SlideShare une entreprise Scribd logo

Revisoren und hacker

Digicomp Academy AG
Digicomp Academy AG
Technologie
1  sur  36
Télécharger pour lire hors ligne
Wirtschaftsprüfung Revisoren und Hacker Umberto Annino, Juni 2012
Zur Person Umberto Annino  social networks, XING, Linkedin PwC, Risk Assurance FS, OneSecurity Information Security Society Switzerland ISSS Vizepräsident, Kassier www.isss.ch ISACA Switzerland Chapter Certification Coordinator www.isaca.ch Dozent und Lehrmittelautor für Informationssicherheit, verschiedene Schulen Revision & Hacking • PwC 3 Umberto Annino, Juni 2012
Agenda 1. IT-Revision: verschiedene Arten und Prüftiefen für IT und IT-Systeme 2. Regulatorische und gesetzliche Vorgaben 3. Hacker-Risiken 4. Verantwortung und Haftung der betroffenen Parteien PwC
IT-Revision: Ordentliche Revision Ordentliche Revision (Full Audit, OR 728) bei Publikumsgesellschaften zwingend; Nicht-öffentliche AG, GmbH, Stiftungen auch, wenn eine der Bedingungen erfüllt ist: >=20 MCHF Bilanzsumme >= 250 Vollzeitstellen >=40 MCHF Umsatz Vorgaben: • Zugelassene Revisionsexperten oder staatlich beaufsichtigtes Revisionsunternehmen  Basis ISO 2700x, COBIT IT-Governance Framework • Weitgehende und umfassende Prüfung • Anzeige- und Informationspflichten bei Verstössen gegen Gesetz, Statuten, Organisationsreglement oder bei Überschuldung (SEC Guidelines) • Umfassender Revisionsbericht an VR und zusamenfassender an GV PwC
IT-Revision: Eingeschränkte Revision Eingeschränkte Revision (Review, OR 729), prinzipiell wenn Bedingungen für ordentliche Revision nicht erreicht werden sowie: keine Revisionspflicht für Kleinstunternehmen Vorgaben: • Zugelassener Revisor • Weniger weit gehende Prüfung, auf bestimmte Prüfungshandlungen beschränkt • Anzeigepflicht bei Überschuldung • Zusammenfassender Revisionsbericht an GV • Keine Rotationspflicht des leitenden Revisors PwC
Erwartungshaltung und Realität • Wirtschaftsprüfer übernimmt volle Verantwortung für die geprüften Jahresrechnungen • “Clean Opinion” heisst, dass der Wirtschaftsprüfer eine 100-prozentige Prüfung vorgenommen hat • Der Wirtschaftsprüfer warnt frühzeitig, dass die Gesellschaft in den Konkurs läuft • Der Wirtschaftsprüfer entdeckt mögliche Unstimmigkeiten in der Jahresrechnung  Diese Erwartungen können so nicht immer erfüllt werden • Primäre Verantwortung liegt klar beim Management und VR • Wirtschaftsprüfer kann keine “Konkursfreiheit” sichern, nur auf wesentliche Risiken hinweisen • Stichpropen und “professional scepticism” um Fraud zu entdecken PwC
Rahmenbedingungen, v.a. für ordentliche und eingeschränkte Revision • Fokus auf Jahresrechnung (Bilanz und Erfolgsrechnung; Jahresabschluss)  “Finanzsysteme” und wesentliche Wertschöpfungskette stehen im Fokus • Internes Kontrollsystem (Existenz und Wirksamkeit) und Risikobeurteilung • Wesentlichkeit der Feststellung (Finding)  Relevanz bezüglich Unvollständigkeit, Fehler (Fraud und unbewusste Fehler), Gesetzmässigkeit • Unabhängigkeit (gilt für Revisionsgesellschaft und alle Mitarbeitende!) • Keine “Selbstprüfung” • Keine Entscheide für den Kunden (management decisions) • Keine engen Beziehungen zum Kunden, keine Beteiligungen/wirtschaftliche Abhängigkeit, nicht marktkonforme PwC Bedingungen (z.B. Spezialrabatte)
Vom Geschäftsprozess zur IT Wesentliches Konto (Debitoren)  Geschäftsprozess (Inkasso)  Risiko (Abgleich der Zahlung mit Warenlieferung)  Kontrollen ELC: Autorisierungsweisung BPC: 4-Augen Prinzip ITGC: Vollständigkeitskontrolle Revision & Hacking • PwC 10 Umberto Annino, Juni 2012
Revisionsprinzipien 1. Wirtschaftlichkeit: Nutzen der Revision 2. Wesentlichkeit (Materiality): Dringlichkeit und Wesentlichkeit für die Unternehmensführung 3. Sorgfalt: Objektivität, Vollständigkeit, Urteilsfähigkeit PwC
COSO Würfel Ein IKS besteht aus den Kontrollkomponenten: • Kontrollumfeld (… Kultur) • Risikobeurteilungsprozess des Unternehmens • Kontrollaktivitäten • Rechnungslegungsrelevante Informationssysteme, damit verbundene Geschäftsprozesse und Kommunikation • Überwachung der Kontrollen PwC
Was und wie wird geprüft ? • IT-Umgebung – HW, SW, Netzwerke, Schnittstellen • IKS / Risikomanagement • IT-Prozesse, IT-Governance; business alignment • Kontrollen (aka Massnahmen, Sicherheitsmassnahmen) • SOLL und IST; Planung, Konzepte, Projekte, Testverfahren, Betrieb; Projektbegleitende Revision z.B . Bei Migrationsprojekten in Banken vorgeschrieben IT General Controls: ITGC Logical Access Control System Development Lifecycle SDLC Change Management Datacenter Physical Security Backup Controls Computer Operation Controls PwC
Freiwillige Prüfungen ISAE 3402 Controls Report / SSAE 16 Dienstleister, Prüfbericht über Kontrollsysteme, freiwillig Typ1: Design der Kontrollen, Typ2: Umsetzung/Effektivität der Kontrollen ISO 27001 (z.B. Zertifizierung, auch „nur“ ISMS) Jegliche Unternehmen, Gewährleistung der Informationssicherheit, freiwillig COBIT Jegliche Unternehmen, Werkzeug zur Steuerung der IT (Aufbau, Ablauf) FIPS / EAL, Common Criteria Produkt- und Funktionsstandards „Security“ Revision & Hacking • PwC 14 Umberto Annino, Juni 2012
