Information Security Society Switzerland (ISSS)
menu

Willkommensgrüsse

Gerne lade ich Sie am 4. Juni 2014 ins Hotel Widder zur diesjährigen ISSS Zürcher Tagung zum Thema Incident Response - Business Continuity Management ein. Diese Tagung widmet sich dem Krisen- und Kontinuitätsmanagement in der ICT. Ausgewiesene Experten werden das Thema aus technischer, regulatorischer und organisatorischer Sicht beleuchten. Spannend wird insbesondere auch die Paneldiskussion "Störfallmanagement in der Unternehmenspraxis" werden, mit namhaften Vertretern aus den Sektoren Energie, Gesundheit, Industrie, Retail, Transport und Wasserversorgung. Es erwarten Sie 18 renommierte Referenten, wie unter anderem Dr. Matthias Bossardt (KPMG), Thomas Körkel (Swisscom (Schweiz) AG), Dr. Wolf Richter (McKinsey). Wir erwarten über 100 Teilnehmer, um Ihre Aufgaben beim Krisen- und Kontinuitätsmanagement zu diskutieren, zu verstehen und sich auszutauschen.

Ich freue mich, Sie in Zürich persönlich zu treffen.

Dr. Ursula Widmer, Präsidentin ISSS, president@isss.ch


Einführung

Ich begrüsse Sie herzlich zur 6. ISSS Zürcher Tagung 2014. In modernen Sicherheitsdispositiven liegt der Fokus schon lange nicht mehr nur auf präventiven und detektiven, sondern zunehmend mehr auch auf reaktiven Massnahmen. Unsere ganztägige Tagung wird daher das Thema "Incident Response - Business Continuity Management: Erfolgreiches Krisen- und Kontinuitätsmanagement in der ICT" ganzheitlich beleuchten, beginnend mit den regulatorischen Herausforderungen und den Rechtsfolgen bei Nichtverfügbarkeit, über Erfahrungsberichte aus der Unternehmenspraxis bis hin zu konkreten Imple-mentierungsbeispielen von Serviceanbietern. Es wird besonderer Wert darauf gelegt, dass nicht nur die Dienstleister selbst, sondern auch deren Partner und Leistungsempfänger von der Tagung profitieren werden. Hochkarätige Referenten und Fachexperten werden an der Tagung zusammentreffen, um ihre Rollen im Kontext des Krisen- und Kontinuitätsmanagements zu verstehen und zu positionieren, sowie konkrete Lösungen zu präsentieren.
 
Frank Heinzmann, IT Risk UBS AG, Vorstand ISSS, frank.heinzmann@isss.ch


Kurzbeschreibung der Tagung

An der Zürcher Tagung 2014 beschäftigen wir uns mit den aktuellen und künftigen Bedrohung der Verfügbarkeit, Integrität und Vertraulichkeit von Infrastruktur und Prozessen zur Verarbeitung von Informationen durch nachteilige interne oder externe Einwirkungen sowie mit den organisatorischen und technischen Massnahmen zur Bewältigung solcher Störfälle im Hinblick auf die Aufrechterhaltung der Fortführungsfähigkeit von Unternehmen und Verwaltungseinheiten.

Die Tätigkeit von kleinen, mittleren und grossen Unternehmen wie auch der Verwaltung auf jeder Stufe unseres Landes hängt von der Verfügbarkeit der Informations- und Kommunikations-Infrastruktur (ICT) ab. Ausfälle oder Unterbrüche im Bereich der ICT können zu einer existenziellen Bedrohung der Fähigkeit zur Fortführung der Geschäftstätigkeit der betroffenen Anwender führen. Diese Einsicht darf als bekannt vorausgesetzt werden; sie kommt auch in den neueren rechtlichen Anforderungen an die Risiko-Prävention und deren Nachweis zum Ausdruck. Denn heute sind organisatorische und technische Massnahmen bekannt und verfügbar, bei deren richtiger Anwendung die ICT Threats vermieden oder in ihren Auswirkungen wesentlich gemildert werden können. Die Unterlassung der Anwendung solcher präventiven Massnahmen kann die Haftung der Anwender und ihrer geschäftsleitenden Organe für Schäden aus Betriebsunterbruch und Verlust der Integrität oder Vertraulichkeit von Informationen begründen.

Die ISSS Zürcher Tagung 2014 wird sich mit den aktuellen Erscheinungsformen und der heute erkennbaren Entwicklung der Bedrohung der ICT Infrastruktur befassen, einen Einblick in den Stand der Technik (“best practices“) für den Umgang mit den betreffenden Risiken und in die praktische Umsetzung durch Anwender in verschiedenen Bereichen vermitteln. Dabei soll auch untersucht werden, in welchem Umfange das Störfall- und Kontinuitätsmanagement durch spezialisierte Drittanbieter wahrgenommen werden kann. Besondere Beachtung wird der Frage gewidmet sein, wie die Risiken für Störungen, Ausfällen und Unterbrüche beim Cloud-Computing gemeistert werden können. Nicht zuletzt soll aufgezeigt werden, ob und unter welchen Voraussetzungen und Bedingungen ein Versicherungsschutz für die Auswirkungen von ICT Störfällen beschafft werden kann.

