Post on 26-Jul-2020
FIT FÜR DIE ZUKUNFT? – WIE SIE IHRE WESENTLICHEN FUNKTIONEN STRUKTURIERT UND EFFIZIENT AUFBAUEN
Regine Kraus-Baumann
Dr. Claus Aye
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
AGENDA
FIT FÜR DIE ZUKUNFT?
# 2
1. Vorstellung
2. Rechnungswesen – Fakturierung, Regulierung, Kasse / Bank
3. Beschaffung – Strukturierte Beschaffungsprozesse
4. IT-Risiken – IT-Sicherheit und Datenschutz
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
EIN UNTERNEHMEN STELLT SICH VOR…
FIT FÜR DIE ZUKUNFT?
# 3
� langjährige, internationale Konzernrevision für die Tengelmann Unternehmensgruppe
� ab 01.08.2016 eigenständig (DIH 80 %, Geschäftsführer J. Menzel 20 %)
� externe Revision für diverse Klienten aus dem Wohlfahrtsbereich
� externe Revision für diverse Klienten weiterer Branchen
� ca. 20 Mitarbeiter sind für unsere Kunden rund um das Thema Revision aktiv
� Datenschutzaudits und Tätigkeiten als Datenschutzbeauftragter
� Kaufmännische Beratung und IT-Beratung
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
EINIGE UNSERER KUNDEN
VORSTELLUNG TASCO
# 4
Landesverband NordrheinLandesverband Westfalen-LippeLandesverband NiedersachsenLandesverband HessenLandesverband Baden-WürttembergLandesverband Schleswig-Holstein
Kontakt:
Regine Kraus-Baumann Mobil: 0178 – 88 95 082 Mail: rkraus-baumann@tasco-revision.de
Dr. Claus Aye Mobil: 0178 – 88 95 070Mail: caye@tasco-revision.de
www.tasco-revision.de
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
RECHNUNGSWESEN
FIT FÜR DIE ZUKUNFT?
Fakturierung, Regulierung, Kasse / Bank
Wie bekommen Sie als Entscheider ein „echtes“ Bild der finanziellen Lage?
Wie können Sie Ihre Geldbewegungen sicher, vollständig und zeitnah überwachen?
# 5
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
# 6
Fakturierung und Debitorenmanagement
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
Leistungserbringung (Gartenbau, Spielwaren, Wäscherei etc.)
� Dokumentation standardisieren
Formulare vorgeben und verwenden(mobile) Datenerfassung?
� Erfassung im Fakturierungssystem
vollständig und richtig � Kontrolle / Überleitungsprotokollezeitnah � täglich / wöchentlich
# 7
DEBITORENMANAGEMENT - WESENTLICHE ELEMENTE
Abweichungen z.B. zum Angebot zu 100 % kontrollieren
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
DEBITORENMANAGEMENT - WESENTLICHE ELEMENTE
FIT FÜR DIE ZUKUNFT?
Stammdatenerfassung / -pflege (Fakturierung + Buchhaltung)
� Daten, die gepflegt werden müssen, festlegen* Preise / Rabatte* vollständiger Name / Firmierung* Adresse* Bankverbindung (bei Bankeinzug)* Zahlungskonditionen (Zahlungsziel?)
� Kontrolle dieser Daten im Vier-Augen-Prinzip(am besten: Stammdatenänderungsprotokoll)
Basis für Rechnungsstellung und Überwachung Geldeingang
# 8
� als Muss-Felder im System hinterlegen
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
Fakturierung
� Zeitnah / nach festgelegtem Rhythmus
� Zeitplan mit Frühwarntermin� Information an Vorgesetzten bei Verzögerung� gemeinsame Suche nach Lösung
� Kontrolle (zumindest Stichproben)
� Stammdaten� Leistungserbringung� Abweichungen
# 9
DEBITORENMANAGEMENT - WESENTLICHE ELEMENTE
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
Buchung im Buchhaltungssystem
� Zeitnah / direkt nach Fakturierung � Zeitplan
� Forderungsbuchung (nicht Ertrag bei Zahlungseingang)� fehlender Geldeingang fällt nur dann auf
� Vollständig und richtig
Schnittstelle zum Fakturierungssystem � ÜberleitungsprotokollDatenimport vom Fakturierungssystem � Kontrolle z.B. Summenabgleichmanuelle Erfassung � 4-Augen-Kontrolle / Stichprobe
� generelle Erfassung von Buchungstexten
Basis für Zuordnung der Zahlungen und Mahnung
# 10
DEBITORENMANAGEMENT - WESENTLICHE ELEMENTE
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
Mahnwesen
� Offene-Posten-Liste aus Buchhaltungs-System nutzen
� Rhythmus und Anzahl der Zahlungserinnerungen / Mahnungen festlegen (z.B. alle 4 Wochen, 3 Erinnerungs- / Mahnschreiben, danach Vorlage / Entscheidung Vorgesetzter)
� Zeitplan
� Standardschreiben je Mahnstufe abstimmen und im System hinterlegen
� konkreten Zahlungstermin nennen (Verzug)� Text je Mahnstufe verschärfen
Aber: Texte mit Vorgesetztem abstimmen!
# 11
DEBITORENMANAGEMENT - WESENTLICHE ELEMENTE
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
� „Eskalationsstufen“ abstimmen und festlegen (Beispiele)
1. Erinnerung / Mahnung: Telefonanruf mit kurzer Telefonnotiz oder freundliches Erinnerungsschreiben
2. Mahnung: Unterschrift Vorgesetzter
3. Mahnung: Ankündigung der Übergabe an Rechtsanwalt / Inkassobüro mit Fristsetzung � Verzug
� Vorgaben / Kriterien für Ausbuchung festlegen
� Genehmigung durch wen� Betragsgrenzen
# 12
DEBITORENMANAGEMENT - WESENTLICHE ELEMENTE
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
Regulierung und Kreditorenmanagement
# 13
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
Rechnungsprüfung
� Funktionstrennung: Auftragsvergabe – Rechnungsprüfung
� Prüfung: * steuerliche Anforderungen erfüllt* sachlich richtig laut Basisbeleg (z.B. Auftragsbestätigung, Lieferschein,
Stundenzettel, Preisliste)* rechnerisch richtig (in Stichproben)� Reaktion bei Differenzen?
� Prüfung transparent und nachvollziehbar* Haken* Eintragung / Unterschrift Rechnungsprüfungsstempel
� Zahlungsanweisung von berechtigter Person
� Zügige Bearbeitung: Eingang – Bearbeitung – Buchung – (Zahlung)� Aktualität der Buchhaltung
# 14
KREDITORENMANAGEMENT – WESENTLICHE ELEMENTE
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
Stammdatenerfassung / -pflege (Buchung + Regulierung)
� Daten, die gepflegt werden müssen, festlegen* Name (Firmierung?)* Zahlungskonditionen (Tage, Skonto, evtl. Rabatte, Boni)* Bankverbindung
� Kontrolle dieser Daten im Vier-Augen-Prinzip(am besten: Stammdatenänderungsprotokoll)
� Konto je Lieferant / Kreditor anlegen
� Buchung auf Sammelkonten („übrige Kreditoren“) reduzieren� Vorgaben (< zwei Rechnungen, < € 2.000,--)
# 15
KREDITORENMANAGEMENT – WESENTLICHE ELEMENTE
Basis für sichere und wirtschaftliche Regulierung
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
Buchung im Buchhaltungssystem
� Regel: Erst buchen, dann zahlen
� Zeitnah (täglich)
� Zeitplan� Information an Vorgesetzten / Werkstattleiter bei Rückständen� gemeinsame Suche nach Lösung
Buchhaltung zeigt „echten“ Stand der Verbindlichkeiten
# 16
KREDITORENMANAGEMENT – WESENTLICHE ELEMENTE
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
Kontrolle der Zahlungen (vor der Zahlung!)
� Zahlungsvorschlagsliste (Buchhaltungssystem)
� anhand Basisbeleg kontrollieren (Rechnung, Vertrag, Bescheid)� Zahlungsdaten prüfen (Bankverbindung, Zahlungsziel, Skonto = Rechnung?)
Durch Vorgesetzten:
� Kontrolle der Basisbelege (Stichprobe) – Leistung, Rechnungsprüfung, Betrag…
� Echtlauf � Summenabgleich (Echtlauf = Vorschlagsliste)
# 17
KREDITORENMANAGEMENT – WESENTLICHE ELEMENTE
Einsatz Stammdatenänderungsprotokoll: Kontrollen �Wirtschaftlichkeit �Sicherheit �
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
Regulierung (Zahlung)
� Häufigkeit unter Wirtschaftlichkeitsaspekten festlegen
� täglich, 2 – 3 x pro Woche, wöchentlichbeachte: Kontrollaufwand
� Schnittstelle zum Buchhaltungssystem nutzen statt :* direkte Erfassung im Banksystem * manuelle Erstellung Überweisungsträger * Barauszahlung
� einmalige Erfassung� einmalige Kontrolle� Zahlungskonditionen nutzen� Buchhaltung zeigt „echtes“ Bild der Verbindlichkeiten und Liquidität
# 18
KREDITORENMANAGEMENT – WESENTLICHE ELEMENTE
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
Freigabe zur Zahlung
� 2 Personen (Vier-Augen-Prinzip)
� Keine Weitergabe der PIN / Passwörter / TAN (Sekretariat?)
Offene Posten
Debitorische Kreditoren (z.B. aus Gutschriften, Rabatten) überwachen
� verrechnen oder mahnen� in automatisches Mahnsystem (Debitoren) einbinden� Zeitplan / monatlicher Status
# 19
KREDITORENMANAGEMENT – WESENTLICHE ELEMENTE
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
Kassen- und Bankabwicklung
# 20
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
KASSE – WESENTLICHE ELEMENTE
FIT FÜR DIE ZUKUNFT?
Bargeld-Kasse
� „Traditionen“ hinterfragen� Zahl der Kassen / Höhe des Geldbestands notwendig
Bar-Auszahlung
� Zahlung nur gegen Urbeleg
� Anweisung / Freigabe durch Berechtigte vor Zahlung� Geringfügigkeitsgrenze (z.B. € 5,--)
� Keine Zahlung an sich selbst (Empfänger-Name leserlich)
Bar-Einzahlung
� Generell Einzahlungsbeleg
# 21
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
Kassenbuch (Erfüllung GoB)
� Dokumentenecht
� Zeitnah führen (täglich / sofort)
� Radierverbot (kein Excel!)
Buchung
� Zeitnah (wöchentlich / monatlich)
� Vorschüsse genehmigen und buchen
Kontrolle
� Unangekündigte / unregelmäßige Kassenstürze
# 22
KASSE – WESENTLICHE ELEMENTE
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BANK – WESENTLICHE ELEMENTE
FIT FÜR DIE ZUKUNFT?
Bank
� „Traditionen“ hinterfragen� Zahl der Bankkonten / Depots notwendig
� Keine Einzelbankvollmachten!� auch bei Online-Banking� PIN / Code-Karte nicht in einer Hand (Sekretärin?)� 4-Augen-Prinzip (keine Schecks blanko unterschreiben!)
� Bankvollmachten aktuell (auch Festgelder / Geldanlagen)� Personaländerungen sofort gemeldet (Rückbestätigung Bank?)
� Zeitnah buchen (täglich / sofort)
# 23
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FAZIT
FIT FÜR DIE ZUKUNFT?
„Fit für für Zukunft ….“
Sie können (Arbeits-) Zeit sparen und die Sicherheit der Geldbewegungen erhöhen durch:
� klare Strukturen
� frühzeitige Kontrollen (schon bei der ersten Datenerfassung)
� Nutzung von Schnittstellen der IT-Systeme.
# 24
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BESCHAFFUNG
FIT FÜR DIE ZUKUNFT?
Strukturierte Beschaffungsprozesse
Haben Sie bei Ihrer Beschaffung die gewünschte Qualität der Artikel erhalten?
Haben Sie einen Überblick über die aktuelle Marktsituation?
Wurden vorhandene Einsparpotentiale realisiert?
# 25
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BESCHAFFUNG
FIT FÜR DIE ZUKUNFT?
# 26
Grundsätze / Regelwerk
� Anweisungen und Richtlinien
� Betragsgrenzen
� Unterschriftsregelungen
� Einkaufsphilosophie
� Ethikregelung
klar / eindeutig
einfach
schnell}
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BESCHAFFUNG
FIT FÜR DIE ZUKUNFT?
# 27
Beispiel
Unterschriftenregelung:
Klare Trennung von Verantwortlichkeiten / Zuständigkeiten!
� Bestellung/Einkauf ↔ Rechnungsfreigabe
� Rechnungsfreigabe ↔ Zahlungsfreigabe
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BESCHAFFUNG
FIT FÜR DIE ZUKUNFT?
# 28
Budgetierung – Haushalts- / Wirtschaftsplan
� Investitionen
� Verbrauchsmaterial
� Gebrauchsmaterial
� Dienstleistungen
vollständig und vorsichtig
Einhaltung überwachen � Obligo / Forecast
Bei drohender Überschreitung der Grenzen � Nachgenehmigung oder andere Maßnahmen
}
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BESCHAFFUNG
FIT FÜR DIE ZUKUNFT?
# 29
Spezifikation
Definition und Beschreibung der zu beschaffenden Leistung / des zu beschaffenden Wirtschaftsgutes
� Artikelbeschreibung / Leistungsbeschreibung
� Qualität und Menge
� Zeitpunkt
� Einhaltung Einkaufspolitik (z.B. Menschenrechte, Abschaffung Kinderarbeit / Zwangsarbeit, Umwelt, Korruptionsbekämpfung)
detailliert vollständig schriftlich
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BESCHAFFUNG
FIT FÜR DIE ZUKUNFT?
# 30
Sourcing
Suche nach qualifizierten Lieferanten und Dienstleistern
� Einkaufsverbund
� bekannte Anbieter/räumliche Nähe
� Hersteller/Händler/Agenten
� unaufgeforderte Angebote
� Internet
�aktiv nach Lieferanten / Dienstleistern suchen!
�Alternativen finden – Preisspielräume ausloten
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BESCHAFFUNG
FIT FÜR DIE ZUKUNFT?
# 31
Einholung vergleichbarer Angebote
� Definition standardisierter Parameter
Beschaffungsvolumen
Zeitfenster
Qualität / Spezifikation (inkl. Skonto, Rabatte, sonstiger Leistungen)
� Festlegung Form der Angebotseinholung(schriftlich; telef. Angebotseinholung nachträglich dokumentieren)
� Ausschließlich vergleichbare Angebote zulassen (anderenfalls verwerfen oder „nachrüsten“)
� Ziel: mindestens drei vergleichbare Angebote!
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BESCHAFFUNG
FIT FÜR DIE ZUKUNFT?
# 32
Ausschreibungen
� bei größeren Maßnahmen z.B. ab € 50.000,--
� detaillierte Leistungsbeschreibung
� fixer Abgabetermin
� 7 – 10 potentielle Anbieter
� zeitgleicher Versand
� Eingang im verschlossenen Umschlag
� Submission
� größerer Aufwand bei größeren Beträgen
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BESCHAFFUNG
FIT FÜR DIE ZUKUNFT?
# 33
Preisvergleich
Gegenüberstellung der abgegebenen vergleichbaren Angebote
� schriftlich – aktuell
� tabellarisch je Preisposition
� keine Vermischung unterschiedlicher Ausführungen / Spezifikationen
� Preise (netto/netto) inkl. aller Kosten, Rabatte, Konditionen
� partielle Preisanalyse (Artikel – Verpackung – Transport)
nur Vergleichbarkeit zeigt Preisspielräume auf
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BEISPIEL
FIT FÜR DIE ZUKUNFT?
# 34
Dachsanierung
(EK-Volumen € 85.000,-- / Ausführung in 2012)� Im Haushaltsplan 2011 Dachsanierung mit T€ 113 geplant und genehmigt� Im Haushaltsplan 2012 nicht enthalten!3 Angebote:
FirmaAngebot
JahrLeistung
Preis in €
(brutto)
Differenz in
€
1 2011Standard-
Leistungskatalog
112.697,84 + 30.092,54
2 2012 82.605,30 Gewinner
3 2012 95.006,66 + 12.401,36
1 2012
Abweichende
Wärmedämmung
und Abläufe
81.034,59
3 2012Polysterol-
Dämmung85.560,66
� z.T. nicht vergleichbar
�Vergleichsangebote sechs Monate nach 1. Angebot
�keine partielle Preisanalyse (obwohl möglich)
� keine Nachverhandlungen!
� Auftrag an Firma 3 mit Polysterol-Dämmung (nicht vergleichbar!)
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BESCHAFFUNG
FIT FÜR DIE ZUKUNFT?
# 35
Preiserhöhungsverlangen
� generelle Ablehnung (schriftlich)
� Begründung verlangen (detailliert, Vergleichszahlen, Kalkulation offen legen)
� Begründung prüfen (eigene Recherche)
� Verhandlung
� Erhöhung genehmigen lassen (Funktionstrennung, Vier-Augen-Prinzip)
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BESCSHAFFUNG
FIT FÜR DIE ZUKUNFT?
# 36
Boni / Rabatte / Rückvergütungen
� Vergütungen verhandeln
� Vereinbarungen schriftlich bestätigen
� Realisierung nachhalten (zentral, Liste / Datei)
� Vergütung prüfen – Rechnungsprüfung (z.B. Umsatzzahlen, Prozent-Sätze)
� frühzeitig realisieren (Abschlagszahlung, rechnungswirksam)
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FAZIT
FIT FÜR DIE ZUKUNFT?
„Fit für Zukunft ….“
Sie verbessern Ihren Beschaffungsprozess durch:
� wenige, aber eindeutige Regeln für die Mitarbeiter
� detaillierte Spezifikation für die Anbieter
� mind. 3 vergleichbare Angebote
# 37
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIT FÜR DIE ZUKUNFT?
# 38
IT-Sicherheit und Datenschutz
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
EIN PAAR BEISPIELE…
# 39
EINFÜHRUNG THEMATIK
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
EIN PAAR BEISPIELE…
DATENSCHUTZINFORMATION
# 40
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
SOCIAL ENGINEERING
GEFAHREN & BEDROHUNGEN
� Arten:
� Tool-based Social Engineering
� Human-based Social Engineering
� Reverse Social Engineering
# 41
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
SOCIAL ENGINEERING
GEFAHREN & BEDROHUNGEN
� Was ist Tool-based Social Engineering?
� Informationsbeschaffung mit Einsatz von Hilfsmitteln
� Opfer muss nicht direkt kontaktiert werden
� Tarnung
� gefälschte Firmenausweise
� Kleidung
� Technische Hilfsmittel
� versteckte Kameras
� Keylogger
� Computermissbrauch
� Phishing
# 42
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
SOCIAL ENGINEERING
GEFAHREN & BEDROHUNGEN
� Beispiel Tool-Based Social Engineering (Phishing)
# 43
POSTBANK.blo.pl
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
SOCIAL ENGINEERING
GEFAHREN & BEDROHUNGEN
� Was ist Human-based Social Engineering?
� Informationsbeschaffung ohne Einsatz von Hilfsmitteln
� direkter Angriff
� Verwendung gängiger psychologischer Tricks
� Fachchinesisch
� Vortäuschen von Dringlichkeit, Unwissenheit, …
� In der Regel setzt diese Form des Social Engineering bereits eine gewisse „Vertrauenswürdigkeit“ voraus, z.B. in dem Anrufe von einer internen Telefonnummer aus geführt werden
� Besprechungszimmer
� Büro
� Empfang
Ausnutzung menschlicher Tugenden
# 44
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
SOCIAL ENGINEERING
GEFAHREN & BEDROHUNGEN
# 45
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
SOCIAL ENGINEERING
GEFAHREN & BEDROHUNGEN
# 46
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
SOCIAL ENGINEERING
GEFAHREN & BEDROHUNGEN
� Was ist Reverse Social Engineering?
� passive Interaktion
� Man verursacht ein Problem und ist dann zur Stelle, um es wieder zu lösen.
Beispiel:
� Wir schleusen einen Virus ein
� Wir wollen den Virus entfernen, dafür müssen wir aber das Passwort des Opfers bekommen
Die wirkungsvollste Social Engineering Art überhaupt!
# 47
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
SOCIAL ENGINEERING
GEFAHREN & BEDROHUNGEN
� Maßnahmen
� unbekannte E-Mails = Misstrauen entwickeln
� Bei Anrufen sollten auch scheinbar unwichtige Daten nicht sorglos an Unbekannte weitergegeben werden, da diese die so erhaltenen Informationen für weitere Angriffe nutzen können.
� Bei Antworten auf eine E-Mail-Anfrage sollten unter keinen Umständen persönliche oder finanziellen Daten preisgegeben werden, egal von wem die Nachricht zu kommen scheint.
� Keine Links aus E-Mails verwenden, die persönliche Daten als Eingabe verlangen. Stattdessen die URL selbst im Browser eingeben.
� Bei Unklarheit über die Echtheit des Absenders diesen nochmals telefonisch kontaktieren, um die Authentizität der E-Mail zu überprüfen.
� Entsprechende Schulung von Mitarbeitern!
� „Gutes“ Social Engineering ist schwer zu erkennen!
# 48
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
GOOGLE HACKING
GEFAHREN & BEDROHUNGEN
� Netzwerkhardware
� Administration von Hardware, z.B. Drucker, mittels Webbrowser
� Suchbegriff: intitle:"Web Image Monitor" & inurl:"/mainFrame.cgi“ -> admin/password
� Beispiel:
# 49
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
RISIKEN
GEFAHREN & BEDROHUNGEN
Wo stecken die Bedrohungen?
Mensch
� fehlendes Bewusstsein / Unkenntnis / Nachlässigkeit
� Bewusste Schädigung durch unehrliche / verärgerte Mitarbeiter
Technik
� Ausfall Systeme / Komponenten durch Feuer, Wasser, …
� Hacking (Virus)
Organisation
� Regelungsdschungel / Zutritts- / Zugriffsrechte
� Risikoanalyse
� Notfallplan
# 50
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BEDROHUNG VON FIRMENDATEN
GEFAHREN & BEDROHUNGEN
Welchen Anteil haben diese Bedrohungen?
# 51
Quelle: ECC
5%
15%
50%
15%
15%Hacker
Feuer, Wasserschäden, ...
Fehler und Nachlässigkeiten
Verärgerte Benutzer
Unehrliche Benutzer
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIRMENDATEN ABSICHERN – MASSNAHMEN
SICHERHEITSMAßNAHMEN
1. Schritt: Mit Hilfe eines Audits …
� den Ist-Zustand ermitteln.
� Verwundbarkeiten aufdecken.
� die Kronjuwelen des Unternehmens finden.
� den Schutzbedarf feststellen.
� erste Quick-Wins umsetzen.
# 52
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIRMENDATEN ABSICHERN – MASSNAHMEN
SICHERHEITSMAßNAHMEN
2. Schritt: Maßnahmen umsetzen…
� Menschen sensibilisieren
� Sicherheit organisieren
� Physischen Schutz herstellen
� Technik sicher konfigurieren
� Rechtliche Rahmenbedingungen beachten
� z.B. organisatorische Maßnahmen
(Verantwortungen, Berechtigungen, Anweisungsstand)
# 53
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIRMENDATEN ABSICHERN – PHYSISCHER SCHUTZ
SICHERHEITSMAßNAHMEN
Es muss kein Hochsicherheitsbereich sein…
# 54
Quelle: mentalfloss.com
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
FIRMENDATEN ABSICHERN – PHYSISCHER SCHUTZ
SICHERHEITSMAßNAHMEN
… aber so sollte es auch nicht sein…
Quelle: http://www.pctipp.ch/bildergalerien/bilder/verkabelung-i-did-it-my-way-1281/4/55531/
# 55
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
ZUGRIFFSSCHUTZ
SICHERHEITSMAßNAHMEN
# 56
Einführung folgender Regeln zum Passwortgebrauch:
� das Passwort sollte nicht leicht zu erraten sein
� Trivialpasswörter wie z.B. 123 sollten systemtechnisch verhindert werden
� mindestens ein Sonderzeichen bzw. eine Zahl beinhalten
� Groß-/Kleinschreibung
� mindestens 8 Zeichen lang sein
� regelmäßig gewechselt werden, z.B. alle 90 Tage
… aber bitte auch nicht sichtbar aufschreiben!
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
ZUGRIFFSSCHUTZ
SICHERHEITSMAßNAHMEN
# 57
Brute-Force-Attacken
� Brute-Force-Attacken sind Versuche eines Computer-Programms, das Passwort eines anderen Programms zu knacken, indem alle möglichen Kombinationen von Buchstaben und Zahlen ausprobiert werden.
� Die Länge eines Passworts ist also maßgeblich für die Zugriffssicherheit von digitalen Informationen.
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
ZUGRIFFSSCHUTZ
SICHERHEITSMAßNAHMEN
# 58
Nutzung von Kleinbuchstaben
� 26 Kleinbuchstaben bei einer Passwortlänge von 7 Zeichen:
� Erhöhung der Passwortlänge auf 8 Zeichen:
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
ZUGRIFFSSCHUTZ
SICHERHEITSMAßNAHMEN
# 59
Nutzung von Klein-, Großbuchstaben und Zahlen
� 62 verschiedene Zeichen bei einer Passwortlänge von 7 Zeichen:
� Erhöhung der Passwortlänge auf 8 Zeichen:
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BEISPIEL
SICHERHEITSMAßNAHMEN
# 60
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
BEISPIEL
SICHERHEITSMAßNAHMEN
# 61
http://www.golem.de/news/security-studie-mit-schokolade-zum-passwort-1605-121099.html
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
DATENSCHUTZ
SICHERHEITSMAßNAHMEN
� Bundesdatenschutzgesetz (BDSG)
� regelt den Umgang mit personenbezogenen Daten
� Recht auf informationelle Selbstbestimmung im Umgang mit seinen Daten
� Schutz vor Verletzung des Persönlichkeitsrechts
� Datenschutzgesetz geht anderen Gesetzen nicht vor, sondern gilt nachrangig
� Datenschutz schützt die Personen
� ohne Datenschutz geht es nicht mehr
# 62
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
DS-GRUNDVERORDNUNG
SICHERHEITSMAßNAHMEN
� Einigung im Dezember 2015 auf neue EU-Datenschutz-Verordnung
� In-Kraft-Setzung: 28.05.2018
� Verordnung gilt unmittelbar als nationales Recht
• aber: nationale Sonderregelungen möglich, z.B. Vorgaben zur Auftragsdatenverarbeitung oder Bestellung DSB
# 63
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
DS-GRUNDVERORDNUNG
SICHERHEITSMAßNAHMEN
� Datenverarbeitung wird eher auf „berechtigten Interessen“ basieren, d.h. mehr Gestaltungsspielraum als aktuell
� Verpflichtung zur Bestellung DSB mindestens bei Datenverarbeitung als Kernaufgabe
� Erhöhung von Bußgeldern:
� aktuell: maximal € 300.000 gemäß BDSG
� zukünftig:
� bis 2 % bzw. bis Mio. € 10 vom Umsatz (Ordnungsregeln)
� bis 4 % bzw. bis Mio. € 20 vom Umsatz (Zulässigkeitsverstoß)
# 64
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
DS-GRUNDVERORDNUNG
SICHERHEITSMAßNAHMEN
• Notwendigkeit von Verfahrensverzeichnissen, auch für Auftragnehmer
• Bußgeldrisiko bei Nicht-Beachtung (Ordnungsregeln)
aber auch:
• Entlastung mittelständischer und kleiner Unternehmen
• risikobasierter und prozessbasierter Ansatz
sukzessive Vorbereitung notwendig
mehr Dokumentation
# 65
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
RISIKEN
SICHERHEITSMAßNAHMEN
� Risiken:
� Vertrauensverluste der Kunden
� wirtschaftliche Verluste
� strafrechtliche Konsequenzen / persönliche Haftung?
� Imageschäden
� Existenzgefährdung
IT-Sicherheit und Datenschutz bedeuten Aufwand, aber vermindern deutliche Risiken
# 66
Wiesbaden, 01.02.2016Essen, 22.05.2015Chemnitz, 21.09.2016
ZUSAMMENFASSUNG
Daten sind nicht per se sicher;
wenn man die Risiken und Schwachstellen kennt, kann man auch was tun.
Vielen Dank!
# 67