hat... (love yourself. Intrinsische Motivation) Best Practise nicht immer “best match” ! Revision & Hacking • PwC 30 Umberto Annino, Juni 2012 33
Zusammenfassung Was kann erkannt werden, was nicht ? • Zusammenspiel zwischen internen Kontrollen und unabhängiger Überprüfung • High-End APT sind schwierig zu entdecken, konsequente und ev. Unwirtschaftliche Durchsetzung der Kontrollen Was kann dagegen unternommen werden ? • Compliance = OK, “reale Sicherheit” = relevant • Einfache und wirksame Massnahmen  80/20  Kultur- und Kommunikation! PwC
PwC - Globales Netzwerk von Spezialisten Dienstleistungen Nordamerika EMEA Branchen 37’700 Mitarbeiter 74’600 Mitarbeiter Consulting Detailhandel und Konsumgüter Technologie, Telco und Medien Steuer- und 161’800 Mitarbeiter in 154 Ländern Life Science and Rechtsberatung Über 2’900 Sicherheitsspezialisten Gesundheitswesen Bank und Versicherungen Lateinamerika APAC Energie und Wirtschaftsprüfung Versorgung 10’400 Mitarbeiter 39’100 Mitarbeiter Revisoren und Hacker • PwC 35 Umberto Annino, Juni 2012
Vielen Dank PricewaterhouseCoopers AG Birchstrasse 160 Postfach, 8050 Zürich Direct: +41 58 792 20 91 Mobile: +41 79 679 00 96 umberto.annino@ch.pwc.com Umberto Annino Manager OneSecurity This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers AG, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. © 2011 PwC. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers AG which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.

Weitere ähnliche Inhalte

PDF
IKS, Risikomanagement und Compliance mit ADONIS
vonBOC Schweiz
 
ODP
Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe
vonBalaBit
 
PDF
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
vonDigicomp Academy AG
 
PDF
B3 Act Lotusday 08 09 2009
vonAndreas Schulte
 
PDF
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
vonDigicomp Academy AG
 
PDF
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
vonDigicomp Academy AG
 
PPTX
Innovation durch kollaboration gennex 2018
vonDigicomp Academy AG
 
PDF
2016.11.15 energie der alpen italien workshop
vonSvenja Bartels
 
IKS, Risikomanagement und Compliance mit ADONIS
vonBOC Schweiz
 
Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe
vonBalaBit
 
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
vonDigicomp Academy AG
 
B3 Act Lotusday 08 09 2009
vonAndreas Schulte
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
vonDigicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
vonDigicomp Academy AG
 
Innovation durch kollaboration gennex 2018
vonDigicomp Academy AG
 
2016.11.15 energie der alpen italien workshop
vonSvenja Bartels
 

Mehr von Digicomp Academy AG

PDF
General data protection regulation-slides
vonDigicomp Academy AG
 
PDF
IPv6 Security Talk mit Joe Klein
vonDigicomp Academy AG
 
PDF
Möglichkeiten der Online-Werbung - Referat von Matteo Schürch
vonDigicomp Academy AG
 
PDF
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
vonDigicomp Academy AG
 
PDF
UX – Schlüssel zum Erfolg im Digital Business
vonDigicomp Academy AG
 
PDF
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
vonDigicomp Academy AG
 
PPTX
Digicomp ist holacracy crazy 01032017
vonDigicomp Academy AG
 
PDF
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
vonDigicomp Academy AG
 
PDF
Google Adwords Trends 2017 - Mario Colombo -XING Learningz
vonDigicomp Academy AG
 
PDF
Process Mining: So wird Ihr skizzierter Prozess zu einem gelebten Prozess
vonDigicomp Academy AG
 
PDF
Minenfeld IPv6
vonDigicomp Academy AG
 
PDF
Swiss IPv6 Council: IPv6 in der Cloud - Case Study der cloudscale.ch
vonDigicomp Academy AG
 
