SlideShare ist ein Scribd-Unternehmen logo
Wirtschaftsprüfung


Revisoren und Hacker

Umberto Annino, Juni 2012
Zur Person


Umberto Annino               social networks, XING, Linkedin

PwC, Risk Assurance FS, OneSecurity

Information Security Society Switzerland ISSS
Vizepräsident, Kassier                 www.isss.ch
ISACA Switzerland Chapter
Certification Coordinator              www.isaca.ch

Dozent und Lehrmittelautor für Informationssicherheit,
verschiedene Schulen

Revision & Hacking •
PwC                                                             3
Umberto Annino, Juni 2012
Agenda


1. IT-Revision: verschiedene Arten und Prüftiefen für IT
 und IT-Systeme


2. Regulatorische und gesetzliche Vorgaben


3. Hacker-Risiken


4. Verantwortung und Haftung der betroffenen Parteien




PwC
IT-Revision: Ordentliche Revision


Ordentliche Revision (Full Audit, OR 728) bei Publikumsgesellschaften
zwingend;
Nicht-öffentliche AG, GmbH, Stiftungen auch, wenn eine der
Bedingungen erfüllt ist:
>=20 MCHF Bilanzsumme             >= 250 Vollzeitstellen
>=40 MCHF Umsatz
Vorgaben:
• Zugelassene Revisionsexperten oder staatlich beaufsichtigtes
Revisionsunternehmen  Basis ISO 2700x, COBIT IT-Governance Framework
• Weitgehende und umfassende Prüfung
• Anzeige- und Informationspflichten bei Verstössen gegen Gesetz,
Statuten, Organisationsreglement oder bei Überschuldung (SEC Guidelines)
• Umfassender Revisionsbericht an VR und zusamenfassender an GV
PwC
IT-Revision: Eingeschränkte Revision


Eingeschränkte Revision (Review, OR 729),
prinzipiell wenn Bedingungen für ordentliche Revision nicht erreicht werden
sowie: keine Revisionspflicht für Kleinstunternehmen


Vorgaben:
• Zugelassener Revisor
• Weniger weit gehende Prüfung, auf bestimmte Prüfungshandlungen
beschränkt
• Anzeigepflicht bei Überschuldung
• Zusammenfassender Revisionsbericht an GV
• Keine Rotationspflicht des leitenden Revisors


PwC
Erwartungshaltung und Realität


• Wirtschaftsprüfer übernimmt volle Verantwortung für die geprüften
Jahresrechnungen
• “Clean Opinion” heisst, dass der Wirtschaftsprüfer eine 100-prozentige
Prüfung vorgenommen hat
• Der Wirtschaftsprüfer warnt frühzeitig, dass die Gesellschaft in den
Konkurs läuft
• Der Wirtschaftsprüfer entdeckt mögliche Unstimmigkeiten in der
Jahresrechnung
 Diese Erwartungen können so nicht immer erfüllt werden
• Primäre Verantwortung liegt klar beim Management und VR
• Wirtschaftsprüfer kann keine “Konkursfreiheit” sichern, nur auf
  wesentliche Risiken hinweisen
• Stichpropen und “professional scepticism” um Fraud zu entdecken
PwC
Rahmenbedingungen, v.a. für ordentliche und
eingeschränkte Revision

• Fokus auf Jahresrechnung (Bilanz und Erfolgsrechnung;
Jahresabschluss)
 “Finanzsysteme” und wesentliche Wertschöpfungskette stehen im Fokus
• Internes Kontrollsystem (Existenz und Wirksamkeit) und Risikobeurteilung
• Wesentlichkeit der Feststellung (Finding)
   Relevanz bezüglich Unvollständigkeit, Fehler (Fraud und unbewusste
  Fehler), Gesetzmässigkeit


• Unabhängigkeit (gilt für Revisionsgesellschaft und alle Mitarbeitende!)
• Keine “Selbstprüfung”
• Keine Entscheide für den Kunden (management decisions)
• Keine engen Beziehungen zum Kunden, keine
    Beteiligungen/wirtschaftliche Abhängigkeit, nicht marktkonforme
PwC Bedingungen (z.B. Spezialrabatte)
Vom Geschäftsprozess zur IT


Wesentliches Konto (Debitoren)
                Geschäftsprozess (Inkasso)
                             Risiko (Abgleich der Zahlung mit Warenlieferung)


                                     Kontrollen
                                            ELC: Autorisierungsweisung
                                            BPC: 4-Augen Prinzip
                                            ITGC: Vollständigkeitskontrolle




Revision & Hacking •
PwC                                                                              10
Umberto Annino, Juni 2012
Revisionsprinzipien




1. Wirtschaftlichkeit: Nutzen der Revision


2. Wesentlichkeit (Materiality): Dringlichkeit und
 Wesentlichkeit für die Unternehmensführung


3. Sorgfalt: Objektivität, Vollständigkeit, Urteilsfähigkeit




PwC
COSO Würfel


              Ein IKS besteht aus den
              Kontrollkomponenten:
              • Kontrollumfeld (… Kultur)

              • Risikobeurteilungsprozess des
              Unternehmens

              • Kontrollaktivitäten

              • Rechnungslegungsrelevante
              Informationssysteme, damit
              verbundene Geschäftsprozesse und
              Kommunikation

              • Überwachung der Kontrollen

PwC
Was und wie wird geprüft ?