Limited Assurance – ISAE 3000 Beispiel On the basis of our procedures aimed at obtaining limited assurance, nothing has come to our attention that causes us to believe that the information in the Report does not comply with the above mentioned reporting criteria. Kontrollprozeduren, Umfang und Bedingungen werden offengelegt im Bericht. Full text: http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperforma ncedata/pages/assurancereportfromernstyoungas.aspx Revision & Hacking • PwC 15 Umberto Annino, Juni 2012
Reasonable Assurance – ISAE 3000 Beispiel We believe that our procedures provide us with an appropriate basis to conclude with a reasonable level of assurance for Statoil's HSEaccounting. Kontrollprozeduren, Umfang und Bedingungen werden offengelegt im Bericht. Full text: http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperforma ncedata/pages/assurancereportfromernstyoungas.aspx Revision & Hacking • PwC 15 Umberto Annino, Juni 2012
Prüfungsdurchführung 1. Prüfungsplanung (Termine, Ansprechpersonen, Schwerpunkte) 2. Vorerhebung, z.B. Interviews, “footprinting” 3. Sammlung und Auswertung von Informationen (evidence collection, Stichprobenauswertung, statistische Analysen) 4. Berichterstattung und Berichtabstimmung 5. Review des Audit (Nachvollziehbarkeit!) PwC
Beispiel: Stress Points der Kommunikationssicherheit Basic Vulnerabilities – Drei Kategorien 1. Interception (Abhören, Abstrahlung), auch Manipulation 2. Availability - Verfügbarkeit, bei stark genutzten Netzwerkverbindungen; global 3. Access/entry points (Schnittstellen); any device, from anywhere Revision & Hacking • PwC 17 Umberto Annino, Juni 2012
Controls – Kontrollen und Massnahmen Interception Access Control und physische Sicherheit im Bereich Datacenter, Netzwerk- Systemen und Büroräumlichkeiten  Zunehmende Verbreitung von Wireless-Technologien macht physische Massnahmen weniger effektiv Effektivste Massnahme: Verschlüsselung Applikatorisch oder auf Netzwerk-Ebene (IPsec, TLS) Revision & Hacking • PwC 18 Umberto Annino, Juni 2012
Controls – Kontrollen und Massnahmen Availability Angemessene Netzwerkarchitektur Monitoring und Überwachung Redundanz und automatisiertes Routing NOC Network Operation Center 24/7 Revision & Hacking • PwC 19 Umberto Annino, Juni 2012
Controls – Kontrollen und Massnahmen Access Points Single Point of Entry – Flaschenhals-Prinzip  Zunehmend torpediert durch BYOD bring your own device sowie genereller Trend zur “Aufweichung” der Netzwerk-Grenzen Access Control Lists Traffic Shaping Deep Packet Inspection; Antimalware, Content Protection, Leakage Protection and Prevention Härtung der Systeme Revision & Hacking • PwC 20 Umberto Annino, Juni 2012
Beispielhafte Feststellungen Patchlevel nicht aktuell Prozesse Bewilligung und Durchführung von Änderungen nicht nachvollziehbar Account-Profil Einstellungen zu schwach oder nicht den Benutzern zugeordnet Zugriffsrechte Benutzergruppe mit Administrationsrechten ist zu gross Zugriffsrechte von technischen Benutzer für Applikationszugriffe zu wenig eingeschränkt Standard-Benutzer und -Passwörter vorhanden Logging nicht aktiviert oder entspricht nicht den Anforderungen Konfiguration Hardening Verwendung unverschlüsselter Verbindungen zwischen Clients und Datenbank Unverschlüsselte Kanäle nicht deaktiviert Dokumentation Dokumentation nicht vorhanden (Konfigurationsstandard, wiederkehrende Prozesse) Revision & Hacking • PwC 21 Umberto Annino, Juni 2012
Gesetze und Regulatorien - Finanzinstitute Bundesgesetz und Verordnung über Banken und Sparkassen • FINMA ist weisungsberechtigt (z.B. Verschärfung von Kontrollen) • Organisation muss “wesentliche” Risiken erfassen, begrenzen und überwachen, inkl. Internes Kontrollsystem (IKS) • Basis für Urteil der Prüfgesellschaft zur Geschäftstätigkeit • Ordnungsgemässe Führung und Aufbewahrung der Geschäftsbücher (Archivierung) • Fokus auf “Finanzsysteme” FINMA Bestimmungen • Rundschreiben 2008/21: Operationelle Risiken Banken (Eigenmittel) • Rundschreiben 2008/7: Auslagerung von Geschäftsbereichen (Outsourcing) PwC
Haftpflicht, Sorgfaltspflicht – Alle Obligationenrecht, Haftung – Voraussetzungen: • Schaden (finanziell, psychisch etc.) • Rechtswidrigkeit • Adäquater Kausalzusammenhang, Kausalität (Verhältnis von Ursache und Wirkung) • Verschulden (schuldhafte Verursachung durch Schädiger) Sorgfaltspflicht bei der Erfüllung von Leistungen aus Obligationen (Verträgen)  Treu und Glaube, Umstände und Wissen sowie Können (Noch) Wenig Klagen bezüglich Datenverlust, ICT-Ausfällen etc. durch “Endanwender, Benutzer und Kunden”  pain-level low PwC
Strafrechtliche Bestimmungen Unbefugte Datenbeschaffung Art. 143 StGB 1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. 2 Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. PwC
Strafrechtliche Bestimmungen Unbefugtes Eindringen in ein Datenverarbeitungssystem Art. 143bis StGB 1 Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungs- system eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. 2 Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. PwC
