Risiken bei der Übermittlung von Geschäftsdokumenten 21. Juni 2017, Basel

Ähnliche Dokumente
Keine Pflicht zur Signatur

Eidgenössisches Finanzdepartement EFD Gesetzliche Anforderungen an die elektronische Rechnung aus Sicht der ESTV

FeRD Konferenz Die E-Rechnung in Industrie und Handel. Simone Sporing, Leiterin B2B Berlin,

swissdigin-forum Fallbeispiel: Hybrid-Rechnung für Betriebskosten-Rechnungen, Coop Simone Sporing, Leiterin B2B Olten,

WE MANAGE INFORMATION

Prof. Dr. Winfried Kluth IWE GK. Universität Halle-Wittenberg

Stufe IV. EDI-Software und Übertragungswege. Klaus Kaufmann, GS1 Germany, Juli 2016

Rechtssicherer Austausch elektronischer Rechnungen: Umsatzsteuerliche und buchhalterische Aspekte

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Aktuelle steuerrechtliche Anforderungen im E-Invoicing

WIR VERFÜGEN ÜBER EIN LANGJÄHRIGES KNOW-HOW

EU DSGVO Umsetzung im Unternehmen:

Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen?

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

E-Invoicing und MWST- Prüfung

Elektronische Rechnungen einfach und sicher!

Datenstrom oder Papierstau im Archiv?

swissdigin-forum PDF-Rechnungen, aber richtig! In welchen Szenarien die PDF-Rechnung passt. Basel, 23. November 2016 Leitung Prof.

E-Government-Forum der öffentlichen Verwaltung in Schleswig-Holstein E-Government und Datenschutz

von / nach CH Fokus auf der elektronischen Signatur Merkmale der grenzüberschreitenden Rechnungsstellung

ebilling 2013 Was bedeutet die neue EU-Regelung für den österreichischen Handel und Industrie?

An die Kirchengemeinden und die Kirchenkreise in der EKBO

Grundlagen des Datenschutzes. Gliederung zur Vorlesung im Sommersemester 2008 an der Universität Ulm von Bernhard C. Witt

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

Mittelstand im Visier von virtuellen Angreifern

SMart esolutions Informationen zur Datensicherheit

ICT-Sicherheitsleitlinie vom 11. August 2015

DATENSCHUTZ in der Praxis

Änderung vom 17. September 2007 der Verordnung des EFD über elektronisch übermittelte Daten und Informationen (ElDI-V)

GDPR-Datenschutz-Compliance:

Anforderungen an elektronisch übermittelte Rechnungen

CEMA online IT.Special: Wie werden Unternehmen der DSGVO gerecht? Vortrag 4: Wie werden Unternehmen der. Andreas Swierkot CEMA Management Consultant

E-Government Forum. Austauschs- und Koordinationsgremium 10. Mai 2017

Ein neues Instrument aus der DS-GVO

Steuerliche Aspekte der erechnung. Stefan Groß Steuerberater CISA (Certified Information Systems Auditor)


Rechtliche Rahmenbedingungen für elektronische Transaktionen. Ein kurzer Überblick über die rechtlichen Fragen des E-Business

Persönliche Schutzausrüstung. Pausenverpflegung. Reinigung & Hygiene. Büroartikel. IT- Zubehör & Büromaschinen. Verpackung & Versand

Public IT Security PITS 2017

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Überprüfung der elektronischen Signatur

Archivierung von elektronischen Rechnungen

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

Sicherheit und Datenschutz. Bei apager PRO. Alamos GmbH

von Roger Jaquet, Business ControllingPartner AG Zürich, 3. September 2015

als sichere Variante in Ihrer Digitalisierungsstrategie! DOXNET, Baden-Baden, 26. Juni 2018

Motivation und Orientierungshilfe: Was leisten Signaturen?

