CYBER CRIME. Eine reale Bedrohung für jedes Unternehmen WKO / GRAZ 09. MAI Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.

Transkript

1 CYBER CRIME Eine reale Bedrohung für jedes Unternehmen WKO / GRAZ 09. MAI

2 Vorstellung Georg Beham Georg Beham arbeitet seit 1989 in der IT-Branche und hat einen Master Abschluss in Sichere Informationssysteme. Er ist Geschäftsführender Partner bei Grant Thornton und Herausgeber des Buches Datenschutz-Audit zur DSGVO. Georg Beham und sein Team unterstützen Kunden beim Aufbau von Managementsystemen für Informationssicherheit und Datenschutz. Des Weiteren schreibt Georg Sachverständigen- Gutachten zu computerforensischen Untersuchungen wie Datendiebstahl und Hackerangriffen. Georg Beham ist Gerichtssachverständiger für IT-Forensik, Datenschutz und IT-Sicherheit, Lektor an den Fachhochschulen Hagenberg und Burgenland, an der Donau Universität Krems und der Universität Liechtenstein. Publikationen als Herausgeber und Autor: Publikationen als Mit-Autor: Georg Beham ist Lead Auditor der Österreichischen Computergesellschaft für Informationssicherheitsmanagement - ISO

3 Unser Netzwerk 142 Länder 742 Offices Mitarbeiter 4,5 Mrd. EUR Umsatz Grant Thornton Präsenz Grant Thornton ist weltweit das sechstgrößte Netzwerk von Wirtschaftsprüfungsgesellschaften. Wir betreuen Unternehmen bei allen grenzüberschreitenden Aktivitäten und Transaktionen 3

4 Was wir tun Audit IT Advisory Jahres- und Konzernabschlussprüfungen Prüferische Durchsichten (Review), Sonderprüfungen Jahres- und Konzernabschlusserstellungen Rechnungslegungsbezogene Beratung (UGB und IFRS) Prüfungsnahe und Enforcement Beratung IT Governance Strategy and Alignment Digitalization Productivity Cyber Security IT Audit Tax Business Risk Services Unternehmenssteuern Internationale Besteuerung Umsatzsteuer Global Mobility Services Unternehmensnachfolge Transaction Tax Privatstiftungen Verrechnungspreise Gruppenbesteuerung Integrierte Beratung Compliance Management Risk Management Corporate Governance Forensic & Investigations Data Analytics Services Expert Witness Services Internal Audit / Internal Controls Corporate Intelligence (Business Partner Management) Sustainability Outsourcing Rechnungswesen Finanzbuchhaltung Lohn- / Gehaltsabrechnung Einkommensteuer Personaladministration Controlling / Wirtschaftsberatung Transaction Advisory Services Valuation Transaction Support Mergers & Acquisition Recovery & Reorganisation Debt Advisory Trustee & Competition Service 4

5 CRIME.CYBER CRIME 5

6 Das traditionelle Verbrechen 10

7 Das Verbrechen ist im Umbruch 37 Mrd EUR: Estimated cost of Cyber Crime in the UK. 1 Whereas the illegal drug trade is worth just 13 Mrd EUR a year. 2 1) The Cost of Cyber Crime. Cabinet Office. UK ) crimeagency.gov.uk/crim e-threats/drugs am

8 Botnets und DDoS for Rent Trend Micro Incorporated. Russian Underground 101. Research Paper

9 Hacking for Dummies mit Exploit Kits Critx Pack (affects Java5, Java6 and PDF Lib TIFF) US$ 600 für 3 Monate Blackhole Kit 2012 most prevalent web threat sophos: 28% of detected web threats avg: 91% of detected web threats more than 1,000 customers author earned US$ 50,000 per month 13

10 Exploit Kit for Rent 14

11 Exploit Kit for Rent 15

12 Cyber Risiko Cyberattacks Critical Information infrastructure breakdown Failure of critical infrastructure Data fraud or theft The Global Risks Report 2017 World Economic Forum 16

13 CYBER RISIKO RANDSOMWARE 17

14 Alle sind Betroffen Ransomware 18

15 Alle sind Betroffen Ransomware Ergebnis einer deutschen BSI-Umfrage: Fand in Ihrer Institution innerhalb der letzten sechs Monate eine Infektion mit Ransomware statt? Ein Drittel (32%) aller befragten Institutionen war in den letzten 6 Monaten von Ransomware betroffen unabhängig von der Unternehmensgröße (!) blob=publicationfile&v=4 19

