Information Security Society Switzerland (ISSS)
menu

ISSS Zürcher Tagung 2013: IT Sicherheit im Finanzbereich – Vom schwierigen Umgang mit operationellen Risiken


Termin: Mi, 05.06.2013, 09.00 - 17.30 Uhr  
Ort: Hotel Widder, Augustinergasse 24, 8001 Zürich  
Anmeldung: keine Anmeldung möglich  

 

Am 5. Juni 2013 wird im Hotel Widder eine weitere ISSS Zürcher Tagung stattfinden, organisiert vom führenden Fachverband in der Schweiz für ICT-Sicherheit „Information Security Society Switzerland (ISSS)“.
 
Wie beinahe täglich aus den Medien zu entnehmen ist, spielt operationelles Risikomanagement nicht nur im Finanzsektor eine kritische und immer mehr an Bedeutung zunehmende Rolle. Die ganztägige Tagung wird dieses Thema ganzheitlich beleuchten, beginnend mit den Anforderungen der Regulatoren und den juristischen Hintergründen des Rechnungslegungsrechts über zivil- und strafrechtliche Konsequenzen bei Verletzung dieser Anforderungen bis hin zu konkreten Implementierungsbeispielen von Rahmenwerken und Krisenmanagement-Prozessen für den Fall der Fälle. Es wird besonderer Wert darauf gelegt, dass nicht nur die Finanzdienstleister selbst, sondern auch deren Zulieferer und Leistungsempfänger von der Tagung profitieren werden.
 
Hochkarätige Referenten und zahlreiche Fachexperten und Entscheidungsträger aus den Bereichen IT-Sicherheit und IT Risiko-Management werden an der Tagung zusammentreffen, um ihre Rollen im Kontext des Operationellen Risikomanagements zu diskutieren, zu verstehen und zu positionieren.

 

Programm

08.30

Kaffee / Registrierung  

09.00

Begrüssung

Dr. Ursula Widmer, Rechtsanwältin, Dr. Widmer & Partner, Rechtsanwälte, Präsidentin ISSS

 

09.15

Keynote: "Die Mutter aller Risiken - The Unintended Consequence"
Dr. h.c. Beat Kappeler, Autor NZZ am Sonntag, Buchautor

 

09.50

"Operationelle Risiken im Kapitalmarkt gestern, heute und morgen"
Prof. Dr. Hannes P. Lubich, Dozent für ICT System & Service Management, FH Nordwestschweiz

10.25

"Einführung in die regulatorischen Anforderungen und deren Prüfung"
Daniel Küng, Partner, PricewaterhouseCoopers AG

11.00 Kaffeepause  
11.30

"Der Paradigmenwechsel: Warum Datensicherheit bereits an der Quelle der Informationen erfolgen sollte"
Brad Wilkinson, Technical Account Manager, Central Europe, McAfee

 
12.05

"Praktische Auswirkungen des Rechnungslegungsrecht auf das Risikomanagement von Finanz- und Industrieunternehmen sowie deren Kunden"

Hans-Peter Wyss, Partner Audit & Advisory, Deloitte

 

12.40

Stehlunch

 

13.55

"Globales Operational Risk Management in der Praxis"
Claus Norup, Managing Director, Head Operational Risk Management IT, UBS AG

 
14.30

"Operationelle Risiken reduzieren und sich zu Nutzen machen: Pragmatische Ansichten des Risikoverantwortlichen"
Alfred Martin, Berater Operatives Bankgeschäft, Schweizerische Nationalbank

15.05

"IT Operation under fire - Umgang mit realen Bedrohungen in der Praxis"
Dr. Olaf Ziegra, Regional Sales Manager Central Europe, Sourcefire Germany GmbH

 
15.40

Kaffeepause

 
16.10

"Krisenmanagement: Kommunikation von Vorfällen zu Kunden, Regulatoren und Mitarbeitern"
Rainer Kessler, Head of Business Security Consulting and Member of the Executive Board, ISPIN AG

16.45

Podiumsdiskussion
Moderation: Dr. Lukas Ruf, Geschäftsführer, Consecom AG

 
17.15

Schlusswort
Dr. Ursula Widmer, Rechtsanwältin, Dr. Widmer & Partner, Rechtsanwälte, Präsidentin ISSS

 
17.30

Ende der Veranstaltung

 

Tagungsmoderation: Frank Heinzmann, Head Operational Risk Management UBS Switzerland IT, UBS AG

 

Sponsor

                   

Medienpartner

                    
McAfee   Netzwoche   inside-it.ch
         



 

Detailinformationen


"Die Mutter aller Risiken - The Unintended Consequence"

Das geldschöpfende Bankwesen ist systemisch instabil, der Euro ist kein ‘optimaler Währungsraum’, und alle politischen Eingriffe haben die Risiken nur verschoben und grössere angezettelt. Ein Blick darauf soll dem IT-Fachmann helfen, diese Aussenwelt zu erkennen und zu antizipieren. Solche ‘unintended consequences’ sind die Verschiebung der Bankschulden auf die Staatsschulden, der Staatsschulden in die Notenbankbilanzen, wonach nun Private, Banken, Staaten, Notenbanken verkettet sind, oder es sind die Aengste aus dem Zypern-”Hilfs”-Paket, die Mitgarantie der südeuropäischen Staaten und Frankreichs für Südeuropas Pakete, oder die Stimmenmehrheit der Schuldner in Fiskalpakt und ESM Stability Mechanism.

Referent:
Beat Kappeler    

Dr. h.c. Beat Kappeler, Autor NZZ am Sonntag, Buchautor

Dr. h.c. Beat Kappeler
, geb. 1946, Studium in Genf und Westberlin, Abschluss Genf mit Lizentiat in sciences politiques HEI, freier Journalist, Sekretär des Gewerkschaftsbundes 1977-1992, nachher Mitarbeiter der “Weltwoche”, ab 2002 bis heute exklusiv Kommentator bei der NZZ am Sonntag und bis Ende 2011 bei Le Temps Genf. 1996-2000 a.o. Professor für Sozialpolitik in Lausanne, 1999 Dr. h.c. der Universität Basel, Referent SKU, Mitglied der Eidg. Kommunikationskommission 1998-2007, Autor verschiedener Bücher, zuletzt:

“Sozial, sozialer, am unsozialsten” im NZZ-Verlag 2007,
„Man kann alles lernen. Hans Eisenring“, Stämpfli, 2011,
„Wie die Schweizer Wirtschaft tickt. Die letzten 50 Jahre und die nächsten...“, NZZ-Verlag, 2011

Verheiratet, zwei erwachsene Söhne.


"Operationelle Risiken im Kapitalmarkt gestern, heute und morgen"

Unser Sicherheits- und Risikobewusstsein hat sich über einen langen Zeitraum als Teil der kulturellen Entwicklung gebildet. Insbesondere bei abstrakten ICT-Risiken wirken jedoch die traditionellen Risiko-Einschätzungs- und -Bewältigungs¬strategien oft nicht, oder sind sogar kontraproduktiv. Ein ganzheitliches und nachhaltiges ICT-Risiko-Management muss daher neben technologischen auch "weiche" Faktoren wie Risiko-Kultur,Bewusstseinsbildung und die Widerstandsfähigkeit der Organisation gegenüber einer breiten Palette von Bedrohungen umfassen.

Referent:
Prof. Dr. Hannes Lubich   

Prof. Dr. Hannes P. Lubich, Dozent für ICT System & Service Management, FH Nordwestschweiz

Prof. Dr. Hannes Lubich
beschäftigt sich seit 25 Jahren mit IT-Systemen, Netzwerken und IT-Sicherheit. An der ETHZ arbeitete er als Forscher und Dozent und war massgeblich am Aufbau des Internet und des CERT in der Schweiz beteiligt. Danach war er als CISO der Bank Julius Bär sowie als Strategieberater bei Computer Associates und British Telecom tätig. Seit 2009 ist er Professor für ICT System & Service Management an der FH Nordwestschweiz in Brugg, zudem lehrt er an der ETH Zürich.

 
"Einführung in die regulatorischen Anforderungen und deren Prüfung"

Die FINMA beabsichtigt, die aufsichtsrechtlichen Anforderungen an das Management operationeller Risiken einer Revision zu unterziehen. Dabei sollen unter anderem die Aspekte der Kundendatensicherheit konkretisiert werden. Das Referat gibt einen Abriss über die Entwicklung der Behandlung der operationellen Risiken im internationalen und nationalen Aufsichtsrecht und beleuchtet die schweizerischen Entwicklungen und deren Auswirkungen auf die Aufsichtsprüfung.

Referent:
Daniel Küng

Daniel Küng, Partner, PricewaterhouseCoopers AG

Daniel Küng betreut beraterisch oder im Rahmen von Aufsichtsprüfungen schwergewichtig Kunden im Banken- und Vermögensverwaltungssektor in Fragen des Managements operationeller Risiken, der Informationssicherheit und der internen Kontrollsysteme. Bevor er vor 19 Jahren zu PwC stiess, hatte er mehrere Jahre Projektleitungs- und Linienführungsfunktionen in den Bereichen Systementwicklung und Information Engineering bei Schweizer Finanzdienstleistern inne.
Daniel Küng ist dipl. Wirtschaftsinformatiker, Certified Information Systems Auditor und erlangte das Diplom des Swiss Banking School Executive Programs. Seine Diplomarbeit „Das Management der operationellen Risiken bei Banken“ wurde 2003 im Verlage Haupt, Bern, veröffentlicht.


"Der Paradigmenwechsel: Warum Datensicherheit bereits an der Quelle der Informationen erfolgen sollte"

Sicherheit auf der Datenbankebene ist enorm wichtig, wenn organisatorisches Risiko Management (ORM) ganzheitlich betrachtet wird. Datenbanksicherheit sollte auf der Führungsebene angesiedelt sein. Bisher ist die IT-Sicherheit immer als sehr technisch angesehen worden und Businessprozesse wurden hiervon ausgeklammert. Besonders kritische Angriffe von heute betreffen häufig auch Businessprozesse. Dadurch sind diese von ganzheitlicher Bedeutung für die Führungsebene.
Brad Wilkinson erläutert in seiner Präsentation, wie wichtig Daten sind und wie wichtig es ist, die Businessprozesse vor Manipulatiionen auf Datenbankebene zu schützen.
Derzeit findet ein Paradigmenwechsel  statt. Da das gesamte Unternehmen von den Folgen dieser neuartigen IT-Angriffe betroffen ist, muss die Manipulation von Businessprozessen schon im Vorfeld als Risiko betrachtet werden und durch eine Identifizierung von Schwachstellen analysiert und bewertet werden.  
Risikomanagement ist ein fortlaufender Prozess, daher ist es nicht nur wichtig Bedrohungsszenarien zu erkennen, sondern diese auch in Echtzeit zu verhindern. Erst dann hat ORM einen direkten kalkulierbaren Mehrwert für das Unternehmen. Dieser Ansatz muss über die gesamte Lebensdauer von Daten und Businessprozessen  innerhalb der Organisation zur Anwendung kommen.



Referent:

Brad Wilkinson    Brad Wilkinson, Technical Account Manager, Central Europe, McAfee

Brad Wilkinson ist seit Juli 2012 bei McAfee tätig, aktuell in der Position als Technical Account Manager für Zentraleuropa. Er ist Teil der McAfee Advanced Technology Group und spezialisiert auf die Absicherung von Rechenzentren mit Fokus auf Datenbanksicherheit. Zu seinen Aufgaben zählen die Unterstützung der Vertriebs- und Pre-Sales-Organisation mit dediziertem Fachwissen sowie die Durchführung von technischen Präsentationen. Ferner ist Brad als Referent auf vielen Veranstaltungen und Konferenzen aktiv. Zuvor war Brad für MySQL sowie Oracle tätig und hat während seiner IT-Laufbahn für Unternehmen wie Novel, SUSE Linux, Sun Microsystems und Silverstream gearbeitet.


"Praktische Auswirkungen des Rechnungslegungsrecht auf das Risikomanagement von Finanz- und Industrieunternehmen sowie deren Kunden"

Es ist unbestritten, dass eine gute Risikoeinschätzung sowie ein aktives Management der erkannten Risiken eine wichtige Voraussetzung für erfolgreiches Unternehmensmanagement sind. Viele Unternehmen handeln danach, längst aber nicht alle.
Der Gesetzgeber und andere Regulatoren versuchen indes durch Offenlegungsvorschriften den Aktionären, Gläubigern und anderen Stakeholders die Möglichkeit zu verschaffen, sich selbst ein Bild über die diesbezüglichen Anstrengungen (und Erfolge) einer Unternehmung zu verschaffen. Im Obligationenrechte wurden diesbezüglich in 2008 erste Voraussetzungen geschaffen; anfangs 2013 traten - mit Wirkung per 1. Januar 2015 - Neuerungen in Kraft. Regulatoren wie die FINMA oder die SIX Swiss Exchange erlassen auch Vorschriften für Finanzinstitute bzw. Publikumsgesellschaften. Rechnungslegungsstandards - beispielsweise IFRS oder Swiss GAAP FER – verlangen zudem spezifische Offenlegungen zu Risiken.
Was hat das bisher gebracht? Was wird zukünftig zu erwarten sein? Neben einem Abriss der gesetzlichen und regulatorischen Vorschriften werden wir anhand von Beispielen von Unternehmen diesen Fragen nachgehen. Zwei Thesen seien schon mal formuliert: Kein Gesetz oder Vorschrift kann ein Unternehmen dazu bringen, Ihre Risiken richtig zu beurteilen und zu managen. Und Stakeholders erkennen ein schlechtes Risikomanagement meist zu spät.

Referent:

Hans-Peter Wyss   

Hans-Peter Wyss, Partner Audit & Advisory, Deloitte AG

Hans-Peter Wyss betreut als Wirtschaftsprüfer internationale und nationale Unternehmen; Publikumsgesellschaften und Privatunternehmen. Dabei ist er für die Jahresabschlussprüfung verantwortlich und unterstützt die Unternehmen in allen möglichen Situationen.
Er ist Mitglied der Fachkommission Rechnungslegung der Treuhand-Kammer, welche sich momentan schwergewichtig mit Auslegungsfragen zum neuen Rechnungslegungsrecht beschäftigt. Zudem war er schon Autor zum Handbuch für Wirtschaftsprüfung sowie zu Prüfungsstandards, u.a. dem PS 890 zum Internen Kontrollsystem.
Nach Ausbildungsjahren in verschiedenen Finanzinstituten und einem Betriebswirtschaftsstudium an der Universität Zürich hat Hans-Peter Wyss 1999 die Ausbildung zum dipl. Wirtschaftsprüfer abgeschlossen. Seither war er in diesem Bereich in verschiedenen Funktionen tätig.


"Globales Operational Risk Management in der Praxis"

In einem streng regulierten Umfeld sind die Erwartungen klar: Operationelles Risikomanagement ist Tagesgeschäft für Banken. Damit diese Erwartungen und Anforderungen in einem globalen Umfeld effektiv umgesetzt werden können, müssen entsprechende Prozesse, Rahmenwerke und Massnahmen definiert und implementiert werden. Der Vortrag erläutert anhand von Praxisbeispielen, wie diese Prozesse in der UBS definiert und umgesetzt werden. Es werden organisatorische Aspekte ebenso beleuchtet wie die technischen Rahmenwerke und das Kontrollumfeld der Informatik. Im Vortrag wird besonderer Fokus auf die globalen Aspekte und den Schutz von Kundeninformationen gelegt.

Referent:
 Claus Norup   

Claus Norup, Managing Director, Head Operational Risk Management IT, UBS AG

Claus Norup leitet seit 2011 als Managing Director das Operationelle Risikomanagement in der Informatik für die Bereiche Vermögensverwaltung, UBS Schweiz und das globale Asset Management

Zuvor arbeitete der ausgebildete Jurist als Management Berater und davor hatte er die Position des Leiters IT Risk Managements bei Zürich Versicherung inne.


"Operationelle Risiken reduzieren und sich zu Nutzen machen: Pragmatische Ansichten
des Risikoverantwortlichen"

Die Aktualität von Operational Risk Management ist erdrückend. Berater, Analysen, Methoden und Instrumente raufen um Aufmerksamkeit. Die eigentlichen Fragen der verantwortlichen Entscheidungskräfte geraten manchmal ins Abseits. Wie halte ich unnötige operationellen Risiken niedrig? Wie kann ich meine (internen) Kunden dabei unterstützen? Gibt es Alternativen zur oft negativ beladenen Risikosicht? Birgt die Sicht auf Risiken auch fassbare Chancen – und kann man diese nutzen? Warum scheint das Ganze so kompliziert?
Eine etwas andere Sichtweise, welche den normalen, pragmatisch handelnden Menschen ins Zentrum von Operational Risk stellt, vermittelt konkrete Denkanstösse.

Referent:
Alfred Martin   

Alfred Martin, Berater Operatives Bankgeschäft, Schweizerische Nationalbank

Alfred Martin ist Berater des Operativen Bankgeschäfts und Mitglied der Direktion der SNB. Bis 2012 fungierte er als BCM Officer, sass im Ausschuss für Operationelle Risiken und vertrat die SNB in der International Operational Risk Working Group. Er verfügt über breite Erfahrung in Operational Risk, BCM, IT Strategie, IT  Risk und -Architektur. In früherer selbständiger Tätigkeit und als Manager bei Accenture verantwortete er zahlreiche Projekte bei Finanzunternehmen im In- und Ausland, darunter die Erarbeitung von IT Risk Strategien und die Entwicklung und Beurteilung von BCM und Operational Risk Organisationen.


"IT Operation under fire - Umgang mit realen Bedrohungen in der Praxis"

Es gibt keinen “Königsweg” für IT Sicherheit! Risiken werden heute minimiert durch Technologien für den Schutz der IT Infrastruktur vor Attacken (Policy & Control) und während erkannter Attacken (Idenfication & Block) sowie für die Analyse und Wiederherstellung der operativen Basis nach Attacken. Einen übergreifenden Ansatz in diesem "Attack Continuum" bietet Sourcefire mit Agile Security. Riskreports zeigen eine real-time Risikolandkarte des gesamten IT Netzwerks, automatisch können notwendige Anpassungen (Policy & Control) durchgesetzt werden.Sourcefire Installationen tragen heute massgeblich bei zur Sicherung kritischer Unternehmenswerte, auch bei weltweit führenden Finanzinstituten.

Referent:
 Dr. Olaf Ziegra   

Dr. Olaf Ziegra, Regional Sales Manager Central Europe, Sourcefire Germany GmbH

Dr. Olaf Ziegra verantwortet seit März 2012 das Sourcefire Business in der Schweiz. Der Dr.-Ingenieur der Eletroniktechnologie (Humboldt-Universität Berlin) ist seit über 20 Jahren in der IT-Branche tätig, die letzten 14 Jahre mit dem Schwerpunkt IT-Security (u.a. McAfee, Juniper Networks)


"Krisenmanagement: Kommunikation von Vorfällen zu Kunden, Regulatoren und Mitarbeitern"

In den 70er-Jahren wurde erstmals die Kapitalbasis von Banken im Verhältnis zu den eingegangenen Risiken beurteilt sowie Risikokategorien gebildet, darunter auch die operationellen Risiken (OpRisks). Im Jahre 1988 wurde die Kapitalbasis der Banken mittels ‚Basel I‘ reguliert. Die OpRisks waren damals noch Teil des Kreditrisikos. In der Zwischenzeit haben sich die Ereignisse überschlagen: 90er-Jahre-Hypothekenkrise mit Bankrott einer Regionalbank im Berner Oberland; ‚Basel II‘ mit expliziter Behandlung der OpRisks; Bilanzfälschungen und Sarbanes-Oxley Act sowie Finanzkrise und ‚Basel III‘. Der wichtigste Meilenstein in dieser Entwicklung bildet für das Management der OpRisks das FINMA-RS 08/21. Das Referat  zeigt, wie die IT-Sicherheit in das Framework gemäss FINMA-RS 08/21 integriert werden kann, was zur Stärkung des OpRisk-Frameworks und der IT-Sicherheit führt.

Referent:
Marco Marchesi   

Marco Marchesi, Chairman, ISPIN AG

Marco Marchesi ist Gründer und Chairman der ISPIN AG, ein Schweizer Unternehmen mit über 50 Mitarbeitern spezialisiert auf Informations-und Datensicherheit. Er verfügt über umfassende Erfahrung in seinem Bereich seit über 15 Jahren. Neben ISPIN umfasst die unternehmerische Laufbahn von Marco Marchesi die Gründung der ISPIN MEA FZCO mit Hauptsitz in Dubai und die Mitgründung von Swiss Data Safe AG, ein unabhängiges Schweizer Unternehmen, welches in eigene Hochsicherheits-Einrichtungen in den Schweizer Bergen betreibt.
Marco Marchesi engagiert sich seit vielen Jahren im Bereich der Informationssicherheit. So ist er Gründer der SecurityConference, einer nicht-öffentlichen Networking-Veranstaltung für Sicherheitsexperten, CIO, CFOs und CEOs. Er hat auch das ISSA Switzerland Chapter mit gegründet, war im Vorstand der Infosurance und Vorstandsmitglied des Datenschutzforum‘s Schweiz.
Er ist außerdem Dozent an verschiedenen Fachhochschulen, z. B. Fachhochschule Nordwestschweiz, Hochschule für Technik in Rapperswil und der Fachhochschule St. Gallen. Weiter ist er regelmässiger Referent an verschiedenen Veranstaltungen und Seminaren.