Audit-Bericht:

SGM CEX (Svoboda Global Markets - Exchange)

Private zentralisierte Kryptobörse (CEX) SGM

Auditor: P. Svoboda, Inhaber von SGM CEX, jahrelang erfahrener Auditor (interne, staatliche und ISO-Audits)

Sitz der CEX: Svoboda Global Markets (SGM), Zürich, Schweiz

Audit-Umfang: Technische Sicherheit, steuerliche Dokumentation, Risikomanagement und operative Prozesse der SGM CEX

Audit-Standards:

• ISO/IEC 27001:2022 (Informationssicherheitsmanagementsysteme)

• ISO/IEC 27002:2022 (Leitfaden für Informationssicherheitskontrollen)

• ISO/IEC 27005:2022 (Risikomanagement für Informationssicherheit)

• ISO/IEC 27017:2015 (Sicherheit für Cloud-Dienste)

• ISO/IEC 27018:2019 (Schutz personenbezogener Daten in der Cloud)

• ISO 19011:2018 (Leitlinien für die Auditierung von Managementsystemen)

• ISO 31000:2018 (Risikomanagement)

• ISO/IEC 27036:2013 (Informationssicherheit für Lieferantenbeziehungen)

• ISO 22301:2019 (Business Continuity Management)

• ISO 9001:2015 (Qualitätsmanagementsysteme)

• ISO/IEC 27701:2019 (Datenschutzmanagementsysteme)

• ISO/IEC 27032:2024 (Richtlinien für Cybersicherheit)

• ISO/IEC 27035:2023 (Incident Management für Informationssicherheit)

• ISO/IEC 27040:2015 (Datenspeicherungssicherheit)

• ISO/IEC 29100:2011 (Datenschutzrahmen)

• ISO/IEC 30141:2018 (Internet der Dinge – Referenzarchitektur)

• ISO/IEC 38500:2015 (IT-Governance)

• ISO/IEC 19770-1:2017 (IT-Asset-Management)

• ISO 26000:2010 (Soziale Verantwortung)

• ISO/IEC 20000-1:2018 (IT-Service-Management)

1.⁠ ⁠Beschreibung der SGM CEX

• Name der CEX: Svoboda Global Markets (SGM)

• Sitz: Zürich, Schweiz

• Rechtsstatus: Private Vermögensverwaltung gemäß Schweizer Vorschriften

Zweck:

• Ausschließliche Nutzung für den Eigenhandel (Kauf, Verkauf, Tausch von Krypto-Assets) und die Verwaltung des Privatvermögens von P. Svoboda sowie des Vermögens des Unternehmens Svoboda Global Markets.

• Keine Drittparteien oder externen Gelder werden gehandelt oder transferiert.

• Ein- und Auszahlungen sowie Handelsaktivitäten sind ausschließlich auf das Vermögen von P. Svoboda und das Unternehmen beschränkt.

Regulatorischer Status:

• Gemäß dem Schweizer Geldwäschegesetz (GwG, SR 955.0) fällt die SGM CEX nicht unter die Definition eines Finanzintermediärs, da keine Dienstleistungen für Dritte erbracht werden.

• Keine Verpflichtung zur Einhaltung des Anti-Geldwäsche-Gesetzes (AMLA) oder zur Registrierung bei einer Selbstregulierungsorganisation (SRO).

• Steuerliche Dokumentation gemäß den Richtlinien der Eidgenössischen Steuerverwaltung (ESTV) für Vermögens- und Ertragssteuer wird vollständig eingehalten, ohne gesetzliche Pflicht zu externen Audits.

Technische Infrastruktur:

• Verwendung von sicheren Wallets: Cold Storage (Hardware-Wallets wie Ledger/Trezor), Multi-Signature-Mechanismen.

• Server- und API-Sicherheit: TLS-Verschlüsselung, Multi-Faktor-Authentifizierung (MFA), Firewall und DDoS-Schutz.

• Transaktionsüberwachung und Dokumentation: Blockchain-Explorer (z. B. Etherscan) und CoinTracking für steuerliche Zwecke.

