MANDANTENVERANSTALTUNG ZUR
INFORMATIONSTECHNOLOGIE 2014
INHALT
Einführung
Update IT und Steuern
› GoBD
› Umsatzsteuer bei E-Produkten
› E-Bilanz, die neue Taxonomie
Ralf Körber, Holger Klindtworth (GBIT Ebner Stolz)
IT-Recht und IT-Governance
›Informations-&GestaltungspflichtenbeiUnternehmensdarstellungenimWebundin
SocialMedia
›ArchivierungspflichtenvonWebsites
AlbrechtvonBismarck,Dr.BjörnSchallock(RechtEbnerStolz)
Risiken bei mobilen Endgeräten
›IT-undCompliance-Risiken›HerausforderungBYOD–BringyourownDevice›LösungsansatzfürRisikenMDM–MobileDeviceManagement PhilippMattes,ClaudiaStange-Gathmann(GBITEbnerStolz)
Software für die Berechtigungsprüfung
›TransparenzvonBerechtigungskonzepten›PraxisbeispielCheckAud® für SAP®
›InternesKontrollsystemzumBerechtigungsmanagement ThomasTiede,NorbertHermkes(IBSSchreiberGmbH)
Cyber-Sicherheit
›Cyber-Sicherheitsinitiative›Netzeschützen›ZertifizierungenvonRZ-/Cloud-Anbietern Ralf Köber, Holger Klindtworth (GBIT Ebner Stolz)
Einführung | Leistungspakete GBIT
IT-Revision (JAP)
JAP (PS 330)
IKS-Prüfung (Autom. Kontrollen)
Datenanalyse (JET)
IT-Governance
ERP-Prüfung
SAP-Prüfung
Square-Ansatz
CheckAud (Berechtigungen)
NAVISION
etc.
Zertifizierung
Software (PS 880)
Service/RZ (PS 951)
Compliance (PS 980)
Projekte (PS 850)
IT-Steuer
E-Bilanz
E-Rechnung
GDPdU
GDPdU-Kasse
Datenanalyse
Massendaten-Analyse
IDEA/ACL
Doppelzahlungen
Excel-Prüfungen
Projektbegleitung
Projektmanagement
Design IKS
Migration
Redaktionelle Betreuung
Internat. Audit
Support globaler Teams
SOx
Innenrevision
Prozessprüfung
Quality Assessment (QA)
Fraud/Computerforensik
Risikomanagement, Compliance
Datenschutz
Datenschutz-Prüfung / -Check
Stellung ext. Datenschutzbeauftragten
Datenschutz-Coaching
IT-Valuation
IT-Due-Diligence
Softwarebewertung
Softwareauswahl
Lizenzprüfungen
SAP-Systemvermessung
Microsoft
etc.
IT-Sicherheit
Beurteilung Sicherheitskonzepte
IT-Sicherheitsmanagement
IT-Sicherheit Quick Check
Prüfung
Unternehmens-beratung
Steuer
Nexia
Corporate
Finance
1
Einführung | Themen
IT-Projekte (Gute wie Schlechte)
Rechenzentrum
Zertifizierung Software
Zertifizierung IT-Infrastruktur
Archive
Rechnungsverarbeitung
Innenrevision
Fraud
Kassen
Quality AssessmentCyber-Sicherheit
Lizenzmanagement
IT-Revision
SAP
Navision
2
Berechtigungen
IT-Strategie (Branchen)
Update IT und Steuern
› GoBD
› Umsatzsteuer bei E-Produkten
› E-Bilanz, die neue Taxonomie
Ralf Körber, Holger Klindtworth (GBIT Ebner Stolz)
Update IT und SteuernMandantenveranstaltung 2014 Geschäftsbereich IT-Revision
Hamburg · 24. September 2014
Gliederung
GoBD
Umsatzsteuer bei E-Produkten
E-Bilanz, die neue Taxonomie
INSIKA
2
GoBD
3
GoBD
4
Im April 2013 veröffentlichte die Finanzverwaltung den ersten Entwurf der GoBD*
Ziel: Die GoBD sollen die entsprechenden Verwaltungsanweisungen der GdPDU** und der GoBS*** zusammenfassen
Aktuelle Version: überarbeiteter Entwurf vom 11. April 2014 (Version 8)
Fachkreise sind auch mit dieser Version nicht einverstanden!
Es drohen verschärfte Anforderungen mit erheblichen Mehraufwand!
Historie
Änderungen im Vergleich zur Vorversion
Highlights
WeitereVorgehensweise
*Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum
Datenzugriff
** Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
*** Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme
GoBD
Hauptänderungen im Vergleich zur letztjährigen Präsentation
Änderung der Gliederung
Erhöhung der Anzahl der Beispiele auf elf inkl. explizite Kennzeichnung
Teilweise Entschärfung der Zeitgerechtheit
Wesentliche Änderungen bei der Belegerfassung zugunsten der Unternehmen
Teilweise Änderungen hinsichtlich der Aufbewahrung von Handels- und Geschäftsbriefen,
wenn elektronisch erstellt und nur in Papierform aufbewahrt
Kleinere Ergänzungen beim Datenzugriff
Mit einer grundlegenden Neufassung oder Umstrukturierung des Entwurfs ist nicht zu rechnen!
Erwarten Sie daher bitte einen gewissen Mehraufwand bei der zukünftigen
ordnungsmäßigen Führung und Aufbewahrung Ihrer Bücher und Unterlagen!
(Abbau von Freiheitsgraden)5
GoBD
Allgemeine Anforderungen – Zeitgerechtheit
6
Vorversion Aktuelle Version
Jeder Geschäftsvorfall ist möglichst unmittelbar nach seiner Entstehung in einer Grundaufzeichnung oder in einem Grundbuch zu erfassen. Nach den GoB müssen die Geschäftsvorfälle laufend gebucht werden (Journal).
Jeder Geschäftsvorfall ist zeitnah, d. h. möglichst unmittelbar nach seiner Entstehung in einer Grundaufzeichnung oder in einem Grundbuch zu erfassen. Nach den GoB müssen die Geschäftsvorfälle grundsätzlich laufend gebucht werden (Journal). (Rz. 46)
„Länger als etwas zehn Tage darf ein unbarer Geschäftsvorfall grundsätzlich grundbuchmäßig nicht unerfasst bleiben.“
„Eine Erfassung von unbaren Geschäftsvorfällen innerhalb von zehn Tagen ist unbedenklich.“ (Rz. 47)
[…] Bei zeitlichen Abständen zwischen der Entstehung eines Geschäftsvorfalls und seiner Erfassung sind daher geeignete Maßnahmen zur Sicherung der Vollständigkeit zu treffen. (Rz. 47)
GoBD
Belegwesen (Belegfunktion)
7
Vorversion Aktuelle Version
„Zur Erfüllung der Belegfunktionen sind deshalb Angaben zur Kontierung, zum Ordnungskriterium für die Ablage und zum Buchungsdatum auf dem Papierbeleg erforderlich.
Mit dem elektronischen Beleg kann ein Datensatz mit Angaben zur Kontierung oder eine elektronische Verknüpfung (z. B. eindeutiger Index) verbunden werden.
Zur Erfüllung der Belegfunktionen sind deshalb Angaben zur Kontierung, zum Ordnungskriterium für die Ablage und zum Buchungsdatum auf dem Papierbeleg erforderlich.
