Veröffentlichungen

Cyberkriminalität ist eine kriminelle Aktivität, die entweder auf einen Computer, ein Computernetzwerk oder ein vernetztes Gerät abzielt oder dieses verwendet. Meistens, aber nicht immer, wird Cyberkriminalität von Cyberkriminellen oder Hackern begangen, die damit Geld verdienen wollen. Cyberkriminalität wird von Einzelpersonen, staatlich geförderten Organisationen oder von kriminellen Organisationen durchgeführt. Einige Cyberkriminelle sind untereinander organisiert, verwenden fortschrittlichste Techniken und sind technisch sehr versiert. Andere sind eher unerfahrene Hacker. Selten zielt Cyberkriminalität darauf ab, Computer aus anderen Gründen als dem Profit zu infiltrieren. Neben persönlichen können politische Motive ursächlich sein.

 

Welche Arten von Cyberkriminalität gibt es?

Hier einige Beispiele für die verschiedenen Arten von Cyberkriminalität:

  • E-Mail- und Internetbetrug
  • Identitätsdiebstahl (bei denen gestohlene personenbezogene Daten missbräuchlich verwendet werden)
  • Diebstahl von Finanz- oder Kartenzahlungsdaten
  • Diebstahl und anschließender Verkauf von Unternehmensdaten
  • Cybererpressung (Geld wird erpresst, ansonsten erfolgt ein Angriff)
  • Ransomware Angriffe (Daten werden verschlüsselt und nur gegen Bezahlung wieder freigegeben)
  • Crypto Jacking (Hacker schürfen Kryptowährung mit Ressourcen, die ihnen nicht gehören)
  • Cyberspionage (Hacker greifen auf Regierungs- oder Unternehmensdaten zu).

 

Cyberkriminalität fällt oftmals in zwei Hauptkategorien:

  • Kriminelle Aktivitäten, die auf Computer abzielen
  • Kriminelle Aktivitäten, die Computer verwenden, um andere Verbrechen zu begehen.

 

 

Cyberkriminalität, die auf einen Computer abzielt, nutzt oft Viren und andere Arten von Malware. Cyberkriminelle können Computer mit Viren und Malware infizieren, um Geräte zu beschädigen oder deren Funktionsweise zu stoppen. Sie können auch Malware verwenden, um Daten zu löschen oder zu stehlen.

 

Wie gehen Cyberkriminelle häufig vor?

Hier ist eine Beschreibung der häufigsten Angriffe, die Systeme und Netzwerke jeden Tag treffen.

 

Identitätsdiebstahl

Auch bekannt als Identitätsbetrug, ist eines der schlimmsten Szenarien, die einem Opfer von Cyberkriminalität widerfahren kann. Es beginnt damit, dass jemand Ihre Identität stiehlt und es digitalen Kriminellen ermöglicht, Ihre Daten wie Namen, Führerschein, Sozialversicherungsinformationen und mehr zu verwenden, um Internetbetrug zu begehen, Eigentum zu stehlen, Waren zu missbrauchen oder Dienstleistungen in Ihrem Namen zu nutzen.

 

Botnets

Das Wort „Botnet“ leitet sich aus „Bot“ und „Netzwerk“ ab und bezieht sich auf eine große Anzahl von kontrollierten Computern (Bots), die über ein Netzwerk (Internet) verbunden sind. Diese Botnets werden verwendet, um bösartige Dateien und Software zu verbreiten, andere Systeme zu infizieren, Angriffe zu starten, Daten zu stehlen, Spam-Kampagnen zu senden und vieles mehr.

 

Cyberstalking

Cyberstalking ist eine Form des Cybermobbings, bei der eine Person versucht, andere Personen zu bedrohen oder zu belästigen, indem sie Computersysteme verwendet, die mit dem Internet verbunden sind. Die meisten Cyberstalking-Fälle beinhalten die Verwendung anonymer Kommunikationssysteme wie E-Mail, soziale Netzwerke, Instant-Messaging-Anwendungen usw.; alles, was auf Anonymität angewiesen ist, um die wahre Identität des Cyberstalkers zu verschleiern.

