Herzlich willkommen zur Lernwerkstatt Cyber Security Sicherheit im elektronischen Zahlungsverkehr

Transkript

1 Herzlich willkommen zur Lernwerkstatt Cyber Security Sicherheit im elektronischen Zahlungsverkehr Präsentiert von: Matthias Bossardt Markus R. Meyer KPMG UBS Switzerland AG 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 1 Document Classification: KPMG Public

2 Cyber Security für KMU Prävention, Erkennung und Reaktion 25. August 2017 Dr. Matthias Bossardt Partner, Leiter Cyber Security

3 Die Anzahl der Cyber-Attacken steigt 97% der Umfrageteilnehmer aus diversen KMUs haben in den letzten 12 Monaten eine Cyber-Attacke erlebt (Ergebnisse aus den Vorjahren: 2017: 88% 2016: 54% 2015: 52%) Welche Auswirkungen auf Ihr Geschäft hatten die erfolgten Cyber-Attacken? (in Prozent ) Betriebsunterbrechungen Reputationsschaden Finanzieller Verlust Weitergabe von internen vertraulichen Informationen Weitergabe von vertraulichen Informationen über Kunden oder Geschäftspartner Datenmanipulation Sonstige Auswirkungen Unberechtigte Weitergabe von persönlichen Daten Ich weiss es nicht 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 3 Document Classification: KPMG Public

4 Zwei Geschwindigkeiten bei der Reaktionsfähigkeit der Unternehmen 25% der Grossunternehmen haben keinen Reaktionsplan für Cyber- Zwischenfälle 41% der KMUs haben keinen Reaktionsplan für Cyber- Zwischenfälle 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 4 Document Classification: KPMG Public

5 Was steht auf dem Spiel? Impact Vertrauensverlust seitens Kunden und Geschäftspartner Reputationsschaden Verlust von geistigem Eigentum Zeitverlust und administrative Kosten Vermögensschäden Gerichtskosten Kunden, Geschäftspartner, Investoren und Aufsichtsbehörden fordern vermehrt die Geschäftsleitungs- und Verwaltungsmitglieder auf, ihre Tätigkeiten in dem Gebiet aktiv aufzuzeigen. Sie erwarten Informationsschutz sowie widerstandsfähige Systeme gegen Störungen und vorsätzliche Angriffe Cyber ist ein operationelles Risiko - eine Kontrolle durch Geschäftsleitung und Verwaltungsrat ist ein Muss 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 5 Document Classification: KPMG Public

6 Cyber Risiken sind überall Bis 2020 werden 20.8 Milliarden Geräte ans Internet angeschlossen sein, die über 20 Zettabytes generieren werden Quelle: Gartner 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 6 Document Classification: KPMG Public

7 Kenne den Feind Es ist sehr wichtig die Motivation, das Vorhaben, das Vorgehen und die Instrumente der Angreifer zu verstehen, An understanding of the motivation, intent, strategy, um tactics Bedrohungen and the tools zu of the antizipieren, attackers is Angriffe critical in zu verhindern und erkennen order to anticipate sowie im threats Notfall and effektiv effectively zu prepare reagieren for, prevent, detect and respond to attacks KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 7 Document Classification: KPMG Public

8 Was ist das Ziel der Cyber-Attacken? HACKTIVISM ORGANISIERTE KRIMINALITÄT INSIDER STAATEN Hacking, die von Ideologie inspiriert sind Global, schwer zu verfolgen und zu bestrafen Intentional oder unintentional Spionage und Sabotage Motivation: Wechselnde Zugehörigkeiten dynamisch, unberechenbar Motivation: finanzielle Vorteile Motivation: Neid, finanzielle Vorteile Motivation: politischer, wirtschaftlicher und militärischer Vorteil Absicht: Störung der öffentlichen Ordnung, Reputationsschaden Absicht: Informationsdiebstahl; Erpressung Absicht: Störung oder Zerstörung, Informationsdiebstahl, Reputationsschaden Absicht: Störung oder Zerstörung, Informationsdiebstahl, Reputationsschaden 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 8 Document Classification: KPMG Public

9 Kein Know-how erforderlich Einkauf im Darknet 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 9 Document Classification: KPMG Public

10 Kennen Sie Ihre «Kronjuwelen»? 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. Document Classification: KPMG Public 10

11 11 Grundmassnahmen für Cyber Security 1) Zuweisen von Rollen und Verantwortlichkeiten für die Informations- und Systemsicherheit 2) Kennen der eigenen Kronjuwelen und Verstehen vom Cyber-Risiken-Gefährdungspotenzial 3) Verstehen, welche Systeme im Netz vorhanden sind, Entfernen von verdächtigen oder veralteten/obsoleten Systemen. 4) Durchführung von Sensibilisierungskampagnen und Training für ALLE Benutzer zum Thema Sicherheit 5) Zugriffsbeschränkung auf Daten und Systeme für die Mitarbeiter und Dritte 6) Regelmässiges Patchen von Systemen und Überprüfung auf Malware 7) Netzüberwachung und Segmentierung und sicherer externer Zugriff via Firewalls, VPN, Zwei-Faktor-Authentifizierung 8) Durchführung von periodischen Sicherheitsprüfungen 9) Sicherheit und Datenschutz bei Einkauf/Entwicklung von neuen Prozessen und Systemen 10) Back-up von Daten und Systemen-Konfiguration 11) Aufbauen und Testen von Reaktionsplänen für Cyber-Vorfälle 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 11 Document Classification: KPMG Public