16 CYBER RISIKO FAKE PRESIDENT 20

17 Aktuell: Fake President Angriff Die folgen bei 50 Millionen Euro Schaden: 21

18 Ablauf eines Fake President Angriffes: Wissensaneignung Wissensaneignung über den Markt, die Struktur und Kunden des Zielunternehmens via Insider, öffentlich verfügbare Kanäle (Webseiten, Soziale Netzwerke wie Xing, Facebook und LinkedIn) oder die Platzierung von Malware meist durch kriminelle Organisationen. 22

19 Ablauf eines Fake President Angriffes: Kontaktaufnahme Wissensaneignung Wissensaneignung über den Markt, die Struktur und Kunden des Zielunternehmens via Insider, öffentlich verfügbare Kanäle (Webseiten, Soziale Netzwerke wie Xing, Facebook und LinkedIn) oder die Platzierung von Malware meist durch kriminelle Organisationen. Wissen wird zur Identitätsfälschung verwendet (Ausgabe als Geschäftsführer oder vertrauenswürdiger Partner wie Rechtsanwalt, Notar oder Dienstleister). Die Kontaktaufnahme mit Mitarbeitern mit Zahlungsbefugnissen (Buchhaltung) erfolgt telefonisch oder per . 23

20 Ablauf eines Fake President Angriffes: Wissensaneignung über den Markt, die Struktur und Kunden des Zielunternehmens via Insider, öffentlich verfügbare Kanäle (Webseiten, Soziale Netzwerke wie Xing, Facebook und LinkedIn) oder die Platzierung von Malware meist durch kriminelle Organisationen. Wissensaneignung Kontaktaufnahme Aufbau von Druck Wissen wird zur Identitätsfälschung verwendet (Ausgabe als Geschäftsführer oder vertrauenswürdiger Partner wie Rechtsanwalt, Notar oder Dienstleister). Die Kontaktaufnahme mit Mitarbeitern mit Zahlungsbefugnissen (Buchhaltung) erfolgt telefonisch oder per . Der Betrüger verlangt eine dringende Banküberweisung auf ein Bankkonto im Ausland und verwendet eine Kombination aus vertraulichen Informationen und erfundenen Tatsachen: Hohe Dringlichkeit Autoritäres Auftreten des vermeintlichen Vorgesetzten Erhöhte Geheimhaltung der Transaktion 24

21 Ablauf eines Fake President Angriffes: Wissensaneignung über den Markt, die Struktur und Kunden des Zielunternehmens via Insider, öffentlich verfügbare Kanäle (Webseiten, Soziale Netzwerke wie Xing, Facebook und LinkedIn) oder die Platzierung von Malware meist durch kriminelle Organisationen. Wissensaneignung Kontaktaufnahme Aufbau von Druck Überweisung Wissen wird zur Identitätsfälschung verwendet (Ausgabe als Geschäftsführer oder vertrauenswürdiger Partner wie Rechtsanwalt, Notar oder Dienstleister). Die Kontaktaufnahme mit Mitarbeitern mit Zahlungsbefugnissen (Buchhaltung) erfolgt telefonisch oder per . Der Betrüger verlangt eine dringende Banküberweisung auf ein Bankkonto im Ausland und verwendet eine Kombination aus vertraulichen Informationen und erfundenen Tatsachen: Hohe Dringlichkeit Autoritäres Auftreten des vermeintlichen Vorgesetzten Erhöhte Geheimhaltung der Transaktion Der getäuschte Mitarbeiter führt die Überweisung durch. Durch den Täter erfolgt der Bezug des Geldes von den verwendeten Konten und das Verwischen der Spuren. Die Chance den Täter zu fassen bzw. das Geld zuückzuerhalten, tendiert zu diesem Zeitpunkt gegen Null. 25

22 CYBER RISIKO BUSINESS MAIL COMPROMISE 26

23 Wissensaneignung über das Ziel im Detail: Wissensaneignung Wissensaneignung über den Markt, die Struktur und Kunden des Zielunternehmens via Insider, öffentlich verfügbare Kanäle (Webseiten, Soziale Netzwerke wie Xing, Facebook und LinkedIn) oder die Platzierung von Malware meist durch kriminelle Organisationen. Viele Informationen, die ein Angreifer für einen Fake President Angriff benötigt, sind öffentlich im Internet verfügbar: Homepage des Zielunternehmens Soziale Netzwerke mit Filtermöglichkeiten 27

