Herzlich willkommen zur Lernwerkstatt Cyber Security Sicherheit im elektronischen Zahlungsverkehr

Ähnliche Dokumente
Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle

Clarity on Business Location Switzerland

Buchführung und Führung der Lohnagenda kpmg.cz

advocaten avocats attorneys KPMG Tax & Legal Advisers German Desk in Belgien Seite 1

Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12.

Check Out. Hack in CYBER SECURITY. NEU GEDACHT. ITB Berlin 5. März 2015

Geschäftsmodelle im Asset Management Was sind die Erfolgsfaktoren?

Sicherheit um jeden Preis? Bietet die zertifizierte Sicherheit garantierte Sicherheit?

Herzlich Willkommen zum Swiss Insurance Club

Herzlich Willkommen zum Vortrag: Sicherheit im Internet

Corporate Digital Learning, How to Get It Right. Learning Café

Print-to-Web: Der digitale Sprung vom Verpackung in mobile Kommunikationsnetze

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

Zürcher Steuermonitor

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg,

Vermögensanlagen aus Sicht der Revisionsstelle Norbert Kühnis, Partner Wirtschaftsprüfung 3. Juni 2014

FATCA implementieren in der Schweiz vom Projekt bis zum operativen Prozess SVV Präsentation 4. April 2013

KPMG Consulting AG. CRM im deutschen und österreichischen Maschinen- und Anlagenbau (MAB) Marktstudie/Auszug. München, im Juli 2002

Internationaler Zahlungsverkehr

Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH

KAG Revision Steuerliche Fragen und Auswirkungen SECA Evening Event: 6. März 2013

Kodierrevisionen und Medizincontrolling -Der externe Blickwinkel-

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

Die IT Sicherheit der BEKB BCBE

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

Schweizer. Familienunternehmen. Gefahr. Eine Analyse der Auswirkungen der Erbschaftssteuer- Initiative auf

Mobile Workforce - Klare Sicht statt Blindflug

IT Security The state of the onion

Mobile Workforce - Klare Sicht statt Blindflug

EEX Kundeninformation

Personal Firewall. Ein weiterer Schritt zu umfassender IT-Sicherheit. Norbert Pohlmann. Vorstand Utimaco Safeware AG. Internet.

NETWORK AS A SENSOR AND ENFORCER. Christian Besselmann, Brühl,

Reale Angriffsszenarien Advanced Persistent Threats

Reform der Verrechnungspreisregularien. 4. Februar 2015

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April,

Level 1 German, 2012

Elektronische Identifikation und Vertrauensdienste für Europa

Vielen Dank für Ihre Aufmerksamkeit!

Cloud Monitor 2017 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz

SECA Seminar Private Equity für Pensionskassen

Interimsmanagement Auswertung der Befragungsergebnisse

IT-Security Herausforderung für KMU s

Minder-Initiative. Auf dem Weg zum neuen Aktienrecht. Therese Amstutz Fürsprecherin, LL.M. Severin Isenschmid Rechtsanwalt.

Locky & Dridex legen deutsche Behörden lahm. Wie intelligenter proaktiver Schutz vor Cyber-Angriffen aussieht

Informationen schützen Ihr Geschäft absichern ConSecur GmbH

ICON Switzerland 2015 Praxisbeispiel Connections an der Universität Zürich

Compass Event Vorträge. Ivan Bütler 13. August Willkommen!

Level 2 German, 2013

Cameraserver mini. commissioning. Ihre Vision ist unsere Aufgabe

iso20022.ch Top Event Herbst 2015

Wie Unternehmen 2014 kompromittiert werden

Security 2.0: Tipps und Trends rund um das Security Information und Event Management (SIEM)

lyondellbasell.com Sicherheit im Internet

Microsoft Modern Business Forum

Sicherheit im Wandel die 5 Zeitalter der IT-Sicherheit

IT kompetent & wirtschaftlich

Office 365 Partner-Features

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Hackerangriffe und Cyber Security im Jahr 2015

Infoanlass für Business-Software-Anbieter EBICS und ISO 20022: Ihre Summe ist mehr als ihre Einzelteile

Technologie-getriebene Kreativität

IT-Security / Smartcards and Encryption Zyxel ZyWALL USG 200

Silvan Geser Solution Specialist Unified Communications Microsoft Schweiz GmbH

EMIR neue Pflichten für Handelsund Industrieunternehmen

Ohne Standardisierung keine Digitalisierung Swiss Banking Operations Forum. Peter Ruoss UBS Switzerland AG, Vorsitz PaCoS Zürich, 17.

