Das rechtliche und regulatorische Umfeld der IT Systemprüfung

Transcrição

Das rechtliche und regulatorische
Umfeld der IT Systemprüfung
ISSS Zürcher Tagung 2012
12. Juni 2012, Zürich-Altstetten
Klaus Krohmann, Rechtsanwalt
Ernst Young AG
Information Security Society Switzerland
1
Agenda










Gesetzliche und regulatorische Grundlagen
Internes Kontrollsystem (IKS)
IKS im Besonderen
Weitere Systemprüfungen (neben IKS)
Systemprüfung nach ISAE 3402
Risiken der Non-compliance
Rollen bei der IT Systemprüfung
Verträge mit Systemprüfern
Penetration Testing
Praktische Erfahrungen und Empfehlungen aus der
Revisionspraxis
ISSS2008X627993
2
Gesetzliche und regulatorische
Grundlagen
ISSS2008X627993
3
Regulatorische Entwicklung
Stärkere Regulierung der
Abschlussprüfung
Neue
Bestimmungen
Grossbritannien
The Combined Code
EU
8. EU-Richtlinie
Frankreich
Loi de Sécurité Financière
(LSF)
Schweiz
Zielsetzungen
 Stärkung der internen Kontrolle
 Verlässlichere finanzielle
Berichterstattung
 Bessere Transparenz
 Klare Verantwortung des
Managements
 Grösseres Vertrauen der
Investoren
USA
Sarbanes-Oxley Act of
2002
 Änderungen im Obligationenrecht
(OR) zur Revisionspflicht und zum
Anhang der Jahresrechnung
 Revisionsaufsichtsgesetz (RAG)
 In Kraft getreten per 1. Juli 2007
Bestimmungen zum
Internen Kontrollsystem
(IKS) und zum
Risikomanagement
ISSS2008X627993
4
Gesetzliche Bestimmungen
Verantwortlichkeit zur Prüfung
der Jahresrechnung
Art. 716a Ziff. 2 und 3 OR
Der Verwaltungsrat ist
verantwortlich für die Festlegung
der Organisation sowie für die
Ausgestaltung des
Rechungswesens, der
Finanzkontrolle und der
Finanzplanung, sofern diese für die
Gesellschaft notwendig ist.
Art. 662 OR
Der Verwaltungsrat ist für die
Erstellung der Jahresrechung nach
den Grundssätzen
ordnungsmässiger Rechungslegung
verantwortlich.
Art. 957 OR
Wer verpflichtet ist seine Firma im
Handelsregister eintragen zu
lassen, ist gehalten diejenigen
Bücher ordnungsmässig zu führen,
die nach Art und Umfang des
Geschäftes nötig sind.
Gesetzesbestimmungen zum IKS im Detail
Art. 728a OR
Die Revisionsstelle prüft,
ob:
(…)
3. Ein internes
Kontrollsystem existiert;
(…)
• Prüfung, ob der Verwaltungsrat
Massnahmen zur Sicherstellung einer
ordnungsgemässen Buchführung und
Rechnungslegung getroffen hat
• An sich keine neue Prüfaufgabe der
Revisionsstelle, jedoch neuer
Prüfungsgegenstand, da im Gesetz
ausdrücklich erwähnt
• Prüftiefe und Prüfbreite im Bereich des
IKS werden zunehmen
• Aus Revisionssicht kann nicht geprüft
werden, was nicht dokumentiert ist –
Druck auf Unternehmen zur
Formalisierung des IKS
Art. 728b OR
Die Revisionsstelle erstattet dem VR
einen umfassenden Bericht mit
Feststellungen über die
Rechnungslegung, das IKS sowie die
Durchführung und das Ergebnis der
Revision.
•
•
•
Explizite Stellungnahme zu den
einzelnen Elementen des
Prüfgegenstandes, inkl. Existenz des
IKS, erforderlich
Kombination des bisherigen
Erläuterungsberichts nach Art. 729a
