2. Zur Person
Umberto Annino social networks, XING, Linkedin
PwC, Risk Assurance FS, OneSecurity
Information Security Society Switzerland ISSS
Vizepräsident, Kassier www.isss.ch
ISACA Switzerland Chapter
Certification Coordinator www.isaca.ch
Dozent und Lehrmittelautor für Informationssicherheit,
verschiedene Schulen
Revision & Hacking •
PwC 3
Umberto Annino, Juni 2012
3. Agenda
1. IT-Revision: verschiedene Arten und Prüftiefen für IT
und IT-Systeme
2. Regulatorische und gesetzliche Vorgaben
3. Hacker-Risiken
4. Verantwortung und Haftung der betroffenen Parteien
PwC
4. IT-Revision: Ordentliche Revision
Ordentliche Revision (Full Audit, OR 728) bei Publikumsgesellschaften
zwingend;
Nicht-öffentliche AG, GmbH, Stiftungen auch, wenn eine der
Bedingungen erfüllt ist:
>=20 MCHF Bilanzsumme >= 250 Vollzeitstellen
>=40 MCHF Umsatz
Vorgaben:
• Zugelassene Revisionsexperten oder staatlich beaufsichtigtes
Revisionsunternehmen Basis ISO 2700x, COBIT IT-Governance Framework
• Weitgehende und umfassende Prüfung
• Anzeige- und Informationspflichten bei Verstössen gegen Gesetz,
Statuten, Organisationsreglement oder bei Überschuldung (SEC Guidelines)
• Umfassender Revisionsbericht an VR und zusamenfassender an GV
PwC
5. IT-Revision: Eingeschränkte Revision
Eingeschränkte Revision (Review, OR 729),
prinzipiell wenn Bedingungen für ordentliche Revision nicht erreicht werden
sowie: keine Revisionspflicht für Kleinstunternehmen
Vorgaben:
• Zugelassener Revisor
• Weniger weit gehende Prüfung, auf bestimmte Prüfungshandlungen
beschränkt
• Anzeigepflicht bei Überschuldung
• Zusammenfassender Revisionsbericht an GV
• Keine Rotationspflicht des leitenden Revisors
PwC
6. Erwartungshaltung und Realität
• Wirtschaftsprüfer übernimmt volle Verantwortung für die geprüften
Jahresrechnungen
• “Clean Opinion” heisst, dass der Wirtschaftsprüfer eine 100-prozentige
Prüfung vorgenommen hat
• Der Wirtschaftsprüfer warnt frühzeitig, dass die Gesellschaft in den
Konkurs läuft
• Der Wirtschaftsprüfer entdeckt mögliche Unstimmigkeiten in der
Jahresrechnung
Diese Erwartungen können so nicht immer erfüllt werden
• Primäre Verantwortung liegt klar beim Management und VR
• Wirtschaftsprüfer kann keine “Konkursfreiheit” sichern, nur auf
wesentliche Risiken hinweisen
• Stichpropen und “professional scepticism” um Fraud zu entdecken
PwC
7. Rahmenbedingungen, v.a. für ordentliche und
eingeschränkte Revision
• Fokus auf Jahresrechnung (Bilanz und Erfolgsrechnung;
Jahresabschluss)
“Finanzsysteme” und wesentliche Wertschöpfungskette stehen im Fokus
• Internes Kontrollsystem (Existenz und Wirksamkeit) und Risikobeurteilung
• Wesentlichkeit der Feststellung (Finding)
Relevanz bezüglich Unvollständigkeit, Fehler (Fraud und unbewusste
Fehler), Gesetzmässigkeit
• Unabhängigkeit (gilt für Revisionsgesellschaft und alle Mitarbeitende!)
• Keine “Selbstprüfung”
• Keine Entscheide für den Kunden (management decisions)
• Keine engen Beziehungen zum Kunden, keine
Beteiligungen/wirtschaftliche Abhängigkeit, nicht marktkonforme
PwC Bedingungen (z.B. Spezialrabatte)
8. Vom Geschäftsprozess zur IT
Wesentliches Konto (Debitoren)
Geschäftsprozess (Inkasso)
Risiko (Abgleich der Zahlung mit Warenlieferung)
Kontrollen
ELC: Autorisierungsweisung
BPC: 4-Augen Prinzip
ITGC: Vollständigkeitskontrolle
Revision & Hacking •
PwC 10
Umberto Annino, Juni 2012
9. Revisionsprinzipien
1. Wirtschaftlichkeit: Nutzen der Revision
2. Wesentlichkeit (Materiality): Dringlichkeit und
Wesentlichkeit für die Unternehmensführung
3. Sorgfalt: Objektivität, Vollständigkeit, Urteilsfähigkeit
PwC
10. COSO Würfel
Ein IKS besteht aus den
Kontrollkomponenten:
• Kontrollumfeld (… Kultur)