12 Matthias Bossardt Partner, Head Cyber Security Dr. sc. techn. ETH Kpmg.ch/socialmedia Kpmg.com/app The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received, or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. Document Classification: KPMG Public

13 Öffentlich Sicherheit im elektronischen Zahlungsverkehr UBS Switzerland AG Markus R. Meyer, Dr. oec. HSG Managing Director, Head Cash Management Services

14 Zahlungsprozess Kunde - Bank Typische Angriffsmuster: Bank Kunde Eigene Systeme, Prozesse und Daten schützen Sichere Verbindungen Eigene Systeme, Prozesse und Daten schützen Gefälschte Rechnungen 'CEO Mail Fraud' Mit Trojaner und Auftrag via Telefon/Mail Mit Trojaner Mutation von Rechnungen oder Zahlungsaufträgen 14

15 Beispiel zu : CEO Mail Fraud (Quelle: MELANI) 15

16 Beispiel zu : IBAN geändert auf pdf-rechnung 16

17 Unterstützung durch UBS-Dienstleistungen Eigene Systeme, Prozesse und Daten schützen Bank Kunde Sichere Verbindungen Eigene Systeme, Prozesse und Daten schützen UBS e-banking Einzelzahlungen Manueller Upload von Files UBS KeyPort automatische Übermittlung von Files (Host-2-Host) Mögliche unterstützende UBS-Dienstleistungen 17

18 UBS e-banking: Beispiel Begünstigten-Bestätigung Bei Einzelunterschriftsberechtigung: Zahlungen nur an freigegebene Kontonummern Eine einmalige Zusatzprüfung wird bei der Erfassung einer Online- Zahlung mit unbekannten Begünstigten-Konto verlangt (Begünstigten-Signierung). Die bestätigten Begünstigten der letzten 24 Monate können im E- Banking eingesehen und verwaltet werden. 18

19 UBS e-banking: Beispiel Ländereinschränkungen Zahlungen in von Ihnen definierte Länder sind blockiert. Blockieren von Ländern und /oder Regionen für den Zahlungsverkehr via E-Banking 19

20 UBS e-banking: Beispiel monatliches Überweisungslimit Überweisungslimit für Online-Zahlungen 20

21 UBS e-banking: Beispiel kollektive Zeichnungsberechtigung Freigabe von Zahlungen oder Files durch Zweitperson über separaten Kanal Online-Zahlungen Erfassung mittels Zahlungsdatei 21

22 UBS KeyPort: Daten automatisch übertragen Kunde UBS UBS KeyPort Mobile (ab Mitte 2017) - Freigabe (VEU) - Kontoübersicht UBS KeyPort Web - Freigabe (VEU) - Zahlungserfassung - File Up-/Download - Kontoreporting Separate Freigabe der Files über alternative Kanäle Kunden ERP Software - Zahlungserfassung - File Up/Download Signierung von Files * Host-to-Host Filetransfer UBS KeyPort - EBICS Benutzer - bewirtschaftbare Konten - Unterschriftenregelung - Limiten * muss unterstützt werden durch ERP-Software 22

23 Zusammenfassung der Tipps 23

24 Tipps zu Cyber-Risiken 1) Zuweisen von Rollen und Verantwortlichkeiten für die Informations- und Systemsicherheit 2) Kennen der eigenen Kronjuwelen und Verstehen vom Cyber-Risiken-Gefährdungspotenzial 3) Verstehen, welche Systeme im Netz vorhanden sind; Entfernen von verdächtigen oder veralteten/obsoleten Systemen 4) Durchführung von Sensibilisierungskampagnen und Training für ALLE Benutzer zum Thema Sicherheit 5) Zugriffsbeschränkung auf Daten und Systeme für die Mitarbeiter und Dritte 6) Regelmässiges Patchen von Systemen und Überprüfung auf Malware 7) Netzüberwachung und Segmentierung und sicherer externer Zugriff via Firewalls, VPN, Zwei-Faktor-Authentifizierung 8) Durchführung von periodischen Sicherheitsprüfungen 9) Sicherheit und Datenschutz bei Einkauf/Entwicklung von neuen Prozessen und Systemen 10) Back-up von Daten und Systemen-Konfiguration 11) Aufbauen und Testen von Reaktionsplänen für Cyber-Vorfälle 24

25 Tipps zu Sicherheit im elektronischen Zahlungsverkehr Genaue inhaltliche Prüfung von Rechnungen Trojaner-Abwehr: keine verdächtigen Attachments öffnen und Antivirus und Betriebssystem immer aktualisiert halten Nie persönliche Zugangsdaten (Login, Keys, etc.) via Telefon oder Mail bekanntgeben Zentrale Prüfung und Mutation von Zahlungsbegünstigten-Konten Klare Regeln, wer Zahlungen freigeben kann Idealerweise immer Kollektivunterschrift und wenn möglich Zahlungsfreigabe über zweiten Kanal Weitere Infos unter: oder 25

26 Herzlichen Dank! #digitalkmu KPMG Matthias Bossardt, Partner, Leiter Cyber Security Tel / mbossardt@kpmg.com UBS Switzerland AG Markus R. Meyer, Managing Director, Head Cash Management Services Tel / markus.meyer@ubs.com