Strafrechtliche Bestimmungen Datenbeschädigung Art. 144bis StGB 1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt. 2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitung gibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. PwC
Strafrechtliche Bestimmungen Betrügerischer Missbrauch einer Datenverarbeitungsanlage Art. 147 StGB 1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt oder eine Vermögensverschiebung unmittelbar darnach verdeckt, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. 2Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahren oder Geldstrafe nicht unter 90 Tagessätzen bestraft. 3 Der betrügerische Missbrauch einer Datenverarbeitungsanlage zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. PwC
Strafrechtliche Bestimmungen Unbefugtes Beschaffen von Personendaten Art. 179novies StGB Wer unbefugt besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die nicht frei zugänglich sind, aus einer Datensammlung beschafft, wird auf Antrag mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. PwC
Hacker-Risiken • APT, Wirtschaftsspionage • Datenklau, Beispiele (Linkedin, SONY, Global Payments “nur 1.5 M DS”) • DoS, z.B. gegen Konkurrenzunternehmen (e-commerce) • Manipulation von Daten • Racheakt – vergrämte (ehemalige) Mitarbeiter • Betrug (Phishing, Scams; Vermögensverschiebung) • Social Engineering (als Mittel) • Phishing, Spearphishing (als Mittel) Status-Quo – inhärentes Risiko durch Sicherheitslage, IKS Wirksamkeit PwC
(Heute ist alles) Penetration Testing 1. (Automatisiertes) Monitoring, Inventory Management, Patch Status Monitoring 2. Schwachstellen-Analyse, Vulnerability Assessment (automatisiert) 3. Eindringversuch – penetration testing 4. Ethical Hacking – inkl. Social Engineering (aka CTF) • Scoping: was testen, was nicht; Kommunikation, GO/NO-GO • Einwilligung (schriftlich)  Befugnis für Auftragnehmer • Incident Handling  CERT/CSIRT informieren, ev. Behörden • Haftbarkeit  v.a. für Auftragnehmer; Schaden bei Dritten • Lizenzierungsfragen: eingesetzte Angriffs-Software, SW-Manipulation PwC
Verantwortung und Haftung der betroffenen Parteien Anbieter / Service Provider  Sorgfaltspflicht  Vertragliche Leistung  Haftung und Einhaltung von Strafnormen Kunde / Betroffene Person  Informationspflicht, Zumutbare Massnahmen Revisionsunternehmen, VR: Organhaftung  Haftung für Testat-Inhalt, Geschäftsbericht, Aufsicht PwC
Versäumnisse Maturität vs. Realität Theorie und die Praxis gesunder Pragmatismus ^= “selektive Sicherheit” ... “noch ein bisschen compliance...” - c’mon. requirements engineering! Misstrauen ggü. Mitarbeitende, false incentives, (falsches) micro management Revision & Hacking • PwC 28 Umberto Annino, Juni 2012
Information Security Basics Appoint a CSO - je nach Grösse des Unternehmen mit entsprechender FTE und v.a. (realen) Kompetenzen! Verknüpfen der Information (!) Security Risks mit dem OpRisk  CRO- level Risk-aware business decisions – nicht so einfach in der Praxis (Abwägung Risiko vs. Profit/Gain) Zertifizierung, Maturität etc. ist OK (Referenz, baseline hilft) - aber passieren tut “es” in der Realität  gehen Sie an die Front, reden (!) Sie mit den Leuten, wissen (!) sie was “draussen” abgeht Revision & Hacking • PwC 29 Umberto Annino, Juni 2012
Information Security Basics, ff. Sicherheit ist das Komplementärereignis des Risiko. it matters! Nur weil es “jemand” macht, macht er es nicht (unbedingt) besser. Cloud Computing Security. You get what you pay for! But don’t pay too much - know what you pay for! Verbote und Weisungen sind OK, aber wer den Schaden hat... (love yourself. Intrinsische Motivation) Best Practise nicht immer “best match” ! Revision & Hacking • PwC 30 Umberto Annino, Juni 2012 33
Zusammenfassung Was kann erkannt werden, was nicht ? • Zusammenspiel zwischen internen Kontrollen und unabhängiger Überprüfung • High-End APT sind schwierig zu entdecken, konsequente und ev. Unwirtschaftliche Durchsetzung der Kontrollen Was kann dagegen unternommen werden ? • Compliance = OK, “reale Sicherheit” = relevant • Einfache und wirksame Massnahmen  80/20  Kultur- und Kommunikation! PwC
PwC - Globales Netzwerk von Spezialisten Dienstleistungen Nordamerika EMEA Branchen 37’700 Mitarbeiter 74’600 Mitarbeiter Consulting Detailhandel und Konsumgüter Technologie, Telco und Medien Steuer- und 161’800 Mitarbeiter in 154 Ländern Life Science and Rechtsberatung Über 2’900 Sicherheitsspezialisten Gesundheitswesen Bank und Versicherungen Lateinamerika APAC Energie und Wirtschaftsprüfung Versorgung 10’400 Mitarbeiter 39’100 Mitarbeiter Revisoren und Hacker • PwC 35 Umberto Annino, Juni 2012
Vielen Dank PricewaterhouseCoopers AG Birchstrasse 160 Postfach, 8050 Zürich Direct: +41 58 792 20 91 Mobile: +41 79 679 00 96 umberto.annino@ch.pwc.com Umberto Annino Manager OneSecurity This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers AG, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. © 2011 PwC. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers AG which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.