• Risikobeurteilungsprozess des
Unternehmens
• Kontrollaktivitäten
• Rechnungslegungsrelevante
Informationssysteme, damit
verbundene Geschäftsprozesse und
Kommunikation
• Überwachung der Kontrollen
PwC
11. Was und wie wird geprüft ?
• IT-Umgebung – HW, SW, Netzwerke, Schnittstellen
• IKS / Risikomanagement
• IT-Prozesse, IT-Governance; business alignment
• Kontrollen (aka Massnahmen, Sicherheitsmassnahmen)
• SOLL und IST; Planung, Konzepte, Projekte, Testverfahren,
Betrieb;
Projektbegleitende Revision z.B . Bei Migrationsprojekten in Banken
vorgeschrieben
IT General Controls: ITGC
Logical Access Control System Development Lifecycle SDLC
Change Management Datacenter Physical Security
Backup Controls Computer Operation Controls
PwC
12. Freiwillige Prüfungen
ISAE 3402 Controls Report / SSAE 16
Dienstleister, Prüfbericht über Kontrollsysteme, freiwillig
Typ1: Design der Kontrollen, Typ2: Umsetzung/Effektivität der Kontrollen
ISO 27001 (z.B. Zertifizierung, auch „nur“ ISMS)
Jegliche Unternehmen, Gewährleistung der Informationssicherheit, freiwillig
COBIT
Jegliche Unternehmen, Werkzeug zur Steuerung der IT (Aufbau, Ablauf)
FIPS / EAL, Common Criteria
Produkt- und Funktionsstandards „Security“
Revision & Hacking •
PwC 14
Umberto Annino, Juni 2012
13. Limited Assurance – ISAE 3000 Beispiel
On the basis of our procedures aimed at obtaining limited
assurance, nothing has come to our attention that causes us
to believe that the information in the Report does not comply with
the above mentioned reporting criteria.
Kontrollprozeduren, Umfang und Bedingungen werden
offengelegt im Bericht.
Full text:
http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperforma
ncedata/pages/assurancereportfromernstyoungas.aspx
Revision & Hacking •
PwC 15
Umberto Annino, Juni 2012
14. Reasonable Assurance – ISAE 3000 Beispiel
We believe that our procedures provide us with an
appropriate basis to conclude with a reasonable level of
assurance for Statoil's HSEaccounting.
Kontrollprozeduren, Umfang und Bedingungen werden
offengelegt im Bericht.
Full text:
http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperforma
ncedata/pages/assurancereportfromernstyoungas.aspx
Revision & Hacking •
PwC 15
Umberto Annino, Juni 2012
15. Prüfungsdurchführung
1. Prüfungsplanung (Termine, Ansprechpersonen,
Schwerpunkte)
2. Vorerhebung, z.B. Interviews, “footprinting”
3. Sammlung und Auswertung von Informationen
(evidence collection, Stichprobenauswertung,
statistische Analysen)
