Wege zum Wachstum - WKO.at · Wissensaneignung über den Markt, die Struktur und Kunden des Zielunternehmens via Insider, öffentlich verfügbare Kanäle (Webseiten, Soziale Netzwerke

1©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.

CYBER CRIME

WKO / GRAZ

Eine reale Bedrohung für jedes Unternehmen

09. MAI 2017


Vorstellung Georg Beham

Georg Beham arbeitet seit 1989 in der IT-Branche

und hat einen Master Abschluss in „Sichere

Informationssysteme“. Er ist Geschäftsführender

Partner bei Grant Thornton und Herausgeber des

Buches „Datenschutz-Audit“ zur DSGVO.

Georg Beham und sein Team unterstützen Kunden

beim Aufbau von Managementsystemen für

Informationssicherheit und Datenschutz.

Des Weiteren schreibt Georg Sachverständigen-

Gutachten zu computerforensischen

Untersuchungen wie Datendiebstahl und

Hackerangriffen.

Georg Beham ist Gerichtssachverständiger für

IT-Forensik, Datenschutz und IT-Sicherheit, Lektor an

den Fachhochschulen Hagenberg und Burgenland,

an der Donau Universität Krems und der Universität

Liechtenstein.

Georg Beham ist Lead Auditor der Österreichischen

Computergesellschaft für

Informationssicherheitsmanagement - ISO 27001.

Publikationen als Mit-Autor:

Publikationen als Herausgeber und Autor:


Unser Netzwerk

Grant Thornton Präsenz

• 142 Länder

• 742 Offices

• 47.000 Mitarbeiter

• 4,5 Mrd. EUR Umsatz

Grant Thornton ist weltweit das sechstgrößte Netzwerk von Wirtschaftsprüfungsgesellschaften.

Wir betreuen Unternehmen bei allen grenzüberschreitenden Aktivitäten und Transaktionen


Was wir tun

Transaction Advisory Services

• Valuation

• Transaction Support

• Mergers & Acquisition

• Recovery & Reorganisation

• Debt Advisory

• Trustee & Competition Service

Tax

• Unternehmenssteuern

• Internationale Besteuerung

• Umsatzsteuer

• Global Mobility Services

• Unternehmensnachfolge

• Transaction Tax

• Privatstiftungen

• Verrechnungspreise

• Gruppenbesteuerung

• Integrierte Beratung

Business Risk Services

• Compliance Management

• Risk Management

• Corporate Governance

• Forensic & Investigations

• Data Analytics Services

• Expert Witness Services

• Internal Audit / Internal

Controls

• Corporate Intelligence

(Business Partner

Management)

• Sustainability

Outsourcing

• Rechnungswesen

• Finanzbuchhaltung

• Lohn- / Gehaltsabrechnung

• Einkommensteuer

• Personaladministration

• Controlling / Wirtschaftsberatung

Audit

• Jahres- und Konzernabschlussprüfungen

• Prüferische Durchsichten (Review), Sonderprüfungen

• Jahres- und Konzernabschlusserstellungen

• Rechnungslegungsbezogene Beratung (UGB und IFRS)

• Prüfungsnahe und Enforcement Beratung

IT Advisory

• IT Governance

• Strategy and Alignment

• Digitalization

• Productivity

• Cyber Security

• IT Audit


CRIME…….CYBER CRIME


Das traditionelle Verbrechen


Das Verbrechen ist im Umbruch

1) The Cost of Cyber

Crime. Cabinet Office.

UK. 2014

2)http://www.national

crimeagency.gov.uk/crim

e-threats/drugs

am 28.10.2015

“37 Mrd EUR:

Estimated cost of

Cyber Crime in the

UK.1

Whereas the illegal

drug trade is worth

just 13 Mrd EUR a

year.2”


Botnets und DDoS for Rent

Trend Micro Incorporated. Russian

Underground 101.

Research Paper. 2012.


Hacking for Dummies mit Exploit Kits

Critx Pack (affects Java5,

Java6 and PDF Lib TIFF)

US$ 600 für 3 Monate

Blackhole Kit

2012 most prevalent web threat

• sophos: 28% of detected web

threats

• avg: 91% of detected web

threats

• more than 1,000 customers

• author earned US$ 50,000 per

month


Exploit Kit for Rent


Exploit Kit for Rent


Cyber Risiko

Critical Information

infrastructure breakdown

Cyberattacks

Data fraud or theft

Failure of critical

infrastructure

The Global Risks Report 2017

World Economic Forum


CYBER RISIKO

RANDSOMWARE


Alle sind Betroffen – Ransomware


Alle sind Betroffen – Ransomware

Ergebnis einer deutschen BSI-Umfrage:

Fand in Ihrer Institution innerhalb der letzten sechs

Monate eine Infektion mit Ransomware statt?

