Digital Journey
Ymir Vigfusson, Isländischer Hacker und Uni Professor, Unternehmer startet mit seinem Vortrag. Zu Beginn versetzt er die Zuhörer in die Entstehungszeit des Internet und der Neugier der ursprünglichen Hacker. Hiermit erzeugt er für Verständnis, dass der ursprüngliche Hacker vielmehr neugierig war zu verstehen, wie die Interaktionen im Internet und Programmierungen laufen.
An der Universität hatte Ymir zu Beginn Schwierigkeiten gehabt Studenten in seinen Kursen für IT-Architektur u.ä. zu bekommen. Seit einigen Jahren stellt er Hacking Kurse zur Verfügung. Diese Kurse enthalten etwas modifiziert den gleichen Inhalt als die ursprünglichen Kurse. Jedoch kann er sich aktuell vor „Bewerbungen“ für seine Kurse von in- und ausländischen Studenten kaum retten. Er benötigt tatsächlich Auswahlverfahren.
Seit einigen Jahren bietet er live-Hacking an. Dabei hacken zwischenzeitlich über 3.000 Studenten sich gegenseitig. Dabei nutzt er Gamification Elemente und vergibt im Anschluss Awards dafür.
An zahlreichen Beispielen zeigt Ymir, wie Unternehmen mit Hilfe von Social Engineering als eigentlichem Schwachpunkt penetriert werden. Zugleich zeigt er wie er Studenten für so genannte Red Teams für IT-Security ausbildet.
Dabei erläutert er, dass man ein Hacking durchdenken kann, wie wenn man in ein Gebäuden einbrechen möchte. Niemand würde zur Haustür eingehen – dort, wo normalerweise die meiste IT-Security investiert wird. Jeder würde versuchen über Seiteneingänge versuchen hinein zu kommen. Tolle Fragerunde zum Abschluss. Ymir nimmt alle Fragen auf, egal welcher Qualität. Dabei wird klar, dass zahlreiche Revisoren nahezu nichts wissen über Hacking und IT-Security Problemstellung. Daraufhin empfiehlt er, nicht jeder Revisor muss programmieren können, sondern jeder Revisor sollte diese Menschen verstehen, wie sie vorgehen. Daran anschließend schlägt er vor in einer Art prozessualen Darstellung den Internen Revisoren klar zu machen, wie Angriffswege laufen. Mit diesem generellen Verständnis können Revisoren offene Türen und Schwachstellen in operativen Audits entdecken.
Fazit: Alles dreht sich um Digitalisierung. Wenn Informationen das Gold unseres Jahrhunderts ist, dann gilt es diesen Schatz sinnvoll zu beschützen. Damit steigt das Risiko und Attraktivität, dass Externe auf diesen Schatz zugreifen wollen. Wir als Revisoren benötigen ein Mindest-Basiswissen über diese Vorgehensweisen, so dass wir die Prozesse generell dahingehend durchleuchten können. Dies auch notwendig um Geprüfte zu sensibilisieren und als geeigneter Multiplikator im Unternehmen zu wirken.
Die ECIIA geht Stück für Stück in die letzte Runde. Wir bedanken uns bei Ihnen, dass Sie hier mit an Bord waren. Wir hoffen, es hat Ihnen Spaß gemacht?
Das gesamte Audit Research Center Team wünscht Ihnen ein schönes Wochenende!
Kommende Woche werden wir noch eine Post Berichterstattung zur Verfügung stellen mit einigen spannenden Essentials.
Stay tuned, bleiben Sie an Bord unseres ARC NewsStreams, wir informieren Sie, was in der Revisionsbranche los ist.
Happy Weekend
Ihr Audit Research Center
Social Engineering 3.0
– Risiken für Unternehmen im Kontext einer digital-analogen Unternehmensstrategie –
Konzeption und Aufbau Data Analytic Teams und Kompetenz
– Schrittweise Organisationsentwicklung Data Analytics Interne Revision –
Social Media Risk – Ein neues Prüfungsgebiet für die interne Revision
– Wie kann die interne Revision auf die Chancen und Risiken, die sich aus dem Thema Social Media ergeben reagieren? –
Der digitale Stresstest – Prüfungskonzept für die Digitalisierung
– Anwendung des digitalen Stresstest als Erweiterung vorhandener –
Save the date! Audit Challenge 2019:
Zukunft Interne Revision – Metakompetenzen
Zukunft Interne Revision |
Revisionsmanagement Herausforderungen
Digitalisierung aktiv gestalten mit Hilfe von Metakompetenzen
Neu: Serious Business Games
Effektiver Lernen – Serious Business Games |
Erfolgreiche Personalentwicklung in der Internen Revision