Recommandé

Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe
Kontrolle und revisionssichere Auditierung privilegierter IT-ZugriffeKontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe
Kontrolle und revisionssichere Auditierung privilegierter IT-ZugriffeBalaBit
 
B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009Andreas Schulte
 
2016.11.15 energie der alpen italien workshop
2016.11.15 energie der alpen italien workshop2016.11.15 energie der alpen italien workshop
2016.11.15 energie der alpen italien workshopSvenja Bartels
 
IKS, Risikomanagement und Compliance mit ADONIS
IKS, Risikomanagement und Compliance mit ADONISIKS, Risikomanagement und Compliance mit ADONIS
IKS, Risikomanagement und Compliance mit ADONISBOC Schweiz
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
 
Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtIris Maaß
 
Cobit
CobitCobit
CobitMonica Carrion
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMOPTIMAbit GmbH
 

Recommandé

Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe
Kontrolle und revisionssichere Auditierung privilegierter IT-ZugriffeKontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe
Kontrolle und revisionssichere Auditierung privilegierter IT-ZugriffeBalaBit
 
B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009Andreas Schulte
 
2016.11.15 energie der alpen italien workshop
2016.11.15 energie der alpen italien workshop2016.11.15 energie der alpen italien workshop
2016.11.15 energie der alpen italien workshopSvenja Bartels
 
IKS, Risikomanagement und Compliance mit ADONIS
IKS, Risikomanagement und Compliance mit ADONISIKS, Risikomanagement und Compliance mit ADONIS
IKS, Risikomanagement und Compliance mit ADONISBOC Schweiz
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
 
Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtIris Maaß
 
Cobit
CobitCobit
CobitMonica Carrion
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMOPTIMAbit GmbH
 
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiNavigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiMatthias Leisi
 
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus ThielOSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus ThielNETWAYS
 
Compliance needs transparency
Compliance needs transparencyCompliance needs transparency
Compliance needs transparencyBalaBit
 
Process Mining @
Process Mining @Process Mining @
Process Mining @ProcessGold AG
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Virtual Forge
 
CCPP
CCPPCCPP
CCPPNadineZ
 
Globals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business AnalyticsGlobals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business Analyticsinovex GmbH
 
Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Agile Methoden als Diagnose-Tool für den sicherheitskritischen BereichAgile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Agile Methoden als Diagnose-Tool für den sicherheitskritischen BereichChristoph Schmiedinger
 
dox42day Paul Zieger - Opti-Q
dox42day Paul Zieger - Opti-Qdox42day Paul Zieger - Opti-Q
dox42day Paul Zieger - Opti-Qdox42
 
We Do Web Sphere Deutsch Webcast On24
We Do Web Sphere Deutsch Webcast On24We Do Web Sphere Deutsch Webcast On24
We Do Web Sphere Deutsch Webcast On24Christoph Goertz
 
Der Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC BetriebDer Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC BetriebSplunk
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Praxistage
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
ISD2016_SolutionL_Wolfgang_Schmidt
ISD2016_SolutionL_Wolfgang_SchmidtISD2016_SolutionL_Wolfgang_Schmidt
ISD2016_SolutionL_Wolfgang_SchmidtInfoSocietyDays
 
The audit factory einrichtung einer internen revision
The audit factory einrichtung einer internen revisionThe audit factory einrichtung einer internen revision
The audit factory einrichtung einer internen revisionDaniel Hertneck
 
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...NETWAYS
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 
KPIs vs. UX – ist User Experience messbar?
KPIs vs. UX – ist User Experience messbar?KPIs vs. UX – ist User Experience messbar?
KPIs vs. UX – ist User Experience messbar?Matthias Feit
 
KPIs vs. UX - Ist User Experience messbar?
KPIs vs. UX - Ist User Experience messbar?KPIs vs. UX - Ist User Experience messbar?
KPIs vs. UX - Ist User Experience messbar?die firma . experience design GmbH
 
Der fachkreis dcc digital controlling competence des internationalen controll...
Der fachkreis dcc digital controlling competence des internationalen controll...Der fachkreis dcc digital controlling competence des internationalen controll...
Der fachkreis dcc digital controlling competence des internationalen controll...Brigitte73
 
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Digicomp Academy AG
 

Contenu connexe

Similaire à Revisoren und hacker

Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiNavigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiMatthias Leisi
 
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus ThielOSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus ThielNETWAYS
 