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Vertrauensbildung in Community Clouds Cloud Use Case Day Januar 2014

Zahlungen erfassen und verwalten

Frank Solinske Senior Consultant TELTA Citynetz Eberswalde GmbH MVP Windows Server Security

Institut für Völkerrecht Lieferung von Bankdaten ins Ausland

Kombinierte Attacke auf Mobile Geräte

Brainloop Secure Boardroom

So geht s. a b. Access Card mit Access Key der sichere und bequeme Zugang zu UBS Online Services. ubs.com/online

Access Key für Ihre UBS Online Services Anleitung

Symantec s Enterprise Security Lösungen Eduard Kobliska Channel Sales Manager ekobliska@symantec.com

Schweizer Versicherer aus Sicht des digitalen Kunden

Live Hacking Zauberei?

1. General information Login Home Current applications... 3

Co-Browsing: Neue Service-Dimension durch Telefon und Website Integration

Live Hacking: : So brechen Hacker in Ihre Netze ein

Mitarbeitergerechte Prozessdokumentation

Einrichtung Ihrer PIN für die Online-Filiale mit optic

Zentrum für Informationstechnik der Bundeswehr (IT-ZentrumBw) Herausforderung Cyber Defence - Maßnahmen und Erfahrungen der Bundeswehr

SCHUTZ VON SERVERN, ARBEITSPLATZRECHNERN UND ENDGERÄTEN ENDPOINT SECURITY NETWORK SECURITY I ENDPOINT SECURITY I DATA SECURITY

Sicher(lich) ebanking

-Migration ganz einfach von POP3/IMAP4 zu Exchange Online. Christoph Bollig, Technologieberater Office 365

SCHÜTZEN SIE IHR UNTERNEHMEN, WO AUCH IMMER SIE SICH BEFINDEN. Protection Service for Business

So geht s. a b. Access Card Display der sichere Zugang zu UBS Online Services von unterwegs. ubs.com/online

IT - Sicherheit und Firewalls

IT-SICHERHEIT ALS QUERSCHNITTSAUFGABE IN DER ÖFFENTLICHEN VERWALTUNG

Herzlich Willkommen!

Vertraulichkeit für sensible Daten und Transparenz für ihre Prozesse

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Level 2 German, 2015

IT-Sicherheit: Unternehmen betrachten die Themen zu technisch

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September «Eine Firewall ohne IPS ist keine Firewall»

Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen

Gehackte Webapplikationen und Malware

Brandbook. How to use our logo, our icon and the QR-Codes Wie verwendet Sie unser Logo, Icon und die QR-Codes. Version 1.0.1

^~ Read Angebotsbeschreibungen fr Online-Einkaufsportale zur automatischen Klassifizierung und Informationsextraktion... free books to read online no

Transkript:

Herzlich willkommen zur Lernwerkstatt Cyber Security Sicherheit im elektronischen Zahlungsverkehr Präsentiert von: Matthias Bossardt Markus R. Meyer KPMG UBS Switzerland AG 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 1 Document Classification: KPMG Public

Cyber Security für KMU Prävention, Erkennung und Reaktion 25. August 2017 Dr. Matthias Bossardt Partner, Leiter Cyber Security

Die Anzahl der Cyber-Attacken steigt 97% der Umfrageteilnehmer aus diversen KMUs haben in den letzten 12 Monaten eine Cyber-Attacke erlebt (Ergebnisse aus den Vorjahren: 2017: 88% 2016: 54% 2015: 52%) Welche Auswirkungen auf Ihr Geschäft hatten die erfolgten Cyber-Attacken? (in Prozent ) Betriebsunterbrechungen Reputationsschaden Finanzieller Verlust Weitergabe von internen vertraulichen Informationen Weitergabe von vertraulichen Informationen über Kunden oder Geschäftspartner Datenmanipulation Sonstige Auswirkungen Unberechtigte Weitergabe von persönlichen Daten Ich weiss es nicht 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 3 Document Classification: KPMG Public

Zwei Geschwindigkeiten bei der Reaktionsfähigkeit der Unternehmen 25% der Grossunternehmen haben keinen Reaktionsplan für Cyber- Zwischenfälle 41% der KMUs haben keinen Reaktionsplan für Cyber- Zwischenfälle 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 4 Document Classification: KPMG Public