Ein Drittel (32%) aller befragten

Institutionen war in den letzten 6

Monaten von Ransomware betroffen –

unabhängig von der

Unternehmensgröße (!)

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/ransomware-umfrage-2016-

04.pdf%3bjsessionid=02A21E0A52B7227FEC41A19AA7D4BB27.2_cid359?__blob=publicationFile&v=4


CYBER RISIKO

FAKE PRESIDENT


Aktuell: Fake President Angriff

Die folgen bei 50 Millionen Euro Schaden:


Ablauf eines Fake President Angriffes:

Wissensaneignung über den Markt, die Struktur und Kunden des Zielunternehmens via Insider, öffentlich verfügbare Kanäle (Webseiten, Soziale Netzwerke wie Xing, Facebook und LinkedIn) oder die Platzierung von Malware meist durch kriminelle Organisationen.

Wissens-aneignung



• Wissen wird zur Identitätsfälschung verwendet (Ausgabe als Geschäftsführer oder vertrauenswürdiger Partner wie Rechtsanwalt, Notar oder Dienstleister).

• Die Kontaktaufnahme mit Mitarbeitern mit Zahlungsbefugnissen (Buchhaltung) erfolgt telefonisch oder per E-Mail.

Kontakt-aufnahme


Wissens-aneignung



Der Betrüger verlangt eine dringende Banküberweisung auf ein Bankkonto im Ausland und verwendet eine Kombination aus vertraulichen Informationen und erfundenen Tatsachen:

• Hohe Dringlichkeit

• Autoritäres Auftreten des vermeintlichen Vorgesetzten

• Erhöhte Geheimhaltung der Transaktion

Aufbau von Druck


Wissens-aneignung



Kontakt-aufnahme



Der Betrüger verlangt eine dringende Banküberweisung auf ein Bankkonto im Ausland und verwendet eine Kombination aus vertraulichen Informationen und erfundenen Tatsachen:

• Hohe Dringlichkeit

• Autoritäres Auftreten des vermeintlichen Vorgesetzten

• Erhöhte Geheimhaltung der Transaktion

Aufbau von Druck

• Der getäuschte Mitarbeiter führt die Überweisung durch.

• Durch den Täter erfolgt der Bezug des Geldes von den verwendeten Konten und das Verwischen der Spuren.

• Die Chance den Täter zu fassen bzw. das Geld zuückzuerhalten, tendiert zu diesem Zeitpunkt gegen Null.

Überweisung


Wissens-aneignung



Kontakt-aufnahme


CYBER RISIKO

BUSINESS MAIL COMPROMISE


Wissensaneignung über das Ziel im Detail:

Viele Informationen, die ein Angreifer für

einen Fake President Angriff benötigt, sind

öffentlich im Internet verfügbar:

• Homepage des Zielunternehmens

• Soziale Netzwerke mit

Filtermöglichkeiten


Wissens-aneignung


Wissensaneignung: ein Beispiel

Projektleiter

Experte mit über 15 Jahren Erfahrung bei Bauprojekten; Projektleiter für Großbauprojekte;


Wissensaneignung: ein Beispiel

1. Profil des Geschäftsführers eines Bau General

Unternehmens auf LinkedIn identifiziert.

2. Projektmanager und Buchhalter des gleichen

Unternehmens ebenfalls öffentlich einsehbar.

3. Informationen über aktuelles Bauprojekte in der

Schweiz auf der Homepage des Unternehmens

auffindbar. Dort werden auch Angaben über einen

Vermittler gemacht.

4. Nach einer Recherche findet man einen deutschen

Baukonzern inklusive dessen Geschäftsführer und

Leiter eines dieser Projekte.