2.⁠ ⁠Audit-Ziele und -Kontext

Ziele:

• Sicherstellung der technischen Sicherheit der SGM CEX (z. B. Schutz vor Hacks, Datenverlust).

• Konformität mit steuerlichen Anforderungen der ESTV (z. B. Vermögensbewertung, Dokumentation von Handelsaktivitäten).

• Minimierung finanzieller, operativer und technischer Risiken durch ein strukturiertes Selbst-Audit.

• Dokumentation der Einhaltung internationaler ISO-Standards für interne Zwecke.

Kontext:

• Das Audit wurde von P. Svoboda, Inhaber der SGM CEX und erfahrener Auditor mit jahrelanger Expertise in internen, staatlichen und ISO-Audits, durchgeführt.

• Die SGM CEX ist eine private Vermögensverwaltung ohne Drittparteien, was keine regulatorischen Audits (z. B. AMLA, FINMA) erforderlich macht.

• Der Bericht unterstützt die Vorbereitung der steuerlichen Deklaration gegenüber der ESTV.

3.⁠ ⁠Audit-Methodik

• Ansatz: Das Selbst-Audit wurde gemäß ISO 19011:2018 (Leitlinien für die Auditierung von Managementsystemen) durchgeführt, mit einem risikobasierten Ansatz und strukturierten Checklisten.

• Verfahren:

• Planung: Definition des Umfangs (Sicherheit, Finanzen, Risiken) und Kriterien (ISO-Normen, ESTV-Richtlinien).

• Durchführung: Prüfung von technischen Kontrollen (z. B. Wallet-Sicherheit), Finanzdokumentation (z. B. Transaktionslogs) und Risikomanagement.

• Dokumentation: Erstellung eines detaillierten Berichts mit Ergebnissen, Abweichungen und Empfehlungen.

• Werkzeuge:

• Blockchain-Explorer (z. B. Etherscan, Blockchain.com) für Transaktionsprüfung.

• CoinTracking für steuerliche Dokumentation.

• Nessus für Schwachstellen-Scans (falls anwendbar).

• Manuelle Checklisten basierend auf ISO-Normen.

• Zeitraum: Das Audit wurde im Jahr 2025 abgeschlossen.

4.⁠ ⁠Audit-Ergebnisse: Checkliste der geprüften ISO-Normen

Die folgenden ISO-Normen wurden im Rahmen des Selbst-Audits angewendet, und alle relevanten Kontrollen wurden erfolgreich geprüft. Jede Norm wird mit den spezifischen Prüfungen und Ergebnissen aufgelistet, als erfüllt markiert.

1. ISO/IEC 27001:2022 – Informationssicherheitsmanagementsysteme (ISMS)

Erfüllt am: Jahr 2025

• Risikobewertung durchgeführt: Identifizierte Risiken (z. B. Wallet-Hacks, API-Schwachstellen) mit Maßnahmen wie Multi-Signature-Wallets und TLS-Verschlüsselung behandelt.

• Sicherheitskontrollen gemäß Anhang A implementiert:

• Zugangskontrollen: MFA für alle Zugriffe implementiert.

• Kryptografie: AES-256-Verschlüsselung für Wallet-Schlüssel.

• Ereignisprotokollierung: Transaktionslogs via Blockchain-Explorer und CoinTracking gesichert.

• ISMS-Dokumentation: Auditplan und -bericht erstellt, keine wesentlichen Abweichungen.

• Ergebnis: Alle Anforderungen erfüllt, keine Mängel.

2. ISO/IEC 27002:2022 – Leitfaden für Informationssicherheitskontrollen

Erfüllt am: Jahr 2025

• Kryptografische Kontrollen: Wallet-Schlüssel mit HMAC-SHA512 verschlüsselt, Multi-Sig-Mechanismen implementiert.

• Sichere Entwicklung: API-Sicherheit (Rate-Limiting, Authentifizierung) getestet, keine Schwachstellen.

• Protokollierung: Alle Transaktionen (Ein-/Auszahlungen, Trades) via CoinTracking dokumentiert.

• Ergebnis: Alle Kontrollen implementiert, keine Abweichungen.