OR und des Management Letters
Aber: Verzicht auf Erläuterungsbericht
nicht mehr möglich; verlangte
Systematik der Berichterstattung
verlangt höhere Prüftiefe und
Prüfbreite im Bereich des IKS
(höhere Revisionskosten)
Art. 663b OR
Der Anhang enthält:
(…)
12. Angaben über die
Durchführung einer
Risikobeurteilung;
(…)
• Zwingt Unternehmen, eine
Risikobeurteilung durchzuführen und
darüber zu berichten
• Umfasst sämtliche Risiken, welche einen
wesentlichen Einfluss auf die
Beurteilung der Jahresrechnung haben
können
• Lässt offen, ob Risikobeurteilung vom
VR oder von der Geschäftsleitung
gemacht wird (Verantwortung liegt
ohnehin beim VR)
• Kein ausdrücklicher Zwang zur
Formalisierung des gesamten RisikoManagements, aber indirekter Druck
absehbar
ISSS2008X627993
5
Revision
Internes
Kontrollsystem
Anwendbare
Prüfungsnormen
Anforderungen
Bedingungen
Ordentliche
eingeschränkte
keine
Publikumsgesellschaft Art. 727
Abs. 1 Ziff. 1 OR
a) Beteiligungspapiere an einer
Börse
b) Anleihensobligationen
c) mind. 20% der Aktien oder
des Umsatzes an
Gesellschaft nach a) oder b)
beitragen
(nicht Publikumsgesellschaft)
Art. 727 Abs. 1 Ziff. 2 OR
2 der nachfolgenden Elemente:
a) Bilanzsumme > 20 Mio.
b) Umsatz > 40 Mio.
c) > 250 Vollzeitstellen
oder Verpflichtung zur
Erstellung einer
Konzernrechnung
Art. 727a Abs. 1 OR
Sind die Voraussetzungen für
eine ordentliche Revision nicht
erfüllt, so muss die Gesellschaft
ihre Jahresrechnung
eingeschränkt prüfen lassen
Art. 727a Abs. 2 OR
Opting out wenn
a) ≤ 10 Vollzeitstellen
b) Aktionäre zustimmen
Art. 727b Abs. 1 OR
Staatlich beaufsichtigte
Revisionsgesellschaft
Art. 727b Abs. 2 OR
Zugelassener Revisionsexperte
Art. 727c OR
Zugelassener Revisor
keiner
Art. 28 RAV: Prüfungsstandards
von RAB vorgegeben
Aufsichtsverordnung RAB,
ASV-RAB
Rundschreiben RAB 1/2008
keiner
Für Mitglieder der Treuhand-Kammer sind die PS verbindlich
(Einleitung PS Lit. N)
PS / ISA / US GAAP / PCAOB
IKS muss existieren Art. 728a Abs. 1 Ziff. 3 OR
Berücksichtigung IKS bei der Durchführung und Festlegung des
Umfangs der Prüfung Art. 728a Abs. 2 OR
Kein IKS
ISSS2008X627993
6
Gesetzliche Bestimmungen
 Art. 727b Abs. 1 OR
Publikumsgesellschaften müssen durch ein staatlich
geprüftes Revisionsunternehmen geprüft werden.
ISSS2008X627993
7
Einhaltung von Prüfungsstandards
Art. 28 RAV Einhaltung von Prüfungsstandards
1
Die staatlich beaufsichtigten Revisionsunternehmen müssen sich bei der Erbringung von Revisionsdienstleistungen für Publikumsgesellschaften an Prüfungsstandards halten.
2
Die Aufsichtsbehörde legt die Standards fest. Sie verweist dabei auf national und
international anerkannte Standards. Bestehen keine Standards oder sind diese unzureichend, so kann sie eigene Standards erlassen oder bestehende Standards ergänzen oder derogieren.
ISSS2008X627993
8
Annerkannte Prüfungsstandards
 Rundschreiben 1/2008 der RAB
über die Anerkennung von Prüfungsstandards (RS 1/08)
vom 17. März 2008 (Stand am 1. Januar 2011)