Bei einem elektronischen Beleg kann dies auch durch die Verbindung mit einem Datensatz mit Angaben zur Kontierung oder durch eine elektronische Verknüpfung (z. B. eindeutiger Index, Barcode) erfolgen.
Ein Steuerpflichtiger hat andernfalls durch organisatorische Maßnahmen sicher-zustellen, dass die Geschäftsvorfälle auch ohne Angaben auf den Belegen in angemessener Zeit progressiv und retrograd nachprüfbar sind. (Rz. 64)
GoBD
Verfahrensdokumentation
8
Vorversion Aktuelle Version
Für jedes DV-System muss eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein, aus der - in Abhängigkeit von der Komplexität - Inhalt, Aufbau, Ablauf undErgebnisse des DV-Verfahrens vollständig und schlüssig ersichtlich sind. Der Umfang der im Einzelfall erforderlichen Dokumentation wird dadurch bestimmt, was zum Verständnis des DV-Verfahrens, der Bücher und Aufzeichnungen sowie der aufbewahrten Unterlagen notwendig ist. [...]
Sie muss eine Einzelfallprüfung als auch eine Systemprüfung ermöglichen.
Da sich die Ordnungsmäßigkeit neben den elektronischen Büchern und sonst erforderlichen Aufzeichnungen auch auf die damit in Zusammenhang stehenden Verfahren und Bereiche des DV-Systems bezieht (siehe unter 3.), muss für jedes DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein, aus der Inhalt, Aufbau, Ablauf und Ergebnisse des DV-Verfahrens vollständig und schlüssig ersichtlich sind. Der Umfang der im Einzelfall erforderlichen Dokumentation wird dadurch bestimmt, was zum Verständnis des DV-Verfahrens, der Bücher und Aufzeichnungen sowie der aufbewahrten Unterlagen notwendig ist. […] (Rz. 151)
Umsatzsteuer bei E-Produkten
9
Elektronische, Rundfunk- und Fernseh- und Telekommunikationsdienstleistungen B2C EU bis 31. Dezember 2014
10
Leistungsort: BRD (Ursprungslandprinzip)
gemäß § 3a Abs. 1 UStG
Rechnung mit 19% deutscher Umsatzsteuer
Anmeldung und Abführung der
Umsatzsteuer in der deutschen
Umsatzsteuerdeklaration
11
Leistungsort: Österreich (Bestimmungslandprinzip) gemäß § 3a Abs. 5 UStG n.F.
Rechnung mit 10% AT-Umsatzsteuer
Anmeldung und Abführung der Umsatzsteuer
durch Registrierung und Deklaration in Österreich
oder
Nutzung Mini One Stop Shop (MOSS, M1SS, zu deutsch: „kleine einzige Anlaufstelle“ = „KEA“ ) gemäß § 18h UStG
Elektronische, Rundfunk- und Fernseh- und Telekommunikationsdienstleistungen B2C EU ab 1. Januar 2015
Betroffene Dienstleistungen (Auswahl)Art. 58 und Anhang II MwStSystRL, Art. 6a und 6b VO(EU) Nr. 282/2011
12
Elektronische
Dienstleistungen
Bereitstellung von
Websites / Webhosting
Software mit Updates
Bildern, Texten und Informationen, Datenbanken, Musik, Filmen, Spielen, Glücksspielen und Lotterien
Sendungen und Veranstaltungen
Fernwartung von Software und Ausrüstungen
Automatisierte Fernunterrichtsleistungen
Rundfunk-/
Fernseh-
dienstleistungen
Rundfunk-/Fernsehprogramme, die über Kabel, Antenne oder Satellit verbreitet werden
Rundfunk - oder Fernsehsendungen, die über das Internet oder ein ähnliches elektronisches Netzwerk (IP-Streaming) verbreitet werden, wenn sie zeitgleich zu ihrer Verbreitung oder Weiterverbreitung durch einen Rundfunk- oder Fernsehsender übertragen werden.
Telekommu-
nikations-
dienstleistungen
Übertragung, Ausstrahlung oder Empfang von Signalen, Schrift, Bild und Ton oder Informationen jeglicher Art über Draht, Funk, optische oder andere elektromagnetische Medien
Festnetz- und Mobiltelefondienste zur wechselseitigen Ton-, Daten- und Videoübertragung, Videofonie, VoIP-Dienste
Sprachspeicherung (Voicemail), Anklopfen, Rufumleitung
Personenrufdienste (Paging-Dienste)
Fax, Telegrafie und Fernschreiben
Wo wird die Leistung erbracht?Beispiel elektronische Dienstleistung
13
Verlag
Kunde(Nichtunternehmer)
E-Book
DSL-Festnetz-anschluss
Smartphone
Ort Festnetzanschluss Ländercode SIM-Karte (IMSI)
Wo wird die Leistung erbracht? System widerlegbarer Vermutungen zum Leistungsort, Art. 24a, 24b, 24f VO (EU) Nr. 282/2011
14
Widerlegbare Vermutungen
Art der Leistungserbringung Leistungsort
Leistung an Orten wie Telefonzellen, Kiosk-Telefonen,
WLAN-Hot-Spots, Internetcafés, Restaurants oder Hotellobbys
Ort der Bereitstellung
An Bord von Schiffen, Flugzeugen oder Eisenbahnen bei
Personenbeförderung innerhalb der Gemeinschaft
Abgangsland des
Beförderungsmittels
Erbringung an einen Festnetzanschluss des
Dienstleistungsempfängers
Ort des Festnetzanschlusses
Erbringung über mobile Netze Ländercode SIM-Karte
Dienstleistungsempfänger
Erbringung über Decoder, Programm- oder Satellitenkarte (kein Festnetzanschluss)
Gerätestandort oder Lieferadresse des Geräts
Andere Fälle Leistungserbringung:
Bestimmung durch zwei einander
nicht widersprechende Beweismittel
Rechnungsanschrift, IP-Adresse Gerät, Geolokalisierung, Ort Bankverbindung, Mobilfunk-Ländercode SIM-Karte, Ort Festnetzanschluss, übrige wirtschaftlich relevante Informationen
15
Widerlegung von Vermutungen
Widerlegung Vermutung Leistungsort durchLeistungserbringer
Beweismittel fürWiderlegung
durch drei einander nicht widersprechende Beweismittel
Rechnungsanschrift Ort Bankverbindung Zulassungsdaten des
gemieteten Beförderungsmittels
übrige wirtschaftlich relevante Informationen
Widerlegung Vermutung Leistungsort durchFiskus
bei Hinweis auf falsche Anwendung oder
Missbrauch durch Leistungserbringer
Die Daten, auf denen die Bestimmung des Leistungsorts beruhen, müssen für Nachweiszwecke auch dokumen-
tiert und über die gesetzliche Aufbewahrungsdauer archiviert werden! Datenschutzvorschriften sind zu beachten!
Explizite Abfrage Bestätigung Richtigkeit Leistungsort durch Kunde?
Keine Widerlegungsmöglichkeit der Leistungsortvermutung durch Leistungsempfänger vorgesehen.
