Always On
Risiken der digitalen
Netzwerke für KMU
Dr Ralph Wyss
26. Juni 2015
Wirtschaftsprüfung. Steuerberatung.
Audit. Tax. Consulting. Financial Advisory.
Consulting. Financial Advisory.
Rechtliche Hinweise
Diese Publikation ist allgemein abgefasst und kann deshalb in konkreten Fällen nicht
als Referenzgrundlage herangezogen werden. Die Anwendung der hier aufgeführten
Grundsätze hängt von den jeweiligen Umständen ab und wir empfehlen Ihnen, sich
professionell beraten zu lassen, bevor Sie gestützt auf den Inhalt dieser Publikation
Handlungen vornehmen oder unterlassen. Deloitte AG berät Sie gerne, wie Sie die
Grundsätze in dieser Publikation bei speziellen Umständen anwenden können. Deloitte
AG übernimmt keine Verantwortung und lehnt jegliche Haftung für Verluste ab, die sich
ergeben, wenn eine Person aufgrund der Informationen in dieser Publikation eine
Handlung vornimmt oder unterlässt.
© Deloitte AG 2015. Alle Rechte vorbehalten.
2
Ihr Referent
Dr. Ralph Wyss, Rechtsanwalt
Partner bei Deloitte AG, Forensic Services
Stationen:
Erfahrungen:
•
Anwaltskanzlei in Wil (SG), Associate
VR-Mandate (Auswahl)
•
PwC St. Gallen und Zürich, Senior Manager
•
TvT Compliance AG
•
y-o-u Swiss Private Banking AG, Managing Director L&C
und Projektleiter Wind Down
•
Goldman Sachs Bank AG
•
Centrum Bank (Schweiz) AG
•
Clientis Bank Oberuzwil AG
•
Namics AG
•
Clientis AG (Gruppe)
•
NordSüd Verlag AG
•
Selbständiger Rechtsanwalt 2001-2015
•
Deloitte AG, Forensic Services, Partner (seit 6.2015)
Bücher:
•
Besser verhandeln im Alltag (Beobachter Verlag)
•
Kommentar zum Geldwäschereigesetz (2 Auflagen, orell
füssli)
•
Kommentar zum Genossenschaftsrecht (in: Kommentar
zum OR, 2 Auflagen, orell füssli)
•
3
Der Gerichtsstand der unerlaubten Handlung (Diss.
1997)
Expertentätigkeiten
•
Europarat: Experte AML/CTF/Corruption
•
Schweizerische Normenvereinigung: E-Business
•
Treuhandkammer: Obmann Recht WP
Themen
Was ist online in einem KMU?
Gefahren
Gegenmassnahmen
4
Was ist online in einem KMU?
5
Was ist online in einem KMU?
Quiz: Was davon ist nicht online?
6
Was ist online in einem KMU?
Und was ist damit?
7
Was ist online in einem KMU?
Erkenntnisse
• In einem normalen KMU-Umfeld ist es kaum möglich den Überblick darüber zu
behalten, was wie online ist. Grundsätzlich kann heute fast alles online sein.
• Die grösste Unsicherheit liegt im Bereich der Mitarbeiter und ihrer persönlichen
Gegenstände sowie ihrer persönlichen Online-Aktivitäten.
• Wird den Mitarbeitern jegliche persönliche Online-Aktivität untersagt, wird das
Verbot umgangen, bewusst oder unbewusst. Wird alles erlaubt, ist die
Komplexität der Online-Aktivitäten kaum überschaubar.
8
Gefahren
9
Gefahren
Die Nadel im Heuhaufen
Volumen ist kein
Problem
Ich bin zu klein
um interessant
zu sein
Ein einzelnes
Mail fällt doch
nicht auf
10
Eine Nadel ist
kein Heu
Gefahren
Wolkenloser Himmel
• Alle Daten liegen in der Cloud
• Was, wenn der Himmel einmal wolkenlos ist?
• Wem gehören die Server? Wo sind sie? Wer hat Zugriff darauf?
• Wir brauchen keine Dokumentationen mehr, wir beziehen alles online
• Wie vertrauenswürdig sind diese Online-Daten?
• Wem gehören sie?
• Werden Ihre Abfragen ausgewertet?
• Wie zuverlässig ist die Verfügbarkeit?
11
Gefahren
Hintertürchen
DMZ
VPN
DMZ? VPN?
DMZ? VPN?
DMZ
DMZ
DMZ? VPN?
12
Gefahren
Externe und interne Kommunikation
Intern
Und was ist das?
• Interne Sitzung
• Twitter-Nachricht eines Mitarbeiters
• Internes Mail
• LinkedIn-Profile
• Interne Post
• Instagram-Post vom internen Apéro
• Kommunikation zwischen VR und GL • Privater Fach-Blog des IT-Chefs
• Whatsapp-Gruppe der Lehrlinge
Extern
• Brief an Kunde
• Werbebroschüre
• Pressemitteilung
• Kundenapéro
13
• E-Mail an Kunde von nicht
zeichnungsberechtigtem Mitarbeiter
• Extranet mit teilweisem Kundenzugriff
Gefahren
Die Hauswand als Brett vor dem Kopf
Wahrnehmung
14
Realität
Gefahren
Arbeitszeit immer – Arbeitsort überall
• Projektarbeit auf dem Schweizer Server via VPN während den Ferien in USA
• Gelten die Ferien als bezogen?
• Darf man in USA mit CH-Technologie verschlüsseln?
• Ist der Kunde mit dem Datenexport in die USA einverstanden?
• Ist es wirklich der Mitarbeiter, der gerade aus den USA zugreift?
• Virtuelle VR-Sitzung im 7 Uhr-Zug von Zürich nach Bern
• Wie viele Amtsstellen hören gerade mit?
• Hört ein Kunde mit?
• Wer fotografiert gerade meinen Jahresabschluss?
15
Gefahren
Die Virtualisierung des Unternehmens
• Die jederzeitige Verfügbarkeit einer standardisierten Kommunikationsinfrastruktur zwischen modernen Unternehmen auf der ganzen Welt generiert
eine zunehmende Virtualisierung und Vernetzung der Geschäftsprozesse.
• Welche Prozesse kontrolliert ein KMU heute tatsächlich noch selbst, und bei
welchen Prozessen ist es bereits fremdgesteuert?
• Automatisierte Geschäftsprozesse können von innen und von aussen
manipuliert werden.
• Das Anbieten von Bestellplattformen (insbesondere B2B) und deren Verlinkung
mit einem ERP-System kann missbraucht werden, um Preisspannen der
Konkurrenz auszuloten oder sogar kurzfristig die Verfügbarkeit des
Konkurrenzangebots zu blockieren.
16
Gegenmassnahmen
17
Gegenmassnahmen
IT (Hard- und Software)
• Der Aufbau von IT-Infrastruktur gehört in die Hände von Profis.
• Eine schlecht gewartete IT-Infrastruktur ist nach kurzer Zeit ein Risiko.
• Die Sicherheitsstufe der IT-Infrastruktur muss auf Basis einer umfassenden
Bedürfnis- und Bedrohungsanalyse festgelegt und anschliessend
konsequent umgesetzt werden.
• Auch die eingesetzte Software ist Teil der Bedrohungsanalyse. Das Installieren
neuer Software muss Gegenstand einer erneuten Analyse sein.
• Alle elektronischen Geräte und Installationen müssen in die
Bedrohungsanalyse einbezogen werden.
• Ohne regelmässige Kontrollen durch qualifizierte Stellen verkommt ein
Konzept schnell zur Makulatur.
18
Gegenmassnahmen
Mitarbeiter
• Die Mitarbeiter sind eines der schwächsten Glieder im Sicherheitsdispositiv.
Sie sind intelligent, kreativ und lassen sich nur schwer überwachen (ArGV 3).
• Rigorose Verbote oder komplizierte Prozesse provozieren
Umgehungsmassnahmen, die oft grössere Risiken verursachen als eine
etwas gelockerte, dafür kontrollierte Regelung.
• Eine Kultur des Vertrauens und des vorbildlichen Verhaltens bringt mehr als
Misstrauen und strenge Kontrollen.
• Eine gute Menschenführung erhöht automatisch auch die Sicherheit der
Systeme (Beispiel Datendiebstähle in Banken)
• Der Schutz der Systeme und Daten sollte als eine gemeinsame Aufgabe
verstanden und organisiert sein. Wer “schwerfällige IT” gegen “dynamische
Verkaufsfront” ausspielt, setzt falsche Anreize.
19
Gegenmassnahmen
Daten
• Ein Geheimnis bleibt dann geheim, wenn es niemand kennt. “Need to know” ist
der beste Schutz.
• Systeme sind nie vollständig sicher, schon gar nicht diejenigen eines am
Markt operierenden KMU, das die Kosten im Griff haben muss.
• Was immer ich mit Systemen teile, sollte mich nicht existenziell bedrohen,
wenn es durchsickert.
• Keine Rosinen erschaffen: “H:/GL/Geheim/Provisionszahlungen.docx”
• Backups, Trash Folders, Archives, Redundant Systems, Caches, etc. nicht
vergessen
• Klare Cloud-Strategien. Es gibt keine absolut vertrauliche Cloud.
• Massnahmen planen für den Fall eines Datenverlusts. Versicherung,
Kommunikation, Szenarien
20
Gegenmassnahmen
Organisation und Prozesse
• Die Kontrolle der Datenströme im, vom und zum Unternehmen ist nicht mehr
isolierte Aufgabe des IT-Chefs, sondern stellt einen wesentlichen Bestandteil
der Geschäftstätigkeit in jedem Unternehmen dar.
• Entsprechend ist die Anpassung der Organisation und Prozesse an diese
Realität eine Aufgabe der gesamten Geschäftsleitung.
• Der Verwaltungsrat hat die Erfüllung dieser Aufgabe im Rahmen seiner
jährlichen Risikobeurteilung zu hinterfragen und zu überwachen.
• Dabei ist auch zu prüfen, inwiefern Geschäftspartner durch die Einbindung in
die eigenen Prozesse diese absichtlich oder unabsichtlich manipulieren oder
stören können.
21
Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited ("DTTL"), eine "UK private company limited by guarantee" (eine Gesellschaft mit beschränkter Haftung nach
britischem Recht) und ihren Mitgliedsunternehmen, die rechtlich selbständig und unabhängig sind. Eine detaillierte Beschreibung der rechtlichen Struktur von DTTL und
ihrer Mitgliedsunternehmen finden Sie auf unserer Webseite unter www.deloitte.com/ch/about.
Deloitte AG ist eine Tochtergesellschaft von Deloitte LLP, dem Mitgliedsunternehmen in Grossbritannien von DTTL.
Deloitte AG ist eine von der Eidgenössischen Revisionsaufsichtsbehörde (RAB) und der Eidgenössischen Finanzmarktaufsicht FINMA zugelassene und beaufsichtigte
Revisionsgesellschaft.
Diese Publikation ist allgemein abgefasst und kann deshalb in konkreten Fällen nicht als Referenzgrundlage herangezogen werden. Die Anwendung der hier
aufgeführten Grundsätze hängt von den jeweiligen Umständen ab und wir empfehlen Ihnen, sich professionell beraten zu lassen, bevor Sie gestützt auf den Inhalt dieser
Publikation Handlungen vornehmen oder unterlassen. Deloitte AG berät Sie gerne, wie Sie die Grundsätze in dieser Publikation bei speziellen Umständen anwenden
können. Deloitte AG übernimmt keine Verantwortung und lehnt jegliche Haftung für Verluste ab, die sich ergeben, wenn eine Person aufgrund der Informationen in dieser
Publikation eine Handlung vornimmt oder unterlässt.
© Deloitte AG 2015. Alle Rechte vorbehalten.
© Copyright 2024 ExpyDoc
