ISSS Zürcher Tagung Wie sicher sind sichere Systeme?

Transkript

1 ISSS Zürcher Tagung 2012 Wie sicher sind sichere Systeme? Sicherheitsprüfung von IT- Systemen - Lästige Pflicht oder zwingende Notwendigkeit? 12. Juni :30-18:00 (mit Apéro bis 19:00) im IBM Forum Zürich Altstetten Programm und Anmeldung:

2 ISSS Zürcher Tagung 2012: Wie sicher sind sichere Systeme? An der diesjährigen Zürcher Tagung beschäftigen wir uns mit dem Thema Sicherheitsprüfung und geben dabei nicht nur einen Überblick über die verschiedenen Typen von Sicherheitsprüfungen, sondern gehen auch auf die entsprechenden Rahmenbedingungen ein. Ob Netzwerkschwachstellen oder andere sicherheitskritische Lücken, eine Prüfung sollte alle Verletzlichkeiten hervorbringen und den wahren Stand der Sicherheit offenlegen: Wie sicher sind Systeme, welche die Überprüfung erfolgreich abgelegt haben, wirklich? Was wird unternommen, wenn ein System die Überprüfung nicht besteht? Welche Testmethoden werden eingesetzt, um einzuschätzen, wie gross die Chancen eines Angriffes sind? Im Abschlussbericht einer Überprüfung wird nicht nur aufgezeigt, welche Methoden und Hilfsmittel verwendet wurden, sondern auch, welche Schwachstellen gefunden wurden. Meist wird auf Auswirkungen hingewiesen und erläutert, welche Konsequenzen zu erwarten sind. Abhängig vom Bedrohungsgrad werden dann von den jeweiligen Auftraggebern entsprechende Massnahmen angeordnet. So weit die Theorie. Es gibt jedoch viele Fragen, welche zusätzlich gestellt werden müssten, jedoch meist ausgeklammert oder unzureichend beantwortet werden: Welche Massnahmen werden aufgrund der Prüfungsergebnisse ergriffen? Wie wird mit erkannten Risiken umgegangen? Welche Lehren werden gezogen/kommuniziert? Struktur der Zürcher Tagung 2012 Die Tagung beleuchtet in einem ersten Teil die technisch-organisatorischen Aspekte der Prüfungsmethoden und im zweiten Teil die rechtlichen Aspekte, welche es bei einer Prüfung zu beachten gilt. Im Anschluss gibt es ein offenes Panel mit den Referenten. Der technisch-organisatorische Teil wird aufzeigen, was zu einem Systemcheck gehört, wie vollständig dieser durchgeführt werden kann und in welchen zeitlichen Abständen eine Wiederholung empfohlen wird. Aber nicht alles, was technisch und organisatorisch möglich ist, ist auch rechtlich erlaubt: Dabei stellen sich folgende Fragen: Wo beginnt die rechtliche Grauzone der Prüfungen und welche Prüfungen sind nicht einmal mit Einverständnis des Arbeitnehmenden zulässig? Wie viel Druck darf ausgeübt werden, um die Zustimmung eines Mitarbeitenden zu erhalten? Wie wird mit den Resultaten einer Prüfung umgegangen? Zusätzlich steht die Haftungsfrage bei Unterlassung der Sicherheitsprüfungen immer im Raum: Wie geht man verantwortungsvoll und nachhaltig an diese Aufgabe heran und wie wird in Verdachtsfällen mit den Verantwortlichen umgegangen? Wie wird mit Datendiebstahl umgegangen und welche Konsequenzen hat dieser für die Firma respektive für die Betroffenen?

