Revisoren und Hacker
Umberto Annino, Juni 2012
Wirtschaftsprüfung
Zur Person
Umberto Annino social networks, XING, Linkedin
PwC, Risk Assurance FS, OneSecurity
Information Security Society Switzerland ISSS
PwC
Information Security Society Switzerland ISSS
Vizepräsident, Kassier www.isss.ch
ISACA Switzerland Chapter
Certification Coordinator www.isaca.ch
Dozent und Lehrmittelautor für Informationssicherheit,verschiedene Schulen
3Revision & Hacking •
Umberto Annino, Juni 2012
Agenda
1. IT-Revision: verschiedene Arten und Prüftiefen für ITund IT-Systeme
2. Regulatorische und gesetzliche Vorgaben
PwC
2. Regulatorische und gesetzliche Vorgaben
3. Hacker-Risiken
4. Verantwortung und Haftung der betroffenen Parteien
IT-Revision: Ordentliche Revision
Ordentliche Revision (Full Audit, OR 728) bei Publikumsgesellschaftenzwingend;
Nicht-öffentliche AG, GmbH, Stiftungen auch, wenn eine derBedingungen erfüllt ist:
>=20 MCHF Bilanzsumme >= 250 Vollzeitstellen
PwC
>=20 MCHF Bilanzsumme >= 250 Vollzeitstellen
>=40 MCHF Umsatz
Vorgaben:
• Zugelassene Revisionsexperten oder staatlich beaufsichtigtesRevisionsunternehmen Basis ISO 2700x, COBIT IT-Governance Framework
• Weitgehende und umfassende Prüfung
• Anzeige- und Informationspflichten bei Verstössen gegen Gesetz,Statuten, Organisationsreglement oder bei Überschuldung (SEC Guidelines)
• Umfassender Revisionsbericht an VR und zusamenfassender an GV
IT-Revision: Eingeschränkte Revision
Eingeschränkte Revision (Review, OR 729),prinzipiell wenn Bedingungen für ordentliche Revision nicht erreicht werdensowie: keine Revisionspflicht für Kleinstunternehmen
Vorgaben:
PwC
Vorgaben:
• Zugelassener Revisor
• Weniger weit gehende Prüfung, auf bestimmte Prüfungshandlungenbeschränkt
• Anzeigepflicht bei Überschuldung
• Zusammenfassender Revisionsbericht an GV
• Keine Rotationspflicht des leitenden Revisors
Erwartungshaltung und Realität
• Wirtschaftsprüfer übernimmt volle Verantwortung für die geprüftenJahresrechnungen
• “Clean Opinion” heisst, dass der Wirtschaftsprüfer eine 100-prozentigePrüfung vorgenommen hat
• Der Wirtschaftsprüfer warnt frühzeitig, dass die Gesellschaft in den
PwC
• Der Wirtschaftsprüfer warnt frühzeitig, dass die Gesellschaft in denKonkurs läuft
• Der Wirtschaftsprüfer entdeckt mögliche Unstimmigkeiten in derJahresrechnung
Diese Erwartungen können so nicht immer erfüllt werden
• Primäre Verantwortung liegt klar beim Management und VR
• Wirtschaftsprüfer kann keine “Konkursfreiheit” sichern, nur aufwesentliche Risiken hinweisen
• Stichpropen und “professional scepticism” um Fraud zu entdecken
Rahmenbedingungen, v.a. für ordentliche undeingeschränkte Revision
• Fokus auf Jahresrechnung (Bilanz und Erfolgsrechnung;Jahresabschluss)
“Finanzsysteme” und wesentliche Wertschöpfungskette stehen im Fokus
• Internes Kontrollsystem (Existenz und Wirksamkeit) und Risikobeurteilung
• Wesentlichkeit der Feststellung (Finding)
PwC
• Wesentlichkeit der Feststellung (Finding) Relevanz bezüglich Unvollständigkeit, Fehler (Fraud und unbewussteFehler), Gesetzmässigkeit
• Unabhängigkeit (gilt für Revisionsgesellschaft und alle Mitarbeitende!)
• Keine “Selbstprüfung”
• Keine Entscheide für den Kunden (management decisions)
• Keine engen Beziehungen zum Kunden, keineBeteiligungen/wirtschaftliche Abhängigkeit, nicht marktkonformeBedingungen (z.B. Spezialrabatte)
Vom Geschäftsprozess zur IT
Wesentliches Konto (Debitoren)
Geschäftsprozess (Inkasso)
Risiko (Abgleich der Zahlung mit Warenlieferung)
PwC
Kontrollen
ELC: Autorisierungsweisung
BPC: 4-Augen Prinzip
ITGC: Vollständigkeitskontrolle
10Revision & Hacking •
Umberto Annino, Juni 2012
Revisionsprinzipien
1. Wirtschaftlichkeit: Nutzen der Revision
2. Wesentlichkeit (Materiality): Dringlichkeit und
PwC
2. Wesentlichkeit (Materiality): Dringlichkeit undWesentlichkeit für die Unternehmensführung
3. Sorgfalt: Objektivität, Vollständigkeit, Urteilsfähigkeit
COSO Würfel
Ein IKS besteht aus denKontrollkomponenten:
• Kontrollumfeld (… Kultur)
• Risikobeurteilungsprozess des
PwC
Unternehmens
• Kontrollaktivitäten
• RechnungslegungsrelevanteInformationssysteme, damitverbundene Geschäftsprozesse undKommunikation
• Überwachung der Kontrollen
Was und wie wird geprüft ?
• IT-Umgebung – HW, SW, Netzwerke, Schnittstellen
• IKS / Risikomanagement
• IT-Prozesse, IT-Governance; business alignment
• Kontrollen (aka Massnahmen, Sicherheitsmassnahmen)
PwC
• SOLL und IST; Planung, Konzepte, Projekte, Testverfahren,Betrieb;Projektbegleitende Revision z.B . Bei Migrationsprojekten in Bankenvorgeschrieben
IT General Controls: ITGC
Logical Access Control System Development Lifecycle SDLC
Change Management Datacenter Physical Security
Backup Controls Computer Operation Controls
Freiwillige Prüfungen
ISAE 3402 Controls Report / SSAE 16
Dienstleister, Prüfbericht über Kontrollsysteme, freiwillig
Typ1: Design der Kontrollen, Typ2: Umsetzung/Effektivität der Kontrollen
PwC
ISO 27001 (z.B. Zertifizierung, auch „nur“ ISMS)
Jegliche Unternehmen, Gewährleistung der Informationssicherheit, freiwillig
COBIT
Jegliche Unternehmen, Werkzeug zur Steuerung der IT (Aufbau, Ablauf)
FIPS / EAL, Common Criteria
Produkt- und Funktionsstandards „Security“
14Revision & Hacking •
Umberto Annino, Juni 2012
Limited Assurance – ISAE 3000 Beispiel
On the basis of our procedures aimed at obtaining limitedassurance, nothing has come to our attention that causes usto believe that the information in the Report does not comply withthe above mentioned reporting criteria.
PwC
Kontrollprozeduren, Umfang und Bedingungen werdenoffengelegt im Bericht.
Full text:
http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperformancedata/pages/assurancereportfromernstyoungas.aspx
15Revision & Hacking •
Umberto Annino, Juni 2012
Reasonable Assurance – ISAE 3000 Beispiel
We believe that our procedures provide us with anappropriate basis to conclude with a reasonable level ofassurance for Statoil's HSEaccounting.
PwC
Kontrollprozeduren, Umfang und Bedingungen werdenoffengelegt im Bericht.