PS: Schweizer Prüfungsstandards
ISA: Prüfungsstandards des International Auditing and Assurance
Standards Board (IAASB)
US GAAS / PCAOB: Für Revisionen nach US Generally Accepted
Accounting Principles (US-GAAP) werden die US Generally
Accepted Auditing Standards (US GAAS) des American Institute of
Certified Public Accountants (AICPA) sowie gegebenenfalls die
Prüfungsstandards des Public Company Accounting Oversight
Board (PCAOB) als geleichwertig anerkannt
ISSS2008X627993
9
Revision
Internes
Kontrollsystem
Anwendbare
Prüfungsnormen
Anforderungen
Bedingungen
Ordentliche
eingeschränkte
keine
Publikumsgesellschaft Art. 727
Abs. 1 Ziff. 1 OR
a) Beteiligungspapiere an einer
Börse
b) Anleihensobligationen
c) mind. 20% der Aktien oder
des Umsatzes an
Gesellschaft nach a) oder b)
beitragen
(nicht Publikumsgesellschaft)
Art. 727 Abs. 1 Ziff. 2 OR
2 der nachfolgenden Elemente:
a) Bilanzsumme > 20 Mio.
b) Umsatz > 40 Mio.
c) > 250 Vollzeitstellen
oder Verpflichtung zur
Erstellung einer
Konzernrechnung
Art. 727a Abs. 1 OR
Sind die Voraussetzungen für
eine ordentliche Revision nicht
erfüllt, so muss die Gesellschaft
ihre Jahresrechnung
eingeschränkt prüfen lassen
Art. 727a Abs. 2 OR
Opting out wenn
a) ≤ 10 Vollzeitstellen
b) Aktionäre zustimmen
Art. 727b Abs. 1 OR
Staatlich beaufsichtigte
Revisionsgesellschaft
Art. 727b Abs. 2 OR
Zugelassener Revisionsexperte
Art. 727c OR
Zugelassener Revisor
keiner
Art. 28 RAV: Prüfungsstandards
von RAB vorgegeben
Aufsichtsverordnung RAB,
ASV-RAB
Rundschreiben RAB 1/2008
keiner
Für Mitglieder der Treuhand-Kammer sind die PS verbindlich
(Einleitung PS Lit. N)
PS / ISA / US GAAP / PCAOB
IKS muss existieren Art. 728a Abs. 1 Ziff. 3 OR
Berücksichtigung IKS bei der Durchführung und Festlegung des
Umfangs der Prüfung Art. 728a Abs. 2 OR
Kein IKS
ISSS2008X627993
10
Internes Kontrollsystem
(IKS)
ISSS2008X627993
11
Internes Kontrollsystem
Art. 728a
1
Die Revisionsstelle prüft, ob:
1.
die Jahresrechnung und gegebenenfalls die Konzernrechnung
den gesetzlichen Vorschriften, den Statuten und dem gewählten
Regelwerk entsprechen;
2.
der Antrag des Verwaltungsrats an die Generalversammlung
über die Verwendung des Bilanzgewinnes den gesetzlichen
Vorschriften und den Statuten entspricht;
3.
ein internes Kontrollsystem existiert.
2
Die Revisionsstelle berücksichtigt bei der Durchführung und bei der
Festlegung des Umfangs der Prüfung das interne Kontrollsystem.
3
Die Geschäftsführung des Verwaltungsrats ist nicht Gegenstand der
Prüfung durch die Revisionsstelle.
ISSS2008X627993
12
IKS Existenzprüfung: Gegenstand
