Information Security Society Switzerland (ISSS)
menu

ISSS Zürcher Tagung 2012 - Wie sicher sind "sichere" IT-Systeme?

Sicherheitsprüfung von IT-Systemen - Lästige Pflicht oder zwingende Notwendigkeit?

Termin: Di, 12.06.2012, 13:30 - 19:00 Uhr  
Ort: IBM Forum, Vulkanstrasse 106, 8048 Zürich-Altstetten  
Anmeldung: Anmeldeformular  
Flyer: Flyer  
Bilder Photos von der Tagung


Die ISSS Zürcher Tagung 2012 widmet sich dem spannenden Themenbereich der Sicherheitsüberprüfungen von IT-Systemen und präsentiert das Thema von der technischen und rechtlichen Seite.

 

Die Abstracts sowie die Short Bios der Referenten finden Sie weiter unten auf der Seite.

 

Programm

13:00

Registrierung

   

13:30

Eröffnung der Tagung
Dr. Sonja Hof, Vorstand ISSS

   

13:40

Begrüssung
Dr. Ursula Widmer, Präsidentin ISSS

   
Technischer/Organisatorischer Teil
 13:50

IT Risiken in einer sich ändernden Welt - Anspruch an Prüfungen und internes Audit

Referent: Robert- Stephan Zergenyi, Audit Director für Information Technology und Group Operation bei Zurich Financial Services

 --  
 14:20

Sicherheitsprüfungen: Erfahrungen und Grenzen in der Praxis

Referent: Ivan Bütler, Compass Security AG Schweiz

Slides   
 14:50

Jenseits corporate IT-Prävention und BCM: Die Rolle des Staates und die nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken

Referent: Gérald Vernez , Projektleiter Cyber Defence Strategie Schweiz

 --  
 15:30 Pause    
Juristischer Teil
 16:00

Das rechtliche und regulatorische Umfeld  der IT Systemprüfung (aus der Sicht einer Revisionsgesellschaft und Treuhandberatung)

Referent: Klaus Krohman, Rechtsanwalt, Head E&Y Legal

 Slides  

 16:30

Die IT Systeme und deren Sicherheit im Finanzbereich (aus der Sicht eines Bankjuristen)

Referent: Dr. Christoph Stocker, Rechtsanwalt, UBS AG

 --  
 17:00

Stolpersteine und Hürden bei der praktischen Durchsetzung von Rechten im Zusammenhang mit IT Sicherheitssystemen -
Datendiebstahl in der öffentlichen Verwaltung – juristischer Leidensweg einer Aufräumaktion – Recht haben heisst nicht Recht bekommen

Referent: Lukas Faessler, Rechtsanwalt und IT Experte, FSDZ Rechtsanwälte

 --  
17:30 Panel    

18:00

Apéro

   
19:00 Offizielles Ende der Veranstaltung    

 

 

Detailinformationen


IT Risiken in einer sich ändernden Welt - Anspruch an Prüfungen und internes Audit

Diverse Ausprägungen von Risiken, neue Regulationen oder sich ändernde Geschäftsprozesse aufgrund Outsourcing, Offshoring, neue Technologien oder veränderten Kundenverhaltens stellen immer wie breitere Ansprüche an die Audit Planung und deren Durchführung. Anhand Beispiele der IT Revision in der Zurich Financial Services wird aufgezeigt, wie man aus einer Kontrollsicht diesen Herausforderungen begegnen kann, was für Prüfungsaktivitäten auf technischer, organisatorischen Ebene erfolgreich sind, und wie man der Geschäftsleitung zusätzliche Unterstützung innerhalb und ausserhalb formellen Prüfungen bieten kann, diese Risiken zu managen.

Referent:
  Dr. R. Zergenyi ist IT Audit Director bei der Zurich Financial Services. Er hat eine sehr breite Erfahrung in Risikomanagement, IT Strategie und IT Planung, IT Management, Projekt Management, IT Governance, interne Kontrollsysteme, Qualitätsmanagement und Service Management.
Robert war Principal Consultant bei der France Telecom, und zuvor tätig bei der KPMG als Informationssicherheitsberater. In einer früheren Rolle war er zuständig für die Sicherheit und den Betrieb der Internet Access Services für den E-banking Bereich bei der UBS.
Im Rahmen dieser Rollen hat er sich umfassende Kenntnisse in Informationssicherheit, Regulatorien, Sarbanes Oxley Act Section 404, Basel II, Solvency II und HIPAA angeeignet. Herr Zergenyi ist Certified Internal Auditor(CIA), certified Six Sigma Black Belt, British Standard Lead Auditor (BS7799) und CISA certified Auditor.


Sicherheitsprüfungen: Erfahrungen und Grenzen in der Praxis

Der Penetration Test ist eine anerkannte Methode für die Identifikation von Schwachstellen und Gefahren in IT Anlagen. Es gibt diverse Herausforderungen; neben Beeinträchtigung der Verfügbarkeit, Probleme bezüglich Privatsphäre, Cloud-  und Service Provider als auch ändernde Testumgebungen gibt es diverse Hürden.  Erfahren Sie in diesem Referat von Ivan Bütler, CEO von Compass Security AG, mehr als auch selbstkritische Erfahrungen und Grenzen von Penetration Tests in der Praxis.

Referent:
Ivan Bütler Ivan Bütler ist Gründer und CEO von Compass Security AG, eine auf Ethical Hacking und Penetration Testing spezialisierten Firma aus Rapperswil-Jona. Ivan ist Autor von anerkannten IT Security Fachpublikationen, regelmässiger Speaker an diversen Konferenzen wie Blackhat Las Vegas, IT Underground in Warschau oder OWASP AppSec in den USA. Zusätzlich engagiert er sich als Lehrbeauftragter an der Fachhochschule Rapperswil, Luzern und St.Gallen zu den Themen Hacking und Defense. Ivan ist im Vorstand von ISSS, organisiert die ISSS St.Galler Tagung, engagiert sich in der ISSS SIG zum Thema Nationale Cyber Defense Strategie und unterstützt das OK von Swiss Cyber Storm und des Hacking-Lab.


Jenseits corporate IT-Prävention und BCM: Die Rolle des Staates und die nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken

IKT ist ein wesentlicher Teil unsere Gesellschaft geworden. Leider hat die Medaille auch eine Kehrseite mit vielen Risiken, welche wir mit der nötigen Intensität und Nachhaltigkeit adressieren müssen. Halbe Lösungen suchen, weitere Verzögerungen in Kauf nehmen, um die „perfekte Lösung“ abzuwarten sind keine Optionen. Cyber-Risiken übersteigen die Dimension der bereits bekannten und praktizierten IKT-Sicherheit. Die kurz vor der Genehmigung stehende nationale Strategie zum Schutz vor Cyber-Risiken  sollte endlich einen pragmatischen und ausgewogenen Lösungsansatz darstellen, welcher die Schweiz ermöglicht Risiken zu antizipieren, eine wirksame Prävention zu betreiben und bei Vorfällen eine adäquate Reaktion auszulösen.

Referent:
Gérald Vernez Gérald Vernez ist seit Januar 2011 stellvertretender Projektleiter Cyber Defense im Generalsekretariat des VBS. Er hat Geologie in Lausanne, Meteorologie in Strasbourg sowie Sicherheitspolitik und Krisenmanagement an der ETHZ studiert (MAS ETH SPCM). Seine Karriere hat er in den Tiefbauten und Risiko-Management angefangen. In 1996 fängt er im Generalstab, Untergruppe Operationen als wissenschaftlicher Mitarbeiter eine neue Karriere an und zwischen 1998 und 2008 gründet er, unter vielen anderen Aufgaben, die Informationsoperationen der Armee. Zwischen 2009 und 2010 war er Stabschef des Führungsstabes der Armee. Gérald Vernez ist ein unermüdlicher Wanderprediger mit unzählige Artikel und Referate in der Schweiz und im Ausland damit Entscheidungsträger und  Gesellschaft endlich von den Cyber-Risiken Kenntnis nehmen und richtig handeln.


Das rechtliche und regulatorische Umfeld  der IT Systemprüfung

aus der Sicht einer Revisionsgesellschaft und Treuhandberatung

Darstellung der gesetzlichen Randbedingungen aus Gesellschafts- und Revisionsrecht. Diskussion der regulatorischen Randbedingungen, Voraussetzungen und Pflichten auf nationaler Ebene wie Swiss Code – insbesondere IKS, Umgang mit Risiken, Compliance; Handbuch für Wirtschaftsprüfung - HWP und auf internationaler Ebene (z.B. SOX). Daraus werden Pflichten für Massnahmen zum präventiven Umgang mit insbesondere IT Risiken und Hinweise auf mögliche Rechtsfolgen der Unterlassung dieser Massnahmen abgeleitet. Die Rolle der Revisions- und Treuhandgesellschaften bei der IT Systemprüfung wird erläutert und Empfehlungen aus juristischer Sicht für die Durchführung von Systemprüfungen durch interne oder externe Sachverständige gegeben. Der Schutz und die Sicherung der IT Infrastruktur sowie eigener vertraulicher Informationen und vertraulicher Daten von Kunden und Geschäftspartnern werden besonders hervorgehoben. Spezielles Augenmerk wird auf die Ausgestaltung der Verträge mit beigezogenen Experten und die Auswertung der Ergebnisse der Systemprüfung bei Vorhandensein vertraulicher Informationen gelegt. Praktische Erfahrungen und Empfehlungen aus der Revisionspraxis runden das Referat ab.


Referent:
Rechtsanwalt Klaus Krohman

Rechtsanwalt Klaus Krohmann ist seit 13 Jahren in der Rechtsberatung bei Wirtschaftsprüfern oder an Wirtschaftsprüfer angelehnten Firmen tätig, vormals bei Andersen Legal, der Rechtsberatung der ehemaligen Arthur Andersen und seit 2002 bei Ernst & Young AG, Legal Services. Seine Spezialisierung liegt im Technologierecht, insbesondere auch im Software- und EDV-Recht. Er ist Head of IP/IT Law der Legal Services von Ernst & Young Schweiz, eine kleine Gruppe von Anwälten, welche im Zusammenhang mit Wirtschaftsprüfungs- sowie Spezialmandaten in Kooperation mit den Kollegen aus IT Risk & Assurance auftreten.


Die IT Systeme und deren Sicherheit im Finanzbereich

aus der Sicht eines Bankjuristen

Rechtliche (BankG/BankV) und regulatorische (FINMA-Rundschreiben z.B. zur Überwachung und interne Kontrollen sowie zum Outsourcing; Richtlinien Swiss Banking, z.B. über die Standesregeln zur Sorgfaltspflicht oder die Empfehlungen zum Business Continuity Management) Anforderungen an die Systeme/Systemprüfung.  Die Wahrung des Bankkundengeheimnisses bei der Systemprüfung. Anlass und Auftrag für ein Testing der Systemsicherheit, Beiziehung externer Sachverständiger, Dokumentation und Berichterstattung über die Ergebnisse, Folgemassnahmen.


Referent:
Dr. Christoph R. Stocker Dr. Christoph R. Stocker ist seit über 25 Jahren Rechtskonsulent bei der UBS AG und berät heute umfassend in Rechtsfragen rund um Bankkundenbeziehungen sowie in grundsätzlichen Fragestellungen betrieblicher Natur, bei Projekten, Auswirkungen von Gesetzesänderungen etc. Sein besonderes Interesse richtete er in der Vergangenheit sodann auf Rechtsfragen bei elektronischen Bank-Dienstleistungen, beim Internet sowie rund um die Informationstechnologie.


Stolpersteine und Hürden bei der praktischen Durchsetzung von Rechten im Zusammenhang mit IT Sicherheitssystemen

Datendiebstahl in der öffentlichen Verwaltung – juristischer Leidensweg einer Aufräumaktion – Recht haben heisst nicht Recht bekommen

Anhand eines konkreten Falles von massivem Datendiebstahl in der öffentlichen Verwaltung zeigt RA Fässler auf, mit welchen forensischen Mitteln die Beweissicherung bei einem widerrechtlichen Eindringen in eine EDV-Anlage sichergestellt werden muss, damit sowohl im Strafverfahren wie auch im zivilen Schadenersatzverfahren der Geschädigte seine Rechte vollumfänglich wahren kann. IT-Sicherheitssysteme bilden dabei eine unabdingbare Voraussetzungen dafür, dass überhaupt auch eine strafrechtliche Verfolgung stattfinden kann. Trotzdem sind die IT-Sicherheitssysteme weder Garant noch Basis für die Durchsetzung der Rechte der Dateninhaber. Es braucht viel mehr ein sehr subtiles Vorgehen zur Beweissicherung in jeder Hinsicht. Wie schwierig die Durchsetzung der Rechte der Dateninhaber nach einem Datendiebstahl wirklich sind, wird anhand des vorliegenden Falles augenscheinlich, nicht zuletzt auch deshalb, weil das Bundesgericht in diesem Falle mit einem umstrittenen Entscheid den digitalen Daten die Sacheigenschaft abgesprochen hat, was hinsichtlich der Durchsetzung insbesondere von Löschungsmassnahmen bezüglich der gestohlenen Daten gegen den Datendieb und allenfalls Dritte, welche bereits in den Besitz der gestohlen Daten gekommen sind (z.B. Hostingprovider, Service-Dienstleister) grosse Fragen aufwirft.

Referent:
Rechtsanwalt Lukas Fässler Rechtsanwalt Lukas Fässler gilt als einer der bekanntesten und renommiertesten Informatik-Experten der Schweiz mit langjähriger Praxiserfahrung. Seit 1982 befasst er sich hauptberuflich mit Informatik und Telekommunikation. Von 1986- 1992 war er als Informatikbeauftragter der Luzerner Gerichte mit der Ersteinführung der Informatik im gesamten Gerichtswesen betraut. Ab 1992 bis 1997 leitete er als Informatikchef des Kantons Luzern die Organisations- und Informatik-Dienste (OID) des Kantons. Heute ist er neben seiner anwaltlichen Tätigkeit, welche sich seit über 15 Jahren ausschliesslich auf Informatik-, Datenschutz- und Computer-Kriminalität spezialisiert hat, in zahlreichen Verwaltungsräten von privaten und öffentlich-rechtlichen Informatik-Dienstleistungsunternehmen tätig und dort teilweise als Mitglied des Security-Boards für die interne Auditierung der Informatik-Sicherheits-Systeme mitverantwortlich. Als Präsident des Vereins Schweizerische Städte- und Gemeinde-Informatik (www.ssgi.ch), welchem über 420 Städte und Gemeinden angehören, legt er grossen Wert auf die Sensibilisierung der politischen Verantwortungsträger bezüglich ihrer Sorgfaltspflichten im Umgang mit digitalen Informationen.

Goldsponsor




Tagungspartner


IBM