Revisoren und hacker

Revisoren und Hacker

Umberto Annino, Juni 2012

Wirtschaftsprüfung

Zur Person

Umberto Annino social networks, XING, Linkedin

PwC, Risk Assurance FS, OneSecurity

Information Security Society Switzerland ISSS

PwC

Information Security Society Switzerland ISSS

Vizepräsident, Kassier www.isss.ch

ISACA Switzerland Chapter

Certification Coordinator www.isaca.ch

Dozent und Lehrmittelautor für Informationssicherheit,verschiedene Schulen

3Revision & Hacking •


Agenda

1. IT-Revision: verschiedene Arten und Prüftiefen für ITund IT-Systeme

2. Regulatorische und gesetzliche Vorgaben

PwC

2. Regulatorische und gesetzliche Vorgaben

3. Hacker-Risiken

4. Verantwortung und Haftung der betroffenen Parteien

IT-Revision: Ordentliche Revision

Ordentliche Revision (Full Audit, OR 728) bei Publikumsgesellschaftenzwingend;

Nicht-öffentliche AG, GmbH, Stiftungen auch, wenn eine derBedingungen erfüllt ist:

>=20 MCHF Bilanzsumme >= 250 Vollzeitstellen

PwC

>=20 MCHF Bilanzsumme >= 250 Vollzeitstellen

>=40 MCHF Umsatz

Vorgaben:

• Zugelassene Revisionsexperten oder staatlich beaufsichtigtesRevisionsunternehmen Basis ISO 2700x, COBIT IT-Governance Framework

• Weitgehende und umfassende Prüfung

• Anzeige- und Informationspflichten bei Verstössen gegen Gesetz,Statuten, Organisationsreglement oder bei Überschuldung (SEC Guidelines)

• Umfassender Revisionsbericht an VR und zusamenfassender an GV

IT-Revision: Eingeschränkte Revision

Eingeschränkte Revision (Review, OR 729),prinzipiell wenn Bedingungen für ordentliche Revision nicht erreicht werdensowie: keine Revisionspflicht für Kleinstunternehmen

Vorgaben:

PwC

Vorgaben:

• Zugelassener Revisor

• Weniger weit gehende Prüfung, auf bestimmte Prüfungshandlungenbeschränkt

• Anzeigepflicht bei Überschuldung

• Zusammenfassender Revisionsbericht an GV

• Keine Rotationspflicht des leitenden Revisors

Erwartungshaltung und Realität

• Wirtschaftsprüfer übernimmt volle Verantwortung für die geprüftenJahresrechnungen

• “Clean Opinion” heisst, dass der Wirtschaftsprüfer eine 100-prozentigePrüfung vorgenommen hat

• Der Wirtschaftsprüfer warnt frühzeitig, dass die Gesellschaft in den

PwC

• Der Wirtschaftsprüfer warnt frühzeitig, dass die Gesellschaft in denKonkurs läuft

• Der Wirtschaftsprüfer entdeckt mögliche Unstimmigkeiten in derJahresrechnung

Diese Erwartungen können so nicht immer erfüllt werden

• Primäre Verantwortung liegt klar beim Management und VR

• Wirtschaftsprüfer kann keine “Konkursfreiheit” sichern, nur aufwesentliche Risiken hinweisen

• Stichpropen und “professional scepticism” um Fraud zu entdecken

Rahmenbedingungen, v.a. für ordentliche undeingeschränkte Revision

• Fokus auf Jahresrechnung (Bilanz und Erfolgsrechnung;Jahresabschluss)

“Finanzsysteme” und wesentliche Wertschöpfungskette stehen im Fokus

• Internes Kontrollsystem (Existenz und Wirksamkeit) und Risikobeurteilung

• Wesentlichkeit der Feststellung (Finding)

PwC

• Wesentlichkeit der Feststellung (Finding) Relevanz bezüglich Unvollständigkeit, Fehler (Fraud und unbewussteFehler), Gesetzmässigkeit

• Unabhängigkeit (gilt für Revisionsgesellschaft und alle Mitarbeitende!)