Was steht auf dem Spiel? Impact Vertrauensverlust seitens Kunden und Geschäftspartner Reputationsschaden Verlust von geistigem Eigentum Zeitverlust und administrative Kosten Vermögensschäden Gerichtskosten Kunden, Geschäftspartner, Investoren und Aufsichtsbehörden fordern vermehrt die Geschäftsleitungs- und Verwaltungsmitglieder auf, ihre Tätigkeiten in dem Gebiet aktiv aufzuzeigen. Sie erwarten Informationsschutz sowie widerstandsfähige Systeme gegen Störungen und vorsätzliche Angriffe Cyber ist ein operationelles Risiko - eine Kontrolle durch Geschäftsleitung und Verwaltungsrat ist ein Muss 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 5 Document Classification: KPMG Public

Cyber Risiken sind überall Bis 2020 werden 20.8 Milliarden Geräte ans Internet angeschlossen sein, die über 20 Zettabytes generieren werden Quelle: Gartner 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 6 Document Classification: KPMG Public

Kenne den Feind Es ist sehr wichtig die Motivation, das Vorhaben, das Vorgehen und die Instrumente der Angreifer zu verstehen, An understanding of the motivation, intent, strategy, um tactics Bedrohungen and the tools zu of the antizipieren, attackers is Angriffe critical in zu verhindern und erkennen order to anticipate sowie im threats Notfall and effektiv effectively zu prepare reagieren for, prevent, detect and respond to attacks. 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 7 Document Classification: KPMG Public

Was ist das Ziel der Cyber-Attacken? HACKTIVISM ORGANISIERTE KRIMINALITÄT INSIDER STAATEN Hacking, die von Ideologie inspiriert sind Global, schwer zu verfolgen und zu bestrafen Intentional oder unintentional Spionage und Sabotage Motivation: Wechselnde Zugehörigkeiten dynamisch, unberechenbar Motivation: finanzielle Vorteile Motivation: Neid, finanzielle Vorteile Motivation: politischer, wirtschaftlicher und militärischer Vorteil Absicht: Störung der öffentlichen Ordnung, Reputationsschaden Absicht: Informationsdiebstahl; Erpressung Absicht: Störung oder Zerstörung, Informationsdiebstahl, Reputationsschaden Absicht: Störung oder Zerstörung, Informationsdiebstahl, Reputationsschaden 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 8 Document Classification: KPMG Public

Kein Know-how erforderlich Einkauf im Darknet 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 9 Document Classification: KPMG Public

Kennen Sie Ihre «Kronjuwelen»? 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. Document Classification: KPMG Public 10

11 Grundmassnahmen für Cyber Security 1) Zuweisen von Rollen und Verantwortlichkeiten für die Informations- und Systemsicherheit 2) Kennen der eigenen Kronjuwelen und Verstehen vom Cyber-Risiken-Gefährdungspotenzial 3) Verstehen, welche Systeme im Netz vorhanden sind, Entfernen von verdächtigen oder veralteten/obsoleten Systemen. 4) Durchführung von Sensibilisierungskampagnen und Training für ALLE Benutzer zum Thema Sicherheit 5) Zugriffsbeschränkung auf Daten und Systeme für die Mitarbeiter und Dritte 6) Regelmässiges Patchen von Systemen und Überprüfung auf Malware 7) Netzüberwachung und Segmentierung und sicherer externer Zugriff via Firewalls, VPN, Zwei-Faktor-Authentifizierung 8) Durchführung von periodischen Sicherheitsprüfungen 9) Sicherheit und Datenschutz bei Einkauf/Entwicklung von neuen Prozessen und Systemen 10) Back-up von Daten und Systemen-Konfiguration 11) Aufbauen und Testen von Reaktionsplänen für Cyber-Vorfälle 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. 11 Document Classification: KPMG Public

Matthias Bossardt Partner, Head Cyber Security Dr. sc. techn. ETH mbossardt@kpmg.com +41 79 829 0664 Kpmg.ch/socialmedia Kpmg.com/app The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received, or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. 2017 KPMG AG is a subsidiary of KPMG Holding AG, which is a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. Document Classification: KPMG Public

Öffentlich Sicherheit im elektronischen Zahlungsverkehr UBS Switzerland AG Markus R. Meyer, Dr. oec. HSG Managing Director, Head Cash Management Services

Zahlungsprozess Kunde - Bank Typische Angriffsmuster: Bank Kunde Eigene Systeme, Prozesse und Daten schützen Sichere Verbindungen Eigene Systeme, Prozesse und Daten schützen Gefälschte Rechnungen 'CEO Mail Fraud' Mit Trojaner und Auftrag via Telefon/Mail Mit Trojaner Mutation von Rechnungen oder Zahlungsaufträgen 14