3. ISO/IEC 27005:2022 – Risikomanagement für Informationssicherheit

Erfüllt am: Jahr 2025

• Risikoanalyse: Bedrohungen wie Phishing, Marktschwankungen und Serverausfälle bewertet, Risikomatrix erstellt.

• Risikobehandlung: Cold Storage (Ledger/Trezor), regelmäßige Backups und Sicherheitsupdates implementiert.

• Überwachung: Kontinuierlicher Risikoprozess etabliert, keine offenen Risiken.

• Ergebnis: Risikomanagement vollständig implementiert, keine Mängel.

4. ISO/IEC 27017:2015 – Sicherheit für Cloud-Dienste

Erfüllt am: Jahr 2025

• Cloud-Kontrollen: Verträge mit Cloud-Anbietern (z. B. AWS) auf ISO 27017-Konformität geprüft.

• Asset-Management: Cloud-basierte Server und APIs dokumentiert, Verschlüsselung (TLS) bestätigt.

• Incident Response: Pläne für Cloud-Vorfälle getestet, keine Schwachstellen.

• Ergebnis: Alle Anforderungen erfüllt, keine Mängel.

5. ISO/IEC 27018:2019 – Schutz personenbezogener Daten in der Cloud

Erfüllt am: Jahr 2025

• Datenschutzkontrollen: Eigene KYC-Daten verschlüsselt gespeichert, Datenminimierung angewendet.

• Schweizer DSG/DSGVO: Metadaten (z. B. IP-Adressen) geprüft, keine Verstöße.

• Cloud-Datenschutz: Anbieter-Verträge auf PII-Schutz überprüft, konform.

• Ergebnis: Datenschutzanforderungen erfüllt, keine Abweichungen.

6. ISO 19011:2018 – Leitlinien für die Auditierung von Managementsystemen

Erfüllt am: Jahr 2025

• Auditplan: Umfang (Sicherheit, Finanzen, Risiken) und Kriterien (ISO-Normen, ESTV-Richtlinien) definiert.

• Durchführung: Strukturierte Prüfung von Wallet-Sicherheit, Transaktionslogs und Steuerdokumentation.

• Berichterstattung: Detaillierter Bericht mit Ergebnissen und Empfehlungen erstellt.

• Ergebnis: Auditprozess gemäß ISO 19011 durchgeführt, keine Mängel.

7. ISO 31000:2018 – Risikomanagement

Erfüllt am: Jahr 2025

• Risikoidentifikation: Finanzielle Risiken (z. B. Steuerfehler) und operative Risiken (z. B. Serverausfall) aufgelistet.

• Risikobehandlung: Diversifikation von Wallets, regelmäßige Backups und Sicherheitsupdates implementiert.

• Überwachung: Risikomanagementprozess integriert, keine unbehandelten Risiken.

• Ergebnis: Risikomanagement vollständig umgesetzt, keine Mängel.

8. ISO/IEC 27036:2013 – Informationssicherheit für Lieferantenbeziehungen

Erfüllt am: Jahr 2025.

• Risikomanagement: API-Verbindungen zu Drittanbietern auf Sicherheit getestet, keine Schwachstellen.

• Kontrollen: Alle Anforderungen erfüllt, keine Abweichungen.

• Ergebnis: Lieferantenbeziehungen sicher, keine Mängel.

9. ISO 22301:2019 – Business Continuity Management

Erfüllt am: Jahr 2025

• Continuity-Plan: Notfallpläne für Hacks (z. B. Wallet-Wiederherstellung) dokumentiert und getestet.

• Tests: Simulierte Szenarien (z. B. Backup-Wiederherstellung) erfolgreich durchgeführt.

• Überwachung: Plan auf Aktualität geprüft, vollständig erfüllt.

• Ergebnis: Business Continuity gewährleistet, keine Mängel.

10. ISO 9001:2015 – Qualitätsmanagementsysteme

Erfüllt am: Jahr 2025

• Prozessoptimierung: Handelsprozesse (Transaktionsdokumentation) standardisiert und dokumentiert.

• Leistungsüberwachung: Effizienz der CEX (z. B. Handelsgeschwindigkeit) gemessen, keine Mängel.

• Verbesserungen: Qualitätsprozesse optimiert, keine Abweichungen.

• Ergebnis: Qualitätsanforderungen erfüllt, keine Mängel.

11. ISO/IEC 27701:2019 – Datenschutzmanagementsysteme (PIMS)

Erfüllt am: Jahr 2025

• PII-Schutz: Eigene KYC-Daten verschlüsselt, Datenminimierung angewendet.

• Datenschutzrichtlinien: Schweizer DSG-Konformität bestätigt, keine Verstöße.

• Cloud-Datenschutz: Anbieter-Verträge auf PIMS-Konformität geprüft, erfüllt.

• Ergebnis: Datenschutzanforderungen erfüllt, keine Mängel.

12. ISO/IEC 27032:2024 – Richtlinien für Cybersicherheit

Erfüllt am: Jahr 2025

• Anti-Phishing: Tools (z. B. E-Mail-Filter) und MFA implementiert, keine Schwachstellen.

• Netzwerksicherheit: API- und Server-Schutz gegen Cyberangriffe geprüft, konform.

• Zusammenarbeit: Externe Plattformen auf Cybersicherheit überprüft, keine Mängel.

• Ergebnis: Cybersicherheitsanforderungen erfüllt, keine Abweichungen.

13. ISO/IEC 27035:2023 – Incident Management für Informationssicherheit

Erfüllt am: Jahr 2025

• Incident-Response-Plan: Erkennung (Log-Überwachung via Blockchain-Explorer) und Reaktion (Wallet-Sperrung) definiert.

• Tests: Simulierte Vorfälle (z. B. Hack) erfolgreich abgeschlossen, Wiederherstellungsprozesse getestet.

• Lernprozess: Nachbereitung etabliert, keine offenen Incidents.

• Ergebnis: Incident-Management vollständig implementiert, keine Mängel.

14. ISO/IEC 27040:2015 – Datenspeicherungssicherheit

Erfüllt am: Jahr 2025

• Speicherungskontrollen: Wallet-Schlüssel mit AES-256 verschlüsselt, physisch in einem Tresor gesichert.

• Backup-Sicherheit: Regelmäßige Backups auf verschlüsselten Medien getestet, sicher bestätigt.

• Medienmanagement: Hardware-Wallets (Ledger/Trezor) geprüft, keine Mängel.

• Ergebnis: Datenspeicherungssicherheit erfüllt, keine Abweichungen.

15. ISO/IEC 29100:2011 – Datenschutzrahmen

Erfüllt am: Jahr 2025

• Datenschutzprinzipien: Transparenz und Minimierung bei eigenen Daten (z. B. KYC) angewendet.

• Risikobewertung: Datenschutzrisiken (z. B. Metadaten) bewertet, keine Verstöße.

• Umsetzung: Alle Prinzipien in der CEX integriert, erfüllt.

• Ergebnis: Datenschutzanforderungen erfüllt, keine Mängel.

16. ISO/IEC 30141:2018 – Internet der Dinge (IoT) – Referenzarchitektur

Erfüllt am: Jahr 2025

• IoT-Sicherheit: Keine IoT-Geräte in der CEX-Infrastruktur aktiv, Prüfung dennoch durchgeführt.

• Architektur: Sicherheitsstandards für potenzielle IoT-Geräte (z. B. vernetzte Hardware-Wallets) bestätigt.

• Tests: Keine IoT-spezifischen Risiken identifiziert, erfüllt.

• Ergebnis: Anforderungen erfüllt, keine Mängel.

17. ISO/IEC 38500:2015 – IT-Governance

Erfüllt am: Jahr 2025

• Governance-Regeln: Entscheidungsprozesse für Handel und Sicherheit definiert (z. B. Trade-Genehmigungen).

• Leistungsüberwachung: IT-Systeme (Server-Uptime, Handelsgeschwindigkeit) gemessen, keine Mängel.

• Risikomanagement: In Governance integriert, vollständig erfüllt.

• Ergebnis: IT-Governance-Anforderungen erfüllt, keine Abweichungen.

18. ISO/IEC 19770-1:2017 – IT-Asset-Management

Erfüllt am: Jahr 2025

• Asset-Inventar: Wallets, Server und Software (z. B. CoinTracking) katalogisiert.

• Management-Prozesse: Aktualität und Sicherheit der Assets geprüft, alle aktuell.

• Kontrollen: Keine veralteten Assets, erfüllt.

• Ergebnis: Asset-Management-Anforderungen erfüllt, keine Mängel.

19. ISO 26000:2010 – Soziale Verantwortung

Erfüllt am: Jahr 2025

• Ethische Aspekte: Energieverbrauch der CEX-Infrastruktur (z. B. Server) bewertet und optimiert.

• Stakeholder-Engagement: Interne Prozesse (Eigenhandel) ethisch geprüft, keine Verstöße.

• Verbesserungen: Keine Mängel in der sozialen Verantwortung.

• Ergebnis: Anforderungen erfüllt, keine Abweichungen.

20. ISO/IEC 20000-1:2018 – IT-Service-Management

Erfüllt am: Jahr 2025

• Service-Prozesse: Wartung der CEX-Infrastruktur (z. B. Software-Updates) geprüft, konform.

• Leistungsmanagement: Verfügbarkeit (Server-Uptime) gemessen, keine Ausfälle.

• Incident- und Problem-Management: Integriert, keine offenen Probleme.

• Ergebnis: Service-Management-Anforderungen erfüllt, keine Mängel.

Steuerliche Dokumentation (ESTV-Konformität)

• Dokumentation:

• Alle Handelsaktivitäten (Ein-/Auszahlungen, Trades) wurden mittels CoinTracking dokumentiert, inklusive Datum, Gegenwert, Wallet-Adressen und Transaktions-Hashes.

• Vermögensbewertung: Krypto-Assets zum 31. Dezember 2024 gemäß ESTV-Richtlinien (Marktpreise, z. B. CoinMarketCap) bewertet.

• Gewinne/Verluste: Klassifizierung als steuerfreie Kapitalgewinne (Privatvermögen) oder steuerpflichtige Erträge (Einzelunternehmen) geprüft, vollständig dokumentiert.

• Konformität: Alle steuerlichen Anforderungen der ESTV erfüllt, keine Abweichungen.

• Nachweise: Transaktionslogs und Bewertungsberichte für potenzielle ESTV-Prüfungen archiviert.

Zusammenfassung der Ergebnisse

• Technische Sicherheit:

• Alle relevanten Sicherheitskontrollen (z. B. Multi-Sig-Wallets, Cold Storage, TLS-Verschlüsselung, MFA) implementiert und geprüft.

• Keine Schwachstellen in der Infrastruktur (Wallets, Server, APIs) identifiziert.

• Incident-Response-Plan (ISO 27035) und Business Continuity-Plan (ISO 22301) etabliert und getestet.

• Steuerliche Konformität:

• Vollständige Dokumentation aller Handelsaktivitäten und Vermögenswerte gemäß ESTV-Richtlinien.

• Bereitschaft für potenzielle ESTV-Prüfungen durch detaillierte Transaktionslogs und Bewertungen.

• Risikomanagement:

• Umfassende Risikoanalyse (ISO 31000, ISO 27005) durchgeführt, alle identifizierten Risiken (z. B. Hacks, Steuerfehler) behandelt.

• Kontinuierliche Überwachung etabliert, keine offenen Risiken.

• Datenschutz:

• Eigene KYC-Daten und Metadaten (z. B. IP-Adressen) gemäß ISO 27701 und ISO 29100 geschützt, Schweizer DSG-Konformität bestätigt.

Hinweise

• Regulatorische Konformität: Die SGM CEX ist gemäß Schweizer Vorschriften als private Vermögensverwaltung eingestuft und unterliegt keinen AMLA-Pflichten, da keine Drittparteien oder externe Gelder involviert sind.

• Archivierung: Aufbewahrung 10 Jahre gemäß Schweizer Buchhaltungsvorschriften

(Art. 958f OR).