• Keine “Selbstprüfung”

• Keine Entscheide für den Kunden (management decisions)

• Keine engen Beziehungen zum Kunden, keineBeteiligungen/wirtschaftliche Abhängigkeit, nicht marktkonformeBedingungen (z.B. Spezialrabatte)

Vom Geschäftsprozess zur IT

Wesentliches Konto (Debitoren)

Geschäftsprozess (Inkasso)

Risiko (Abgleich der Zahlung mit Warenlieferung)

PwC

Kontrollen

ELC: Autorisierungsweisung

BPC: 4-Augen Prinzip

ITGC: Vollständigkeitskontrolle



Revisionsprinzipien

1. Wirtschaftlichkeit: Nutzen der Revision

2. Wesentlichkeit (Materiality): Dringlichkeit und

PwC

2. Wesentlichkeit (Materiality): Dringlichkeit undWesentlichkeit für die Unternehmensführung

3. Sorgfalt: Objektivität, Vollständigkeit, Urteilsfähigkeit

COSO Würfel

Ein IKS besteht aus denKontrollkomponenten:

• Kontrollumfeld (… Kultur)

• Risikobeurteilungsprozess des

PwC

Unternehmens

• Kontrollaktivitäten

• RechnungslegungsrelevanteInformationssysteme, damitverbundene Geschäftsprozesse undKommunikation

• Überwachung der Kontrollen

Was und wie wird geprüft ?

• IT-Umgebung – HW, SW, Netzwerke, Schnittstellen

• IKS / Risikomanagement

• IT-Prozesse, IT-Governance; business alignment

• Kontrollen (aka Massnahmen, Sicherheitsmassnahmen)

PwC

• SOLL und IST; Planung, Konzepte, Projekte, Testverfahren,Betrieb;Projektbegleitende Revision z.B . Bei Migrationsprojekten in Bankenvorgeschrieben

IT General Controls: ITGC

Logical Access Control System Development Lifecycle SDLC

Change Management Datacenter Physical Security

Backup Controls Computer Operation Controls

Freiwillige Prüfungen

ISAE 3402 Controls Report / SSAE 16

Dienstleister, Prüfbericht über Kontrollsysteme, freiwillig

Typ1: Design der Kontrollen, Typ2: Umsetzung/Effektivität der Kontrollen

PwC

ISO 27001 (z.B. Zertifizierung, auch „nur“ ISMS)

Jegliche Unternehmen, Gewährleistung der Informationssicherheit, freiwillig

COBIT

Jegliche Unternehmen, Werkzeug zur Steuerung der IT (Aufbau, Ablauf)

FIPS / EAL, Common Criteria

Produkt- und Funktionsstandards „Security“



Limited Assurance – ISAE 3000 Beispiel

On the basis of our procedures aimed at obtaining limitedassurance, nothing has come to our attention that causes usto believe that the information in the Report does not comply withthe above mentioned reporting criteria.

PwC

Kontrollprozeduren, Umfang und Bedingungen werdenoffengelegt im Bericht.

Full text:

http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperformancedata/pages/assurancereportfromernstyoungas.aspx



Reasonable Assurance – ISAE 3000 Beispiel

We believe that our procedures provide us with anappropriate basis to conclude with a reasonable level ofassurance for Statoil's HSEaccounting.

PwC

Kontrollprozeduren, Umfang und Bedingungen werdenoffengelegt im Bericht.

Full text:

http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperformancedata/pages/assurancereportfromernstyoungas.aspx



Prüfungsdurchführung

1. Prüfungsplanung (Termine, Ansprechpersonen,Schwerpunkte)

2. Vorerhebung, z.B. Interviews, “footprinting”

PwC

2. Vorerhebung, z.B. Interviews, “footprinting”

3. Sammlung und Auswertung von Informationen(evidence collection, Stichprobenauswertung,statistische Analysen)

4. Berichterstattung und Berichtabstimmung

5. Review des Audit (Nachvollziehbarkeit!)

Beispiel:Stress Points der Kommunikationssicherheit

Basic Vulnerabilities – Drei Kategorien

1. Interception (Abhören, Abstrahlung), auch Manipulation

PwC

2. Availability - Verfügbarkeit, bei stark genutzten Netzwerkverbindungen;global

3. Access/entry points (Schnittstellen); any device, from anywhere



Controls – Kontrollen und Massnahmen

Interception

Access Control und physische Sicherheit im Bereich Datacenter, Netzwerk-Systemen und Büroräumlichkeiten

Zunehmende Verbreitung von Wireless-Technologien macht physischeMassnahmen weniger effektiv

PwC

Massnahmen weniger effektiv

Effektivste Massnahme: Verschlüsselung

Applikatorisch oder auf Netzwerk-Ebene (IPsec, TLS)




Availability

Angemessene Netzwerkarchitektur

Monitoring und Überwachung

Redundanz und automatisiertes Routing

PwC

NOC Network Operation Center 24/7




Access Points

Single Point of Entry – Flaschenhals-Prinzip

Zunehmend torpediert durch BYOD bring your own device sowie generellerTrend zur “Aufweichung” der Netzwerk-Grenzen

Access Control Lists

PwC

Access Control Lists

Traffic Shaping

Deep Packet Inspection; Antimalware, Content Protection,Leakage Protection and Prevention