24 Wissensaneignung: ein Beispiel Projektleiter Experte mit über 15 Jahren Erfahrung bei Bauprojekten; Projektleiter für Großbauprojekte; 28

25 Wissensaneignung: ein Beispiel Max Terf Projekt Manager Bau GmbH Peter Bauer Geschäftsführer Susanne Klaa Buchhaltung 1. Profil des Geschäftsführers eines Bau General Unternehmens auf LinkedIn identifiziert. 2. Projektmanager und Buchhalter des gleichen Unternehmens ebenfalls öffentlich einsehbar. Schweiz Vermittler Oliver Agent Agent 3. Informationen über aktuelles Bauprojekte in der Schweiz auf der Homepage des Unternehmens auffindbar. Dort werden auch Angaben über einen Vermittler gemacht. Errichtung GmbH Frank Construct CTO 4. Nach einer Recherche findet man einen deutschen Baukonzern inklusive dessen Geschäftsführer und Leiter eines dieser Projekte. 5. Betrugskonzept überlegen und durchführen. 31

26 32

27 CYBER SECURITY FRAGEN AN DIE VERANTWORTLICHEN 33

28 Cyber Security Fragen der Unternehmensleitung an die Verantwortlichen Organisatorische Themen Haben wir einen Sicherheitsprozess nach ISO 27001? Gibt es einen Verantwortlichen für das Thema? hat dieser ausreichend Zeit? Führen wir regelmäßig Cyber Security Audits durch? Werden unsere Mitarbeiter regelmäßig geschult? Sind wir für die Abwehr von Cyber Angriffen vorbereitet? Checkliste/Schulungen/Monitoring Haben wir einen Partner, der uns bei Cyber Angriffen unterstützt? Sind wir ausreichen versichert? 34

29 Cyber Security Fragen der Unternehmensleitung an die Verantwortlichen Technische Themen Sind Daten auf Notebooks o. Festplatten verschlüsselt? Werden unsere Systeme regelmäßig aktualisiert? Verwenden wir durchgängig Zwei-Faktor-Anmeldung? Haben wir moderne Methoden zur Schadsoftwareerkennung (mehr als Anti-Virus)? Haben wir ein SIEM-System (zentrales Log-Daten- Management)? 35

30 HYPOTHESE MEINE MITARBEITER SIND ERPRESSBAR 36

31 37

32 GT CYBER SECURITY WIR HELFEN IHNEN SICH SEBST ZU SCHÜTZEN 38

33 PREPARE PROTECT REACT IMPROVE Cyber Security Informationsschutz und Abwehr von Cyber Crime Unsere Vorgehensweise bereitet ihre Organisation auf IT Security Incidents und Cyberangriffe vor: Incident Readiness Assessment Incident Prozesse Checklisten Threat Intelligence Security Operation Center CERT und Forensik Team Beweismittelsicherung Risk Assessment Incident Training Security Audit Penetration Tests Incident Recovery Security Awareness Incident Coordination Ihre Herausforderungen Cyberkriminelle stehlen unser Geld, unsere Ideen und unsere Kundendaten. 100% Sicherheit gibt es im Zeitalter der Digitalisierung nicht. Die Daten aus IT Sicherheitssystemen können aufgrund der hohen Anzahl nicht durch den IT Betrieb bearbeitet und gesichtet werden. Es dauert oft Monate um State-of-the-art Cyberangriffe zu erkennen. Die Verantwortlichkeiten für die Abwehr von Hackerattacken sind in Unternehmen ungeklärt. Das Verhalten bei IT Notfällen wird nicht geübt. Unsere Unterstützungsleistungen Ihr Mehrwert Sie erkennen Cyberangriffe bevor der Schaden entsteht. Ihre Mitarbeiter wehren Cyberangriffe professionell ab. Sie betreiben Ihre Schutzmaßnahmen integriert. Als verlässlicher Geschäftspartner betreiben Sie ihre Prozesse auch in Krisenzeiten souverän. Wir helfen Ihnen sich nach internationalen Good Practices auf Cyberangriffe vorzubereiten: Wir strukturieren Ihre Aufbauorganisation so, dass die Bearbeitung eines IT Security Incidents strukturiert, zielgerichtet und nachhaltig erfolgt. Wir helfen Ihnen das Optimum aus den Daten Ihrer IT Sicherheitssysteme heraus zu holen. Wir verbessern die Zusammenarbeit zwischen IT Betrieb und IT Sicherheit. Wir erstellen für Sie Checklisten, um das Handeln in Krisensituationen zu erleichtern. Wir trainieren Ihr Personal mit Planspielen um im richtigen Zeitpunkt optimal zu reagieren. Prepare Organisationales Zusammenwirken gestalten. Protect & Detect Schutzmaßnahmen betreiben. React Strukturiert auf Vorfälle reagieren. Improve Kontinuierliche Verbesserungsmaßnahmen setzen. 39

