Always On Risiken der digitalen Netzwerke für KMU

Transkript

1 Always On Risiken der digitalen Netzwerke für KMU Dr Ralph Wyss 26. Juni 2015 Wirtschaftsprüfung. Steuerberatung. Audit. Tax. Consulting. Financial Advisory. Consulting. Financial Advisory.

2 Rechtliche Hinweise Diese Publikation ist allgemein abgefasst und kann deshalb in konkreten Fällen nicht als Referenzgrundlage herangezogen werden. Die Anwendung der hier aufgeführten Grundsätze hängt von den jeweiligen Umständen ab und wir empfehlen Ihnen, sich professionell beraten zu lassen, bevor Sie gestützt auf den Inhalt dieser Publikation Handlungen vornehmen oder unterlassen. Deloitte AG berät Sie gerne, wie Sie die Grundsätze in dieser Publikation bei speziellen Umständen anwenden können. Deloitte AG übernimmt keine Verantwortung und lehnt jegliche Haftung für Verluste ab, die sich ergeben, wenn eine Person aufgrund der Informationen in dieser Publikation eine Handlung vornimmt oder unterlässt. Deloitte AG Alle Rechte vorbehalten. 2

3 Ihr Referent Dr. Ralph Wyss, Rechtsanwalt Partner bei Deloitte AG, Forensic Services Stationen: Erfahrungen: Anwaltskanzlei in Wil (SG), Associate PwC St. Gallen und Zürich, Senior Manager y-o-u Swiss Private Banking AG, Managing Director L&C und Projektleiter Wind Down Selbständiger Rechtsanwalt Deloitte AG, Forensic Services, Partner (seit ) Bücher: Besser verhandeln im Alltag (Beobachter Verlag) Kommentar zum Geldwäschereigesetz (2 Auflagen, orell füssli) Kommentar zum Genossenschaftsrecht (in: Kommentar zum OR, 2 Auflagen, orell füssli) Der Gerichtsstand der unerlaubten Handlung (Diss. 1997) VR-Mandate (Auswahl) TvT Compliance AG Goldman Sachs Bank AG Centrum Bank (Schweiz) AG Clientis Bank Oberuzwil AG Namics AG Clientis AG (Gruppe) NordSüd Verlag AG Expertentätigkeiten Europarat: Experte AML/CTF/Corruption Schweizerische Normenvereinigung: E-Business Treuhandkammer: Obmann Recht WP 3

4 Themen Was ist online in einem KMU? Gefahren Gegenmassnahmen 4

5 Was ist online in einem KMU? 5

6 Was ist online in einem KMU? Quiz: Was davon ist nicht online? 6

7 Was ist online in einem KMU? Und was ist damit? 7

8 Was ist online in einem KMU? Erkenntnisse In einem normalen KMU-Umfeld ist es kaum möglich den Überblick darüber zu behalten, was wie online ist. Grundsätzlich kann heute fast alles online sein. Die grösste Unsicherheit liegt im Bereich der Mitarbeiter und ihrer persönlichen Gegenstände sowie ihrer persönlichen Online-Aktivitäten. Wird den Mitarbeitern jegliche persönliche Online-Aktivität untersagt, wird das Verbot umgangen, bewusst oder unbewusst. Wird alles erlaubt, ist die Komplexität der Online-Aktivitäten kaum überschaubar. 8

9 Gefahren 9

10 Gefahren Die Nadel im Heuhaufen Ich bin zu klein um interessant zu sein Volumen ist kein Problem Ein einzelnes Mail fällt doch nicht auf Eine Nadel ist kein Heu 10

11 Gefahren Wolkenloser Himmel Alle Daten liegen in der Cloud Was, wenn der Himmel einmal wolkenlos ist? Wem gehören die Server? Wo sind sie? Wer hat Zugriff darauf? Wir brauchen keine Dokumentationen mehr, wir beziehen alles online Wie vertrauenswürdig sind diese Online-Daten? Wem gehören sie? Werden Ihre Abfragen ausgewertet? Wie zuverlässig ist die Verfügbarkeit? 11

12 Gefahren Hintertürchen DMZ? VPN? DMZ VPN DMZ? VPN? DMZ DMZ DMZ? VPN? 12

13 Gefahren Externe und interne Kommunikation Intern Interne Sitzung Internes Mail Interne Post Kommunikation zwischen VR und GL Und was ist das? Twitter-Nachricht eines Mitarbeiters LinkedIn-Profile Instagram-Post vom internen Apéro Privater Fach-Blog des IT-Chefs Whatsapp-Gruppe der Lehrlinge Extern Brief an Kunde Werbebroschüre an Kunde von nicht zeichnungsberechtigtem Mitarbeiter Extranet mit teilweisem Kundenzugriff Pressemitteilung Kundenapéro 13

14 Gefahren Die Hauswand als Brett vor dem Kopf Wahrnehmung Realität 14

15 Gefahren Arbeitszeit immer Arbeitsort überall Projektarbeit auf dem Schweizer Server via VPN während den Ferien in USA Gelten die Ferien als bezogen? Darf man in USA mit CH-Technologie verschlüsseln? Ist der Kunde mit dem Datenexport in die USA einverstanden? Ist es wirklich der Mitarbeiter, der gerade aus den USA zugreift? Virtuelle VR-Sitzung im 7 Uhr-Zug von Zürich nach Bern Wie viele Amtsstellen hören gerade mit? Hört ein Kunde mit? Wer fotografiert gerade meinen Jahresabschluss? 15