Den Teilnehmenden der Zürcher Tagung sollen somit praktische Einsichten und Hinweise vermittelt werden, wie sie mögliche Krisen im Bereich der ICT meistern und die Kontinuität der Tätigkeit ihres Unternehmen bzw. ihrer Verwaltungseinheit gewährleisten können.

Beat Lehmann, lic. iur. Fürsprech, Acting Counsel, Alcan Holdings Switzerland AG, Vorstand ISSS, beat.lehmann@isss.ch


Teilnehmende

Die ISSS Zürcher Tagung 2014 richtet sich an Entscheidungsträger und Informations-sicherheitsinteressierte, die die zentralen Herausforderungen des Business Continuity- und Krisenmanagements lösen müssen oder sich zu Erfahrungen mit Kollegen, Krisenmanagern, CIOs, CISOs oder CROs austauschen wollen.  Business Continuity Management ist ein branchenübergreifendes Thema und unsere Tagung richtet sich daher gleichermassen an Vertreter aus dem Gesundheits-, Finanz- und Verwaltungswesen wie auch an herstellende und verarbeitende Industrie und KMUs.


Anmeldung/Preise

Bitte melden Sie sich direkt online an unter www.isss.ch/veranstaltungen/2014/zuercher-tagung/anmeldung/

Die Preise finden Sie im Anmeldeformular. Anmeldeschluss ist der 28. Mai 2014. Die Anzahl der Teilnehmenden ist beschränkt. Anmeldungen werden nach Datum des Eingangs berücksichtigt.


Durchführungsort

Die Zürcher Tagung 2014 findet im Hotel Widder, Augustinergasse 24, 8001 Zürich, statt. Weitere Infos zur Anreise finden Sie auf unserer Webseite unter: www.isss.ch/veranstaltungen/2014/zuercher-tagung

Programm für Mittwoch, 4. Juni 2014

Tagungsmoderation: Frank Heinzmann, IT Risk UBS AG, Vorstand ISSS

 

 

 

 

Kurzbeschreibung der Referate und Biographien

Keynote: ICT Threats und Mega-Trends 2014 bis 2020  - Dr. Wolf Richter

Angesichts der allgegenwärtigen Digitalisierung, einem offenen und vernetzten Technologieumfeld und immer raffiniert vorgehender Angreifer drohen die Risiken von Cyberangriffen das Tempo technologischer Innovationen deutlich drosseln. Eine unangemessene Reaktion auf einen Angriff – nicht nur seitens des Technologieteams, sondern auch durch Verantwortliche in Marketing, Öffentlichkeitsarbeit oder Kundenservice – kann einen ebenso großen Schaden verursachen wie der Angriff selbst. Daher sollten Institutionen dem Beispiel des Militärs folgen und funktionsübergreifende "Cybermanöver" durchführen, und diese entlang der gesamten Lieferkette auch auf ihre Lieferanten und Geschäftspartner ausweiten. In unserem Vortrag präsentieren wir Fallbeispiele von Unternehmen, die im Rahmen ihrer Cybersicherheitsstrategie bereits erfolgreich Angriffssimulationskompetenzen aufgebaut haben. Außerdem stellen wir die Erkenntnisse aus einem gemeinsamen Projekt von McKinsey & Company und dem Weltwirtschaftsforum in Davos vor: Im Rahmen dieser Initiative haben wir die Auswirkungen von Bedrohungen der Computer- und Netzsicherheit auf das Wertpotenzial aktueller Technologien und künftiger Trends bewertet und einen 14 Punkte umfassenden Maßnahmenplan erarbeitet, den Unternehmen berücksichtigen sollten.

Dr. Wolf Richter

Dr. Wolf Richter, Partner, McKinsey
Wolf Richter ist Partner im Business Technology Office (BTO) von McKinsey in Berlin. Seit seinem Eintritt ins BTO im Jahr 2004 hat er zahlreiche Projekte im Bereich IT-Infra-struktur und IT-Architektur begleitet. Er ist eines der Gründungsmitglieder der globalen Cyber Security Service Line und berät derzeit schwerpunktmäßig Klientenunternehmen in Europa und dem Nahen Osten in Fragen der IT-Sicherheit. Beispiele aus seiner aktuellen Beratungsarbeit im Bereich IT-Sicherheit: Aufbau von Kompetenzen zur Angriffssimulation bei einem globalen Versicherungsunternehmen; Konzipierung und Durchführung von Angriffsimulationen für eine Vielzahl von Klienten, u.a. für Kostenträger im öffentlichen Sektor und im Gesundheitswesen sowie für Versicherungsunternehmen; Entwicklung einer umfassenden Roadmap für die Transformation der IT-Sicherheit für ein globales Versicherungsunternehmen; Überprüfung und Priorisierung des Portfolios an IT-Sicherheitsinitiativen für eine deutsche Bank und ein Schweizer Versicherungsunternehmen; Entwicklung von McKinseys Cyber Security Maturity Model und Bewertung des Reifegrads für Klientenunternehmen in ganz Europa. Wolf Richter promovierte in Informations-, Kommunikations- und Sozialwissenschaften an der University von Oxford, erwarb einen LL.M. im Recht des Geistigen Eigentums an der Eidgenössischen Technischen Hochschule Zürich in der Schweiz und ein Diplom in Informatik an der Humboldt-Universität zu Berlin.

Herausforderungen an die Compliance - Beat Lehmann

Verantwortungsbewusster Umgang mit Störfällen und Aufrechterhaltung der IT unterstützten Geschäftsprozesse liegt zunächst im eigenen Interesse der Anwender von Wirtschaft und Verwaltung. Die Unterlassung angemessener Massnahmen zur Vermeidung von Störfällen bzw. zur Minderung ihrer Auswirkungen hat wegen der damit verbundenen Folgen für betroffene Personen, Geschäftspartner, Anteilseigner und das Gemeinwesen zunehmend regulatorische Auflagen nach sich gezogen: Datenschutz,
Aufbewahrungsrecht, Rechnungslegung und Revision. Die für die Informatiksicherheit zuständigen Stellen müssen daher den heutigen und künftigen Anforderungen an die “Information Security Compliance“ Rechnung tragen.

Beat Lehmann

Beat Lehmann, lic. iur. Fürsprech, Acting Counsel, Alcan Holdings Switzerland AG, Vorstand ISSS
Beat Lehmann war als Rechtskonsulent der IBM und in gleicher Funktion im Konzernstab der Alusuisse und deren Rechtsnachfolger tätig. Er hat sich als Experte des Bundes für das Datenschutzgesetz und die Revision der Aufbewahrungsvorschriften sowie als Inhaber von Lehraufträgen an der Uni Zürich und an Fachhochschulen mit den Herausforderungen von Informatik und Technik an das Recht befasst. Er ist Mitglied in Gremien von swissmem, s-i, swico, VUD, KRM.

Risiko- und Kontinuitätsmanagement im Zeitalter von Cyber Attacks - Dr. Matthias Bossardt

Cyber Attacks und Advanced Persitent Threats sind einerseits vielzitierte Schlagworte, die für spannende Medienberichte sorgen. Andererseits sind es strategische Themen, mit denen sich Unternehmen sehr ernsthaft und eingehend befassen (müssen). Was sind Bedrohungsszenarien, die neu betrachtet werden müssen? Was sind die Auswirkungen auf das Geschäft? Welche der Bereich der Unternehmen sind besonders gefährdet? Welche Rolle spielen die Zulieferer in der Abwehrstrategie? Ist der traditionelle Risikomanagementansatz dazu geeignet, diese Unternehmensrisiken erfolgreich zu meistern? Wir gehen diesen Fragen nach und beleuchten die Bausteine, die für einen erfolgreichen Umgang mit der Cyber Bedrohung unabdingbar sind.

Dr. Matthias Bossardt

Dr. Matthias Bossardt, Partner, KPMG
Matthias Bossardt ist Partner bei der internationalen Beratungsfirma KPMG AG und ist zuständig für die Abteilung IT Risk Consulting, die Unternehmen dabei unterstützt, Projekte in den Bereichen Information Governance & Datenschutz, Cyber Security und Business Resilience erfolgreich umzusetzen. Matthias verfügt über einen Doktortitel der ETH Zürich.

 

Störfallmanagement in der Unternehmenspraxis - Erfahrungsberichte mit anschliessender Diskussion

Dr. Stefan Brem

Dr. Stefan Brem, Chef Risikogrundlagen und Forschungskoordination, Bundesamt für Bevölkerungsschutz BABS, Moderation
Dr. Stefan Brem ist seit 2007 Leiter des Fachbereichs Risikogrundlagen und Forschungskoordination innerhalb des Bundesamtes für Bevölkerungsschutz (BABS). Das BABS ist verantwortlich für die Umsetzung der nationalen Strategie zum Schutz Kritischer Infrastrukturen. Das Bundesamt führt zudem eine nationale Gefährdungsanalyse „Katastrophen und Notlagen Schweiz“ durch und unterstützt die Kantone bei der Erstellung von kantonalen Gefährdungsanalysen (KATAPLAN). Zuvor war er zwischen März 2003 und März 2007 als wissenschaftlicher Mitarbeiter am Zentrum für internationale Sicherheitspolitik des Eidg. Departements für Auswärtige Angelegenheiten (EDA) in Bern tätig. Dort war er u.a. für folgende Themenbereiche zuständig: Schutz Kritischer Infrastrukturen, insb. in den Bereichen Energie, Kommunikation, Transport; Sicherheitssektorreform; Grenzsicherheit und Rolle von privaten Sicherheitsfirmen.