Compliance needs transparency
Compliance needs transparencyCompliance needs transparency
Compliance needs transparencyBalaBit
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Virtual Forge
 
Globals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business AnalyticsGlobals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business Analyticsinovex GmbH
 
Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Agile Methoden als Diagnose-Tool für den sicherheitskritischen BereichAgile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Agile Methoden als Diagnose-Tool für den sicherheitskritischen BereichChristoph Schmiedinger
 
dox42day Paul Zieger - Opti-Q
dox42day Paul Zieger - Opti-Qdox42day Paul Zieger - Opti-Q
dox42day Paul Zieger - Opti-Qdox42
 
We Do Web Sphere Deutsch Webcast On24
We Do Web Sphere Deutsch Webcast On24We Do Web Sphere Deutsch Webcast On24
We Do Web Sphere Deutsch Webcast On24Christoph Goertz
 
Der Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC BetriebDer Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC BetriebSplunk
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Praxistage
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
ISD2016_SolutionL_Wolfgang_Schmidt
ISD2016_SolutionL_Wolfgang_SchmidtISD2016_SolutionL_Wolfgang_Schmidt
ISD2016_SolutionL_Wolfgang_SchmidtInfoSocietyDays
 
The audit factory einrichtung einer internen revision
The audit factory einrichtung einer internen revisionThe audit factory einrichtung einer internen revision
The audit factory einrichtung einer internen revisionDaniel Hertneck
 
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...NETWAYS
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 
KPIs vs. UX – ist User Experience messbar?
KPIs vs. UX – ist User Experience messbar?KPIs vs. UX – ist User Experience messbar?
KPIs vs. UX – ist User Experience messbar?Matthias Feit
 
Der fachkreis dcc digital controlling competence des internationalen controll...
Der fachkreis dcc digital controlling competence des internationalen controll...Der fachkreis dcc digital controlling competence des internationalen controll...
Der fachkreis dcc digital controlling competence des internationalen controll...Brigitte73
 

Similaire à Revisoren und hacker (20)

Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiNavigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
 
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus ThielOSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
 
Compliance needs transparency
Compliance needs transparencyCompliance needs transparency
Compliance needs transparency
 
Process Mining @
Process Mining @Process Mining @
Process Mining @
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
 
CCPP
CCPPCCPP
CCPP
 
Globals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business AnalyticsGlobals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business Analytics
 
Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Agile Methoden als Diagnose-Tool für den sicherheitskritischen BereichAgile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
 
dox42day Paul Zieger - Opti-Q
dox42day Paul Zieger - Opti-Qdox42day Paul Zieger - Opti-Q
dox42day Paul Zieger - Opti-Q
 
We Do Web Sphere Deutsch Webcast On24
We Do Web Sphere Deutsch Webcast On24We Do Web Sphere Deutsch Webcast On24
We Do Web Sphere Deutsch Webcast On24
 
Der Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC BetriebDer Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC Betrieb
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
 
ISD2016_SolutionL_Wolfgang_Schmidt
ISD2016_SolutionL_Wolfgang_SchmidtISD2016_SolutionL_Wolfgang_Schmidt
ISD2016_SolutionL_Wolfgang_Schmidt
 
The audit factory einrichtung einer internen revision
The audit factory einrichtung einer internen revisionThe audit factory einrichtung einer internen revision
The audit factory einrichtung einer internen revision
 
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
 
KPIs vs. UX – ist User Experience messbar?
KPIs vs. UX – ist User Experience messbar?KPIs vs. UX – ist User Experience messbar?
KPIs vs. UX – ist User Experience messbar?
 
KPIs vs. UX - Ist User Experience messbar?
KPIs vs. UX - Ist User Experience messbar?KPIs vs. UX - Ist User Experience messbar?
KPIs vs. UX - Ist User Experience messbar?
 
Der fachkreis dcc digital controlling competence des internationalen controll...
Der fachkreis dcc digital controlling competence des internationalen controll...Der fachkreis dcc digital controlling competence des internationalen controll...
Der fachkreis dcc digital controlling competence des internationalen controll...
 

Plus de Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutDigicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutDigicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xDigicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinDigicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattDigicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogDigicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnDigicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingDigicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessDigicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceDigicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudDigicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slidesDigicomp Academy AG
 