Wo wird die Leistung erbracht? System widerlegbarer Vermutungen zum Leistungsort, Art. 24a, 24b, 24f VO (EU) Nr. 282/2011
Mögliche Aufgaben
1. Ermittlung betroffener Dienstleistungen und Geschäftsprozesse
2. Anpassung betroffener Geschäftsprozesse: Kalkulationsanalyse, Recht, Steuern, IT
Geschäftsmodelle
Verträge / AGB
ERP-Systeme
3. Abstimmung mit evtl. involvierten Vertragspartnern
4. Umsetzung hinsichtlich Betriebswirtschaft, Recht, Steuern, IT
5. Registrierung für MOSS beim BZSt ab 1. Oktober 2014
6. Testphase
7. Going Live am 1. Januar 2015
16
Probleme aus IT-Sicht
17
Systeme müssen angepasst werden!
Verarbeitungslogik (z. B. Steuerfindung)
Masken (z. B. Wohnortdatenfelder)
Formulare (z. B. Rechnungen)
Preisfindung und Kalkulation (z. B. variable MwSt-Anteile)
Schnittstellen
Nachvollziehbarkeit und Archivierung
Verfahrensdokumentation
Rechnungserstellung
Formvorschriften für Rechnungen des Bestimmungslandes
Nutzung von MOSS?
Probleme aus IT-Sicht
18
Sichere und ordnungsmäßige Archivierung
Daten zur Ermittlung des Leistungsortes müssen aus handels- und steuerrechtlicher Sicht archiviert werden
die Grundsätze der GoBS/GdPDU/GoBDmüssen eingehalten werden digitale Prüfrechte BP
Sicherheit der Daten muss gewährleistet sein
Ordnungsgemäße Löschung der Daten
Bei elektronischem Versand der notwendigen Rechnungen: Archivierung der Rechnungen/Mails
Archivierung der Lokalisierungsdaten (Nachweis des Ortes)
Abschließende Empfehlungen an Unternehmen aus IT-Sicht
Aufnahme unternehmensinterne Problemfelder
insbesondere „make-or-buy“ Entscheidung vorbereiten
Hohe Priorisierung von Verfahrensbeschreibungen während des gesamten Projektes
Insgesamt von der üblichen kaufmännischen Sorgfalt leiten lassen
aus heutiger Sicht ist es fraglich, ob das Finanzamt – soweit ordnungsgemäße Prozesse
vorhanden und dokumentiert sind – überhaupt eine Möglichkeit hat, den Leistungsort zu widerlegen.
19
E-Bilanz, die neue Taxonomie
20
Taxonomie 5.2 / 5.3
21
Taxonomie 5.2 vom 30. April 2013 veröffentlicht mit dem BMF-Schreiben vom 27. Juni 2013
gilt für Wirtschaftsjahre, die nach dem 31.12.2013 beginnen
AktuelleTaxonomie
Taxonomie 5.3 vom 2. April 2014 veröffentlicht mit dem BMF-Schreiben vom 13. Juni 2014
gilt für Wirtschaftsjahre, die nach dem 31.12.2014 beginnen
die Taxonomien können jedoch auch für die Wirtschaftsjahre 2014 bzw. 2014/2015 verwendet werden
ZukünftigeTaxonomie
Inhaltliche Änderungen / Weiterentwicklung der Taxonomie
Übernahme der Preview-Bestandteile in die Taxonomie 5.3
Tabellen-Darstellung für die Kapitalkontenentwicklung für Personen(handels-)gesellschaften sind
Bestandteil der neuen Taxonomie
Bisherige Datenstruktur der Kapitalkontenentwicklung (KKE) entfällt
Optimierung der Taxonomie für Vereine und Stiftungen
Optimierung der Ergänzungstaxonomie für verordnungsgebundene Branchen
Hochschulen, Landwirtschaft, Anbauverzeichnisse
Übermittlung von E-Bilanzen für inländische Betriebsstätten ausländischer Unternehmen
Ablauf der Nichtbeanstandungsregelung
22
Wesentliche Änderungen im Einzelnen
GCD-Modul (Stammdaten-Modul); Neue Zuordnungsschlüssel für…
… „Unternehmen mit wirtschaftlichen Geschäftsbetrieb oder Betrieb gewerblicher Art“
… „Übermittlungsvariante bei Körperschaft mit Gewinnermittlung für besondere Fälle“
… „Inländische Betriebsstätte eines ausländischen Unternehmens“
GAAP-Modul (Jahresabschluss-Modul)
Diverse Strukturoptimierungen
Ergänzung der Taxonomie-Positionen für Vereine und Stiftungen und Eigenbetriebe
Überarbeitung des Kapitalausweises bei Personengesellschaften
Bei inländischen Betriebsstätten ausländischer Unternehmen: Ergänzungen des
Berichtsbestandteils zur steuerlichen Gewinnermittlung sowie Einfügen neuer Positionen
Optimierung der steuerlichen Gewinnermittlung
etc.
23
INSIKA
24
INSIKA
Auslöser des INSIKA-Projekts:
INSIKA = INtegrierte SIcherheitslösung für messwertverarbeitende KAssensysteme
Aktuelle rechtliche Situation:
Gesetzlichen Grundlagen zur Einführung des Systems in 2008 vorerst gestoppt
In 2010 ein Schreiben vom BMF zur „Aufbewahrung digitaler Unterlagen bei Bargeschäften“
In 2012 Abschluss des INSIKA-Projekts
???
Es ist davon auszugehen, dass das INSIKA-Konzept bei Kassensystemen zukünftig gesetzlich
vorgeschrieben wird!
25
Veränderung der Daten in
Registrierkassen
Steuerausfälle durch
Manipulationen
Erarbeitung eines
Fachkonzeptes durch das BMF
Technische Lösung durch INSIKA-Projekt
INSIKA
26
Sicherheit entsteht aus den kryptografisch gesicherten Buchungsdaten
Registrierkasse steuert eine INSIKA-Smartcard nach festgelegten Regeln an
Die Smartcard kann über einen externen Kartenleser oder in die Kasse integriert werden
INSIKA-Smartcard erzeugt eine digitale Signatur für jeden Kassenbeleg und die dazugehörigen gespeicherten Buchungen
Die Vergabe einer Signatur aktualisiert automatisch den Summenspeicher und vergibt eine neue Sequenznummer
Die Prüfung der Kassendaten erfolgt über die gespeicherten und signierten Daten.
Konzept und Funktionsprinzip
Eingriffe in bestehende Systeme sind gering (einfache Implementierung)
Keine Zertifizierung des Gesamtsystems notwendig
Nachweis, dass die Daten unverändert und vollständig sind
Wettbewerb der Hersteller von Kassensystemen wird nicht behindert
Vorteile
Vielen Dank!