4. Berichterstattung und Berichtabstimmung
5. Review des Audit (Nachvollziehbarkeit!)
PwC
16. Beispiel:
Stress Points der Kommunikationssicherheit
Basic Vulnerabilities – Drei Kategorien
1. Interception (Abhören, Abstrahlung), auch Manipulation
2. Availability - Verfügbarkeit, bei stark genutzten Netzwerkverbindungen;
global
3. Access/entry points (Schnittstellen); any device, from anywhere
Revision & Hacking •
PwC 17
Umberto Annino, Juni 2012
17. Controls – Kontrollen und Massnahmen
Interception
Access Control und physische Sicherheit im Bereich Datacenter, Netzwerk-
Systemen und Büroräumlichkeiten
Zunehmende Verbreitung von Wireless-Technologien macht physische
Massnahmen weniger effektiv
Effektivste Massnahme: Verschlüsselung
Applikatorisch oder auf Netzwerk-Ebene (IPsec, TLS)
Revision & Hacking •
PwC 18
Umberto Annino, Juni 2012
18. Controls – Kontrollen und Massnahmen
Availability
Angemessene Netzwerkarchitektur
Monitoring und Überwachung
Redundanz und automatisiertes Routing
NOC Network Operation Center 24/7
Revision & Hacking •
PwC 19
Umberto Annino, Juni 2012
19. Controls – Kontrollen und Massnahmen
Access Points
Single Point of Entry – Flaschenhals-Prinzip
Zunehmend torpediert durch BYOD bring your own device sowie genereller
Trend zur “Aufweichung” der Netzwerk-Grenzen
Access Control Lists
Traffic Shaping
Deep Packet Inspection; Antimalware, Content Protection,
Leakage Protection and Prevention
Härtung der Systeme
Revision & Hacking •
PwC 20
Umberto Annino, Juni 2012
20. Beispielhafte Feststellungen
Patchlevel nicht aktuell
Prozesse
Bewilligung und Durchführung von Änderungen nicht nachvollziehbar
Account-Profil Einstellungen zu schwach oder nicht den Benutzern zugeordnet
Zugriffsrechte Benutzergruppe mit Administrationsrechten ist zu gross
Zugriffsrechte von technischen Benutzer für Applikationszugriffe zu wenig eingeschränkt
Standard-Benutzer und -Passwörter vorhanden
Logging nicht aktiviert oder entspricht nicht den Anforderungen
Konfiguration
Hardening
Verwendung unverschlüsselter Verbindungen zwischen Clients und Datenbank
Unverschlüsselte Kanäle nicht deaktiviert
Dokumentation Dokumentation nicht vorhanden (Konfigurationsstandard, wiederkehrende Prozesse)
Revision & Hacking •
PwC 21
Umberto Annino, Juni 2012
21. Gesetze und Regulatorien - Finanzinstitute
Bundesgesetz und Verordnung über Banken und Sparkassen
• FINMA ist weisungsberechtigt (z.B. Verschärfung von Kontrollen)
• Organisation muss “wesentliche” Risiken erfassen, begrenzen und
überwachen, inkl. Internes Kontrollsystem (IKS)
• Basis für Urteil der Prüfgesellschaft zur Geschäftstätigkeit
• Ordnungsgemässe Führung und Aufbewahrung der Geschäftsbücher
(Archivierung)
• Fokus auf “Finanzsysteme”
FINMA Bestimmungen
• Rundschreiben 2008/21: Operationelle Risiken Banken (Eigenmittel)
• Rundschreiben 2008/7: Auslagerung von Geschäftsbereichen
(Outsourcing)
PwC
22. Haftpflicht, Sorgfaltspflicht – Alle
Obligationenrecht, Haftung – Voraussetzungen:
• Schaden (finanziell, psychisch etc.)
• Rechtswidrigkeit
• Adäquater Kausalzusammenhang, Kausalität (Verhältnis von Ursache und
Wirkung)
• Verschulden (schuldhafte Verursachung durch Schädiger)
Sorgfaltspflicht bei der Erfüllung von Leistungen aus Obligationen
(Verträgen)
Treu und Glaube, Umstände und Wissen sowie Können
(Noch) Wenig Klagen bezüglich Datenverlust, ICT-Ausfällen etc. durch
“Endanwender, Benutzer und Kunden” pain-level low
PwC
23. Strafrechtliche Bestimmungen
Unbefugte Datenbeschaffung
Art. 143 StGB
1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich
oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder
übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen
unbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe bis
zu fünf Jahren oder Geldstrafe bestraft.
2 Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder
Familiengenossen wird nur auf Antrag verfolgt.
PwC
24. Strafrechtliche Bestimmungen
Unbefugtes Eindringen in ein Datenverarbeitungssystem
Art. 143bis StGB
1 Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein
fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungs-
system eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder
Geldstrafe bestraft.
2 Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen
muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet
werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis
zu drei Jahren oder Geldstrafe bestraft.
PwC
25. Strafrechtliche Bestimmungen
Datenbeschädigung
Art. 144bis StGB
1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder
übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag,
mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einem
Jahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt.
2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer
1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt,
anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitung
gibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf
Jahren erkannt werden.
PwC
26. Strafrechtliche Bestimmungen
Betrügerischer Missbrauch einer
Datenverarbeitungsanlage
Art. 147 StGB
1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch
unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer
Weise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oder
Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung
zum Schaden eines andern herbeiführt oder eine Vermögensverschiebung
unmittelbar darnach verdeckt, wird mit Freiheitsstrafe bis zu fünf Jahren oder
Geldstrafe bestraft.
2Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahren
oder Geldstrafe nicht unter 90 Tagessätzen bestraft.
3 Der betrügerische Missbrauch einer Datenverarbeitungsanlage zum Nachteil eines Angehörigen
oder Familiengenossen wird nur auf Antrag verfolgt.