Grundlagen für die Annahme von elektronischen Rechnungen im Bereich der öffentlichen Verwaltung gegenüber Unternehmen

Datenschutzzertifizierung Datenschutzmanagementsystem

WIE SICHER IST DER INHALT IHRER S? Sicher mit Secure -as-a-Service

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

Privacy by Design - Begriff und Relevanz in Digitalisierungsprozessen

LEHLEITER + PARTNER TREUHAND AG

swissdigin-forum Interoperabilität und Roll-out von E-Invoicing-Lösungen Basel, 20. Juni 2018 Leitung Prof. Christian Tanner

Virtual Private Networks

Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

Rechtslage bezüglich Datenhaltung in der Schweiz

Anwendungsbeispiel für ein Verzeichnis von Verarbeitungstätigkeiten 1 gem. Art. 30 DS-GVO

Sind Sie bereit für die neue Datenschutz-Grundverordnung der EU?

NEUE ENTWICKLUNGEN IM DATENSCHUTZ DATENSCHUTZ VERTRAUENSRÄUME SCHAFFEN. Dorothee Schrief, it-sa Nürnberg,

Elektronik statt Papier. Teil 1: Fit für die E-Bilanz Teil 2: Weg frei für die E-Rechnung

Secure So sicher wie ein Brief mit Siegel. Kundeninformation

Datenschutz und Datenübertragbarkeit

Die Europäische Datenschutz- Grundverordnung. Schulung am

Verzeichnis von Verarbeitungstätigkeiten mit personenbezogenen Daten [1] gem. Artikel 30 DS-GVO

IT-Sicherheit am Mittag

Elektronische Signatur für elektronische Geschäftsprozesse

Elektronische Eingangsrechnungen in der Praxis

Datenschutzreform 2018

Moderne Bedrohungen moderne Maßnahmen

Die praktische Umsetzung der EU- DSGVO mit IT-Sicherheitsprodukten. Sascha Paris Snr. Sales Engineer, Sophos

Möglichkeiten der sicheren Kommunikation mit Zurich

Sichere E -Mail. E- Mails versenden aber sicher! Kundenleitfaden Kurzversion. Stadt-Sparkasse Langenfeld

Energiewirtschaftlicher Datenaustausch

IT-Sicherheit am Mittag

Cyber Crime. Gefahren, Bedrohung, Ursachen, Massnahmen. KZEI Fyrabig-Anlass vom 22. März 2018

Your EDI Competence Center

Denn es geh t um ihr Geld: Kryptographie

NGO Tag - Sicherheit und Datenschutz in der Cloud Microsoft Deutschland GmbH Unter den Linden 17, Berlin

Human Centric Innovation

Möglichkeiten der Nutzung der E-Rechnung bei Unternehmen aus Sicht eines E-Rechnung Service-Providers

VALUE ADDED IT-DISTRIBUTOR. AUS ÜBERZEUGUNG. SicherheIT für Systemhäuser

Rechtliche Aspekte der elektronischen Archivierung. Datenschutz-Forum 28. Juni 2005

Digitale Implantate Steuerung, Programmierung und Monitoring über die Cloud ETHICS AND CYBERSECURITY IN HEALTH CARE

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

Cybersicherheit in der Smart Factory

-Archivierung in der Netmail Cloud

Übersicht über die IT- Sicherheitsstandards

Datenschutzgrundverordnung

SECURE & WEBMAIL

Anforderungen des Datenschutzes an die (Technik-)Gestaltung

-Verschlüsselung im Unternehmen: Pflicht und Kür. Marcel Mock, CTO, totemo ag

Grundlagen des Datenschutzes und der IT-Sicherheit (9) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Digitalisierung versus Datenschutz und IT-Sicherheit. Peter Haase

EU-Datengrundschutzverordnung - Mehr als die Anforderung Daten zu verschlüsseln

Man soll die Dinge so einfach wie möglich machen, aber nicht einfacher." - Chancen und Handlungsempfehlungen

Transkript:

Risiken bei der Übermittlung von Geschäftsdokumenten Swisscom@swissDIGIN-Forum, 21. Juni 2017, Basel

Die technische Sicht Dominique Brack Senior Security Consultant, Swisscom

Sicherheit ist ein Prozess > Personen > Prozesse > Sicherheitsüberprüfung > Stellenbeschreibung > Kompetenzen > Verantwortung > Vieraugenprinzip > Stellvertreterregelung > Gesetzliche Grundlagen > Technologie > Übertragungsprotokolle > Integrität, Verfügbarkeit, Vertraulichkeit 3

Die Hackersicht > Personen > Prozesse > Sicherheitsüberprüfung > Stellenbeschreibung > Kompetenzen > Verantwortung > Vieraugenprinzip > Stellvertreterregelung > Gesetzliche Grundlagen > Technologie > Übertragungsprotokolle > Integrität, Verfügbarkeit, Vertraulichkeit 4

Die Risiken > Person > Insider Risiko > Falsche Rechnungen > Falsche Begünstigte > 2-fach Rechnungen > Keine Rechnung > Überschr. v. Limiten > Geldwäscherei > Menschliche Fehler > Prozesse > Gesetzl. Grundlage fehlt > Kein 4-Augenprinzip > Keine Stellvertreterregelung > Falsche Berechtigungen > Nicht Revisionssicher > Kein BCM und DR > Kein Sicherheitskonzept > Kein SLA (Outsourcing oder Infrastruktur) > Verantwortung unklar > Keine Risikoanalyse > Keine aktives Monitoring der allg. Bedrohungslage > Technologie > Keine Persönlichen Accounts > Keine Zertifikate > Keine Security Updates > Keine Verfügbarkeit > Veraltete Kom. Protokolle > Malwareschutz nicht aktuell > Antivirenschutz nicht aktuell > Ungenügende Segregation > Keine Redundanz > Shellshock, Heartbleed, Poodle > Ransomware Befall 5

Übersicht der Protokolle AS 2 HTTP(s) (s)ftp SMTP / E-Mail X.400

General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679) > Organisationen ohne Niederlassung in der EU Fähigkeit, die laufende Vertraulichkeit, Integrität, und Verfügbarkeit zu gewährleisten Sicherheitsvorfall Mitteilung ist unverzüglich oder spätestens nach 72 Stunden Pseudonymisierung und Verschlüsselung personenbezogener Daten 10 000 000 oder 2 % seines gesamten weltweiten Jahresumsatzes oder bis zu 4% 7

SPAM Legitimate mail Email Prozess Incoming 8 > email black list/ white list > Antivirus > Antispam > Antimalware > Quarantine > SPF > Phishing/ Spearphishing

Integritätsnachweis, Herkunftsnachweis Verschlüsselung Authentisierung Beziehungsvertraulichkeit Lesebestätigung Sendebestätigung, Lesequittung egov Behörde nach CH Recht Email Email Typ Standard email Signiertes email Verschlüsseltes email ZertDS email 9

Aus Prozess-Sicht Patric Knus Sales Executive Conextrade, Swisscom

Klassische Ziele der Informationssicherheit Integrität Authentizität Verfügbarkeit Korrektheit und Unversehrtheit der Daten Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit Anforderungen zu Zeitrahmen und Qualität