Plus de Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

Revisoren und hacker

  • 2. Zur Person Umberto Annino  social networks, XING, Linkedin PwC, Risk Assurance FS, OneSecurity Information Security Society Switzerland ISSS Vizepräsident, Kassier www.isss.ch ISACA Switzerland Chapter Certification Coordinator www.isaca.ch Dozent und Lehrmittelautor für Informationssicherheit, verschiedene Schulen Revision & Hacking • PwC 3 Umberto Annino, Juni 2012
  • 3. Agenda 1. IT-Revision: verschiedene Arten und Prüftiefen für IT und IT-Systeme 2. Regulatorische und gesetzliche Vorgaben 3. Hacker-Risiken 4. Verantwortung und Haftung der betroffenen Parteien PwC
  • 4. IT-Revision: Ordentliche Revision Ordentliche Revision (Full Audit, OR 728) bei Publikumsgesellschaften zwingend; Nicht-öffentliche AG, GmbH, Stiftungen auch, wenn eine der Bedingungen erfüllt ist: >=20 MCHF Bilanzsumme >= 250 Vollzeitstellen >=40 MCHF Umsatz Vorgaben: • Zugelassene Revisionsexperten oder staatlich beaufsichtigtes Revisionsunternehmen  Basis ISO 2700x, COBIT IT-Governance Framework • Weitgehende und umfassende Prüfung • Anzeige- und Informationspflichten bei Verstössen gegen Gesetz, Statuten, Organisationsreglement oder bei Überschuldung (SEC Guidelines) • Umfassender Revisionsbericht an VR und zusamenfassender an GV PwC
  • 5. IT-Revision: Eingeschränkte Revision Eingeschränkte Revision (Review, OR 729), prinzipiell wenn Bedingungen für ordentliche Revision nicht erreicht werden sowie: keine Revisionspflicht für Kleinstunternehmen Vorgaben: • Zugelassener Revisor • Weniger weit gehende Prüfung, auf bestimmte Prüfungshandlungen beschränkt • Anzeigepflicht bei Überschuldung • Zusammenfassender Revisionsbericht an GV • Keine Rotationspflicht des leitenden Revisors PwC
  • 6. Erwartungshaltung und Realität • Wirtschaftsprüfer übernimmt volle Verantwortung für die geprüften Jahresrechnungen • “Clean Opinion” heisst, dass der Wirtschaftsprüfer eine 100-prozentige Prüfung vorgenommen hat • Der Wirtschaftsprüfer warnt frühzeitig, dass die Gesellschaft in den Konkurs läuft • Der Wirtschaftsprüfer entdeckt mögliche Unstimmigkeiten in der Jahresrechnung  Diese Erwartungen können so nicht immer erfüllt werden • Primäre Verantwortung liegt klar beim Management und VR • Wirtschaftsprüfer kann keine “Konkursfreiheit” sichern, nur auf wesentliche Risiken hinweisen • Stichpropen und “professional scepticism” um Fraud zu entdecken PwC
  • 7. Rahmenbedingungen, v.a. für ordentliche und eingeschränkte Revision • Fokus auf Jahresrechnung (Bilanz und Erfolgsrechnung; Jahresabschluss)  “Finanzsysteme” und wesentliche Wertschöpfungskette stehen im Fokus • Internes Kontrollsystem (Existenz und Wirksamkeit) und Risikobeurteilung • Wesentlichkeit der Feststellung (Finding)  Relevanz bezüglich Unvollständigkeit, Fehler (Fraud und unbewusste Fehler), Gesetzmässigkeit • Unabhängigkeit (gilt für Revisionsgesellschaft und alle Mitarbeitende!) • Keine “Selbstprüfung” • Keine Entscheide für den Kunden (management decisions) • Keine engen Beziehungen zum Kunden, keine Beteiligungen/wirtschaftliche Abhängigkeit, nicht marktkonforme PwC Bedingungen (z.B. Spezialrabatte)
  • 8. Vom Geschäftsprozess zur IT Wesentliches Konto (Debitoren)  Geschäftsprozess (Inkasso)  Risiko (Abgleich der Zahlung mit Warenlieferung)  Kontrollen ELC: Autorisierungsweisung BPC: 4-Augen Prinzip ITGC: Vollständigkeitskontrolle Revision & Hacking • PwC 10 Umberto Annino, Juni 2012
  • 9. Revisionsprinzipien 1. Wirtschaftlichkeit: Nutzen der Revision 2. Wesentlichkeit (Materiality): Dringlichkeit und Wesentlichkeit für die Unternehmensführung 3. Sorgfalt: Objektivität, Vollständigkeit, Urteilsfähigkeit PwC
  • 10. COSO Würfel Ein IKS besteht aus den Kontrollkomponenten: • Kontrollumfeld (… Kultur) • Risikobeurteilungsprozess des Unternehmens • Kontrollaktivitäten • Rechnungslegungsrelevante Informationssysteme, damit verbundene Geschäftsprozesse und Kommunikation • Überwachung der Kontrollen PwC
  • 11. Was und wie wird geprüft ? • IT-Umgebung – HW, SW, Netzwerke, Schnittstellen • IKS / Risikomanagement • IT-Prozesse, IT-Governance; business alignment • Kontrollen (aka Massnahmen, Sicherheitsmassnahmen) • SOLL und IST; Planung, Konzepte, Projekte, Testverfahren, Betrieb; Projektbegleitende Revision z.B . Bei Migrationsprojekten in Banken vorgeschrieben IT General Controls: ITGC Logical Access Control System Development Lifecycle SDLC Change Management Datacenter Physical Security Backup Controls Computer Operation Controls PwC
  • 12. Freiwillige Prüfungen ISAE 3402 Controls Report / SSAE 16 Dienstleister, Prüfbericht über Kontrollsysteme, freiwillig Typ1: Design der Kontrollen, Typ2: Umsetzung/Effektivität der Kontrollen ISO 27001 (z.B. Zertifizierung, auch „nur“ ISMS) Jegliche Unternehmen, Gewährleistung der Informationssicherheit, freiwillig COBIT Jegliche Unternehmen, Werkzeug zur Steuerung der IT (Aufbau, Ablauf) FIPS / EAL, Common Criteria Produkt- und Funktionsstandards „Security“ Revision & Hacking • PwC 14 Umberto Annino, Juni 2012
  • 13. Limited Assurance – ISAE 3000 Beispiel On the basis of our procedures aimed at obtaining limited assurance, nothing has come to our attention that causes us to believe that the information in the Report does not comply with the above mentioned reporting criteria. Kontrollprozeduren, Umfang und Bedingungen werden offengelegt im Bericht. Full text: http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperforma ncedata/pages/assurancereportfromernstyoungas.aspx Revision & Hacking • PwC 15 Umberto Annino, Juni 2012
  • 14. Reasonable Assurance – ISAE 3000 Beispiel We believe that our procedures provide us with an appropriate basis to conclude with a reasonable level of assurance for Statoil's HSEaccounting. Kontrollprozeduren, Umfang und Bedingungen werden offengelegt im Bericht. Full text: http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperforma ncedata/pages/assurancereportfromernstyoungas.aspx Revision & Hacking • PwC 15 Umberto Annino, Juni 2012
  • 15. Prüfungsdurchführung 1. Prüfungsplanung (Termine, Ansprechpersonen, Schwerpunkte) 2. Vorerhebung, z.B. Interviews, “footprinting” 3. Sammlung und Auswertung von Informationen (evidence collection, Stichprobenauswertung, statistische Analysen) 4. Berichterstattung und Berichtabstimmung 5. Review des Audit (Nachvollziehbarkeit!) PwC
  • 16. Beispiel: Stress Points der Kommunikationssicherheit Basic Vulnerabilities – Drei Kategorien 1. Interception (Abhören, Abstrahlung), auch Manipulation 2. Availability - Verfügbarkeit, bei stark genutzten Netzwerkverbindungen; global 3. Access/entry points (Schnittstellen); any device, from anywhere Revision & Hacking • PwC 17 Umberto Annino, Juni 2012
  • 17. Controls – Kontrollen und Massnahmen Interception Access Control und physische Sicherheit im Bereich Datacenter, Netzwerk- Systemen und Büroräumlichkeiten  Zunehmende Verbreitung von Wireless-Technologien macht physische Massnahmen weniger effektiv Effektivste Massnahme: Verschlüsselung Applikatorisch oder auf Netzwerk-Ebene (IPsec, TLS) Revision & Hacking • PwC 18 Umberto Annino, Juni 2012
  • 18. Controls – Kontrollen und Massnahmen Availability Angemessene Netzwerkarchitektur Monitoring und Überwachung Redundanz und automatisiertes Routing NOC Network Operation Center 24/7 Revision & Hacking • PwC 19 Umberto Annino, Juni 2012
  • 19. Controls – Kontrollen und Massnahmen Access Points Single Point of Entry – Flaschenhals-Prinzip  Zunehmend torpediert durch BYOD bring your own device sowie genereller Trend zur “Aufweichung” der Netzwerk-Grenzen Access Control Lists Traffic Shaping Deep Packet Inspection; Antimalware, Content Protection, Leakage Protection and Prevention Härtung der Systeme Revision & Hacking • PwC 20 Umberto Annino, Juni 2012
  • 20. Beispielhafte Feststellungen Patchlevel nicht aktuell Prozesse Bewilligung und Durchführung von Änderungen nicht nachvollziehbar Account-Profil Einstellungen zu schwach oder nicht den Benutzern zugeordnet Zugriffsrechte Benutzergruppe mit Administrationsrechten ist zu gross Zugriffsrechte von technischen Benutzer für Applikationszugriffe zu wenig eingeschränkt Standard-Benutzer und -Passwörter vorhanden Logging nicht aktiviert oder entspricht nicht den Anforderungen Konfiguration Hardening Verwendung unverschlüsselter Verbindungen zwischen Clients und Datenbank Unverschlüsselte Kanäle nicht deaktiviert Dokumentation Dokumentation nicht vorhanden (Konfigurationsstandard, wiederkehrende Prozesse) Revision & Hacking • PwC 21 Umberto Annino, Juni 2012
  • 21. Gesetze und Regulatorien - Finanzinstitute Bundesgesetz und Verordnung über Banken und Sparkassen • FINMA ist weisungsberechtigt (z.B. Verschärfung von Kontrollen) • Organisation muss “wesentliche” Risiken erfassen, begrenzen und überwachen, inkl. Internes Kontrollsystem (IKS) • Basis für Urteil der Prüfgesellschaft zur Geschäftstätigkeit • Ordnungsgemässe Führung und Aufbewahrung der Geschäftsbücher (Archivierung) • Fokus auf “Finanzsysteme” FINMA Bestimmungen • Rundschreiben 2008/21: Operationelle Risiken Banken (Eigenmittel) • Rundschreiben 2008/7: Auslagerung von Geschäftsbereichen (Outsourcing) PwC
  • 22. Haftpflicht, Sorgfaltspflicht – Alle Obligationenrecht, Haftung – Voraussetzungen: • Schaden (finanziell, psychisch etc.) • Rechtswidrigkeit • Adäquater Kausalzusammenhang, Kausalität (Verhältnis von Ursache und Wirkung) • Verschulden (schuldhafte Verursachung durch Schädiger) Sorgfaltspflicht bei der Erfüllung von Leistungen aus Obligationen (Verträgen)  Treu und Glaube, Umstände und Wissen sowie Können (Noch) Wenig Klagen bezüglich Datenverlust, ICT-Ausfällen etc. durch “Endanwender, Benutzer und Kunden”  pain-level low PwC
  • 23. Strafrechtliche Bestimmungen Unbefugte Datenbeschaffung Art. 143 StGB 1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. 2 Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. PwC
  • 24. Strafrechtliche Bestimmungen Unbefugtes Eindringen in ein Datenverarbeitungssystem Art. 143bis StGB 1 Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungs- system eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. 2 Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. PwC