Sozial Engineering

Sozial Engineering ist eine der klassischsten Arten von Cyberangriffen, die gegen Einzelpersonen oder Organisationen gestartet werden können. Es geht darum, Menschen zu manipulieren, um wertvolle Informationen zu erhalten, die später verwendet werden können, um sich illegal in private geschützte Systeme oder Netzwerke einzuloggen. Die Hauptmotivation hinter Sozial Engineering besteht oft darin, Geld, Finanzdaten (wie Bankkonto oder Kreditkarteninformationen) und andere sensible Informationen von einem Unternehmen oder Kunden zu stehlen.

 

Flood Attacke

Zu den sog. Flutangriffen gehören DoS und DDOS Angriffe. Sie werden normalerweise von Botnets gestartet, die auf Ihre Domainnamen und IP-Adressen abzielen können, um sie mit bösartigen Anfragen zu überfluten, die die Server überlasten, was zu Dienstausfällen und Verbindungsunterbrechungen für gültige, legitime Systembenutzer führt.

 

Potenziell unerwünschte Programme

Potenziell unerwünschte Programme, auch bekannt als PUP, bezieht sich auf Software, die Sie nie offiziell angefordert haben, aber dennoch installiert wurde. Diese Art von Software kommt normalerweise gebündelt mit anderer Software, deren Download Sie tatsächlich zugestimmt haben. Häufige Beispiele für diese Art von Cyberkriminalität sind Adware, Spyware, Dialer und Malware.

 

Exploit Kits

Exploit Kits sind Software-Toolkits, um Schwachstellen in anderen Programmen auszunutzen. Ein häufiges Beispiel ist das Ausnutzen von Flash- oder Java-Schwachstellen, um eine Website zu kompromittieren und dann den Datenverkehr z.B. auf bösartige Seiten umzuleiten.

 

Phishing Angriffe

Phishing Angriffe sind eine Form von Sozial Engineering, mit dem Benutzer dazu verleitet werden, ihr Login, Passwort und andere sensible/persönliche Informationen preiszugeben. Die meisten Phishing Kampagnen werden durchgeführt, indem massive Spam E-Mails mit Links zu böswillig gehackten Websites gesendet werden, die wie echte aussehen (z. B. Finanzinstitute, Banken, usw.). Sobald sich Benutzer auf diesen gefälschten Websites anmelden, werden deren Anmeldedaten in der Datenbank der Angreifer gespeichert. Sie können dann Ihre Kreditkarte, Ihr Bankkonto oder Ihre E-Mail Dienste verwenden.

 

Illegale Inhalte

Das Internet ist voll von illegalen Inhalten, deren Verbreitung verboten ist. Beispiele für illegale Inhalte sind der Online Verkauf von Drogen und urheberrechtlich geschütztes Material (wie Videos, Musik, Bücher, Software usw.).

 

Online Betrug

Cyber Betrug oder Online-Betrug beinhaltet betrügerische Unternehmen, die unwissenden Opfern gefälschte Dienstleistungen, Waren oder Belohnungen anbieten. Beispiele für Online-Betrug sind Wohltätigkeitsbetrug, Glücksspielbetrug, Online Ticketbetrug, gefälschte Geschenkkarten, Autobetrug und mehr.

 

Wie können Sie sich vor Cyberkriminalität schützen?

  • Aktivieren Sie Ihre Firewall nicht nur auf Ihren Servern sondern auch auf Ihrem Laptop, den Sie z.B. außerhalb Ihres Firmennetzwerkes nutzen.
  • Verwenden Sie immer Antivirus- und Anti-Malware-Programme.
  • Aktivieren Sie die Anti Spam Blockier Funktion Ihrer E-Mail, um Sie vor Spam zu schützen.
  • Verschlüsseln Sie Ihre lokalen Festplatten z.B. Ihren Laptop mit einem Bit-Locker, damit auf Ihre Daten auch bei Diebstahl des Laptops nicht zugegriffen werden kann. Auch Ihr Smartphone sollte nur mit Zugriffscode verwendet werden.
  • Verwenden Sie immer ein VPN (geschützte Netzwerkverbindung), wenn Sie von außerhalb auf Ihr Firmennetzwerk zugreifen. Hiermit wird eine verschlüsselte Leitung aufgebaut und so Ihr Datentransfer geschützt.
  • Kaufen Sie Software oder laden Sie Freeware nur von sicheren und bekannten Websites.
  • Sichern Sie Ihre Daten immer z.B. auf einer externen Festplatte und halten Sie die Sicherungen regelmäßig auf dem neuesten Stand.
  • Verschlüsseln Sie Ihre E-Mails, wenn Sie sensiblen und vertraulichen Inhalte versenden.
  • Verwenden Sie unterschiedliche/starke Passwörter. Ein guter Anhaltspunkt sind die BSI-Vorgaben. Das BSI empfiehlt die Verwendung eines Passwort Managers, z.B. Keepass. Das Passwort sollte mindestens acht Zeichen und neben Groß- und Kleinbuchstaben auch Zahlen und Sonderzeichen enthalten. Je länger das Passwort ist, um so sicherer ist es.
  • Halten Sie Ihre Software (Betriebssystemversionen und Sicherheitspatches) auf dem neuesten Stand.
  • Verwenden Sie eine Zwei-Faktor-Authentifizierung für Ihre Online-Dienste und für den Zugriff auf Programme mit sensiblen Daten, insbesondere wenn Sie von außen über das Internet zu erreichen sind.

 

Ein Beitrag von:

TASCO Revision und Beratung GmbH


Das Facility Management umfasst den gesamten Lebenszyklus einer Immobilie und der dazugehörigen Außenanlagen – von der Herstellung über die Nutzung bis zum Rückbau. Mängel im Facility Mangement wirken sich deutlich negativ auf die Investitionskosten, aber vor allem auch auf die späteren Nutzungs- und Betriebskosten aus. Gerade sie können schnell den zehnfachen Wert des Invests erreichen. Daher ist eine intensive und fundierte Prüfung des Facility Managements von großer Bedeutung.

Hierfür muss die Interne Revision über ein entsprechendes Facility-Management-Know-how verfügen und die gesamte Prozesskette des Gebäudemanagements professionell unter die Lupe nehmen.

 

Ziel des Seminars: 

Sie erhalten prozess- und risikoorientierte Prüfungsansätze und -methoden an die Hand, um Risiken im Gebäudemanagement frühzeitig zu identifizieren, zu analysieren und zu eliminieren.

Die Leitung des Seminars übernimmt Herr Benjamin Bender von der TASCO Revision und Beratung GmbH. Für mehr Infos.

 

Termine:

Frankfurt am Main: 11.04. - 12.04 .2022 

Hamburg: 24.10. - 25.10.2022 

Beide Veranstaltungen werden jeweils auch im Live-Stream übertragen.  

  

Seminarablauf:

Warum die Prüfung des Facility Managements so wichtig ist

  • Abgrenzung und inhaltliche Bestimmung von Facility Management
  • Konzeption, Planung und Durchführung der Revision des Facility Managements
  • Relevante gesetzliche Vorgaben
  • Aufnahme der vorhandenen Rahmenbedingungen (z. B. Datenbank/Datenbasis, Verantwortlichkeiten, Leistungsparameter, Monitoring, Reporting)

 

Prüfung des technischen Gebäudemanagements

  • Bestandsdokumentation und -management
  • Gebäudeautomation (z. B. zentrale Leittechnik, Fassadensteuerung, raumlufttechnische Anlagen)
  • Laufender technischer Betrieb (Inbetriebnahme, Störungen, Inspektion, Wartung, Instandsetzung / Reparaturen)
  • Energiemanagement sowie Wasser / Abwasser
  • Sonstige technische Leistungen
  • Einhaltung gesetzlicher Vorgaben

 

Prüfung des infrastrukturellen Gebäudemanagements (Dienstleistungssektor)

  • Bedarfsermittlung und Leistungsverzeichnisse
  • Angebotseinholung und Ausschreibung
  • Verhandlungen und Auftragsvergabe
  • Verträge
  • Preis- und Materiallisten
  • Preiserhöhungsverlangen
  • Leistungsüberwachung
  • Relevante Dienstleistungen: Reinigungsdienste, Sicherheitsdienste, Dienste rund um die Außenanlagen, Kantine, Umzugsmanagement, Entsorgung, Büro-Dienste, Transportdienste

 

Prüfung des kaufmännischen Gebäudemanagements

  • Controlling, Budgetverwaltung und Forecast
  • (Neben-)Buchhaltung inklusive Debitoren- und Kreditorenmanagement
  • Beschaffungsprozesse inklusive Rechnungsprüfung
  • Vertragsmanagement
  • Nebenkostenabrechnungen
  • Vermarktung inklusive Vertragsverhandlungen

 


Ihr Leitfaden für offizielle Nachprüfung                   Termin: 13.06.2022 

Das Follow-up ist einer der wichtigsten Bausteine im Revisionsprozess. Für das Bestehen eines Quality Assessments ist es sogar eine Mindestvoraussetzung. Denn erst in einem Follow-up kann sichergestellt werden, dass Schwachstellen behoben sind, Kontrollen wieder wirkungsvoll funktionieren oder neue Kontrollen eingerichtet wurden. Doch wie behalten Sie als Prüfer den Überblick, welche Mängel noch in Arbeit und welche bereits behoben sind? Wann werden die Maßnahmenumsetzungen vor Ort geprüft und wann reicht eine Unterlagenprüfung am Schreibtisch? Was passiert bei Nicht-Umsetzung der Empfehlungen? Wie funktioniert das Controlling des Follow-up? Konkrete Antworten auf diese Fragen haben wir im Seminar erarbeitet. 

Die Leitung des Seminars übernimmt Herr Sami Abbas von der TASCO Revision und Beratung GmbH. Für mehr Infos.

Termin: 13.06.2022

Ort: Düsseldorf & Live-Stream 

 

Seminarablauf

Follow-up: Ein elementarer Bestandteil des Audit-Prozesses

  • Zweck und Ziele eines Follow-up
  • International Professional Practices Framework (IPPF) – praktische Ratschläge
  • Der Prüfungsbericht 

 

Durchführung des Follow-up

  • Follow-up-Typen
  • Planung des Follow-up
  • Vorbereitung und Ankündigung
  • Durchführung der Nachschau
  • Dokumentation der Nachweise

 

 Ergebnisse des Follow-up und Berichterstattung

  • Ergebnistypen je Finding
  • Entscheidungskriterien für die Beurteilung der Mängelbeseitigung
  • Berichterstattung über das Gesamtergebnis
  • Nicht abgestellte Mängel – kann man, muss man sich einigen?

 

 Wiedervorlage der Nachschau

  • Gründe für eine zweite Nachschau
  • Abschluss der zweiten Nachschau
  • Abschluss der gesamten Prüfung

 

 Verwaltung und Kontrolle der Findings

  • Welche Informationen benötigt die Interne Revision?
  • Wie wird der Stand der Findings nachgehalten?

 

 Umgang mit Follow-up-Ergebnissen

  • Auswertung der Mängelbeseitigung je Fachbereich
  • Lessons Learned – wo hakt die Mängelbeseitigung?

 

Anmelden können Sie sich hier

 


 

Das im März 2020 veröffentlichte Buch „Revision des Internen Kontrollsystems, Prüfungsleitfäden zu Funktion und Wirksamkeit“ aus der "DIIR-Schriftenreihe", Band 60, bei welchem unter anderem unser Geschäftsführer Herr Sami Abbas federführend mitwirkte, wurde in der ZIR Zeitschrift "Interne Revision“, Ausgabe 2/2020 rezensiert.  

„Das vorliegende Werk bietet einen praktischen Leitfaden zur Identifikation von Risiken in Geschäftsprozessen, der Identifikation von Kontrollen und die Prüfung der Wirksamkeit dieser Kontrollen, welche zur Beurteilung des IKS von wesentlicher Bedeutung sind.“

Quelle: ZIR Zeitschrift Interne Revision“, Ausgabe 2/2020.

 

Vollständiger Artikel:

Aktuell - Erich Schmidt Verlag (ESV)

Link zum Buch:

Revision des Internen Kontrollsystems - Prüfungsleitfäden zu Funktion und Wirksamkeit - Erich Schmidt Verlag (ESV)


 

Im September wurde das 100-jährige Jubiläum eines unserer großen Kunden im Energiesektor gefeiert. Der Fernleitungsnetzbetreiber Thyssengas lud zu einer großartigen Veranstaltung ins Dortmunder Fußballmuseum ein.

Unter allen geladenen Gästen nahm auch unser Geschäftsführer Herr Abbas am Ereignis teil. Es war eine rundum gelungene Veranstaltung mit einer spannenden Podiumsdiskussion zum Thema Wasserstoff und die Zukunft der Energiebranche in Deutschland. 

Die TASCO gratuliert zum 100-jährigen Bestehen!