Werner Meier

Werner Meier, Leiter Konzernsicherheit & BCM, Alpiq AG
Ausbildung zum Elektroingenieur mit Fachrichtung Nachrichtentechnik an der ETH in Zürich. Weiterbildung an der Harvard Business School in Boston. Seit 1993 in verschiedenen Führungsfunktionen in der Elektrizitätswirtschaft tätig (Produktion, Netze, IKT, Safety & Security). Leiter Konzernsicherheit der Alpiq Holding in Olten/Lausanne, in Olten/Lausanne, in dieser Funktion auch Leiter der Krisenorganisation. Seit 2003 nebenamtliche Tätigkeit in der Wirtschaftlichen Landesversorgung, aktuell Bereichschef Energie (Mineralöl, Erdgas, Elektrizität, Holzenergie und Trinkwasser).

Christian Schraner

Christian Schraner, Bereichsleiter ICT Steuerung, Universitätsspital Zürich
Christian Schraner ist seit 2011 in der Position als Bereichsleiter ICT Steuerung am UniversitätsSpital Zürich tätig. Er ist auf IT Service Management speziell im Gesundheitswesen spezialisiert und verfügt über  umfangreiche Erfahrungen für Herausforderungen von Informatik Organisationen des öffentlichen Sektors.
 

Wolfgang Schmied, Director Information Services, Ivoclar Vivadent AG
Wolfgang Schmied zeichnet seit April 2008 als Director Information Services für die globale Informatik der Ivoclar Vivadent Gruppe verantwortlich. Davor war er 13 Jahre in verschiedenen Positionen bei der Telekom Austria tätig. Anschliessend leitete er für 8 Jahre die globalen Client- und Server Teams der Hilti Gruppe und hat den Aufbau der globalen Informatik massgeblich mitgestaltet. Er verfügt über eine breite Erfahrung im Bereich der IT Infrastruktur, Business Process Management, Security und Contingency Planung. 2009 komplementierte er dies mit einem MBA in International Management an der University of Gloucestershire in Cheltenham, England.

Willi Breitenmoser, Leiter Informatik, Genossenschaft Migros Zürich
Gesamtverantwortliche Leitung Informatik der Genossenschaft Migros Zürich mit 55 Personen für alle IT-Bereiche ( PLAN - BUILD – RUN ). Hauptverantwortung für den Design, Aufbau und Betrieb eines genossenschaftsübergreifenden Rechenzentrums-Verbundes im Konzernumfeld der Migros für die Bereiche SAP Retail Frische / FICO / HR. Erfolgreiche Umsetzung des genossenschaftsübergreifenden Standardisierungs-Projektes gmSAP RZ-Verbund mit den vorgegebenen Kosteneinsparungen und der geforderten Desaster Vorsorge. Erfolgreiche Projekt- und Teilprojektleitungen in sämtlichen Informatikbereichen (Warenwirtschaft, Logistik, Finanz, HR, Infrastruktur, IT-Betrieb, etc.). Hauptverantwortlich für den IT Betrieb der Bereiche Frische, FICO, HR für interne und externe Kunden in der M-Gemeinschaft.

Marcus Griesser

Marcus Griesser, CISO, Schweizerische Bundesbahnen SBB AG
Marcus Griesser (CISO) ist Leiter der Bereiche ICT Security, Risk und Compliance Management der SBB AG. In dieser Funktion ist er u.a. zuständig für die Definition von Sicherheitsvorgaben sowie deren Umsetzungskontrolle. Ausserdem liegen in seinem Verantwortungsgebiet die unternehmensweite ICT Forensik und das Business Continuity Management der Informatik.

Dr. Kurt Rüegg

Dr. Kurt Rüegg, dipl. Phys. ETH, Senior Manager, ewl energie wasser luzern
Physik-Studium an der ETH Zürich und der Universität Zürich. Forschung und Entwicklung für Material Science bei Alusuisse-Lonza. Entwicklungsleiter bei Lawson Mardon Packaging Singen. Mitglied der Geschäftsleitung von ewl energie wasser luzern. Verantwortlich für die Wasser- und Erdgas-Infrastruktur, Technischer Leiter der Regionalgesellschaft Erdgas Zentralschweiz AG, verantwortlich für den Bereitschaftsdienst für Erdgas und Wasser. Einführung eines Geografischen Informationssystems, Co-Projektleitung für den Ersatz der Netzleitstelle, Einführung einer Risiko-basierten Erneuerungsstrategie, Mitarbeit an Risiko-Analysen für Energiesysteme, Einführung von HACCP für die Wasserversorgung Luzern. Einsatzleiter beim Hochwasser 2005, Aufbau des Krisen-Managements bei ewl, Teilnahme an Krisen-Stabsübung der Stadt Luzern. Vizepräsident Wasser beim Schweizerischen Verein des Gas- und Wasserfaches SVGW. Mitarbeit in internationalen Gremien u.a. zu Organisation und Management im Wasserfach.