Full text:
http://www.statoil.com/annualreport2010/en/sustainability/keysustainabilityperformancedata/pages/assurancereportfromernstyoungas.aspx
15Revision & Hacking •
Umberto Annino, Juni 2012
Prüfungsdurchführung
1. Prüfungsplanung (Termine, Ansprechpersonen,Schwerpunkte)
2. Vorerhebung, z.B. Interviews, “footprinting”
PwC
2. Vorerhebung, z.B. Interviews, “footprinting”
3. Sammlung und Auswertung von Informationen(evidence collection, Stichprobenauswertung,statistische Analysen)
4. Berichterstattung und Berichtabstimmung
5. Review des Audit (Nachvollziehbarkeit!)
Beispiel:Stress Points der Kommunikationssicherheit
Basic Vulnerabilities – Drei Kategorien
1. Interception (Abhören, Abstrahlung), auch Manipulation
PwC
2. Availability - Verfügbarkeit, bei stark genutzten Netzwerkverbindungen;global
3. Access/entry points (Schnittstellen); any device, from anywhere
17Revision & Hacking •
Umberto Annino, Juni 2012
Controls – Kontrollen und Massnahmen
Interception
Access Control und physische Sicherheit im Bereich Datacenter, Netzwerk-Systemen und Büroräumlichkeiten
Zunehmende Verbreitung von Wireless-Technologien macht physischeMassnahmen weniger effektiv
PwC
Massnahmen weniger effektiv
Effektivste Massnahme: Verschlüsselung
Applikatorisch oder auf Netzwerk-Ebene (IPsec, TLS)
18Revision & Hacking •
Umberto Annino, Juni 2012
Controls – Kontrollen und Massnahmen
Availability
Angemessene Netzwerkarchitektur
Monitoring und Überwachung
Redundanz und automatisiertes Routing
PwC
NOC Network Operation Center 24/7
19Revision & Hacking •
Umberto Annino, Juni 2012
Controls – Kontrollen und Massnahmen
Access Points
Single Point of Entry – Flaschenhals-Prinzip
Zunehmend torpediert durch BYOD bring your own device sowie generellerTrend zur “Aufweichung” der Netzwerk-Grenzen
Access Control Lists
PwC
Access Control Lists
Traffic Shaping
Deep Packet Inspection; Antimalware, Content Protection,Leakage Protection and Prevention
Härtung der Systeme
20Revision & Hacking •
Umberto Annino, Juni 2012
Beispielhafte Feststellungen
Patchlevel nicht aktuell
Account-Profil Einstellungen zu schwach oder nicht den Benutzern zugeordnet
Benutzergruppe mit Administrationsrechten ist zu gross
Prozesse
Zugriffsrechte
Bewilligung und Durchführung von Änderungen nicht nachvollziehbar
PwC
Verwendung unverschlüsselter Verbindungen zwischen Clients und Datenbank
Unverschlüsselte Kanäle nicht deaktiviert
Benutzergruppe mit Administrationsrechten ist zu grossZugriffsrechte
Standard-Benutzer und -Passwörter vorhanden
Zugriffsrechte von technischen Benutzer für Applikationszugriffe zu wenig eingeschränkt
Dokumentation nicht vorhanden (Konfigurationsstandard, wiederkehrende Prozesse)
Logging nicht aktiviert oder entspricht nicht den AnforderungenKonfiguration
Hardening
Dokumentation
21Revision & Hacking •
Umberto Annino, Juni 2012
Gesetze und Regulatorien - Finanzinstitute
Bundesgesetz und Verordnung über Banken und Sparkassen
• FINMA ist weisungsberechtigt (z.B. Verschärfung von Kontrollen)
• Organisation muss “wesentliche” Risiken erfassen, begrenzen undüberwachen, inkl. Internes Kontrollsystem (IKS)
• Basis für Urteil der Prüfgesellschaft zur Geschäftstätigkeit
PwC
• Basis für Urteil der Prüfgesellschaft zur Geschäftstätigkeit
• Ordnungsgemässe Führung und Aufbewahrung der Geschäftsbücher(Archivierung)
• Fokus auf “Finanzsysteme”
FINMA Bestimmungen
• Rundschreiben 2008/21: Operationelle Risiken Banken (Eigenmittel)
• Rundschreiben 2008/7: Auslagerung von Geschäftsbereichen(Outsourcing)
Haftpflicht, Sorgfaltspflicht – Alle
Obligationenrecht, Haftung – Voraussetzungen:
• Schaden (finanziell, psychisch etc.)
• Rechtswidrigkeit
• Adäquater Kausalzusammenhang, Kausalität (Verhältnis von Ursache undWirkung)
PwC
Wirkung)
• Verschulden (schuldhafte Verursachung durch Schädiger)
Sorgfaltspflicht bei der Erfüllung von Leistungen aus Obligationen(Verträgen) Treu und Glaube, Umstände und Wissen sowie Können
(Noch) Wenig Klagen bezüglich Datenverlust, ICT-Ausfällen etc. durch“Endanwender, Benutzer und Kunden” pain-level low
Strafrechtliche Bestimmungen
Unbefugte Datenbeschaffung
Art. 143 StGB
1 Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sichoder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder
PwC
oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oderübermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinenunbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe biszu fünf Jahren oder Geldstrafe bestraft.
2 Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oderFamiliengenossen wird nur auf Antrag verfolgt.
Strafrechtliche Bestimmungen
Unbefugtes Eindringen in ein Datenverarbeitungssystem
Art. 143bis StGB
1 Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in einfremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungs-
PwC
fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungs-system eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oderGeldstrafe bestraft.
2 Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmenmuss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendetwerden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe biszu drei Jahren oder Geldstrafe bestraft.
Strafrechtliche Bestimmungen
Datenbeschädigung
Art. 144bis StGB
1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oderübermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag,
PwC
übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag,mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einemJahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt.
2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt,anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitunggibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünfJahren erkannt werden.
Strafrechtliche Bestimmungen
Betrügerischer Missbrauch einerDatenverarbeitungsanlage
Art. 147 StGB
1 Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durchunrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer
PwC
unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarerWeise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oderDatenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebungzum Schaden eines andern herbeiführt oder eine Vermögensverschiebungunmittelbar darnach verdeckt, wird mit Freiheitsstrafe bis zu fünf Jahren oderGeldstrafe bestraft.
2 Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahrenoder Geldstrafe nicht unter 90 Tagessätzen bestraft.
3 Der betrügerische Missbrauch einer Datenverarbeitungsanlage zum Nachteil eines Angehörigenoder Familiengenossen wird nur auf Antrag verfolgt.
Strafrechtliche Bestimmungen
Unbefugtes Beschaffen von Personendaten
Art. 179novies StGB
Wer unbefugt besonders schützenswerte Personendaten oder Persönlichkeitsprofile, dienicht frei zugänglich sind, aus einer Datensammlung beschafft, wird auf Antrag mit
PwC
nicht frei zugänglich sind, aus einer Datensammlung beschafft, wird auf Antrag mitFreiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
Hacker-Risiken
• APT, Wirtschaftsspionage
• Datenklau, Beispiele (Linkedin, SONY, Global Payments “nur 1.5 M DS”)
• DoS, z.B. gegen Konkurrenzunternehmen (e-commerce)
• Manipulation von Daten
PwC
• Racheakt – vergrämte (ehemalige) Mitarbeiter
• Betrug (Phishing, Scams; Vermögensverschiebung)
• Social Engineering (als Mittel)
• Phishing, Spearphishing (als Mittel)
Status-Quo – inhärentes Risiko durch Sicherheitslage, IKS Wirksamkeit
(Heute ist alles) Penetration Testing
1. (Automatisiertes) Monitoring, Inventory Management, Patch StatusMonitoring
2. Schwachstellen-Analyse, Vulnerability Assessment (automatisiert)
3. Eindringversuch – penetration testing
4. Ethical Hacking – inkl. Social Engineering (aka CTF)
PwC
4. Ethical Hacking – inkl. Social Engineering (aka CTF)
• Scoping: was testen, was nicht; Kommunikation, GO/NO-GO
• Einwilligung (schriftlich) Befugnis für Auftragnehmer
• Incident Handling CERT/CSIRT informieren, ev. Behörden
• Haftbarkeit v.a. für Auftragnehmer; Schaden bei Dritten
• Lizenzierungsfragen: eingesetzte Angriffs-Software, SW-Manipulation
Verantwortung und Haftung der betroffenen Parteien
Anbieter / Service Provider
Sorgfaltspflicht
Vertragliche Leistung
Haftung und Einhaltung von Strafnormen
PwC
Kunde / Betroffene Person
Informationspflicht, Zumutbare Massnahmen
Revisionsunternehmen, VR: Organhaftung
Haftung für Testat-Inhalt, Geschäftsbericht, Aufsicht
Versäumnisse
Maturität vs. Realität
Theorie und die Praxis
gesunder Pragmatismus ^= “selektive Sicherheit”
PwC
gesunder Pragmatismus ^= “selektive Sicherheit”
... “noch ein bisschen compliance...” - c’mon. requirements engineering!
Misstrauen ggü. Mitarbeitende,false incentives, (falsches) micro management
28Revision & Hacking •
Umberto Annino, Juni 2012
Information Security Basics
Appoint a CSO - je nach Grösse des Unternehmen mit entsprechender FTEund v.a. (realen) Kompetenzen!
Verknüpfen der Information (!) Security Risks mit dem OpRisk CRO-level
PwC
Risk-aware business decisions – nicht so einfach in der Praxis (AbwägungRisiko vs. Profit/Gain)
Zertifizierung, Maturität etc. ist OK (Referenz, baseline hilft) - aber passierentut “es” in der Realität gehen Sie an die Front, reden (!) Sie mit den Leuten, wissen (!) sie was“draussen” abgeht
29Revision & Hacking •
Umberto Annino, Juni 2012
Information Security Basics, ff.
Sicherheit ist das Komplementärereignis des Risiko. it matters!
Nur weil es “jemand” macht, macht er es nicht (unbedingt) besser. CloudComputing Security.
PwC
You get what you pay for!But don’t pay too much - know what you pay for!
Verbote und Weisungen sind OK, aber wer den Schaden hat... (love yourself.Intrinsische Motivation)
Best Practise nicht immer “best match” !
3330
Revision & Hacking •
Umberto Annino, Juni 2012
Zusammenfassung
Was kann erkannt werden, was nicht ?
• Zusammenspiel zwischen internen Kontrollen und unabhängigerÜberprüfung
• High-End APT sind schwierig zu entdecken, konsequente und ev.Unwirtschaftliche Durchsetzung der Kontrollen
PwC
Unwirtschaftliche Durchsetzung der Kontrollen
Was kann dagegen unternommen werden ?
• Compliance = OK, “reale Sicherheit” = relevant
• Einfache und wirksame Massnahmen 80/20
Kultur- und Kommunikation!
PwC - Globales Netzwerk von Spezialisten
Branchen
Detailhandel undKonsumgüter
Technologie, Telcound Medien
Dienstleistungen
Consulting
Nordamerika
37’700 Mitarbeiter
EMEA
74’600 Mitarbeiter
PwC
Bank undVersicherungen
Energie undVersorgung
Life Science andGesundheitswesen
161’800 Mitarbeiter in 154 LändernÜber 2’900 Sicherheitsspezialisten
Steuer- undRechtsberatung
WirtschaftsprüfungLateinamerika
10’400 Mitarbeiter
APAC
39’100 Mitarbeiter
35Revisoren und Hacker •
Umberto Annino, Juni 2012
Vielen Dank
This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publicationwithout obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, tothe extent permitted by law, PricewaterhouseCoopers AG, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you oranyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it.
© 2011 PwC. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers AG which is a member firm of PricewaterhouseCoopers International Limited, each member firm of whichis a separate legal entity.
Umberto AnninoManager OneSecurity
PricewaterhouseCoopers AGBirchstrasse 160Postfach, 8050 Zürich
Direct: +41 58 792 20 91
Mobile: +41 79 679 00 96