5. Betrugskonzept überlegen und durchführen.

Peter Bauer

Bau GmbH

Geschäftsführer

Projekt Manager

Max Terf

Buchhaltung

Susanne Klaa

Oliver Agent

Vermittler

Agent

Schweiz

Frank Construct

Errichtung GmbH

CTO



CYBER SECURITY

FRAGEN AN DIE

VERANTWORTLICHEN


Cyber Security

Fragen der Unternehmensleitung an die Verantwortlichen

• Haben wir einen Sicherheitsprozess nach ISO 27001?

• Gibt es einen Verantwortlichen für das Thema? hat dieser ausreichend Zeit?

• Führen wir regelmäßig Cyber Security Audits durch?

• Werden unsere Mitarbeiter regelmäßig geschult?

• Sind wir für die Abwehr von CyberAngriffen vorbereitet?

– Checkliste/Schulungen/Monitoring

• Haben wir einen Partner, der uns bei Cyber Angriffen unterstützt?

• Sind wir ausreichen versichert?

Organisatorische Themen


• Sind Daten auf Notebooks o.

Festplatten verschlüsselt?

• Werden unsere Systeme

regelmäßig aktualisiert?

• Verwenden wir durchgängig

Zwei-Faktor-Anmeldung?

• Haben wir moderne Methoden

zur Schadsoftwareerkennung

(mehr als Anti-Virus)?

• Haben wir ein SIEM-System

(zentrales Log-Daten-

Management)?

Technische Themen

Cyber Security

Fragen der Unternehmensleitung an die Verantwortlichen


HYPOTHESE

„MEINE MITARBEITER SIND

ERPRESSBAR“

37


GT CYBER SECURITY

WIR HELFEN IHNEN SICH

SEBST ZU SCHÜTZEN


Cyber SecurityInformationsschutz und Abwehr von Cyber Crime

Unsere Vorgehensweisebereitet ihre Organisation auf IT Security Incidents und Cyberangriffe vor:

PR

EP

AR

E

• Incident Readiness

Assessment

• Incident Prozesse

• Checklisten

PR

OT

EC

T

• Threat

Intelligence

• Security

Operation Center

RE

AC

T

• CERT und Forensik

Team

• Beweismittel-

sicherung

• Incident Recovery

• Incident

Coordination

• Risk Assessment

• Incident Training

• Security Audit

• Penetration Tests

• Security Awareness

IMP

RO

VE

Unsere Unterstützungsleistungen

Wir helfen Ihnen sich nach internationalen

Good Practices auf Cyberangriffe vorzubereiten:

• Wir strukturieren Ihre Aufbauorganisation so,

dass die Bearbeitung eines IT Security Incidents

strukturiert, zielgerichtet und nachhaltig erfolgt.

• Wir helfen Ihnen das Optimum aus den Daten Ihrer

IT Sicherheitssysteme heraus zu holen.

• Wir verbessern die Zusammenarbeit zwischen

IT Betrieb und IT Sicherheit.

• Wir erstellen für Sie Checklisten, um das Handeln in

Krisensituationen zu erleichtern.

• Wir trainieren Ihr Personal mit Planspielen

um im richtigen Zeitpunkt optimal zu reagieren.

Protect & DetectSchutzmaßnahmen betreiben.

ReactStrukturiert auf Vorfälle reagieren.

ImproveKontinuierliche Verbesserungs-

maßnahmen setzen.

PrepareOrganisationales Zusammenwirken

gestalten.

Ihr Mehrwert

• Sie erkennen Cyberangriffe bevor der Schaden entsteht.

• Ihre Mitarbeiter wehren Cyberangriffe professionell ab.

• Sie betreiben Ihre Schutzmaßnahmen integriert.

• Als verlässlicher Geschäftspartner betreiben Sie ihre Prozesse

auch in Krisenzeiten souverän.

Ihre Herausforderungen

• Cyberkriminelle stehlen unser Geld, unsere Ideen und unsere

Kundendaten.

• 100% Sicherheit gibt es im Zeitalter der Digitalisierung nicht.

• Die Daten aus IT Sicherheitssystemen können aufgrund der hohen

Anzahl nicht durch den IT Betrieb bearbeitet und gesichtet werden.

• Es dauert oft Monate um State-of-the-art Cyberangriffe zu erkennen.

• Die Verantwortlichkeiten für die Abwehr von Hackerattacken sind in

Unternehmen ungeklärt.

• Das Verhalten bei IT Notfällen wird nicht geübt.