PwC
27. Strafrechtliche Bestimmungen
Unbefugtes Beschaffen von Personendaten
Art. 179novies StGB
Wer unbefugt besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die
nicht frei zugänglich sind, aus einer Datensammlung beschafft, wird auf Antrag mit
Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
PwC
28. Hacker-Risiken
• APT, Wirtschaftsspionage
• Datenklau, Beispiele (Linkedin, SONY, Global Payments “nur 1.5 M DS”)
• DoS, z.B. gegen Konkurrenzunternehmen (e-commerce)
• Manipulation von Daten
• Racheakt – vergrämte (ehemalige) Mitarbeiter
• Betrug (Phishing, Scams; Vermögensverschiebung)
• Social Engineering (als Mittel)
• Phishing, Spearphishing (als Mittel)
Status-Quo – inhärentes Risiko durch Sicherheitslage, IKS Wirksamkeit
PwC
29. (Heute ist alles) Penetration Testing
1. (Automatisiertes) Monitoring, Inventory Management, Patch Status
Monitoring
2. Schwachstellen-Analyse, Vulnerability Assessment (automatisiert)
3. Eindringversuch – penetration testing
4. Ethical Hacking – inkl. Social Engineering (aka CTF)
• Scoping: was testen, was nicht; Kommunikation, GO/NO-GO
• Einwilligung (schriftlich) Befugnis für Auftragnehmer
• Incident Handling CERT/CSIRT informieren, ev. Behörden
• Haftbarkeit v.a. für Auftragnehmer; Schaden bei Dritten
• Lizenzierungsfragen: eingesetzte Angriffs-Software, SW-Manipulation
PwC
30. Verantwortung und Haftung der betroffenen Parteien
Anbieter / Service Provider
Sorgfaltspflicht
Vertragliche Leistung
Haftung und Einhaltung von Strafnormen
Kunde / Betroffene Person
Informationspflicht, Zumutbare Massnahmen
Revisionsunternehmen, VR: Organhaftung
Haftung für Testat-Inhalt, Geschäftsbericht, Aufsicht
PwC
31. Versäumnisse
Maturität vs. Realität
Theorie und die Praxis
gesunder Pragmatismus ^= “selektive Sicherheit”
... “noch ein bisschen compliance...” - c’mon. requirements engineering!
Misstrauen ggü. Mitarbeitende,
false incentives, (falsches) micro management
Revision & Hacking •
PwC 28
Umberto Annino, Juni 2012
32. Information Security Basics
Appoint a CSO - je nach Grösse des Unternehmen mit entsprechender FTE
und v.a. (realen) Kompetenzen!
Verknüpfen der Information (!) Security Risks mit dem OpRisk CRO-
level
Risk-aware business decisions – nicht so einfach in der Praxis (Abwägung
Risiko vs. Profit/Gain)
Zertifizierung, Maturität etc. ist OK (Referenz, baseline hilft) - aber passieren
tut “es” in der Realität
gehen Sie an die Front, reden (!) Sie mit den Leuten, wissen (!) sie was
“draussen” abgeht
Revision & Hacking •
PwC 29
Umberto Annino, Juni 2012
33. Information Security Basics, ff.
Sicherheit ist das Komplementärereignis des Risiko. it matters!
Nur weil es “jemand” macht, macht er es nicht (unbedingt) besser. Cloud
Computing Security.
You get what you pay for!
But don’t pay too much - know what you pay for!
Verbote und Weisungen sind OK, aber wer den Schaden hat... (love yourself.
Intrinsische Motivation)
Best Practise nicht immer “best match” !
Revision & Hacking •
PwC 30
Umberto Annino, Juni 2012 33
34. Zusammenfassung
Was kann erkannt werden, was nicht ?
• Zusammenspiel zwischen internen Kontrollen und unabhängiger
Überprüfung
• High-End APT sind schwierig zu entdecken, konsequente und ev.
Unwirtschaftliche Durchsetzung der Kontrollen
Was kann dagegen unternommen werden ?
• Compliance = OK, “reale Sicherheit” = relevant
• Einfache und wirksame Massnahmen 80/20
Kultur- und Kommunikation!
PwC
35. PwC - Globales Netzwerk von Spezialisten
Dienstleistungen Nordamerika EMEA Branchen
37’700 Mitarbeiter 74’600 Mitarbeiter
Consulting Detailhandel und
Konsumgüter
Technologie, Telco
und Medien
Steuer- und 161’800 Mitarbeiter in 154 Ländern Life Science and
Rechtsberatung Über 2’900 Sicherheitsspezialisten Gesundheitswesen
Bank und
Versicherungen
Lateinamerika APAC Energie und
Wirtschaftsprüfung
Versorgung
10’400 Mitarbeiter 39’100 Mitarbeiter
Revisoren und Hacker •
PwC 35
Umberto Annino, Juni 2012