Externes Störfallmanagement: Erfahrungsbericht aus einem Security Operation Center - Thomas Körkel

Im heutigen digitalen Zeitalter ist die Abhängigkeit von Internet und Telefon so gross wie noch nie. Da verwundert es auch nicht das die IKT Branche zu den kritischen Infrastrukturen für die Wirtschaft und die Bevölkerung der Schweiz zählt. Was aber wenn doch etwas passiert, wie hat sich die Swisscom auf solche Ereignisse vorbereitet? Wie ist die Zusammenarbeit mit Bund, Kantonen, Kunden und Partner geregelt und was kann man von einem  kritischen Infrastrukturbetrieb erwarten? In diesem Vortrag werden die Eskalationsstufen und die Schnittstellen zu Bund und Kantonen aufgezeigt und wie sich Swisscom auf ausserordentliche Ereignisse vorbereitet.

Thomas Körkel

Thomas Körkel, Security Manager, Leiter Krisenmanagement und Stabsleiter Krisenstab, Swisscom (Schweiz) AG
Thomas Körkel ist seit 9 Jahre bei Swisscom im Bereich Security tätig. Er führt das Krisenmanagement System bei Swisscom auf Stufe Konzern und ist Stabsleiter im Krisenstab Swisscom. Weiter ist er Leiter des CRTT (Crises Reaktion Team Telecom) das die Gegenseitige Unterstützung der Telecom Anbieter im Ereignisfall koordiniert.


Kontinuitätsmanagement als Dienstleistung - Joël Stillhart, Helmut Wahrmann

RSA Archer Business Continuity Management ermöglicht einen zentralen und automatisierten Zugang zu Business Continuity und Disaster Recovery Planning und befähigt im Fall einer Krise zu raschem Handeln. Diese web-basierte Software kombiniert Business Continuity, Disaster Recovery und Crisis Management in einem einzelnen Governance, Risk und Compliance System (GRC). Assessments  der Kritikalität von Prozessen und Technologien und die Erstellung von Business Continuity und Disaster Recovery Plänen sind damit ein Leichtes. Unternehmen stehen zudem vor der Herausforderung Advanced Persistent Threats (APTs) und andere Eindringversuche zu erkennen und rasch auf diese zu reagieren. RSA Security Operations Management (SecOps) stellt einen weiteren Layer zur Verfügung, welcher Personen, Prozesse und Technologien  integriert und durchgehendes Security Incident Management ermöglicht.

Joël Stillhart Joël Stillhart (CISSP), Pre-Sales Engineer, RSA - The Security Division of EMC
Nach einem Studium in Informatik verfügt Joël Stillhart über 7 Jahre Erfahrung im IT Security Umfeld. 5 Jahre als System Engineer im Bereich sichere Netzwerke und  2 Jahre als Chief Security Officer einer Business Unit in einem global tätigen IT Unternehmen. Seit Januar 2014 ist er bei der RSA Security als Pre-Sales Engineer für die Schweiz und Österreich tätig und unterstützt Kunden und Partner  in der Analyse, Design und Entwicklung von integrierten Security-Lösungen.

Helmut Wahrmann Helmut Wahrmann (CISSP), Senior Technology Consultant, RSA - The Security Division of EMC
Helmut Wahrmann ist Presales Senior Technology Consultant bei RSA, The Security Division of EMC. In seiner Rolle unterstützt er Kunden und Partner in Österreich und der Schweiz in der Analyse, Design und Entwicklung von integrierten Security-Lösungen. Helmut Wahrmann verfügt über mehr als 25 Jahren Erfahrung in Systems- und Datenbank Management, Multi-Channel Banking und beschäftigt sich seit 10 Jahren mit Information Security.

Erfolgreiches rechtliches Risikomanagement - Dr. Ursula Widmer

Das mit dem ICT-Einsatz verbundene Risikopotential wächst. Nichtverfügbarkeit und Störungen der ICT-Infrastruktur können zu grossen materiellen und immateriellen Schäden im Verhältnis zu Kunden, Geschäftspartnern, Aufsichtsbehörden und in der Öffentlichkeit führen. Zur bestmöglichen Vermeidung solcher Schäden und der damit verbundenen Verantwortlichkeit des Unternehmens und seiner Verantwortungsträger sind die notwendigen Schutzmassnahmen rechtzeitig zu treffen. Hier kommt der professionellen präventiven Vertragsgestaltung mit den Lieferanten von ICT-Produkten und Services und der rechtlich adäquaten Reaktion im Krisenfall eine zentrale Bedeutung zu. Haftungs- und Gewährleistungsklauseln sind zwingend, jedoch keinesfalls ausreichend. Zentral sind die Definition von Massnahmen, die präventiv auf die Aufrechterhaltung der sicheren Funktionsfähigkeit der ICT-Infrastruktur ausgerichtet sind, und die Festlegung eines erfolgreichen reaktiven Vorgehens bei Krisenfällen.

Dr. Ursula Widmer Dr. Ursula Widmer, Rechtsanwältin, Dr. Widmer & Partner, Rechtsanwälte, Präsidentin ISSS
Dr. Ursula Widmer, Rechtsanwältin, studierte Rechtswissenschaften an der Universität Bern. Zulassung als Rechtsanwältin im Jahr 1982. Assistentin am Institut für Privatrecht und Rechtsvergleichung. Dissertation zum Thema «Risikofolgeverteilung bei Informatikprojekten: Haftung für Softwaremängel bei Planung und Realisierung von Informationssystemen». Gründung der auf Informatik-, Internet-, E-Business- und Telekommunikationsrecht spezialisierten Wirtschaftsanwaltskanzlei Dr. Widmer und Partner, Rechtsanwälte, Bern. Lehrbeauftragte für Informatik- und Internetrecht an der Universität Bern sowie Lehrbeauftragte für Recht der Informationssicherheit an der Eidg. Technischen Hochschule Zürich (ETHZ). Ehemaliges Mitglied der vom Bundesrat eingesetzten Expertenkommission «Netzwerkkriminalität» und ehemaliges Mitglied der Eidgenössischen Datenschutzkommission. Mitglied des Stiftungsrates der Deutschen Stiftung für Recht und Informatik (DSRI) und Past Präsidentin der International Technology Law Association (ITechLaw). Präsidentin der Information Security Society Switzerland (ISSS).

Störfall- und Kontinuitätsmanagement aus Sicht der Revision - Tilman Leppin

Mit zunehmender Vernetzung und Kollaboration sowie einhergehenden regulatorischen Anforderungen müssen Unternehmen mehr denn je die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und den damit zugrundeliegenden Geschäftsprozessen und Informationssystemen sicherstellen. In diesem Kontext sind Unternehmen oftmals verpflichtet entsprechende Massnahmen und Nachweise zur Gewährleistung ihrer Fortführungsfähigkeit (Business Continuity Management) einzurichten bzw. zu erbringen, um Unterbrechungen von betriebskritischen Aktivitäten bei internen und externen Ereignissen zu vermeiden bzw. zu reduzieren und die volle Funktionalität so schnell und so reibungslos wie möglich wiederherzustellen. Die Aufgabe der Revision in diesem Zusammenhang ist es zu beurteilen, ob die definierten und umgesetzten organisatorischen und technischen Verfahren die Fortführung von wesentlichen Unternehmensprozessen und -systemen in vermeintlichen Störungs-, Notfall-, Krisen- und Katastrophenszenarien gewährleisten und die damit verbundenen Organisations-/Entscheidungsstrukturen angemessen und wirksam sind, um sie zu beherrschen. Sie übernimmt dabei eine wichtige Rolle im Rahmen des Gesamtprozesses hinsichtlich der Aufrechterhaltung und kontinuierlichen Verbesserung der umgesetzten Verfahren. Neben der oftmals fokussierten Beurteilung von eher technischen Aktivitäten zur Bewältigung von Vorfällen (z.B. Wiederanlauf- und Wiederherstellungsmassnahmen) gilt es insbesondere auch die organisatorischen Verfahren zur Analyse, Beurteilung und Reaktion auf identifizierte oder vermutete Vorfälle, hinsichtlich eines leistungsfähigen Notfall- und Krisenmanagements (einschliesslich interner/externer Kommunikation) sowie die Verankerung im unternehmensweiten Risikomanagement und internen Kontrollsystems mit in die Beurteilung einzubeziehen. Neben den Kenntnissen und praktischen Erfahrungen der Revisoren stehen auch verschiedene anerkannte Standards und Good Practice-Ansätze als Unterstützung für solche Beurteilungsprozesse zur Verfügung.

Tilman Leppin Tilman Leppin, Manager, Audit & Advisory – Security & Resilience, Deloitte AG
Tilman Leppin ist als Berater bei Deloitte Schweiz im Bereich Security & Resilience tätig. Er verfügt über mehrjährige und breite Erfahrungen in den Bereichen IT-Compliance, IT-
Risikomanagement, IT-Security Management, Business Continuity Management und IT-Sourcing Management. Er führte eine Vielzahl von IT-Beratungs- und IT-Revisions-projekten unterschiedlichster Größe und Komplexität in diesen Bereichen erfolgreich durch. Seine Schwerpunkte sind organisatorische Aspekte der Informationssicherheit und des Business Continuity Managements. Neben der strategischen Beratung zum Aufbau und zur Optimierung und Prüfung von Business Continuity Management Systemen ist er auch auf die organisatorische Einbindung und Abstimmung mit anderen Managementsystemen spezialisiert. Im Rahmen seiner vielfältigen Tätigkeiten konnte er umfangreiche Kenntnisse und praktische Erfahrungen, insbesondere hinsichtlich der Planung, Konzeption, Entwicklung, Umsetzung, Harmonisierung und Optimierung sowie die Analyse und Beurteilung von Business Continuity bezogener Strategien, Prozessen und Methoden entwickeln und anwenden Bevor er 2013 zu Deloitte Schweiz gestossen ist, war er bereits 7 Jahre bei Deloitte Deutschland im Bereich Security & Privacy tätig. Darüber hinaus hatte er während seiner IT-Laufbahn auch für Unternehmen wie Vodafone, Deutsche Telekom, Gillette und BMW gearbeitet. Tilman Leppin ist Dipl.-Wirtschaftsinformatiker und Certified Information Systems Auditor.

Versicherbarkeit der Störfall-Risiken - Jens Krickhahn, Ivo Heeb

Unternehmen wähnen sich zu Unrecht in Sicherheit. Die Zunahme an IT Security Vorfällen belegt das und die Folgen können enorm kostspielig sein. Nicht nur die Ereignisse selbst können bilanzbedrohende Folgen nach sich ziehen, beispielsweise durch die Kosten für die Aufklärung, zu erfüllende Informationspflichten oder Schadenersatzforderungen. Nicht zuletzt drohen erhebliche Reputationsschäden. Die Gesetzgebung nimmt sich dieses Themas immer stärker an. In manchen Ländern können Unternehmen schon heute mit Geldbussen belegt werden, und neue Bestimmungen, möglicherweise verbunden mit deutlich höheren Geldbussen (man spricht von 2 bis 5 % der weltweiten Umsätze des betroffenen Unternehmens) kommen auf die EU Länder zu. Die traditionellen Versicherungssparten bieten für diese Risiken keinen oder keinen befriedigenden Versicherungsschutz. Neue Versicherungsprodukte füllen inzwischen diese Lücke mit massgeschneiderten Lösungen. Eigenschäden und Drittschäden aufgrund IT-Security- und/oder Datenschutzvorfällen sind in der Allianz Cyber Protect Police gebündelt und ein adäquater Versicherungsschutz für diese Risiken sollte ein fester Bestandteil des Enterprise Risk Management sein.

Jens Krickhahn Jens Krickhahn, Practice Leader Cyber & Fidelity - Financial Lines, Allianz Global Corporate & Specialty (AGCS)
Jens Krickhahn ist seit Februar 2014 Produktmanager für Cyberversicherungen bei Allianz Global Corporate & Specialty SE (AGCS), dem Spezialversicherer der Allianz. In seiner Position ist er für die Entwicklung von Versicherungslösungen der AGCS für Cyber- und IT-Risiken von Unternehmen in der Region Deutschland und Zentraleuropa verantwortlich. Vor seinem Wechsel zur AGCS war er zuletzt als Technical Underwriting Manager beim Spezialversicherer Hiscox für den Bereich Technology, Media and Telecommunication tätig, und entwickelte die erste spartenübergreifende Versicherungslösung für Cyber- und Datenrisiken für den deutschen Markt. Seine Laufbahn in der Versicherungsbranche startete Jens Krickhahn 1993 bei der Allianz Deutschland. Er war in den letzten Jahren sowohl auf Versicherer- aber auch auf Maklerseite aktiv und kennt so beide Seiten des Geschäfts. Jens Krickhahn ist außerdem Dozent für IT-Haftpflicht beim Berufsbildungswerk der Versicherungswirtschaft (BWV) Württemberg.

Ivo Heeb Ivo Heeb, Chief Underwriter Financial Lines, Allianz Global Corporate & Specialty, A division of Allianz Risk Transfer AG
Ivo Heeb ist seit Oktober 2009 Chief Underwriter Financial Lines bei der Allianz Global Corporate & Specialty in der Schweiz. Er verantwortet in dieser Funktion ein breites Spektrum von spezialisierten Vermögensschaden-Versicherungen für schweizerische Unternehmenskunden (unter anderem Organhaftpflicht- und Berufshaftpflichtversicherungen). Seit dem Herbst 2013 zählt auch Allianz Cyber Protect dazu, die neue IT-Versicherung der AGCS. Herr Heeb ist seit 1994 in der Versicherungsbranche tätig bei diversen grossen Industrieversicherern.