NEUES GESETZ

DSGVO –

DIE EU DATENSCHUTZ

GRUNDVERORDNUNG


DSGVO –GRUNDLAGEN & NEUERUNGEN

§ DSG2000

§ DSGVO

Die EU-Datenschutz-Grundverordnung tritt am 25. Mai 2018 europaweit

in Kraft und ersetzt damit das Bundesdatenschutzgesetz beinahe

ganzheitlich. Die Neuerungen treffen jedes Unternehmen jeder

Branche und fordern in einer nur kurzen Umsetzungszeit, dass der

Bereich Datenschutz von jedem Unternehmen in seiner Gesamtheit

überprüft und angepasst wird. Neue Prozesse müssen geschaffen

werden. Existierende Muster, Checklisten und Vertragsdokumente sind

zu überarbeiten. Datenschutzgrundsätze wie beispielsweise

„Datenschutz durch Technik (data protection by design)“ und

„datenschutzfreundliche Voreinstellungen (data protection by default)“

treten nun mehr neben die erweiterten Anforderungen einer

„Datenschutz-Folgenabschätzung (data protection impact assessment)“

und fordern angepasste technische und organisatorische

Maßnahmen.


Wesentliche Neuerungen durch die DSGVOMehr Verantwortung für den „Verantwortlichen“ / Wegfall des Datenverarbeitungsregisters

• Stärkere Verantwortung für den „Verantwortlichen“ (vormals Auftraggeber) durch Datenschutz

durch Technikgestaltung (Privacy by Design).

Es sind geeignete technische und organisatorische Maßnahmen und Verfahren (z.B.

Pseudonymisierung) zu treffen, damit die Verarbeitung den Anforderungen der Verordnung genügt

und die Rechte der betroffenen Personen geschützt werden.

• Entfall der Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister), dafür neue

Regelungen:

Erstellung „Verzeichnis der Verarbeitungstätigkeiten“, wobei der Inhalt ähnlich den

derzeitigen DVR-Meldungen ist. Ausnahmen bestehen in Einzelfall (Voraussetzungen) bei

Unternehmen mit weniger als 250 Mitarbeiter (gilt auch für Auftragsverarbeiter –

Dienstleister)

25. Mai 2018Die Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft. Bis dahin müssen alle

Datenanwendungen an die neue Rechtslage angepasst werden.heute


Wesentliche Neuerungen durch die DSGVOPflicht zur Datenschutz-Folgenabschätzung – Risikobasierter Ansatz

• Pflicht zur Datenschutz-Folgenabschätzung (Risikoanalyse) bei Verarbeitungsvorgängen, die

(insbesondere bei Verwendung neuer Technologien) aufgrund der Art, des Umfangs, der

Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten

natürlicher Personen zur Folge haben.

Systematische automationsunterstützte Auswertungen von personenbezogenen Aspekten,

z.B. Profiling

Bei einer großen Zahl an Datenverarbeitungen von sensiblen Daten

Vorherige Konsultation der Aufsichtsbehörde, wenn aus einer Datenschutz-

Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte,

sofern der für die Verarbeitung Verantwortliche keine Maßnahmen zur Eindämmung des

Risikos trifft.


Wesentliche Neuerungen durch die DSGVOPflicht zur Meldung von „Data Breaches“ / Pflicht zur Bestellung eines Datenschutzbeauftragten

• Meldung von Datenschutzvorfällen sowohl an die nationalen Aufsichtsbehörden (ohne

unangemessene Verzögerung – möglichst binnen höchstens 72 Stunden nach dem Entdecken)

als auch den betroffenen Personen

Risikoabwägung für die betroffenen Personen bzw. Aufwandsabwägung

• Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht für Unternehmen

wenn

Kerntätigkeit eine regelmäßige und systematische Beobachtung von betroffenen Personen

Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien (z.B. Gesundheitsdaten)


Wesentliche Neuerungen durch die DSGVOPflicht zur Informationserteilung / Wahrung der Betroffenenrechte

• Informationen und Betroffenenrechte sind ohne unangemessene Verzögerung, spätestens aber

innerhalb eines Monats, zu erledigen

Ähnlich zum § 24 DSG 2000 (Datenschutzgesetz 2000), aber doch umfassender, ist die

Informationsverpflichtung des Verantwortlichen (z.B. Dauer der Aufbewahrung, Hinweis auf

Betroffenenrechte, usw.) aufgebaut. Zusätzliche Rechte des Betroffenen:

Recht auf „Vergessenwerden“: Der Löschungsanspruch soll auch die Verpflichtung

umfassen, alle anderen „Verarbeiter“, welche die Daten verarbeiten oder sonstige Kopien der

Daten angefertigt haben, zu informieren, dass auch diese gelöscht werden müssen.

Angemessene Maßnahmen, um Verantwortliche über die verlangte Löschung von Links,

Kopien, Replikationen zu informieren

Recht auf Datenübertragbarkeit: Personenbezogene Daten sollen einfacher von einem

Anbieter auf einen anderen übertragen werden (in strukturiertem, gängigem und

maschinenlesbarem Format und ohne Behinderung an andere Verantwortlichen zu

übermitteln)


Wesentliche Neuerungen durch die DSGVOWeitere Betroffenenrechte / Mitteilungspflicht / Stark erhöhte Strafdrohungen

• Zusätzliche Rechte des Betroffenen:

Regelungen betreffend automatisierte Generierung von Einzelentscheidungen

einschließlich Profiling: Recht des Betroffenen, in Einzelfällen (Negativergebnis) nicht

ausschließlich von automatisierten Entscheidungen betroffen zu sein und die Verpflichtung,

den Betroffenen über die Möglichkeit des Widerspruchs zum Profiling zu informieren.

Mitteilungspflicht an alle Datenempfänger über jede Berichtigung, Löschung oder

Einschränkung; es sei denn unmöglich oder unverhältnismäßig und auf Verlangen:

Information an Betroffene über Datenempfänger

• Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines

weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.


Die Grant Thornton Methodologie

Das Buch

• Das Buch "Datenschutz-Audit" deckt

die Bereiche Recht, Organisation,

Prozess und IT ab.

Das Werk bietet Ihnen

eine praktisch anwendbare

Methodik, um Compliance im

Datenschutz nachzuweisen und Audits

durchzuführen.

• Die Autoren führen seit vielen Jahren

Datenschutz-Audits in der Praxis durch

und legen ihre Erfahrungen jetzt auf die

DSGVO um.

Datenschutz Kontrollen

• Der komplexe Gesetzestext der

DSGVO wird in klar

prüfbaren Kontrollen dargestellt. Diese

Kontrollen können von Auditoren sofort

zur Prüfung angewendet werden. Ein

Unternehmen kann so seiner

Selbstverantwortung zur Einhaltung der

datenschutzrechtlichen Pflichten

nachkommen und dazu beitragen,

Strafen bzw. Sanktionen zu vermeiden.

• Die Kontrollen sind das messbare Ziel

• Die Kontrollen eignen sich auch als

Anleitung zum Aufbau eines

Datenschutz Managementsystems.

Datenschutz Audit

• Das entwickelte Audit-

Konzept basiert auf der Überprüfung

der von den Autoren entwickelten

Kontrollen. Die Audit-Methodologie ist

angelehnt an Audits von

Managementsystemen und leistet

vergleichbare, reproduzierbare Audit-

Ergebnisse.

Datenschutz-Audit Buch - Kontrollen als Basis für die praktische Umsetzung


Grant Thornton Unitreu Advisory GmbH

Handelskai 92, Gate 2, 7A | 1200 Wien

Gewerbepark Urfahr 6 | 4040 Linz

T + 43 732 272975 0

W www.grantthornton.at

© 2017 Grant Thornton Unitreu Advisory GmbH. All rights reserved.

Grant Thornton” refers to the brand under which the Grant Thornton member firms provide assurance, tax and advisory services to their clients and/or refers to one or more member firms, as the context requires. Grant Thornton Unitreu Advisory GmbH is a member firm of Grant Thornton International Ltd (GTIL). GTIL and the member firms are not a worldwide partnership. GTIL and each member firm is a separate legal entity. Services are delivered by the member firms. GTIL does not provide services to clients. GTIL and its member firms are not agents of, and do not obligate, one another and are not liable for one another’s acts or omissions.

www.gti.orgwww.grantthornton.at

KONTAKT

Georg Beham, MSc | Partner

Diese Präsentation und eine

Verlosung von fünf DSGVO Büchern

finden Sie unter:

www.gt.at/wko

Documents

Wege zum Wachstum - WKO.at · Wissensaneignung über den Markt, die Struktur und Kunden des Zielunternehmens via Insider, öffentlich verfügbare Kanäle (Webseiten, Soziale Netzwerke