close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

ISSS Zürcher Tagung 2012 Wie sicher sind „sichere“ Systeme?

EinbettenHerunterladen
ISSS Zürcher Tagung 2012
Wie sicher sind
„sichere“ Systeme?
Sicherheitsprüfung von ITSystemen - Lästige Pflicht
oder zwingende
Notwendigkeit?
12. Juni 2012
13:30 - 18:00
(mit Apéro bis 19:00)
im IBM Forum
Zürich Altstetten
Anmeldung:
http://www.isss.ch/
2
Was erwartet Sie?
ISSS Zürcher Tagung 2012:
Wie sicher sind „sichere“ Systeme?
An der diesjährigen Zürcher Tagung beschäftigen wir uns mit dem Thema Sicherheitsprüfung und
geben dabei nicht nur einen Überblick über die verschiedenen Typen von Sicherheitsprüfungen, sondern gehen auch auf die entsprechenden Rahmenbedingungen ein.
Ob Netzwerkschwachstellen oder andere sicherheitskritische Lücken, eine Prüfung sollte alle Verletzlichkeiten hervorbringen und den wahren Stand der Sicherheit offenlegen:



Wie sicher sind Systeme, welche die Überprüfung erfolgreich abgelegt haben, wirklich?
Was wird unternommen, wenn ein System die Überprüfung nicht besteht?
Welche Testmethoden werden eingesetzt, um einzuschätzen, wie gross die Chancen eines
Angriffes sind?
Im Abschlussbericht einer Überprüfung wird nicht nur aufgezeigt, welche Methoden und Hilfsmittel
verwendet wurden, sondern auch, welche Schwachstellen gefunden wurden. Meist wird auf Auswirkungen hingewiesen und erläutert, welche Konsequenzen zu erwarten sind. Abhängig vom Bedrohungsgrad werden dann von den jeweiligen Auftraggebern entsprechende Massnahmen angeordnet.
So weit die Theorie. Es gibt jedoch viele Fragen, welche zusätzlich gestellt werden müssten, jedoch
meist ausgeklammert oder unzureichend beantwortet werden:



Welche Massnahmen werden aufgrund der Prüfungsergebnisse ergriffen?
Wie wird mit erkannten Risiken umgegangen?
Welche Lehren werden gezogen/kommuniziert?
Struktur der Zürcher Tagung 2012
Die Tagung beleuchtet in einem ersten Teil die technisch-organisatorischen Aspekte der Prüfungsmethoden und im zweiten Teil die rechtlichen Aspekte, welche es bei einer Prüfung zu beachten gilt.
Im Anschluss gibt es ein offenes Panel mit den Referenten.
Der technisch-organisatorische Teil wird aufzeigen, was zu einem Systemcheck gehört, wie vollständig dieser durchgeführt werden kann und in welchen zeitlichen Abständen eine Wiederholung empfohlen wird.
Aber nicht alles, was technisch und organisatorisch möglich ist, ist auch rechtlich erlaubt: Dabei stellen sich folgende Fragen:



Wo beginnt die rechtliche Grauzone der Prüfungen und welche Prüfungen sind nicht einmal
mit Einverständnis des Arbeitnehmenden zulässig?
Wie viel Druck darf ausgeübt werden, um die Zustimmung eines Mitarbeitenden zu erhalten?
Wie wird mit den Resultaten einer Prüfung umgegangen?
Zusätzlich steht die Haftungsfrage bei Unterlassung der Sicherheitsprüfungen immer
im Raum:


Wie geht man verantwortungsvoll und nachhaltig an diese Aufgabe heran und wie wird in Verdachtsfällen mit den Verantwortlichen umgegangen?
Wie wird mit Datendiebstahl umgegangen und welche Konsequenzen hat dieser für die Firma
respektive für die Betroffenen?