Prüfungsgegenstand bilden:
 die schriftliche Dokumentation der IKS Ausgestaltung
 die Umsetzung des IKS
= („Design“ und „Implementation“)
Nicht Bestandteil ist die Prüfung des dauerhaften und
mängelfreien Funktionierens des IKS
= („Operational Effectiveness“)
ISSS2008X627993
13
IKS Existenzprüfung vs. IKS Prüfung im
Rahmen der Jahresabschlussprüfung
 unterschiedliches Vorgehen des Prüfers
 Prüfungsarbeiten ergänzen sich jedoch und können zu
einem integrierten Prüfungsansatz kombiniert werden
 d.h. Ergebnisse der IKS Existenzprüfung können auch bei
der Planung und Durchführung der Abschlussprüfung
verwendet werden und umgekehrt
ISSS2008X627993
14
Regulierung Bankenbereich
Anwendbare Schweizer Regulatorien
FINMA Rundschreiben:
• FINMA-Rundschreiben 2008/41
“Prüfwesen”
• EBK-Rundschreiben 05/1 “Prüfung”
• EBK-Rundschreiben 05/2 “Prüfbericht”
FINMA FAQ:
• Konsolidierte Aufsicht von Banken und Effektenhändlern
•vom 12. Januar 2011
FINMA Report:
• Effektivität und Effizienz in der Aufsicht
•vom 21. April 2011
ISSS2008X627993
15
IKS im Besonderen
ISSS2008X627993
16
Betroffener Personenkreis
IKS Prüfungen
Die Pflicht zur Unterhaltung und Prüfung eines IKS geht mit
der Revisionspflicht einher
ISSS2008X627993
17
Definition IKS
Nach eingeschränkter Definition im Sinne des PS 890 umfasst
ein IKS lediglich:
„jene Vorgänge und Massnahmen in einer Unternehmung,
welche eine ordnungsmässige Buchführung und finanzielle
Berichterstattung sicherstellen“
ISSS2008X627993
18
Generelle Anforderungen an ein IKS
 Abhängig von Grösse, Komplexität und Risikoprofil des
Unternehmens
 muss schriftlich dokumentiert sein
 muss im Tagesgeschäft des Unternehmens Anwendung
finden
ISSS2008X627993
19
Bestandteile des IKS
Nach in der Praxis weit verbreiteter Auffassung besteht ein
IKS aus den Kontrollkomponenten:
 Kontrollumfeld
 Risikobeurteilungsprozess des Unternehmens
 Rechnungslegungsrelevante Informationssysteme, damit
verbundene Geschäftsprozesse und Kommunikation
 Kontrollaktivitäten
 Überwachung der Kontrollen
ISSS2008X627993
20
Zusammenhang Geschäftsprozess
Kontrollen zu ITGC
Unternehmensweite
Kontrollen (ELC)
Wesentliche Konti
Geschäftsprozesse
Risiken
Kontrollen in
Geschäftsprozessen
(BPC)
Generelle IT
Kontrollen (ITGC)
Konti:
Prozess:
Kreditoren
Zahlung
Risiko:
Kontrollen:
Zahlung ohne Abgleich mit
Waren- oder
Dienstleistungslieferung
ELC: Autorisierungsweisung
BPC: 3-Weg Abgleich
ITGC: Zugriffskontrolle
ISSS2008X627993
21
Effizienzsteigerungen
 Ersetzen manueller Kontrollen durch automatisierte
Kontrollen unter Berücksichtigung folgender Aspekte

Geschäftsprozess
 Applikationslandschaft
 IT General Controls Umgebung
 Kosten- / Nutzenanalyse
ISSS2008X627993
22
Weitere Systemprüfungen
(neben IKS)
ISSS2008X627993
23
Übersicht über Systemprüfungen
gesetzliche Grundlage
IKS Existenzprüfung
weitere Systemprüfungen
zwingend wenn revisionspflichtig
freiwillig
Art. 728a Abs.1 OR:
Ausgestaltung und Umsetzung des IKS
–
Art. 728a Abs. 2 OR:
Dient als Instrument zur Festlegung der
geeigneten Prüfungsstrategie
Prüfgegenstand
Finanzbuchhaltung
verschiedene
Prüfinstanz
Revisionsstelle
Revisionsstelle oder evtl. andere Firmen
Prüfregeln
CH Prüfungsstandard
PS 890, PS, ISA, HWP
ISAE 3402 (früher SAS 70), ISO 27000
usw.
Rechtliche Stellung der
Prüfinstanz
Organ
Auftragnehmer
Rechtliche Grundlage
der Beziehung
Gesetz
Vertrag
ISSS2008X627993
24
Weitere IT Prüfungsstandards
ISAE 3402 / SSAE 16
(früher SAS 70)
ISO 27000
COBIT
Zielgruppe
Dienstleister
jegliche Unternehmen
jegliche
Unternehmen
Gegenstand der
Prüfung
Prüfbericht über die
Kontrollsysteme von
Dienstleistern
Gewährleistung der ITSicherheit
Werkzeug zur
Steuerung der IT
Rechtlicher
Hintergrund
freiwillig
freiwillig
freiwillig
ISSS2008X627993
25
Übersicht Bericht zu Kontrollen beim Dienstleister
Anwendbare Standards für Berichtserstellung und Berichtsverwendung
Fokus Prüfgesellschaft des Servicebezügers
Intern. Prüfungsstandard
Unternehmen, die DLO in Anspruch nehmen – Auswirkung auf die
Abschlussprüfung
ISA 402 (PS 402 für CH)
Typ A: Bericht über die Angemessenheit der Konzeption / Typ B:
Zusätzlich die Wirksamkeit des Funktionierens
BERICHT GEHT VON DLO AN SERVICEBEZÜGER
Fokus Kontrollziele und Kontrollen
Intern. Berichtsstandard
US-Berichtsstandard
Kontrollen der Dienstleistungsorganisation (DLO) hinsichtlich
finanzielle Berichterstattung
ISAE 3402
SSAE No. 16 (früher SAS 70) –
SOC 1
Typ 1: Design der Kontrollen / Typ 2: Zusätzlich Umsetzung
US-Berichtsstandard
Kontrollen der DLO hinsichtlich Sicherheit, Verfügbarkeit,
Verarbeitungsintegrität, Vertraulichkeit, Datenschutz nicht
hinsichtlich finanzielle Berichterstattung
ISAE 3000
AT Section 101 – SOC 2
(SysTrust Principles)
Typ Reasonable Ass. & Typ
Lim. Ass.
Typ 1 & 2
US-Berichtsstandard
Zusammenfassende Bestätigung zu Kontrollen der DLO hinsichtlich
Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit,
Datenschutz
N/A
AT Section 101 – SOC 3
(SysTrust Principles)
Ohne Testbeschreibung
ISSS2008X627993
26
Systemprüfung nach ISAE 3402
ISSS2008X627993
27
Steckbrief ISAE 3402
 Globaler Audit Standard für Dienstleistungsunternehmen
 Ersatz für SAS 70
ISSS2008X627993
28
Inhalt des ISAE 3402 Prüfberichts
Typ 1 Report
Typ 2 Report
Bericht eines unabhängigen Prüfers
enthalten
enthalten
Beschreibung der Kontrollmechanismen der
geprüften Gesellschaft
enthalten
enthalten
Beschreibung der vom unabhängigen
Prüfer durchgeführten Tests der
tatsächliche Ausführung und Wirksamkeit
der Kontrollen und die Resultate der Tests
optional
enthalten
Andere von der geprüften Gesellschaft
gelieferten Informationen (z.B. glossary of
terms)
optional
enthalten
ISSS2008X627993
29
ISAE 3402 Typ 1 Report
Bericht über die Prüfung des Kontrolldesigns und der
Implementierung der Kontrollen bei der geprüften
Gesellschaft
ohne, dass die definierten Kontrollmassnahmen durch
Stichproben auf ihre Wirksamkeit hin untersucht werden.
ISSS2008X627993
30
ISAE 3402 Typ 2 Report
Zusätzlich zur Prüfung des Kontrolldesigns und der
Implementierung wird die tatsächliche Ausführung und
damit die Wirksamkeit der Kontrollen über einen
definierten Zeitraum geprüft und entsprechend berichtet.
ISSS2008X627993
31
Risiken der Non-compliance
ISSS2008X627993
32
Risiken und Konsequenzen der Noncompliance
 Hohe Audit-Kosten bei bescheidenem IKS
 Organhaftung
 Sanktionierung durch Aufsichtsbehörden
 allenfalls strafrechtliche Konsequenzen bei schweren
Verstössen
 Reputationsschaden
ISSS2008X627993
33
Rollen bei der IT Systemprüfung
ISSS2008X627993
34
Verantwortlichkeiten in Bezug auf IKS
Verwaltungsrat
Verpflichtung ergibt sich aus Art. 716a Abs. 1 Ziff. 3 i.V.m. Art. 662a sowie Art. 957 ff. OR