  • 25. Strafrechtliche Bestimmungen Datenbeschädigung Art. 144bis StGB 1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt. 2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitung gibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. PwC
  • 26. Strafrechtliche Bestimmungen Betrügerischer Missbrauch einer Datenverarbeitungsanlage Art. 147 StGB 1Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt oder eine Vermögensverschiebung unmittelbar darnach verdeckt, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. 2Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahren oder Geldstrafe nicht unter 90 Tagessätzen bestraft. 3 Der betrügerische Missbrauch einer Datenverarbeitungsanlage zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. PwC
  • 27. Strafrechtliche Bestimmungen Unbefugtes Beschaffen von Personendaten Art. 179novies StGB Wer unbefugt besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die nicht frei zugänglich sind, aus einer Datensammlung beschafft, wird auf Antrag mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. PwC
  • 28. Hacker-Risiken • APT, Wirtschaftsspionage • Datenklau, Beispiele (Linkedin, SONY, Global Payments “nur 1.5 M DS”) • DoS, z.B. gegen Konkurrenzunternehmen (e-commerce) • Manipulation von Daten • Racheakt – vergrämte (ehemalige) Mitarbeiter • Betrug (Phishing, Scams; Vermögensverschiebung) • Social Engineering (als Mittel) • Phishing, Spearphishing (als Mittel) Status-Quo – inhärentes Risiko durch Sicherheitslage, IKS Wirksamkeit PwC
  • 29. (Heute ist alles) Penetration Testing 1. (Automatisiertes) Monitoring, Inventory Management, Patch Status Monitoring 2. Schwachstellen-Analyse, Vulnerability Assessment (automatisiert) 3. Eindringversuch – penetration testing 4. Ethical Hacking – inkl. Social Engineering (aka CTF) • Scoping: was testen, was nicht; Kommunikation, GO/NO-GO • Einwilligung (schriftlich)  Befugnis für Auftragnehmer • Incident Handling  CERT/CSIRT informieren, ev. Behörden • Haftbarkeit  v.a. für Auftragnehmer; Schaden bei Dritten • Lizenzierungsfragen: eingesetzte Angriffs-Software, SW-Manipulation PwC
  • 30. Verantwortung und Haftung der betroffenen Parteien Anbieter / Service Provider  Sorgfaltspflicht  Vertragliche Leistung  Haftung und Einhaltung von Strafnormen Kunde / Betroffene Person  Informationspflicht, Zumutbare Massnahmen Revisionsunternehmen, VR: Organhaftung  Haftung für Testat-Inhalt, Geschäftsbericht, Aufsicht PwC
  • 31. Versäumnisse Maturität vs. Realität Theorie und die Praxis gesunder Pragmatismus ^= “selektive Sicherheit” ... “noch ein bisschen compliance...” - c’mon. requirements engineering! Misstrauen ggü. Mitarbeitende, false incentives, (falsches) micro management Revision & Hacking • PwC 28 Umberto Annino, Juni 2012
  • 32. Information Security Basics Appoint a CSO - je nach Grösse des Unternehmen mit entsprechender FTE und v.a. (realen) Kompetenzen! Verknüpfen der Information (!) Security Risks mit dem OpRisk  CRO- level Risk-aware business decisions – nicht so einfach in der Praxis (Abwägung Risiko vs. Profit/Gain) Zertifizierung, Maturität etc. ist OK (Referenz, baseline hilft) - aber passieren tut “es” in der Realität  gehen Sie an die Front, reden (!) Sie mit den Leuten, wissen (!) sie was “draussen” abgeht Revision & Hacking • PwC 29 Umberto Annino, Juni 2012
  • 33. Information Security Basics, ff. Sicherheit ist das Komplementärereignis des Risiko. it matters! Nur weil es “jemand” macht, macht er es nicht (unbedingt) besser. Cloud Computing Security. You get what you pay for! But don’t pay too much - know what you pay for! Verbote und Weisungen sind OK, aber wer den Schaden hat... (love yourself. Intrinsische Motivation) Best Practise nicht immer “best match” ! Revision & Hacking • PwC 30 Umberto Annino, Juni 2012 33
  • 34. Zusammenfassung Was kann erkannt werden, was nicht ? • Zusammenspiel zwischen internen Kontrollen und unabhängiger Überprüfung • High-End APT sind schwierig zu entdecken, konsequente und ev. Unwirtschaftliche Durchsetzung der Kontrollen Was kann dagegen unternommen werden ? • Compliance = OK, “reale Sicherheit” = relevant • Einfache und wirksame Massnahmen  80/20  Kultur- und Kommunikation! PwC
  • 35. PwC - Globales Netzwerk von Spezialisten Dienstleistungen Nordamerika EMEA Branchen 37’700 Mitarbeiter 74’600 Mitarbeiter Consulting Detailhandel und Konsumgüter Technologie, Telco und Medien Steuer- und 161’800 Mitarbeiter in 154 Ländern Life Science and Rechtsberatung Über 2’900 Sicherheitsspezialisten Gesundheitswesen Bank und Versicherungen Lateinamerika APAC Energie und Wirtschaftsprüfung Versorgung 10’400 Mitarbeiter 39’100 Mitarbeiter Revisoren und Hacker • PwC 35 Umberto Annino, Juni 2012
  • 36. Vielen Dank PricewaterhouseCoopers AG Birchstrasse 160 Postfach, 8050 Zürich Direct: +41 58 792 20 91 Mobile: +41 79 679 00 96 umberto.annino@ch.pwc.com Umberto Annino Manager OneSecurity This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers AG, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. © 2011 PwC. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers AG which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.