Zahlungssysteme
Transcription
Zahlungssysteme
Nr. 65, September 2003 Thema Zahlungssysteme Switzerland Chapter Germany Chapter Austria Chapter © 24.9.2003 2 Inhaltsverzeichnis Inhaltsverzeichnis Impressum Editorial 4 Herausgeber: ISACA Switzerland Chapter Zahlungssysteme – Die Landschaft der Clearing-Systeme c/o Monika Josi der Schweiz 5 Novartis Animal Health Global Information Technology Zahlungssysteme – Das Projekt der Schweizerischen WRO-1032.1.90 Nationalbank (SNB) 8 4002 Basel Zahlungssysteme – Configuration d’une banque participante 11 Redaktion: Max F. Bretscher Zahlungssysteme – Exemplarisches Revisionsvorgehen KPMG Fides Peat eines Finanztransaktionssystems am Beispiel SECOM 12 Badenerstrasse 172 Zahlungssysteme – Prüfung von Chiffrierungstechniken 8026 Zürich bzw. von digitalen Unterschriften in Transaktionssystemen 14 Zahlungssysteme – Les recommandations internationales 16 8235 Lohn, SH Zahlungssysteme – Conclusion du Séminaire 18 Jeder Nachdruck, auch auszugsweise, Katastrophenfallplan – Business Continuity Plan: A Senior sowie Vervielfältigungen oder sonstige Management Concern, Basics to Start a BCP project 19 CAATs – Fraud Toolkit 22 unter voller Quellenangabe. The ISACA Crossword Puzzle 24 Abo-Preis: DACH-News 26 Veranstaltungen 31 Germany Chapter 33 Austria Chapter 34 Switzerland Chapter 35 Satz und Gestaltung: WissensTransfer Francesca Lüscher Baglioni, Verwertung von Texten oder Abbildungen aus dem NewsLetter nur mit schriftlicher Genehmigung des Herausgebers Mitglieder gratis Abonnemente und Einzelnummern auf Anfrage Inserate: 1 Seite CHF 400.– 1/2 Seite CHF 240.– 1/4 Seite CHF 160.– Erscheint 5 Mal jährlich Auflage: 1050 Exemplare Nächste Ausgabe (Thema: Zertifizierungen): November 2003, Redaktions- schluss: 27. Oktober 2003 3 Editorial Überwachung von Editorial Finanzsystemen Als Systèmes de clearing zur Weihnachtszeit in der de certaines entreprises, Telekurs en Schweiz l’occurrence. und Bancomaten wegen eines durch Noël. Quelques heures avant la sämtliche POS-Systeme einen Taperoboter fallengelassenen fermeture, les clients se pressent aux Ce thème est au centre des travaux Tapes stillstanden, war der Einkaufs- caisses des supermarchés. Les cad- de la Chancellerie fédérale et de la GAU perfekt. Vor den Kassen stau- dies sont pleins de victuailles et de fondation Infosurance sous l’appel- ten sich mehr und mehr ungeduldige cadeaux. Et puis survient la panne. lation de KASII « Krise, ausgelöst Käufer, die Einkaufswagen wurden Les lecteurs de cartes ec refusent durch Störungen in der Informa- prall gefüllt inmitten der Waren- systématiquement toute transaction. tions-Infrastruktur ». Banque häuser stehen gelassen und den Des queues se forment. Les ven- nationale suisse se préoccupe égale- Geschäften entging ein namhafter deuses conseillent aux clients d’aller ment de cette vulnérabilité des Betrag an Umsatz. Dieser an sich chercher de l’argent aux bancomats systèmes indispensables à la stabilité kleine Ausfall zeigte, wie sehr wir les plus proches. Une nouvelle de la place financière suisse. C’est le uns tagtäglich auf eine funktionie- surprise les y attend : le système thème central de ce numéro qui rende Bankeninfrastruktur verlassen. bancomat n’est pas disponible. Les reprend l’essentiel des contributions Und diese ist immer stärker von clients abandonnent leurs achats et du Séminaire organisé conjointement einer verfügbaren und sicheren Infor- quittent dépités le supermarché. A par matikinfrastruktur abhängig. l’extérieur, des queues de véhicules l’ISACA le 18 juin 2003 sous le titre se forment devant les stations- « Du nouveau dans la surveillance Das diesjährige Kammerseminar – service. Là également pas d’espoir des systèmes de clearing des paye- eine gemeinsame Veranstaltung der de payer avec une carte ec… On ments et des titres ». Un séminaire Schweizerischen rassemble les derniers francs pour qui nous a montré que des mesures sowie von ISACA Chapter Switzer- acheter quelques litres d’essence. importantes sont en cours de mise en land – befasste sich mit den Heraus- œuvre mais qu’il reste encore un forderungen bei der Überwachung Nous avons vécu ce scénario en long chemin à parcourir si nous von Zahlungs- und Effektenabwick- 2001. Heureusement tout est rentré voulons être sûrs de passer dans le lungssystemen. Aktueller Anlass für dans l’ordre après quelques heures. futur des Noëls sereins… dieses Thema ergab der Umstand, la Chambre La panne a affecté les cartes ec et les bancomats car certains composants La fiduciaire et Treuhandkammer dass die Schweizerische NationalMichel Huissoud bank ab dem Jahr 2004 nicht nur die de ces deux moyens de payement Zahlungs-, sondern auch die Effek- étaient commun. A l’époque les tenabwicklungssysteme beaufsichti- cartes de crédit avaient constitué une gen wird. solution de secours. Entre-temps le groupe Telekurs a repris Mastercard Die Ausführungen der Referenten et le risque d’amalgame (Klumpen- ergab, dass die Überwachung und risiko) a encore augmenté. der Betrieb von Finanzsystemen eine sehr anspruchsvolle Aufgabe ist. De telles situations sont pénibles International vernetzte Finanzsys- mais elles sont utiles dans la mesure teme mit komplexen Geschäftspro- où elles sensibilisent notre société à zessen und grosse Verarbeitungs- notre extrême dépendance à l’égard volumen stellen hohe Anforderungen des technologies de l’information et an die Sicherheit, Verfügbarkeit und Integrität der Informatiksysteme. 4 Zahlungssysteme Obwohl die einzelnen Finanzinstitute viele Massnahmen für den sicheren Betrieb dieser Systeme implementieren, stellt sich für mich die Frage, wie gut solche Systeme überhaupt geprüft resp. betrieben werden können. Angesichts des Zahlungssysteme Die Landschaft der ClearingSysteme der Schweiz momentan hohen Kostendrucks hat sich zum Ausgangslage teme unterschieden. Mit den Zahlungssystemen befassen sich die Fir- Beispiel bei den letzten Virenattacken gezeigt, dass viele Firmen Die Finanzplatzes men Telekurs Europay AG (Acquir- bei den internen Informatikdienst- Schweiz ist immer mehr abhängig ing für Kredit-, Debit- und Prepaid- leistungen von der Zuverlässigkeit von zent- karten), Telekurs Card Solutions AG haben, die sich nun als Bumerang ralen den (Terminalverkauf und Installation, erweisen. Auch die Auditbudgets Zahlungs- und Effektenabwicklungs- Transaktionsabwicklung) und Swiss wurden zum Teil drastisch gekürzt, systemen. Das Nationalbankgesetz Interbank Clearing AG (Entwicklung so dass die Frage erlaubt sei, wie viel hat der SNB neue Kompetenzen und Unterhalt des SIC, euroSIC, gewisse Auditreports wirklich über gegeben, Mindestanforderungen an DTA/LSV). Alle in diesem Ab- den Zustand der Systeme aussagen. den Betrieb dieser Systemen zu schnitt erwähnten Systeme sind seit Und wie viel Interesse einzelne stellen und den Bereich zu über- Jahren in Betrieb und haben dem- Firmen an einer aussagekräftigen wachen. zufolge für den schweizerischen Einsparungen gemacht Stabilität des IT-Einrichtungen wie Finanzplatz und die Volkswirtschaft Prüfung ihrer Systeme haben. Die Telekurs Group gehört den Ban- eine wichtige Funktion und Rolle Um eine nachhaltige Qualität und ken in der Schweiz. Die Unterneh- inne. Ordnungsmässigkeit dieser Systeme mensgruppe erbringt verschiedene zu garantieren, sind alle Beteiligten Dienstleistungen in den Bereichen Die Firma PayNet (Schweiz) AG gefordert: Audit – intern und extern Zahlungssysteme und Finanzinfor- lanciert ein Electronic Bill Present- – in enger Zusammenarbeit mit dem mationen. Die Gruppe hat eine ment and Payment System (EBPPS). IT-Audit sowie dem Management Holdingstruktur mit verschiedenen Unter EBPP versteht man den elekt- der Finanzdienstleister. Diese müs- Tochtergesellschaften in der Schweiz ronischen Versand (z.B. über Inter- sen sich nämlich überlegen, wie viel und im Ausland. net) der Rechnungen direkt aus der Fakturierungsapplikation eines Rech- Risiko sie mit scheinbaren Kosteneinsparungen wirklich eingehen. Nur Die Telekurs Finanzinformationen nungsstellers und die automatische eine verlässliche und sichere Ban- AG unterhält eine Datenbank mit Übernahme in das System des Rech- keninfrastruktur sichert nämlich die heute rund 1,8 Mio. Finanzinstru- nungsempfängers, Wettbewerbsfähigkeit in einem glo- menten, für die Valoren- und Kurs- Rechnung elektronisch begleichen balisierten Finanzumfeld, in dem daten gesammelt, unterhalten und kann. Das System wird schweizweit zunehmend auch internationale Insti- verteilt Telekurs angeboten und kann in Zukunft die tute wie die Bank für internationalen Finanzinformationen AG ist in der Rechnungsabwicklung vereinfachen Zahlungsausgleich Vorgaben bezgl. Schweiz zuständig für die Vergabe und Einsparungen bringen. den der Valorennummern. Weltweit ge- Grundsätzen definieren. Monika Josi und Praktiken werden. Die der dann die hören zehn Tochtergesellschaften an Der Betrieb aller Dienstleistungen den wichtigsten Börsenplätzen und wird durch die Telekurs Services AG Finanzzentren erbracht. Sie stellt auch die not- zum Bereich der Finanzinformationen. wendige Infrastruktur zur Verfügung. Darunter fallen insbesondere Bei den Zahlungssystemen werden das Gebäude mit der notwendigen kartenbasierte und elektronische Sys- physischen Sicherheit, die Rechen5 Zahlungssysteme die EU oder umgekehrt abgewickelt Telekurs Holding AG werden. Datenträgeraustausch (DTA) Telekurs Card Solutions AG Swiss Interbank Clearing AG ...... Acquiring Kartenbasierte Zahlungssysteme Elektronische Zahlungssysteme ..... MasterCard ec/Maestro Cash Terminalverkauf SIC (CHF) .......... TRX-Abwicklung EuroSIC Bankkonto ausführen lassen wollen. Entwicklung DTA/LSV Die Übermittlung der Zahlungs- Telekurs Europay AG DTA eignet sich vor allem für Firmen und Privatpersonen, die ihre Zahlungen elektronisch über ihr aufträge erfolgt elektronisch per zentren mit den IT-Systemen, das Swiss Interbank Clearing Dateitransfer oder durch Einsenden Netz, das Ausweichrechenzentrum System (SIC) eines Datenträgers. sowie das Druckcenter. Die Telekurs Services erbringt auch Engineering- SIC ist ein Echtzeit-System, über das leistungen (inkl. IT-Sicherheit). die Banken und die PostFinance den Lastschriftverfahren (LSV) Grossbetragszahlungsverkehr sowie Die Einrichtungen und die Dienst- einen Teil des Massenzahlungs- LSV eignet sich vor allem für Zah- leistungen der Telekurs Group unter- verkehrs abwickeln. Es wird im Auf- lungen, die mit einer gewissen liegen trag der SNB durch die Swiss Inter- Regelmässigkeit erfolgen. Der Zah- bank Clearing AG betrieben. lungspflichtige ermächtigt den Zah- verschiedensten Risiken finanzieller und operationeller Art. Hier interessieren hauptsächlich die lungsempfänger, Letzteren aus dem physischen und seines Bankkontos jeweils auto- IT-Bereich. Diese Risiken und Ge- euroSIC die Belastungen matisch auszulösen. Beide müssen fahren werden regelmässig analysiert über ein Bankkonto verfügen. und entsprechende technische sowie euroSIC ist ein Echtzeit-System, organisatorische Sicherheitsmass- über das die Banken und die Post- nahmen unterhalten, und wo not- Finance den inländischen Euro-Zah- Elektronischer wendig, erneuert bzw. neu einge- lungsverkehr abwickeln. Über eine Zahlungsauftrag (EZAG) führt. Verbindung zu TARGET, dem Grossbetragszahlungssystem der EU, EZAG eignet sich vor allem für Es folgt eine kurze Beschreibung der können auch grenzüberschreitende Firmen und Privatpersonen, die ihre wichtigsten Zahlungsmittel und Zah- Euro-Zahlungen von der Schweiz in Zahlungen elektronisch über ihr lungssysteme in der Schweiz. Die Erläuterungen mit Ausnahme der Abschnitte Prepaidkarten und Pay- Banken Netzwerk Net wurden dem Quartalsheft der Schweizerischen Massenzahlungssysteme DTA Nationalbank 1/2003 mit dem Titel „Die Rolle der LSV ... EFTPOS Nichtbanken Nationalbank im bargeldlosen Zah- Interbankenabwicklung lungsverkehr“ von Daniel Heller, Systemstabilität und Überwachung, und Andy Sturm, Finanzmarktinfra- SIC Postfinance SIC AG SECOM SIS SECB struktur, Schweizerische Nationalbank, Zürich, entnommen. SNB CLS CLS Bank 6 euroSIC Zahlungssysteme Konto bei der PostFinance ausführen Mastercard sind die verbreitetsten ronische Medien (Internet) abzu- lassen wollen. Die Übermittlung der Kreditkartensysteme in der Schweiz. wickeln. Der Einsatz ist sowohl von elektro- Business to Business (B2B) als auch nisch per Internet oder durch Daten- von Business to Consumer (B2C) Zahlungsaufträge erfolgt Prepaidkarten fernübertragung. möglich. Prepaidkarten werden im DetailDebit Direct (DD) handel (auch an Automaten) einge- SECOM setzt. In der Schweiz sind die DD eignet sich vor allem für Zah- meisten ec/Maestro-Karten mit dem Die SIS SegaInterSettle AG entstand lungen, die mit einer gewissen dafür notwendigen Chip ausgerüstet. 1999 aus der Fusion zwischen der Regelmässigkeit erfolgen. Der Zah- Der Käufer lädt am Bancomat einen SEGA Schweizerische Effekten und lungspflichtige ermächtigt den Zah- Betrag bis zu CHF 300 auf seinen Giro AG und der INTERSETTLE lungsempfänger, Chip und wird dafür auf seinem AG. Die SIS nimmt für den Schwei- seines Kontos bei der PostFinance Konto den zer Finanzmarkt sowohl die Funktion jeweils auszulösen. vorausbezahlten Betrag kann er an des nationalen Wertschriften-Sam- Beide müssen über ein Konto bei der den dafür eingerichteten Verkaufs- melverwahrers (Central Securities PostFinance verfügen. stellen Waren oder Dienstleistungen Depository, CSD) als auch des beziehen. Die Verkaufsstellen liefern internationalen (International Central die so getätigten Transaktionen bei Securities Depository, ICSD) wahr. der Telekurs Group ein und werden Das Kerngeschäft der SIS umfasst: umgehend erkannt. n Verwaltung (Corporate Actions/ die automatisch Belastungen Debitkarten direkt belastet. Für Debitkarten werden hauptsächlich im Entitlements) von Wertschriften, die Detailhandel eingesetzt und erlauben an der Schweizer Börse oder im Aus- dem Käufer, via den Terminal des PayNet land gehandelt werden n Internationale Depotdienste Verkäufers eine unverzügliche Belastung seines Kontos auszulösen Das Electronic Bill Presentment and n Vorgängiger (EFT/POS). In der Regel ermög- Payment System (EBPPS) hat zum Matching) von Transaktionen n Inhouse lichen Debitkarten auch den Bezug und Ausgleich (Pre- grenzüberschrei- von Bargeld an Geldausgabeauto- Ziel, die Rechnungsstellung und den tende Abwicklung schweizerischer maten. ec/Maestro und die Postcard Zahlungsverkehr für alle Beteiligten und ausländischer Wertschriften mit sind die verbreitetsten Debitkarten- am Wirtschaftsprozess zu verein- verschiedensten Gegenparteien systeme in der Schweiz. fachen und kostengünstiger mit Hilfe modernster IT-Techniken über elektBuy order 3/20 Kreditkarten Sell order 3/20 virt-x Clearing Member A Clearing Member B Confirmation Kreditkarten werden hauptsächlich Handel (T+0) Confirmation Locked in trade im Detailhandel eingesetzt, können Clearing (T+0) x-clear aber auch bei telefonischen Bestellungen oder im elektronischen Geschäftsverkehr über das Internet verwendet werden. Sie erlauben dem Käufer, den fälligen Betrag erst zu einem bezahlen. späteren Visa Zeitpunkt und zu SECOM CM A 3 CM B 3 Payment order Abwicklung (T+3) Payment confirmation Eurocard/ SIC CM A 60 CM B 60 7 Zahlungssysteme n Simultane, endgültige und unwiderrufliche Lieferung gegen Zahlung Zahlungssysteme n Wertschriftenverwahrung Das Projekt der Schweizerischen Die SIS betreibt die unter dem Nationalbank (SNB) Namen SECOM zusammengefassten Sicherheit und Effizienz sind die n Zum einen sollte ein Zahlungs- SIS- primären Ziele der SNB im bar- system technisch bzw. operationell Teilnehmer sind online-realtime am geldlosen Zahlungsverkehr. Diese derart ausgestaltet sein, dass es nicht SECOM-System angeschlossen. Ziele leitet die SNB direkt aus der selbst Störungen im Finanzsystem Erfüllung verursacht. Applikationen für die transaktionsabwicklung. EffektenDie ihrer Hauptaufgabe, namentlich dem Führen der Geld- n Zum anderen sollte ein Zah- nach den Darlegungen von Richard und Währungspolitik, ab. Dabei be- lungssystem so konzipiert sein, dass Walder, Telekurs Holding AG stehen Wechselwirkungen sich Störungen im Finanzsystem, wie zwischen dem Zahlungssystem, der z. B. die Zahlungsunfähigkeit eines Geldpolitik und der Stabilität des Teilnehmers, Finanzsystems. über das System auf andere Teil- grosse nicht unkontrolliert nehmer ausbreiten. Bei der Implementierung der Geldpolitik ist die SNB auf ein sicheres Die und effizientes Zahlungssystem wie eines Systems hängt von einer Viel- das SIC angewiesen. Kommt es näm- zahl von Komponenten ab. Im Vor- lich zu Störungen im Zahlungs- dergrund stehen etwa die verwendete system, können die geldpolitischen Hardware und Software, das Tele- Impulse kommunikationsnetz, nicht mehr in vollem operationelle Zuverlässigkeit die Schnitt- Umfang ihre gewünschte Wirkung stellen zu den Systemteilnehmern, entfalten. Gleichzeitig erleichtert ein die stabiles Finanzsystem das Erreichen zuletzt das eingesetzte Personal. Die der geldpolitischen Vorgaben. Einer- technische Integrität eines Systems seits eröffnet es der SNB mehr hängt insbesondere von Kontroll- Handlungsspielraum, andererseits mechanismen bezüglich des physi- führt es zu einer raschen Über- schen und elektronischen Zugangs tragung der Geldpolitik auf die zum System ab. Zu denken ist hier anderen Sektoren. Die SNB ist daher beispielsweise an die für den Daten- aus geldpolitischen Gründen be- austausch verwendete Verschlüsse- strebt, im Rahmen ihrer Möglich- lungstechnologie. Stromversorgung und nicht keiten die Stabilität des Finanzsystems zu stärken, unter anderem Eine sehr hohe Verfügbarkeit und durch die Förderung einer sicheren Integrität des Systems alleine ist und effizienten Finanzmarktinfra- jedoch nicht ausreichend. Ebenso struktur. wichtig sind regelmässig getestete Backup-Einrichtungen und Verfah- 8 In Bezug auf die Sicherheit eines rensregeln, die auch im Krisenfall Zahlungssystems können zwei As- die Aufrechterhaltung des System- pekte unterschieden werden. betriebs gewährleisten. Zahlungssysteme Damit sich Störungen im Finanz- Systemrisiko ausgehen. Systeme, die Bedeutung, die der Zahlungssystem- system nicht unkontrolliert über das ausschliesslich Kleinbetrags- oder überwachung in den Bestrebungen Zahlungssystem auf andere Teil- Publikumszahlungen abwickeln, ber- zur Förderung der Stabilität des nehmer ausbreiten, bedarf es einer gen in der Regel keine oder nur Finanzsystems zukommt. soliden Rechtsgrundlage für das geringe Systemrisiken. Massgeblich System und entsprechender Regeln für die Beurteilung der volkswirt- Neben der Überwachung von Zah- und Verfahren für die Zahlungs- schaftlichen Bedeutung eines Zah- lungssystemen wird die SNB im abwicklung. Ein wichtiger Grundsatz lungssystems ist auch, ob ein alter- neuen Gesetz zudem mit der Über- besteht beispielsweise darin, dass natives Zahlungssystem vorhanden wachung von Systemen für das eine Zahlung, die einem System ist, über das die Zahlungen notfalls Clearing und die Abwicklung von übermittelt wurde und sämtliche abgewickelt werden können. Wertpapiergeschäften und anderen Finanzinstrumenten Risikokontrollen und andere Prüfun- (anschliessend gen erfolgreich durchlaufen hat, Die SNB begrüsst die im Zuge der Effektenabwicklungssysteme nicht ge- gemacht Revision des Nationalbankgesetzes nannt) betraut. Ist ein Betreiber eines werden kann (unwiderrufliche Ab- vorgeschlagene Lösung, die Über- derartigen Systems aufgrund seines wicklung). wachung von Zahlungs- und Effek- Bankenstatus gleichzeitig auch der tenabwicklungssystemen explizit als Aufsicht der Eidgenössischen Ban- Alle Zahlungssysteme sollten hin- eine der Hauptaufgaben der SNB kenkommission (EBK) unterstellt, sichtlich der vorangehend erwähnten aufzuführen. Unter der Vorausset- teilen sich SNB und EBK die Auf- Sicherheitsaspekte einen gewissen zung, dass das neue Nationalbank- gaben. Die SNB wird für den Sys- Minimalstandard erfüllen. Mit zu- gesetz durch das Parlament verab- temteil und die EBK für den Insti- nehmender Bedeutung eines Zah- schiedet wird, sollte dieses voraus- tutsteil zuständig sein. Die System- lungssystems für den Finanzsektor sichtlich im Jahre 2004 in Kraft überwachung und die Institutsauf- und die Volkswirtschaft insgesamt treten. sicht sind somit weitgehend komple- mehr rückgängig mentäre Aufgaben, die beide zur Sta- steigen auch die Anforderungen an bilität des Finanzsystems beitragen. die Sicherheit. Besonders wichtig ist Verschiedene Gründe sprechen für die Sicherheit bei so genannten „sys- eine formelle Regelung der Zah- temisch bedeutsamen Zahlungssys- lungssystemüberwachung auf Ge- Das revidierte Nationalbankgesetz temen“. Dies sind Systeme, bei setzesstufe. Zum einen ist nicht aus- räumt der SNB die formelle Befug- denen Störungen innerhalb des Sys- zuschliessen, dass es in Zukunft in nis ein, an Zahlungs- und Effekten- tems oder finanzielle Schwierigkei- der Schweiz systemisch relevante abwicklungssysteme, von denen Ri- ten einzelner Teilnehmer dazu führen Zahlungssysteme geben wird, die siken für die Stabilität des Finanz- können, dass andere Teilnehmer oder nicht in Zentralbankgeld abwickeln. systems ausgehen, Anforderungen zu gar weite Kreise des Finanzsystems Eine Einflussnahme der SNB auf die stellen. Damit kann sie Störungen im in Mitleidenschaft gezogen werden Gestaltung dieser Systeme wäre Zahlungssystem, welche die Um- (Systemrisiko). zweifellos dies setzung der Geldpolitik behindern, die für die Stabilität des Finanz- bisher in Bezug auf das SIC der Fall reduzieren und das Systemrisiko systems bedeutsam sind, sollten die war. Deshalb sieht der Entwurf des gering halten. zehn Grundprinzipien der Bank für revidierten Internationalen Zahlungsausgleich vor, dass die SNB ermächtigt wird, Vorgesehen ist ein dreistufiges Rege- (BIZ) erfüllen. Die Bedeutung eines die Tätigkeit von bargeldlosen Zah- lungsmodell. Zahlungssystems für das Finanz- lungssystemen zu überwachen, unab- 1. In einer ersten Stufe werden Be- system wird vor allem durch die hängig davon, ob die Abwicklung treiber von Zahlungssystemen einer Höhe und die Art der Zahlungen eines Zahlungssystems in Zentral- statistischen Auskunftspflicht unter- bestimmt. Insbesondere von Syste- bankgeld stattfindet oder nicht. Zum stellt. Mit Hilfe der erhobenen Daten men, Grossbetragszah- anderen widerspiegelt eine Regelung kann sich die SNB einen Überblick lungen abgewickelt werden, kann ein auf Gesetzesstufe die zunehmende verschaffen über die in der Schweiz über die Zahlungssysteme, schwieriger, als Nationalbankgesetzes 9 Zahlungssysteme zugänglichen Zahlungssysteme und Gewährung der operationellen Si- Regelungen zur konkreten Umset- über die Verbreitung verschiedener cherheit des Systems und Mass- zung fehlen grösstenteils. Dies lässt Arten von bargeldlosen Zahlungs- nahmen bei Auftreten von Erfül- viel Raum für Interpretationen. mitteln. Diese Informationen ermög- lungsschwierigkeiten bei Systemteil- lichen es, kleinere Zahlungssysteme nehmern. Die globale Anforderung „die Systeme sollen eben hinreichend sicher von vornherein von einer genaueren Überwachung auszuklammern. Ferner kann die SNB die Geschäfts- sein“ wird darum in der Verordnung 2. Die zweite Stufe regelt die er- bedingungen, das verwendete Zah- für systemisch bedeutsame Zah- weiterte Ihr lungsmittel sowie die Bedingungen lungs- und Effektenabwicklungssys- unterstehen Effektenabwicklungssys- für die Zulassung von Teilnehmern teme nach folgenden Grundsätzen teme sowie jene Zahlungssysteme, zum System prüfen. Für den Fall, konkretisiert. bei denen ein Systemrisiko nicht a dass der Systembetreiber die an ihn priori ausgeschlossen werden kann. gestellten Umfassende Informationen über sol- nicht erfüllt, sieht der Entwurf ver- che Systeme sind notwendig, damit waltungsrechtliche Sanktionen vor. die SNB mit hinreichender Gewiss- So könnte einem Systembetreiber der Die SNB muss darlegen können, heit die Frage beantworten kann, ob Zugang zum Girokonto der SNB dass die Mindestanforderungen nach ein für die Stabilität des Finanz- verweigert werden. Auch könnte die Art und Umfang für den festgelegten systems bedeutsames System vor- SNB öffentlich vor der Benutzung Zweck – Stabilitätsschutz des Fi- liegt. eines mangelhaften Systems warnen. nanzsystems – notwendig ist. Offenlegungspflicht. Mindestanforderungen Verhältnismässigkeitsprinzip 3. Schliesslich kann die SNB an Es gibt bereits heute eine Fülle von Stabilität des Finanzsystems aus- gesetzlichen Vorschriften und An- gehen können, qualitative Mindest- forderungen anforderungen stellen. Diese betref- Organisationen zur operationellen Die Mindestanforderungen sind all- fen die organisatorischen Grund- Sicherheit. Diese werden jedoch eher gemein beschrieben. Sie umfassen lagen, die Vorkehrungen für die abstrakt Instrumente, Prozesse und Massnah- Allgemeine, unternehmensweite Elemente Systeme, von denen Risiken für die Verhalten (Kultur) • Sachkompetenz VR und GL • hohe Dokumentationsqualität • transparente Entscheidungsverfahren • verständliche Leistungsvereinbarungen • Einhaltung der Vorschriften (Compliance) • regelmässige Überprüfung der Sicherheitspolitik, der IT-Sicherheit und des Risikomanagements von behandelt. Umfang internationalen Ausführliche Struktur (Aufbau/Ablauf) • Unabhängigkeit des VR • zweckmässige Organisationsstruktur • klare Zuteilung von Aufgaben, Kompetenzen und Verantwortlichkeiten • angemessenes internes Kontrollsystem Transparenz (Unterlagen) • Richtlinie zur Unternehmensführung (u.a. für Strategiefindung und Zielsetzungsprozess) • Sicherheitspolitik • Richtlinie Risikomanagement • Personalpolitik • Kostentransparenz als Grundlage für die Kostenverrechnung • Informationspflichten (Finanzlage, Eigentumsverhältnisse, Grundzüge zur Organisationsstruktur) IT-spezifische Elemente Grundlage/Benchmark: Allgemein anerkannter Sicherheitsindustriestandard 10 Verfügbarkeit • redundante Systemarchitektur • geografische Trennung Primärund Ausweichsystem • jederzeitiger Wechsel zwischen Primär- und Ausweichsystem ohne Verlust bestätigter Trans. • Ausweichverfahren müssen getestet werden • max. Ausfallzeit und begrenzte Anzahl Fehler Integrität Nachvollzug • Datenintegrität muss über alle Be- • Aufzeichnung aller Transaktionen arbeitungsstufen gewährleistet bei Ein- und Ausgang sein • kritische Dateneingaben und • Dateneingaben und Interventionen Interventionen sind aufzuzeichnen nur durch autorisierte Benutzer und als Grundlage für das Auditing Systemkomponenten • zeitnahes und standardisiertes • wirksame und nachvollziehbare Aufzeichnen von VerarbeitungsKontrollschritte zur Sicherstellung fehlern und Störungen einer richtigen und vollständigen Verarbeitung Zahlungssysteme men, die heute bei der Beurteilung der Leitsätze „Gewähr für einwandfreie Geschäftsführung“ und „Ordnungsmässikgeit der Geschäftsfallabwicklung, der Informatik und der Buchführung“ unter dem Gesichts- Zahlungssysteme Configuration d’une banque participante punkt „best practice“ üblicherweise betrachtet werden. In der Verord- La configuration se présente de la nung werden einige wichtige Min- manière suivante : destanforderungen erwähnt. Detaillierungsgrad In der Verordnung finden sich keine Ordres de paiement Entrée CCP Ecritures internes Entrée SIC Ordres permanents Echange de support de données (DTA) Ordres SWIFT Ordres FAX Ordres télébanking Bancomat EFT/POS Traitement eurochèques Entrées BRV Débits directs Recouvrement direct (LSV) Opérations du marché monétaire Bourse Emissions Titres Regeln zur Art und Weise der Umsetzung. Die konkrete Ausgestaltung ist u.a. von der Unternehmenskultur und -struktur, dem Unternehmensumfeld sowie dem technischen Fortschritt abhängig. Entrées Sorties Système informatique central Comptes des clients Comptabilité générale Sorties CCP Sorties SIC Sorties SWIFT Banque Banque Office CCP Centrale SIC Réseau SWIFT Geltungsbereich Die Mindestanforderungen sind primär an die Betreiber von systemisch relevanten Systemen gerichtet und nicht an die angeschlossenen Teilnehmer. Inhalt siehe Grafik Vorseite Nach einem Artikel von D. Heller im SNB Quartalsheft 1/2003 sowie dem Referat von D. Heller und B. Müller, Les mesures techniques mises en œuvre doivent permettre de garantir : n Intégralité des paiements n Exactitude des paiements n Non répudiation des paiements n Traçabilité des paiements n Accès aux systèmes n Disponibilité des systèmes tiré de l’exposé de S. Varone, Ernst & Young Schweizerische Nationalbank 11 Zahlungssysteme Prüfungsvorgehen Zahlungssysteme Die Exemplarisches Revisionsvorgehen Abwicklung der Geschäftstransaktionen einzelnen erfolgt in Interaktion mit den entsprechenden eines Finanztransaktionssystems Gegenparteien. Der technische Informationsaustausch erfolgt durch den am Beispiel SECOM Austausch von Mitteilungen entsprechend dem Standard ISO-15022. Die Rolle der SIS SegaInterSettle Die Risikosituation Aufgrund der hohen Transaktionszahl und der bei der Gegenpartei Die SIS wickelt die Geschäfte unter nicht unbedingt tagfertig erfolgenden Die SIS SegaInterSettle AG entstand Einsatz komplexer Informatikmittel Abwicklung werden die Abstim- 1999 aus der Fusion zwischen der auf einem hohen Automatisierungs- mungen mehrheitlich auf Trans- SEGA Schweizerische Effekten und grad innerhalb sehr kurzer Fristen ab. aktionsebene durchgeführt. Hierfür Giro AG und der INTERSETTLE Im Schweizer Finanzmarkt werden werden entsprechende Status-Mit- AG. Die SIS nimmt für den Schwei- sehr hohe Anforderungen an die Ver- teilungen ausgetauscht. zer Finanzmarkt sowohl die Funktion fügbarkeit der Leistungen der SIS des nationalen Wertschriften-Sam- gestellt. Aus diesem Grund kommt Zum Nachvollzug der zeitlichen Ab- melverwahrers (Central Securities der Katastrophenvorsorge und der folge und der gegenseitigen Ab- Depository, CSD) wie auch des Sicherstellung einer kurzen Wieder- hängigkeiten der einzelnen Prozess- internationalen (International Central anlaufszeit im Falle von Störungs- Schritte bedient sich die Revision Securities Depository, ICSD) wahr. ereignissen grosse Bedeutung zu. Sequenzdiagrammen. Das Kerngeschäft der SIS umfasst: n Verwaltung (Corporate Actions/ Ereignis Entitlements) von Wertschriften, die an der Schweizer Börse oder im Ausland gehandelt werden n Internationale Depotdienste Ausgleich (Pre- Tests NachEreignisManagement DisasterBehebung Wiederaufnahme des Normalbetriebes Verfahrensregeln Standorte / Ressourcen Mitarbeitende Wiederaufbau der Infrastruktur Reallokation von Ressourcen Geschäftsprozesse im Notfalldispositiv Informationsrückgewinnung IT und Operations Wiederaufnahme Geschäftsbetrieb Disasterbehebung grenzüberschrei- Vor-Ereignis-Planung KrisenManagement und tende Abwicklung schweizerischer Vermeidung n Inhouse Ermittlung Matching) von Transaktionen RisikoManagement Krisen-Management n Vorgängiger und ausländischer Wertschriften mit verschiedensten Gegenparteien n Simultane, endgültige und unwiderrufliche Lieferung gegen Zahlung n Wertschriftenverwahrung Die SIS betreibt die unter dem Namen SECOM zusammengefassten Applikationen für die Effektentransaktionsabwicklung. nehmer sind Die SIS-Teil- online-realtime SECOM-System angeschlossen. 12 am Elemente der Katastrophenvorsorgeplanung Als Bank ist die SIS verpflichtet, die In darauf aufbauenden Kollabora- notwendige Vertraulichkeit der ihr tionsdiagrammen wird auch der zugebrachten Informationen sicher- Informationsfluss dargestellt. Auf zustellen. Hierfür ist das elektronisch dieser Informationsbasis kann die transferierte Revision anhand von Informations- Datensubstrat quent zu verschlüsseln. konse- extrakten aus Logs, aus Transaktions- und Bestandesdaten durch den Einsatz von CAATs (Computer Aided Audit Tools) Konsistenzprü- Zahlungssysteme A-1 bis A-4 stellen Teilprozesse dar Zeitachse A-2 A-4 A-1 MT / SI Bedingung MT / SI - Bedingung MT / SI - Bedingung A-3 MT / SI - Bedingung MT / SI – Bedingung stellt schematisch die Regeln für die Werte der Parameter Message-T Typ und Status-IIntimation dar Darstellung des Ablaufes im Sequenzdiagramm (zeigt den zeitlichen Ablauf mit den relevanten Abhängigkeiten der Prozess-Schritte auf) fungen und Abstimmungen vor- klare Definition der Lieferobjekte nehmen (Reconciliation). definiert. Die Prüfung des ordnungsgemässen Nach dem Vortrag von R. Schaffner, Einsatzes der Informatikmittel und PriceWaterhouseCoopers der entsprechenden Rahmenorganisation erfolgt entsprechend Internationaler Standards wie COBIT und ISO 17799 Auf dieser Basis wird auch die Arbeitsteilung der internen und der externen Revision durch Beispiel der Detailanalyse eines Steuerabwicklungsvorganges BusinessPartners SIS Partei A Partei B 13 Zahlungssysteme Risiken: Minimales Zahlungssysteme Verantwortung der beiden Firmen mit der angestrebten Punkt-PunktVerbindung (Mietleitung). bzw. von digitalen Unterschriften in Transaktionssystemen évoquée : Das Schlüssel-Management liegt in der Prüfung von Chiffrierungstechniken La question du chiffrement est Risiko. 2. Kerberos Systeme 1. SIC, SECOM, S.W.I.F.T Chiffriertechniken Mit Kerberos kann man mit Microsoft einen Authentifizierungsmecha- n explicitement dans les « Recom- nismus einführen, welcher das relativ mandations pour les systèmes de Die Anbindung von Finanzsystemen hohe Sicherheitsniveau, das Win- règlement de titres » pour garantir (Zahlungs-, Effektenabwicklungssys- dows NT und Windows 2000 bereits l’intégrité des instructions (chiffre teme) wird heute in den meisten im lokalen Bereich bietet, auch auf 3.58) Fällen mit einer Link-Layer Chiff- den Betrieb im Netzwerk übertragen. n indirectement par les « Principes rierung (Punkt-Punkt oder ISDN- Neben den stärkeren Sicherheits- fondamentaux pour les systèmes de Verbindung) ausgeführt. mechanismen bietet Kerberos gleichzeitig noch vier weitere Vorteile: payement » qui prévoient que la sécurité du système devrait être Diverse Hersteller stellen solche conforme à des normes commer- Hardware Chiffrierboxen zur Verfü- cialement raisonnables, notamment gung. Die Chiffrierung mit Hard- en wareboxen ist sehr sicher und stabil, matière d’intégrité, de confidentialité, d’authentification, de non-répudiabilité,de disponibilité et Schnelleres Networking, Delegierte jedoch auf der anderen Seite wiederum kostenintensiv. d’auditabilité. SIC, EuroSIC, SECOM, S.W.I.F.T Chiffriertechniken Lokation 1 Lokation 2 X.25 X.25 Modem SIC, SECOM, EuroSic Modem SIC, SECOM, EuroSic Modem Swift Gretacoder GC710 für Secom Linkchiffrierer GC522 Interner Link Gretacoder Gretacoder Linkchiffrierer GC605 Linkchiffrierer GC522 Interner Link SCR 2 Swift Card Reader MuX 8 Port Box Gretacoder Gretacoder Gretacoder Telexbox Telexbox Baldrian Pipan Mohn IBASEC Server ATM Switch mit VLAN (Trunks) ATM Switch mit VLANS# Router Safenet Linkchiffrierung öffentliches ATM Netz 14 Swift Card Reader GC720 für Authentiserung PyritB HDS/Hitachi ATM Switch Cisco 5505 ATM Switch Cisco Lightstream Sicheres Netz Linkchiffrierung Zahlungssysteme SIC, EuroSIC, SECOM, S.W.I.F.T Chiffriertechniken OSI-Modell (Open System Integrated Model) Anwendungsschicht 7 Application Layer Darstellungsschicht 6 Presentation Layer Sitzungsschicht 5 Session Layer Transportschicht 4 Transport Layer 3 Network Layer 2 Data Link Layer Vermittlungs-/Netzwerkschicht Sicherungsschicht Bitübertragungsschicht Physical Layer 1 ment sollten von Fachspezialisten auf Richtigkeit überprüft werden. Eine Zertifizierung kann das nötige Sicherheitsniveau sicherstellen. 5. IPSec (IP Security) Die IPSec-Anwendung gewährleistet Authentizität, Vertraulichkeit und Integrität bei der Datenübertragung. Sicherheitschecks, Server-Identifika- munikation über das Internet er- Eigenschaften der IPSec-Anwendun- tion und UNIX kompatibel. möglichen. gen sind: Das Protokoll integriert die Sicherheitsfunktion auf der KernelEbene. Die Authentifikation und Risiken: Der Key Distribution Center (KDC) ist ein Single Point Failure. Leicht beeinflussbares „Password- 4. PKI Lösungen, digitale Signaturen Verschlüsselung finden bei allen Übertragungen statt. Alle Anwendungen und Arbeitsstationen werden Guessing“ ist möglich. Brute-Force Attacken fürs Schlüsselknacken ist Die Vertraulichkeit wird durch das automatisch geschützt und müssen beim Betriebssystem Windows NT Verschlüsseln der Information mit nicht mehr individuell gesichert wer- 4.0 auch möglich. dem öffentlichen (allen bekannten) den. Die Authentisierung erfolgt Schlüssel des Empfängers gewähr- durch den Authentification Header leistet, während Integrität und Nicht- (AH). Die Verschlüsselung erfolgt Abstreitbarkeit durch das Signieren im Encapsulation Security Payload der Information mit dem privaten (ESP). Die Hash-Verfahren sind zur 3. Transaktionssysteme mit SSL-Zertifikaten (geheimen) Schlüssel des Senders Erreichung der Integrität bei der SSL (Secure Socket Layer) ist ein garantiert werden. Kryptosysteme, Datenübertragung optional imple- Transportprotokoll, auf die auf dem Konzept der öffentlichen mentierbar. TCP/IP aufsetzt und in der Lage ist, Schlüssel basieren, werden heute alle welches bereits von vielen Herstellern ange- Risiken: Angriffe auf die Verschlüs- http, boten. Die Produkte haben die not- selung (Mitlesen und Hijacken); Telnet und NNTP sicher zu über- wendige Marktreife erreicht und Verfügbarkeit des Security Associa- tragen. WWW- diverse Standards haben sich etab- tions (SA) Server; Missbrauch der Clients unterstützen in ihren aktuel- liert. Die umfassende Einführung Verbindungen bei externen Firmen len Versionen bereits SSL, so dass einer PKI stellt jedoch immer noch durch fehlende schlechte Zugriffs- dieses Sicherheitsprotokoll bereits eine grosse Herausforderung für die kontrollen. Grundsätzlich sind aber eine enorme Verbreitung im Internet Unternehmen dar, besonders wenn es VPN besitzt. Vor allem für die Über- sich um grosse internationale Kon- Verbindungen zwischen Client und tragung von datenschutzwürdigen zerne handelt. Trotzdem scheint es, Host sehr sicher und finden heute Informationen wie Adressen, Konto- als liesse sich dieser Schritt auf dem auch einen breiten Anwendungs- und Kreditkartennummern wird SSL zum erfolgreichen e-business sowie bereich. eingesetzt. Transaktionssystemen nicht vermei- im Internet gebräuchlichen Applikationsprotokolle Alle wie namhaften den. (Virtual Private Network) Nach dem Vortrag von R. Grubenmann, KPMG Risiken: Zwischenzeitlich wurden die SSL-Implementationen nachge- Risiken: Die Risiken sind facetten- bessert. Sie sollten nach mensch- reich, d.h. der Lebenszyklus des lichem Ermessen eine sichere Kom- Schlüssel- und Zertifikat-Manage15 Zahlungssysteme Zahlungssysteme n Principes fondamentaux pour les Les recommandations systémique (janvier 2001) internationales mes de règlement de titres (novem- systèmes de paiement d’importance n Recommandations pour les systèbre 2001) Des systèmes de paiement sûrs et particulièrement rapidement, ce qui Ces principes et recommandations efficients sont essentiels au bon atteste de l’intégration croissante des s’appliquent aux systèmes de paie- fonctionnement d’un système finan- marchés mondiaux. ment d’importance systémique. Un cier. Les systèmes de paiement per- système de paiement est dit mettent de transférer des fonds au Les faiblesses des systèmes de « d’importance systémique » lors- sein des banques, et les principaux règlement de titres peuvent engen- que, en l’absence de protection d’entre eux, appelés ici systèmes de drer des perturbations systémiques suffisante contre les risques, une paiement d’importance systémique, sur les marchés des valeurs mobi- perturbation interne – résultant, par constituent un vecteur de trans- lières et au niveau des autres systè- exemple, mission majeur des chocs entre mes de paiement et de règlement. Un participant – peut déclencher ou systèmes financiers problème financier ou opérationnel propager des perturbations en chaîne domestiques et internationaux. C’est affectant une des institutions rem- chez les participants ou des per- pourquoi leur solidité représente un plissant des fonctions critiques dans turbations préalable clé au maintien et au le processus de règlement-livraison sphère financière plus généralement. renforcement de la stabilité finan- ou un utilisateur important d’un Le principal critère de l’importance cière. Ces dernières années, un large système de règlement de titres, systémique est le montant ou la consensus international s’est fait jour pourrait causer des problèmes signi- nature des ordres de paiement ou leur sur la nécessité de consolider les ficatifs de liquidité ou des pertes valeur globale. Un système spécia- systèmes de paiement, grâce à des financières pour d’autres partici- lisé dans la gestion des paiements de normes et pratiques unanimement pants. Toute perturbation des systè- gros montant est normalement consi- acceptées pour leur conception et mes de règlements de titres peut se déré comme d’importance systémi- leur exploitation. propager que. et marchés aux infrastructures de En de l’insolvabilité systémiques revanche, un dans d’un la système paiement utilisées par les systèmes d’importance systémique ne gère pas Les systèmes de règlement de titres de règlement de titres ou ayant nécessairement que des paiements de constituent un élément essentiel de recours à ces derniers pour transférer gros montant. Le terme peut désigner l’infrastructure financière mondiale. des sûretés. Sur les marchés des un système qui traite des paiements La forte augmentation des volumes valeurs mobilières mêmes, la liqui- de montants divers, mais qui a la des échanges et des règlements dité dépend de manière fondamentale capacité de déclencher ou de pro- depuis quelques années tient à deux de la sécurité et de la fiabilité des pager des perturbations systémiques facteurs. D’une part, les marchés de mécanismes de règlement. Les opé- du fait de certains segments de son titres jouent un rôle accru dans rateurs ne peuvent en effet que se trafic. En pratique, la frontière entre l’intermédiation des flux financiers montrer réticents s’ils ont des doutes les systèmes de paiement d’impor- entre emprunteurs et bailleurs de significatifs tance systémique et les autres n’est fonds. D’autre part, les investisseurs effectif de leurs transactions. quant au règlement gèrent plus activement leurs porte- centrale doit être attentive à bien feuilles de valeurs, sous l’effet, La Banque de règlements inter- notamment, d’une baisse des coûts nationaux (www.bis.org) a édicté de transaction. Dans ce contexte, le deux documents essentiels : volume des transactions et règlements transfrontières a progressé 16 pas toujours très nette et la banque situer la limite. Zahlungssysteme Les attentes à l’égard de la n Risque de non-règlement: pas de La pratique montrera si la BNS a su BNS règlement postérieur à la date-valeur prendre les mesures nécessaires pour n Risque de panne des systèmes maîtriser ces risques. 1. La banque centrale devrait définir informatiques: analyse des risques, clairement ses objectifs pour le sys- procédures d’interruption des systè- tème de paiement et faire connaître mes, tests réguliers des plans de publiquement son rôle ainsi que ses secours, etc, etc… Les attentes nationales grandes orientations en matière de Indépendamment de cette évolution systèmes de paiement d’importance internationale, la Chancellerie fédé- systémique. 2. La banque centrale devrait s’assurer que les systèmes qu’elle Quelques exemples de rale a entrepris depuis plusieurs mesures préconisées pour les années de mettre en place des systèmes de clearing des titres mesures propres à identifier, gérer et exploite se conforment aux Principes en définitive maîtriser dans la n Risque juridique: droits prio- mesure du possible les crises liées devrait ritaires sur les sûretés déposées pour aux systèmes d’information. Elle a surveiller la conformité aux Prin- les créanciers parties au système par par exemple créé la notion de cipes fondamentaux des systèmes rapport aux créanciers hors-système, « KASII » soit une « Krise, ausgelöst qu’elle n’exploite pas et avoir les n Risques de règlement: le système durch Störungen in der Informations- moyens d’effectuer cette surveil- de clearing de titres devrait être Infrastruktur ». La révision de la loi lance. couplé avec un système de clearing sur la Banque nationale suisse va des dans le sens des mesures pré- fondamentaux. 3. La banque centrale payements répondant aux exigences « systémiques » conisées. n Risques opérationnels: analyse www.infosurance.ch. Quelques exemples de des risques, audits indépendants, mesures préconisées pour les sécurisation des accès, pistes d’audit, systèmes de clearing des plans de payements devraient permettre: n secours. Ces derniers règle moment de la perturbation, heure » (Null-Uhr- qui permet d’annuler n ce thème exposé de M. Huissoud, Contrôle d’identifier avec certitude l’état de toutes les transactions au « zéro sur fédéral des finances n Risque juridique: supprimer la Regelung) Voir de rétablir le fonction- rétroactivement dès 00:00 les trans- nement et les données sans actions d’une entreprise entrant en entraver le processus de règle- faillite ce jour-là ment n Risque de dysfonctionnement: documenter les procédures, y com- L’audit informatique se concentre pris le traitement des erreurs et sur les risques opérationnels qui pannes peuvent être classifiés de la manière n Risque de crédit: interdiction de suivante : révocation de transaction pour faire face à une incapacité d’effectuer un règlement dans un système à règlement net différé (RND/DNS) n Risque de liquidité: mise à disposition de liquidité intrajournalière pour assurer la fluidité des problèmes software Erreurs dans les programmes, base de données, systèmes d’exploitation et de communication, virus, etc… problèmes hardware Unité centrale, mémoires, disques, réseaux, etc.. erreurs/interventions humaines Utilisateurs, opérateurs, pirates, fraudeurs, etc… catastrophes Coupures de courant, incendies, tremblement de terre, terrorisme, etc… systèmes à règlement en temps réel 17 Zahlungssysteme Zahlungssysteme Conclusion du Séminaire Les différentes présentations faites Un point central demeure ouvert : le dans le cadre du séminaire ont périmètre des systèmes d’importance montré que les risques auxquels sont systémique qui seront soumis à une exposés les systèmes de clearing sont réglementation et à une surveillance bien réels. La mise en place de spéciale de la part de la Banque certaines mesures propres à maîtriser nationale suisse. La plupart des parti- ces risques peut se révéler complexe, cipants au séminaire ont été étonnés notamment d’apprendre les procédures de que des systèmes reprises après incident. D’autres comme le système ec, les bancomats mesures une ou les cartes de crédit ne tomberont gestion optimale d’une éventuelle pas dans cette catégorie. Une inter- crise pourraient encore être prévues, prétation que la BNS devra peut-être par exemple la mise en place d’une revoir pour éviter la répétition de ce cellule de crise, qui pourrait égale- fameux Noël de 2001. propres à assurer ment être chargée de l’observation des incidents. A pretty young auditor worked not for money but rather for leisure, She added balance sheets, ledger cards and took many a measure, On Stephenson’s island, son of a gun, She ran into a guy named Ben Gun. Captain England marooned him, but he had discovered the treasure. Eine Revisorin, die handelte mit allerhand Aktien und Scheinen, Doch die Performace des Portefeuilles war eher zum Weinen, Sie kaufte bei höchst grässlichen Preisen, Und liess beim Verkauf mit sich „maisen“, Ein Zahlengirl sollte die Börse doch kennen, würde man meinen. 18 Katastrophenfallplan would cause an significant loss. Most Katastrophenfallplan brokers have mirrored sites. Business Continuity Plan: a senior IT systems must escalate to cope with the mandatory requests of the management concern organisation’s business. Basics to start a BCP project Most of these plans need to be sized and 24 x 365 the organisation. It must be emphasised that, only when the top BCP has been produced, can the other plans Moreover, it will be often too costly ability of information. More and to put every possible device in place more be to achieve a near 100% protection. working 24 hours a day and 365 days Risk management helps business to a year. cope with these risks and mitigate to on can be prepared. business as well as 24 hours availneed depending controls and actions to be undertaken Recent years have lead to worldwide organisations address be developed. BCP project them. Threats are there, damage can The Business Continuity Institute Relying on computers here and there, arise, and will arise. Risk metrics suggests a 10 steps project: means that the information systems help should not crash by all means – at impacts. to measure the potential 1. Project initiation and manage- least completely providing the core business still works. The objective is to minimise the ment impact and continue to work at best. Establish the need for a BCP, including That’s the objective of the Business obtaining management support and organising and manag- Continuity Planning (BCP) which A Senior management concern ing the project to completion with step the traditional Disaster Reco- At first Business Continuity is a 2. Risk evaluation and control very Plan, which has the objective to management issue: What risks are Determine the events and environ- give a reasonable assurance that, in we encountering? Which activities mental surroundings that can adver- case of a disaster, some basic are important for our business? sely affect the organisation and its systems will be able to operate Which are less important? How long facilities with disruption as well as within a short period of time (see can we stay out of the business? disaster, the damage such events can how fast the companies in the World What measures should we put in cause, and the controls needed to Trade Centre have been back to place to cope with all these issues prevent or minimise the effects of operation after Sept,11,2001). and mitigate the impact? How much potential loss. Provide cost-benefit will that cost? analysis to justify investments in addresses all the business activities to survive in case of urgency. Of agreed upon and budget limits course the BCP includes as a final controls to mitigate risks. BCP broadly focuses on defining what to do to continue business in In some specific economic sectors – front of any event. A risk analysis is such as banking organisations (see mandatory when starting a BCP Basel II) – a tested, compliant BCP project. The world is neither perfect is mandatory by law. In most stock nor predictable but if scenario of market places, no interruption is events been accepted as the amounts in action are thought of in advance, necessary so important that any time disruption and impacts have 19 Katastrophenfallplan Plan Purpose Scope Business Continuity Plan (BCP) Provide procedures for sustaining essential business operations while recovering from a significant disruption Addresses business processes; IT addressed based only on its support for business process Business Recovery (or Resumption) Plan (BRP) Provide procedures for recovering business operations immediately following a disaster Addresses business processes; not ITfocused; IT addressed based only on its support for business process Continuity of Operations Plan (COOP) Provide procedures and capabilities to sustain an organization’s essential, strategic functions at an alternate site for up to 30 days Addresses the subset of an organization’s missions that are deemed most critical; usually written at headquarters level; not ITfocused Continuity of Support Plan/ IT Contingency Plan Provide procedures and capabilities for recovering a major application or general support system Same as IT contingency plan; addresses IT system disruptions; not business process focused Crisis Communications Plan Provides procedures for disseminating status reports to personnel and the public Addresses communications with personnel and the public; not IT focused Cyber Incident Response Plan Provide strategies to detect, respond to, and limit consequences of malicious cyber incident Focuses on information security responses to incidents affecting systems and/or networks Disaster Recovery Plan (DRP) Provide detailed procedures to facilitate recovery of capabilities at an alternate site Often IT-focused; limited to major disruptions with long-term effects Occupant Emergency Plan (OEP) Provide coordinated procedures for minimizing loss of life or injury and protecting property damage in response to a physical threat Focuses on personnel and property particular to the specific facility; not business process or IT system functionality based Source NIST 3. Business impact analysis while maintaining the organisation’s 7. Awareness and training programs Identify the impacts resulting from critical functions. Prepare a program to create corporate awareness and enhance the disruptions and disaster scenarios 5. Emergency techniques that can be used to obligations ment, maintain, and execute the quantify and qualify such impacts. Develop and implement procedures Business Continuity Plan. Establish critical functions, their for responding to and stabilising the recovery inter- situation following an incident or 8. Maintaining dependencies so that recovery time event, including establishing and business continuity plans objective can be set. managing an Emergency Operations Pre-plan Centre to be used as a command exercises, and evaluate and docu- centre during the emergency. ment plan exercise results. Develop priorities, and 4. Developing business continuity response and skills required to develop, imple- that can affect the organisation and and and exercising co-ordinate plan processes to maintain the currency of strategies Determine and guide the selection of 6. Developing and implementing continuity capabilities and the Plan alternative business recovery operat- business continuity plans document in accordance with the ing strategies for recovery of busi- Design, develop, and implement the organisation’s ness and information technologies Business Continuity Plan that pro- Verify that the Plan will prove within the recovery time objective, vides recovery within the recovery effective by comparison with a time objective. 20 strategic direction. Katastrophenfallplan suitable standard, and report results BCP is not a one-shot process. BCP in a clear and concise manner. needs resources for the implementation but also on a permanent basis 9. Public relations and crisis to re-evaluate the plan and take necessary measures. coordination Develop, co-ordinate, evaluate, and exercise plans to handle the media during crisis situations. To develop, Some sources co-ordinate, evaluate, and exercise plans to communicate with and, as Sites Internet appropriate, provide trauma coun- http://www.continuitycentral.com/ selling for employees and their http://www.thebci.org families, http://www.csrc/nist.gov key customers, critical suppliers, owners/stockholders, and corporate management during crisis. Bibliography Ensure all stakeholders are kept e-SAC report from The Institute of informed on an as-needed basis. Internal Auditors (www.theIIA.org) 10. Coordination with public authorities By Patrick Morrissey, CIA, CISA, Establish applicable procedures and CISSP policies for co-ordinating continuity and restoration activities with local Patrick Morrissey is a French expert authorities while ensuring compli- in IT and Security audit and consult- ance with applicable statutes or ing. He has been working with all regulations. sizes of private or public organisations as well as for the European Source BSI Commission and the World Bank. He teaches in different European universities. He is the author of “ISO Conclusion: a continuous process with all the organisation 17799 – Practitioner book” to be published end 2003. He can be joined at pmorrissey@auditware.fr Since Security practitioners start to speak in “business words”, Senior management will be more attentive to their speeches and will be more ready to achieve the objectives of the organisation. BCP is an total enterprise project not only a techies concern. Taking the opportunity to exchange with others colleagues leads to more understanding and better efficiency for the whole organisation. 21 CAATs rungen man eigentlich an die zu CAATs testenden Felder hat, da man sonst Fraud Toolkit interpretieren. In der Praxis hat sich eventuell Mühe hat, das Ergebnis zu dieser Test bei der Prüfung von Zahlungsverkehrsdaten bewährt. Ein Erfahrungsbericht nen Ordner, in dem in gewohnter Manier die geprüften Datenbestände hinterlegt werden. Fraud Toolkit des wird als Batch-Fenster ausgeführt (ACL) und bietet eine Reihe von Pro- schaut man natürlich ab und zu mal grammen zum Start an. Hier kommt in die Internetseite des Anbieters. dann allerdings eine etwas un- Dabei machte mich die Ankündigung elegante Bedienung ins Spiel: wer eines neuen Tools als Aufsatz auf annimmt, es wäre eine der Pro- das Standardtool recht neugierig. Mit grammalternativen frei wählbar, wird deutlichen Worten wurde auf die schnell durch Fehler und Abbrüche Benefits dieses neuen Tools hinge- eines besseren belehrt. Die einzig wiesen, der Fingerabdruck und die sichere Auswahl ist die Auswahl Formulierung ließen keinen Zweifel „__Start“. Ohne Anstoß dieses Start- daran, dass Fraud zukünftig keine programms klappt die Bereitstellung Chance mehr hat. von Parametern nämlich nicht, und Als langjähriger marktführenden Anwender CAAT die eigentlich erwünschte AuswerObwohl man als Revisor schon zur tung bricht mit Hinweis auf fehlende skeptischen Beurteilung neigt, über- Laufkomponenten ab. zeugte mich die Darstellung der verschiedenen Auswertungsmöglich- Nachdem dieses Hindernis überwun- keiten, und da eine Überarbeitung den ist, kann mit den insgesamt acht unseres ACL-Vertrags im Raume verschiedenen Auswertungsmöglich- stand, ließ sich das Tool recht keiten gearbeitet werden. Anhand günstig erwerben. Wie man mir von der beiliegenden ausführlichen (eng- Seiten des Vertriebs mitteilte, wäre lischen) Beschreibung konnte man ich einer der ersten Anwender in sich in die Thematik gut einarbeiten; Deutschland. allein die Praxis bringt das richtige Gefühl für die Möglichkeiten mit Dies war dann auch zügig zu spüren. sich. Zu den Auswertungen lässt sich Während Folgendes bemerken: die Installation noch einigermaßen reibungslos funktionierte, musste vor dem ersten Einsatz „Completeness and Integrity“ ist ein zunächst einmal das 1000er und Kombinationstest, bei dem bis zu Dezimal-Punkt bzw. Kommaprob- vier Schlüsselfelder vorgegeben wer- lem gelöst werden, da das Tool nicht den können. In einem grafischen als deutsche Version erhältlich war. Output werden dann die Ergebnisse pro Feld dargestellt. Vor der Anwen- Dann konnte es losgehen, Fraud dung dieses Tests sollte man sich Toolkit eröffnet im ACL einen eige- Gedanken machen, welche Anforde- 22 „Cross Tabulation“ ist eigentlich ein reiner Sortieralgorithmus, der sich aber in der praktischen Prüfung als sehr nützlich erwiesen hat. Der Grundgedanke ist eine Verbesserung der Übersichtlichkeit eines Datenbestandes, indem gleichartige Werte, die in Kolonnen angeordnet sind, zu einer matrix-basierten Tabelle aufgelöst werden. Wer mit Entscheidungstabellentechnik wird diese vertraut ist, Auswertungsform zu schätzen wissen. In der Praxis konnte ich sie beim Abgleich von Kennziffern erfolgreich einsetzen. „Duplicates“ nutzt im wesentlichen die Möglichkeiten von ACL zur Prüfung auf doppelte Werte. Auch hier können bis zu vier Felder vorgegeben werden, mit einem ergänzenden Feld, das feste Werte- vorgaben ermöglicht. Damit ist der Duplikattest wirklich bis zum äußersten ausreizbar, es sollte aber auch hier sehr gut vorüberlegt werden, auf welche Feldkonstellationen er sinnvoll angewendet werden kann. „Gaps“ ist der bekannte Lückentest; hier wird außer der grafischen Benutzerführung nicht allzuviel neues geboten. „Data Profile“ entspricht im wesentlichen dem gleichnamigen Test aus ACL; es können im grafischen Fenster aber einige durchaus sinnvolle Vorgaben durch anhaken bzw. ausfüllen gemacht werden. Ergän- CAATs zend kann noch ein Zeichen-Feld mit dings bezeichnend: „Ensure that you hinzu gegeben werden, dass den have a clean data file – no fraudulent Häufigkeitstest ergänzt. Bei sinn- transactions…“. Hier beißt sich die voller Auswahl von Zeichen-/und Katze m.E. in den Schwanz, denn Ziffernfeld sind so prüferisch interes- das Ermitteln solcher fraudulent sante Auffälligkeiten ermittelbar. transactions hat sich das Werkzeug nun gerade selbst auf die Fahne „Ratio Analysis“ ist ein aus zwei geschrieben. Es wäre m.E. metho- verschiedenen Ansätzen zusammen- disch fatal, eine vermeintlich saubere gestellter Plausibilitätstest. Der eine Grundgesamtheit als Vorgabe heran- Teil, eine Max/Max- bzw. Min/Max- zuziehen – und damit im Ergebnis Analyse, ist auf das Aufstöbern von Abweichungen in der Prüfung, die „Ausreißern“ unregelmäßigen Charakter haben, zu ausgerichtet. Der andere – meiner Meinung nach inte- sanktionieren. ressantere – Teil ist eine mehr oder weniger frei formulierbare 2-Felder Fazit: Plausibilitätsprüfung. die Der Anspruch, Fraud im Unter- Kombination eines Zeichen-Feldes nehmen mit diesem Tool aufdecken mit zwei Ziffern-Feldern können – zu können, ist sicherlich in der sorgfältige Vorüberlegung voraus- Praxis nicht einzuhalten. Wie jeder gesetzt – problematische Vorgänge mit etwas Prüfungserfahrung weiß, aus größeren Datenmengen ausge- gehört da einiges mehr dazu als das filtert werden. Selektieren von Datenbeständen. Das Durch Tool aber ist – losgelöst von seiner Auch dieser Test hat sich schon bei werblichen Darstellung – ein recht der Prüfung von Zahlungsströmen nützliches Hilfsmittel bei der Auf- bewährt. arbeitung von Datenbeständen, insbesondere wenn diese recht groß „Benford’s Law“ ist meines Erach- sind und die Ausprägung der Inhalte tens der schwächste Teil der an- nicht von vornherein offensichtlich gebotenen Analysemöglichkeiten. ist. Der gewiefte ACL-Program- Zwar wird in gewohnter Manier eine mierer mag einwenden, das man die schöne Benutzerführung aufgesetzt, angebotenen Auswertung auch alle das Programm verzichtet aber auf mit der Kommandosprache selbst eine gerade für diesen Test sinnvolle erstellen könnte. Dem soll nicht hochqualitative Aufbereitung. Der widersprochen werden, wer jedoch Benford-Test, der bereits im ACL- dafür weder Zeit noch Kenntnis hat, Standard integriert ist, erfüllt prak- ist mit dem Fraud Toolkit gut tisch die gleichen Wünsche, wobei er bedient. qualitativ m.E. nicht mit Werkzeugen wie dem von Prof. Nigrini gelieferten DatasPro mithalten kann. Von Michael Neuy, CISA Die Alternativauswertung, der Benford Custom Test, soll eine bereits bekannte unternehmensspezifische Verteilung zur Verprobung heranziehen. Die Voraussetzung ist aller23 The ISACA Crossword Puzzle The ISACA Crossword Puzzle 4/03 Dieses Rätsel ist auf englisch und hat mit dem Schwerpunktthema dieser 1 Nummer zu tun. Autor ist der Re- 14 daktor. Lösungen, Kommentare und 19 Reklamationen sind an ihn 2 4 20 38 keeping evidence; 14 possessive 44 pronoun; 15 Roman two; 16 flag on 52 pole; 17 used in boats to scull or 57 29 30 66 give out; 33 left right (abb); 34 stout cordage; 36 head gear of deer (pl); 37 familiar greeting; 38 the holy war of the Moslems starts that way; 39 being served with no chance to return; 40 is (fr); 42 unaccompanied; 44 occasion; 46 motor inventor; 49 double consonant; 51 gender; 52 prefix for half; 53 short for the first working day of the week; 54 abbreviation of the country south of the US; 55 noble equal (pl); 57 auto plate from Turkey; 58 trading place (2 words); 60 Southeast; 61 smell badly; 62 this chicken looks backwards; 63 beginning and end of every reverend; 64 opposite of loss; 66 34 across lost its “o”; 68 auto plate from western Switzerland; 69 and so forth (lat, abb); 70 leads the zodiac; 71 spice; 73 positive acknowledgement; 74 impel; 75 king (it); 76 three feet; 78 type of clock (fr); 81 employer; 83 in the morning; 84 if “thic” is added, it would initiate the stone age; 85 consume (3 pers sg); 87 flat stone; 89 short for 24 47 41 48 49 54 42 50 55 43 51 56 59 60 63 74 78 79 84 81 86 91 92 95 100 75 80 85 90 65 70 73 94 64 69 77 99 33 37 40 72 13 18 24 36 68 76 12 32 62 67 11 27 46 58 89 10 23 31 53 83 9 17 39 71 8 22 61 tower (span); 28 cheese town in the Netherlands; 30 particular place; 32 35 45 steer; 19 first note in fr scale; 20 attack; 25 record; 26 bank clerk; 27 7 16 26 34 Across: 1 separate treatise; 7 book- 6 21 25 28 form of share (pl); 23 make; 24 5 15 zu richten. 3 96 101 104 82 87 88 93 97 98 102 103 105 gentlemen; 91 British royal house; contraction; 29 sits at the steering 92 unit; 94 a Japanese electronic wheel; 31 horse meadow; 35 this giant (y=i) – backwards; 95 river in religious movement misses its head; Italy; 96 participation (pl); 98 river 37 the fattest guy on the Ponderosa; in the Grisons; 99 short for over the 38 provide acid humour at court (pl); rail; 100 the “g” is missing in a 41 specified direction; 43 outlay; synonym of adorn; 102 span article; 45 headless jewel; 47 one can turn it 103 not very good; 104 the region of as one likes, there are two of them in the wide plains in North America; the human race; 48 this chancellor is 105 conveyance (pl). the treasury minister in the UK (pl); 50 African desert; 53 means of Down: 1 rodent; 2 it needs three to payment; 55 wooden floor; 56 change sides in baseball; 3 short for withdrawals; 59 white metal; 60 number; 4 seize; 5 be ill; 6 pedes- range (span); 61 note in psalms; 65 trian (fr); 7 between mountains (fr); auto plate from the Säntis region; 67 8 preposition; 9 get naked; 10 top pecuniary settlement; 69 “typical” boss; 11 human relations; 12 lions suffix; 70 all good users (abb); 72 are said to do it; 13 command; 18 allowance for extra weight (pl); 77 transport company; 20 percussion disk operating system; 79 nothing; player; 21 your (fr); 22 exchange of 80 money against titles; 24 decay; 25 percentage charged (pl); 86 British Chinese knight; 88 value paper (pl); 90 religion; 27 spasmodic shaving soap; 82 tree; 83 The ISACA Crossword Puzzle standard; 93 beverage (pl); 95 church 46 leis; 48 allein; 50 oede; 51 Muse; 52 bench; 97 wing (lat); 98 hearing Psalm; 53 Ahle; 56 lang; 58 Rb; 59 TT; organ; 100 place of repose without a 60 Dummheit; 65 ll; 67 Ra; 70 Elen; 71 sound; 101 form of to be; 103 Glitter; 72 Sihl; 74 Oase; 76 EP; 78 EC; auxiliary verb. 80 En; 82 Streik; 83 Virus; 84 Reibe; 85 Tiara; 88 SU; 91 hohl; 94 Nen; 95 TSO; 96 RCB; 89 une; 100 es; 102 in; 103 GC. Die Lösung liegt in den markierten Feldern. Dieses Wort ist auf einer Leider ging in der Übermittlung zum Postkarte M.F. Druck die Markierung der Buch- Bretscher, Oberrenggstrasse 8, 8135 zu senden an staben des Lösungswortes verloren. Langnau a/A. Lösungen werden auch Etliche Löser erachteten diesen Feh- entgegengenommen unter der e- ler als Watson. Die US$ 50 werden mail-Adresse in den nächsten Jackpot vorgetragen. mbretscher@kpmg.com. Einsendeschluss ist der 27. Oktober Bevor die Umlagerung in den 2003. Watson Jackpot geschehen konnte, hat Marina Müller aber diesen (US$ 150 – in Worten einhundertfünfzig) Lösung Crossword Puzzle 3/03: Ausweichsanlage gesprengt! Ihre Beobachtung, dass das Kreuzworträtsel auf Deutsch ist, das Lösungswort war dagegen Waagrecht: 1 Erdbeben; 8 Abt; 10 Englisch, die kursiv; 15 Ohr; 16 Berater; 17 Wanne; „gepflanzte“ Unstimmigkeit. auf absichtlich 18 SE; 19 PET; 20 Salami; 22 Ger; 24 Neon; 26 (Swiss) Air; 28 bas; 29 Tiefs; 31 Mist; 32 Stromausfall; 36 Are; 37 Go; 38 Sensen; 39 SC; 41 ame; 43 MLE; 45 Molch; 47 Ea; 49 Kroki; 52 Psaw; 54 Ehe; 55 Ulli; 57 Erdrutsch; 60 Dior; 61 Elan; 62 Diebstahl; 63 (M)useu(m); 64 Ren; 65 leer; 66 Laerm; 68 NN; 69 Sigel; 72 SME; 73 amo; 75 BN; 76 Eselei; 79 de; 81 has; 83 verpflichten; 86 Este; 87 usine; 89 alt; 90 -lin; 91 hier; 92 nur; 93 Inlett; 96 rot; 97 EU; 99 Uebel; 101 Estrich; 103 Gin; 104 Tassen; 105 pro; 106 Anblicke. Senkrecht: 1 Eos; 2 Rhenia; 3 Dr; 4 eben; 5 bet; 6 er; 7 Nadir; 8 aes!; 9 Brabant; 10 kam; 11 UNITA; 12 RN; 13 Segel; 14 Versicherung; 17 Wasserschaeden; 19 Potemkin; 21 Laus; 23 EF; 25 Esra; 26 Atomkriegsfall; 27 Rose; 30 Illo; 32 SG; 33 me; 34 F(a)n; 39 schoen; 40 Feuersbrunst; 42 er; 44 Lider; 45 MW; 25 DACH-News CH: DACH-News D: Aktivitäten des German Chapter bereitung der Examensvorberei- Nach dem CISA-Kurs neu auch ein CISM-Kurs in der Schweiz tungskurse und ständigen Veröffentlichungen wie z.B. NewsLetter und Ich freue mich ausserordentlich, Nachdem die Sommerferien gerade natürlich die KES auch der Stamm- Ihnen neben der seit bereits 11 überstanden sind, stellt sich nun die tisch in Frankfurt oder Diskussionen Jahren vom Switzerland Chapter Frage, was wir eigentlich in den über weitere Messepräsenzen. Somit angebotenen letzten zwei Monaten so vollbracht ist leicht zu erkennen, dass auch in Certified haben? Natürlich gibt es nicht viel zu einer Zeit, in der kein großes Thema Auditor (CISA) neu den Vertiefungs- berichten, da im Sommer bekannt- hinzugekommen ist, eine Menge hin- und Prüfungsvorbereitungskurs zum lich relativ wenig passiert, aber ter den Kulissen passiert. Certified einige kleinere Dinge haben sich natürlich trotzdem ereignet. Ausbildung Information Information zum System Security Manager (CISM) vorzustellen. Nun noch einmal ein Aufruf an alle Mitglieder, den NewsLetter mit Arti- Der Certified Information System Auditor (CISA) wurde von ISACA Dazu zählen die beiden Examen zum keln aus dem German Chapter noch CISA und CISM, die wie immer interessanter Mitte Juni angeboten und absolviert machen. Wer näheres zur Veröffent- worden sind. Der CISM fand dieses lichung von Artikeln im NewsLetter Jahr erstmalig statt und Erfahrungen wissen möchte, kann sich gern an hierzu sind bisher noch spärlich Ingo Struckmeyer wenden. dürfnisse angepasste Prüfung abge- es aber auch in Deutschland in 2003 Da der Flyer zur Masterclass IT- Certified geben. Hierzu zählen sowohl die- Revision leider ohne den expliziten jenigen, die bereits über die Grand- Zusatz eines 10 prozentigen Rabattes father Regelung ihre Anerkennung für als CISM erhalten haben, sowie auch worden ist, möchte ich hier nochmals diejenigen, die die Prüfung zum darauf hinweisen. Dieser Rabatt steht CISM jedem und spannender zu absolviert und bestanden haben. ISACA-Mitglied Seither haben weltweit rund 30 000 Personen diese anspruchsvolle und immer wieder an die aktuellen Belegt. Seit 2002 bietet die ISACA den gesät. Erste CISMs gibt es und wird ISACA-Mitglieder bereits 1977 ins Leben gerufen. verschickt uneinge- schränkt für diese Veranstaltung zu. Bei Problemen bitte ich Sie, sich an Information Security Manager (CISM) an. An der diesjährigen, erstmals durchgeführten Prüfung haben weltweit bereits 260 Personen teilgenommen. Es ist zu erwarten, dass das neue CISM-Zertifikat relativ schnell eine ähnliche Bedeutung wie das CISA-Zertifikat erlangen wird, da die Anforderungen Ingo Struckmeyer zu wenden. an die verlangte Berufspraxis im 23. August in Frankfurt am Main Abschließend wünsche ich allen Mit- hoch sind und auch dieses Berufsbild zusammengefunden und Themen der gliedern ein erfolgreiches zweites Vergangenheit wie z.B. CISA/CISM Halbjahr 2003 und beteiligen Sie Examen sowie auch Mitglieder- sich bitte rege an der Vereinsarbeit wachstum, aber auch Themen für das Ihres ISACA. Auch der Vorstand des German Chapter hat sich wieder einmal am zweite Halbjahr 2003 besprochen. Jahren angestoßen worden sind, gibt es natürlich viele laufende Dinge ständig zu bearbeiten. Hierzu gehören neben der Vor- und Nach26 laufend den Entwicklungen in der Wirtschaft sowie den Bedürfnissen des Marktes angepasst wird. Die beiden Berufsbilder im Aufgrund der vielen dauerhaften Themen, die in den letzten zwei Bereich des Sicherheitsmanagements Ingo Struckmeyer Überblick Mit dem CISA-Zertifikat erwirbt man einen Leistungsausweis in den Bereichen Revision, Kontrolle und DACH-News Sicherheit von Informationssyste- vor, deren Bestehen die Grundlage Entscheidungshilfe zu CISA men. CISA strukturiert das Berufs- für eine Zertifizierung als CISA/ oder CISM bild in 30 Tasks (Aufgaben) und 135 CISM darstellen. Ebenso sind die Knowledge Statements (Aussagen Kurse keine Vorbedingung für die Sollten Sie sich nicht sicher sein, zum benötigten Fachwissen). Da die Teilnahme an einer der beiden Prü- welcher Kurs Ihnen mehr entspricht, Task Statements auch auf die je- fungen im Juni 2004. Übrigens ist es kreuzen Sie bitte bei den für Sie weiligen COBIT-Prozesse referen- durchaus möglich, die Prüfungen zutreffenden Aussagen alle vorhan- ziert sind, wird COBIT de facto zu bereits im Jahr 2004 zu bestehen und dene Kästchen an. Am Schluss einem integrierenden Bestandteil der die geforderte Berufspraxis erst in zählen Sie pro Spalte die ange- CISA-Ausbildung und -Zertifizie- den anschliessenden 5 Jahren zu kreuzten Kästchen zusammen und rung. Das CISA-Berufsbild wurde erwerben. erhalten damit einen Hinweis zur 2000 letztmals aktualisiert und umCISA fasst sieben Areas. Mit dem CISM-Zertifikat erwirbt man einen Leistungsausweis im Management der Informationssicherheit, also in Bereichen wie Risikoanalysen, Risikomanagement, Si- cherheitsstrategien, Sicherheitsorganisation usw. Das CISM-Berufsbild wurde Ende 2002 erstmals veröffentlicht und umfasst fünf Areas, 36 Tasks (Aufgaben) und 74 Knowledge Statements (Aussagen zum benötigten Fachwissen). Vertiefungskurse und die Ich arbeite als Informatik-Prüfer in der internen oder externen Informatikrevision oder möchte dort arbeiten. Ich bin innerhalb der Informatik verantwortlich für einen Teilbereich und interessiert, diesen Bereich wirklich in den Griff zu bekommen. Ich bin verantwortlich für IT-Governance oder Compliance oder in diesem Umfeld tätig. Beide Vertiefungskurse sind offen Ich möchte eine Management-Funktion in der Informatik übernehmen. und Sicherheit von Informationssystemen (CISA) n Management der Informationssicherheit (CISM) Die Kursteilnahme stellt keine Verpflichtung zum Ablegen einer Prüfung dar. Beide Kurse vermitteln und vertiefen theoretisches wie praktisches Fachwissen in den jeweiligen Wissensgebieten; bereiten aber auch intensiv auf die von ISACA organisierten ¨ ¨ ¨ Ich bin interessiert, innerhalb meines Verantwortungsbereichs die Informations-Risiken wirklich in den Griff zu bekommen. Ich bin verantwortlich für Riskmanagement oder in diesem Umfeld tätig. n Governance, Revision, Kontrolle ¨ Ich bin verantwortlich für die IT-Sicherheit (Informationssicherheit) oder bin involviert in entsprechenden Projekten. ISACA Zertifizierung für alle, die Interesse haben an ¨ Ich arbeite als interner Sicherheitsbeauftragter oder als externer Sicherheitsberater oder möchte dort arbeiten. Ich bin verantwortlich für die Informatikrevision oder bin involviert in der Planung von Revisionsmandaten. ¨ ¨ ¨ ¨ Ich möchte eine Management-Funktion im (IT) Security Office oder (IT) Security Engineering übernehmen. ¨ Ich interessiere mich sehr für viele Gebiete der Informationstechnologie. ¨ Ich interessiere mich sehr für Sicherheitsfragen jeglicher Art. ¨ Ich habe bereits einige Jahre Erfahrung in der Informatik. ¨ ¨ Ich habe grosses Interesse an ISO 17799 und anderen Sicherheits-Standards. Total ¨ ¨ Ich habe eher wenig Erfahrung in der Informatik. Ich habe grosses Interesse an COBIT und anderen Governance-Standards. CISM ¨ Punkte CISA Punkte CISM CISA-/CISM-Prüfungen 27 DACH-News Kursauswahl. In der Regel sollten nen zu den Kursen sowie zu admi- Sie den Kurs mit dem höchsten Total nistrativen Aspekten erhalten Sie bei: EUROCACS 2004 in der Schweiz ITACS Training AG, Konradstrasse 1, Reservieren Sie die Daten 21.–24. 8005 Zürich März 2004 in Zürich. besuchen. Zeitaufwand Tel: 01 440 33 64, Fax: 01 440 33 61 Web: www.itacs.ch, CISA-Kurs Gesucht Mail: info@itacs.ch Der Kurs umfasst in 2 Semestern vom 31.10.2003 bis 25.5.2004 ins- Wenn Sie sich nicht im Klaren sind, gesamt 17 Kurstage. Für das zwin- ob Sie die Voraussetzungen für einen gend Selbststudium bestimmten Kurs mitbringen, oder muss mit einem zusätzlichen Auf- wenn Sie sich nicht zwischen dem wand von 30–50 Tagen gerechnet CISA- und dem CISM-Kurs ent- werden. scheiden können, wenden Sie sich notwendige doch CISM-Kurs bitte per Mail an mich 30 Volunteers für den On-Site-Support an der EUROCACS 2004 21. – 24. März 2004 Volunteers melden sich bitte bei thomas.bucher@eycom.ch (prb@bitterli-consulting.ch). Der Kurs umfasst in 2 Semestern vom 17.11.2003 bis 19.5.2004 insgesamt 14 Kurstage. Für das zwin- Peter R. Bitterli, ISACA Switzerland gend Chapter, Verantwortlicher für Aus- notwendige Selbststudium muss mit einem zusätzlichen Auf- /Weiterbildung Weiterbildung in Afterhour-Seminaren Informationen und Ort: Nähe Zürich Hauptbahnhof (Näheres folgt auf Anmeldung) Alle Mitglieder von ISACA, Clusis Zeit 16:30 – 17:30 Uhr und SI-Fachgruppe sowie bereits Anmeldung: bekannte Interessenten haben in den Chapter, Kurssekretariat, c/o Bitterli letzten Tagen per Post eine Zusam- Consulting AG, Konradstr. 1, 8005 menstellung der aktuellen ISACA- Zürich, Fax 01 440 33 61. ISACA Switzerland Kursangebote erhalten. Darin enthalten sind jeweils detaillierte Kurs- Daten: broschüren mit Anmeldetalon für 24. September 2003: den CISA- sowie den CISM-Kurs. IT Security Awareness von A bis Z Weitere Kursbroschüren können Sie 29. Oktober 2003: bei kurse@isaca.ch bestellen. IT Performance Measurement 26. November 2003: beide durchgeführt von ITACS Training AG und dem ISACA Switzerland Chapter. Alle weiteren Details entnehmen Sie bitte den aktuellen Kursbroschüren. Weitere Informatio28 Mitarbeit in ISACA-Komitees werden. CISA- und CISM-Kurs 2004 werden Urs Fischer hat die Nominationen für die wand von 25–40 Tagen gerechnet Kursanmeldung Herzliche Gratulation! Federated Identity Management internationalen akzeptiert. Wir lesen: “Greetings, As a membership-based organization, ISACA is dependent on the quality and qnatity of the contribution made by a large number of volunteers. In preparation of each new administrative year, the “Call for Key Board and Committees Volunteers” is sent to the general membership soliciting their applications to serve on the Association/ ITGI key boards and committees. Based on these applications and recommendations from the Boards of Directors/Trustees, Chairs, and Key Board appropriate Chapter Presidents, the composition of each key board and committee is finalized and a balance sought between con- DACH-News tinuity of membership and the need L’objectif de ce groupe de discussion Urs Fischer hält ein Einführungs- for new vitality. lié aux « Computer Forensics », est referat de fournir un forum d’intérêt et Governance und stellt die neuesten It is with great pleasure that Marios d’information sur les méthodologies Entwicklungen von ISACA/ISACF Damianides 2003-04 International et les outils de ce qu’on appelle vor. Anschliessend Bildung der IG. President, invites you (Urs Fischer) communément en français « Assis- to serve on the IT Control Practices tance informatico-légale » Ce forum Anmeldung bis 27. Oktober 2003 an Committee as well as for the Journal offre la possibilité de partager des Rolf Merz. Editorial Committee for the up- idées, des technologies, des outils et coming administrative year. In order certainement aussi des notions juri- for us to formalize your appointment, diques de ce domaine en constante please signify your willingness to évolution. Ce groupe de discussion serve by replying…” abordera également des discussions Leitung a.i.: techniques et procédurales sur les Rolf Merz prérequis en matière de recherche de Ernst & Young AG preuves informatiques. Même si les Brunnhofweg 37 participants doivent être familiers Postfach 5032 avec la recherche, l’acquisition et 3001 Bern l’analyse de preuves informatiques, Tel. +41 58 286 66 79 tous les intéressés de tout niveau de Fax. +41 58 286 68 27 connaissance sont les bienvenus. rolf.merz@eycom.ch n IG Continuous Auditing IG Einführung von IT IG Romandie n IG e-security (z.B. Attack and Governance News aus den Interessengruppen Neue Interessengruppen Wir planen, neue Interessengruppen zur Einführung von IT IG e-business zu gründen. Als mögliche Themen sind vorgeschlagen: Penetration, e-defense, Vacant : touts personnes intéressées e-security Architecture) Leitung a.i.: à participer ou animer un groupe de n IG Archivierung (Aktualisierung Rolf Merz travail ou tous ceux qui aimeraient der Arbeiten der ehemaligen IG Ernst & Young AG proposer un thème de réflexion Aufbewahrung) Brunnhofweg 37 peuvent s’annoncer auprès de M. n IG ??? Anregungen für weitere Postfach 5032 Paul Wang. IGs nimmt Rolf Merz gerne ent- 3001 Bern paul.wang@ch.pwcglobal.com gegen. Tel. +41 58 286 66 79 Fax. +41 58 286 68 27 rolf.merz@eycom.ch IG Outsourcing/ Insourcing Die ehemalige IG Anwendung von Ueli Engler COBIT wird mit einer angepassten KPMG Fides Peat Zielsetzung reaktiviert. Badenerstrasse 172 IG Computer Forensics Nouveau! Paul Wang 8004 Zürich PricewaterhouseCoopers Avenue Giuseppe-Motta 50 Kick-off-Sitzung: Tel. +41 1 249 26 16 1211 Geneva 2 Freitag, 31. Oktober 2003, 09.00 – uengler@kpmg.com Tel. +41 22 748 5601 12.00 Uhr, Ernst & Young AG, Fax. +41 22 748 5354 Bleicherweg 21, 8022 Zürich Mobile: +41 79 220 5407 5. Stock, Sitzungszimmer Sydney/ Paul.Wang@ch.pwc.com Tokio 29 DACH-News Nächste Sitzung: Offen. Interessen- durch ISACA CH auf deren Home- ten melden sich bei Ueli Engler. page öffentlich zugänglich gemacht IG SAP R/3 werden. Monika E. Galli Mead Mögliche Themen: n Weiteres Vorgehen: Die IG ist Eidg. Finanzkontrolle Kontiniuität des Insourcers, Ab- der Auffassung, dass sich ein DWH- Monbijourstrasse 51a hängigkeit vom Insourcer (Konkurs), Projekt von einem normalen Projekt 3003 Bern Überarbeitetes Rundschreiben EBK, unter unter- Tel. +41 31 324 9495 Fernwartung, etc. scheidet. Deshalb soll für folgende Fax. +41 31 323 1101 Themen ein Fact Sheet mit den monika.galli@efk.admin.ch diversen Aspekten Geplant sind Herbstgespräche zum wesentlichen Punkten (Problemstel- Thema „Grounding“ eines IT Service lung und Prüfungsansätze) von den Letzte Sitzung: Donnerstag, 14. No- Providers mit ausgewählten Ge- einzelnen Mitgliedern der IG erstellt vember 2002, bei PWC, Zürich sprächspartnern aus den Bereichen werden. Diese Themen werden dann Traktanden: Legal, Service Provider, Industrie von der IG MIS/EIS bearbeitet: n ACL/Berechtigungen wie prüfen und Financial Services. n Projekt Management und Projekt (Hr. Appl., SNB) Abwicklung n Qualitätsprüfungskonzept n Datenschutz IG MIS/EIS/DWH und sonstige SAP (Hr. B. Bolli, CCSAP BAIT) n Im SAP das Risk Assessment Regulatoren n Change im and Configuration Tool RAT einsetzen (Hr. A. Hilsbos, Leitung: Management PWC) Daniel Oser n Berechtigungen n Neues vom Jahresmeeting SAP- Ernst & Young AG n Disaster Recovery Planning AK’s (H.J. Stritter, EDV-AuditConsult) Badenerstrasse 47 Postfach 5272 Nächste Sitzung: Mi, 15. Oktober n Übertragung von SAP Walldorf 8022 Zürich 2003, (M. Galli) Tel. +41 58 286 34 39 Bleicherweg 5. Stock n SAP und AIS AUDITool News, Fax. +41 58 286 32 76 Für Informationen wenden Sie sich Erfahrungen und Tipps (alle) daniel.oser@eycom.ch bitte an Daniel Oser. Weitere Mit- Die für 21. Mai 2003 geplante glieder sind stets herzlich will- Sitzung ist ausgefallen und wird auf kommen! 13. November 2003 verschoben. Letzte Sitzung: Die letzte Sitzung 09:15 bei E&Y Zürich, fand am 6. Juni 2003 bei Ernst & Young in Zürich statt. Folgende The- Nächste Sitzungen: Donnerstag, 13. men wurden besprochen: November 2003. Ort wird noch be- n Referenzmodell Data Load: Das kannt gegeben Referenzmodell Voraussichtliche Themen: wurde von H. Stauffer nochmals kurz überarbeitet. n Enterprise oder die neue Archi- Für das weitere Vorgehen siehe unter tektur der SAP Risk Matrix. n Berechtigungskonzept BV n Risk Matrix: Sie wurde von M. n Java und ABAP Maes und H. Stauffer reviewed. Die n Erfahrungen und News Matrix wurde nun bis zum Schritt Reporting als erstes Ergebnis der IG MIS/EIS verabschiedet. n Publikation Ergebnisse: Die Risk Matrix soll zusammen mit dem Data Load Modell, dem Glossar und der Literaturliste nach einem Review 30 Veranstaltungen Veranstaltungen Cryptography, Fundamentals and Applications 6.–9. Oktober 2003 Advanced Technology Seminars, 4 Tage, Engelberg Corporate Governance in Europe 13.–15. Oktober 2003 London, 3 Tage, MIS Symposium on Privacy and Security 21./22. Oktober 2003 Zürich, 2. Tage, SPS ITIL Foundation Training (inkl. Zertifizierung) 22.–24. Oktober 2003 Zürich, 3 Tage, ISACA CH/glenfis Anti-Hacking – Denken und Arbeiten wie ein Hacker 23./24. Oktober 2003 Zug, 2 Tage, InfoGuard Implementing COBIT for IT Governance 29./30. Oktober 2003 London, 2 Tage, ISACA UK CISA Vertiefungskurs 31. Oktober 2003 – 24. Mai 2004 bzw. 10 November 2003 – 25. Mai 2004 Zürich, 17 Tage, ISACA CH/itacs BS 7799 BSI-zertifizierter Lead Auditor 3.–7. November 2003 Zug, 5 Tage, InfoGuard AG Internet Security Lab 5.–7. November 2003 Zürich, 3 Tage, ISACA CH Fundamentals of Enterprise Network Security 10.–12. November 2003 London, 3 Tage, MIS Sicherheits-Fachkongress 11.–14. November 2003 Zürich, 4 Tage, Mediasec Application Security Lab 12.–14. November 2003 Zürich, 3 Tage, ISACA CH CISM Vertiefungskurs 17. November 2003 – 19. Mai 2004 Zürich, 14 Tage, ISACA CH/itacs Network Security Conference 17.–19. November 2003 Milano, 3 Tage, ISACA INTL Windows 2003 Server-Sicherheit 20./21. November 2003 Bern, 2 Tage, Infosec Mobile & Wireless Security 24.–27. November 2003 Dublin, 4 Tage, MIS IT-Sicherheitberater, Intensivkurs 1.–5. Dezember 2003 Bern, 5 Tage, Infosec Forensic Investigation – Beweismittelsicherung 26.–28. Januar 2004 Ort, 3 Tage, ISACA CH/adverum ag/CMC 31 Veranstaltungen Kontaktadressen Veranstalter Hochschule für Technik Rapperswil Marcus Evans Institut für Internet Technologien Weteringschans 109 und Anwendungen 1017 SB, Amsterdam Der NewsLetter empfiehlt folgende Oberseestrasse 10 The Netherlands Veranstalter 8640 Rapperwil Tel. +31 20 531 28 13 Tel. +41 55 222 41 11 Fax. +31 20 428 96 24 Fax. +41 55 222 44 00 www.marcusevansnl.com (weitere Kurse und Unterlagen direkt anfordern): AFAI office@hsr.ch MIS Training Institute Tel. +33 1 55 62 12 22 afai@afai.asso.fr IIR-Akademie Nestor House www.afai.asso.fr Ohmstr. 59 Playhouse Yard P.O. Box 21 D-60468 Frankfurt/Main GB-London EC4V 5EX advanced technology seminars Tel. +49 69 7137 69-0 Tel. +44 171 779 8944 Grundgasse 13 Fax. +49 69 7137 69-69 Fax. +44 171 779 8293 CH-9500 Wil iir.academie@iir-ev.de www.misti.com Fax. +41 71 911 99 16 InfoGuard AG MediaSec AG Maurer@inf.ethz.ch Feldstrasse 1 Tägernstrasse 1 CH-6300 Zug 8127 Forch/Zürich Datenschutzbeauftragter des Kantons Tel. +41 41 749 19 00 Tel. +41 1 360 70 70 Zürich Fax +41 41 749 19 10 Fax. +41 1 360 77 77 IT-Sicherheitsberatung und www.infosec.com it@mediasec.ch Andrea Carlo Mazzocco, CISA Integralis GmbH Secorvo Security Consulting GmbH Kurvenstrasse 31 Gutenbergstr. 1 Secorvo College CH-8090 Zürich D-85737 Ismaning Albert-Nestler-Strasse 9 Tel. +49 1 259 46 08 Tel. +49 89 94573 447 D-76131 Karlsruhe Fax. +49 1 259 51 38 Fax +49 89 94573 199 fx Tel. +49 721 6105-500 andreacarlo.mazzocco@dsb.zh.ch schulung@integralis.de Fax +49 721 6105-455 Tel. +41 71 911 99 15 -Revision info@secorvo.de www.datenschutz.ch ISACA CH www.secorvo.de e-tec Security Kurssekretariat PO Box 54 c/o. Bitterli Consulting AG Treuhand-Kammer Wilmslow Chesire SK9 6FU Konradstr. 1 Jungholzstrasse 43 United Kingdom 8005 Zürich Postfach info@a-tecsecurity.com Tel. +41 1 440 33 60 CH-8050 Zürich Fax. +41 1 440 33 61 Tel. +41 1 305 38 60 kurse@isaca.ch Fax. + 41 1 305 38 61 D-40235 Düsseldorf ISACA USA ZfU Zentrum für Tel. +49 211 96 86 300 3701 Algonquin Rd #1010 Unternehmensführung AG Fax. +49 211 96 86 509 USA_Rolling Meadows IL 60008 Im Park 4 info@euroforum.com Tel. +1 847 253 15 45 CH-8800 Thalwil Fax. +1 847 253 14 43 Tel. +41 1 720 88 88 www.isaca.org Fax. +41 720 08 88 Euroform Deutschland GmbH Hans-Günther-Sohl-Strasse 7 info@zfu.c 32 Germany Chapter Germany Chapter Vereinsadressen Public Relations Heinrich Geis Geschäftsstelle Deutsche Börse AG ISACA e.V., German Chapter Neue Börsenstrasse 1 Eichenstr. 7 D-60487 Frankfurt D-46535 Dinslaken Tel. +49 692 101 5149 Tel. +49 2064 733191 Fax. +49 692 101 4396 Fax. +49 2064 733192 heinrich.geis@deutsche-boerse.com isaca.dinslaken@t-online.de Arbeitskreise und Facharbeit Präsidentin Bernd Wojtyna Karin Thelemann WLSGV-Prüfungsstelle Ernst & Young AG Regina-Portmann-Strasse 1 Wirtschaftsprüfungsgesellschaft D-48159 Münster/Westfalen Mergenthalerallee 10–12 Tel. +49 251 288 4253 oder 65760 Eschborn/Frankfurt am Main +49 251 210 4539 Tel. +49 6196 99626 488 bernd_wojtyna@gmx.net Fax. +49 6196 99626 449 karin.thelemann@de.ey.com Publikationen Ingo Struckmeyer Konferenzen comdirect bank AG Markus Gaulke Internal Audit Pascalkehre 15 25451 Quickborn Tel. +49 4106 704 1233 Mitgliederverwaltung und Fax. +49 4106 704 1990 Kassenwart ingo.struckmeyer@comdirect.de Norbert Gröning PwC Deutsche Revision AG CISA-Koordinator Friedrich-List-Str. 20 Michael M. Schneider D-45128 Essen Deloitte & Touche Tel. +49 201 438 0 Schumannstraße 27 Fax. +49 201 438 1000 60325 Frankfurt am Main Norbert.Groening@ Tel. +49-69 75606 121 de.pwcglobal.com Fax. +49-69 75695 84448 michaelschneider@deloitte.de 33 Austria Chapter Austria Chapter Vereinsadressen Kassier Mag. Helmut Zodl Vorsitzender (Präsident) IBM Österreich Ing. Mag. Dr. Michael Schirmbrand, Obere Donaustraße 95 CIA, WP, StB 1020 Wien Europa Treuhand Ernst & Young Tel: +43 1 21145-0 Praterstraße 23 helmut_zodl@at.ibm.com 1020 Wien Tel: +43 1 211 70-2831 CISA-Koordinator michael.schirmbrand@at.eyi.com Mag. Maria Rieder Münze Österreich AG Stellvertretender Vorsitzender I Am Heumarkt 1 (Vizepräsident I) 1010 Wien Dipl.-Ing. Maria-Theresia Stadler, Tel: +43 1 71715-0 Österreichische Kontrollbank maria.rieder@aon.at Aktiengesellschaft Strauchgasse 1–3 Public Relations/Newsletter- 1010 Wien Koordination Tel: +43 1 531 27-857 Rolf von Rössing maria-theresia.stadler@oekb.co.at MA, D.E.s.s, CBCP, MBCI Europa Treuhand Ernst & Young Stellvertretender Vorsitzender II Praterstraße 23 (Vizepräsident II) 1020 Wien Mag. Josef Renner, StB Tel: +43 1 211 70-2812 GRT Price Waterhouse dk@cos-ag.de Prinz-Eugen-Straße 72 1040 Wien E-Mail ISACA Austria Chapter: Tel: +43 1 50188-0 office@isaca.at Homepage ISACA Austria Chapter: Sekretär Mag. Gunther Reimoser, CISA Europa Treuhand Ernst & Young Praterstraße 23 1020 Wien Tel: +43 1 21170-4113 gunther.reimoser@at.eyi.com 34 www.isaca.at Switzerland Chapter Switzerland Chapter Vereinsadressen CISA/CISM-Koordinator Marketing Thomas Bucher Bruno Wiederkehr Präsidentin Ernst & Young AG Rigistrasse 3 Daniela S. Gschwend Postfach CH-8703 Erlenbach Swiss Re 8022 Zürich bru.wiederkehr@bluewin.ch Mythenquai 50/60 Tel. +41 58 286 42 90 8022 Zürich Fax. +41 58 286 40 14 Homepage ISACA Switzerland Tel. +41 43 285 69 36 thomas.bucher@eycom.ch Chapter: www.isaca.ch Fax. +41 43 285 33 69 daniela_gschwend@swissre.com Sekretär c/o Präsidentin Vizepräsident Michel Huissoud, CISA, CIA Information & Kommunikation Eidg. Finanzkontrolle/ Monika Josi Contrôle fédéral des finances Novartis Animal Health Monbijoustr. 45 Global Information Technology 3003 Bern WRO-1032.1.90 Tel. +41 31 323 10 35 4022 Basel Fax. +41 31 323 11 00 Tel. +41 61 697 72 41 Michel.Huissoud@efk.admin.ch Fax. +41 61 697 78 44 monika.josi@ah.novartis.com Kassier Adressmutationen bitte hier melden. Pierre A. Ecoeur, CISA Thurgauer Kantonalbank Koordinator Interessengruppen Bankplatz 1 Rolf Merz 8570 Weinfelden Ernst & Young AG Tel. +41 71 626 64 61 Brunnhofweg 37 Fax. +41 71 626 63 60 Postfach 5032 pierre-alain.ecoeur@tkb.ch 3001 Bern Tel. +41 58 286 66 79 Ausbildung/Kurssekretariat Fax. +41 58 286 68 27 Peter R. Bitterli, CISA Rolf.Merz@eycom.ch Bitterli Consulting AG Konradstr. 1 Représentant Suisse Romande 8005 Zürich Paul Wang Tel. +41 1 440 33 60 PricewaterhouseCoopers Fax. +41 1 440 33 61 Avenue Giuseppe Motta 50 prb@bitterli-consulting.ch 1211 Genève 2 Tel. +41 22 748 56 01 Fax. +41 22 748 53 54 paul.wang@ch.pwcglobal.com 35