16 Gefahren Die Virtualisierung des Unternehmens Die jederzeitige Verfügbarkeit einer standardisierten Kommunikationsinfrastruktur zwischen modernen Unternehmen auf der ganzen Welt generiert eine zunehmende Virtualisierung und Vernetzung der Geschäftsprozesse. Welche Prozesse kontrolliert ein KMU heute tatsächlich noch selbst, und bei welchen Prozessen ist es bereits fremdgesteuert? Automatisierte Geschäftsprozesse können von innen und von aussen manipuliert werden. Das Anbieten von Bestellplattformen (insbesondere B2B) und deren Verlinkung mit einem ERP-System kann missbraucht werden, um Preisspannen der Konkurrenz auszuloten oder sogar kurzfristig die Verfügbarkeit des Konkurrenzangebots zu blockieren. 16

17 Gegenmassnahmen 17

18 Gegenmassnahmen IT (Hard- und Software) Der Aufbau von IT-Infrastruktur gehört in die Hände von Profis. Eine schlecht gewartete IT-Infrastruktur ist nach kurzer Zeit ein Risiko. Die Sicherheitsstufe der IT-Infrastruktur muss auf Basis einer umfassenden Bedürfnis- und Bedrohungsanalyse festgelegt und anschliessend konsequent umgesetzt werden. Auch die eingesetzte Software ist Teil der Bedrohungsanalyse. Das Installieren neuer Software muss Gegenstand einer erneuten Analyse sein. Alle elektronischen Geräte und Installationen müssen in die Bedrohungsanalyse einbezogen werden. Ohne regelmässige Kontrollen durch qualifizierte Stellen verkommt ein Konzept schnell zur Makulatur. 18

19 Gegenmassnahmen Mitarbeiter Die Mitarbeiter sind eines der schwächsten Glieder im Sicherheitsdispositiv. Sie sind intelligent, kreativ und lassen sich nur schwer überwachen (ArGV 3). Rigorose Verbote oder komplizierte Prozesse provozieren Umgehungsmassnahmen, die oft grössere Risiken verursachen als eine etwas gelockerte, dafür kontrollierte Regelung. Eine Kultur des Vertrauens und des vorbildlichen Verhaltens bringt mehr als Misstrauen und strenge Kontrollen. Eine gute Menschenführung erhöht automatisch auch die Sicherheit der Systeme (Beispiel Datendiebstähle in Banken) Der Schutz der Systeme und Daten sollte als eine gemeinsame Aufgabe verstanden und organisiert sein. Wer schwerfällige IT gegen dynamische Verkaufsfront ausspielt, setzt falsche Anreize. 19

20 Gegenmassnahmen Daten Ein Geheimnis bleibt dann geheim, wenn es niemand kennt. Need to know ist der beste Schutz. Systeme sind nie vollständig sicher, schon gar nicht diejenigen eines am Markt operierenden KMU, das die Kosten im Griff haben muss. Was immer ich mit Systemen teile, sollte mich nicht existenziell bedrohen, wenn es durchsickert. Keine Rosinen erschaffen: H:/GL/Geheim/Provisionszahlungen.docx Backups, Trash Folders, Archives, Redundant Systems, Caches, etc. nicht vergessen Klare Cloud-Strategien. Es gibt keine absolut vertrauliche Cloud. Massnahmen planen für den Fall eines Datenverlusts. Versicherung, Kommunikation, Szenarien 20

21 Gegenmassnahmen Organisation und Prozesse Die Kontrolle der Datenströme im, vom und zum Unternehmen ist nicht mehr isolierte Aufgabe des IT-Chefs, sondern stellt einen wesentlichen Bestandteil der Geschäftstätigkeit in jedem Unternehmen dar. Entsprechend ist die Anpassung der Organisation und Prozesse an diese Realität eine Aufgabe der gesamten Geschäftsleitung. Der Verwaltungsrat hat die Erfüllung dieser Aufgabe im Rahmen seiner jährlichen Risikobeurteilung zu hinterfragen und zu überwachen. Dabei ist auch zu prüfen, inwiefern Geschäftspartner durch die Einbindung in die eigenen Prozesse diese absichtlich oder unabsichtlich manipulieren oder stören können. 21

22 Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited ("DTTL"), eine "UK private company limited by guarantee" (eine Gesellschaft mit beschränkter Haftung nach britischem Recht) und ihren Mitgliedsunternehmen, die rechtlich selbständig und unabhängig sind. Eine detaillierte Beschreibung der rechtlichen Struktur von DTTL und ihrer Mitgliedsunternehmen finden Sie auf unserer Webseite unter Deloitte AG ist eine Tochtergesellschaft von Deloitte LLP, dem Mitgliedsunternehmen in Grossbritannien von DTTL. Deloitte AG ist eine von der Eidgenössischen Revisionsaufsichtsbehörde (RAB) und der Eidgenössischen Finanzmarktaufsicht FINMA zugelassene und beaufsichtigte Revisionsgesellschaft. Diese Publikation ist allgemein abgefasst und kann deshalb in konkreten Fällen nicht als Referenzgrundlage herangezogen werden. Die Anwendung der hier aufgeführten Grundsätze hängt von den jeweiligen Umständen ab und wir empfehlen Ihnen, sich professionell beraten zu lassen, bevor Sie gestützt auf den Inhalt dieser Publikation Handlungen vornehmen oder unterlassen. Deloitte AG berät Sie gerne, wie Sie die Grundsätze in dieser Publikation bei speziellen Umständen anwenden können. Deloitte AG übernimmt keine Verantwortung und lehnt jegliche Haftung für Verluste ab, die sich ergeben, wenn eine Person aufgrund der Informationen in dieser Publikation eine Handlung vornimmt oder unterlässt. Deloitte AG Alle Rechte vorbehalten.