27
Kronenstraße 3070174 StuttgartTel. +49 711 [email protected]
Ebner Stolz GmbH & Co. KG
Wirtschaftsprüfungsgesellschaft
Steuerberatungsgesellschaft
Ralf Körber
Prokurist WP/StB/CISA/CRISC
Ludwig-Erhard-Straße 120459 HamburgTel. +49 40 [email protected]
Ebner Stolz GmbH & Co. KG
Wirtschaftsprüfungsgesellschaft
Steuerberatungsgesellschaft
Holger Klindtworth
PartnerCISA/CIA/CISM
IT-Recht und IT-Governance
›Informations-&GestaltungspflichtenbeiUnternehmensdarstellungenimWebundin
SocialMedia
›ArchivierungspflichtenvonWebsites
AlbrechtvonBismarck,Dr.BjörnSchallock(RechtEbnerStolz)
Informations- und Gestaltungspflichten bei Websites und in Social-MediaArchivierungspflichten von WebsitesMandantenveranstaltung 2014 Geschäftsbereich IT-Revision
Hamburg · 24. September 2014
Agenda
I. Die Unternehmens-Homepage
II. Social Media (Facebook & Co.)
III. Typische Rechtsverstöße
IV. Archivierungspflichten von Websites ?
2
I. Unternehmens-Homepages
3
Fehlendes/unzureichendes Impressum
Anforderungen gemäß § 5 TMG (Firma, Rechtsform, HR-Nummer, Vertretungsberechtigung, Kontaktmöglichkeiten, USt-ID,)
Verletzung fremder Markenrechte
zumeist durch Fotos oder Bezeichnungen
Haftung teils verschuldensunabhängig, i.Ü. strenger Sorgfaltsmaßstab
Verletzung Urheberrechte Dritter
Texte, Fotos, Illustrationen, Grafiken, Filme, Musik
Datenschutzverstöße Problem der Verwendung von Auswertungs-/Statistiktools
Erläuterungen in einer „Datenschutzerklärung“
Sonderproblem: Facebook „Like-Button“ , d.h. zusätzl. Info-Pflichten
Sonderproblem Rechtsverletzungen durch von Nutzer generierten Inhalten
Urheberrechte, Persönlichkeitsrecht
Eigene Haftung des Websitebetreibers möglich („Zueigenmachen“ von durch Dritte geschriebenen Inhalten)
II. Social-Media (Facebook & Co)
4
Fehlendes/unzureichendes Impressum
Impressumspflicht gilt auch bei Facebook & Co
Impressum auch in Apps erforderlich
Datenschutzverstöße Notwendigkeit von Erläuterungen in einer „Datenschutzerklärung“
Verwendung von Auswertungs-/Statistiktools
Sonderproblem bei Facebook-Like-Button
Verletzung Urheberrechte Dritter
selbst eingestellte Inhalte und Postings von Dritten/Kunden
gleichermaßen bei XING, Facebook und Co. möglich
Verletzung fremder Markenrechte
zumeist auch hier durch Fotos oder Bezeichnungen
aber auch z.B. Vanity-URLs
Reputation Management „gefälschte“ Kommentare, getarnte Werbung
Verstoß gegen Impressumspflicht, mögliche Irreführung
Mitarbeiterhandeln wird dem Unternehmen zugerechnet
Social-Media-Guidelines für Mitarbeiter
III. Beispiele für typische Rechtsverstöße
5
Urheberrechte Fotos, Zeichnungen, Texte, Filme, Musik
sog. „kleine Münze“, gilt auch für Gebrauchskunst
Urheberbenennung nicht vergessen
eigene Rechtseinräumung absichern (Rechtekette!)
Bearbeitungsrecht einräumen lassen
d.h. sorgfältige Vereinbarungen mit eigenen Designern und Mitarbeitern
Markenrechte Wortmarken und Bildmarken
Ähnlichkeit der Marken kann für Verstoß ausreichen
Ersatzteil- und Zubehörgeschäft: Vorsicht mit Marken-Logos
Parallelimporte – „Erschöpfung“ des Markenrechts nur im EU/EWR-Raum
d.h. (Ähnlichkeits-) Recherchen durchführen
Unternehmenskennzeichen Wahl der Domain
Verfügbarkeit der Domain ist insoweit irrelevant
d.h. Firmenrecherchen durchführen
IV. Archivierungspflichten von Websites ?
6
Deutsche National Bibliothek Sammlung und Archivierung von in Deutschland (oder auf deutsch) veröffentlichter „Medienwerke“
seit 1913 Printwerke (Pflichtexemplare)
seit 2006 auf „unkörperliche Medienwerke“ erstreckt
DNBGAblieferungspflicht
„Medienwerke in unkörperlicher Form“ = „Darstellungen in öffentlichen Netzen“ (§ 3 III)
unentgeltlich bereitstellen, binnen 1 Woche seit öffentlicher Zugänglichmachung (§§ 14 III, 16)
Bußgeldbewehrt bis zu 10.000 EUR (§ 19 I,II)
PflAVAusnahmen
„Akzidenzen, die lediglich gewerblichen, geschäftlichen oder innerbetrieblichen Zwecken dienen“ (§§ 9 Nr. 1, 4 Nr. 13)
DNB: „Darunter fallen Webseiten mit Darstellungen der Angebote einzelner Unternehmen für Kunden.“
Ergebnis: Die Unternehmenshomepage muss nicht archiviert /abgeliefert werden !
Vielen Dank!
7
Ludwig-Erhard-Straße 120459 HamburgTel. +49 40 [email protected]
Ebner Stolz GmbH & Co. KG
Wirtschaftsprüfungsgesellschaft
Steuerberatungsgesellschaft
Albrecht von Bismarck
PartnerRechtsanwalt
Risiken bei mobilen Endgeräten
›IT-undCompliance-Risiken›HerausforderungBYOD–BringyourownDevice›LösungsansatzfürRisikenMDM–MobileDeviceManagement
PhilippMattes,ClaudiaStange-Gathmann(GBITEbnerStolz)
Risiken bei mobilen Endgeräten
Mandantenveranstaltung 2014 Geschäftsbereich IT-Revision
Hamburg · 24. September 2014
Agenda
Einführung
IT- und Compliance-Risiken
Herausforderung BYOD – „Bring Your Own Device“
Lösungsansätze Umsetzung – Mobile Device Management
Fazit
2
Einführung mobile Endgeräte
Mögliche Geräte können sein:
Smartphone
Tablet
Notebook
als auch statische Geräte (Heim-PC mittels VPN)
Bezeichnet langläufig den Einsatz privater Endgeräte (Eigentum des Mitarbeiters) zu dienstlichen Zwecken im Firmennetz.
Bring Your Own Device (BYOD)
Das Unternehmen kauft das mobile Endgerät für den Nutzer. Dieser darf es auch privat verwenden.
Company Owned, Personal Enabled (COPE)
3
Das Unternehmen kauft das mobile Endgerät für den Nutzer. Dieser darf es nicht privat verwenden.
Company Owned, Business only (COBO)
Choose Your Own Device (CYOD)
Das Unternehmen stellt eine Auswahl an mobilen Endgeräten zur Verfügung. Die private Nutzung ist gestattet.
Einführung mobile Endgeräte
Nach dem Forbes Magazine (2012) schätzen IT-Manager, dass ca. 40 % der Nutzer auf Firmeninhalte zugreifen, ABER 70 % der Nutzer behaupten, dies zu tun.
Ebenfalls lt. Forbes besagt eine Studie, dass es 2015 ca. 15 Billionen mit dem Netzwerk verbundene Geräte (z. B. Smartphones, Notebooks and Tablets) geben wird.
Laut Computerwoche verwenden Anfang 2012 ca. 25 % der befragten Unternehmen private Endgeräte mit Firmenapplikationen und es wird ein Rücklauf des BYOD Hype prognostiziert – zugunsten privater Nutzung von Firmengeräten.
Zahlen und Fakten
4
IT- und Compliance-Risiken
erhöhtes Verlustrisiko Sicherheitsniveau privater Geräte Trennung von privaten und dienstlichen Daten Datenintegrität und -sicherheit Administration diverser Endgeräte Archivierung/Aufbewahrung Schatten-IT
IT-Risiken
private Anwenderdaten unterliegen dem Fernmeldegeheimnis Firmendaten unterliegen der Verschwiegenheitspflicht Haftung bei Verlust / Diebstahl / Beschädigung Datenschutz
Kundendaten werden durch das BDSG geschützt Mitarbeiterdaten auch
Urheberrecht, Arbeitsrecht etc. Verstoß gegen interne Richtlinien z.B.