Härtung der Systeme



Beispielhafte Feststellungen

Patchlevel nicht aktuell

Account-Profil Einstellungen zu schwach oder nicht den Benutzern zugeordnet

Benutzergruppe mit Administrationsrechten ist zu gross

Prozesse

Zugriffsrechte

Bewilligung und Durchführung von Änderungen nicht nachvollziehbar

PwC

Verwendung unverschlüsselter Verbindungen zwischen Clients und Datenbank

Unverschlüsselte Kanäle nicht deaktiviert

Benutzergruppe mit Administrationsrechten ist zu grossZugriffsrechte

Standard-Benutzer und -Passwörter vorhanden

Zugriffsrechte von technischen Benutzer für Applikationszugriffe zu wenig eingeschränkt

Dokumentation nicht vorhanden (Konfigurationsstandard, wiederkehrende Prozesse)

Logging nicht aktiviert oder entspricht nicht den AnforderungenKonfiguration

Hardening

Dokumentation



Gesetze und Regulatorien - Finanzinstitute

Bundesgesetz und Verordnung über Banken und Sparkassen

• FINMA ist weisungsberechtigt (z.B. Verschärfung von Kontrollen)

• Organisation muss “wesentliche” Risiken erfassen, begrenzen undüberwachen, inkl. Internes Kontrollsystem (IKS)

• Basis für Urteil der Prüfgesellschaft zur Geschäftstätigkeit

PwC

• Basis für Urteil der Prüfgesellschaft zur Geschäftstätigkeit

• Ordnungsgemässe Führung und Aufbewahrung der Geschäftsbücher(Archivierung)

• Fokus auf “Finanzsysteme”

FINMA Bestimmungen

• Rundschreiben 2008/21: Operationelle Risiken Banken (Eigenmittel)

• Rundschreiben 2008/7: Auslagerung von Geschäftsbereichen(Outsourcing)

Haftpflicht, Sorgfaltspflicht – Alle

Obligationenrecht, Haftung – Voraussetzungen:

• Schaden (finanziell, psychisch etc.)

• Rechtswidrigkeit

• Adäquater Kausalzusammenhang, Kausalität (Verhältnis von Ursache undWirkung)

PwC

Wirkung)

• Verschulden (schuldhafte Verursachung durch Schädiger)

Sorgfaltspflicht bei der Erfüllung von Leistungen aus Obligationen(Verträgen) Treu und Glaube, Umstände und Wissen sowie Können

(Noch) Wenig Klagen bezüglich Datenverlust, ICT-Ausfällen etc. durch“Endanwender, Benutzer und Kunden” pain-level low

Strafrechtliche Bestimmungen

Unbefugte Datenbeschaffung

Art. 143 StGB

1 Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sichoder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder

PwC

oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oderübermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinenunbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe biszu fünf Jahren oder Geldstrafe bestraft.

2 Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oderFamiliengenossen wird nur auf Antrag verfolgt.


Unbefugtes Eindringen in ein Datenverarbeitungssystem

Art. 143bis StGB

1 Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in einfremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungs-

PwC

fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungs-system eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oderGeldstrafe bestraft.

2 Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmenmuss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendetwerden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe biszu drei Jahren oder Geldstrafe bestraft.


Datenbeschädigung

Art. 144bis StGB

1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oderübermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag,

PwC

übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag,mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einemJahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt.

2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt,anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitunggibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünfJahren erkannt werden.


Betrügerischer Missbrauch einerDatenverarbeitungsanlage

Art. 147 StGB

1 Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durchunrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer

PwC

unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarerWeise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oderDatenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebungzum Schaden eines andern herbeiführt oder eine Vermögensverschiebungunmittelbar darnach verdeckt, wird mit Freiheitsstrafe bis zu fünf Jahren oderGeldstrafe bestraft.

2 Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahrenoder Geldstrafe nicht unter 90 Tagessätzen bestraft.

3 Der betrügerische Missbrauch einer Datenverarbeitungsanlage zum Nachteil eines Angehörigenoder Familiengenossen wird nur auf Antrag verfolgt.


Unbefugtes Beschaffen von Personendaten

Art. 179novies StGB

Wer unbefugt besonders schützenswerte Personendaten oder Persönlichkeitsprofile, dienicht frei zugänglich sind, aus einer Datensammlung beschafft, wird auf Antrag mit

PwC

nicht frei zugänglich sind, aus einer Datensammlung beschafft, wird auf Antrag mitFreiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Hacker-Risiken

• APT, Wirtschaftsspionage

• Datenklau, Beispiele (Linkedin, SONY, Global Payments “nur 1.5 M DS”)

• DoS, z.B. gegen Konkurrenzunternehmen (e-commerce)