Ausgestalten des IKS
Sicherstellen, dass die Geschäftsleitung das IKS implementiert
Sicherstellen angemessener Kontrollmassnahmen
Geschäftsleitung





Entwicklung geeigneter Prozesse zur Identifikation, Einschätzung und Überwachung der eingegangenen Risiken
Aufrechterhaltung und Dokumentation einer Organisationsstruktur, welche Verantwortlichkeiten, Kompetenzen und
Informationsflüsse festhält
Identifikation von Schlüsselkontrollen und deren Überwachung
Vornahme von Korrekturmassnahmen
Sicherstellung der Erfüllung delegierter Aufgaben
Revisisonsstelle
bei der Existenzprüfung (Art. 728a Abs. 1 Ziff. 3 OR)
 Bestätigung der Existenz des IKS (Art. 728a Abs.1 Ziff. 3 OR)
 Bericht in Kurzform an die Generalversammlung (Art. 728b Abs. 2 OR)
 Umfassende Berichterstattung an den Verwaltungsrat (Art. 728b Abs. 1 OR)
bei der Prüfung der Jahresrechnung (Art. 728a Abs. 2 OR)
 Berücksichtigung des IKS um zu bestimmen, welche Bereiche der Jahresrechnung mittels ergebnisorientierter oder
verfahrensorientierter Prüfungshandlungen geprüft werden sollen
ISSS2008X627993
35
IT Risiken als Bestandteil der
Risikobeurteilung
 Gemäss Art. 728a Abs. 1 Ziff. 3 OR prüft die Revisionsstelle bei ordentlichen
Prüfungen, ob ein Interenes Kontrollsystem besteht.
 Zudem ist gemäss Art. 716a Abs. 1 Ziff. 6 OR hat der Verwaltungsrat die
unübertragbare und unentziehbare Aufgabe den Geschäftsbericht zu
erstellen.
 Ein Teil des Geschäftsberichts sind Angaben über die Durchführung einer
Risikobeurteilung (Art. 663b Ziff. 12 OR).
 Dies umfasst auch eine angemessene Auseinandersetzung mit den IT
Risiken.
ISSS2008X627993
36
Massnahmen zum präventiven Umgang
mit IT Risiken
 IKS zwingend bei revisionspflichtigen Gesellschaften
 Weisungen und Regelemente (Policies) z.B.
 Code of Connection
 Mobile Device Policy
 Bearbeitungsreglemente (z.B. HR)
 Einhaltung von selbst auferlegten Standards
 Informationssystem auf aktuellem technischem Stand halten
ISSS2008X627993
37
Verträge mit Systemprüfern
ISSS2008X627993
38
Heikle Punkte bei des Durchführung von IT
Systemprüfungen durch externe Sachverständige
 Prüfumfang und -inhalt bedarf genauer Eingrenzung
 Prüfer hat Einsicht in vertrauliche Informationen
 Schutz von Geschäfts- und Kundengeheimnissen
 Prüfer ist ein Dritter im Sinne des DSG
 Pflicht zur vertraglichen Regelung
 Prüfer können Schaden anrichten, weil u.U. weitgehende
Systemzugriffsberechtigungen gewährt werden
 Weitergabe von Prüfresultaten kann Ansprüche Dritter verursachen
 Haftungsregelung für fehler- oder mangelhafte Prüfbestätigungen
ISSS2008X627993
39
Regelungsbedürftige Punkte bei IT
Systemprüfungen
Bestandteil der
Jahresprüfung
Freiwilliger Prüfumfang
 Umfang:
 Verwendung des Berichts
Art. 728a OR
 Haftung:
Art. 755 OR
 Inhalt und Umfang der Prüfung
 Gewährleistung
 Haftung
 Geheimhaltung / Datenschutz
 Weiteres
ISSS2008X627993
40
Penetration Testing
ISSS2008X627993
41
Penetration Testing
Definition
Prüfung von Systembestandteilen oder Anwendungen
eines Netzwerks oder Softwaresystems mit Mitteln und
Methoden, die ein Angreifer („Hacker“) anwenden würde,
um unautorisiert in das System einzudringen.
Definition angelehnt an Wikipedia
ISSS2008X627993
42
Penetration Testing
Anwendungsbereiche
 Penetration Testing ist in den Schweizer
Prüfungsnormen nicht explizit vorgesehen
 Kann als Bestandteil einer freiwilligen Prüfung
vereinbart werden
 Penetration Testing wird zunehmend in
Prüfungsanforderungen aufgenommen, z.B.
 Hong Kong
 Singapur
 grösseren Firmen
ISSS2008X627993
43
Penetration testing
MAS guidelines
Monetary Authority of
Singapore
INTERNET BANKING
AND TECHNOLOGY
RISK MANAGEMENT
GUIDELINES
Section 5.2.1 (g)
ISSS2008X627993
44
Heikle Punkte beim Penetration Testing
 Risiko von Systemabstürzen und -unterbrüchen
 Datenverlust oder -beschädigung
 Möglicherweise Lizenzverletzungen (z.B. durch