PDF
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
vonDigicomp Academy AG
 
PDF
Roger basler meetup_21082018_work-smarter-not-harder_handout
vonDigicomp Academy AG
 
PDF
Agiles Management - Wie geht das?
vonDigicomp Academy AG
 
PDF
Die IPv6 Journey der ETH Zürich
vonDigicomp Academy AG
 
PDF
Was ist design thinking
vonDigicomp Academy AG
 
PDF
Xing expertendialog zu nudge unit x
vonDigicomp Academy AG
 
PPTX
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
vonDigicomp Academy AG
 
PDF
Querdenken mit Kreativitätsmethoden – XING Expertendialog
vonDigicomp Academy AG
 
General data protection regulation-slides
vonDigicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
vonDigicomp Academy AG
 
Möglichkeiten der Online-Werbung - Referat von Matteo Schürch
vonDigicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
vonDigicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
vonDigicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
vonDigicomp Academy AG
 
Digicomp ist holacracy crazy 01032017
vonDigicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
vonDigicomp Academy AG
 
Google Adwords Trends 2017 - Mario Colombo -XING Learningz
vonDigicomp Academy AG
 
Process Mining: So wird Ihr skizzierter Prozess zu einem gelebten Prozess
vonDigicomp Academy AG
 
Minenfeld IPv6
vonDigicomp Academy AG
 
Swiss IPv6 Council: IPv6 in der Cloud - Case Study der cloudscale.ch
vonDigicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
vonDigicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
vonDigicomp Academy AG
 
Agiles Management - Wie geht das?
vonDigicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
vonDigicomp Academy AG
 
Was ist design thinking
vonDigicomp Academy AG
 
Xing expertendialog zu nudge unit x
vonDigicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
vonDigicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
vonDigicomp Academy AG
 

Revisoren und hacker

  • 1.
  • 2.
    Zur Person Umberto Annino  social networks, XING, Linkedin PwC, Risk Assurance FS, OneSecurity Information Security Society Switzerland ISSS Vizepräsident, Kassier www.isss.ch ISACA Switzerland Chapter Certification Coordinator www.isaca.ch Dozent und Lehrmittelautor für Informationssicherheit, verschiedene Schulen Revision & Hacking • PwC 3 Umberto Annino, Juni 2012
  • 3.
    Agenda 1. IT-Revision: verschiedeneArten und Prüftiefen für IT und IT-Systeme 2. Regulatorische und gesetzliche Vorgaben 3. Hacker-Risiken 4. Verantwortung und Haftung der betroffenen Parteien PwC
  • 4.
    IT-Revision: Ordentliche Revision OrdentlicheRevision (Full Audit, OR 728) bei Publikumsgesellschaften zwingend; Nicht-öffentliche AG, GmbH, Stiftungen auch, wenn eine der Bedingungen erfüllt ist: >=20 MCHF Bilanzsumme >= 250 Vollzeitstellen >=40 MCHF Umsatz Vorgaben: • Zugelassene Revisionsexperten oder staatlich beaufsichtigtes Revisionsunternehmen  Basis ISO 2700x, COBIT IT-Governance Framework • Weitgehende und umfassende Prüfung • Anzeige- und Informationspflichten bei Verstössen gegen Gesetz, Statuten, Organisationsreglement oder bei Überschuldung (SEC Guidelines) • Umfassender Revisionsbericht an VR und zusamenfassender an GV PwC
  • 5.
    IT-Revision: Eingeschränkte Revision EingeschränkteRevision (Review, OR 729), prinzipiell wenn Bedingungen für ordentliche Revision nicht erreicht werden sowie: keine Revisionspflicht für Kleinstunternehmen Vorgaben: • Zugelassener Revisor • Weniger weit gehende Prüfung, auf bestimmte Prüfungshandlungen beschränkt • Anzeigepflicht bei Überschuldung • Zusammenfassender Revisionsbericht an GV • Keine Rotationspflicht des leitenden Revisors PwC
  • 6.
    Erwartungshaltung und Realität •Wirtschaftsprüfer übernimmt volle Verantwortung für die geprüften Jahresrechnungen • “Clean Opinion” heisst, dass der Wirtschaftsprüfer eine 100-prozentige Prüfung vorgenommen hat • Der Wirtschaftsprüfer warnt frühzeitig, dass die Gesellschaft in den Konkurs läuft • Der Wirtschaftsprüfer entdeckt mögliche Unstimmigkeiten in der Jahresrechnung  Diese Erwartungen können so nicht immer erfüllt werden • Primäre Verantwortung liegt klar beim Management und VR • Wirtschaftsprüfer kann keine “Konkursfreiheit” sichern, nur auf wesentliche Risiken hinweisen • Stichpropen und “professional scepticism” um Fraud zu entdecken PwC
  • 7.
    Rahmenbedingungen, v.a. fürordentliche und eingeschränkte Revision • Fokus auf Jahresrechnung (Bilanz und Erfolgsrechnung; Jahresabschluss)  “Finanzsysteme” und wesentliche Wertschöpfungskette stehen im Fokus • Internes Kontrollsystem (Existenz und Wirksamkeit) und Risikobeurteilung • Wesentlichkeit der Feststellung (Finding)  Relevanz bezüglich Unvollständigkeit, Fehler (Fraud und unbewusste Fehler), Gesetzmässigkeit • Unabhängigkeit (gilt für Revisionsgesellschaft und alle Mitarbeitende!) • Keine “Selbstprüfung” • Keine Entscheide für den Kunden (management decisions) • Keine engen Beziehungen zum Kunden, keine Beteiligungen/wirtschaftliche Abhängigkeit, nicht marktkonforme PwC Bedingungen (z.B. Spezialrabatte)
  • 8.
    Vom Geschäftsprozess zurIT Wesentliches Konto (Debitoren)  Geschäftsprozess (Inkasso)  Risiko (Abgleich der Zahlung mit Warenlieferung)  Kontrollen ELC: Autorisierungsweisung BPC: 4-Augen Prinzip ITGC: Vollständigkeitskontrolle Revision & Hacking • PwC 10 Umberto Annino, Juni 2012
  • 9.
    Revisionsprinzipien 1. Wirtschaftlichkeit: Nutzender Revision 2. Wesentlichkeit (Materiality): Dringlichkeit und Wesentlichkeit für die Unternehmensführung 3. Sorgfalt: Objektivität, Vollständigkeit, Urteilsfähigkeit PwC
  • 10.
    COSO Würfel Ein IKS besteht aus den Kontrollkomponenten: • Kontrollumfeld (… Kultur) • Risikobeurteilungsprozess des Unternehmens • Kontrollaktivitäten • Rechnungslegungsrelevante Informationssysteme, damit verbundene Geschäftsprozesse und Kommunikation • Überwachung der Kontrollen PwC