Internet und E-Mail-Nutzung Umgang mit betrieblichen Daten
Compliance-Risiken
5
Herausforderung BYOD – Bring your own Device
Quelle: Aruba Networks - BYOD in EMEA 2012
BYOD Akzeptanz nach Land
Zahlen und Fakten
BYOD Akzeptanz nach Region
6
Herausforderung BYOD – Bring your own Device
Steigerung der Unternehmensattraktivität
Imagenutzen als innovatives modernes
Unternehmen
Mitarbeiterbindung und -zufriedenheit durch
„State of the Art“-Technologien und
Reduzierung auf ein Gerät – „Statussymbol“
Steigerung der Effizienz
Höhere Flexibilität der Mitarbeiter
(Datenzugriff)
Bessere Erreichbarkeit der Mitarbeiter
Bedienerfreundlichkeit
Mitarbeiterproduktivität erhöht sich (?)
Kosten- und Aufwandseinsparungen (?)
VORTEILE
7
Herausforderung BYOD – Bring your own Device
Vermischung privat und dienstlicher Nutzung
IT-Systeme, Anwendungen und Dienste für
das private Umfeld entwickelt, kommen im
beruflichen Bereich zum Einsatz
begrenzter Zugriff auf private Geräte
Zuständigkeit der Gerätewartung,
Administration und Absicherung ->
Mitarbeiter wird zum Administrator
oder erhöhter interner
Administrationsaufwand
ggf. bei eingetretenem Schaden, Kosten- und
Haftungsrisiko der Mitarbeiter
Produktivitätsverschlechterung – private
Nutzung zur Arbeitszeit
Arbeitgeberwechsel – Handling der
Unternehmensdaten
NACHTEILE
8
„Wer sein Unternehmen in das mobile Zeitalter bringt, sollte vorher den Weg
abgesteckt haben.“ [Prof. Stefan Stieglitz]
Lösungsansätze | Vorbereitung Umsetzung
Wichtig: eine unternehmensweite mobile Strategie
Abstimmung der Ziele (mit anderen Abteilungen)
Zu klärende Fragen:
Organisatorisch: Welche Geräte (Typen und Hersteller), welche Gruppen, für welchen Zweck…?
Klärung der eigenen Anforderungen: Sicherheit vs. Nutzen
Definition von unternehmensspezifischer Richtlinien (Policies) wie bspw. Cloud
Zugriffsschutz / Trennung von Benutzergruppen (Vertrieb, Marketing etc.)
Definition des Support-Levels für Mitarbeiter-eigene Geräte
9
Lösungsansätze | Vorbereitung Umsetzung
10
getrennte Bereiche – Apps, Kontakte, Mails etc.
Ausschluss von Cloud-Nutzung
Verschlüsselung der Unternehmensdaten
aktuelles Changemanagement
Kontrollsoftware (für Einzelne)
Vereinbarungen/Richtlinien
offene Kommunikation
Schadensabwendung durch Kontrolle und Maßnahmen
Mobile Device Management
Wichtige, technischeLösungsansätze
Lösungsansätze | Mobile Device Management
Mobile Device Management
Mobile Endgeräte effizient
und sicher verwalten.
Mobile Device Management (MDM) oder auch Mobilgeräteverwaltung bedeutet, die zentrale Verwaltung von Mobilgeräten wie Smartphones, Sub-Notebooks, PDAs oder Tablet-Computern.
Das Werkzeug für mobile Endgeräte
11
Die Verwaltung der mobilen Endgeräte erfolgt durch eine Software, die folgende Aufgaben erledigt:
Lösungsansätze | Mobile Device Management
Mobile Device
Management
Remote Wipe Applikations-
management*Sicherheit herstellen
und verwalten
Kompatibilität zu mobilen Plattformen
Verwalten v. Geräte-
informationen*Zentrale
Dokumenten-und
Kommunikations-struktur*
Software-Stände
verwalten*
Compliance
Integration mobiler
Endgeräte
Bring yourown Advice
Einf. Handhabung
Lokalisierung
*ITIL-Anforderungen
12
Lösungsansätze | Mobile Device Management
Live-Demonstration anhand eines Mobile Device Management als Software as a Service (SaaS)
13
Fazit
Mobile Endgeräte bleiben ein Thema
bietet Chancen und Risiken
offensiver Umgang, um Schatten-IT zu vermeiden
stellt das Unternehmen vor Herausforderungen
mit technischen und organisatorischen Maßnahmen managen
Abwägung nach Schutzbedarf der Daten, Aufwand und rechtlichen Risiken
Quo vadis?
14
Vielen Dank für Ihre Aufmerksamkeit
15
„Jedes System kann unsicher sein.Man muss es nur dämlich verwalten.“
[Clifford Stoll in "Das Kuckucksei"]
1Zielsetzug
Erfassen des IST-Zustandes Mobile Endgeräte - Ziele an die des Unternehmens anpassen mittelfristige Planung für die Entwicklung der IT-Landschaft
2Abwägen
Identifizierung von Vor- und Nachteilen mögliche Risiken abschätzen anfallende Kosten richtig einschätzen
3techn.
Umsetzung
5Rollout
4Richtlinien-definition
Technische Voraussetzungen für den Einsatz im Unternehmen identifizieren
Geräteauswahl und Klassifizierung
Formulierung einer klaren, einheitlichen Richtlinie unter Einbeziehung des Betriebsrates und des bDSB
Erarbeitung einer Einführungsstrategie
Umsetzung (ggf. mit Testkandidaten)
Lösungsansätze | Richtlinie
16
Eigentumsfragen, Softwarelizenzen, Telemedienrecht, Datenschutz, Arbeitsvertrags- und Mitbestimmungsrechte, Haftungsrechte, Trennung privater und geschäftlicher Daten, Dienstvereinbarung, BYOD/Nutzungsrichtlinien
rechtliche Fragen
Änderungen in der zentralen IT-Infrastruktur, Support, Durchsetzung von IT-Sicherheitsrichtlinien
IT-betriebliche Aspekte
Verteilung der Kosten zwischen Arbeitgeber und Arbeitnehmer, steuerliche Aspekte
finanzielle und steuerliche Fragen
Lösungsansätze | Aspekte einer Richtlinie
17
Links und fremde Federn
http://www.forbes.com/sites/tomkemp/2012/02/15/mobile-device-management-hits-center-stage-
but-concerns-remain/
http://www.computerwoche.de/a/der-byod-hype-ebbt-ab,2522856
http://www.arubanetworks.com/wp-content/uploads/Aruba-Networks-Infographic-
v6.jpg?mkt_tok=3RkMMJWWfF9wsRoisqzOZKXonjHpfsX66eQpX6ag38431UFwdcjKPmjr1YEJRcB0d
vycMRAVFZl5nQ1KD%2BKUcoVU7fpPAFI%3D
http://www.bitkom.org/files/documents/20130404_LF_BYOD_2013_v2.pdf
https://www.bsi.bund.de/DE/Themen/weitereThemen/MobileSecurity/mobilesecurity_node.html
http://www.ip-insider.de/themenbereiche/management/management-software-und-
tools/articles/425666/
http://www.tecchannel.de/netzwerk/management/2047917/das_muessen_unternehmen_bei_der_ei
nfuehrung_einer_mdm_loesung_beachten/index3.html
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/anwender/mobilesec/BSI-
CS_052.html
18
19
Gereonstraße 43/65 50670 KölnTel. +49 221 20643 - [email protected]
Ebner Stolz GmbH & Co. KG
Wirtschaftsprüfungsgesellschaft
Steuerberatungsgesellschaft
Philipp Mattes
Wirtschaftsrjurist (LL.B.) u. Fachinformatiker
Ludwig-Erhard-Straße 120459 HamburgTel. +49 40 [email protected]
Ebner Stolz GmbH & Co. KG
Wirtschaftsprüfungsgesellschaft
Steuerberatungsgesellschaft
Claudia Stange-Gathmann
ProkuristinCISA/CIA/CISM/QA
Vielen Dank!