34 NEUES GESETZ DSGVO DIE EU DATENSCHUTZ GRUNDVERORDNUNG 40

35 DSGVO GRUNDLAGEN & NEUERUNGEN Die EU-Datenschutz-Grundverordnung tritt am 25. Mai 2018 europaweit in Kraft und ersetzt damit das Bundesdatenschutzgesetz beinahe ganzheitlich. Die Neuerungen treffen jedes Unternehmen jeder Branche und fordern in einer nur kurzen Umsetzungszeit, dass der Bereich Datenschutz von jedem Unternehmen in seiner Gesamtheit überprüft und angepasst wird. Neue Prozesse müssen geschaffen werden. Existierende Muster, Checklisten und Vertragsdokumente sind zu überarbeiten. Datenschutzgrundsätze wie beispielsweise Datenschutz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) treten nun mehr neben die erweiterten Anforderungen einer Datenschutz-Folgenabschätzung (data protection impact assessment) und fordern angepasste technische und organisatorische Maßnahmen. DSG2000 DSGVO 41

36 Wesentliche Neuerungen durch die DSGVO Mehr Verantwortung für den Verantwortlichen / Wegfall des Datenverarbeitungsregisters heute Die Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. 25. Mai 2018 Stärkere Verantwortung für den Verantwortlichen (vormals Auftraggeber) durch Datenschutz durch Technikgestaltung (Privacy by Design). Es sind geeignete technische und organisatorische Maßnahmen und Verfahren (z.b. Pseudonymisierung) zu treffen, damit die Verarbeitung den Anforderungen der Verordnung genügt und die Rechte der betroffenen Personen geschützt werden. Entfall der Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister), dafür neue Regelungen: Erstellung Verzeichnis der Verarbeitungstätigkeiten, wobei der Inhalt ähnlich den derzeitigen DVR-Meldungen ist. Ausnahmen bestehen in Einzelfall (Voraussetzungen) bei Unternehmen mit weniger als 250 Mitarbeiter (gilt auch für Auftragsverarbeiter Dienstleister) 42

37 Wesentliche Neuerungen durch die DSGVO Pflicht zur Datenschutz-Folgenabschätzung Risikobasierter Ansatz Pflicht zur Datenschutz-Folgenabschätzung (Risikoanalyse) bei Verarbeitungsvorgängen, die (insbesondere bei Verwendung neuer Technologien) aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Systematische automationsunterstützte Auswertungen von personenbezogenen Aspekten, z.b. Profiling Bei einer großen Zahl an Datenverarbeitungen von sensiblen Daten Vorherige Konsultation der Aufsichtsbehörde, wenn aus einer Datenschutz- Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der für die Verarbeitung Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. 43

38 Wesentliche Neuerungen durch die DSGVO Pflicht zur Meldung von Data Breaches / Pflicht zur Bestellung eines Datenschutzbeauftragten Meldung von Datenschutzvorfällen sowohl an die nationalen Aufsichtsbehörden (ohne unangemessene Verzögerung möglichst binnen höchstens 72 Stunden nach dem Entdecken) als auch den betroffenen Personen Risikoabwägung für die betroffenen Personen bzw. Aufwandsabwägung Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht für Unternehmen wenn Kerntätigkeit eine regelmäßige und systematische Beobachtung von betroffenen Personen Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien (z.b. Gesundheitsdaten) 44

