Das rechtliche und regulatorische Umfeld der IT Systemprüfung
Transcrição
Das rechtliche und regulatorische Umfeld der IT Systemprüfung
Das rechtliche und regulatorische Umfeld der IT Systemprüfung ISSS Zürcher Tagung 2012 12. Juni 2012, Zürich-Altstetten Klaus Krohmann, Rechtsanwalt Ernst Young AG Information Security Society Switzerland 1 Agenda Gesetzliche und regulatorische Grundlagen Internes Kontrollsystem (IKS) IKS im Besonderen Weitere Systemprüfungen (neben IKS) Systemprüfung nach ISAE 3402 Risiken der Non-compliance Rollen bei der IT Systemprüfung Verträge mit Systemprüfern Penetration Testing Praktische Erfahrungen und Empfehlungen aus der Revisionspraxis Information Security Society Switzerland ISSS2008X627993 2 Gesetzliche und regulatorische Grundlagen Information Security Society Switzerland ISSS2008X627993 3 Regulatorische Entwicklung Stärkere Regulierung der Abschlussprüfung Neue Bestimmungen Grossbritannien The Combined Code EU 8. EU-Richtlinie Frankreich Loi de Sécurité Financière (LSF) Schweiz Zielsetzungen Stärkung der internen Kontrolle Verlässlichere finanzielle Berichterstattung Bessere Transparenz Klare Verantwortung des Managements Grösseres Vertrauen der Investoren USA Sarbanes-Oxley Act of 2002 Änderungen im Obligationenrecht (OR) zur Revisionspflicht und zum Anhang der Jahresrechnung Revisionsaufsichtsgesetz (RAG) In Kraft getreten per 1. Juli 2007 Information Security Society Switzerland Bestimmungen zum Internen Kontrollsystem (IKS) und zum Risikomanagement ISSS2008X627993 4 Gesetzliche Bestimmungen Verantwortlichkeit zur Prüfung der Jahresrechnung Art. 716a Ziff. 2 und 3 OR Der Verwaltungsrat ist verantwortlich für die Festlegung der Organisation sowie für die Ausgestaltung des Rechungswesens, der Finanzkontrolle und der Finanzplanung, sofern diese für die Gesellschaft notwendig ist. Art. 662 OR Der Verwaltungsrat ist für die Erstellung der Jahresrechung nach den Grundssätzen ordnungsmässiger Rechungslegung verantwortlich. Art. 957 OR Wer verpflichtet ist seine Firma im Handelsregister eintragen zu lassen, ist gehalten diejenigen Bücher ordnungsmässig zu führen, die nach Art und Umfang des Geschäftes nötig sind. Gesetzesbestimmungen zum IKS im Detail Art. 728a OR Die Revisionsstelle prüft, ob: (…) 3. Ein internes Kontrollsystem existiert; (…) • Prüfung, ob der Verwaltungsrat Massnahmen zur Sicherstellung einer ordnungsgemässen Buchführung und Rechnungslegung getroffen hat • An sich keine neue Prüfaufgabe der Revisionsstelle, jedoch neuer Prüfungsgegenstand, da im Gesetz ausdrücklich erwähnt • Prüftiefe und Prüfbreite im Bereich des IKS werden zunehmen • Aus Revisionssicht kann nicht geprüft werden, was nicht dokumentiert ist – Druck auf Unternehmen zur Formalisierung des IKS Information Security Society Switzerland Art. 728b OR Die Revisionsstelle erstattet dem VR einen umfassenden Bericht mit Feststellungen über die Rechnungslegung, das IKS sowie die Durchführung und das Ergebnis der Revision. • • • Explizite Stellungnahme zu den einzelnen Elementen des Prüfgegenstandes, inkl. Existenz des IKS, erforderlich Kombination des bisherigen Erläuterungsberichts nach Art. 729a OR und des Management Letters Aber: Verzicht auf Erläuterungsbericht nicht mehr möglich; verlangte Systematik der Berichterstattung verlangt höhere Prüftiefe und Prüfbreite im Bereich des IKS (höhere Revisionskosten) Art. 663b OR Der Anhang enthält: (…) 12. Angaben über die Durchführung einer Risikobeurteilung; (…) • Zwingt Unternehmen, eine Risikobeurteilung durchzuführen und darüber zu berichten • Umfasst sämtliche Risiken, welche einen wesentlichen Einfluss auf die Beurteilung der Jahresrechnung haben können • Lässt offen, ob Risikobeurteilung vom VR oder von der Geschäftsleitung gemacht wird (Verantwortung liegt ohnehin beim VR) • Kein ausdrücklicher Zwang zur Formalisierung des gesamten RisikoManagements, aber indirekter Druck absehbar ISSS2008X627993 5 Revision Internes Kontrollsystem Anwendbare Prüfungsnormen Anforderungen Bedingungen Ordentliche eingeschränkte keine Publikumsgesellschaft Art. 727 Abs. 1 Ziff. 1 OR a) Beteiligungspapiere an einer Börse b) Anleihensobligationen c) mind. 20% der Aktien oder des Umsatzes an Gesellschaft nach a) oder b) beitragen (nicht Publikumsgesellschaft) Art. 727 Abs. 1 Ziff. 2 OR 2 der nachfolgenden Elemente: a) Bilanzsumme > 20 Mio. b) Umsatz > 40 Mio. c) > 250 Vollzeitstellen oder Verpflichtung zur Erstellung einer Konzernrechnung Art. 727a Abs. 1 OR Sind die Voraussetzungen für eine ordentliche Revision nicht erfüllt, so muss die Gesellschaft ihre Jahresrechnung eingeschränkt prüfen lassen Art. 727a Abs. 2 OR Opting out wenn a) ≤ 10 Vollzeitstellen b) Aktionäre zustimmen Art. 727b Abs. 1 OR Staatlich beaufsichtigte Revisionsgesellschaft Art. 727b Abs. 2 OR Zugelassener Revisionsexperte Art. 727c OR Zugelassener Revisor keiner Art. 28 RAV: Prüfungsstandards von RAB vorgegeben Aufsichtsverordnung RAB, ASV-RAB Rundschreiben RAB 1/2008 keiner Für Mitglieder der Treuhand-Kammer sind die PS verbindlich (Einleitung PS Lit. N) PS / ISA / US GAAP / PCAOB IKS muss existieren Art. 728a Abs. 1 Ziff. 3 OR Berücksichtigung IKS bei der Durchführung und Festlegung des Umfangs der Prüfung Art. 728a Abs. 2 OR Information Security Society Switzerland Kein IKS ISSS2008X627993 6 Gesetzliche Bestimmungen Art. 727b Abs. 1 OR Publikumsgesellschaften müssen durch ein staatlich geprüftes Revisionsunternehmen geprüft werden. Information Security Society Switzerland ISSS2008X627993 7 Einhaltung von Prüfungsstandards Art. 28 RAV Einhaltung von Prüfungsstandards 1 Die staatlich beaufsichtigten Revisionsunternehmen müssen sich bei der Erbringung von Revisionsdienstleistungen für Publikumsgesellschaften an Prüfungsstandards halten. 2 Die Aufsichtsbehörde legt die Standards fest. Sie verweist dabei auf national und international anerkannte Standards. Bestehen keine Standards oder sind diese unzureichend, so kann sie eigene Standards erlassen oder bestehende Standards ergänzen oder derogieren. Information Security Society Switzerland ISSS2008X627993 8 Annerkannte Prüfungsstandards Rundschreiben 1/2008 der RAB über die Anerkennung von Prüfungsstandards (RS 1/08) vom 17. März 2008 (Stand am 1. Januar 2011) PS: Schweizer Prüfungsstandards ISA: Prüfungsstandards des International Auditing and Assurance Standards Board (IAASB) US GAAS / PCAOB: Für Revisionen nach US Generally Accepted Accounting Principles (US-GAAP) werden die US Generally Accepted Auditing Standards (US GAAS) des American Institute of Certified Public Accountants (AICPA) sowie gegebenenfalls die Prüfungsstandards des Public Company Accounting Oversight Board (PCAOB) als geleichwertig anerkannt Information Security Society Switzerland ISSS2008X627993 9 Revision Internes Kontrollsystem Anwendbare Prüfungsnormen Anforderungen Bedingungen Ordentliche eingeschränkte keine Publikumsgesellschaft Art. 727 Abs. 1 Ziff. 1 OR a) Beteiligungspapiere an einer Börse b) Anleihensobligationen c) mind. 20% der Aktien oder des Umsatzes an Gesellschaft nach a) oder b) beitragen (nicht Publikumsgesellschaft) Art. 727 Abs. 1 Ziff. 2 OR 2 der nachfolgenden Elemente: a) Bilanzsumme > 20 Mio. b) Umsatz > 40 Mio. c) > 250 Vollzeitstellen oder Verpflichtung zur Erstellung einer Konzernrechnung Art. 727a Abs. 1 OR Sind die Voraussetzungen für eine ordentliche Revision nicht erfüllt, so muss die Gesellschaft ihre Jahresrechnung eingeschränkt prüfen lassen Art. 727a Abs. 2 OR Opting out wenn a) ≤ 10 Vollzeitstellen b) Aktionäre zustimmen Art. 727b Abs. 1 OR Staatlich beaufsichtigte Revisionsgesellschaft Art. 727b Abs. 2 OR Zugelassener Revisionsexperte Art. 727c OR Zugelassener Revisor keiner Art. 28 RAV: Prüfungsstandards von RAB vorgegeben Aufsichtsverordnung RAB, ASV-RAB Rundschreiben RAB 1/2008 keiner Für Mitglieder der Treuhand-Kammer sind die PS verbindlich (Einleitung PS Lit. N) PS / ISA / US GAAP / PCAOB IKS muss existieren Art. 728a Abs. 1 Ziff. 3 OR Berücksichtigung IKS bei der Durchführung und Festlegung des Umfangs der Prüfung Art. 728a Abs. 2 OR Information Security Society Switzerland Kein IKS ISSS2008X627993 10 Internes Kontrollsystem (IKS) Information Security Society Switzerland ISSS2008X627993 11 Internes Kontrollsystem Art. 728a 1 Die Revisionsstelle prüft, ob: 1. die Jahresrechnung und gegebenenfalls die Konzernrechnung den gesetzlichen Vorschriften, den Statuten und dem gewählten Regelwerk entsprechen; 2. der Antrag des Verwaltungsrats an die Generalversammlung über die Verwendung des Bilanzgewinnes den gesetzlichen Vorschriften und den Statuten entspricht; 3. ein internes Kontrollsystem existiert. 2 Die Revisionsstelle berücksichtigt bei der Durchführung und bei der Festlegung des Umfangs der Prüfung das interne Kontrollsystem. 3 Die Geschäftsführung des Verwaltungsrats ist nicht Gegenstand der Prüfung durch die Revisionsstelle. Information Security Society Switzerland ISSS2008X627993 12 IKS Existenzprüfung: Gegenstand Prüfungsgegenstand bilden: die schriftliche Dokumentation der IKS Ausgestaltung die Umsetzung des IKS = („Design“ und „Implementation“) Nicht Bestandteil ist die Prüfung des dauerhaften und mängelfreien Funktionierens des IKS = („Operational Effectiveness“) Information Security Society Switzerland ISSS2008X627993 13 IKS Existenzprüfung vs. IKS Prüfung im Rahmen der Jahresabschlussprüfung unterschiedliches Vorgehen des Prüfers Prüfungsarbeiten ergänzen sich jedoch und können zu einem integrierten Prüfungsansatz kombiniert werden d.h. Ergebnisse der IKS Existenzprüfung können auch bei der Planung und Durchführung der Abschlussprüfung verwendet werden und umgekehrt Information Security Society Switzerland ISSS2008X627993 14 Regulierung Bankenbereich Anwendbare Schweizer Regulatorien FINMA Rundschreiben: • FINMA-Rundschreiben 2008/41 “Prüfwesen” • EBK-Rundschreiben 05/1 “Prüfung” • EBK-Rundschreiben 05/2 “Prüfbericht” FINMA FAQ: • Konsolidierte Aufsicht von Banken und Effektenhändlern •vom 12. Januar 2011 FINMA Report: • Effektivität und Effizienz in der Aufsicht •vom 21. April 2011 Information Security Society Switzerland ISSS2008X627993 15 IKS im Besonderen Information Security Society Switzerland ISSS2008X627993 16 Betroffener Personenkreis IKS Prüfungen Die Pflicht zur Unterhaltung und Prüfung eines IKS geht mit der Revisionspflicht einher Information Security Society Switzerland ISSS2008X627993 17 Definition IKS Nach eingeschränkter Definition im Sinne des PS 890 umfasst ein IKS lediglich: „jene Vorgänge und Massnahmen in einer Unternehmung, welche eine ordnungsmässige Buchführung und finanzielle Berichterstattung sicherstellen“ Information Security Society Switzerland ISSS2008X627993 18 Generelle Anforderungen an ein IKS Abhängig von Grösse, Komplexität und Risikoprofil des Unternehmens muss schriftlich dokumentiert sein muss im Tagesgeschäft des Unternehmens Anwendung finden Information Security Society Switzerland ISSS2008X627993 19 Bestandteile des IKS Nach in der Praxis weit verbreiteter Auffassung besteht ein IKS aus den Kontrollkomponenten: Kontrollumfeld Risikobeurteilungsprozess des Unternehmens Rechnungslegungsrelevante Informationssysteme, damit verbundene Geschäftsprozesse und Kommunikation Kontrollaktivitäten Überwachung der Kontrollen Information Security Society Switzerland ISSS2008X627993 20 Zusammenhang Geschäftsprozess Kontrollen zu ITGC Unternehmensweite Kontrollen (ELC) Wesentliche Konti Geschäftsprozesse Risiken Kontrollen in Geschäftsprozessen (BPC) Generelle IT Kontrollen (ITGC) Konti: Prozess: Kreditoren Zahlung Risiko: Kontrollen: Zahlung ohne Abgleich mit Waren- oder Dienstleistungslieferung ELC: Autorisierungsweisung BPC: 3-Weg Abgleich ITGC: Zugriffskontrolle Information Security Society Switzerland ISSS2008X627993 21 Effizienzsteigerungen Ersetzen manueller Kontrollen durch automatisierte Kontrollen unter Berücksichtigung folgender Aspekte Geschäftsprozess Applikationslandschaft IT General Controls Umgebung Kosten- / Nutzenanalyse Information Security Society Switzerland ISSS2008X627993 22 Weitere Systemprüfungen (neben IKS) Information Security Society Switzerland ISSS2008X627993 23 Übersicht über Systemprüfungen gesetzliche Grundlage IKS Existenzprüfung weitere Systemprüfungen zwingend wenn revisionspflichtig freiwillig Art. 728a Abs.1 OR: Ausgestaltung und Umsetzung des IKS – Art. 728a Abs. 2 OR: Dient als Instrument zur Festlegung der geeigneten Prüfungsstrategie Prüfgegenstand Finanzbuchhaltung verschiedene Prüfinstanz Revisionsstelle Revisionsstelle oder evtl. andere Firmen Prüfregeln CH Prüfungsstandard PS 890, PS, ISA, HWP ISAE 3402 (früher SAS 70), ISO 27000 usw. Rechtliche Stellung der Prüfinstanz Organ Auftragnehmer Rechtliche Grundlage der Beziehung Gesetz Vertrag Information Security Society Switzerland ISSS2008X627993 24 Weitere IT Prüfungsstandards ISAE 3402 / SSAE 16 (früher SAS 70) ISO 27000 COBIT Zielgruppe Dienstleister jegliche Unternehmen jegliche Unternehmen Gegenstand der Prüfung Prüfbericht über die Kontrollsysteme von Dienstleistern Gewährleistung der ITSicherheit Werkzeug zur Steuerung der IT Rechtlicher Hintergrund freiwillig freiwillig freiwillig Information Security Society Switzerland ISSS2008X627993 25 Übersicht Bericht zu Kontrollen beim Dienstleister Anwendbare Standards für Berichtserstellung und Berichtsverwendung Fokus Prüfgesellschaft des Servicebezügers Intern. Prüfungsstandard Unternehmen, die DLO in Anspruch nehmen – Auswirkung auf die Abschlussprüfung ISA 402 (PS 402 für CH) Typ A: Bericht über die Angemessenheit der Konzeption / Typ B: Zusätzlich die Wirksamkeit des Funktionierens BERICHT GEHT VON DLO AN SERVICEBEZÜGER Fokus Kontrollziele und Kontrollen Intern. Berichtsstandard US-Berichtsstandard Kontrollen der Dienstleistungsorganisation (DLO) hinsichtlich finanzielle Berichterstattung ISAE 3402 SSAE No. 16 (früher SAS 70) – SOC 1 Typ 1: Design der Kontrollen / Typ 2: Zusätzlich Umsetzung Fokus Kontrollziele und Kontrollen Intern. Berichtsstandard US-Berichtsstandard Kontrollen der DLO hinsichtlich Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz nicht hinsichtlich finanzielle Berichterstattung ISAE 3000 AT Section 101 – SOC 2 (SysTrust Principles) Typ Reasonable Ass. & Typ Lim. Ass. Typ 1 & 2 Fokus Kontrollziele und Kontrollen Intern. Berichtsstandard US-Berichtsstandard Zusammenfassende Bestätigung zu Kontrollen der DLO hinsichtlich Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz N/A AT Section 101 – SOC 3 (SysTrust Principles) Ohne Testbeschreibung Information Security Society Switzerland ISSS2008X627993 26 Systemprüfung nach ISAE 3402 Information Security Society Switzerland ISSS2008X627993 27 Steckbrief ISAE 3402 Globaler Audit Standard für Dienstleistungsunternehmen Ersatz für SAS 70 Information Security Society Switzerland ISSS2008X627993 28 Inhalt des ISAE 3402 Prüfberichts Typ 1 Report Typ 2 Report Bericht eines unabhängigen Prüfers enthalten enthalten Beschreibung der Kontrollmechanismen der geprüften Gesellschaft enthalten enthalten Beschreibung der vom unabhängigen Prüfer durchgeführten Tests der tatsächliche Ausführung und Wirksamkeit der Kontrollen und die Resultate der Tests optional enthalten Andere von der geprüften Gesellschaft gelieferten Informationen (z.B. glossary of terms) optional enthalten Information Security Society Switzerland ISSS2008X627993 29 ISAE 3402 Typ 1 Report Bericht über die Prüfung des Kontrolldesigns und der Implementierung der Kontrollen bei der geprüften Gesellschaft ohne, dass die definierten Kontrollmassnahmen durch Stichproben auf ihre Wirksamkeit hin untersucht werden. Information Security Society Switzerland ISSS2008X627993 30 ISAE 3402 Typ 2 Report Zusätzlich zur Prüfung des Kontrolldesigns und der Implementierung wird die tatsächliche Ausführung und damit die Wirksamkeit der Kontrollen über einen definierten Zeitraum geprüft und entsprechend berichtet. Information Security Society Switzerland ISSS2008X627993 31 Risiken der Non-compliance Information Security Society Switzerland ISSS2008X627993 32 Risiken und Konsequenzen der Noncompliance Hohe Audit-Kosten bei bescheidenem IKS Organhaftung Sanktionierung durch Aufsichtsbehörden allenfalls strafrechtliche Konsequenzen bei schweren Verstössen Reputationsschaden Information Security Society Switzerland ISSS2008X627993 33 Rollen bei der IT Systemprüfung Information Security Society Switzerland ISSS2008X627993 34 Verantwortlichkeiten in Bezug auf IKS Verwaltungsrat Verpflichtung ergibt sich aus Art. 716a Abs. 1 Ziff. 3 i.V.m. Art. 662a sowie Art. 957 ff. OR Ausgestalten des IKS Sicherstellen, dass die Geschäftsleitung das IKS implementiert Sicherstellen angemessener Kontrollmassnahmen Geschäftsleitung Entwicklung geeigneter Prozesse zur Identifikation, Einschätzung und Überwachung der eingegangenen Risiken Aufrechterhaltung und Dokumentation einer Organisationsstruktur, welche Verantwortlichkeiten, Kompetenzen und Informationsflüsse festhält Identifikation von Schlüsselkontrollen und deren Überwachung Vornahme von Korrekturmassnahmen Sicherstellung der Erfüllung delegierter Aufgaben Revisisonsstelle bei der Existenzprüfung (Art. 728a Abs. 1 Ziff. 3 OR) Bestätigung der Existenz des IKS (Art. 728a Abs.1 Ziff. 3 OR) Bericht in Kurzform an die Generalversammlung (Art. 728b Abs. 2 OR) Umfassende Berichterstattung an den Verwaltungsrat (Art. 728b Abs. 1 OR) bei der Prüfung der Jahresrechnung (Art. 728a Abs. 2 OR) Berücksichtigung des IKS um zu bestimmen, welche Bereiche der Jahresrechnung mittels ergebnisorientierter oder verfahrensorientierter Prüfungshandlungen geprüft werden sollen Information Security Society Switzerland ISSS2008X627993 35 IT Risiken als Bestandteil der Risikobeurteilung Gemäss Art. 728a Abs. 1 Ziff. 3 OR prüft die Revisionsstelle bei ordentlichen Prüfungen, ob ein Interenes Kontrollsystem besteht. Zudem ist gemäss Art. 716a Abs. 1 Ziff. 6 OR hat der Verwaltungsrat die unübertragbare und unentziehbare Aufgabe den Geschäftsbericht zu erstellen. Ein Teil des Geschäftsberichts sind Angaben über die Durchführung einer Risikobeurteilung (Art. 663b Ziff. 12 OR). Dies umfasst auch eine angemessene Auseinandersetzung mit den IT Risiken. Information Security Society Switzerland ISSS2008X627993 36 Massnahmen zum präventiven Umgang mit IT Risiken IKS zwingend bei revisionspflichtigen Gesellschaften Weisungen und Regelemente (Policies) z.B. Code of Connection Mobile Device Policy Bearbeitungsreglemente (z.B. HR) Einhaltung von selbst auferlegten Standards Informationssystem auf aktuellem technischem Stand halten Information Security Society Switzerland ISSS2008X627993 37 Verträge mit Systemprüfern Information Security Society Switzerland ISSS2008X627993 38 Heikle Punkte bei des Durchführung von IT Systemprüfungen durch externe Sachverständige Prüfumfang und -inhalt bedarf genauer Eingrenzung Prüfer hat Einsicht in vertrauliche Informationen Schutz von Geschäfts- und Kundengeheimnissen Prüfer ist ein Dritter im Sinne des DSG Pflicht zur vertraglichen Regelung Prüfer können Schaden anrichten, weil u.U. weitgehende Systemzugriffsberechtigungen gewährt werden Weitergabe von Prüfresultaten kann Ansprüche Dritter verursachen Haftungsregelung für fehler- oder mangelhafte Prüfbestätigungen Information Security Society Switzerland ISSS2008X627993 39 Regelungsbedürftige Punkte bei IT Systemprüfungen Bestandteil der Jahresprüfung Freiwilliger Prüfumfang Umfang: Verwendung des Berichts Art. 728a OR Haftung: Art. 755 OR Inhalt und Umfang der Prüfung Gewährleistung Haftung Geheimhaltung / Datenschutz Weiteres Information Security Society Switzerland ISSS2008X627993 40 Penetration Testing Information Security Society Switzerland ISSS2008X627993 41 Penetration Testing Definition Prüfung von Systembestandteilen oder Anwendungen eines Netzwerks oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer („Hacker“) anwenden würde, um unautorisiert in das System einzudringen. Definition angelehnt an Wikipedia Information Security Society Switzerland ISSS2008X627993 42 Penetration Testing Anwendungsbereiche Penetration Testing ist in den Schweizer Prüfungsnormen nicht explizit vorgesehen Kann als Bestandteil einer freiwilligen Prüfung vereinbart werden Penetration Testing wird zunehmend in Prüfungsanforderungen aufgenommen, z.B. Hong Kong Singapur grösseren Firmen Information Security Society Switzerland ISSS2008X627993 43 Penetration testing MAS guidelines Monetary Authority of Singapore INTERNET BANKING AND TECHNOLOGY RISK MANAGEMENT GUIDELINES Section 5.2.1 (g) Information Security Society Switzerland ISSS2008X627993 44 Heikle Punkte beim Penetration Testing Risiko von Systemabstürzen und -unterbrüchen Datenverlust oder -beschädigung Möglicherweise Lizenzverletzungen (z.B. durch unerlaubte Änderungen von Programmcode) Verschiedene einschlägige Strafnormen Information Security Society Switzerland ISSS2008X627993 45 Unbefugte Datenbeschaffung Art. 143 StGB 1 Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. 2 Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. Information Security Society Switzerland ISSS2008X627993 46 Unbefugtes Eindringen in ein Datenverarbeitungssystem Art. 143bis StGB 1 Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. 2 Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Information Security Society Switzerland ISSS2008X627993 47 Datenbeschädigung Art. 144bis StGB 1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt. 2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitung gibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. Information Security Society Switzerland ISSS2008X627993 48 Betrügerischer Missbrauch einer Datenverarbeitungsanlage Art. 147 StGB 1 Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt oder eine Vermögensverschiebung unmittelbar darnach verdeckt, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. 2 Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahren oder Geldstrafe nicht unter 90 Tagessätzen bestraft. 3 Der betrügerische Missbrauch einer Datenverarbeitungsanlage zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. Information Security Society Switzerland ISSS2008X627993 49 Unbefugtes Beschaffen von Personendaten Art. 179novies StGB Wer unbefugt besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die nicht frei zugänglich sind, aus einer Datensammlung beschafft, wird auf Antrag mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Information Security Society Switzerland ISSS2008X627993 50 Penetration Testing – Einwilligung Strafrechtliche Rechtswidrigkeit entfällt bei Einwilligung Oftmals Antragsdelikte (keine automatische Strafverfolgung) Auch keine zivilrechtlichen Schadenersatzansprüche soweit Einwilligung gewährt wurde Achtung: Einwilligung muss auch Drittparteien abdecken Information Security Society Switzerland ISSS2008X627993 51 Penetration testing Terms of business Scoping We will work closely with you to reduce the risk of unwittingly penetrating areas of your business where irreparable or serious damage could be caused. There may be areas of your systems that you identify as being too sensitive and as a consequence, you will exclude from the scope of our testing. Should this happen, we can provide no comments in relation to areas excluded from our scope, and potential weaknesses in these areas could impact on areas where we have performed tests. You acknowledge that we may inadvertently access areas excluded from our scope and you agree that we shall not be liable or responsible for such access where it occurs in the course of our attempts to bypass your security measures on areas within our scope. Information Security Society Switzerland ISSS2008X627993 52 Penetration testing Terms of business Consent to Testing and Third Party Agreements Because we are attempting to gain entry to your systems by unauthorised means, you hereby expressly consent to us carrying out the testing procedures outlined in this Statement of work, and you agree to obtain all necessary consents from third party service providers, and other third parties who may be affected by the testing, to us carrying out our work. We shall not be required to carry out testing until we have received signed letters of authorisation from you and all your relevant service providers (to be notified to us by you) on equivalent terms to those set out in Appendices B and C to this Engagement Letter. Information Security Society Switzerland ISSS2008X627993 53 Penetration testing Terms of business Recognition of Risks We wish to make you aware of the inherent risks associated with attack and penetration testing of the type you have requested us to perform, which we must ask you to recognise as your responsibility. We will use trained personnel with relevant skills ... However, you recognise and agree that inevitably, when performing attack and penetration testing on your systems and when we are attempting to gain entry, there is a risk that we may cause damage or disruption to those systems or third party systems and the information and data contained therein and that any such responsibility remains your sole risk. . Information Security Society Switzerland ISSS2008X627993 54 Penetration testing Terms of business Legal Liability In view of the fact that you are asking us to conduct attack and penetration testing which is intended to simulate a criminal attack, you agree not to take any action (to the extent permitted by law) against us, or XXXX (our Internet Service Provider) or any of our suppliers or authors of software who may be involved in carrying out this work if any breaches of regulations, civil or criminal law or laws or regulations of any jurisdiction outside Switzerland (including any future amendments to such regulations or laws) arise from our testing in accordance with this Engagement Letter. You will also put in place adequate measures internally to ensure that, in the event of our work being detected by your staff (or contractors), they do not directly notify the police or other authorities, but report the matter internally only. In the event that the police or other authorities are advised of our activities without your consent, you will promptly advise them that our activities have been carried out with your full knowledge and permission and that all access by us is deemed authorised by you. Information Security Society Switzerland ISSS2008X627993 55 Penetration testing Terms of business Software Licensing By testing the robustness of your computer systems, we will be seeking to interact with proprietary software that you will have purchased. In so doing, we may cause you to be in breach of the terms on which that software was licensed to you, for example by carrying out reverse engineering. You accept that such a risk is your responsibility. Information Security Society Switzerland ISSS2008X627993 56 Praktische Erfahrungen und Empfehlungen aus der Revisionspraxis Information Security Society Switzerland ISSS2008X627993 57 Praktische Erfahrungen und Empfehlungen aus der Revisionspraxis Soweit möglich: Im Voraus vereinbaren, wie das Prüfungstestat lauten soll (falls keine Beanstandungen) Soweit möglich: Klare Definition des Prüfungsumfangs Information Security Society Switzerland ISSS2008X627993 58 Danke für Ihre Aufmerksamkeit! Information Security Society Switzerland ISSS2008X627993 59