Der elektronische Geschäftsverkehr EGV: Keine Pflicht zur digitalen Signatur Bei übermittelten und aufbewahrten Daten, die für den Vorsteuerabzug, die Steuererhebung oder den Steuerbezug relevant sind, muss unabhängig davon, ob sie auf Papier oder elektronisch vorliegen, der Nachweis des Ursprungs und der Unverändertheit erbracht werden. Bei elektronischen Daten ist dieser Nachweis insbesondere dann erbracht, wenn die elektronischen Daten digital signiert sind. Eine digitale Signatur bietet den besten Schutz vor nicht feststellbaren Veränderungen. Aufgrund des Grundsatzes der Beweismittelfreiheit kann der Nachweis des Ursprungs und der Unverändertheit aber auch dann als erbracht angenommen werden, wenn die Grundsätze ordnungsmässiger Buchführung nach Artikel 957a OR eingehalten sind. Die Papierrechnung und die elektronische Rechnung sind gleichgestellt, denn die Grundsätze ordnungsmässiger Buchführung gelten für alle Arten von Buchungsbelegen. Quelle: https://www.estv.admin.ch/estv/de/home/mehrwertsteuer/fachinformationen/elektronischer-geschaeftsverkehr.html

Der elektronische Geschäftsverkehr EGV: Keine Pflicht zur digitalen Signatur Bei übermittelten und aufbewahrten Daten, die für den Vorsteuerabzug, die Steuererhebung oder den Steuerbezug relevant sind, muss unabhängig davon, ob sie auf Papier oder elektronisch vorliegen, der Nachweis des Ursprungs und der Unverändertheit erbracht werden. Bei elektronischen Daten ist dieser Nachweis insbesondere dann erbracht, wenn die elektronischen Daten digital signiert sind. Eine digitale Signatur bietet den besten Schutz vor nicht feststellbaren Veränderungen. Aufgrund des Grundsatzes der Beweismittelfreiheit kann der Nachweis des Ursprungs und der Unverändertheit aber auch dann als erbracht angenommen werden, wenn die Grundsätze ordnungsmässiger Buchführung nach Artikel 957a OR eingehalten sind. Die Papierrechnung und die elektronische Rechnung sind gleichgestellt, denn die Grundsätze ordnungsmässiger Buchführung gelten für alle Arten von Buchungsbelegen. Quelle: https://www.estv.admin.ch/estv/de/home/mehrwertsteuer/fachinformationen/elektronischer-geschaeftsverkehr.html

Stand gestern Rechnungssteller Sichere Verbindung zum Provider. Provider Anbringen der Signatur. Rechnungsempfänger Sichere Verbindung zum Provider. Signatur und gesicherte Übermittlung: Authentizität und Integrität der Daten ist garantiert 14

Stand morgen Rechnungssteller Ungesicherte Verbindung zum Handelspartner. Rechnungsempfänger Ungesicherte Verbindung zum Handelspartner. Keine Signatur und ungesicherte Übermittlung: Authentizität und Integrität der Daten ist technisch NICHT garantiert 15

Beispiel Änderungen und entstehende Tendenzen Veränderung Konsequenz Wegfall der Signaturpflicht Prozessvereinfachung Zunahme von elektronischen Rechnungen per Mail Gleichstellung von physischer und elektronischer Rechnung Entwicklung neuer Risiken: Spam, Spoofing, Data Privacy, Data Leaking, etc.. Eigenverantwortung der Handelspartner steigt

Aus Sicht von Conextrade Integrität Eine gesicherte Übermittlung schützt die Integrität von Daten Authentizität Die Relevanz von sicheren Verbindungen nimmt zu Verfügbarkeit Zuverlässigkeit der E-Mail als Übertragungsmedium ist nicht gewährleistet Eine digitale Signatur bietet weiterhin den besten Schutz Veränderungen Neue Services unterstützen bei ungesicherter Übermittlung (z.b. White Listing bei E-Mail) Sicherstellung der Rechnungszustellung Implementierung neuer Technologien / Methoden (z.b. Blockchain) Der Provider muss helfen, die Authentizität sicherzustellen Status der Rechnungsbearbeitung ist wünschenswert 17

Fazit Freiheit bedeutet nicht Einfachheit! Der Weg über Provider bedeutet nicht nur Rechtssicherheit, sondern auch Prozessvereinfachung Strukturierte Übertragung erspart unstrukturierte Kommunikation 18

Vielen Dank! Basel, 21. Juni 2017

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback