Security Trends:
Information Security Survey
& Datenschutzgrundlage neu
x Präsentation der Global State of Information Security Survey 2017 von PwC
x Die neue Datenschutzgrundverordnung x Risiken managen und Compliance x Cybersecurity trifft Safety
x Resilient – Die hohe Kunst der Incident Response
x Security Tests for Mobile Applications – Why using TLS/SSL is not enough
x Die EN 50600: Ein Mehrwert für das ISMS – Erfahrungsbericht der Raiffeisen Informatik Center Steiermark
x Podiumsdiskussion zum Information Security Survey & der EU‑Datenschutzgrundverordnung neu
Dienstag, 21. Februar 2017 9.00–15.00 Uhr
PwC Österreich,
1030 Wien, Erdbergstraße 200
Referenten: Markus Hefler (Raiffeisen Informatik Center Steiermark GmbH), Arne Jacobsen (IBM), Peter Kieseberg (Kibosec), Christian Kurz (PwC), Wolf‑
gang Prentner (ZT PRENTNER-IT), Erwin Schoitsch (AIT – Austrian Institue of Technology), Dr. Christof Tschohl (Re- search Institute)
Moderation: Thomas Bleier (Future Network Beirat) und Krzysztof Müller (Consultant)
Mit freundlicher Unterstützung von:
Beschränkte Teilnehmerzahl!
Anmeldung erforderlich!
Freier Zutritt für IT‑Anwender und mit Ehreneinladung!
Einleitung
Laut der Global State of Information Security Sur- vey 2017, die von PwC durchgeführt wurde, wer- den heutzutage verschiedene Tools und Prozesse zur Gefahrenerkennung in Unternehmen verwen- det. Viele Unternehmen passen ihre Technologien laufend an, um Gefahren vorzubeugen. Immer häu- figer werden auch cloud-based managed Security Services in Betracht gezogen.
Im Jahr 2016 haben 51 % der Befragten angege- ben, aktiv Tools zur Gefahrenerkennung zu benut- zen, um Risiken zu minimieren.
Für immer mehr Unternehmen spielen Cyber- security und Datenschutz von Kunden eine immer größere Rolle. Mehr als die Hälfte der Befragten arbeitet mit externen Partnern zusammen, um die Sicherheit zu erhöhen und die Risiken zu mini- mieren.
GSISS 2017 – Global State of Information Security Survey 2017
Jahr für Jahr werden Cyber-Atta- cken häufiger, schwerwiegender und haben umfassendere Aus- wirkungen, gleichzeitig werden die Methoden zu deren Aufde- ckung und Verhinderung sowie Innovationen im Bereich Cyber- Sicherheit ebenfalls verbessert.
Führungskräfte wollen Lösungen, die die Cyber- Risiken verringern und die Unternehmens-Perfor- mance verbessern. Wie Manager mit Innovationen und Rahmenwerken zur Verbesserung von Sicher-
Christian Kurz (PwC)
AGENDA
9.00 GSISS 2017 – Global State of Informa‑
tion Security Survey 2017 Christian Kurz (PwC)
9.35 Resilient – Die hohe Kunst der Incident Response
Arne Jacobsen (IBM)
10.05 Die neue EU Datenschutzgrundverord‑
nung
Dr. Christof Tschohl (Research Institute) 10.30 Pause
10.50 Podiumsdiskussion: zu aktuellen Trends des Global State of Information Security Survey 2017 und der EU Datenschutz‑
grundverordnung
mit: Arne Jacobsen (IBM), Markus Hefler (Raiffeisen Informatik Center Steiermark), Christian Kurz (PwC), Wolfgang Prentner (ZT PRENTNER-IT), Dr. Christof Tschohl (Research Institute)
Moderation: Thomas Bleier (Future Network Beirat) und Krzysztof Müller (Consultant)
11.30 Cybersecurity trifft Safety – Bedrohung jenseits von Datenklau und Verletzung der Privatsphäre?
DI Erwin Schoitsch (AIT Austrian Institute of Technology GmbH)
12.00 Pause
12.30 Die EN 50600: Ein Mehrwert für das ISMS – Ein Erfahrungsbericht
Markus Hefler (Raiffeisen Informatik Cen- ter Steiermark)
13.00 Sicherheitstest für mobile Applikationen – Warum reines Vertrauen auf TLS/SSSL nicht genug ist
DI Peter Kieseberg (Kibosec GmbH) 13.30 Networking
14.30 Ende der Veranstaltung
heit und Minimierung des Unternehmensrisikos umgehen, das zeigt die Global State of Informa- tion Security® Survey 2017, eine von PwC US zu- sammen mit dem CIO Magazine und CSO veröf- fentlichte Studie.
Resilient – Die hohe Kunst der Incident Response
Die neue Datenschutzgrundverordnung
In diesem Vortrag werden die Teilnehmer an die Thematik der Datenschutzgrundverordnungen und an die Grundlagen des Daten- schutzes herangeführt. Bespro- chen werden:
x Rechtlicher Rahmen x Änderungen x Betroffene Personen x Problemfelder
x Chancen für Unternehmen u. a.
Cybersecurity trifft Safety – Bedrohung jenseits von Datenklau und Verletzung der Privatsphäre?
Wo sind die Zeiten hin, in denen selbst komplexe Systeme wie Industrieanlagen oder Transportsys-
teme übersichtlich, in sich ge- schlossen und abgegrenzt von der übrigen Cyber-Welt waren – mit eigenen Kommunikations- systemen, technischer Über- wachung und Kontrolle durch eigenes, speziell geschultes Per- sonal, im schlimmsten Fall mit
einem Sicherheitszaun herum? Die hochgradige Vernetzung der Systeme zu »Systems-of-Systems«
über die gängige IP-Netzwerksstruktur schafft viele
neue Möglichkeiten – wurde aber nicht zugleich die »Büchse der Pandora« damit geöffnet? Der Vortrag soll einen breiten Überblick über verschie- dene Anwendungsdomänen, charakteristische Vor- fälle (»Hackertum«) und Vermeidungsmaßnahmen bringen. Abgerundet wird das Bild durch Einblick in die umfangreichen Bemühungen, Standards so- wohl generischer Art als auch domänenspezifisch zu schaffen (ISO, IEC, ETSI u. a.), mit Ausblick auf die »schöne neue Welt« des (Industrial) Internet of Things – und den Schwierigkeiten, hier zuver-
Erwin Schoitsch (AIT)
Dr. Christof Tschohl (Research Institute) Arne Jacobsen (IBM)
Quelle: PwC, CIO and CSO, The Global State of Information Security® Survey 2017, October 5, 2016
Have intrusion-
detection tools Actively monitor & analyze information security
intelligence
Conduct vulnerability assessments
Conduct threat assessments
Have security information and event management
(SIEM) tools
Use threat intelligence
subscription services Conduct penetration tests
52% 51% 48% 47%
47% 45% 44%
Threat detection tools an processes in placce, 2016
lässige, vertrauenswürdige Systeme zu schaffen (Safety, Cybersecurity, Reliability). Gerade für hoch- automatisierte Systeme und »Systems-of-Systems«
(Automated Driving, Robotics, Smart Manufactu- ring usw.) wird noch der Ansatz diskutiert, nega- tive Effekte durch (teilweise) Autonomie kritischer Teile oder umschaltbare Redundanzen zu vermei- den oder zu entschärfen.
Die EN 50600: Ein Mehrwert für das ISMS
Das europäische Gegenstück zur amerikanischen Data-Cen- ter-Norm ANSI/TIA 942 ist die
»EN 50600 Einrichtungen und Infrastrukturen von Rechenzen- tren« und wurde mit Veröffent- lichung des letzten Teils der Design-Gruppe »EN 50600 – 2 – 5 Security Systems«, vollständig publiziert – und bildet somit als
erster europäischer Standard eine Grundlage für die Zertifizierung von Rechenzentren. Der Bereich
»Operations« adressiert den sicheren RZ-Betrieb mit Unterstützung der nachgelagerten »KPI«. Der Teil EN 50600 – 3 – 1 darin wurde ebenfalls im Okto- ber 2016 publiziert. Er beschreibt in Anlehnung an die Prozesse gemäß ITIL und ISO 20000 einen Satz von Betriebs- und Management-Prozessen.
So behandelt der Teil 3 – 1 unter dem Oberbegriff
»Operational Processes« die Prozesse Opera- tions, Incident, Change, Configuration und Ca- pacity Management und ergänzt die IT-Aspekte aus ITIL und ISO 20000 um weitere relevante RZ- Aspekte wie Haus- und Gebäudetechnik, Ener-
gieversorgung bauliche Maßnahmen u. a. Unter dem Oberbegriff »Management Processes« wer- den Prozesse wie Availability, Security, Energy, Product Life Cycle oder Service Level Management zusammengefasst.
Sicherheitstest für mobile Applikationen – Warum reines Vertrauen auf TLS/SSSL nicht genug ist
Sicherheitstests sind ein funda- mentaler Aspekt in vielen weit verbreitete Methoden des Soft- ware-Testings. Allerdings ist es oftmals der Fall, dass die einge- setzten Security-Protokolle nicht hinterfragt oder getestet wer- den. In diesem Vortrag geben wir einen kurzen Überblick darü-
ber, wie aufgrund dieser Praxis essentielle Sicher- heitslücken im Rahmen von Sicherheitstests und der Qualitätskontrolle übersehen werden. Dabei konzentrieren wir uns auf zwei grundsätzliche Pro- bleme: Die Definition eines korrekten und umfas- senden Angreifermodells, sowie das Setzen von Vertrauen in den Client bei der Nutzung kryptogra- phischer Algorithmen.
Referenten
Markus Hefler ist bei der Raiffeisen Informatik Cen- ter Steiermark in der Funktion als Chief Information Security Officer. Als Verantwortlicher für die Sicher- heit der IT-Komponenten der steirischen Raiffeisen- banken wurde auch das Masterstudium erfolgreich abgeschlossen. Die aktuellen Tätigkeiten umfassen im Speziellen die Bereiche Information Security, Business Continuity und IT-Risiko Management.
Zusätzlich gehören die Planung und Begleitung externer ISO/IEC 20000, ISO/IEC 27001 und ANSI TIA-942 Audits als auch die Planung und Durchfüh- rung interner Audits im Zusammenhang mit den genannten Normen zu seinem Verantwortungsbe- reich. Die erlangten Zertifizierungen umfassen die eines CISA, CISM und eines CISSP.
Arne Jacobsen ist seit Januar 2016 bei Resilient für den Aufbau des DACH Marktes verantwortlich.
Er arbeitet seit 18 Jahren in der Security Branche bei verschiedenen Herstellern. Vor Resilient war er bei Qualys, Varonis und Safeboot jeweils für den deutschsprachigen Bereich verantwortlich. Er hat an der Universität Frankfurt seinen Abschluss zum Diplom-Kaufmann gemacht.
Peter Kieseberg erhielt seinen Abschuss in »Tech- nische Mathematik in den Computerwissenschaf- ten« an der Technischen Universität Wien. Im An- schluss arbeitete er als Associate Consultant bei Benmark, sowie als Consultant bei NEWCON im Be- reich Telekommunikation, speziell in den Bereich Interconnection Billing und DWH/BI. Seit Mai 2010 ist er Research Manager und Forscher bei SBA Re- search, seine Spezialisierungen liegen dabei in
Markus Hefler (Raiff- eisen Informatik Cen- ter Steiermark)
Peter Kieseberg (Kibosec)
den Bereich der digitalen Forensik, sowie des Fin- gerprintings strukturierter Daten, speziell auch im medizinischen Bereich.
Christian Kurz arbeitet seit 2012 für PwC und war davor 7 Jahre in der IT-Beratung und 5 Jahre in der Forschung tätig. Parallel dazu unterrichtet er an Fachhochschule St. Pölten im Masterstudiengang Information Security. Seine fachlichen Schwer- punkte liegen in den Bereichen Computer Foren- sik, Electronic Discovery und Untersuchungen im Bereich Cyberforensics. Er ist Certified Cyber Fo- rensic Professional – European Union von (ISC)².
ZT Dr. Wolfgang Prentner. Seit 1998 IT-Ziviltechniker im Fach- bereich Informationstechnologie.
Geschäftsführer der ZT-PREN- TENR-IT GmbH, Gerichtssach- verständiger und promovierter Informatiker an der TU Wien. Als unabhängige Prüf- und Überwa-
chungsstelle für Informatik, CyberSecurity, Daten- schutz und dem INTERNET-SICHERHEITSGURT unter- stützt er außerdem in ehrenamtlicher Funktion die Länderkammer, die Bundeskammer und das Bun- deskomitee Die Freien Berufe Österreichs sowie das Bundeskanzleramt seit 2004.
Dipl.‑Ing. Erwin Schoitsch studierte an der TU Wien Technische Physik und zusätzlich Rechentechnik. Er arbeitet seit über 40 Jahren im AIT Austrian Institute of Technology, Safety & Security Departrment, im Bereich der sicherheitsrelevanten und zuverlässi- gen Computersysteme, Prozesssteuerungen, Echt- zeitsysteme und der kritischen eingebetteten Sys-
teme. Er ist auch seit langem in der internationalen Standardisierung (IEC, ISO) der funktionalen Sicher- heit als delegierter österreichischer Experte aktiv.
Er war und ist in vielen nationalen und Euro- päischen Forschungsprojekten auf diesem Fach- gebiet tätig, derzeit vor allem in ARTEMIS Pro- jekten (»Advanced Research and Technology for Embedded Intelligence and Systems«), einer spe- zielle industrienahe Förderschiene des Rahmen- programms mit eher großen bis sehr großen For- schungsprojekten.
Christof Tschohl ist Nachrichtentechniker und Jurist mit wissenschaftlicher Spezialisierung auf Grund- und Menschenrechte in der Informationsgesell- schaft. Seit Ende 2012 arbeitet er hauptberuf lich als wissenschaftlicher Leiter und Gesellschafter am Auf bau des Forschungs- und Beratungsunterneh- mens Research Institute AG & Co KG – Zentrum für digitale Menschenrechte. Das junge Unternehmen an der Schnittstelle von Technik, Recht und Gesell- schaft, beschäftigt sich aus interdisziplinärer Per- spektive mit der Bedeutung und Verwirklichung von Menschenrechten im digitalen Zeitalter. Im tech- nischen und rechtlichen Fokus sind die Themen Datenschutz und Daten- bzw. Informationssicher- heit, Cybercrime und Medien- sowie E-Commerce- Recht, stets im Geiste von »Privacy by Design« und begleitender Technikfolgenabschätzung. Christof Tschohl war Erstbeschwerdeführer und Autor des Antrags an den Verfassungsgerichtshof gegen die Vorratsdatenspeicherung in Form einer Massenbe- schwerde von 11 167 Personen, die gemeinsam mit anderen Verfahren schließlich im Jahr 2014 maß- geblich zur Auf hebung der Vorratsdatenspeiche- rung in der EU und in Österreich geführt hat.
CISSP (Certified Infor- mation Systems Security Professional Training)
Referent: Gernot Goluch (SBA Research)
Termine: 10. – 14. 4. 2017, 11. – 15. 9. 2017, 13. – 17. 11. 2017, alle Wien
x tiefgehende Kenntnisse in Sicherheitskonzep- ten, Umsetzung und Methodologie
x ISC²
x Entwicklung von Sicherheitsrichtlinien x Sicherheit in der Softwareentwicklung x Angriffsarten und die korrespondierenden
Gegenmaßnahmen
x kryptographische Konzepte und deren Anwen- dung
x Notfallplanung und -management x Risikoanalyse
x forensische Grundlagen
Teilnahmegebühr: € 3.000,–, Prüfungsgebühr: € 520,–
(Alle Preise + 20 % MwSt.)
Information und Anmeldung: www.conect.at
CIS Information Security Manager
Referenten: Herfried Geyer (CIS), Günther Schreiber (CIS, Quality Austria), Markus Frank (RA-Kanz- lei Frank-Law), Orlin Radinsky (RA-Kanzlei BKP)
Termine: 6. – 9. 6. 2017, 24. – 27. 4. 2017, 18. – 21. 9. 2017, 20. – 23. 11. 2017
xAufbau, Implementierung so- wie ständige Verbesserung des Informationssicherheits- Manage mentsystems (ISMS) xCIS-Akkreditierung
xSchnittstelle zwischen der obersten Führungsetage und den operativen Unternehmens- bereichen.
xPsychologische Grundlagen für IS-Manager
xRechtsgrundlagen
Teilnahmegebühr: € 3.000,–
Prüfungsgebühr: € 600,–
(Alle Preise + 20 % MwSt.)
Information und Anmeldung: www.conect.at
CSSLP (Certified Secure Software Lifecycle Profes- sional)
Referent: Gernot Goluch (SBA Research)
Termine: 15. – 19. 5. 2017, 9. – 13. 10. 2017, alle Wien
x Die CSSLP-Zertifizerung garantiert, dass Sie umfassendes Wissen in allen Bereichen des Secure- Development-Lifecycles haben.
x ISC²
x Sichere Softwareentwicklung
Teilnahmegebühr: € 3.000,–, Prüfungsgebühr: € 480,–
(Alle Preise + 20 % MwSt.)
Information und Anmeldung: www.conect.at
Herfried Geyer
Günther Schreiber
Markus Frank
Orlin Radinsky
Datenschutz im Umgang mit Kundendaten und Big Data
Referent: Christof Tschohl (Research Institute) Termin: 10. März 2017, Wien In diesem Workshop werden die
Teilnehmer an die besonderen Anforderungen des Datenschutzes im Umgang mit Kundendaten und im Internet of Things herangeführt. Das Ziel ist es, den Teilnehmern die Feinheiten beim Umgang mit Kundendaten aus datenschutzrechtlicher Sicht und die datenschutzrechtlichen Fragestellungen im Zu- sammenhang mit Big Data im Internet of Things zu vermitteln und zu beantworten, um diese in der betrieblichen Praxis umsetzen zu können. Selbstver- ständlich wird auch im Rahmen des Workshops auf die spezifischen Fragen der Teilnehmer eingegangen.
Inhalte des Seminars x Rechtlicher Rahmen x Datenerhebung x Datenverwendung x Cold Calling z. B.
Internet of Things
x Big Data – Chancen und Risiken x Schutz der persönli-
chen Daten
Teilnahmegebühr: € 750,–, Frühbucher: € 650,–
(Alle Preise + 20 % MwSt.)
Information und Anmeldung: www.conect.at
Datenschutzgrundverord- nung und Datenschutz im Unternehmen
Referent: Christof Tschohl (Research Institute) Termin: 8. Mai 2017, Wien Durch das so genannte »One-Stop-
Shop-Prinzip« können Verbraucher ihre Rechte (z. B. Auskunftsrecht, Recht auf Berichtigung und Löschung) leichter als bisher durchsetzen. Wer bislang beispielsweise gegen Facebook vorgehen wollte, musste sich bei der irischen Datenschutz- behörde beschweren und notfalls auch dort klagen.
Nach der neuen Datenschutzgrundverordnung müs- sen sich Verbraucher nur noch an die Datenschutz- behörde ihres Heimatlandes wenden. Diese spricht sich dann mit den Behörden im Anbieterland ab.
Inhalte des Seminars x Rechtlicher Rahmen x Änderungen x Betroffene Personen x Problemfelder x Chancen für Unter-
nehmen x Datenschutzkom-
mission
x Datenverarbeitungs- register
xVideoüberwachung x Rechte und Pflichten
im DSG
xVerwendung von Daten
x Datenerhebung Teilnahmegebühr: € 750,–, Frühbucher: € 650,–
(Alle Preise + 20 % MwSt.)
Information und Anmeldung: www.conect.at
Titel:
PLZ:
Firma:
Vorname:
Nachname:
Funktion:
Straße:
Ort:
Telefon: Fax:
E-Mail:
Datum: Unterschrift/Firmenstempel:
f Ich erkläre mich mit der elektronischen Verwaltung meiner ausgefüllten Daten und der Nennung meines Namens im Teilneh- merverzeichnis einverstanden.
f Ich bin mit der Zusendung von Veran- staltungsinformationen per E-Mail einver- standen.
(Nichtzutreffendes bitte streichen)
An
CON•ECT Eventmanagement 1070 Wien, Kaiserstraße 14/2 Tel.: +43 / 1 / 522 36 36 – 36 Fax: +43 / 1 / 522 36 36 – 10 E‑Mail: registration@conect.at http://www.conect.at
ANMELDUNG: Nach Erhalt Ihrer Anmeldung sen- den wir Ihnen eine Anmeldebestätigung. Diese Anmeldebestätigung ist für eine Teilnahme am Event erforderlich.
STORNIERUNG: Sollten Sie sich für die Veranstal- tung anmelden und nicht teilnehmen können, bit- ten wir um schriftliche Stornierung bis 2 Werk- tage vor Veranstaltungsbeginn. Danach bzw. bei Nichterscheinen stellen wir eine Bearbeitungs-
gebühr in Höhe von € 50,– in Rechnung. Selbst- verständlich ist die Nennung eines Ersatzteilneh- mers möglich.
ADRESSÄNDERUNGEN: Wenn Sie das Unterneh- men wechseln oder wenn wir Personen anschrei- ben, die nicht mehr in Ihrem Unternehmen tätig sind, teilen Sie uns diese Änderungen bitte mit.
Nur so können wir Sie gezielt über unser Veran-
staltungsprogramm informieren. 17005
Layout: Gerhard Krill
Zielgruppe: Unternehmensleitung, Sicherheitsverantwortliche, IT‑Vor‑
stand, IT‑EntscheiderInnen, IT‑Verantwortliche sowie VertreterInnen von Medien und Wissenschaft.