3
Programm
Ab 13:00
Registrierung
13:30
Begrüssung - Dr. Sonja Hof, Vorstand ISSS
Technischer/Organisatorischer Teil
IT Risiken in einer sich ändernden Welt - Anspruch an Prüfungen und
internes Audit
Referent: Robert- Stephan Zergenyi, Audit Director für Information Technology und
Group Operation bei Zurich Financial Services
Sicherheitsprüfungen: Erfahrungen und Grenzen in der Praxis
Referent: Ivan Bütler, Compass Security AG Schweiz
Jenseits corporate IT-Prävention und BCM: Die Rolle des Staates und die
nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken
Referent: Gérald Vernez , Projektleiter Cyber Defence Strategie Schweiz
Juristischer Teil
Das rechtliche und regulatorische Umfeld der IT Systemprüfung (aus der Sicht
einer Revisionsgesellschaft und Treuhandberatung)
Referent: Klaus Krohman, Rechtsanwalt, Head E&Y Legal
Die IT Systeme und deren Sicherheit im Finanzbereich (aus der Sicht eines
Bankjuristen)
Referent: Dr. Christoph Stocker, Rechtsanwalt, UBS AG
Stolpersteine und Hürden bei der praktischen Durchsetzung von Rechten im
Zusammenhang mit IT Sicherheitssystemen
Datendiebstahl in der öffentlichen Verwaltung – juristischer Leidensweg einer
Aufräumaktion – Recht haben heisst nicht Recht bekommen
Referent: Lukas Faessler, Rechtsanwalt und IT Experte, FSDZ Rechtsanwälte
17:30
Panel
18:00
Apéro
19:00
Veranstaltungsende
4
Überblick zu den Referaten
IT Risiken in einer sich ändernden Welt - Anspruch an Prüfungen und internes Audit
Referent: Robert- Stephan Zergenyi, Audit Director für Information Technology und Group Operation
bei Zurich Financial Services
Diverse Ausprägungen von Risiken, neue Regulationen oder sich ändernde Geschäftsprozesse aufgrund von Outsourcing, Offshoring, neue Technologien oder veränderten Kundenverhaltens stellen
immer breitere Ansprüche an die Audit Planung und deren Durchführung. Anhand Beispiele der IT
Revision in der Zurich Financial Services wird aufgezeigt, wie man aus einer Kontrollsicht diesen
Herausforderungen begegnen kann, was für Prüfungsaktivitäten auf technischer und organisatorischen Ebene erfolgreich sind, und wie man der Geschäftsleitung zusätzliche Unterstützung innerhalb
und ausserhalb formeller Prüfungen bieten kann, diese Risiken zu managen.
————————————————————————————————————————————-Sicherheitsprüfungen: Erfahrungen und Grenzen in der Praxis
Referent: Ivan Bütler, Compass Security AG Schweiz
Der Penetration Test ist eine anerkannte Methode für die Identifikation von Schwachstellen und Gefahren in IT Anlagen. Es gibt diverse Herausforderungen; neben Beeinträchtigung der Verfügbarkeit,
Probleme bezüglich Privatsphäre, Cloud- und Service Provider als auch ändernde Testumgebungen
gibt es diverse Hürden. Erfahren Sie in diesem Referat von Ivan Bütler, CEO von Compass Security
AG, mehr als auch selbstkritische Erfahrungen und Grenzen von Penetration Tests in der Praxis.
————————————————————————————————————————————-Jenseits corporate IT-Prävention und BCM: Die Rolle des Staates und die nationale Strategie
zum Schutz der Schweiz vor Cyber-Risiken
Referent: Gérald Vernez , Projektleiter Cyber Defence Strategie Schweiz
IKT ist ein wesentlicher Teil unsere Gesellschaft geworden. Leider hat die Medaille auch eine Kehrseite mit vielen Risiken, welche wir mit der nötigen Intensität und Nachhaltigkeit adressieren müssen.
Halbe Lösungen suchen, weitere Verzögerungen in Kauf nehmen, um die „perfekte Lösung“ abzuwarten sind keine Optionen. Cyber-Risiken übersteigen die Dimension der bereits bekannten und
praktizierten IKT-Sicherheit. Die kurz vor der Genehmigung stehende nationale Strategie zum Schutz
vor Cyber-Risiken sollte endlich einen pragmatischen und ausgewogenen Lösungsansatz darstellen,
welcher die Schweiz ermöglicht Risiken zu antizipieren, eine wirksame Prävention zu betreiben und
bei Vorfällen eine adäquate Reaktion auszulösen.
5
Überblick zu den Referaten
(Fortsetzung)
Das rechtliche und regulatorische Umfeld der IT Systemprüfung (aus der Sicht einer
Revisionsgesellschaft und Treuhandberatung)
Referent: Klaus Krohman, Rechtsanwalt, Head E&Y Legal
Darstellung der gesetzlichen Randbedingungen aus Gesellschafts- und Revisionsrecht. Diskussion
der regulatorischen Randbedingungen, Voraussetzungen und Pflichten auf nationaler Ebene wie
Swiss Code – insbesondere IKS, Umgang mit Risiken, Compliance; Handbuch für Wirtschaftsprüfung - HWP und auf internationaler Ebene (z.B. SOX). Daraus werden Pflichten für Massnahmen
zum präventiven Umgang mit insbesondere IT Risiken und Hinweise auf mögliche Rechtsfolgen der
Unterlassung dieser Massnahmen abgeleitet. Die Rolle der Revisions- und Treuhandgesellschaften
bei der IT Systemprüfung wird erläutert und Empfehlungen aus juristischer Sicht für die Durchführung von Systemprüfungen durch interne oder externe Sachverständige gegeben. Der Schutz und
die Sicherung der IT Infrastruktur sowie eigener vertraulicher Informationen und vertraulicher Daten
von Kunden und Geschäftspartnern werden besonders hervorgehoben. Spezielles Augenmerk wird
auf die Ausgestaltung der Verträge mit beigezogenen Experten und die Auswertung der Ergebnisse
der Systemprüfung bei Vorhandensein vertraulicher Informationen gelegt. Praktische Erfahrungen
und Empfehlungen aus der Revisionspraxis runden das Referat ab.
————————————————————————————————————————————-Die IT Systeme und deren Sicherheit im Finanzbereich (aus der Sicht eines Bankjuristen)
Referent: Dr. Christoph Stocker, Rechtsanwalt, UBS AG
Rechtliche (BankG/BankV) und regulatorische (FINMA-Rundschreiben z.B. zur Überwachung und
interne Kontrollen sowie zum Outsourcing; Richtlinien Swiss Banking, z.B. über die Standesregeln
zur Sorgfaltspflicht oder die Empfehlungen zum Business Continuity Management) Anforderungen
an die Systeme/Systemprüfung. Die Wahrung des Bankkundengeheimnisses bei der Systemprüfung. Anlass und Auftrag für ein Testing der Systemsicherheit, Beizung externer Sachverständiger,
Dokumentation und Berichterstattung über die Ergebnisse, Folgemassnahmen.
————————————————————————————————————————————-Stolpersteine und Hürden bei der praktischen Durchsetzung von Rechten im Zusammenhang
mit IT Sicherheitssystemen- Datendiebstahl in der öffentlichen Verwaltung - juristischer Leidensweg einer Aufräumaktion - Recht haben heisst nicht Recht bekommen
Referent: Lukas Faessler, Rechtsanwalt und IT Experte, FSDZ Rechtsanwälte
Anhand eines konkreten Falles von massivem Datendiebstahl in der öffentlichen Verwaltung zeigt
RA Fässler auf, mit welchen forensischen Mitteln die Beweissicherung bei einem widerrechtlichen
Eindringen in eine EDV-Anlage sichergestellt werden muss, damit sowohl im Strafverfahren wie auch
im zivilen Schadenersatzverfahren der Geschädigte seine Rechte vollumfänglich wahren kann. ITSicherheitssysteme bilden dabei eine unabdingbare Voraussetzungen dafür, dass überhaupt auch
eine strafrechtliche Verfolgung stattfinden kann. Trotzdem sind die IT-Sicherheitssysteme weder Garant noch Basis für die Durchsetzung der Rechte der Dateninhaber. Es braucht viel mehr ein sehr
subtiles Vorgehen zur Beweissicherung in jeder Hinsicht. Wie schwierig die Durchsetzung der Rechte der Dateninhaber nach einem Datendiebstahl wirklich sind, wird anhand des vorliegenden Falles
augenscheinlich. Dies nicht zuletzt auch deshalb, weil das Bundesgericht in diesem Falle mit einem
umstrittenen Entscheid den digitalen Daten die Sacheigenschaft abgesprochen hat. Dieser Entscheid
wirft hinsichtlich der Durchsetzung insbesondere von Löschungsmassnahmen bezüglich der gestohlenen Daten gegen den Datendieb und allenfalls Dritte, welche bereits in den Besitz der gestohlen
Daten gekommen sind (z.B. Hostingprovider, Service-Dienstleister) grosse Fragen auf.
————————————————————————————————————————————-Wir danken unserem Tagungspartner IBM für die Unterstützung.
Wir würden uns freuen, Sie an unserer Tagung begrüssen zu dürfen!
Anmeldung unter http://www.isss.ch/
6
Referenten
Dr. R. Zergenyi ist IT Audit Director bei der Zurich Financial Services. Er war Principal Consultant bei der France Telecom, und zuvor tätig bei der KPMG als Informationssicherheitsberater. In einer früheren Rolle war er zuständig für die Sicherheit und
den Betrieb der Internet Access Services für das E-Banking von UBS. Im Rahmen
dieser Rollen hat er sich umfassende Kenntnisse in Risikomanagement, Governance, interne Kontrollsysteme, Informationssicherheit, Regulatorien, Sarbanes
Oxley Act Section 404, Basel II, Solvency II und HIPAA angeeignet.
Ivan Bütler ist Gründer und CEO von Compass Security AG, eine auf Ethical Hacking und Penetration Testing spezialisierte Firma aus Rapperswil-Jona. Ivan ist Autor von anerkannten IT Security Fachpublikationen, regelmässiger Speaker an diversen Konferenzen wie Blackhat Las Vegas, IT Underground in Warschau oder
OWASP AppSec in den USA. Zusätzlich ist Lehrbeauftragter an den Fachhochschule Rapperswil, Luzern und St. Gallen zu den Themen Hacking und Defense. Ivan ist
im Vorstand von ISSS, organisiert die ISSS St. Galler Tagung, engagiert sich in der
ISSS SIG zum Thema Nationale Cyber Defense Strategie und unterstützt das OK
von Swiss Cyber Storm und des Hacking-Labs.