  • 11.
    Was und wiewird geprüft ? • IT-Umgebung – HW, SW, Netzwerke, Schnittstellen • IKS / Risikomanagement • IT-Prozesse, IT-Governance; business alignment • Kontrollen (aka Massnahmen, Sicherheitsmassnahmen) • SOLL und IST; Planung, Konzepte, Projekte, Testverfahren, Betrieb; Projektbegleitende Revision z.B . Bei Migrationsprojekten in Banken vorgeschrieben IT General Controls: ITGC Logical Access Control System Development Lifecycle SDLC Change Management Datacenter Physical Security Backup Controls Computer Operation Controls PwC
  • 12.
    Freiwillige Prüfungen ISAE 3402Controls Report / SSAE 16 Dienstleister, Prüfbericht über Kontrollsysteme, freiwillig Typ1: Design der Kontrollen, Typ2: Umsetzung/Effektivität der Kontrollen ISO 27001 (z.B. Zertifizierung, auch „nur“ ISMS) Jegliche Unternehmen, Gewährleistung der Informationssicherheit, freiwillig COBIT Jegliche Unternehmen, Werkzeug zur Steuerung der IT (Aufbau, Ablauf) FIPS / EAL, Common Criteria Produkt- und Funktionsstandards „Security“ Revision & Hacking • PwC 14 Umberto Annino, Juni 2012
  • 13.
    Limited Assurance –ISAE 3000 Beispiel On the basis of our procedures aimed at obtaining limited assurance, nothing has come to our attention that causes us to believe that the information in the Report does not comply with the above mentioned reporting criteria. Kontrollprozeduren, Umfang und Bedingungen werden offengelegt im Bericht. Full text: http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperforma ncedata/pages/assurancereportfromernstyoungas.aspx Revision & Hacking • PwC 15 Umberto Annino, Juni 2012
  • 14.
    Reasonable Assurance –ISAE 3000 Beispiel We believe that our procedures provide us with an appropriate basis to conclude with a reasonable level of assurance for Statoil's HSEaccounting. Kontrollprozeduren, Umfang und Bedingungen werden offengelegt im Bericht. Full text: http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperforma ncedata/pages/assurancereportfromernstyoungas.aspx Revision & Hacking • PwC 15 Umberto Annino, Juni 2012
  • 15.
    Prüfungsdurchführung 1. Prüfungsplanung (Termine,Ansprechpersonen, Schwerpunkte) 2. Vorerhebung, z.B. Interviews, “footprinting” 3. Sammlung und Auswertung von Informationen (evidence collection, Stichprobenauswertung, statistische Analysen) 4. Berichterstattung und Berichtabstimmung 5. Review des Audit (Nachvollziehbarkeit!) PwC
  • 16.
    Beispiel: Stress Points derKommunikationssicherheit Basic Vulnerabilities – Drei Kategorien 1. Interception (Abhören, Abstrahlung), auch Manipulation 2. Availability - Verfügbarkeit, bei stark genutzten Netzwerkverbindungen; global 3. Access/entry points (Schnittstellen); any device, from anywhere Revision & Hacking • PwC 17 Umberto Annino, Juni 2012
  • 17.
    Controls – Kontrollenund Massnahmen Interception Access Control und physische Sicherheit im Bereich Datacenter, Netzwerk- Systemen und Büroräumlichkeiten  Zunehmende Verbreitung von Wireless-Technologien macht physische Massnahmen weniger effektiv Effektivste Massnahme: Verschlüsselung Applikatorisch oder auf Netzwerk-Ebene (IPsec, TLS) Revision & Hacking • PwC 18 Umberto Annino, Juni 2012
  • 18.
    Controls – Kontrollenund Massnahmen Availability Angemessene Netzwerkarchitektur Monitoring und Überwachung Redundanz und automatisiertes Routing NOC Network Operation Center 24/7 Revision & Hacking • PwC 19 Umberto Annino, Juni 2012
  • 19.
    Controls – Kontrollenund Massnahmen Access Points Single Point of Entry – Flaschenhals-Prinzip  Zunehmend torpediert durch BYOD bring your own device sowie genereller Trend zur “Aufweichung” der Netzwerk-Grenzen Access Control Lists Traffic Shaping Deep Packet Inspection; Antimalware, Content Protection, Leakage Protection and Prevention Härtung der Systeme Revision & Hacking • PwC 20 Umberto Annino, Juni 2012
  • 20.
    Beispielhafte Feststellungen Patchlevel nicht aktuell Prozesse Bewilligung und Durchführung von Änderungen nicht nachvollziehbar Account-Profil Einstellungen zu schwach oder nicht den Benutzern zugeordnet Zugriffsrechte Benutzergruppe mit Administrationsrechten ist zu gross Zugriffsrechte von technischen Benutzer für Applikationszugriffe zu wenig eingeschränkt Standard-Benutzer und -Passwörter vorhanden Logging nicht aktiviert oder entspricht nicht den Anforderungen Konfiguration Hardening Verwendung unverschlüsselter Verbindungen zwischen Clients und Datenbank Unverschlüsselte Kanäle nicht deaktiviert Dokumentation Dokumentation nicht vorhanden (Konfigurationsstandard, wiederkehrende Prozesse) Revision & Hacking • PwC 21 Umberto Annino, Juni 2012
  • 21.
    Gesetze und Regulatorien- Finanzinstitute Bundesgesetz und Verordnung über Banken und Sparkassen • FINMA ist weisungsberechtigt (z.B. Verschärfung von Kontrollen) • Organisation muss “wesentliche” Risiken erfassen, begrenzen und überwachen, inkl. Internes Kontrollsystem (IKS) • Basis für Urteil der Prüfgesellschaft zur Geschäftstätigkeit • Ordnungsgemässe Führung und Aufbewahrung der Geschäftsbücher (Archivierung) • Fokus auf “Finanzsysteme” FINMA Bestimmungen • Rundschreiben 2008/21: Operationelle Risiken Banken (Eigenmittel) • Rundschreiben 2008/7: Auslagerung von Geschäftsbereichen (Outsourcing) PwC
  • 22.
    Haftpflicht, Sorgfaltspflicht –Alle Obligationenrecht, Haftung – Voraussetzungen: • Schaden (finanziell, psychisch etc.) • Rechtswidrigkeit • Adäquater Kausalzusammenhang, Kausalität (Verhältnis von Ursache und Wirkung) • Verschulden (schuldhafte Verursachung durch Schädiger) Sorgfaltspflicht bei der Erfüllung von Leistungen aus Obligationen (Verträgen)  Treu und Glaube, Umstände und Wissen sowie Können (Noch) Wenig Klagen bezüglich Datenverlust, ICT-Ausfällen etc. durch “Endanwender, Benutzer und Kunden”  pain-level low PwC
  • 23.
    Strafrechtliche Bestimmungen Unbefugte Datenbeschaffung Art.143 StGB 1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. 2 Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. PwC
  • 24.
    Strafrechtliche Bestimmungen Unbefugtes Eindringenin ein Datenverarbeitungssystem Art. 143bis StGB 1 Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungs- system eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. 2 Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. PwC
  • 25.
    Strafrechtliche Bestimmungen Datenbeschädigung Art. 144bisStGB 1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt. 2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitung gibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. PwC
  • 26.
    Strafrechtliche Bestimmungen Betrügerischer Missbraucheiner Datenverarbeitungsanlage Art. 147 StGB 1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt oder eine Vermögensverschiebung unmittelbar darnach verdeckt, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. 2Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahren oder Geldstrafe nicht unter 90 Tagessätzen bestraft. 3 Der betrügerische Missbrauch einer Datenverarbeitungsanlage zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. PwC
  • 27.
    Strafrechtliche Bestimmungen Unbefugtes Beschaffenvon Personendaten Art. 179novies StGB Wer unbefugt besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die nicht frei zugänglich sind, aus einer Datensammlung beschafft, wird auf Antrag mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. PwC
  • 28.
    Hacker-Risiken • APT, Wirtschaftsspionage •Datenklau, Beispiele (Linkedin, SONY, Global Payments “nur 1.5 M DS”) • DoS, z.B. gegen Konkurrenzunternehmen (e-commerce) • Manipulation von Daten • Racheakt – vergrämte (ehemalige) Mitarbeiter • Betrug (Phishing, Scams; Vermögensverschiebung) • Social Engineering (als Mittel) • Phishing, Spearphishing (als Mittel) Status-Quo – inhärentes Risiko durch Sicherheitslage, IKS Wirksamkeit PwC
  • 29.
    (Heute ist alles)Penetration Testing 1. (Automatisiertes) Monitoring, Inventory Management, Patch Status Monitoring 2. Schwachstellen-Analyse, Vulnerability Assessment (automatisiert) 3. Eindringversuch – penetration testing 4. Ethical Hacking – inkl. Social Engineering (aka CTF) • Scoping: was testen, was nicht; Kommunikation, GO/NO-GO • Einwilligung (schriftlich)  Befugnis für Auftragnehmer • Incident Handling  CERT/CSIRT informieren, ev. Behörden • Haftbarkeit  v.a. für Auftragnehmer; Schaden bei Dritten • Lizenzierungsfragen: eingesetzte Angriffs-Software, SW-Manipulation PwC
  • 30.
    Verantwortung und Haftungder betroffenen Parteien Anbieter / Service Provider  Sorgfaltspflicht  Vertragliche Leistung  Haftung und Einhaltung von Strafnormen Kunde / Betroffene Person  Informationspflicht, Zumutbare Massnahmen Revisionsunternehmen, VR: Organhaftung  Haftung für Testat-Inhalt, Geschäftsbericht, Aufsicht PwC
  • 31.
    Versäumnisse Maturität vs. Realität Theorieund die Praxis gesunder Pragmatismus ^= “selektive Sicherheit” ... “noch ein bisschen compliance...” - c’mon. requirements engineering! Misstrauen ggü. Mitarbeitende, false incentives, (falsches) micro management Revision & Hacking • PwC 28 Umberto Annino, Juni 2012
  • 32.
    Information Security Basics Appointa CSO - je nach Grösse des Unternehmen mit entsprechender FTE und v.a. (realen) Kompetenzen! Verknüpfen der Information (!) Security Risks mit dem OpRisk  CRO- level Risk-aware business decisions – nicht so einfach in der Praxis (Abwägung Risiko vs. Profit/Gain) Zertifizierung, Maturität etc. ist OK (Referenz, baseline hilft) - aber passieren tut “es” in der Realität  gehen Sie an die Front, reden (!) Sie mit den Leuten, wissen (!) sie was “draussen” abgeht Revision & Hacking • PwC 29 Umberto Annino, Juni 2012
  • 33.
    Information Security Basics,ff. Sicherheit ist das Komplementärereignis des Risiko. it matters! Nur weil es “jemand” macht, macht er es nicht (unbedingt) besser. Cloud Computing Security. You get what you pay for! But don’t pay too much - know what you pay for! Verbote und Weisungen sind OK, aber wer den Schaden hat... (love yourself. Intrinsische Motivation) Best Practise nicht immer “best match” ! Revision & Hacking • PwC 30 Umberto Annino, Juni 2012 33
  • 34.
    Zusammenfassung Was kann erkanntwerden, was nicht ? • Zusammenspiel zwischen internen Kontrollen und unabhängiger Überprüfung • High-End APT sind schwierig zu entdecken, konsequente und ev. Unwirtschaftliche Durchsetzung der Kontrollen Was kann dagegen unternommen werden ? • Compliance = OK, “reale Sicherheit” = relevant • Einfache und wirksame Massnahmen  80/20  Kultur- und Kommunikation! PwC
  • 35.
    PwC - GlobalesNetzwerk von Spezialisten Dienstleistungen Nordamerika EMEA Branchen 37’700 Mitarbeiter 74’600 Mitarbeiter Consulting Detailhandel und Konsumgüter Technologie, Telco und Medien Steuer- und 161’800 Mitarbeiter in 154 Ländern Life Science and Rechtsberatung Über 2’900 Sicherheitsspezialisten Gesundheitswesen Bank und Versicherungen Lateinamerika APAC Energie und Wirtschaftsprüfung Versorgung 10’400 Mitarbeiter 39’100 Mitarbeiter Revisoren und Hacker • PwC 35 Umberto Annino, Juni 2012
  • 36.
    Vielen Dank PricewaterhouseCoopers AG Birchstrasse 160 Postfach, 8050 Zürich Direct: +41 58 792 20 91 Mobile: +41 79 679 00 96 umberto.annino@ch.pwc.com Umberto Annino Manager OneSecurity This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers AG, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. © 2011 PwC. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers AG which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.