unerlaubte Änderungen von Programmcode)
 Verschiedene einschlägige Strafnormen
ISSS2008X627993
45
Unbefugte Datenbeschaffung
Art. 143 StGB
1
Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer
Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn
bestimmt und gegen seinen unbefugten Zugriff besonders gesichert
sind, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft.
2
Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen
oder Familiengenossen wird nur auf Antrag verfolgt.
ISSS2008X627993
46
Unbefugtes Eindringen in ein
Datenverarbeitungssystem
Art. 143bis StGB
1
Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in
ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder
Geldstrafe bestraft.
2
Wer Passwörter, Programme oder andere Daten, von denen er weiss oder
annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss
Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht,
wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
ISSS2008X627993
47
Datenbeschädigung
Art. 144bis StGB
1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder
übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag,
mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe
von einem Jahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes
wegen verfolgt.
2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu
den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, einführt,
in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu
ihrer Herstellung Anleitung gibt, wird mit Freiheitsstrafe bis zu drei Jahren oder
Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr
bis zu fünf Jahren erkannt werden.
ISSS2008X627993
48
Betrügerischer Missbrauch einer
Datenverarbeitungsanlage
Art. 147 StGB
1
Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung
von Daten oder in vergleichbarer Weise auf einen elektronischen oder
vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang
einwirkt und dadurch eine Vermögensverschiebung zum Schaden
eines andern herbeiführt oder eine Vermögensverschiebung unmittelbar darnach verdeckt, wird mit Freiheitsstrafe bis zu fünf Jahren oder
2
Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis
zu zehn Jahren oder Geldstrafe nicht unter 90 Tagessätzen bestraft.
3
Der betrügerische Missbrauch einer Datenverarbeitungsanlage zum
Nachteil eines Angehörigen oder Familiengenossen wird nur auf
Antrag verfolgt.
ISSS2008X627993
49
Unbefugtes Beschaffen von
Personendaten
Art. 179novies StGB
Wer unbefugt besonders schützenswerte Personendaten oder
Persönlichkeitsprofile, die nicht frei zugänglich sind, aus einer
Datensammlung beschafft, wird auf Antrag mit Freiheitsstrafe
bis zu drei Jahren oder Geldstrafe bestraft.
ISSS2008X627993
50
Penetration Testing – Einwilligung
 Strafrechtliche Rechtswidrigkeit entfällt bei Einwilligung
 Oftmals Antragsdelikte (keine automatische
Strafverfolgung)
 Auch keine zivilrechtlichen Schadenersatzansprüche
soweit Einwilligung gewährt wurde
 Achtung: Einwilligung muss auch Drittparteien abdecken
ISSS2008X627993
51
Penetration testing
Terms of business
Scoping
We will work closely with you to reduce the risk of unwittingly penetrating
areas of your business where irreparable or serious damage could be caused.
There may be areas of your systems that you identify as being too sensitive
and as a consequence, you will exclude from the scope of our testing. Should
this happen, we can provide no comments in relation to areas excluded from
our scope, and potential weaknesses in these areas could impact on areas
where we have performed tests. You acknowledge that we may inadvertently
access areas excluded from our scope and you agree that we shall not be
liable or responsible for such access where it occurs in the course of our
attempts to bypass your security measures on areas within our scope.
ISSS2008X627993
52
Penetration testing
Terms of business