• Manipulation von Daten

PwC

• Racheakt – vergrämte (ehemalige) Mitarbeiter

• Betrug (Phishing, Scams; Vermögensverschiebung)

• Social Engineering (als Mittel)

• Phishing, Spearphishing (als Mittel)

Status-Quo – inhärentes Risiko durch Sicherheitslage, IKS Wirksamkeit

(Heute ist alles) Penetration Testing

1. (Automatisiertes) Monitoring, Inventory Management, Patch StatusMonitoring

2. Schwachstellen-Analyse, Vulnerability Assessment (automatisiert)

3. Eindringversuch – penetration testing

4. Ethical Hacking – inkl. Social Engineering (aka CTF)

PwC

4. Ethical Hacking – inkl. Social Engineering (aka CTF)

• Scoping: was testen, was nicht; Kommunikation, GO/NO-GO

• Einwilligung (schriftlich) Befugnis für Auftragnehmer

• Incident Handling CERT/CSIRT informieren, ev. Behörden

• Haftbarkeit v.a. für Auftragnehmer; Schaden bei Dritten

• Lizenzierungsfragen: eingesetzte Angriffs-Software, SW-Manipulation

Verantwortung und Haftung der betroffenen Parteien

Anbieter / Service Provider

Sorgfaltspflicht

Vertragliche Leistung

Haftung und Einhaltung von Strafnormen

PwC

Kunde / Betroffene Person

Informationspflicht, Zumutbare Massnahmen

Revisionsunternehmen, VR: Organhaftung

Haftung für Testat-Inhalt, Geschäftsbericht, Aufsicht

Versäumnisse

Maturität vs. Realität

Theorie und die Praxis

gesunder Pragmatismus ^= “selektive Sicherheit”

PwC

gesunder Pragmatismus ^= “selektive Sicherheit”

... “noch ein bisschen compliance...” - c’mon. requirements engineering!

Misstrauen ggü. Mitarbeitende,false incentives, (falsches) micro management



Information Security Basics

Appoint a CSO - je nach Grösse des Unternehmen mit entsprechender FTEund v.a. (realen) Kompetenzen!

Verknüpfen der Information (!) Security Risks mit dem OpRisk CRO-level

PwC

Risk-aware business decisions – nicht so einfach in der Praxis (AbwägungRisiko vs. Profit/Gain)

Zertifizierung, Maturität etc. ist OK (Referenz, baseline hilft) - aber passierentut “es” in der Realität gehen Sie an die Front, reden (!) Sie mit den Leuten, wissen (!) sie was“draussen” abgeht



Information Security Basics, ff.

Sicherheit ist das Komplementärereignis des Risiko. it matters!

Nur weil es “jemand” macht, macht er es nicht (unbedingt) besser. CloudComputing Security.

PwC

You get what you pay for!But don’t pay too much - know what you pay for!

Verbote und Weisungen sind OK, aber wer den Schaden hat... (love yourself.Intrinsische Motivation)

Best Practise nicht immer “best match” !

3330

Revision & Hacking •


Zusammenfassung

Was kann erkannt werden, was nicht ?

• Zusammenspiel zwischen internen Kontrollen und unabhängigerÜberprüfung

• High-End APT sind schwierig zu entdecken, konsequente und ev.Unwirtschaftliche Durchsetzung der Kontrollen

PwC

Unwirtschaftliche Durchsetzung der Kontrollen

Was kann dagegen unternommen werden ?

• Compliance = OK, “reale Sicherheit” = relevant

• Einfache und wirksame Massnahmen 80/20

Kultur- und Kommunikation!

PwC - Globales Netzwerk von Spezialisten

Branchen

Detailhandel undKonsumgüter

Technologie, Telcound Medien

Dienstleistungen

Consulting

Nordamerika

37’700 Mitarbeiter

EMEA


PwC

Bank undVersicherungen

Energie undVersorgung

Life Science andGesundheitswesen

161’800 Mitarbeiter in 154 LändernÜber 2’900 Sicherheitsspezialisten

Steuer- undRechtsberatung

WirtschaftsprüfungLateinamerika


APAC


35Revisoren und Hacker •


Vielen Dank

This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publicationwithout obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, tothe extent permitted by law, PricewaterhouseCoopers AG, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you oranyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it.

© 2011 PwC. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers AG which is a member firm of PricewaterhouseCoopers International Limited, each member firm of whichis a separate legal entity.

Umberto AnninoManager OneSecurity

PricewaterhouseCoopers AGBirchstrasse 160Postfach, 8050 Zürich

Direct: +41 58 792 20 91

Mobile: +41 79 679 00 96

[email protected]

Date post:	20-Jun-2015
Category:	Technology
Upload:	digicomp-academy-ag
View:	520 times
Download:	0 times

Revisoren und hacker

Technology