Überleben in der Krise - Dr. Richard Werner

Undenkbare Krisenereignisse werden zur Realität und rudimentäres Krisenmanagement wird drastische Konsequenzen haben. Wir reden also nicht mehr von dem Fakt ob sie im Unternehmen ein Krisenmanagement brauchen, sondern ob ihr Krisenmanagement und Business Continuity Management so ausgerichtet ist, dass sie die nächsten Jahre überleben. Viele Unternehmen behaupten ein effizientes Krisenmanagement zu haben, in Tat und Wahrheit werden Risiken unterschätzt und das Instrument besteht nur als theoretischer Ansatz. Oftmals können die Verantwortlichen nicht einmal den Unterschied zwischen Notfall- und Krisenmanagement definieren. Interessanterweise erstellen einige Firmen ihr Krisenmanagement nur aus dem Grund, um vom Wirtschaftsprüfer oder den Aufsichtsbehörden ein Testat zu erhalten ein solches implementiert zu haben. Solch ein Papiertiger und meist auch das Testat des Wirtschaftsprüfers sind letztlich wertlos, da es das eigentliche Problem des Unternehmens nicht löst und in der Praxis auch nicht gelebt wird. Wer sich bis anhin auf das Glück verlassen hat, das ihn hoffentlich die Krise nicht heimsuchen wird, der wird sich wahrscheinlich auch in Zukunft nicht auf das Unwahrscheinliche vorbereiten. Wer ist bei Ihnen verantwortlich, wenn eine Krisensituation eskaliert und Tote und Verletzte zu beklagen sind? Was tun sie bei einem Amoklauf im Unternehmen? Sind sie auf solche Szenarien professionell vorbereitet? Heutige Einschätzung von Krisen: Potenzielle Krisenfälle treten häufiger ein; Undenkbare Ereignisse werden Realität; Risiken werden unterschätzt, eigene Schutzvorkehrungen werden überschätzt; Risiko-Perzeption gewinnt an Bedeutung; Zahlreiche Unternehmen haben lediglich ein rudimentäres Krisenmanagement; Krisenmanagement bleibt Theorie und wird nicht beübt. Unternehmen, welche vorbereitet sind, erholen sich von Krisenfällen zwei bis drei Mal schneller als solche, die es nicht sind. Viele Unternehmen sind auf Krisenereignisse nicht ausreichend vorbereitet. Es wird improvisiert, die Krisenstabsmitglieder erscheinen zu spät, am falschen Ort oder unvollzählig. Keiner kümmert sich um die Medien, diese recherchieren selbst und oft am falschen Ort, nämlich dort, wo man sie nicht haben will, am Ort des Geschehens. Bei jeder Gelegenheit heisst es "no comment". Der erste Schreck wirkt oftmals lähmend. Falschmeldungen, Spekulationen, Halbwahrheiten und Gerüchte sind die Folge. Was eine Krise ist, definieren die Öffentlichkeit und die Medien, nicht die Verantwortlichen des Unternehmens. Ein unerwartetes Ereignis interessiert plötzlich die ganze Welt.

Dr. Richard Werner Dr. Richard Werner MBA., General Manager, PhD., Risk Control RCC GmbH
Dr. Executive MBA., seit 2003 General Manager der Risk Control RCC GmbH, Europa und Präsident der Non-Profit Genossenschaft, Private & Confidential PnCG Group. 20 jährige, internationale Erfahrung im Aufbau und Implementierung von Notfall-/ Krisen- und Business Continuity Management-Führungssystemen. Tätigkeit als Fachreferent an verschiedenen Fachhochschulen und Universitäten.

 

Frank Heinzmann Frank Heinzmann, IT Risk UBS AG, Vorstand ISSS, Tagungsmoderation
Frank Heinzmann ist bei der UBS AG in den Bereichen Wealth Management, Global Asset Management und UBS Schweiz zuständig für das Management der operationellen Risiken in der Informatik. Zuvor leitete er als "Global Head Information Risk and Control Assurance" das globale Informationsrisikomanagement der Zurich Financial Services. Davor war er sieben Jahre lang Senior Manager im Bereich IT Risk Management bei PricewaterhouseCoopers, Zürich und war zuständig für allgemeine Beratungen im Bereich Informationssicherheit, IT Risiko Management, Entwicklung von globalen und umfassenden Sicherheitskonzepten, Informationssicherheits-Standards, Prozeduren und Richtlinien. Seit 2008 ist er CGEIT (Certified in the Governance of Enterprise IT).

Wir danken unseren Sponsoren und Partnern

Goldsponsor

                    

Medienpartner

 

 

Silbersponsor

   
   

 


Anreise





Adresse
Hotel Widder, Augustinergasse 24, 8001 Zürich

Mit den öffentlichen Verkehrsmitteln
Vom Hauptbahnhof aus folgen Sie ca. 500m der Bahnhofstrasse und biegen dann links in den Rennweg ein. Sie können zu Fuss gehen oder im Tram Nummer 6, 7, 11 oder 13 bis zur HHaltestellte Rennewg fahren.

Mit dem Auto
Das Widder Hotel liegt in einer verkehrsberuhigten Zone. Die Zufahrt ist nur sehr beschränkt erlaubt.