39 Wesentliche Neuerungen durch die DSGVO Pflicht zur Informationserteilung / Wahrung der Betroffenenrechte Informationen und Betroffenenrechte sind ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats, zu erledigen Ähnlich zum 24 DSG 2000 (Datenschutzgesetz 2000), aber doch umfassender, ist die Informationsverpflichtung des Verantwortlichen (z.b. Dauer der Aufbewahrung, Hinweis auf Betroffenenrechte, usw.) aufgebaut. Zusätzliche Rechte des Betroffenen: Recht auf Vergessenwerden : Der Löschungsanspruch soll auch die Verpflichtung umfassen, alle anderen Verarbeiter, welche die Daten verarbeiten oder sonstige Kopien der Daten angefertigt haben, zu informieren, dass auch diese gelöscht werden müssen. Angemessene Maßnahmen, um Verantwortliche über die verlangte Löschung von Links, Kopien, Replikationen zu informieren Recht auf Datenübertragbarkeit: Personenbezogene Daten sollen einfacher von einem Anbieter auf einen anderen übertragen werden (in strukturiertem, gängigem und maschinenlesbarem Format und ohne Behinderung an andere Verantwortlichen zu übermitteln) 45

40 Wesentliche Neuerungen durch die DSGVO Weitere Betroffenenrechte / Mitteilungspflicht / Stark erhöhte Strafdrohungen Zusätzliche Rechte des Betroffenen: Regelungen betreffend automatisierte Generierung von Einzelentscheidungen einschließlich Profiling: Recht des Betroffenen, in Einzelfällen (Negativergebnis) nicht ausschließlich von automatisierten Entscheidungen betroffen zu sein und die Verpflichtung, den Betroffenen über die Möglichkeit des Widerspruchs zum Profiling zu informieren. Mitteilungspflicht an alle Datenempfänger über jede Berichtigung, Löschung oder Einschränkung; es sei denn unmöglich oder unverhältnismäßig und auf Verlangen: Information an Betroffene über Datenempfänger Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. 46

41 Die Grant Thornton Methodologie Datenschutz-Audit Buch - Kontrollen als Basis für die praktische Umsetzung Das Buch Das Buch "Datenschutz-Audit" deckt die Bereiche Recht, Organisation, Prozess und IT ab. Das Werk bietet Ihnen eine praktisch anwendbare Methodik, um Compliance im Datenschutz nachzuweisen und Audits durchzuführen. Die Autoren führen seit vielen Jahren Datenschutz-Audits in der Praxis durch und legen ihre Erfahrungen jetzt auf die DSGVO um. Datenschutz Kontrollen Der komplexe Gesetzestext der DSGVO wird in klar prüfbaren Kontrollen dargestellt. Diese Kontrollen können von Auditoren sofort zur Prüfung angewendet werden. Ein Unternehmen kann so seiner Selbstverantwortung zur Einhaltung der datenschutzrechtlichen Pflichten nachkommen und dazu beitragen, Strafen bzw. Sanktionen zu vermeiden. Die Kontrollen sind das messbare Ziel Die Kontrollen eignen sich auch als Anleitung zum Aufbau eines Datenschutz Managementsystems. Datenschutz Audit Das entwickelte Audit- Konzept basiert auf der Überprüfung der von den Autoren entwickelten Kontrollen. Die Audit-Methodologie ist angelehnt an Audits von Managementsystemen und leistet vergleichbare, reproduzierbare Audit- Ergebnisse. 47

42 KONTAKT Georg Beham, MSc Partner Grant Thornton Unitreu Advisory GmbH Handelskai 92, Gate 2, 7A 1200 Wien Gewerbepark Urfahr Linz T W Diese Präsentation und eine Verlosung von fünf DSGVO Büchern finden Sie unter: Grant Thornton Unitreu Advisory GmbH. All rights reserved. Grant Thornton refers to the brand under which the Grant Thornton member firms provide assurance, tax and advisory services to their clients and/or refers to one or more member firms, as the context requires. Grant Thornton Unitreu Advisory GmbH is a member firm of Grant Thornton International Ltd (GTIL). GTIL and the member firms are not a worldwide partnership. GTIL and each member firm is a separate legal entity. Services are delivered by the member firms. GTIL does not provide services to clients. GTIL and its member firms are not agents of, and do not obligate, one another and are not liable for one another s acts or omissions