• IT-Umgebung – HW, SW, Netzwerke, Schnittstellen
• IKS / Risikomanagement
• IT-Prozesse, IT-Governance; business alignment
• Kontrollen (aka Massnahmen, Sicherheitsmassnahmen)
• SOLL und IST; Planung, Konzepte, Projekte, Testverfahren,
Betrieb;
Projektbegleitende Revision z.B . Bei Migrationsprojekten in Banken
vorgeschrieben
IT General Controls: ITGC
Logical Access Control        System Development Lifecycle SDLC
Change Management             Datacenter Physical Security
Backup Controls               Computer Operation Controls

PwC
Freiwillige Prüfungen


ISAE 3402 Controls Report / SSAE 16
Dienstleister, Prüfbericht über Kontrollsysteme, freiwillig
Typ1: Design der Kontrollen, Typ2: Umsetzung/Effektivität der Kontrollen


ISO 27001 (z.B. Zertifizierung, auch „nur“ ISMS)
Jegliche Unternehmen, Gewährleistung der Informationssicherheit, freiwillig
COBIT
Jegliche Unternehmen, Werkzeug zur Steuerung der IT (Aufbau, Ablauf)


FIPS / EAL, Common Criteria
Produkt- und Funktionsstandards „Security“
Revision & Hacking •
PwC                                                                           14
Umberto Annino, Juni 2012
Limited Assurance – ISAE 3000 Beispiel


On the basis of our procedures aimed at obtaining limited
assurance, nothing has come to our attention that causes us
to believe that the information in the Report does not comply with
the above mentioned reporting criteria.


Kontrollprozeduren, Umfang und Bedingungen werden
offengelegt im Bericht.

Full text:
http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperforma
ncedata/pages/assurancereportfromernstyoungas.aspx


Revision & Hacking •
PwC                                                                               15
Umberto Annino, Juni 2012
Reasonable Assurance – ISAE 3000 Beispiel


We believe that our procedures provide us with an
appropriate basis to conclude with a reasonable level of
assurance for Statoil's HSEaccounting.


Kontrollprozeduren, Umfang und Bedingungen werden
offengelegt im Bericht.

Full text:
http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperforma
ncedata/pages/assurancereportfromernstyoungas.aspx



Revision & Hacking •
PwC                                                                               15
Umberto Annino, Juni 2012
Prüfungsdurchführung


1. Prüfungsplanung (Termine, Ansprechpersonen,
 Schwerpunkte)


2. Vorerhebung, z.B. Interviews, “footprinting”
3. Sammlung und Auswertung von Informationen
 (evidence collection, Stichprobenauswertung,
 statistische Analysen)
4. Berichterstattung und Berichtabstimmung


5. Review des Audit (Nachvollziehbarkeit!)

PwC
Beispiel:
Stress Points der Kommunikationssicherheit


Basic Vulnerabilities – Drei Kategorien


1. Interception (Abhören, Abstrahlung), auch Manipulation


2. Availability - Verfügbarkeit, bei stark genutzten Netzwerkverbindungen;
 global


3. Access/entry points (Schnittstellen); any device, from anywhere




Revision & Hacking •
PwC                                                                          17
Umberto Annino, Juni 2012
Controls – Kontrollen und Massnahmen


Interception
Access Control und physische Sicherheit im Bereich Datacenter, Netzwerk-
Systemen und Büroräumlichkeiten
 Zunehmende Verbreitung von Wireless-Technologien macht physische
Massnahmen weniger effektiv


Effektivste Massnahme: Verschlüsselung
Applikatorisch oder auf Netzwerk-Ebene (IPsec, TLS)




Revision & Hacking •
PwC                                                                        18
Umberto Annino, Juni 2012
Controls – Kontrollen und Massnahmen


Availability
Angemessene Netzwerkarchitektur
Monitoring und Überwachung
Redundanz und automatisiertes Routing
NOC Network Operation Center 24/7




Revision & Hacking •
PwC                                     19
Umberto Annino, Juni 2012
Controls – Kontrollen und Massnahmen


Access Points
Single Point of Entry – Flaschenhals-Prinzip
 Zunehmend torpediert durch BYOD bring your own device sowie genereller
Trend zur “Aufweichung” der Netzwerk-Grenzen
Access Control Lists
Traffic Shaping
Deep Packet Inspection; Antimalware, Content Protection,
Leakage Protection and Prevention
Härtung der Systeme




Revision & Hacking •
PwC                                                                        20
Umberto Annino, Juni 2012
Beispielhafte Feststellungen


                            Patchlevel nicht aktuell
    Prozesse
                            Bewilligung und Durchführung von Änderungen nicht nachvollziehbar

                            Account-Profil Einstellungen zu schwach oder nicht den Benutzern zugeordnet

 Zugriffsrechte             Benutzergruppe mit Administrationsrechten ist zu gross

                            Zugriffsrechte von technischen Benutzer für Applikationszugriffe zu wenig eingeschränkt

                            Standard-Benutzer und -Passwörter vorhanden

                            Logging nicht aktiviert oder entspricht nicht den Anforderungen
 Konfiguration
  Hardening
                            Verwendung unverschlüsselter Verbindungen zwischen Clients und Datenbank