Gérald Vernez ist seit Januar 2011 stellvertretender Projektleiter Cyber Defense im
Generalsekretariat des VBS. Er hat Geologie in Lausanne, Meteorologie in Strasbourg sowie Sicherheitspolitik und Krisenmanagement an der ETHZ studiert (MAS
ETH SPCM). Seine Karriere hat er im Bereich Tiefbauten und Risiko-Management
angefangen. 1996 fängt er im Generalstab, Untergruppe Operationen als wissenschaftlicher Mitarbeiter eine neue Karriere an. Zwischen 1998 und 2008 gründet er
die Informationsoperationen der Armee. Zwischen 2009 und 2010 war er Stabschef
des Führungsstabes der Armee.
Rechtsanwalt Klaus Krohmann ist seit 13 Jahren in der Rechtsberatung bei Wirtschaftsprüfern oder an Wirtschaftsprüfer angelehnten Firmen tätig, vormals bei Andersen Legal, der Rechtsberatung der ehemaligen Arthur Andersen und seit 2002
bei Ernst & Young AG, Legal Services. Seine Spezialisierung liegt im Technologierecht, insbesondere auch im Software- und EDV-Recht. Er ist Head of IP/IT Law der
Legal Services von Ernst & Young Schweiz, eine kleine Gruppe von Anwälten, welche im Zusammenhang mit Wirtschaftsprüfungs- sowie Spezialmandaten in Kooperation mit den Kollegen aus IT Risk & Assurance auftreten.
Dr. Christoph R. Stocker ist seit über 25 Jahren Rechtskonsulent bei der UBS AG
und berät heute umfassend in Rechtsfragen rund um Bankkundenbeziehungen sowie
in grundsätzlichen Fragestellungen betrieblicher Natur, bei Projekten, Auswirkungen
von Gesetzesänderungen etc. Sein besonderes Interesse richtete er in der Vergangenheit sodann auf Rechtsfragen bei elektronischen Bank-Dienstleistungen, beim
Internet sowie rund um die Informationstechnologie.
Rechtsanwalt Lukas Fässler befasst war von 1986-1992 als Informatikbeauftragter
der Luzerner Gerichte mit der Ersteinführung der Informatik im gesamten Gerichtswesen betraut. Ab 1992-1997 leitete er als Informatikchef des Kantons Luzern die
Organisations- und Informatik-Dienste (OID) des Kantons. Heute ist er neben seiner
anwaltlichen Tätigkeit mit Spezialisierung auf Informatik-, Datenschutz- und Computer-Kriminalität auch in zahlreichen Verwaltungsräten von Informatik-Dienstleistungsunternehmen tätig und dort teilweise als Mitglied des Security-Boards für die interne
Auditierung der Informatik-Sicherheits-Systeme mitverantwortlich. Als Präsident des
Vereins „Schweizerische Städte- und Gemeinde-Informatik“ legt er grossen Wert auf
die Sensibilisierung der politischen Verantwortungsträger bezüglich ihrer Sorgfaltspflichten im Umgang mit digitalen Informationen.
7
Anmeldung
Zürcher Tagung 2012 am 12. Juni 2012.
Anmeldung online auf http://www.isss.ch/ oder per Fax an +41 31 311 5301.
Anrede: □ Herr
□ Frau
Titel:
Vorname:
Name:
Funktion/ Stellung:
Firma/Institution:
Adresse:
PLZ/Ort:
Tel./Fax:
E-Mail:
Unterschrift:
Zutreffendes bitte ankreuzen:
□ Normaltarif CHF 220.–
□ Tarif CHF 190.– für assoziierte Verbände (bitte ankreuzen)
Mitglied bei □ SI, □ CLUSIS, □ ISACA, □ SGRP, □ foraus
Mitglied bei □ ITG, □ IAETH, □ TeleTrusT, □ Datenschutz-Forum Schweiz
□ Ab dem 3. Teilnehmenden aus einer Firma/einer Institution
□ Tarif CHF 160.– für Mitglieder ISSS oder SwissICT (bitte ankreuzen)
□ Mitglied ISSS
□ Mitglied SwissICT
□ Studierendentarif CHF 50.–
Vollzeit- Studierende und Vollzeit- Doktoranden unter 30 Jahren mit Legi
(Legikopie innert 10 Tagen nach Anmeldung an das ISSS-Sekretariat
senden, sonst gilt Normaltarif)
□ Gratis
□ Vorstand ISSS
□ Mitwirkende (Podium, Referat, etc.)
□ Sponsorticket
□ Presse
Document
Kategorie
Bildung
Seitenansichten
4
Dateigröße
498 KB
Tags
1/--Seiten
melden