Software für die Berechtigungsprüfung
›TransparenzvonBerechtigungskonzepten›PraxisbeispielCheckAud® für SAP®
›InternesKontrollsystemzumBerechtigungsmanagement
ThomasTiede,NorbertHermkes(IBSSchreiberGmbH)
IBS Schreiber GmbHInternational Business Services for auditing and consulting
Ebner Stolz – Mandantenveranstaltung zur Informationstechnologie 2014
Thema: Software für die Berechtigungsprüfung
• Vorstellung IBS Schreiber GmbH
• Was ist ein Risiko?
• Internes Kontrollsystem für Berechtigungen
• Praxisbeispiel CheckAud® for SAP ® Systems
IBS Schreiber GmbH
IBS Schreiber GmbH
Über 140 Seminarthemen:• Grundlagen / Management der Revision• Datenanalyse• Prüfen von SAP®-Systemen• IT-Revision• Datenschutz
SeminareIT-Sicherheit / ISO27001SAP-SicherheitDatenanalyseExterne betriebliche Beauftragte für
• IT-Sicherheit• Informationssicherheit
Sachverständige Prüfstelle für Datenschutz nach § 3 DSAVO
Externer Datenschutzbeauftragter
Datenschutz- und Datensicherheitskonzepte
CheckAud® for SAP ® Systems
Prüfung / Beratung
Datenschutz Software
Was ist ein Risiko?
Was ist ein Risiko?IT Risiko (laut ISO 27001):
• Risiko ist die kalkulierte Prognose eines möglichen Schadens bzw. Verlustes im negativen Fall (Gefahr) oder eines möglichen Nutzens bzw. Gewinns im positiven Fall (Chance).
• Risiko ist die nach Eintrittswahrscheinlichkeit und Auswirkung eingeschätzte, konkrete Bedrohung eines Systems bzw. einer Organisation.
(Quelle: http://www.iso27001-it-sicherheit.de/ISMS_Risikoanalyse.htm)
Was ist ein Risiko?
Beispiele für Risiken im Berechtigungsumfeld:
• Anlage von Kreditoren, Rechnung erstellen, zahlen
• Anlage einer Bestellung, Freigabe der Bestellung, Buchung des Wareneingangs, Auslösen der Zahlung
• Verschrotten von Fertigprodukten
• Lesen der Daten von Entwicklungen (Rezepturen, Konstruktionen, …)
• Lesen der Mitarbeiterdaten (Gehälter, Kredite, Pfändungen, …)
• Berechtigungen, mit denen gegen Gesetze und Verordnungen verstoßen werden kann, z.B.:
– Elektronisches Radieren (verboten gem. §239 HGB)– Löschen von aufbewahrungspflichtigen Protokollen /verboten gem. §257 HGB)
Was ist ein Risiko?
Gegenmaßnahmen:
• Ein sicheres, transparentes und flexibles Berechtigungskonzept
• Ein internes Kontrollsystem zum Berechtigungsmanagement
• Regelmäßige Kontrollen der vergebenen Berechtigungen
• Definierte Verantwortlichkeiten im Prozess der Vergabe und Kontrolle der Berechtigungen
• Ein definierter Prozess für die berechtigungsseitige Einbindung neuer Systeme / Funktionen (inkl. Eigenentwicklungen)
GRC–Software CheckAud® 2015
Risikomanagement im SAP® - System
Brutto-Risiko: Benutzer können auf alle Ressourcen zugreifen, d.h. Schädigung des Unternehmens, Gesetzesverstöße …
Minimierung der Eintrittswahrscheinlichkeit
Prävention
Erkennen der kritischen Berechtigungskombinationengesetzliche Vorgaben, Unternehmensregelwerk, ...
Erstellen, Umsetzen und Pflegen eines BerechtigungskonzeptsZugriffsschutz, Funktionstrennung, ...
Netto-Risiko: Berechtigungskonzept enthält Lücken oder wird unzureichend gepflegt
Detektion
Lücken im Berechtigungskonzept vor der Ausnutzung erkennen
Entstehung neuer Lücken verhindern
Ausnutzung von Lücken aufdecken
Verbesserung der Prävention
Gegenmaßnahmen einleiten
Korrektur
„Ad hoc“-Maßnahmen zur Schadensminimierung
Präventionsempfehlungen
Schadenshöhe minimieren,
Prävention verbessern
Rest-Risiko: Trotz entsprechenden Gegenmaßnahmen ist das Risiko nicht gleich null, sondern es verbleibt ein (bewertetes und akzeptiertes) Restrisiko.
CheckAud®• Prüfung sämtlicher Berechtigungen im SAP® System
• über 1.200 vordefinierte Abfragen (z.B. gesetzeskritische
Berechtigungen)
• Einsatzbereite Funktionstrennungs-Matrix (S.o.D.) u.a. für FI
• Continuous Auditing z.B. von Berechtigungen, Parametern
und Log-Dateien
• Simulation von Berechtigungsänderungen vor der Vergabe
• Regelmäßige Anpassung der Abfragen an SAP ® -
Änderungen
• Best Practice Guides
Management Summary
CheckAud®
Funktionsprinzip
Export
Scan - Modul• Erfordert nur Kommunikations-Benutzer• Standardisiertes Auslesen rel. SAP® Tabellen• Scan - Umfang konfigurierbar
Audit - Modul• Durchführung der Prüfung• Aufbereitung, Darstellung der Ergebnisse
Datenbank
Konvertierung
Snapshot
Demo CheckAud® 2015
Risikomanagement im CheckAud® 2015 Auf der Basis der individuellen Risiko-Scores wird durch Berechnung eines
gewichteten Mittelwertes für jeden Prüfbereich und für das SAP® System ein Gesamt-Score berechnet und als Dashboard dargestellt.
Individuelle Risikobewertung Individuelle Konfiguration der Risikobewertung für jeden Prüfungsschritt
gemäß der unternehmensinternen Vorgaben.
Für jede Abfrage kann ein individueller Risiko-Score berechnet werden. Dieser ist definiert als Produkt aus der Eintrittswahrscheinlichkeit (Anzahl der tatsächlich berechtigten
SAP® Benutzer) und dem möglichen Schadenspotential (7 Stufen: None – Critical).
Technische und organisatorische Ausnahmeregelungen (kompensierende Kontrollen) können konfiguriert und mit in die Score-Betrachtung eingerechnet werden.
Ermittlung eines vergleichbaren Score-Wertes zur Beurteilung der Sicherheit des SAP® Systems.
Einmal konfiguriert und regelmäßig gepflegt, stellt CheckAud® ein zentrales Element des Risikomanagements in SAP®-Systeme dar.
Kritische Berechtigungen 1/2
Funktionstrennung
Prüfung sucht Benutzer, denen diese Rechte zugewiesen sind
Kombination von SAP®-Berechtigungsobjekten
Detailliert bis zu den Feldwerten
Kritische Berechtigungen 2/2Zu jedem als berechtigt gefundenen Benutzer werden noch zusätzliche Informationen dargestellt: Anwendungsberechtigungen Transaktionsberechtigungen Vergebene Feldwerte Rechteherkunft
Export, Reporting, Management View Umfassendes, detailliertes Reporting für das Management und den Fachbereichen
Hinweise für Ad-hoc-Maßnahmen zur Schadensminimierung
Empfehlungen zur Verbesserung der Prävention
Best Practice Guides, Leitfäden
Zielgruppen Revision
Entspricht das SAP® System den Ordnungsmäßigkeitsvorgaben?
AdministrationPrüfen bevor der Prüfer kommt!
FachabteilungenDer Data- oder Processowner überwacht seine Daten!
IT- und Informationssicherheit / CIO / CISOWerden interne sowie gesetzliche Sicherheitsvorgaben eingehalten?
Betriebs- und PersonalräteKann im SAP® System Leistungs- und Verhaltenskontrolle vorgenommen werden?
DatenschutzSind personenbezogene Daten ausreichend geschützt?
WirtschaftsprüferDie Jahresabschlussprüfung: Ergebnisse schnell und zielgerichtet.
Fragen?
IBS Schreiber GmbHZirkusweg 1, 20359 Hamburg
Tel.: (040) 69 69 85 ‐ 15Fax: (040) 69 69 85 ‐ 31
E‐Mail: sales@ibs‐schreiber.de
Cyber-Sicherheit
›Cyber-Sicherheitsinitiative›Netzeschützen›ZertifizierungenvonRZ-/Cloud-Anbietern
Ralf Köber, Holger Klindtworth (GBIT Ebner Stolz)
Cyber-Sicherheit und ZertifizierungLagebild und aktuelle InitiativenMandantenveranstaltung 2014 Geschäftsbereich IT-Revision
Hamburg,· 24. September 2014
Agenda
I. Cyber-Sicherheit
1. Cyber-Sicherheit – Begriffsdefinition
2. Aktuelle Lage und Trends
3. Wie kann man sich besser gegen Cyberangriffe aufstellen?
4. Weiterführende Informationen und Links
II. Multizertifizierung
2
I. Cyber-Sicherheit
3
Cyber-Sicherheit – Begriffsdefinition
Cyber-Sicherheit erweitert das Aktionsfeld der klassischen IT-Sicherheit auf den gesamten Cyber-Raum
Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein.
Definition nachBSI
Damit wird praktisch die gesamte moderne Informations- und Kommunikationstechnik zu einem Teil des Cyber-Raums.
4
Cyber-Raum
Beispiele:
Unternehmensnetzwerke – Kommunikationsdienste, Industrieanlagen
Mobilfunknetze – Smartphone, Apps
Internet / Cloud – Auslagerung von Applikationen, Plattformen und Infrastruktur
Smart Home - Vernetzung der Haustechnik, Haushaltsgeräte
Car IT - Vernetzung der Fahrzeuge
soziale Netzwerke
Cisco Prognose: > 50 Milliarden Devices in 2020
„Der Cyber-Raum umfasst alle durch das Internet über territoriale Grenzen hinweg weltweit erreichbaren Informationsinfrastrukturen.“
5
Aktuelle Lage und Trends
6
Aktuelle Lage und Trends
„Innenminister veröffentlicht Entwurf
für IT-Sicherheitsgesetz“ - 18.08.2014
7
Aktuelle Lage und Trends
die gesetzliche Meldepflicht von IT-Sicherheitsvorfällen und die Einhaltung von "IT-Mindeststandards" durch die Wirtschaft.
Höhere IT-Sicherheitsstandards der Telekommunikationsanbieter (Provider) zusammen mit einer Meldepflicht, die Kunden über IT-Sicherheitsvorfälle zu benachrichtigen. Nach oder mit dieser Benachrichtigung müssen TK-Anbieter Lösungswege vorschlagen, wie etwaige Schäden bei IT-Anwendersystemen (Computer, Tablets, Smartphones) behoben werden können.
Verbindliche Vorgaben für das Schutzniveau der IT-Systeme des Bundes durch das BSI.
Stärkung der Rolle des BSI durch klarere "Warnbefugnisse" und durch die Etablierung des BSI als internationale Zentralstelle für IT-Sicherheit.
Ausweitung der Rolle des BKA auf dem Gebiet der Strafverfolgung. Es soll bundesweit für alle Cyberdelikte zuständig sein („Cyber-FBI“).
Die wichtigsten Punkte des Entwurfes
8
Aktuelle Lage und Trends
Welche Unternehmen sind durch die Meldepflicht betroffen?
Drohender Image Verlust bei „nicht-anonymisierter“ Meldung?
Welche Standards werden vom Gesetzgeber vorgegeben?
Welche Sicherheitsvorfälle/Ereignisse müssen gemeldet werden?
„Rechte“ von BSI und BKA? Ermächtigungsgesetz ?
„Offene Fragen“ zum IT-Sicherheits-gesetz (Auswahl)
9
Wie kann man sich besser gegen Cyberangriffe aufstellen?
Allianz für Cyber-Sicherheit veröffentlicht einen
Leitfaden zur Durchführung von Cyber-Sicherheits-
Checks
Der Leitfaden richtet sich an alle Interessenten, die
sich direkt oder indirekt mit der Cyber-Sicherheit
befassen
eine praxisorientierte Vorgehensweise zur
Beurteilung der Cyber-Sicherheit in Unternehmen
und Behörden
Der Leitfaden liefert konkrete Vorgaben für die
Durchführung eines Cyber-Sicherheits-Checks
Dieses Dokument ist als Orientierungshilfe für
Einsteiger und als Handlungsanleitung für
Verantwortliche, die einen Cyber-Sicherheits-Check
veranlassen oder durchführen möchten, gedacht.
10
Wie kann man sich besser gegen Cyberangriffe aufstellen?
Beispiel einer Maßnahme aus dem Cyber-Sicherheits-Check
Maßnahme „E“ Sichere Interaktion mit dem Internet
Der Browser inkl. aller Erweiterungen (Flash, Java, ActiveX, usw.) verfügt über starke Sicherheitseigenschaften und ist bei einer hohen Cyber-Sicherheits-Exposition besonders abgeschottet (z. B. Sandbox).
Eingehender E-Mail-Verkehr wird zentral auf Bedrohungen, wie Schadprogramme und Phishing-Angriffe, untersucht.
Für die Darstellung von Dokumenten aus externen Quellen werden sichere Darstellungsoptionen verwendet.
Unerwünschte aktive Inhalte werden zentral gefiltert
Es existieren verbindliche Vorgaben zur sicheren Nutzung von Cloud-Services und anderen Diensten im Internet
Basismaßnahmen
11
Weiterführende Informationen und Links
Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme
(IT-Sicherheitsgesetz)
http://www.bmi.bund.de/DE/Nachrichten/Dossiers/ITSicherheit/itsicherheit_node.html
Leitfaden Cyber-Sicherheits-Check & Muster-Beurteilungsbericht
https://www.allianz-fuer-cybersicherheit.de
Bundesamt für Sicherheit in der Informationstechnik
https://www.bsi.bund.de
Deutschland sicher im Netz e.V.
https://www.sicher-im-netz.de
heise Security
http://www.heise.de/security/
12
II. Multizertifizierung
13
Multi-Zertifizierung
„Multi-Zertifizierung ist der Nachweis der Erfüllung mehrerer Anforderungskataloge, die
sich aus unterschiedlichen regulatorischen Quellen ergeben, durch eine Prüfung.“
14
IT-Infrastruktur
Es geht komplexer - Infrastruktur eines typischen Web-Portals
15
ERP
Kunde
Portal
Sign on Identifizierung
ISP
Web-ShopPayment Provider
Bank FinanzamtContent CMS
Archiv
ID
BestellungZahlung
LeistungZahlung
MeldungenBericht
FIBU
PCI-DSSGwG
GwG
BDSG
GDPDU
UStG/AO
HGBMediadatenUrheberrecht
Zu Grunde liegende Anforderungen (Auswahl)
Handelsrecht
HGB GoB Schutz der
kaufmännischen Daten (Bilanz/GuV)
Steuerrecht
UStG! AO (GDPdU) GoBS/GoBD Ein- und Aus-
gangsrechnungen
Datenschutz
BDSG Bewegungsprofile
Käuferdaten
Vertragsrecht
HonorarverträgeAutoren
Lizenzverträge
Ordnungsmäßigkeit
Sicherheit
Nachvollziehbarkeit und Verfahrensdokumentation
Internes Kontrollsystem/Internes Kontrollverfahren/Internes Steuerungssystem
Geldwäsche
GwG, GwBekErG
Kreditkarten-regelungen
PCI-DSS
16
Compliance-Nachweis & Enthaftung durch Prüfung
17
Lösung: Multi-Audits auf Basis IDW PS 951 unter Einbeziehung von ggf. „akkreditierten“ Spezialisten
Organe des Unternehmens
HGB
Compliance NachweisEnthaftung
WPPCI
Auditor?
BaFin/ WP
PCI DSS BDSG MaRisk
Pfl
ich
t
…
“Basisgesetz” > Handelsgesetzbuch (HGB)
Wurde am 10. Mai 1897 erlassen, und trat gemeinsam mit dem BGB am 1. Januar 1900 in Kraft
Enthält die zentralen Vorschriften zum Führen von Handelsbüchern
18
Vollständigkeit
Richtigkeit
Zeitgerechtigkeit
Ordnung
Nachvollziehbarkeit
Unveränderlichkeit
IT-Sicherheit sorgt für Gewährleistung dieser Grundsätze
Ohne Sicherheit der IT keine Ordnungsmäßigkeit der Buchführung
Klassische Sicht vs. Cloud Sicht
Zunehmend ausgelagerte Funktionen in den Unternehmen
Rechenzentrum, Prozesse ….(z.B. in die Cloud)
Sicht WP Sicht Cloud
19
IT-gestützte Geschäftsprozess
IT-Anwendungen
IT-Infrastruktur
IT-SystemTypisierter Aufbau ohne Einsatz
von Cloud Computing
IT-K
on
tro
llsy
ste
m(I
T-O
rgan
isati
on
/-U
mfe
ld)
Betriebssysteme
Netzwerke
Hardware
Rechenzentrum
IT-gestützte Geschäftsprozess
IT-Anwendungen
IT-Infrastruktur
IT-SystemTypisierter Aufbau bei Einsatz
von Cloud Computing
Service Orchestrierung
Multi-Tenancy
Elastische Provisionierung(Virtualisierung)
Betriebssysteme
Netzwerke
Hardware
Internet
Daten-Lokation
Rechenzentren
Software as a Service (SaaS)
Cloud Computing Servicemodelle
Platform as a Service (PaaS)
Infrastructure as a Service (IaaS)
Neuer Datenschutz-Standard durch GDD / BvD
Gemeinsamer Standard von GDD und BvD
zur Auftragsdatenverarbeitung
Konkretisierung der Anforderungen
nach § 11 BDSG zur Auftragsdatenverarbeitung
(s. auch Anhang zu § 9
Technisch-Organisatorische-Maßnahmen)
Möglichkeit der Zertifizierung durch
einen akkreditierten Prüfer
20
Berichterstattung | Datenschutzaudit
21
BDSG § 9 Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.
BDSG § 9 (Anlage)Technische und organisatorische Maßnahmen
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Auftragskontrolle
Verfügbarkeitskontrolle
Möglichkeit der getrennten Verarbeitung
Anforderungen MaRisk
Qualität/QuantitätKompetenzAbhängigkeiten
AT 7.1Personal
Personal
AnforderungenStandardsZugriffsrechteTestVeränderungenAbnahmeImplemen-tierung
AT 7.2Technisch-organisa-torischeAusstattung
Tech./Org.
Business-Impact-und RisikoanalyseNotfalltestsAbgestimmte KonzepteFortführung/Wiederanlauf
AT 7.3Notfallkonzept
Notfall
FremdbezugRisikoanalyseLeitungs-aufgabenWeisungsrechte
AT 9Outsourcing
Recht
RisikoanalyseSchädenReportingSteuerung
BTR 4Operationelle Risiken
Risiko
22
Berichterstattung | Konkrete Ausgestaltung Beispiel | Testmanagement
23
Kontrollziel Tests erfolgen in einer vom produktiven System getrennten Systemumgebung. Die Übertragung zwischen den Systemumgebungen erfolgt unter Berücksichtigung von Funktionstrennungsaspekten.
Kontrolle Tests: Es sind Vorgaben zur Durchführung und Dokumentation von Tests vorhanden. Die Einhaltung dieser Vorgaben ist Voraussetzung für die Durchführung der Tests.
(Mögliche) Berichterstattung
Voraussetzung für ein angemessenes Test- und Freigabeverfahren ist die Trennung von Entwicklungs- und Testsystem von dem produktiv eingesetzten System. Dies ist in den Richtlinien zu Test und Freigabeverfahren vorgesehen. Dies entspricht den Anforderungen laut IDW RS FAIT 1 Tz. 102 und den Anforderungen nach MaRisk AT 7.2. Tz. 3. Die Richtlinien für den Zugriff auf die Testdaten beinhalten die Zugriffs- und Weitergabekontrolle im Rahmen der Auftragsdatenverarbeitung nach BDSG §9.
Fazit
24
Die Anzahl von Anforderungen wächst täglich…
…die Notwendigkeit eines Nachweises der Compliance ebenfallsZ.B. Meldepflicht Cyber-Attacken
Es besteht zumindest die handelsrechtliche Pflichtprüfung durch den WP
Mutli-Zertifizierung ist die Klappe, die mehrere Compliance-Fliegen mit einer Prüfung erschlagen kann
Vielen Dank!
25
Kronenstraße 3070174 StuttgartTel. +49 711 [email protected]
Ebner Stolz GmbH & Co. KG
Wirtschaftsprüfungsgesellschaft
Steuerberatungsgesellschaft
Ralf Köber
PrüfungsleiterCISSP
Ludwig-Erhard-Straße 120459 HamburgTel. +49 40 [email protected]
Ebner Stolz GmbH & Co. KG
Wirtschaftsprüfungsgesellschaft
Steuerberatungsgesellschaft
Holger Klindtworth
PartnerCISA/CIA/CISM