Beispiel zu : CEO Mail Fraud (Quelle: MELANI) 15

Beispiel zu : IBAN geändert auf email pdf-rechnung 16

Unterstützung durch UBS-Dienstleistungen Eigene Systeme, Prozesse und Daten schützen Bank Kunde Sichere Verbindungen Eigene Systeme, Prozesse und Daten schützen UBS e-banking Einzelzahlungen Manueller Upload von Files UBS KeyPort automatische Übermittlung von Files (Host-2-Host) Mögliche unterstützende UBS-Dienstleistungen 17

UBS e-banking: Beispiel Begünstigten-Bestätigung Bei Einzelunterschriftsberechtigung: Zahlungen nur an freigegebene Kontonummern Eine einmalige Zusatzprüfung wird bei der Erfassung einer Online- Zahlung mit unbekannten Begünstigten-Konto verlangt (Begünstigten-Signierung). Die bestätigten Begünstigten der letzten 24 Monate können im E- Banking eingesehen und verwaltet werden. 18

UBS e-banking: Beispiel Ländereinschränkungen Zahlungen in von Ihnen definierte Länder sind blockiert. Blockieren von Ländern und /oder Regionen für den Zahlungsverkehr via E-Banking 19

UBS e-banking: Beispiel monatliches Überweisungslimit Überweisungslimit für Online-Zahlungen 20

UBS e-banking: Beispiel kollektive Zeichnungsberechtigung Freigabe von Zahlungen oder Files durch Zweitperson über separaten Kanal Online-Zahlungen Erfassung mittels Zahlungsdatei 21

UBS KeyPort: Daten automatisch übertragen Kunde UBS UBS KeyPort Mobile (ab Mitte 2017) - Freigabe (VEU) - Kontoübersicht UBS KeyPort Web - Freigabe (VEU) - Zahlungserfassung - File Up-/Download - Kontoreporting Separate Freigabe der Files über alternative Kanäle Kunden ERP Software - Zahlungserfassung - File Up/Download Signierung von Files * Host-to-Host Filetransfer UBS KeyPort - EBICS Benutzer - bewirtschaftbare Konten - Unterschriftenregelung - Limiten * muss unterstützt werden durch ERP-Software 22

Zusammenfassung der Tipps 23

Tipps zu Cyber-Risiken 1) Zuweisen von Rollen und Verantwortlichkeiten für die Informations- und Systemsicherheit 2) Kennen der eigenen Kronjuwelen und Verstehen vom Cyber-Risiken-Gefährdungspotenzial 3) Verstehen, welche Systeme im Netz vorhanden sind; Entfernen von verdächtigen oder veralteten/obsoleten Systemen 4) Durchführung von Sensibilisierungskampagnen und Training für ALLE Benutzer zum Thema Sicherheit 5) Zugriffsbeschränkung auf Daten und Systeme für die Mitarbeiter und Dritte 6) Regelmässiges Patchen von Systemen und Überprüfung auf Malware 7) Netzüberwachung und Segmentierung und sicherer externer Zugriff via Firewalls, VPN, Zwei-Faktor-Authentifizierung 8) Durchführung von periodischen Sicherheitsprüfungen 9) Sicherheit und Datenschutz bei Einkauf/Entwicklung von neuen Prozessen und Systemen 10) Back-up von Daten und Systemen-Konfiguration 11) Aufbauen und Testen von Reaktionsplänen für Cyber-Vorfälle 24

Tipps zu Sicherheit im elektronischen Zahlungsverkehr Genaue inhaltliche Prüfung von Rechnungen Trojaner-Abwehr: keine verdächtigen Attachments öffnen und Antivirus und Betriebssystem immer aktualisiert halten Nie persönliche Zugangsdaten (Login, Keys, etc.) via Telefon oder Mail bekanntgeben Zentrale Prüfung und Mutation von Zahlungsbegünstigten-Konten Klare Regeln, wer Zahlungen freigeben kann Idealerweise immer Kollektivunterschrift und wenn möglich Zahlungsfreigabe über zweiten Kanal Weitere Infos unter: https://www.ubs.com/sicherheit oder https://www.melani.admin.ch 25

Herzlichen Dank! #digitalkmu KPMG Matthias Bossardt, Partner, Leiter Cyber Security Tel. +41 79 829 0664 / mbossardt@kpmg.com www.kpmg.ch/socialmedia UBS Switzerland AG Markus R. Meyer, Managing Director, Head Cash Management Services Tel. +41 44 237 3237/ markus.meyer@ubs.com www.ubs.com

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback