Zahlungssysteme

Transcription

Zahlungssysteme
Nr. 65, September 2003
Thema
Zahlungssysteme
Switzerland Chapter
Germany Chapter
Austria Chapter © 24.9.2003
2
Inhaltsverzeichnis
Inhaltsverzeichnis
Impressum
Editorial
4
Herausgeber:
ISACA Switzerland Chapter
Zahlungssysteme – Die Landschaft der Clearing-Systeme
c/o Monika Josi
der Schweiz
5
Novartis Animal Health
Global Information Technology
Zahlungssysteme – Das Projekt der Schweizerischen
WRO-1032.1.90
Nationalbank (SNB)
8
4002 Basel
Zahlungssysteme – Configuration d’une banque participante
11
Redaktion:
Max F. Bretscher
Zahlungssysteme – Exemplarisches Revisionsvorgehen
KPMG Fides Peat
eines Finanztransaktionssystems am Beispiel SECOM
12
Badenerstrasse 172
Zahlungssysteme – Prüfung von Chiffrierungstechniken
8026 Zürich
bzw. von digitalen Unterschriften in Transaktionssystemen
14
Zahlungssysteme – Les recommandations internationales
16
8235 Lohn, SH
Zahlungssysteme – Conclusion du Séminaire
18
Jeder Nachdruck, auch auszugsweise,
Katastrophenfallplan – Business Continuity Plan: A Senior
sowie Vervielfältigungen oder sonstige
Management Concern, Basics to Start a BCP project
19
CAATs – Fraud Toolkit
22
unter voller Quellenangabe.
The ISACA Crossword Puzzle
24
Abo-Preis:
DACH-News
26
Veranstaltungen
31
Germany Chapter
33
Austria Chapter
34
Switzerland Chapter
35
Satz und Gestaltung:
WissensTransfer
Francesca Lüscher Baglioni,
Verwertung von Texten oder Abbildungen aus dem NewsLetter nur mit schriftlicher Genehmigung des Herausgebers
Mitglieder gratis
Abonnemente und Einzelnummern auf
Anfrage
Inserate:
1 Seite CHF 400.–
1/2 Seite CHF 240.–
1/4 Seite CHF 160.–
Erscheint 5 Mal jährlich
Auflage: 1050 Exemplare
Nächste Ausgabe (Thema: Zertifizierungen):
November
2003,
Redaktions-
schluss: 27. Oktober 2003
3
Editorial
Überwachung von
Editorial
Finanzsystemen
Als
Systèmes de clearing
zur
Weihnachtszeit
in
der
de certaines entreprises, Telekurs en
Schweiz
l’occurrence.
und Bancomaten wegen eines durch
Noël. Quelques heures avant la
sämtliche
POS-Systeme
einen Taperoboter fallengelassenen
fermeture, les clients se pressent aux
Ce thème est au centre des travaux
Tapes stillstanden, war der Einkaufs-
caisses des supermarchés. Les cad-
de la Chancellerie fédérale et de la
GAU perfekt. Vor den Kassen stau-
dies sont pleins de victuailles et de
fondation Infosurance sous l’appel-
ten sich mehr und mehr ungeduldige
cadeaux. Et puis survient la panne.
lation de KASII « Krise, ausgelöst
Käufer, die Einkaufswagen wurden
Les lecteurs de cartes ec refusent
durch Störungen in der Informa-
prall gefüllt inmitten der Waren-
systématiquement toute transaction.
tions-Infrastruktur ».
Banque
häuser stehen gelassen und den
Des queues se forment. Les ven-
nationale suisse se préoccupe égale-
Geschäften entging ein namhafter
deuses conseillent aux clients d’aller
ment de cette vulnérabilité des
Betrag an Umsatz. Dieser an sich
chercher de l’argent aux bancomats
systèmes indispensables à la stabilité
kleine Ausfall zeigte, wie sehr wir
les plus proches. Une nouvelle
de la place financière suisse. C’est le
uns tagtäglich auf eine funktionie-
surprise les y attend : le système
thème central de ce numéro qui
rende Bankeninfrastruktur verlassen.
bancomat n’est pas disponible. Les
reprend l’essentiel des contributions
Und diese ist immer stärker von
clients abandonnent leurs achats et
du Séminaire organisé conjointement
einer verfügbaren und sicheren Infor-
quittent dépités le supermarché. A
par
matikinfrastruktur abhängig.
l’extérieur, des queues de véhicules
l’ISACA le 18 juin 2003 sous le titre
se forment devant les stations-
« Du nouveau dans la surveillance
Das diesjährige Kammerseminar –
service. Là également pas d’espoir
des systèmes de clearing des paye-
eine gemeinsame Veranstaltung der
de payer avec une carte ec… On
ments et des titres ». Un séminaire
Schweizerischen
rassemble les derniers francs pour
qui nous a montré que des mesures
sowie von ISACA Chapter Switzer-
acheter quelques litres d’essence.
importantes sont en cours de mise en
land – befasste sich mit den Heraus-
œuvre mais qu’il reste encore un
forderungen bei der Überwachung
Nous avons vécu ce scénario en
long chemin à parcourir si nous
von Zahlungs- und Effektenabwick-
2001. Heureusement tout est rentré
voulons être sûrs de passer dans le
lungssystemen. Aktueller Anlass für
dans l’ordre après quelques heures.
futur des Noëls sereins…
dieses Thema ergab der Umstand,
la
Chambre
La panne a affecté les cartes ec et les
bancomats car certains composants
La
fiduciaire
et
Treuhandkammer
dass die Schweizerische NationalMichel Huissoud
bank ab dem Jahr 2004 nicht nur die
de ces deux moyens de payement
Zahlungs-, sondern auch die Effek-
étaient commun. A l’époque les
tenabwicklungssysteme beaufsichti-
cartes de crédit avaient constitué une
gen wird.
solution de secours. Entre-temps le
groupe Telekurs a repris Mastercard
Die Ausführungen der Referenten
et le risque d’amalgame (Klumpen-
ergab, dass die Überwachung und
risiko) a encore augmenté.
der Betrieb von Finanzsystemen eine
sehr anspruchsvolle Aufgabe ist.
De telles situations sont pénibles
International vernetzte Finanzsys-
mais elles sont utiles dans la mesure
teme mit komplexen Geschäftspro-
où elles sensibilisent notre société à
zessen und grosse Verarbeitungs-
notre extrême dépendance à l’égard
volumen stellen hohe Anforderungen
des technologies de l’information et
an die Sicherheit, Verfügbarkeit und
Integrität der Informatiksysteme.
4
Zahlungssysteme
Obwohl die einzelnen Finanzinstitute
viele Massnahmen für den sicheren
Betrieb dieser Systeme implementieren, stellt sich für mich die Frage,
wie gut solche Systeme überhaupt
geprüft resp. betrieben werden können.
Angesichts
des
Zahlungssysteme
Die Landschaft der ClearingSysteme der Schweiz
momentan
hohen Kostendrucks hat sich zum
Ausgangslage
teme unterschieden. Mit den Zahlungssystemen befassen sich die Fir-
Beispiel bei den letzten Virenattacken gezeigt, dass viele Firmen
Die
Finanzplatzes
men Telekurs Europay AG (Acquir-
bei den internen Informatikdienst-
Schweiz ist immer mehr abhängig
ing für Kredit-, Debit- und Prepaid-
leistungen
von der Zuverlässigkeit von zent-
karten), Telekurs Card Solutions AG
haben, die sich nun als Bumerang
ralen
den
(Terminalverkauf und Installation,
erweisen. Auch die Auditbudgets
Zahlungs- und Effektenabwicklungs-
Transaktionsabwicklung) und Swiss
wurden zum Teil drastisch gekürzt,
systemen. Das Nationalbankgesetz
Interbank Clearing AG (Entwicklung
so dass die Frage erlaubt sei, wie viel
hat der SNB neue Kompetenzen
und Unterhalt des SIC, euroSIC,
gewisse Auditreports wirklich über
gegeben, Mindestanforderungen an
DTA/LSV). Alle in diesem Ab-
den Zustand der Systeme aussagen.
den Betrieb dieser Systemen zu
schnitt erwähnten Systeme sind seit
Und wie viel Interesse einzelne
stellen und den Bereich zu über-
Jahren in Betrieb und haben dem-
Firmen an einer aussagekräftigen
wachen.
zufolge für den schweizerischen
Einsparungen
gemacht
Stabilität
des
IT-Einrichtungen
wie
Finanzplatz und die Volkswirtschaft
Prüfung ihrer Systeme haben.
Die Telekurs Group gehört den Ban-
eine wichtige Funktion und Rolle
Um eine nachhaltige Qualität und
ken in der Schweiz. Die Unterneh-
inne.
Ordnungsmässigkeit dieser Systeme
mensgruppe erbringt verschiedene
zu garantieren, sind alle Beteiligten
Dienstleistungen in den Bereichen
Die Firma PayNet (Schweiz) AG
gefordert: Audit – intern und extern
Zahlungssysteme und Finanzinfor-
lanciert ein Electronic Bill Present-
– in enger Zusammenarbeit mit dem
mationen. Die Gruppe hat eine
ment and Payment System (EBPPS).
IT-Audit sowie dem Management
Holdingstruktur mit verschiedenen
Unter EBPP versteht man den elekt-
der Finanzdienstleister. Diese müs-
Tochtergesellschaften in der Schweiz
ronischen Versand (z.B. über Inter-
sen sich nämlich überlegen, wie viel
und im Ausland.
net) der Rechnungen direkt aus der
Fakturierungsapplikation eines Rech-
Risiko sie mit scheinbaren Kosteneinsparungen wirklich eingehen. Nur
Die Telekurs Finanzinformationen
nungsstellers und die automatische
eine verlässliche und sichere Ban-
AG unterhält eine Datenbank mit
Übernahme in das System des Rech-
keninfrastruktur sichert nämlich die
heute rund 1,8 Mio. Finanzinstru-
nungsempfängers,
Wettbewerbsfähigkeit in einem glo-
menten, für die Valoren- und Kurs-
Rechnung elektronisch begleichen
balisierten Finanzumfeld, in dem
daten gesammelt, unterhalten und
kann. Das System wird schweizweit
zunehmend auch internationale Insti-
verteilt
Telekurs
angeboten und kann in Zukunft die
tute wie die Bank für internationalen
Finanzinformationen AG ist in der
Rechnungsabwicklung vereinfachen
Zahlungsausgleich Vorgaben bezgl.
Schweiz zuständig für die Vergabe
und Einsparungen bringen.
den
der Valorennummern. Weltweit ge-
Grundsätzen
definieren.
Monika Josi
und
Praktiken
werden.
Die
der
dann
die
hören zehn Tochtergesellschaften an
Der Betrieb aller Dienstleistungen
den wichtigsten Börsenplätzen und
wird durch die Telekurs Services AG
Finanzzentren
erbracht. Sie stellt auch die not-
zum
Bereich
der
Finanzinformationen.
wendige Infrastruktur zur Verfügung. Darunter fallen insbesondere
Bei den Zahlungssystemen werden
das Gebäude mit der notwendigen
kartenbasierte und elektronische Sys-
physischen Sicherheit, die Rechen5
Zahlungssysteme
die EU oder umgekehrt abgewickelt
Telekurs Holding AG
werden.
Datenträgeraustausch (DTA)
Telekurs Card
Solutions AG
Swiss Interbank
Clearing AG
......
Acquiring
Kartenbasierte
Zahlungssysteme
Elektronische
Zahlungssysteme
.....
MasterCard
ec/Maestro
Cash
Terminalverkauf
SIC (CHF)
..........
TRX-Abwicklung
EuroSIC
Bankkonto ausführen lassen wollen.
Entwicklung
DTA/LSV
Die Übermittlung der Zahlungs-
Telekurs
Europay AG
DTA eignet sich vor allem für
Firmen und Privatpersonen, die ihre
Zahlungen elektronisch über ihr
aufträge erfolgt elektronisch per
zentren mit den IT-Systemen, das
Swiss Interbank Clearing
Dateitransfer oder durch Einsenden
Netz, das Ausweichrechenzentrum
System (SIC)
eines Datenträgers.
sowie das Druckcenter. Die Telekurs
Services erbringt auch Engineering-
SIC ist ein Echtzeit-System, über das
leistungen (inkl. IT-Sicherheit).
die Banken und die PostFinance den
Lastschriftverfahren (LSV)
Grossbetragszahlungsverkehr sowie
Die Einrichtungen und die Dienst-
einen Teil des Massenzahlungs-
LSV eignet sich vor allem für Zah-
leistungen der Telekurs Group unter-
verkehrs abwickeln. Es wird im Auf-
lungen, die mit einer gewissen
liegen
trag der SNB durch die Swiss Inter-
Regelmässigkeit erfolgen. Der Zah-
bank Clearing AG betrieben.
lungspflichtige ermächtigt den Zah-
verschiedensten
Risiken
finanzieller und operationeller Art.
Hier interessieren hauptsächlich die
lungsempfänger,
Letzteren aus dem physischen und
seines Bankkontos jeweils auto-
IT-Bereich. Diese Risiken und Ge-
euroSIC
die
Belastungen
matisch auszulösen. Beide müssen
fahren werden regelmässig analysiert
über ein Bankkonto verfügen.
und entsprechende technische sowie
euroSIC ist ein Echtzeit-System,
organisatorische
Sicherheitsmass-
über das die Banken und die Post-
nahmen unterhalten, und wo not-
Finance den inländischen Euro-Zah-
Elektronischer
wendig, erneuert bzw. neu einge-
lungsverkehr abwickeln. Über eine
Zahlungsauftrag (EZAG)
führt.
Verbindung
zu
TARGET,
dem
Grossbetragszahlungssystem der EU,
EZAG eignet sich vor allem für
Es folgt eine kurze Beschreibung der
können auch grenzüberschreitende
Firmen und Privatpersonen, die ihre
wichtigsten Zahlungsmittel und Zah-
Euro-Zahlungen von der Schweiz in
Zahlungen elektronisch über ihr
lungssysteme in der Schweiz. Die
Erläuterungen mit Ausnahme der
Abschnitte Prepaidkarten und Pay-
Banken
Netzwerk
Net wurden dem Quartalsheft der
Schweizerischen
Massenzahlungssysteme
DTA
Nationalbank
1/2003 mit dem Titel „Die Rolle der
LSV
...
EFTPOS
Nichtbanken
Nationalbank im bargeldlosen Zah-
Interbankenabwicklung
lungsverkehr“ von Daniel Heller,
Systemstabilität und Überwachung,
und Andy Sturm, Finanzmarktinfra-
SIC
Postfinance
SIC AG
SECOM
SIS
SECB
struktur, Schweizerische Nationalbank, Zürich, entnommen.
SNB
CLS
CLS Bank
6
euroSIC
Zahlungssysteme
Konto bei der PostFinance ausführen
Mastercard sind die verbreitetsten
ronische Medien (Internet) abzu-
lassen wollen. Die Übermittlung der
Kreditkartensysteme in der Schweiz.
wickeln. Der Einsatz ist sowohl von
elektro-
Business to Business (B2B) als auch
nisch per Internet oder durch Daten-
von Business to Consumer (B2C)
Zahlungsaufträge
erfolgt
Prepaidkarten
fernübertragung.
möglich.
Prepaidkarten werden im DetailDebit Direct (DD)
handel (auch an Automaten) einge-
SECOM
setzt. In der Schweiz sind die
DD eignet sich vor allem für Zah-
meisten ec/Maestro-Karten mit dem
Die SIS SegaInterSettle AG entstand
lungen, die mit einer gewissen
dafür notwendigen Chip ausgerüstet.
1999 aus der Fusion zwischen der
Regelmässigkeit erfolgen. Der Zah-
Der Käufer lädt am Bancomat einen
SEGA Schweizerische Effekten und
lungspflichtige ermächtigt den Zah-
Betrag bis zu CHF 300 auf seinen
Giro AG und der INTERSETTLE
lungsempfänger,
Chip und wird dafür auf seinem
AG. Die SIS nimmt für den Schwei-
seines Kontos bei der PostFinance
Konto
den
zer Finanzmarkt sowohl die Funktion
jeweils
auszulösen.
vorausbezahlten Betrag kann er an
des nationalen Wertschriften-Sam-
Beide müssen über ein Konto bei der
den dafür eingerichteten Verkaufs-
melverwahrers (Central Securities
PostFinance verfügen.
stellen Waren oder Dienstleistungen
Depository, CSD) als auch des
beziehen. Die Verkaufsstellen liefern
internationalen (International Central
die so getätigten Transaktionen bei
Securities Depository, ICSD) wahr.
der Telekurs Group ein und werden
Das Kerngeschäft der SIS umfasst:
umgehend erkannt.
n Verwaltung (Corporate Actions/
die
automatisch
Belastungen
Debitkarten
direkt
belastet.
Für
Debitkarten werden hauptsächlich im
Entitlements) von Wertschriften, die
Detailhandel eingesetzt und erlauben
an der Schweizer Börse oder im Aus-
dem Käufer, via den Terminal des
PayNet
land gehandelt werden
n Internationale Depotdienste
Verkäufers eine unverzügliche Belastung seines Kontos auszulösen
Das Electronic Bill Presentment and
n Vorgängiger
(EFT/POS). In der Regel ermög-
Payment System (EBPPS) hat zum
Matching) von Transaktionen
n Inhouse
lichen Debitkarten auch den Bezug
und
Ausgleich
(Pre-
grenzüberschrei-
von Bargeld an Geldausgabeauto-
Ziel, die Rechnungsstellung und den
tende Abwicklung schweizerischer
maten. ec/Maestro und die Postcard
Zahlungsverkehr für alle Beteiligten
und ausländischer Wertschriften mit
sind die verbreitetsten Debitkarten-
am Wirtschaftsprozess zu verein-
verschiedensten Gegenparteien
systeme in der Schweiz.
fachen und kostengünstiger mit Hilfe
modernster IT-Techniken über elektBuy order 3/20
Kreditkarten
Sell order 3/20
virt-x
Clearing Member A
Clearing Member B
Confirmation
Kreditkarten werden hauptsächlich
Handel (T+0)
Confirmation
Locked in trade
im Detailhandel eingesetzt, können
Clearing (T+0)
x-clear
aber auch bei telefonischen Bestellungen oder im elektronischen Geschäftsverkehr über das Internet verwendet werden. Sie erlauben dem
Käufer, den fälligen Betrag erst zu
einem
bezahlen.
späteren
Visa
Zeitpunkt
und
zu
SECOM
CM A
3
CM B
3
Payment order
Abwicklung (T+3)
Payment confirmation
Eurocard/
SIC
CM A
60
CM B
60
7
Zahlungssysteme
n Simultane, endgültige und unwiderrufliche Lieferung gegen Zahlung
Zahlungssysteme
n Wertschriftenverwahrung
Das Projekt der Schweizerischen
Die SIS betreibt die unter dem
Nationalbank (SNB)
Namen SECOM zusammengefassten
Sicherheit und Effizienz sind die
n Zum einen sollte ein Zahlungs-
SIS-
primären Ziele der SNB im bar-
system technisch bzw. operationell
Teilnehmer sind online-realtime am
geldlosen Zahlungsverkehr. Diese
derart ausgestaltet sein, dass es nicht
SECOM-System angeschlossen.
Ziele leitet die SNB direkt aus der
selbst Störungen im Finanzsystem
Erfüllung
verursacht.
Applikationen
für
die
transaktionsabwicklung.
EffektenDie
ihrer
Hauptaufgabe,
namentlich dem Führen der Geld-
n Zum anderen sollte ein Zah-
nach den Darlegungen von Richard
und Währungspolitik, ab. Dabei be-
lungssystem so konzipiert sein, dass
Walder, Telekurs Holding AG
stehen
Wechselwirkungen
sich Störungen im Finanzsystem, wie
zwischen dem Zahlungssystem, der
z. B. die Zahlungsunfähigkeit eines
Geldpolitik und der Stabilität des
Teilnehmers,
Finanzsystems.
über das System auf andere Teil-
grosse
nicht
unkontrolliert
nehmer ausbreiten.
Bei der Implementierung der Geldpolitik ist die SNB auf ein sicheres
Die
und effizientes Zahlungssystem wie
eines Systems hängt von einer Viel-
das SIC angewiesen. Kommt es näm-
zahl von Komponenten ab. Im Vor-
lich zu Störungen im Zahlungs-
dergrund stehen etwa die verwendete
system, können die geldpolitischen
Hardware und Software, das Tele-
Impulse
kommunikationsnetz,
nicht
mehr
in
vollem
operationelle
Zuverlässigkeit
die
Schnitt-
Umfang ihre gewünschte Wirkung
stellen zu den Systemteilnehmern,
entfalten. Gleichzeitig erleichtert ein
die
stabiles Finanzsystem das Erreichen
zuletzt das eingesetzte Personal. Die
der geldpolitischen Vorgaben. Einer-
technische Integrität eines Systems
seits eröffnet es der SNB mehr
hängt insbesondere von Kontroll-
Handlungsspielraum,
andererseits
mechanismen bezüglich des physi-
führt es zu einer raschen Über-
schen und elektronischen Zugangs
tragung der Geldpolitik auf die
zum System ab. Zu denken ist hier
anderen Sektoren. Die SNB ist daher
beispielsweise an die für den Daten-
aus geldpolitischen Gründen be-
austausch verwendete Verschlüsse-
strebt, im Rahmen ihrer Möglich-
lungstechnologie.
Stromversorgung
und
nicht
keiten die Stabilität des Finanzsystems zu stärken, unter anderem
Eine sehr hohe Verfügbarkeit und
durch die Förderung einer sicheren
Integrität des Systems alleine ist
und effizienten Finanzmarktinfra-
jedoch nicht ausreichend. Ebenso
struktur.
wichtig sind regelmässig getestete
Backup-Einrichtungen und Verfah-
8
In Bezug auf die Sicherheit eines
rensregeln, die auch im Krisenfall
Zahlungssystems können zwei As-
die Aufrechterhaltung des System-
pekte unterschieden werden.
betriebs gewährleisten.
Zahlungssysteme
Damit sich Störungen im Finanz-
Systemrisiko ausgehen. Systeme, die
Bedeutung, die der Zahlungssystem-
system nicht unkontrolliert über das
ausschliesslich Kleinbetrags- oder
überwachung in den Bestrebungen
Zahlungssystem auf andere Teil-
Publikumszahlungen abwickeln, ber-
zur Förderung der Stabilität des
nehmer ausbreiten, bedarf es einer
gen in der Regel keine oder nur
Finanzsystems zukommt.
soliden Rechtsgrundlage für das
geringe Systemrisiken. Massgeblich
System und entsprechender Regeln
für die Beurteilung der volkswirt-
Neben der Überwachung von Zah-
und Verfahren für die Zahlungs-
schaftlichen Bedeutung eines Zah-
lungssystemen wird die SNB im
abwicklung. Ein wichtiger Grundsatz
lungssystems ist auch, ob ein alter-
neuen Gesetz zudem mit der Über-
besteht beispielsweise darin, dass
natives Zahlungssystem vorhanden
wachung von Systemen für das
eine Zahlung, die einem System
ist, über das die Zahlungen notfalls
Clearing und die Abwicklung von
übermittelt wurde und sämtliche
abgewickelt werden können.
Wertpapiergeschäften und anderen
Finanzinstrumenten
Risikokontrollen und andere Prüfun-
(anschliessend
gen erfolgreich durchlaufen hat,
Die SNB begrüsst die im Zuge der
Effektenabwicklungssysteme
nicht
ge-
gemacht
Revision des Nationalbankgesetzes
nannt) betraut. Ist ein Betreiber eines
werden kann (unwiderrufliche Ab-
vorgeschlagene Lösung, die Über-
derartigen Systems aufgrund seines
wicklung).
wachung von Zahlungs- und Effek-
Bankenstatus gleichzeitig auch der
tenabwicklungssystemen explizit als
Aufsicht der Eidgenössischen Ban-
Alle Zahlungssysteme sollten hin-
eine der Hauptaufgaben der SNB
kenkommission (EBK) unterstellt,
sichtlich der vorangehend erwähnten
aufzuführen. Unter der Vorausset-
teilen sich SNB und EBK die Auf-
Sicherheitsaspekte einen gewissen
zung, dass das neue Nationalbank-
gaben. Die SNB wird für den Sys-
Minimalstandard erfüllen. Mit zu-
gesetz durch das Parlament verab-
temteil und die EBK für den Insti-
nehmender Bedeutung eines Zah-
schiedet wird, sollte dieses voraus-
tutsteil zuständig sein. Die System-
lungssystems für den Finanzsektor
sichtlich im Jahre 2004 in Kraft
überwachung und die Institutsauf-
und die Volkswirtschaft insgesamt
treten.
sicht sind somit weitgehend komple-
mehr
rückgängig
mentäre Aufgaben, die beide zur Sta-
steigen auch die Anforderungen an
bilität des Finanzsystems beitragen.
die Sicherheit. Besonders wichtig ist
Verschiedene Gründe sprechen für
die Sicherheit bei so genannten „sys-
eine formelle Regelung der Zah-
temisch bedeutsamen Zahlungssys-
lungssystemüberwachung auf Ge-
Das revidierte Nationalbankgesetz
temen“. Dies sind Systeme, bei
setzesstufe. Zum einen ist nicht aus-
räumt der SNB die formelle Befug-
denen Störungen innerhalb des Sys-
zuschliessen, dass es in Zukunft in
nis ein, an Zahlungs- und Effekten-
tems oder finanzielle Schwierigkei-
der Schweiz systemisch relevante
abwicklungssysteme, von denen Ri-
ten einzelner Teilnehmer dazu führen
Zahlungssysteme geben wird, die
siken für die Stabilität des Finanz-
können, dass andere Teilnehmer oder
nicht in Zentralbankgeld abwickeln.
systems ausgehen, Anforderungen zu
gar weite Kreise des Finanzsystems
Eine Einflussnahme der SNB auf die
stellen. Damit kann sie Störungen im
in Mitleidenschaft gezogen werden
Gestaltung dieser Systeme
wäre
Zahlungssystem, welche die Um-
(Systemrisiko).
zweifellos
dies
setzung der Geldpolitik behindern,
die für die Stabilität des Finanz-
bisher in Bezug auf das SIC der Fall
reduzieren und das Systemrisiko
systems bedeutsam sind, sollten die
war. Deshalb sieht der Entwurf des
gering halten.
zehn Grundprinzipien der Bank für
revidierten
Internationalen
Zahlungsausgleich
vor, dass die SNB ermächtigt wird,
Vorgesehen ist ein dreistufiges Rege-
(BIZ) erfüllen. Die Bedeutung eines
die Tätigkeit von bargeldlosen Zah-
lungsmodell.
Zahlungssystems für das Finanz-
lungssystemen zu überwachen, unab-
1. In einer ersten Stufe werden Be-
system wird vor allem durch die
hängig davon, ob die Abwicklung
treiber von Zahlungssystemen einer
Höhe und die Art der Zahlungen
eines Zahlungssystems in Zentral-
statistischen Auskunftspflicht unter-
bestimmt. Insbesondere von Syste-
bankgeld stattfindet oder nicht. Zum
stellt. Mit Hilfe der erhobenen Daten
men,
Grossbetragszah-
anderen widerspiegelt eine Regelung
kann sich die SNB einen Überblick
lungen abgewickelt werden, kann ein
auf Gesetzesstufe die zunehmende
verschaffen über die in der Schweiz
über
die
Zahlungssysteme,
schwieriger,
als
Nationalbankgesetzes
9
Zahlungssysteme
zugänglichen Zahlungssysteme und
Gewährung der operationellen Si-
Regelungen zur konkreten Umset-
über die Verbreitung verschiedener
cherheit des Systems und Mass-
zung fehlen grösstenteils. Dies lässt
Arten von bargeldlosen Zahlungs-
nahmen bei Auftreten von Erfül-
viel Raum für Interpretationen.
mitteln. Diese Informationen ermög-
lungsschwierigkeiten bei Systemteil-
lichen es, kleinere Zahlungssysteme
nehmern.
Die globale Anforderung „die Systeme sollen eben hinreichend sicher
von vornherein von einer genaueren
Überwachung auszuklammern.
Ferner kann die SNB die Geschäfts-
sein“ wird darum in der Verordnung
2. Die zweite Stufe regelt die er-
bedingungen, das verwendete Zah-
für systemisch bedeutsame Zah-
weiterte
Ihr
lungsmittel sowie die Bedingungen
lungs- und Effektenabwicklungssys-
unterstehen Effektenabwicklungssys-
für die Zulassung von Teilnehmern
teme nach folgenden Grundsätzen
teme sowie jene Zahlungssysteme,
zum System prüfen. Für den Fall,
konkretisiert.
bei denen ein Systemrisiko nicht a
dass der Systembetreiber die an ihn
priori ausgeschlossen werden kann.
gestellten
Umfassende Informationen über sol-
nicht erfüllt, sieht der Entwurf ver-
che Systeme sind notwendig, damit
waltungsrechtliche Sanktionen vor.
die SNB mit hinreichender Gewiss-
So könnte einem Systembetreiber der
Die SNB muss darlegen können,
heit die Frage beantworten kann, ob
Zugang zum Girokonto der SNB
dass die Mindestanforderungen nach
ein für die Stabilität des Finanz-
verweigert werden. Auch könnte die
Art und Umfang für den festgelegten
systems bedeutsames System vor-
SNB öffentlich vor der Benutzung
Zweck – Stabilitätsschutz des Fi-
liegt.
eines mangelhaften Systems warnen.
nanzsystems – notwendig ist.
Offenlegungspflicht.
Mindestanforderungen
Verhältnismässigkeitsprinzip
3. Schliesslich kann die SNB an
Es gibt bereits heute eine Fülle von
Stabilität des Finanzsystems aus-
gesetzlichen Vorschriften und An-
gehen können, qualitative Mindest-
forderungen
anforderungen stellen. Diese betref-
Organisationen zur operationellen
Die Mindestanforderungen sind all-
fen die organisatorischen Grund-
Sicherheit. Diese werden jedoch eher
gemein beschrieben. Sie umfassen
lagen, die Vorkehrungen für die
abstrakt
Instrumente, Prozesse und Massnah-
Allgemeine, unternehmensweite
Elemente
Systeme, von denen Risiken für die
Verhalten (Kultur)
• Sachkompetenz VR und GL
• hohe Dokumentationsqualität
• transparente Entscheidungsverfahren
• verständliche Leistungsvereinbarungen
• Einhaltung der Vorschriften
(Compliance)
• regelmässige Überprüfung der
Sicherheitspolitik, der IT-Sicherheit und des Risikomanagements
von
behandelt.
Umfang
internationalen
Ausführliche
Struktur (Aufbau/Ablauf)
• Unabhängigkeit des VR
• zweckmässige Organisationsstruktur
• klare Zuteilung von Aufgaben,
Kompetenzen und Verantwortlichkeiten
• angemessenes internes Kontrollsystem
Transparenz (Unterlagen)
• Richtlinie zur Unternehmensführung
(u.a. für Strategiefindung und Zielsetzungsprozess)
• Sicherheitspolitik
• Richtlinie Risikomanagement
• Personalpolitik
• Kostentransparenz als Grundlage
für die Kostenverrechnung
• Informationspflichten (Finanzlage,
Eigentumsverhältnisse, Grundzüge
zur Organisationsstruktur)
IT-spezifische
Elemente
Grundlage/Benchmark: Allgemein anerkannter Sicherheitsindustriestandard
10
Verfügbarkeit
• redundante Systemarchitektur
• geografische Trennung Primärund Ausweichsystem
• jederzeitiger Wechsel zwischen
Primär- und Ausweichsystem
ohne Verlust bestätigter Trans.
• Ausweichverfahren müssen getestet werden
• max. Ausfallzeit und begrenzte
Anzahl Fehler
Integrität
Nachvollzug
• Datenintegrität muss über alle Be- • Aufzeichnung aller Transaktionen
arbeitungsstufen gewährleistet
bei Ein- und Ausgang
sein
• kritische Dateneingaben und
• Dateneingaben und Interventionen
Interventionen sind aufzuzeichnen
nur durch autorisierte Benutzer und als Grundlage für das Auditing
Systemkomponenten
• zeitnahes und standardisiertes
• wirksame und nachvollziehbare
Aufzeichnen von VerarbeitungsKontrollschritte zur Sicherstellung
fehlern und Störungen
einer richtigen und vollständigen
Verarbeitung
Zahlungssysteme
men, die heute bei der Beurteilung
der Leitsätze „Gewähr für einwandfreie Geschäftsführung“ und „Ordnungsmässikgeit der Geschäftsfallabwicklung, der Informatik und der
Buchführung“ unter dem Gesichts-
Zahlungssysteme
Configuration d’une banque
participante
punkt „best practice“ üblicherweise
betrachtet werden. In der Verord-
La configuration se présente de la
nung werden einige wichtige Min-
manière suivante :
destanforderungen erwähnt.
Detaillierungsgrad
In der Verordnung finden sich keine
Ordres de
paiement
Entrée CCP
Ecritures
internes
Entrée SIC
Ordres
permanents
Echange de support
de données
(DTA)
Ordres SWIFT
Ordres FAX
Ordres
télébanking
Bancomat
EFT/POS
Traitement
eurochèques
Entrées
BRV
Débits
directs
Recouvrement
direct (LSV)
Opérations
du marché
monétaire
Bourse
Emissions
Titres
Regeln zur Art und Weise der Umsetzung. Die konkrete Ausgestaltung
ist u.a. von der Unternehmenskultur
und -struktur, dem Unternehmensumfeld sowie dem technischen Fortschritt abhängig.
Entrées
Sorties
Système informatique central
Comptes
des clients
Comptabilité
générale
Sorties CCP
Sorties SIC
Sorties SWIFT
Banque
Banque
Office CCP
Centrale SIC
Réseau SWIFT
Geltungsbereich
Die Mindestanforderungen sind primär an die Betreiber von systemisch
relevanten Systemen gerichtet und
nicht an die angeschlossenen Teilnehmer.
Inhalt siehe Grafik Vorseite
Nach einem Artikel von D. Heller im
SNB Quartalsheft 1/2003 sowie dem
Referat von D. Heller und B. Müller,
Les mesures techniques mises en
œuvre doivent permettre de garantir :
n Intégralité des paiements
n Exactitude des paiements
n Non répudiation des paiements
n Traçabilité des paiements
n Accès aux systèmes
n Disponibilité des systèmes
tiré de l’exposé de S. Varone, Ernst
& Young
Schweizerische Nationalbank
11
Zahlungssysteme
Prüfungsvorgehen
Zahlungssysteme
Die
Exemplarisches Revisionsvorgehen
Abwicklung
der
Geschäftstransaktionen
einzelnen
erfolgt
in
Interaktion mit den entsprechenden
eines Finanztransaktionssystems
Gegenparteien. Der technische Informationsaustausch erfolgt durch den
am Beispiel SECOM
Austausch von Mitteilungen entsprechend dem Standard ISO-15022.
Die Rolle der SIS
SegaInterSettle
Die Risikosituation
Aufgrund der hohen Transaktionszahl und der bei der Gegenpartei
Die SIS wickelt die Geschäfte unter
nicht unbedingt tagfertig erfolgenden
Die SIS SegaInterSettle AG entstand
Einsatz komplexer Informatikmittel
Abwicklung werden die Abstim-
1999 aus der Fusion zwischen der
auf einem hohen Automatisierungs-
mungen mehrheitlich auf Trans-
SEGA Schweizerische Effekten und
grad innerhalb sehr kurzer Fristen ab.
aktionsebene durchgeführt. Hierfür
Giro AG und der INTERSETTLE
Im Schweizer Finanzmarkt werden
werden entsprechende Status-Mit-
AG. Die SIS nimmt für den Schwei-
sehr hohe Anforderungen an die Ver-
teilungen ausgetauscht.
zer Finanzmarkt sowohl die Funktion
fügbarkeit der Leistungen der SIS
des nationalen Wertschriften-Sam-
gestellt. Aus diesem Grund kommt
Zum Nachvollzug der zeitlichen Ab-
melverwahrers (Central Securities
der Katastrophenvorsorge und der
folge und der gegenseitigen Ab-
Depository, CSD) wie auch des
Sicherstellung einer kurzen Wieder-
hängigkeiten der einzelnen Prozess-
internationalen (International Central
anlaufszeit im Falle von Störungs-
Schritte bedient sich die Revision
Securities Depository, ICSD) wahr.
ereignissen grosse Bedeutung zu.
Sequenzdiagrammen.
Das Kerngeschäft der SIS umfasst:
n Verwaltung (Corporate Actions/
Ereignis
Entitlements) von Wertschriften, die
an der Schweizer Börse oder im Ausland gehandelt werden
n Internationale Depotdienste
Ausgleich
(Pre-
Tests
NachEreignisManagement
DisasterBehebung
Wiederaufnahme des
Normalbetriebes
Verfahrensregeln
Standorte /
Ressourcen
Mitarbeitende
Wiederaufbau
der Infrastruktur
Reallokation von
Ressourcen
Geschäftsprozesse im
Notfalldispositiv
Informationsrückgewinnung
IT und
Operations
Wiederaufnahme
Geschäftsbetrieb
Disasterbehebung
grenzüberschrei-
Vor-Ereignis-Planung
KrisenManagement
und
tende Abwicklung schweizerischer
Vermeidung
n Inhouse
Ermittlung
Matching) von Transaktionen
RisikoManagement
Krisen-Management
n Vorgängiger
und ausländischer Wertschriften mit
verschiedensten Gegenparteien
n Simultane, endgültige und unwiderrufliche Lieferung gegen Zahlung
n Wertschriftenverwahrung
Die SIS betreibt die unter dem
Namen SECOM zusammengefassten
Applikationen für die Effektentransaktionsabwicklung.
nehmer
sind
Die
SIS-Teil-
online-realtime
SECOM-System angeschlossen.
12
am
Elemente der Katastrophenvorsorgeplanung
Als Bank ist die SIS verpflichtet, die
In darauf aufbauenden Kollabora-
notwendige Vertraulichkeit der ihr
tionsdiagrammen
wird
auch
der
zugebrachten Informationen sicher-
Informationsfluss
dargestellt.
Auf
zustellen. Hierfür ist das elektronisch
dieser Informationsbasis kann die
transferierte
Revision anhand von Informations-
Datensubstrat
quent zu verschlüsseln.
konse-
extrakten aus Logs, aus Transaktions- und Bestandesdaten durch den
Einsatz
von
CAATs
(Computer
Aided Audit Tools) Konsistenzprü-
Zahlungssysteme
A-1 bis A-4 stellen
Teilprozesse dar
Zeitachse
A-2
A-4
A-1
MT / SI Bedingung
MT / SI - Bedingung
MT / SI - Bedingung
A-3
MT / SI - Bedingung
MT / SI – Bedingung
stellt schematisch die
Regeln für die Werte
der Parameter
Message-T
Typ und
Status-IIntimation dar
Darstellung des Ablaufes im Sequenzdiagramm (zeigt den zeitlichen
Ablauf mit den relevanten Abhängigkeiten der Prozess-Schritte auf)
fungen und Abstimmungen vor-
klare Definition der Lieferobjekte
nehmen (Reconciliation).
definiert.
Die Prüfung des ordnungsgemässen
Nach dem Vortrag von R. Schaffner,
Einsatzes der Informatikmittel und
PriceWaterhouseCoopers
der entsprechenden Rahmenorganisation erfolgt entsprechend Internationaler Standards wie COBIT und
ISO 17799 Auf dieser Basis wird
auch die Arbeitsteilung der internen
und der externen Revision durch
Beispiel der Detailanalyse eines Steuerabwicklungsvorganges
BusinessPartners
SIS
Partei A
Partei B
13
Zahlungssysteme
Risiken: Minimales
Zahlungssysteme
Verantwortung der beiden Firmen
mit der angestrebten Punkt-PunktVerbindung (Mietleitung).
bzw. von digitalen Unterschriften in
Transaktionssystemen
évoquée :
Das
Schlüssel-Management liegt in der
Prüfung von Chiffrierungstechniken
La question du chiffrement est
Risiko.
2. Kerberos Systeme
1. SIC, SECOM, S.W.I.F.T
Chiffriertechniken
Mit Kerberos kann man mit Microsoft einen Authentifizierungsmecha-
n explicitement dans les « Recom-
nismus einführen, welcher das relativ
mandations pour les systèmes de
Die Anbindung von Finanzsystemen
hohe Sicherheitsniveau, das Win-
règlement de titres » pour garantir
(Zahlungs-, Effektenabwicklungssys-
dows NT und Windows 2000 bereits
l’intégrité des instructions (chiffre
teme) wird heute in den meisten
im lokalen Bereich bietet, auch auf
3.58)
Fällen mit einer Link-Layer Chiff-
den Betrieb im Netzwerk übertragen.
n indirectement par les « Principes
rierung (Punkt-Punkt oder ISDN-
Neben den stärkeren Sicherheits-
fondamentaux pour les systèmes de
Verbindung) ausgeführt.
mechanismen bietet Kerberos gleichzeitig noch vier weitere Vorteile:
payement » qui prévoient que la
sécurité du système devrait être
Diverse Hersteller stellen solche
conforme à des normes commer-
Hardware Chiffrierboxen zur Verfü-
cialement raisonnables, notamment
gung. Die Chiffrierung mit Hard-
en
wareboxen ist sehr sicher und stabil,
matière
d’intégrité,
de
confidentialité,
d’authentification,
de
non-répudiabilité,de disponibilité et
Schnelleres Networking, Delegierte
jedoch auf der anderen Seite wiederum kostenintensiv.
d’auditabilité.
SIC, EuroSIC, SECOM, S.W.I.F.T Chiffriertechniken
Lokation 1
Lokation 2
X.25
X.25
Modem SIC, SECOM,
EuroSic
Modem SIC, SECOM, EuroSic Modem Swift
Gretacoder
GC710
für Secom
Linkchiffrierer
GC522
Interner Link
Gretacoder
Gretacoder
Linkchiffrierer
GC605
Linkchiffrierer
GC522
Interner Link
SCR 2 Swift Card Reader
MuX 8
Port Box
Gretacoder Gretacoder
Gretacoder
Telexbox
Telexbox
Baldrian
Pipan
Mohn
IBASEC Server
ATM Switch mit VLAN
(Trunks)
ATM Switch mit VLANS#
Router
Safenet
Linkchiffrierung
öffentliches ATM Netz
14
Swift Card Reader
GC720 für Authentiserung
PyritB
HDS/Hitachi
ATM Switch Cisco 5505
ATM Switch Cisco
Lightstream
Sicheres Netz
Linkchiffrierung
Zahlungssysteme
SIC, EuroSIC, SECOM, S.W.I.F.T Chiffriertechniken
OSI-Modell (Open System Integrated Model)
Anwendungsschicht
7
Application Layer
Darstellungsschicht
6
Presentation Layer
Sitzungsschicht
5
Session Layer
Transportschicht
4
Transport Layer
3
Network Layer
2
Data Link Layer
Vermittlungs-/Netzwerkschicht
Sicherungsschicht
Bitübertragungsschicht
Physical Layer
1
ment sollten von Fachspezialisten
auf Richtigkeit überprüft werden.
Eine Zertifizierung kann das nötige
Sicherheitsniveau sicherstellen.
5. IPSec (IP Security)
Die IPSec-Anwendung gewährleistet
Authentizität,
Vertraulichkeit und
Integrität bei der Datenübertragung.
Sicherheitschecks, Server-Identifika-
munikation über das Internet er-
Eigenschaften der IPSec-Anwendun-
tion und UNIX kompatibel.
möglichen.
gen sind: Das Protokoll integriert die
Sicherheitsfunktion auf der KernelEbene. Die Authentifikation und
Risiken: Der Key Distribution Center
(KDC) ist ein Single Point Failure.
Leicht beeinflussbares „Password-
4. PKI Lösungen, digitale
Signaturen
Verschlüsselung finden bei allen
Übertragungen statt. Alle Anwendungen und Arbeitsstationen werden
Guessing“ ist möglich. Brute-Force
Attacken fürs Schlüsselknacken ist
Die Vertraulichkeit wird durch das
automatisch geschützt und müssen
beim Betriebssystem Windows NT
Verschlüsseln der Information mit
nicht mehr individuell gesichert wer-
4.0 auch möglich.
dem öffentlichen (allen bekannten)
den. Die Authentisierung erfolgt
Schlüssel des Empfängers gewähr-
durch den Authentification Header
leistet, während Integrität und Nicht-
(AH). Die Verschlüsselung erfolgt
Abstreitbarkeit durch das Signieren
im Encapsulation Security Payload
der Information mit dem privaten
(ESP). Die Hash-Verfahren sind zur
3. Transaktionssysteme
mit SSL-Zertifikaten
(geheimen) Schlüssel des Senders
Erreichung der Integrität bei der
SSL (Secure Socket Layer) ist ein
garantiert werden. Kryptosysteme,
Datenübertragung optional imple-
Transportprotokoll,
auf
die auf dem Konzept der öffentlichen
mentierbar.
TCP/IP aufsetzt und in der Lage ist,
Schlüssel basieren, werden heute
alle
welches
bereits von vielen Herstellern ange-
Risiken: Angriffe auf die Verschlüs-
http,
boten. Die Produkte haben die not-
selung (Mitlesen und Hijacken);
Telnet und NNTP sicher zu über-
wendige Marktreife erreicht und
Verfügbarkeit des Security Associa-
tragen.
WWW-
diverse Standards haben sich etab-
tions (SA) Server; Missbrauch der
Clients unterstützen in ihren aktuel-
liert. Die umfassende Einführung
Verbindungen bei externen Firmen
len Versionen bereits SSL, so dass
einer PKI stellt jedoch immer noch
durch fehlende schlechte Zugriffs-
dieses Sicherheitsprotokoll bereits
eine grosse Herausforderung für die
kontrollen. Grundsätzlich sind aber
eine enorme Verbreitung im Internet
Unternehmen dar, besonders wenn es
VPN
besitzt. Vor allem für die Über-
sich um grosse internationale Kon-
Verbindungen zwischen Client und
tragung von datenschutzwürdigen
zerne handelt. Trotzdem scheint es,
Host sehr sicher und finden heute
Informationen wie Adressen, Konto-
als liesse sich dieser Schritt auf dem
auch einen breiten Anwendungs-
und Kreditkartennummern wird SSL
zum erfolgreichen e-business sowie
bereich.
eingesetzt.
Transaktionssystemen nicht vermei-
im
Internet
gebräuchlichen
Applikationsprotokolle
Alle
wie
namhaften
den.
(Virtual
Private
Network)
Nach dem Vortrag von R. Grubenmann, KPMG
Risiken: Zwischenzeitlich wurden
die SSL-Implementationen nachge-
Risiken: Die Risiken sind facetten-
bessert. Sie sollten nach mensch-
reich, d.h. der Lebenszyklus des
lichem Ermessen eine sichere Kom-
Schlüssel- und Zertifikat-Manage15
Zahlungssysteme
Zahlungssysteme
n Principes fondamentaux pour les
Les recommandations
systémique (janvier 2001)
internationales
mes de règlement de titres (novem-
systèmes de paiement d’importance
n Recommandations pour les systèbre 2001)
Des systèmes de paiement sûrs et
particulièrement rapidement, ce qui
Ces principes et recommandations
efficients sont essentiels au bon
atteste de l’intégration croissante des
s’appliquent aux systèmes de paie-
fonctionnement d’un système finan-
marchés mondiaux.
ment d’importance systémique. Un
cier. Les systèmes de paiement per-
système
de
paiement
est
dit
mettent de transférer des fonds au
Les faiblesses des systèmes de
« d’importance systémique » lors-
sein des banques, et les principaux
règlement de titres peuvent engen-
que, en l’absence de protection
d’entre eux, appelés ici systèmes de
drer des perturbations systémiques
suffisante contre les risques, une
paiement d’importance systémique,
sur les marchés des valeurs mobi-
perturbation interne – résultant, par
constituent un vecteur de trans-
lières et au niveau des autres systè-
exemple,
mission majeur des chocs entre
mes de paiement et de règlement. Un
participant – peut déclencher ou
systèmes
financiers
problème financier ou opérationnel
propager des perturbations en chaîne
domestiques et internationaux. C’est
affectant une des institutions rem-
chez les participants ou des per-
pourquoi leur solidité représente un
plissant des fonctions critiques dans
turbations
préalable clé au maintien et au
le processus de règlement-livraison
sphère financière plus généralement.
renforcement de la stabilité finan-
ou un utilisateur important d’un
Le principal critère de l’importance
cière. Ces dernières années, un large
système de règlement de titres,
systémique est le montant ou la
consensus international s’est fait jour
pourrait causer des problèmes signi-
nature des ordres de paiement ou leur
sur la nécessité de consolider les
ficatifs de liquidité ou des pertes
valeur globale. Un système spécia-
systèmes de paiement, grâce à des
financières pour d’autres partici-
lisé dans la gestion des paiements de
normes et pratiques unanimement
pants. Toute perturbation des systè-
gros montant est normalement consi-
acceptées pour leur conception et
mes de règlements de titres peut se
déré comme d’importance systémi-
leur exploitation.
propager
que.
et
marchés
aux
infrastructures
de
En
de
l’insolvabilité
systémiques
revanche,
un
dans
d’un
la
système
paiement utilisées par les systèmes
d’importance systémique ne gère pas
Les systèmes de règlement de titres
de règlement de titres ou ayant
nécessairement que des paiements de
constituent un élément essentiel de
recours à ces derniers pour transférer
gros montant. Le terme peut désigner
l’infrastructure financière mondiale.
des sûretés. Sur les marchés des
un système qui traite des paiements
La forte augmentation des volumes
valeurs mobilières mêmes, la liqui-
de montants divers, mais qui a la
des échanges et des règlements
dité dépend de manière fondamentale
capacité de déclencher ou de pro-
depuis quelques années tient à deux
de la sécurité et de la fiabilité des
pager des perturbations systémiques
facteurs. D’une part, les marchés de
mécanismes de règlement. Les opé-
du fait de certains segments de son
titres jouent un rôle accru dans
rateurs ne peuvent en effet que se
trafic. En pratique, la frontière entre
l’intermédiation des flux financiers
montrer réticents s’ils ont des doutes
les systèmes de paiement d’impor-
entre emprunteurs et bailleurs de
significatifs
tance systémique et les autres n’est
fonds. D’autre part, les investisseurs
effectif de leurs transactions.
quant
au
règlement
gèrent plus activement leurs porte-
centrale doit être attentive à bien
feuilles de valeurs, sous l’effet,
La Banque de règlements inter-
notamment, d’une baisse des coûts
nationaux (www.bis.org) a édicté
de transaction. Dans ce contexte, le
deux documents essentiels :
volume des transactions et règlements transfrontières a progressé
16
pas toujours très nette et la banque
situer la limite.
Zahlungssysteme
Les attentes à l’égard de la
n Risque de non-règlement: pas de
La pratique montrera si la BNS a su
BNS
règlement postérieur à la date-valeur
prendre les mesures nécessaires pour
n Risque de panne des systèmes
maîtriser ces risques.
1. La banque centrale devrait définir
informatiques: analyse des risques,
clairement ses objectifs pour le sys-
procédures d’interruption des systè-
tème de paiement et faire connaître
mes, tests réguliers des plans de
publiquement son rôle ainsi que ses
secours, etc, etc…
Les attentes nationales
grandes orientations en matière de
Indépendamment de cette évolution
systèmes de paiement d’importance
internationale, la Chancellerie fédé-
systémique.
2. La
banque
centrale
devrait
s’assurer que les systèmes qu’elle
Quelques exemples de
rale a entrepris depuis plusieurs
mesures préconisées pour les
années de mettre en place des
systèmes de clearing des titres
mesures propres à identifier, gérer et
exploite se conforment aux Principes
en
définitive
maîtriser
dans
la
n Risque juridique: droits prio-
mesure du possible les crises liées
devrait
ritaires sur les sûretés déposées pour
aux systèmes d’information. Elle a
surveiller la conformité aux Prin-
les créanciers parties au système par
par exemple créé la notion de
cipes fondamentaux des systèmes
rapport aux créanciers hors-système,
« KASII » soit une « Krise, ausgelöst
qu’elle n’exploite pas et avoir les
n Risques de règlement: le système
durch Störungen in der Informations-
moyens d’effectuer cette surveil-
de clearing de titres devrait être
Infrastruktur ». La révision de la loi
lance.
couplé avec un système de clearing
sur la Banque nationale suisse va
des
dans le sens des mesures pré-
fondamentaux.
3. La
banque
centrale
payements
répondant
aux
exigences « systémiques »
conisées.
n Risques opérationnels: analyse
www.infosurance.ch.
Quelques exemples de
des risques, audits indépendants,
mesures préconisées pour les
sécurisation des accès, pistes d’audit,
systèmes de clearing des
plans de
payements
devraient permettre:
n
secours.
Ces
derniers
règle
moment de la perturbation,
heure »
(Null-Uhr-
qui permet d’annuler
n
ce
thème
exposé de M. Huissoud, Contrôle
d’identifier avec certitude
l’état de toutes les transactions au
« zéro
sur
fédéral des finances
n Risque juridique: supprimer la
Regelung)
Voir
de
rétablir
le
fonction-
rétroactivement dès 00:00 les trans-
nement et les données sans
actions d’une entreprise entrant en
entraver le processus de règle-
faillite ce jour-là
ment
n Risque de dysfonctionnement:
documenter les procédures, y com-
L’audit informatique se concentre
pris le traitement des erreurs et
sur les risques opérationnels qui
pannes
peuvent être classifiés de la manière
n Risque de crédit: interdiction de
suivante :
révocation de transaction pour faire
face à une incapacité d’effectuer un
règlement dans un système à règlement net différé (RND/DNS)
n Risque de liquidité: mise
à
disposition de liquidité intrajournalière pour assurer la fluidité des
problèmes software
Erreurs dans les programmes, base
de données, systèmes d’exploitation
et de communication, virus, etc…
problèmes hardware
Unité centrale, mémoires, disques,
réseaux, etc..
erreurs/interventions
humaines
Utilisateurs, opérateurs, pirates,
fraudeurs, etc…
catastrophes
Coupures de courant, incendies,
tremblement de terre, terrorisme,
etc…
systèmes à règlement en temps réel
17
Zahlungssysteme
Zahlungssysteme
Conclusion du Séminaire
Les différentes présentations faites
Un point central demeure ouvert : le
dans le cadre du séminaire ont
périmètre des systèmes d’importance
montré que les risques auxquels sont
systémique qui seront soumis à une
exposés les systèmes de clearing sont
réglementation et à une surveillance
bien réels. La mise en place de
spéciale de la part de la Banque
certaines mesures propres à maîtriser
nationale suisse. La plupart des parti-
ces risques peut se révéler complexe,
cipants au séminaire ont été étonnés
notamment
d’apprendre
les
procédures
de
que
des
systèmes
reprises après incident. D’autres
comme le système ec, les bancomats
mesures
une
ou les cartes de crédit ne tomberont
gestion optimale d’une éventuelle
pas dans cette catégorie. Une inter-
crise pourraient encore être prévues,
prétation que la BNS devra peut-être
par exemple la mise en place d’une
revoir pour éviter la répétition de ce
cellule de crise, qui pourrait égale-
fameux Noël de 2001.
propres
à
assurer
ment être chargée de l’observation
des incidents.
A pretty young auditor worked not for money but rather for leisure,
She added balance sheets, ledger cards and took many a measure,
On Stephenson’s island, son of a gun,
She ran into a guy named Ben Gun.
Captain England marooned him, but he had discovered the treasure.
Eine Revisorin, die handelte mit allerhand Aktien und Scheinen,
Doch die Performace des Portefeuilles war eher zum Weinen,
Sie kaufte bei höchst grässlichen Preisen,
Und liess beim Verkauf mit sich „maisen“,
Ein Zahlengirl sollte die Börse doch kennen, würde man meinen.
18
Katastrophenfallplan
would cause an significant loss. Most
Katastrophenfallplan
brokers have mirrored sites.
Business Continuity Plan: a senior
IT systems must escalate to cope
with the mandatory requests of the
management concern
organisation’s business.
Basics to start a BCP project
Most of these plans need to be sized
and
24 x 365
the
organisation. It must be emphasised
that, only when the top BCP has
been produced, can the other plans
Moreover, it will be often too costly
ability of information. More and
to put every possible device in place
more
be
to achieve a near 100% protection.
working 24 hours a day and 365 days
Risk management helps business to
a year.
cope with these risks and mitigate
to
on
can be prepared.
business as well as 24 hours availneed
depending
controls and actions to be undertaken
Recent years have lead to worldwide
organisations
address
be developed.
BCP project
them. Threats are there, damage can
The Business Continuity Institute
Relying on computers here and there,
arise, and will arise. Risk metrics
suggests a 10 steps project:
means that the information systems
help
should not crash by all means – at
impacts.
to
measure
the
potential
1. Project initiation and manage-
least completely providing the core
business still works.
The objective is to minimise the
ment
impact and continue to work at best.
Establish the need for a BCP,
including
That’s the objective of the Business
obtaining
management
support and organising and manag-
Continuity Planning (BCP) which
A Senior management
concern
ing the project to completion with
step the traditional Disaster Reco-
At first Business Continuity is a
2. Risk evaluation and control
very Plan, which has the objective to
management issue: What risks are
Determine the events and environ-
give a reasonable assurance that, in
we encountering? Which activities
mental surroundings that can adver-
case of a disaster, some basic
are important for our business?
sely affect the organisation and its
systems will be able to operate
Which are less important? How long
facilities with disruption as well as
within a short period of time (see
can we stay out of the business?
disaster, the damage such events can
how fast the companies in the World
What measures should we put in
cause, and the controls needed to
Trade Centre have been back to
place to cope with all these issues
prevent or minimise the effects of
operation after Sept,11,2001).
and mitigate the impact? How much
potential loss. Provide cost-benefit
will that cost?
analysis to justify investments in
addresses all the business activities
to survive in case of urgency. Of
agreed upon and budget limits
course the BCP includes as a final
controls to mitigate risks.
BCP broadly focuses on defining
what to do to continue business in
In some specific economic sectors –
front of any event. A risk analysis is
such as banking organisations (see
mandatory when starting a BCP
Basel II) – a tested, compliant BCP
project. The world is neither perfect
is mandatory by law. In most stock
nor predictable but if scenario of
market places, no interruption is
events
been
accepted as the amounts in action are
thought of in advance, necessary
so important that any time disruption
and
impacts
have
19
Katastrophenfallplan
Plan
Purpose
Scope
Business Continuity Plan
(BCP)
Provide procedures for sustaining essential
business operations while recovering from
a significant disruption
Addresses business processes; IT
addressed based only on its support for
business process
Business Recovery (or
Resumption) Plan (BRP)
Provide procedures for recovering business operations immediately following a
disaster
Addresses business processes; not ITfocused; IT addressed based only on its
support for business process
Continuity of Operations
Plan (COOP)
Provide procedures and capabilities to
sustain an organization’s essential,
strategic functions at an alternate site for
up to 30 days
Addresses the subset of an organization’s
missions that are deemed most critical;
usually written at headquarters level; not ITfocused
Continuity of Support
Plan/
IT Contingency Plan
Provide procedures and capabilities for
recovering a major application or general
support system
Same as IT contingency plan; addresses IT
system disruptions; not business process
focused
Crisis Communications
Plan
Provides procedures for disseminating
status reports to personnel and the public
Addresses communications with personnel
and the public; not IT focused
Cyber Incident Response
Plan
Provide strategies to detect, respond to,
and limit consequences of malicious cyber
incident
Focuses on information security responses
to incidents affecting systems and/or
networks
Disaster Recovery Plan
(DRP)
Provide detailed procedures to facilitate
recovery of capabilities at an alternate site
Often IT-focused; limited to major disruptions
with long-term effects
Occupant Emergency
Plan (OEP)
Provide coordinated procedures for minimizing loss of life or injury and protecting
property damage in response to a physical
threat
Focuses on personnel and property particular to the specific facility; not business
process or IT system functionality based
Source NIST
3. Business impact analysis
while maintaining the organisation’s
7. Awareness and training programs
Identify the impacts resulting from
critical functions.
Prepare a program to create corporate awareness and enhance the
disruptions and disaster scenarios
5. Emergency
techniques that can be used to
obligations
ment, maintain, and execute the
quantify and qualify such impacts.
Develop and implement procedures
Business Continuity Plan.
Establish critical functions, their
for responding to and stabilising the
recovery
inter-
situation following an incident or
8. Maintaining
dependencies so that recovery time
event, including establishing and
business continuity plans
objective can be set.
managing an Emergency Operations
Pre-plan
Centre to be used as a command
exercises, and evaluate and docu-
centre during the emergency.
ment plan exercise results. Develop
priorities,
and
4. Developing business continuity
response
and
skills required to develop, imple-
that can affect the organisation and
and
and
exercising
co-ordinate
plan
processes to maintain the currency of
strategies
Determine and guide the selection of
6. Developing and implementing
continuity capabilities and the Plan
alternative business recovery operat-
business continuity plans
document in accordance with the
ing strategies for recovery of busi-
Design, develop, and implement the
organisation’s
ness and information technologies
Business Continuity Plan that pro-
Verify that the Plan will prove
within the recovery time objective,
vides recovery within the recovery
effective by comparison with a
time objective.
20
strategic
direction.
Katastrophenfallplan
suitable standard, and report results
BCP is not a one-shot process. BCP
in a clear and concise manner.
needs resources for the implementation but also on a permanent basis
9. Public
relations
and
crisis
to re-evaluate the plan and take
necessary measures.
coordination
Develop, co-ordinate, evaluate, and
exercise plans to handle the media
during crisis situations. To develop,
Some sources
co-ordinate, evaluate, and exercise
plans to communicate with and, as
Sites Internet
appropriate, provide trauma coun-
http://www.continuitycentral.com/
selling for employees and their
http://www.thebci.org
families,
http://www.csrc/nist.gov
key
customers,
critical
suppliers, owners/stockholders, and
corporate management during crisis.
Bibliography
Ensure all stakeholders are kept
e-SAC report from The Institute of
informed on an as-needed basis.
Internal Auditors (www.theIIA.org)
10. Coordination
with
public
authorities
By Patrick Morrissey, CIA, CISA,
Establish applicable procedures and
CISSP
policies for co-ordinating continuity
and restoration activities with local
Patrick Morrissey is a French expert
authorities while ensuring compli-
in IT and Security audit and consult-
ance with applicable statutes or
ing. He has been working with all
regulations.
sizes of private or public organisations as well as for the European
Source BSI
Commission and the World Bank.
He teaches in different European
universities. He is the author of “ISO
Conclusion: a continuous
process with all the
organisation
17799 – Practitioner book” to be
published end 2003. He can be
joined at pmorrissey@auditware.fr
Since Security practitioners start to
speak in “business words”, Senior
management will be more attentive
to their speeches and will be more
ready to achieve the objectives of the
organisation.
BCP is an total enterprise project not
only a techies concern. Taking the
opportunity to exchange with others
colleagues leads to more understanding and better efficiency for the
whole organisation.
21
CAATs
rungen man eigentlich an die zu
CAATs
testenden Felder hat, da man sonst
Fraud Toolkit
interpretieren. In der Praxis hat sich
eventuell Mühe hat, das Ergebnis zu
dieser Test bei der Prüfung von
Zahlungsverkehrsdaten bewährt.
Ein Erfahrungsbericht
nen Ordner, in dem in gewohnter
Manier die geprüften Datenbestände
hinterlegt werden. Fraud Toolkit
des
wird als Batch-Fenster ausgeführt
(ACL)
und bietet eine Reihe von Pro-
schaut man natürlich ab und zu mal
grammen zum Start an. Hier kommt
in die Internetseite des Anbieters.
dann allerdings eine etwas un-
Dabei machte mich die Ankündigung
elegante Bedienung ins Spiel: wer
eines neuen Tools als Aufsatz auf
annimmt, es wäre eine der Pro-
das Standardtool recht neugierig. Mit
grammalternativen frei wählbar, wird
deutlichen Worten wurde auf die
schnell durch Fehler und Abbrüche
Benefits dieses neuen Tools hinge-
eines besseren belehrt. Die einzig
wiesen, der Fingerabdruck und die
sichere Auswahl ist die Auswahl
Formulierung ließen keinen Zweifel
„__Start“. Ohne Anstoß dieses Start-
daran, dass Fraud zukünftig keine
programms klappt die Bereitstellung
Chance mehr hat.
von Parametern nämlich nicht, und
Als
langjähriger
marktführenden
Anwender
CAAT
die eigentlich erwünschte AuswerObwohl man als Revisor schon zur
tung bricht mit Hinweis auf fehlende
skeptischen Beurteilung neigt, über-
Laufkomponenten ab.
zeugte mich die Darstellung der
verschiedenen Auswertungsmöglich-
Nachdem dieses Hindernis überwun-
keiten, und da eine Überarbeitung
den ist, kann mit den insgesamt acht
unseres ACL-Vertrags im Raume
verschiedenen Auswertungsmöglich-
stand, ließ sich das Tool recht
keiten gearbeitet werden. Anhand
günstig erwerben. Wie man mir von
der beiliegenden ausführlichen (eng-
Seiten des Vertriebs mitteilte, wäre
lischen) Beschreibung konnte man
ich einer der ersten Anwender in
sich in die Thematik gut einarbeiten;
Deutschland.
allein die Praxis bringt das richtige
Gefühl für die Möglichkeiten mit
Dies war dann auch zügig zu spüren.
sich. Zu den Auswertungen lässt sich
Während
Folgendes bemerken:
die
Installation
noch
einigermaßen reibungslos funktionierte, musste vor dem ersten Einsatz
„Completeness and Integrity“ ist ein
zunächst einmal das 1000er und
Kombinationstest, bei dem bis zu
Dezimal-Punkt bzw. Kommaprob-
vier Schlüsselfelder vorgegeben wer-
lem gelöst werden, da das Tool nicht
den können. In einem grafischen
als deutsche Version erhältlich war.
Output werden dann die Ergebnisse
pro Feld dargestellt. Vor der Anwen-
Dann konnte es losgehen, Fraud
dung dieses Tests sollte man sich
Toolkit eröffnet im ACL einen eige-
Gedanken machen, welche Anforde-
22
„Cross Tabulation“ ist eigentlich ein
reiner Sortieralgorithmus, der sich
aber in der praktischen Prüfung als
sehr nützlich erwiesen hat. Der
Grundgedanke ist eine Verbesserung
der Übersichtlichkeit eines Datenbestandes, indem gleichartige Werte,
die in Kolonnen angeordnet sind, zu
einer matrix-basierten Tabelle aufgelöst werden. Wer mit Entscheidungstabellentechnik
wird diese
vertraut
ist,
Auswertungsform zu
schätzen wissen. In der Praxis konnte
ich sie beim Abgleich von Kennziffern erfolgreich einsetzen.
„Duplicates“ nutzt im wesentlichen
die Möglichkeiten von ACL zur Prüfung auf doppelte Werte. Auch hier
können bis zu vier Felder vorgegeben werden, mit einem ergänzenden
Feld,
das
feste
Werte-
vorgaben ermöglicht. Damit ist der
Duplikattest
wirklich
bis
zum
äußersten ausreizbar, es sollte aber
auch hier sehr gut vorüberlegt werden, auf welche Feldkonstellationen
er sinnvoll angewendet werden kann.
„Gaps“ ist der bekannte Lückentest;
hier wird außer der grafischen Benutzerführung nicht allzuviel neues
geboten.
„Data Profile“ entspricht im wesentlichen dem gleichnamigen Test
aus ACL; es können im grafischen
Fenster aber einige durchaus sinnvolle Vorgaben durch anhaken bzw.
ausfüllen gemacht werden. Ergän-
CAATs
zend kann noch ein Zeichen-Feld mit
dings bezeichnend: „Ensure that you
hinzu gegeben werden, dass den
have a clean data file – no fraudulent
Häufigkeitstest ergänzt. Bei sinn-
transactions…“. Hier beißt sich die
voller Auswahl von Zeichen-/und
Katze m.E. in den Schwanz, denn
Ziffernfeld sind so prüferisch interes-
das Ermitteln solcher fraudulent
sante Auffälligkeiten ermittelbar.
transactions hat sich das Werkzeug
nun gerade selbst auf die Fahne
„Ratio Analysis“ ist ein aus zwei
geschrieben. Es wäre m.E. metho-
verschiedenen Ansätzen zusammen-
disch fatal, eine vermeintlich saubere
gestellter Plausibilitätstest. Der eine
Grundgesamtheit als Vorgabe heran-
Teil, eine Max/Max- bzw. Min/Max-
zuziehen – und damit im Ergebnis
Analyse, ist auf das Aufstöbern von
Abweichungen in der Prüfung, die
„Ausreißern“
unregelmäßigen Charakter haben, zu
ausgerichtet.
Der
andere – meiner Meinung nach inte-
sanktionieren.
ressantere – Teil ist eine mehr oder
weniger frei formulierbare 2-Felder
Fazit:
Plausibilitätsprüfung.
die
Der Anspruch, Fraud im Unter-
Kombination eines Zeichen-Feldes
nehmen mit diesem Tool aufdecken
mit zwei Ziffern-Feldern können –
zu können, ist sicherlich in der
sorgfältige Vorüberlegung voraus-
Praxis nicht einzuhalten. Wie jeder
gesetzt – problematische Vorgänge
mit etwas Prüfungserfahrung weiß,
aus größeren Datenmengen ausge-
gehört da einiges mehr dazu als das
filtert werden.
Selektieren von Datenbeständen. Das
Durch
Tool aber ist – losgelöst von seiner
Auch dieser Test hat sich schon bei
werblichen Darstellung – ein recht
der Prüfung von Zahlungsströmen
nützliches Hilfsmittel bei der Auf-
bewährt.
arbeitung von Datenbeständen, insbesondere wenn diese recht groß
„Benford’s Law“ ist meines Erach-
sind und die Ausprägung der Inhalte
tens der schwächste Teil der an-
nicht von vornherein offensichtlich
gebotenen
Analysemöglichkeiten.
ist. Der gewiefte ACL-Program-
Zwar wird in gewohnter Manier eine
mierer mag einwenden, das man die
schöne Benutzerführung aufgesetzt,
angebotenen Auswertung auch alle
das Programm verzichtet aber auf
mit der Kommandosprache selbst
eine gerade für diesen Test sinnvolle
erstellen könnte. Dem soll nicht
hochqualitative Aufbereitung. Der
widersprochen werden, wer jedoch
Benford-Test, der bereits im ACL-
dafür weder Zeit noch Kenntnis hat,
Standard integriert ist, erfüllt prak-
ist mit dem Fraud Toolkit gut
tisch die gleichen Wünsche, wobei er
bedient.
qualitativ m.E. nicht mit Werkzeugen wie dem von Prof. Nigrini
gelieferten DatasPro mithalten kann.
Von Michael Neuy, CISA
Die Alternativauswertung, der Benford Custom Test, soll eine bereits
bekannte
unternehmensspezifische
Verteilung zur Verprobung heranziehen. Die Voraussetzung ist aller23
The ISACA Crossword Puzzle
The ISACA Crossword Puzzle 4/03
Dieses Rätsel ist auf englisch und hat
mit dem Schwerpunktthema dieser
1
Nummer zu tun. Autor ist der Re-
14
daktor. Lösungen, Kommentare und
19
Reklamationen
sind
an
ihn
2
4
20
38
keeping evidence; 14 possessive
44
pronoun; 15 Roman two; 16 flag on
52
pole; 17 used in boats to scull or
57
29
30
66
give out; 33 left right (abb); 34 stout
cordage; 36 head gear of deer (pl);
37 familiar greeting; 38 the holy war
of the Moslems starts that way; 39
being served with no chance to
return; 40 is (fr); 42 unaccompanied;
44 occasion; 46 motor inventor; 49
double consonant; 51 gender; 52
prefix for half; 53 short for the first
working day of the week; 54
abbreviation of the country south of
the US; 55 noble equal (pl); 57 auto
plate from Turkey; 58 trading place
(2 words); 60 Southeast; 61 smell
badly;
62
this
chicken
looks
backwards; 63 beginning and end of
every reverend; 64 opposite of loss;
66 34 across lost its “o”; 68 auto
plate from western Switzerland; 69
and so forth (lat, abb); 70 leads the
zodiac;
71
spice;
73
positive
acknowledgement; 74 impel; 75 king
(it); 76 three feet; 78 type of clock
(fr); 81 employer; 83 in the morning;
84 if “thic” is added, it would initiate
the stone age; 85 consume (3 pers
sg); 87 flat stone; 89 short for
24
47
41
48
49
54
42
50
55
43
51
56
59
60
63
74
78
79
84
81
86
91
92
95
100
75
80
85
90
65
70
73
94
64
69
77
99
33
37
40
72
13
18
24
36
68
76
12
32
62
67
11
27
46
58
89
10
23
31
53
83
9
17
39
71
8
22
61
tower (span); 28 cheese town in the
Netherlands; 30 particular place; 32
35
45
steer; 19 first note in fr scale; 20
attack; 25 record; 26 bank clerk; 27
7
16
26
34
Across: 1 separate treatise; 7 book-
6
21
25
28
form of share (pl); 23 make; 24
5
15
zu
richten.
3
96
101
104
82
87
88
93
97
98
102
103
105
gentlemen; 91 British royal house;
contraction; 29 sits at the steering
92 unit; 94 a Japanese electronic
wheel; 31 horse meadow; 35 this
giant (y=i) – backwards; 95 river in
religious movement misses its head;
Italy; 96 participation (pl); 98 river
37 the fattest guy on the Ponderosa;
in the Grisons; 99 short for over the
38 provide acid humour at court (pl);
rail; 100 the “g” is missing in a
41 specified direction; 43 outlay;
synonym of adorn; 102 span article;
45 headless jewel; 47 one can turn it
103 not very good; 104 the region of
as one likes, there are two of them in
the wide plains in North America;
the human race; 48 this chancellor is
105 conveyance (pl).
the treasury minister in the UK (pl);
50 African desert; 53 means of
Down: 1 rodent; 2 it needs three to
payment; 55 wooden floor; 56
change sides in baseball; 3 short for
withdrawals; 59 white metal; 60
number; 4 seize; 5 be ill; 6 pedes-
range (span); 61 note in psalms; 65
trian (fr); 7 between mountains (fr);
auto plate from the Säntis region; 67
8 preposition; 9 get naked; 10 top
pecuniary settlement; 69 “typical”
boss; 11 human relations; 12 lions
suffix; 70 all good users (abb); 72
are said to do it; 13 command; 18
allowance for extra weight (pl); 77
transport company; 20 percussion
disk operating system; 79 nothing;
player; 21 your (fr); 22 exchange of
80
money against titles; 24 decay; 25
percentage charged (pl); 86 British
Chinese
knight; 88 value paper (pl); 90
religion;
27
spasmodic
shaving
soap;
82
tree;
83
The ISACA Crossword Puzzle
standard; 93 beverage (pl); 95 church
46 leis; 48 allein; 50 oede; 51 Muse; 52
bench; 97 wing (lat); 98 hearing
Psalm; 53 Ahle; 56 lang; 58 Rb; 59 TT;
organ; 100 place of repose without a
60 Dummheit; 65 ll; 67 Ra; 70 Elen; 71
sound; 101 form of to be; 103
Glitter; 72 Sihl; 74 Oase; 76 EP; 78 EC;
auxiliary verb.
80 En; 82 Streik; 83 Virus; 84 Reibe; 85
Tiara; 88 SU; 91 hohl; 94 Nen; 95 TSO;
96 RCB; 89 une; 100 es; 102 in; 103 GC.
Die Lösung liegt in den markierten
Feldern. Dieses Wort ist auf einer
Leider ging in der Übermittlung zum
Postkarte
M.F.
Druck die Markierung der Buch-
Bretscher, Oberrenggstrasse 8, 8135
zu
senden
an
staben des Lösungswortes verloren.
Langnau a/A. Lösungen werden auch
Etliche Löser erachteten diesen Feh-
entgegengenommen unter der e-
ler als Watson. Die US$ 50 werden
mail-Adresse
in den nächsten Jackpot vorgetragen.
mbretscher@kpmg.com.
Einsendeschluss ist der 27. Oktober
Bevor
die
Umlagerung
in
den
2003.
Watson Jackpot geschehen konnte,
hat Marina Müller aber diesen (US$
150 – in Worten einhundertfünfzig)
Lösung Crossword Puzzle
3/03:
Ausweichsanlage
gesprengt! Ihre Beobachtung, dass
das Kreuzworträtsel auf Deutsch ist,
das
Lösungswort
war
dagegen
Waagrecht: 1 Erdbeben; 8 Abt; 10
Englisch,
die
kursiv; 15 Ohr; 16 Berater; 17 Wanne;
„gepflanzte“ Unstimmigkeit.
auf
absichtlich
18 SE; 19 PET; 20 Salami; 22 Ger; 24
Neon; 26 (Swiss) Air; 28 bas; 29 Tiefs;
31 Mist; 32 Stromausfall; 36 Are; 37 Go;
38 Sensen; 39 SC; 41 ame; 43 MLE; 45
Molch; 47 Ea; 49 Kroki; 52 Psaw; 54
Ehe; 55 Ulli; 57 Erdrutsch; 60 Dior; 61
Elan; 62 Diebstahl; 63 (M)useu(m); 64
Ren; 65 leer; 66 Laerm; 68 NN; 69 Sigel;
72 SME; 73 amo; 75 BN; 76 Eselei; 79
de; 81 has; 83 verpflichten; 86 Este; 87
usine; 89 alt; 90 -lin; 91 hier; 92 nur; 93
Inlett; 96 rot; 97 EU; 99 Uebel; 101
Estrich; 103 Gin; 104 Tassen; 105 pro;
106 Anblicke.
Senkrecht: 1 Eos; 2 Rhenia; 3 Dr; 4 eben;
5 bet; 6 er; 7 Nadir; 8 aes!; 9 Brabant; 10
kam; 11 UNITA; 12 RN; 13 Segel; 14
Versicherung; 17 Wasserschaeden; 19
Potemkin; 21 Laus; 23 EF; 25 Esra; 26
Atomkriegsfall; 27 Rose; 30 Illo; 32 SG;
33 me; 34 F(a)n; 39 schoen; 40
Feuersbrunst; 42 er; 44 Lider; 45 MW;
25
DACH-News
CH:
DACH-News
D: Aktivitäten des German
Chapter
bereitung
der
Examensvorberei-
Nach dem CISA-Kurs neu
auch ein CISM-Kurs in der
Schweiz
tungskurse und ständigen Veröffentlichungen wie z.B. NewsLetter und
Ich freue mich ausserordentlich,
Nachdem die Sommerferien gerade
natürlich die KES auch der Stamm-
Ihnen neben der seit bereits 11
überstanden sind, stellt sich nun die
tisch in Frankfurt oder Diskussionen
Jahren vom Switzerland Chapter
Frage, was wir eigentlich in den
über weitere Messepräsenzen. Somit
angebotenen
letzten zwei Monaten so vollbracht
ist leicht zu erkennen, dass auch in
Certified
haben? Natürlich gibt es nicht viel zu
einer Zeit, in der kein großes Thema
Auditor (CISA) neu den Vertiefungs-
berichten, da im Sommer bekannt-
hinzugekommen ist, eine Menge hin-
und Prüfungsvorbereitungskurs zum
lich relativ wenig passiert, aber
ter den Kulissen passiert.
Certified
einige kleinere Dinge haben sich
natürlich trotzdem ereignet.
Ausbildung
Information
Information
zum
System
Security
Manager (CISM) vorzustellen.
Nun noch einmal ein Aufruf an alle
Mitglieder, den NewsLetter mit Arti-
Der Certified Information System
Auditor (CISA) wurde von ISACA
Dazu zählen die beiden Examen zum
keln aus dem German Chapter noch
CISA und CISM, die wie immer
interessanter
Mitte Juni angeboten und absolviert
machen. Wer näheres zur Veröffent-
worden sind. Der CISM fand dieses
lichung von Artikeln im NewsLetter
Jahr erstmalig statt und Erfahrungen
wissen möchte, kann sich gern an
hierzu sind bisher noch spärlich
Ingo Struckmeyer wenden.
dürfnisse angepasste Prüfung abge-
es aber auch in Deutschland in 2003
Da der Flyer zur Masterclass IT-
Certified
geben. Hierzu zählen sowohl die-
Revision leider ohne den expliziten
jenigen, die bereits über die Grand-
Zusatz eines 10 prozentigen Rabattes
father Regelung ihre Anerkennung
für
als CISM erhalten haben, sowie auch
worden ist, möchte ich hier nochmals
diejenigen, die die Prüfung zum
darauf hinweisen. Dieser Rabatt steht
CISM
jedem
und
spannender zu
absolviert
und
bestanden
haben.
ISACA-Mitglied
Seither haben weltweit rund 30 000
Personen diese anspruchsvolle und
immer wieder an die aktuellen Belegt. Seit 2002 bietet die ISACA den
gesät. Erste CISMs gibt es und wird
ISACA-Mitglieder
bereits 1977 ins Leben gerufen.
verschickt
uneinge-
schränkt für diese Veranstaltung zu.
Bei Problemen bitte ich Sie, sich an
Information
Security
Manager (CISM) an. An der diesjährigen,
erstmals
durchgeführten
Prüfung haben weltweit bereits 260
Personen teilgenommen. Es ist zu
erwarten, dass das neue CISM-Zertifikat relativ schnell eine ähnliche
Bedeutung wie das CISA-Zertifikat
erlangen wird, da die Anforderungen
Ingo Struckmeyer zu wenden.
an die verlangte Berufspraxis im
23. August in Frankfurt am Main
Abschließend wünsche ich allen Mit-
hoch sind und auch dieses Berufsbild
zusammengefunden und Themen der
gliedern ein erfolgreiches zweites
Vergangenheit wie z.B. CISA/CISM
Halbjahr 2003 und beteiligen Sie
Examen sowie auch Mitglieder-
sich bitte rege an der Vereinsarbeit
wachstum, aber auch Themen für das
Ihres ISACA.
Auch der Vorstand des German
Chapter hat sich wieder einmal am
zweite Halbjahr 2003 besprochen.
Jahren angestoßen worden sind, gibt
es natürlich viele laufende Dinge
ständig zu bearbeiten. Hierzu gehören neben der Vor- und Nach26
laufend den Entwicklungen in der
Wirtschaft sowie den Bedürfnissen
des Marktes angepasst wird.
Die beiden Berufsbilder im
Aufgrund der vielen dauerhaften
Themen, die in den letzten zwei
Bereich des Sicherheitsmanagements
Ingo Struckmeyer
Überblick
Mit dem CISA-Zertifikat erwirbt
man einen Leistungsausweis in den
Bereichen Revision, Kontrolle und
DACH-News
Sicherheit von Informationssyste-
vor, deren Bestehen die Grundlage
Entscheidungshilfe zu CISA
men. CISA strukturiert das Berufs-
für eine Zertifizierung als CISA/
oder CISM
bild in 30 Tasks (Aufgaben) und 135
CISM darstellen. Ebenso sind die
Knowledge Statements (Aussagen
Kurse keine Vorbedingung für die
Sollten Sie sich nicht sicher sein,
zum benötigten Fachwissen). Da die
Teilnahme an einer der beiden Prü-
welcher Kurs Ihnen mehr entspricht,
Task Statements auch auf die je-
fungen im Juni 2004. Übrigens ist es
kreuzen Sie bitte bei den für Sie
weiligen COBIT-Prozesse referen-
durchaus möglich, die Prüfungen
zutreffenden Aussagen alle vorhan-
ziert sind, wird COBIT de facto zu
bereits im Jahr 2004 zu bestehen und
dene Kästchen an. Am Schluss
einem integrierenden Bestandteil der
die geforderte Berufspraxis erst in
zählen Sie pro Spalte die ange-
CISA-Ausbildung und -Zertifizie-
den anschliessenden 5 Jahren zu
kreuzten Kästchen zusammen und
rung. Das CISA-Berufsbild wurde
erwerben.
erhalten damit einen Hinweis zur
2000 letztmals aktualisiert und umCISA
fasst sieben Areas.
Mit dem CISM-Zertifikat erwirbt
man
einen
Leistungsausweis
im
Management der Informationssicherheit, also in Bereichen wie Risikoanalysen,
Risikomanagement,
Si-
cherheitsstrategien, Sicherheitsorganisation usw. Das CISM-Berufsbild
wurde Ende 2002 erstmals veröffentlicht und umfasst fünf Areas,
36 Tasks (Aufgaben) und 74 Knowledge Statements (Aussagen zum
benötigten Fachwissen).
Vertiefungskurse und die
Ich arbeite als Informatik-Prüfer in der internen oder
externen Informatikrevision oder möchte dort arbeiten.
Ich bin innerhalb der Informatik verantwortlich für einen
Teilbereich und interessiert, diesen Bereich wirklich in den
Griff zu bekommen.
Ich bin verantwortlich für IT-Governance oder Compliance
oder in diesem Umfeld tätig.
Beide Vertiefungskurse sind offen
Ich möchte eine Management-Funktion in der Informatik
übernehmen.
und Sicherheit von Informationssystemen (CISA)
n Management der Informationssicherheit (CISM)
Die Kursteilnahme stellt keine Verpflichtung zum Ablegen einer Prüfung dar. Beide Kurse vermitteln und
vertiefen theoretisches wie praktisches Fachwissen in den jeweiligen
Wissensgebieten; bereiten aber auch
intensiv auf die von ISACA organisierten
¨
¨
¨
Ich bin interessiert, innerhalb meines Verantwortungsbereichs die Informations-Risiken wirklich in den Griff zu
bekommen.
Ich bin verantwortlich für Riskmanagement oder in diesem
Umfeld tätig.
n Governance, Revision, Kontrolle
¨
Ich bin verantwortlich für die IT-Sicherheit (Informationssicherheit) oder bin involviert in entsprechenden Projekten.
ISACA Zertifizierung
für alle, die Interesse haben an
¨
Ich arbeite als interner Sicherheitsbeauftragter oder als
externer Sicherheitsberater oder möchte dort arbeiten.
Ich bin verantwortlich für die Informatikrevision oder bin
involviert in der Planung von Revisionsmandaten.
¨
¨
¨
¨
Ich möchte eine Management-Funktion im (IT) Security
Office oder (IT) Security Engineering übernehmen.
¨
Ich interessiere mich sehr für viele Gebiete der
Informationstechnologie.
¨
Ich interessiere mich sehr für Sicherheitsfragen jeglicher Art.
¨
Ich habe bereits einige Jahre Erfahrung in der Informatik.
¨
¨
Ich habe grosses Interesse an ISO 17799 und anderen
Sicherheits-Standards.
Total
¨
¨
Ich habe eher wenig Erfahrung in der Informatik.
Ich habe grosses Interesse an COBIT und anderen
Governance-Standards.
CISM
¨
Punkte
CISA
Punkte
CISM
CISA-/CISM-Prüfungen
27
DACH-News
Kursauswahl. In der Regel sollten
nen zu den Kursen sowie zu admi-
Sie den Kurs mit dem höchsten Total
nistrativen Aspekten erhalten Sie bei:
EUROCACS 2004 in der
Schweiz
ITACS Training AG, Konradstrasse 1,
Reservieren Sie die Daten 21.–24.
8005 Zürich
März 2004 in Zürich.
besuchen.
Zeitaufwand
Tel: 01 440 33 64, Fax: 01 440 33 61
Web: www.itacs.ch,
CISA-Kurs
Gesucht
Mail: info@itacs.ch
Der Kurs umfasst in 2 Semestern
vom 31.10.2003 bis 25.5.2004 ins-
Wenn Sie sich nicht im Klaren sind,
gesamt 17 Kurstage. Für das zwin-
ob Sie die Voraussetzungen für einen
gend
Selbststudium
bestimmten Kurs mitbringen, oder
muss mit einem zusätzlichen Auf-
wenn Sie sich nicht zwischen dem
wand von 30–50 Tagen gerechnet
CISA- und dem CISM-Kurs ent-
werden.
scheiden können, wenden Sie sich
notwendige
doch
CISM-Kurs
bitte
per
Mail
an
mich
30 Volunteers für den
On-Site-Support an der
EUROCACS 2004
21. – 24. März 2004
Volunteers melden sich bitte
bei thomas.bucher@eycom.ch
(prb@bitterli-consulting.ch).
Der Kurs umfasst in 2 Semestern
vom 17.11.2003 bis 19.5.2004 insgesamt 14 Kurstage. Für das zwin-
Peter R. Bitterli, ISACA Switzerland
gend
Chapter, Verantwortlicher für Aus-
notwendige
Selbststudium
muss mit einem zusätzlichen Auf-
/Weiterbildung
Weiterbildung in Afterhour-Seminaren
Informationen und
Ort: Nähe Zürich Hauptbahnhof
(Näheres folgt auf Anmeldung)
Alle Mitglieder von ISACA, Clusis
Zeit 16:30 – 17:30 Uhr
und SI-Fachgruppe sowie bereits
Anmeldung:
bekannte Interessenten haben in den
Chapter, Kurssekretariat, c/o Bitterli
letzten Tagen per Post eine Zusam-
Consulting AG, Konradstr. 1, 8005
menstellung der aktuellen ISACA-
Zürich, Fax 01 440 33 61.
ISACA
Switzerland
Kursangebote erhalten. Darin enthalten sind jeweils detaillierte Kurs-
Daten:
broschüren mit Anmeldetalon für
24. September 2003:
den CISA- sowie den CISM-Kurs.
IT Security Awareness von A bis Z
Weitere Kursbroschüren können Sie
29. Oktober 2003:
bei kurse@isaca.ch bestellen.
IT Performance Measurement
26. November 2003:
beide durchgeführt von ITACS Training AG und dem ISACA Switzerland Chapter. Alle weiteren Details
entnehmen Sie bitte den aktuellen
Kursbroschüren. Weitere Informatio28
Mitarbeit
in
ISACA-Komitees
werden.
CISA- und CISM-Kurs 2004 werden
Urs Fischer hat die Nominationen für
die
wand von 25–40 Tagen gerechnet
Kursanmeldung
Herzliche Gratulation!
Federated Identity Management
internationalen
akzeptiert.
Wir
lesen:
“Greetings,
As a membership-based organization, ISACA is dependent on the
quality and qnatity of the contribution made by a large number of
volunteers. In preparation of each
new administrative year, the “Call
for Key Board and Committees
Volunteers” is sent to the general
membership soliciting their applications to serve on the Association/
ITGI key boards and committees.
Based on these applications and
recommendations from the Boards of
Directors/Trustees,
Chairs,
and
Key
Board
appropriate
Chapter
Presidents, the composition of each
key board and committee is finalized
and a balance sought between con-
DACH-News
tinuity of membership and the need
L’objectif de ce groupe de discussion
Urs Fischer hält ein Einführungs-
for new vitality.
lié aux « Computer Forensics », est
referat
de fournir un forum d’intérêt et
Governance und stellt die neuesten
It is with great pleasure that Marios
d’information sur les méthodologies
Entwicklungen von ISACA/ISACF
Damianides 2003-04 International
et les outils de ce qu’on appelle
vor. Anschliessend Bildung der IG.
President, invites you (Urs Fischer)
communément en français « Assis-
to serve on the IT Control Practices
tance informatico-légale » Ce forum
Anmeldung bis 27. Oktober 2003 an
Committee as well as for the Journal
offre la possibilité de partager des
Rolf Merz.
Editorial Committee for the up-
idées, des technologies, des outils et
coming administrative year. In order
certainement aussi des notions juri-
for us to formalize your appointment,
diques de ce domaine en constante
please signify your willingness to
évolution. Ce groupe de discussion
serve by replying…”
abordera également des discussions
Leitung a.i.:
techniques et procédurales sur les
Rolf Merz
prérequis en matière de recherche de
Ernst & Young AG
preuves informatiques. Même si les
Brunnhofweg 37
participants doivent être familiers
Postfach 5032
avec la recherche, l’acquisition et
3001 Bern
l’analyse de preuves informatiques,
Tel. +41 58 286 66 79
tous les intéressés de tout niveau de
Fax. +41 58 286 68 27
connaissance sont les bienvenus.
rolf.merz@eycom.ch
n IG Continuous Auditing
IG Einführung von IT
IG Romandie
n IG e-security (z.B. Attack and
Governance
News aus den
Interessengruppen
Neue Interessengruppen
Wir planen, neue Interessengruppen
zur
Einführung
von
IT
IG e-business
zu gründen. Als mögliche Themen
sind vorgeschlagen:
Penetration,
e-defense,
Vacant : touts personnes intéressées
e-security
Architecture)
Leitung a.i.:
à participer ou animer un groupe de
n IG Archivierung (Aktualisierung
Rolf Merz
travail ou tous ceux qui aimeraient
der Arbeiten der ehemaligen IG
Ernst & Young AG
proposer un thème de réflexion
Aufbewahrung)
Brunnhofweg 37
peuvent s’annoncer auprès de M.
n IG ??? Anregungen für weitere
Postfach 5032
Paul Wang.
IGs nimmt Rolf Merz gerne ent-
3001 Bern
paul.wang@ch.pwcglobal.com
gegen.
Tel. +41 58 286 66 79
Fax. +41 58 286 68 27
rolf.merz@eycom.ch
IG Outsourcing/ Insourcing
Die ehemalige IG Anwendung von
Ueli Engler
COBIT wird mit einer angepassten
KPMG Fides Peat
Zielsetzung reaktiviert.
Badenerstrasse 172
IG Computer Forensics
Nouveau!
Paul Wang
8004 Zürich
PricewaterhouseCoopers
Avenue Giuseppe-Motta 50
Kick-off-Sitzung:
Tel. +41 1 249 26 16
1211 Geneva 2
Freitag, 31. Oktober 2003, 09.00 –
uengler@kpmg.com
Tel. +41 22 748 5601
12.00 Uhr, Ernst & Young AG,
Fax. +41 22 748 5354
Bleicherweg 21, 8022 Zürich
Mobile: +41 79 220 5407
5. Stock, Sitzungszimmer Sydney/
Paul.Wang@ch.pwc.com
Tokio
29
DACH-News
Nächste Sitzung: Offen. Interessen-
durch ISACA CH auf deren Home-
ten melden sich bei Ueli Engler.
page öffentlich zugänglich gemacht
IG SAP R/3
werden.
Monika E. Galli Mead
Mögliche Themen:
n Weiteres Vorgehen: Die IG ist
Eidg. Finanzkontrolle
Kontiniuität des Insourcers, Ab-
der Auffassung, dass sich ein DWH-
Monbijourstrasse 51a
hängigkeit vom Insourcer (Konkurs),
Projekt von einem normalen Projekt
3003 Bern
Überarbeitetes Rundschreiben EBK,
unter
unter-
Tel. +41 31 324 9495
Fernwartung, etc.
scheidet. Deshalb soll für folgende
Fax. +41 31 323 1101
Themen ein Fact Sheet mit den
monika.galli@efk.admin.ch
diversen
Aspekten
Geplant sind Herbstgespräche zum
wesentlichen Punkten (Problemstel-
Thema „Grounding“ eines IT Service
lung und Prüfungsansätze) von den
Letzte Sitzung: Donnerstag, 14. No-
Providers mit ausgewählten Ge-
einzelnen Mitgliedern der IG erstellt
vember 2002, bei PWC, Zürich
sprächspartnern aus den Bereichen
werden. Diese Themen werden dann
Traktanden:
Legal, Service Provider, Industrie
von der IG MIS/EIS bearbeitet:
n ACL/Berechtigungen wie prüfen
und Financial Services.
n Projekt Management und Projekt
(Hr. Appl., SNB)
Abwicklung
n Qualitätsprüfungskonzept
n Datenschutz
IG MIS/EIS/DWH
und
sonstige
SAP (Hr. B. Bolli, CCSAP BAIT)
n Im SAP das Risk Assessment
Regulatoren
n Change
im
and
Configuration
Tool RAT einsetzen (Hr. A. Hilsbos,
Leitung:
Management
PWC)
Daniel Oser
n Berechtigungen
n Neues vom Jahresmeeting SAP-
Ernst & Young AG
n Disaster Recovery Planning
AK’s (H.J. Stritter, EDV-AuditConsult)
Badenerstrasse 47
Postfach 5272
Nächste Sitzung: Mi, 15. Oktober
n Übertragung von SAP Walldorf
8022 Zürich
2003,
(M. Galli)
Tel. +41 58 286 34 39
Bleicherweg 5. Stock
n SAP und AIS AUDITool News,
Fax. +41 58 286 32 76
Für Informationen wenden Sie sich
Erfahrungen und Tipps (alle)
daniel.oser@eycom.ch
bitte an Daniel Oser. Weitere Mit-
Die für 21. Mai 2003 geplante
glieder sind stets herzlich will-
Sitzung ist ausgefallen und wird auf
kommen!
13. November 2003 verschoben.
Letzte Sitzung: Die letzte Sitzung
09:15
bei
E&Y
Zürich,
fand am 6. Juni 2003 bei Ernst &
Young in Zürich statt. Folgende The-
Nächste Sitzungen: Donnerstag, 13.
men wurden besprochen:
November 2003. Ort wird noch be-
n Referenzmodell Data Load: Das
kannt gegeben
Referenzmodell
Voraussichtliche Themen:
wurde
von
H.
Stauffer nochmals kurz überarbeitet.
n Enterprise oder die neue Archi-
Für das weitere Vorgehen siehe unter
tektur der SAP
Risk Matrix.
n Berechtigungskonzept BV
n Risk Matrix: Sie wurde von M.
n Java und ABAP
Maes und H. Stauffer reviewed. Die
n Erfahrungen und News
Matrix wurde nun bis zum Schritt
Reporting als erstes Ergebnis der IG
MIS/EIS verabschiedet.
n Publikation Ergebnisse: Die Risk
Matrix soll zusammen mit dem Data
Load Modell, dem Glossar und der
Literaturliste nach einem Review
30
Veranstaltungen
Veranstaltungen
Cryptography, Fundamentals and Applications
6.–9. Oktober 2003
Advanced Technology Seminars, 4
Tage, Engelberg
Corporate Governance in Europe
13.–15. Oktober 2003
London, 3 Tage, MIS
Symposium on Privacy and Security
21./22. Oktober 2003
Zürich, 2. Tage, SPS
ITIL Foundation Training (inkl. Zertifizierung)
22.–24. Oktober 2003
Zürich, 3 Tage, ISACA CH/glenfis
Anti-Hacking – Denken und Arbeiten wie ein Hacker
23./24. Oktober 2003
Zug, 2 Tage, InfoGuard
Implementing COBIT for IT Governance
29./30. Oktober 2003
London, 2 Tage, ISACA UK
CISA Vertiefungskurs
31. Oktober 2003 – 24. Mai 2004 bzw.
10 November 2003 – 25. Mai 2004
Zürich, 17 Tage, ISACA CH/itacs
BS 7799 BSI-zertifizierter Lead Auditor
3.–7. November 2003
Zug, 5 Tage, InfoGuard AG
Internet Security Lab
5.–7. November 2003
Zürich, 3 Tage, ISACA CH
Fundamentals of Enterprise Network Security
10.–12. November 2003
London, 3 Tage, MIS
Sicherheits-Fachkongress
11.–14. November 2003
Zürich, 4 Tage, Mediasec
Application Security Lab
12.–14. November 2003
Zürich, 3 Tage, ISACA CH
CISM Vertiefungskurs
17. November 2003 – 19. Mai 2004
Zürich, 14 Tage, ISACA CH/itacs
Network Security Conference
17.–19. November 2003
Milano, 3 Tage, ISACA INTL
Windows 2003 Server-Sicherheit
20./21. November 2003
Bern, 2 Tage, Infosec
Mobile & Wireless Security
24.–27. November 2003
Dublin, 4 Tage, MIS
IT-Sicherheitberater, Intensivkurs
1.–5. Dezember 2003
Bern, 5 Tage, Infosec
Forensic Investigation – Beweismittelsicherung
26.–28. Januar 2004
Ort, 3 Tage,
ISACA CH/adverum ag/CMC
31
Veranstaltungen
Kontaktadressen
Veranstalter
Hochschule für Technik Rapperswil
Marcus Evans
Institut für Internet Technologien
Weteringschans 109
und Anwendungen
1017 SB, Amsterdam
Der NewsLetter empfiehlt folgende
Oberseestrasse 10
The Netherlands
Veranstalter
8640 Rapperwil
Tel. +31 20 531 28 13
Tel. +41 55 222 41 11
Fax. +31 20 428 96 24
Fax. +41 55 222 44 00
www.marcusevansnl.com
(weitere
Kurse
und
Unterlagen direkt anfordern):
AFAI
office@hsr.ch
MIS Training Institute
Tel. +33 1 55 62 12 22
afai@afai.asso.fr
IIR-Akademie
Nestor House
www.afai.asso.fr
Ohmstr. 59
Playhouse Yard P.O. Box 21
D-60468 Frankfurt/Main
GB-London EC4V 5EX
advanced technology seminars
Tel. +49 69 7137 69-0
Tel. +44 171 779 8944
Grundgasse 13
Fax. +49 69 7137 69-69
Fax. +44 171 779 8293
CH-9500 Wil
iir.academie@iir-ev.de
www.misti.com
Fax. +41 71 911 99 16
InfoGuard AG
MediaSec AG
Maurer@inf.ethz.ch
Feldstrasse 1
Tägernstrasse 1
CH-6300 Zug
8127 Forch/Zürich
Datenschutzbeauftragter des Kantons
Tel. +41 41 749 19 00
Tel. +41 1 360 70 70
Zürich
Fax +41 41 749 19 10
Fax. +41 1 360 77 77
IT-Sicherheitsberatung und
www.infosec.com
it@mediasec.ch
Andrea Carlo Mazzocco, CISA
Integralis GmbH
Secorvo Security Consulting GmbH
Kurvenstrasse 31
Gutenbergstr. 1
Secorvo College
CH-8090 Zürich
D-85737 Ismaning
Albert-Nestler-Strasse 9
Tel. +49 1 259 46 08
Tel. +49 89 94573 447
D-76131 Karlsruhe
Fax. +49 1 259 51 38
Fax +49 89 94573 199 fx
Tel. +49 721 6105-500
andreacarlo.mazzocco@dsb.zh.ch
schulung@integralis.de
Fax +49 721 6105-455
Tel. +41 71 911 99 15
-Revision
info@secorvo.de
www.datenschutz.ch
ISACA CH
www.secorvo.de
e-tec Security
Kurssekretariat
PO Box 54
c/o. Bitterli Consulting AG
Treuhand-Kammer
Wilmslow Chesire SK9 6FU
Konradstr. 1
Jungholzstrasse 43
United Kingdom
8005 Zürich
Postfach
info@a-tecsecurity.com
Tel. +41 1 440 33 60
CH-8050 Zürich
Fax. +41 1 440 33 61
Tel. +41 1 305 38 60
kurse@isaca.ch
Fax. + 41 1 305 38 61
D-40235 Düsseldorf
ISACA USA
ZfU Zentrum für
Tel. +49 211 96 86 300
3701 Algonquin Rd #1010
Unternehmensführung AG
Fax. +49 211 96 86 509
USA_Rolling Meadows IL 60008
Im Park 4
info@euroforum.com
Tel. +1 847 253 15 45
CH-8800 Thalwil
Fax. +1 847 253 14 43
Tel. +41 1 720 88 88
www.isaca.org
Fax. +41 720 08 88
Euroform Deutschland GmbH
Hans-Günther-Sohl-Strasse 7
info@zfu.c
32
Germany Chapter
Germany Chapter
Vereinsadressen
Public Relations
Heinrich Geis
Geschäftsstelle
Deutsche Börse AG
ISACA e.V., German Chapter
Neue Börsenstrasse 1
Eichenstr. 7
D-60487 Frankfurt
D-46535 Dinslaken
Tel. +49 692 101 5149
Tel. +49 2064 733191
Fax. +49 692 101 4396
Fax. +49 2064 733192
heinrich.geis@deutsche-boerse.com
isaca.dinslaken@t-online.de
Arbeitskreise und Facharbeit
Präsidentin
Bernd Wojtyna
Karin Thelemann
WLSGV-Prüfungsstelle
Ernst & Young AG
Regina-Portmann-Strasse 1
Wirtschaftsprüfungsgesellschaft
D-48159 Münster/Westfalen
Mergenthalerallee 10–12
Tel. +49 251 288 4253 oder
65760 Eschborn/Frankfurt am Main
+49 251 210 4539
Tel. +49 6196 99626 488
bernd_wojtyna@gmx.net
Fax. +49 6196 99626 449
karin.thelemann@de.ey.com
Publikationen
Ingo Struckmeyer
Konferenzen
comdirect bank AG
Markus Gaulke
Internal Audit
Pascalkehre 15
25451 Quickborn
Tel. +49 4106 704 1233
Mitgliederverwaltung und
Fax. +49 4106 704 1990
Kassenwart
ingo.struckmeyer@comdirect.de
Norbert Gröning
PwC Deutsche Revision AG
CISA-Koordinator
Friedrich-List-Str. 20
Michael M. Schneider
D-45128 Essen
Deloitte & Touche
Tel. +49 201 438 0
Schumannstraße 27
Fax. +49 201 438 1000
60325 Frankfurt am Main
Norbert.Groening@
Tel. +49-69 75606 121
de.pwcglobal.com
Fax. +49-69 75695 84448
michaelschneider@deloitte.de
33
Austria Chapter
Austria Chapter
Vereinsadressen
Kassier
Mag. Helmut Zodl
Vorsitzender (Präsident)
IBM Österreich
Ing. Mag. Dr. Michael Schirmbrand,
Obere Donaustraße 95
CIA, WP, StB
1020 Wien
Europa Treuhand Ernst & Young
Tel: +43 1 21145-0
Praterstraße 23
helmut_zodl@at.ibm.com
1020 Wien
Tel: +43 1 211 70-2831
CISA-Koordinator
michael.schirmbrand@at.eyi.com
Mag. Maria Rieder
Münze Österreich AG
Stellvertretender Vorsitzender I
Am Heumarkt 1
(Vizepräsident I)
1010 Wien
Dipl.-Ing. Maria-Theresia Stadler,
Tel: +43 1 71715-0
Österreichische Kontrollbank
maria.rieder@aon.at
Aktiengesellschaft
Strauchgasse 1–3
Public Relations/Newsletter-
1010 Wien
Koordination
Tel: +43 1 531 27-857
Rolf von Rössing
maria-theresia.stadler@oekb.co.at
MA, D.E.s.s, CBCP, MBCI
Europa Treuhand Ernst & Young
Stellvertretender Vorsitzender II
Praterstraße 23
(Vizepräsident II)
1020 Wien
Mag. Josef Renner, StB
Tel: +43 1 211 70-2812
GRT Price Waterhouse
dk@cos-ag.de
Prinz-Eugen-Straße 72
1040 Wien
E-Mail ISACA Austria Chapter:
Tel: +43 1 50188-0
office@isaca.at
Homepage ISACA Austria Chapter:
Sekretär
Mag. Gunther Reimoser, CISA
Europa Treuhand Ernst & Young
Praterstraße 23
1020 Wien
Tel: +43 1 21170-4113
gunther.reimoser@at.eyi.com
34
www.isaca.at
Switzerland Chapter
Switzerland Chapter
Vereinsadressen
CISA/CISM-Koordinator
Marketing
Thomas Bucher
Bruno Wiederkehr
Präsidentin
Ernst & Young AG
Rigistrasse 3
Daniela S. Gschwend
Postfach
CH-8703 Erlenbach
Swiss Re
8022 Zürich
bru.wiederkehr@bluewin.ch
Mythenquai 50/60
Tel. +41 58 286 42 90
8022 Zürich
Fax. +41 58 286 40 14
Homepage ISACA Switzerland
Tel. +41 43 285 69 36
thomas.bucher@eycom.ch
Chapter: www.isaca.ch
Fax. +41 43 285 33 69
daniela_gschwend@swissre.com
Sekretär
c/o Präsidentin
Vizepräsident
Michel Huissoud, CISA, CIA
Information & Kommunikation
Eidg. Finanzkontrolle/
Monika Josi
Contrôle fédéral des finances
Novartis Animal Health
Monbijoustr. 45
Global Information Technology
3003 Bern
WRO-1032.1.90
Tel. +41 31 323 10 35
4022 Basel
Fax. +41 31 323 11 00
Tel. +41 61 697 72 41
Michel.Huissoud@efk.admin.ch
Fax. +41 61 697 78 44
monika.josi@ah.novartis.com
Kassier
Adressmutationen bitte hier melden.
Pierre A. Ecoeur, CISA
Thurgauer Kantonalbank
Koordinator Interessengruppen
Bankplatz 1
Rolf Merz
8570 Weinfelden
Ernst & Young AG
Tel. +41 71 626 64 61
Brunnhofweg 37
Fax. +41 71 626 63 60
Postfach 5032
pierre-alain.ecoeur@tkb.ch
3001 Bern
Tel. +41 58 286 66 79
Ausbildung/Kurssekretariat
Fax. +41 58 286 68 27
Peter R. Bitterli, CISA
Rolf.Merz@eycom.ch
Bitterli Consulting AG
Konradstr. 1
Représentant Suisse Romande
8005 Zürich
Paul Wang
Tel. +41 1 440 33 60
PricewaterhouseCoopers
Fax. +41 1 440 33 61
Avenue Giuseppe Motta 50
prb@bitterli-consulting.ch
1211 Genève 2
Tel. +41 22 748 56 01
Fax. +41 22 748 53 54
paul.wang@ch.pwcglobal.com
35