                            Unverschlüsselte Kanäle nicht deaktiviert

 Dokumentation              Dokumentation nicht vorhanden (Konfigurationsstandard, wiederkehrende Prozesse)


Revision & Hacking •
PwC                                                                                                                   21
Umberto Annino, Juni 2012
Gesetze und Regulatorien - Finanzinstitute


Bundesgesetz und Verordnung über Banken und Sparkassen
• FINMA ist weisungsberechtigt (z.B. Verschärfung von Kontrollen)
• Organisation muss “wesentliche” Risiken erfassen, begrenzen und
überwachen, inkl. Internes Kontrollsystem (IKS)
      • Basis für Urteil der Prüfgesellschaft zur Geschäftstätigkeit
• Ordnungsgemässe Führung und Aufbewahrung der Geschäftsbücher
(Archivierung)
• Fokus auf “Finanzsysteme”
FINMA Bestimmungen
• Rundschreiben 2008/21: Operationelle Risiken Banken (Eigenmittel)
• Rundschreiben 2008/7: Auslagerung von Geschäftsbereichen
(Outsourcing)

PwC
Haftpflicht, Sorgfaltspflicht – Alle


Obligationenrecht, Haftung – Voraussetzungen:
• Schaden (finanziell, psychisch etc.)
• Rechtswidrigkeit
• Adäquater Kausalzusammenhang, Kausalität (Verhältnis von Ursache und
Wirkung)
• Verschulden (schuldhafte Verursachung durch Schädiger)


Sorgfaltspflicht bei der Erfüllung von Leistungen aus Obligationen
(Verträgen)
 Treu und Glaube, Umstände und Wissen sowie Können


(Noch) Wenig Klagen bezüglich Datenverlust, ICT-Ausfällen etc. durch
“Endanwender, Benutzer und Kunden”  pain-level low
PwC
Strafrechtliche Bestimmungen


Unbefugte Datenbeschaffung

Art. 143 StGB
1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich
oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder
übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen
unbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe bis
zu fünf Jahren oder Geldstrafe bestraft.
2 Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder
Familiengenossen wird nur auf Antrag verfolgt.




PwC
Strafrechtliche Bestimmungen


Unbefugtes Eindringen in ein Datenverarbeitungssystem

Art. 143bis StGB
1 Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein
fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungs-
system eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder
Geldstrafe bestraft.
2 Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen
muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet
werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis
zu drei Jahren oder Geldstrafe bestraft.




PwC
Strafrechtliche Bestimmungen


Datenbeschädigung

Art. 144bis StGB
1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder
übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag,
mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einem
Jahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt.
2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer
1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt,
anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitung
gibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf
Jahren erkannt werden.
PwC
Strafrechtliche Bestimmungen


Betrügerischer Missbrauch einer
Datenverarbeitungsanlage
Art. 147 StGB
1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch
unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer
Weise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oder
Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung
zum Schaden eines andern herbeiführt oder eine Vermögensverschiebung
unmittelbar darnach verdeckt, wird mit Freiheitsstrafe bis zu fünf Jahren oder
Geldstrafe bestraft.
2Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahren
oder Geldstrafe nicht unter 90 Tagessätzen bestraft.
3 Der betrügerische Missbrauch einer Datenverarbeitungsanlage zum Nachteil eines Angehörigen
oder Familiengenossen wird nur auf Antrag verfolgt.


PwC
Strafrechtliche Bestimmungen


Unbefugtes Beschaffen von Personendaten

Art. 179novies StGB
Wer unbefugt besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die
nicht frei zugänglich sind, aus einer Datensammlung beschafft, wird auf Antrag mit
Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.




PwC
Hacker-Risiken


• APT, Wirtschaftsspionage
• Datenklau, Beispiele (Linkedin, SONY, Global Payments “nur 1.5 M DS”)
• DoS, z.B. gegen Konkurrenzunternehmen (e-commerce)
• Manipulation von Daten
• Racheakt – vergrämte (ehemalige) Mitarbeiter
• Betrug (Phishing, Scams; Vermögensverschiebung)
• Social Engineering (als Mittel)
• Phishing, Spearphishing (als Mittel)


Status-Quo – inhärentes Risiko durch Sicherheitslage, IKS Wirksamkeit



PwC
(Heute ist alles) Penetration Testing


1. (Automatisiertes) Monitoring, Inventory Management, Patch Status
  Monitoring
2. Schwachstellen-Analyse, Vulnerability Assessment (automatisiert)
3. Eindringversuch – penetration testing
4. Ethical Hacking – inkl. Social Engineering (aka CTF)


• Scoping: was testen, was nicht; Kommunikation, GO/NO-GO
• Einwilligung (schriftlich)  Befugnis für Auftragnehmer
• Incident Handling  CERT/CSIRT informieren, ev. Behörden
• Haftbarkeit  v.a. für Auftragnehmer; Schaden bei Dritten
• Lizenzierungsfragen: eingesetzte Angriffs-Software, SW-Manipulation

PwC
Verantwortung und Haftung der betroffenen Parteien


Anbieter / Service Provider
 Sorgfaltspflicht
 Vertragliche Leistung
 Haftung und Einhaltung von Strafnormen


Kunde / Betroffene Person
 Informationspflicht, Zumutbare Massnahmen


Revisionsunternehmen, VR: Organhaftung
 Haftung für Testat-Inhalt, Geschäftsbericht, Aufsicht



PwC
Versäumnisse


Maturität vs. Realität

Theorie und die Praxis

gesunder Pragmatismus ^= “selektive Sicherheit”

... “noch ein bisschen compliance...” - c’mon. requirements engineering!

Misstrauen ggü. Mitarbeitende,
false incentives, (falsches) micro management




Revision & Hacking •
PwC                                                                        28
Umberto Annino, Juni 2012
Information Security Basics


Appoint a CSO - je nach Grösse des Unternehmen mit entsprechender FTE
und v.a. (realen) Kompetenzen!

Verknüpfen der Information (!) Security Risks mit dem OpRisk  CRO-
level

Risk-aware business decisions – nicht so einfach in der Praxis (Abwägung
Risiko vs. Profit/Gain)

Zertifizierung, Maturität etc. ist OK (Referenz, baseline hilft) - aber passieren
tut “es” in der Realität
 gehen Sie an die Front, reden (!) Sie mit den Leuten, wissen (!) sie was
“draussen” abgeht


Revision & Hacking •
PwC                                                                                 29
Umberto Annino, Juni 2012
Information Security Basics, ff.


Sicherheit ist das Komplementärereignis des Risiko. it matters!

Nur weil es “jemand” macht, macht er es nicht (unbedingt) besser. Cloud
Computing Security.

You get what you pay for!
But don’t pay too much - know what you pay for!

Verbote und Weisungen sind OK, aber wer den Schaden hat... (love yourself.
Intrinsische Motivation)

Best Practise nicht immer “best match” !



Revision & Hacking •
PwC                                                                         30
Umberto Annino, Juni 2012                                                 33
Zusammenfassung


Was kann erkannt werden, was nicht ?
• Zusammenspiel zwischen internen Kontrollen und unabhängiger
Überprüfung
• High-End APT sind schwierig zu entdecken, konsequente und ev.
Unwirtschaftliche Durchsetzung der Kontrollen


Was kann dagegen unternommen werden ?
• Compliance = OK, “reale Sicherheit” = relevant
• Einfache und wirksame Massnahmen  80/20


 Kultur- und Kommunikation!


PwC
PwC - Globales Netzwerk von Spezialisten


 Dienstleistungen           Nordamerika             EMEA                 Branchen
                            37’700 Mitarbeiter      74’600 Mitarbeiter
       Consulting                                                        Detailhandel und
                                                                         Konsumgüter


                                                                         Technologie, Telco
                                                                         und Medien


      Steuer- und                 161’800 Mitarbeiter in 154 Ländern     Life Science and
     Rechtsberatung               Über 2’900 Sicherheitsspezialisten     Gesundheitswesen


                                                                         Bank und
                                                                         Versicherungen


                            Lateinamerika           APAC                 Energie und
   Wirtschaftsprüfung
                                                                         Versorgung
                            10’400 Mitarbeiter      39’100 Mitarbeiter




Revisoren und Hacker •
PwC                                                                                           35
Umberto Annino, Juni 2012
Vielen Dank




                                      PricewaterhouseCoopers AG
                                      Birchstrasse 160
                                      Postfach, 8050 Zürich
                                      Direct: +41 58 792 20 91
                                      Mobile: +41 79 679 00 96
                                      umberto.annino@ch.pwc.com
                                      Umberto Annino
                                      Manager OneSecurity



This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication
without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to
the extent permitted by law, PricewaterhouseCoopers AG, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or
anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it.

© 2011 PwC. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers AG which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which
is a separate legal entity.

Weitere ähnliche Inhalte

Ähnlich wie Revisoren und hacker

Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiNavigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiMatthias Leisi
 
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus ThielOSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
NETWAYS
 
Compliance needs transparency
Compliance needs transparencyCompliance needs transparency
Compliance needs transparency
BalaBit
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Virtual Forge
 
Globals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business AnalyticsGlobals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business Analytics
inovex GmbH
 
Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Agile Methoden als Diagnose-Tool für den sicherheitskritischen BereichAgile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Christoph Schmiedinger
 
dox42day Paul Zieger - Opti-Q
dox42day Paul Zieger - Opti-Qdox42day Paul Zieger - Opti-Q
dox42day Paul Zieger - Opti-Q
dox42
 
We Do Web Sphere Deutsch Webcast On24
We Do Web Sphere Deutsch   Webcast On24We Do Web Sphere Deutsch   Webcast On24
We Do Web Sphere Deutsch Webcast On24
Christoph Goertz
 
Der Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC BetriebDer Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC Betrieb
Splunk
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)
Praxistage
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Carsten Muetzlitz
 
ISD2016_SolutionL_Wolfgang_Schmidt
ISD2016_SolutionL_Wolfgang_SchmidtISD2016_SolutionL_Wolfgang_Schmidt
ISD2016_SolutionL_Wolfgang_Schmidt
InfoSocietyDays
 
The audit factory einrichtung einer internen revision
The audit factory einrichtung einer internen revisionThe audit factory einrichtung einer internen revision
The audit factory einrichtung einer internen revision
Daniel Hertneck
 
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
NETWAYS
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
Carsten Muetzlitz
 
KPIs vs. UX - Ist User Experience messbar?
KPIs vs. UX - Ist User Experience messbar?KPIs vs. UX - Ist User Experience messbar?
KPIs vs. UX - Ist User Experience messbar?
die firma . experience design GmbH
 
KPIs vs. UX – ist User Experience messbar?
KPIs vs. UX – ist User Experience messbar?KPIs vs. UX – ist User Experience messbar?
KPIs vs. UX – ist User Experience messbar?
Matthias Feit
 
Der fachkreis dcc digital controlling competence des internationalen controll...
Der fachkreis dcc digital controlling competence des internationalen controll...Der fachkreis dcc digital controlling competence des internationalen controll...
Der fachkreis dcc digital controlling competence des internationalen controll...
Brigitte73
 

Ähnlich wie Revisoren und hacker (20)

Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiNavigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
 
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus ThielOSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
 
Compliance needs transparency
Compliance needs transparencyCompliance needs transparency
Compliance needs transparency
 
Process Mining @
Process Mining @Process Mining @
Process Mining @
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
 
CCPP
CCPPCCPP
CCPP
 
Globals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business AnalyticsGlobals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business Analytics
 
Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Agile Methoden als Diagnose-Tool für den sicherheitskritischen BereichAgile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
 
dox42day Paul Zieger - Opti-Q
dox42day Paul Zieger - Opti-Qdox42day Paul Zieger - Opti-Q
dox42day Paul Zieger - Opti-Q
 
We Do Web Sphere Deutsch Webcast On24
We Do Web Sphere Deutsch   Webcast On24We Do Web Sphere Deutsch   Webcast On24
We Do Web Sphere Deutsch Webcast On24
 
Der Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC BetriebDer Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC Betrieb
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
 
ISD2016_SolutionL_Wolfgang_Schmidt
ISD2016_SolutionL_Wolfgang_SchmidtISD2016_SolutionL_Wolfgang_Schmidt
ISD2016_SolutionL_Wolfgang_Schmidt
 
The audit factory einrichtung einer internen revision
The audit factory einrichtung einer internen revisionThe audit factory einrichtung einer internen revision
The audit factory einrichtung einer internen revision
 
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
 
KPIs vs. UX - Ist User Experience messbar?
KPIs vs. UX - Ist User Experience messbar?KPIs vs. UX - Ist User Experience messbar?
KPIs vs. UX - Ist User Experience messbar?
 
KPIs vs. UX – ist User Experience messbar?
KPIs vs. UX – ist User Experience messbar?KPIs vs. UX – ist User Experience messbar?
KPIs vs. UX – ist User Experience messbar?
 
Der fachkreis dcc digital controlling competence des internationalen controll...
Der fachkreis dcc digital controlling competence des internationalen controll...Der fachkreis dcc digital controlling competence des internationalen controll...
Der fachkreis dcc digital controlling competence des internationalen controll...
 

Mehr von Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Digicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Digicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
Digicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
Digicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Digicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Digicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Digicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Digicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Digicomp Academy AG
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
Digicomp Academy AG
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
Digicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Digicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Digicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
Digicomp Academy AG
 

Mehr von Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

Revisoren und hacker

  • 2. Zur Person Umberto Annino  social networks, XING, Linkedin PwC, Risk Assurance FS, OneSecurity Information Security Society Switzerland ISSS Vizepräsident, Kassier www.isss.ch ISACA Switzerland Chapter Certification Coordinator www.isaca.ch Dozent und Lehrmittelautor für Informationssicherheit, verschiedene Schulen Revision & Hacking • PwC 3 Umberto Annino, Juni 2012
  • 3. Agenda 1. IT-Revision: verschiedene Arten und Prüftiefen für IT und IT-Systeme 2. Regulatorische und gesetzliche Vorgaben 3. Hacker-Risiken 4. Verantwortung und Haftung der betroffenen Parteien PwC
  • 4. IT-Revision: Ordentliche Revision Ordentliche Revision (Full Audit, OR 728) bei Publikumsgesellschaften zwingend; Nicht-öffentliche AG, GmbH, Stiftungen auch, wenn eine der Bedingungen erfüllt ist: >=20 MCHF Bilanzsumme >= 250 Vollzeitstellen >=40 MCHF Umsatz Vorgaben: • Zugelassene Revisionsexperten oder staatlich beaufsichtigtes Revisionsunternehmen  Basis ISO 2700x, COBIT IT-Governance Framework • Weitgehende und umfassende Prüfung • Anzeige- und Informationspflichten bei Verstössen gegen Gesetz, Statuten, Organisationsreglement oder bei Überschuldung (SEC Guidelines) • Umfassender Revisionsbericht an VR und zusamenfassender an GV PwC
  • 5. IT-Revision: Eingeschränkte Revision Eingeschränkte Revision (Review, OR 729), prinzipiell wenn Bedingungen für ordentliche Revision nicht erreicht werden sowie: keine Revisionspflicht für Kleinstunternehmen Vorgaben: • Zugelassener Revisor • Weniger weit gehende Prüfung, auf bestimmte Prüfungshandlungen beschränkt • Anzeigepflicht bei Überschuldung • Zusammenfassender Revisionsbericht an GV • Keine Rotationspflicht des leitenden Revisors PwC
  • 6. Erwartungshaltung und Realität • Wirtschaftsprüfer übernimmt volle Verantwortung für die geprüften Jahresrechnungen • “Clean Opinion” heisst, dass der Wirtschaftsprüfer eine 100-prozentige Prüfung vorgenommen hat • Der Wirtschaftsprüfer warnt frühzeitig, dass die Gesellschaft in den Konkurs läuft • Der Wirtschaftsprüfer entdeckt mögliche Unstimmigkeiten in der Jahresrechnung  Diese Erwartungen können so nicht immer erfüllt werden • Primäre Verantwortung liegt klar beim Management und VR • Wirtschaftsprüfer kann keine “Konkursfreiheit” sichern, nur auf wesentliche Risiken hinweisen • Stichpropen und “professional scepticism” um Fraud zu entdecken PwC
  • 7. Rahmenbedingungen, v.a. für ordentliche und eingeschränkte Revision • Fokus auf Jahresrechnung (Bilanz und Erfolgsrechnung; Jahresabschluss)  “Finanzsysteme” und wesentliche Wertschöpfungskette stehen im Fokus • Internes Kontrollsystem (Existenz und Wirksamkeit) und Risikobeurteilung • Wesentlichkeit der Feststellung (Finding)  Relevanz bezüglich Unvollständigkeit, Fehler (Fraud und unbewusste Fehler), Gesetzmässigkeit • Unabhängigkeit (gilt für Revisionsgesellschaft und alle Mitarbeitende!) • Keine “Selbstprüfung” • Keine Entscheide für den Kunden (management decisions) • Keine engen Beziehungen zum Kunden, keine Beteiligungen/wirtschaftliche Abhängigkeit, nicht marktkonforme PwC Bedingungen (z.B. Spezialrabatte)
  • 8. Vom Geschäftsprozess zur IT Wesentliches Konto (Debitoren)  Geschäftsprozess (Inkasso)  Risiko (Abgleich der Zahlung mit Warenlieferung)  Kontrollen ELC: Autorisierungsweisung BPC: 4-Augen Prinzip ITGC: Vollständigkeitskontrolle Revision & Hacking • PwC 10 Umberto Annino, Juni 2012
  • 9. Revisionsprinzipien 1. Wirtschaftlichkeit: Nutzen der Revision 2. Wesentlichkeit (Materiality): Dringlichkeit und Wesentlichkeit für die Unternehmensführung 3. Sorgfalt: Objektivität, Vollständigkeit, Urteilsfähigkeit PwC
  • 10. COSO Würfel Ein IKS besteht aus den Kontrollkomponenten: • Kontrollumfeld (… Kultur) • Risikobeurteilungsprozess des Unternehmens • Kontrollaktivitäten • Rechnungslegungsrelevante Informationssysteme, damit verbundene Geschäftsprozesse und Kommunikation • Überwachung der Kontrollen PwC
  • 11. Was und wie wird geprüft ? • IT-Umgebung – HW, SW, Netzwerke, Schnittstellen • IKS / Risikomanagement • IT-Prozesse, IT-Governance; business alignment • Kontrollen (aka Massnahmen, Sicherheitsmassnahmen) • SOLL und IST; Planung, Konzepte, Projekte, Testverfahren, Betrieb; Projektbegleitende Revision z.B . Bei Migrationsprojekten in Banken vorgeschrieben IT General Controls: ITGC Logical Access Control System Development Lifecycle SDLC Change Management Datacenter Physical Security Backup Controls Computer Operation Controls PwC
  • 12. Freiwillige Prüfungen ISAE 3402 Controls Report / SSAE 16 Dienstleister, Prüfbericht über Kontrollsysteme, freiwillig Typ1: Design der Kontrollen, Typ2: Umsetzung/Effektivität der Kontrollen ISO 27001 (z.B. Zertifizierung, auch „nur“ ISMS) Jegliche Unternehmen, Gewährleistung der Informationssicherheit, freiwillig COBIT Jegliche Unternehmen, Werkzeug zur Steuerung der IT (Aufbau, Ablauf) FIPS / EAL, Common Criteria Produkt- und Funktionsstandards „Security“ Revision & Hacking • PwC 14 Umberto Annino, Juni 2012
  • 13. Limited Assurance – ISAE 3000 Beispiel On the basis of our procedures aimed at obtaining limited assurance, nothing has come to our attention that causes us to believe that the information in the Report does not comply with the above mentioned reporting criteria. Kontrollprozeduren, Umfang und Bedingungen werden offengelegt im Bericht. Full text: http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperforma ncedata/pages/assurancereportfromernstyoungas.aspx Revision & Hacking • PwC 15 Umberto Annino, Juni 2012
  • 14. Reasonable Assurance – ISAE 3000 Beispiel We believe that our procedures provide us with an appropriate basis to conclude with a reasonable level of assurance for Statoil's HSEaccounting. Kontrollprozeduren, Umfang und Bedingungen werden offengelegt im Bericht. Full text: http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperforma ncedata/pages/assurancereportfromernstyoungas.aspx Revision & Hacking • PwC 15 Umberto Annino, Juni 2012
  • 15. Prüfungsdurchführung 1. Prüfungsplanung (Termine, Ansprechpersonen, Schwerpunkte) 2. Vorerhebung, z.B. Interviews, “footprinting” 3. Sammlung und Auswertung von Informationen (evidence collection, Stichprobenauswertung, statistische Analysen) 4. Berichterstattung und Berichtabstimmung 5. Review des Audit (Nachvollziehbarkeit!) PwC
  • 16. Beispiel: Stress Points der Kommunikationssicherheit Basic Vulnerabilities – Drei Kategorien 1. Interception (Abhören, Abstrahlung), auch Manipulation 2. Availability - Verfügbarkeit, bei stark genutzten Netzwerkverbindungen; global 3. Access/entry points (Schnittstellen); any device, from anywhere Revision & Hacking • PwC 17 Umberto Annino, Juni 2012
  • 17. Controls – Kontrollen und Massnahmen Interception Access Control und physische Sicherheit im Bereich Datacenter, Netzwerk- Systemen und Büroräumlichkeiten  Zunehmende Verbreitung von Wireless-Technologien macht physische Massnahmen weniger effektiv Effektivste Massnahme: Verschlüsselung Applikatorisch oder auf Netzwerk-Ebene (IPsec, TLS) Revision & Hacking • PwC 18 Umberto Annino, Juni 2012
  • 18. Controls – Kontrollen und Massnahmen Availability Angemessene Netzwerkarchitektur Monitoring und Überwachung Redundanz und automatisiertes Routing NOC Network Operation Center 24/7 Revision & Hacking • PwC 19 Umberto Annino, Juni 2012
  • 19. Controls – Kontrollen und Massnahmen Access Points Single Point of Entry – Flaschenhals-Prinzip  Zunehmend torpediert durch BYOD bring your own device sowie genereller Trend zur “Aufweichung” der Netzwerk-Grenzen Access Control Lists Traffic Shaping Deep Packet Inspection; Antimalware, Content Protection, Leakage Protection and Prevention Härtung der Systeme Revision & Hacking • PwC 20 Umberto Annino, Juni 2012
  • 20. Beispielhafte Feststellungen Patchlevel nicht aktuell Prozesse Bewilligung und Durchführung von Änderungen nicht nachvollziehbar Account-Profil Einstellungen zu schwach oder nicht den Benutzern zugeordnet Zugriffsrechte Benutzergruppe mit Administrationsrechten ist zu gross Zugriffsrechte von technischen Benutzer für Applikationszugriffe zu wenig eingeschränkt Standard-Benutzer und -Passwörter vorhanden Logging nicht aktiviert oder entspricht nicht den Anforderungen Konfiguration Hardening Verwendung unverschlüsselter Verbindungen zwischen Clients und Datenbank Unverschlüsselte Kanäle nicht deaktiviert Dokumentation Dokumentation nicht vorhanden (Konfigurationsstandard, wiederkehrende Prozesse) Revision & Hacking • PwC 21 Umberto Annino, Juni 2012
  • 21. Gesetze und Regulatorien - Finanzinstitute Bundesgesetz und Verordnung über Banken und Sparkassen • FINMA ist weisungsberechtigt (z.B. Verschärfung von Kontrollen) • Organisation muss “wesentliche” Risiken erfassen, begrenzen und überwachen, inkl. Internes Kontrollsystem (IKS) • Basis für Urteil der Prüfgesellschaft zur Geschäftstätigkeit • Ordnungsgemässe Führung und Aufbewahrung der Geschäftsbücher (Archivierung) • Fokus auf “Finanzsysteme” FINMA Bestimmungen • Rundschreiben 2008/21: Operationelle Risiken Banken (Eigenmittel) • Rundschreiben 2008/7: Auslagerung von Geschäftsbereichen (Outsourcing) PwC
  • 22. Haftpflicht, Sorgfaltspflicht – Alle Obligationenrecht, Haftung – Voraussetzungen: • Schaden (finanziell, psychisch etc.) • Rechtswidrigkeit • Adäquater Kausalzusammenhang, Kausalität (Verhältnis von Ursache und Wirkung) • Verschulden (schuldhafte Verursachung durch Schädiger) Sorgfaltspflicht bei der Erfüllung von Leistungen aus Obligationen (Verträgen)  Treu und Glaube, Umstände und Wissen sowie Können (Noch) Wenig Klagen bezüglich Datenverlust, ICT-Ausfällen etc. durch “Endanwender, Benutzer und Kunden”  pain-level low PwC
  • 23. Strafrechtliche Bestimmungen Unbefugte Datenbeschaffung Art. 143 StGB 1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. 2 Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. PwC
  • 24. Strafrechtliche Bestimmungen Unbefugtes Eindringen in ein Datenverarbeitungssystem Art. 143bis StGB 1 Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungs- system eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. 2 Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. PwC
  • 25. Strafrechtliche Bestimmungen Datenbeschädigung Art. 144bis StGB 1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt. 2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitung gibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. PwC
  • 26. Strafrechtliche Bestimmungen Betrügerischer Missbrauch einer Datenverarbeitungsanlage Art. 147 StGB 1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt oder eine Vermögensverschiebung unmittelbar darnach verdeckt, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. 2Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahren oder Geldstrafe nicht unter 90 Tagessätzen bestraft. 3 Der betrügerische Missbrauch einer Datenverarbeitungsanlage zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. PwC
  • 27. Strafrechtliche Bestimmungen Unbefugtes Beschaffen von Personendaten Art. 179novies StGB Wer unbefugt besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die nicht frei zugänglich sind, aus einer Datensammlung beschafft, wird auf Antrag mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. PwC
  • 28. Hacker-Risiken • APT, Wirtschaftsspionage • Datenklau, Beispiele (Linkedin, SONY, Global Payments “nur 1.5 M DS”) • DoS, z.B. gegen Konkurrenzunternehmen (e-commerce) • Manipulation von Daten • Racheakt – vergrämte (ehemalige) Mitarbeiter • Betrug (Phishing, Scams; Vermögensverschiebung) • Social Engineering (als Mittel) • Phishing, Spearphishing (als Mittel) Status-Quo – inhärentes Risiko durch Sicherheitslage, IKS Wirksamkeit PwC
  • 29. (Heute ist alles) Penetration Testing 1. (Automatisiertes) Monitoring, Inventory Management, Patch Status Monitoring 2. Schwachstellen-Analyse, Vulnerability Assessment (automatisiert) 3. Eindringversuch – penetration testing 4. Ethical Hacking – inkl. Social Engineering (aka CTF) • Scoping: was testen, was nicht; Kommunikation, GO/NO-GO • Einwilligung (schriftlich)  Befugnis für Auftragnehmer • Incident Handling  CERT/CSIRT informieren, ev. Behörden • Haftbarkeit  v.a. für Auftragnehmer; Schaden bei Dritten • Lizenzierungsfragen: eingesetzte Angriffs-Software, SW-Manipulation PwC
  • 30. Verantwortung und Haftung der betroffenen Parteien Anbieter / Service Provider  Sorgfaltspflicht  Vertragliche Leistung  Haftung und Einhaltung von Strafnormen Kunde / Betroffene Person  Informationspflicht, Zumutbare Massnahmen Revisionsunternehmen, VR: Organhaftung  Haftung für Testat-Inhalt, Geschäftsbericht, Aufsicht PwC
  • 31. Versäumnisse Maturität vs. Realität Theorie und die Praxis gesunder Pragmatismus ^= “selektive Sicherheit” ... “noch ein bisschen compliance...” - c’mon. requirements engineering! Misstrauen ggü. Mitarbeitende, false incentives, (falsches) micro management Revision & Hacking • PwC 28 Umberto Annino, Juni 2012
  • 32. Information Security Basics Appoint a CSO - je nach Grösse des Unternehmen mit entsprechender FTE und v.a. (realen) Kompetenzen! Verknüpfen der Information (!) Security Risks mit dem OpRisk  CRO- level Risk-aware business decisions – nicht so einfach in der Praxis (Abwägung Risiko vs. Profit/Gain) Zertifizierung, Maturität etc. ist OK (Referenz, baseline hilft) - aber passieren tut “es” in der Realität  gehen Sie an die Front, reden (!) Sie mit den Leuten, wissen (!) sie was “draussen” abgeht Revision & Hacking • PwC 29 Umberto Annino, Juni 2012
  • 33. Information Security Basics, ff. Sicherheit ist das Komplementärereignis des Risiko. it matters! Nur weil es “jemand” macht, macht er es nicht (unbedingt) besser. Cloud Computing Security. You get what you pay for! But don’t pay too much - know what you pay for! Verbote und Weisungen sind OK, aber wer den Schaden hat... (love yourself. Intrinsische Motivation) Best Practise nicht immer “best match” ! Revision & Hacking • PwC 30 Umberto Annino, Juni 2012 33
  • 34. Zusammenfassung Was kann erkannt werden, was nicht ? • Zusammenspiel zwischen internen Kontrollen und unabhängiger Überprüfung • High-End APT sind schwierig zu entdecken, konsequente und ev. Unwirtschaftliche Durchsetzung der Kontrollen Was kann dagegen unternommen werden ? • Compliance = OK, “reale Sicherheit” = relevant • Einfache und wirksame Massnahmen  80/20  Kultur- und Kommunikation! PwC
  • 35. PwC - Globales Netzwerk von Spezialisten Dienstleistungen Nordamerika EMEA Branchen 37’700 Mitarbeiter 74’600 Mitarbeiter Consulting Detailhandel und Konsumgüter Technologie, Telco und Medien Steuer- und 161’800 Mitarbeiter in 154 Ländern Life Science and Rechtsberatung Über 2’900 Sicherheitsspezialisten Gesundheitswesen Bank und Versicherungen Lateinamerika APAC Energie und Wirtschaftsprüfung Versorgung 10’400 Mitarbeiter 39’100 Mitarbeiter Revisoren und Hacker • PwC 35 Umberto Annino, Juni 2012
  • 36. Vielen Dank PricewaterhouseCoopers AG Birchstrasse 160 Postfach, 8050 Zürich Direct: +41 58 792 20 91 Mobile: +41 79 679 00 96 umberto.annino@ch.pwc.com Umberto Annino Manager OneSecurity This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers AG, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. © 2011 PwC. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers AG which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.