Consent to Testing and Third Party Agreements
Because we are attempting to gain entry to your systems by
unauthorised means, you hereby expressly consent to us carrying
out the testing procedures outlined in this Statement of work, and you
agree to obtain all necessary consents from third party service
providers, and other third parties who may be affected by the testing,
to us carrying out our work. We shall not be required to carry out
testing until we have received signed letters of authorisation from you
and all your relevant service providers (to be notified to us by you) on
equivalent terms to those set out in Appendices B and C to this
Engagement Letter.
ISSS2008X627993
53
Penetration testing
Terms of business
Recognition of Risks
We wish to make you aware of the inherent risks associated with attack and
penetration testing of the type you have requested us to perform, which we
must ask you to recognise as your responsibility.
We will use trained personnel with relevant skills ...
However, you recognise and agree that inevitably, when performing attack and
penetration testing on your systems and when we are attempting to gain entry,
there is a risk that we may cause damage or disruption to those systems or
third party systems and the information and data contained therein and that
any such responsibility remains your sole risk. .
ISSS2008X627993
54
Penetration testing
Terms of business
Legal Liability
In view of the fact that you are asking us to conduct attack and penetration
testing which is intended to simulate a criminal attack, you agree not to take
any action (to the extent permitted by law) against us, or XXXX (our Internet
Service Provider) or any of our suppliers or authors of software who may be
involved in carrying out this work if any breaches of regulations, civil or
criminal law or laws or regulations of any jurisdiction outside Switzerland
(including any future amendments to such regulations or laws) arise from our
testing in accordance with this Engagement Letter.
You will also put in place adequate measures internally to ensure that, in the
event of our work being detected by your staff (or contractors), they do not
directly notify the police or other authorities, but report the matter internally
only. In the event that the police or other authorities are advised of our
activities without your consent, you will promptly advise them that our activities
have been carried out with your full knowledge and permission and that all
access by us is deemed authorised by you.
ISSS2008X627993
55
Penetration testing
Terms of business
Software Licensing
By testing the robustness of your computer systems, we will be seeking to
interact with proprietary software that you will have purchased. In so doing, we
may cause you to be in breach of the terms on which that software was
licensed to you, for example by carrying out reverse engineering. You accept
that such a risk is your responsibility.
ISSS2008X627993
56
Praktische Erfahrungen und
Empfehlungen aus der Revisionspraxis
ISSS2008X627993
57
Praktische Erfahrungen und Empfehlungen
aus der Revisionspraxis
 Soweit möglich: Im Voraus vereinbaren, wie das
Prüfungstestat lauten soll (falls keine Beanstandungen)
 Soweit möglich: Klare Definition des Prüfungsumfangs
ISSS2008X627993
58
Danke für Ihre Aufmerksamkeit!
ISSS2008X627993
59

Das rechtliche und regulatorische Umfeld der IT Systemprüfung

Transcrição

Documentos relacionados

viel (un-)sinn in sachen risikomanagement

International Moto Bike Association - IMBA

list of abbreviations - German Historical Institute Washington DC

Im Fokus: Expertenwissen zu

TIKA in arbeit

Der Einsatz von Datenanalyse-Software in der Internen Revision im

ISAE 3402 und SSAE 16

daniele buetti

Diskriminierung an deutschen Schulen

Hacking, Cracking, Cyberwar – müssen wir wirklich reagieren?