3 Programm Ab 13:00 Registrierung 13:30 Begrüssung - Dr. Sonja Hof, Vorstand ISSS Technischer/Organisatorischer Teil IT Risiken in einer sich ändernden Welt - Anspruch an Prüfungen und internes Audit Referent: Robert- Stephan Zergenyi, Audit Director für Information Technology und Group Operation bei Zurich Financial Services Sicherheitsprüfungen: Erfahrungen und Grenzen in der Praxis Referent: Ivan Bütler, Compass Security AG Schweiz Jenseits corporate IT-Prävention und BCM: Die Rolle des Staates und die nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken Referent: Gérald Vernez, Projektleiter Cyber Defence Strategie Schweiz Juristischer Teil Das rechtliche und regulatorische Umfeld der IT Systemprüfung (aus der Sicht einer Revisionsgesellschaft und Treuhandberatung) Referent: Klaus Krohman, Rechtsanwalt, Head E&Y Legal Die IT Systeme und deren Sicherheit im Finanzbereich (aus der Sicht eines Bankjuristen) Referent: Dr. Christoph Stocker, Rechtsanwalt, UBS AG Stolpersteine und Hürden bei der praktischen Durchsetzung von Rechten im Zusammenhang mit IT Sicherheitssystemen Datendiebstahl in der öffentlichen Verwaltung juristischer Leidensweg einer Aufräumaktion Recht haben heisst nicht Recht bekommen Referent: Lukas Faessler, Rechtsanwalt und IT Experte, FSDZ Rechtsanwälte 17:30 Panel 18:00 Apéro 19:00 Veranstaltungsende

4 Dr. R. Zergenyi ist IT Audit Director bei der Zurich Financial Services. Er war Principal Consultant bei der France Telecom, und zuvor tätig bei der KPMG als Informationssicherheitsberater. In einer früheren Rolle war er zuständig für die Sicherheit und den Betrieb der Internet Access Services für das E-Banking von UBS. Im Rahmen dieser Rollen hat er sich umfassende Kenntnisse in Risikomanagement, Governance, interne Kontrollsysteme, Informationssicherheit, Regulatorien, Sarbanes Oxley Act Section 404, Basel II, Solvency II und HIPAA angeeignet. Ivan Bütler ist Gründer und CEO von Compass Security AG, eine auf Ethical Hacking und Penetration Testing spezialisierte Firma aus Rapperswil-Jona. Ivan ist Autor von anerkannten IT Security Fachpublikationen, regelmässiger Speaker an diversen Konferenzen wie Blackhat Las Vegas, IT Underground in Warschau oder OWASP AppSec in den USA. Zusätzlich ist Lehrbeauftragter an den Fachhochschule Rapperswil, Luzern und St. Gallen zu den Themen Hacking und Defense. Ivan ist im Vorstand von ISSS, organisiert die ISSS St. Galler Tagung, engagiert sich in der ISSS SIG zum Thema Nationale Cyber Defense Strategie und unterstützt das OK von Swiss Cyber Storm und des Hacking-Labs. Gérald Vernez ist seit Januar 2011 stellvertretender Projektleiter Cyber Defense im Generalsekretariat des VBS. Er hat Geologie in Lausanne, Meteorologie in Strasbourg sowie Sicherheitspolitik und Krisenmanagement an der ETHZ studiert (MAS ETH SPCM). Seine Karriere hat er im Bereich Tiefbauten und Risiko-Management angefangen fängt er im Generalstab, Untergruppe Operationen als wissenschaftlicher Mitarbeiter eine neue Karriere an. Zwischen 1998 und 2008 gründet er die Informationsoperationen der Armee. Zwischen 2009 und 2010 war er Stabschef des Führungsstabes der Armee. Rechtsanwalt Klaus Krohmann ist seit 13 Jahren in der Rechtsberatung bei Wirtschaftsprüfern oder an Wirtschaftsprüfer angelehnten Firmen tätig, vormals bei Andersen Legal, der Rechtsberatung der ehemaligen Arthur Andersen und seit 2002 bei Ernst & Young AG, Legal Services. Seine Spezialisierung liegt im Technologierecht, insbesondere auch im Software- und EDV-Recht. Er ist Head of IP/IT Law der Legal Services von Ernst & Young Schweiz, eine kleine Gruppe von Anwälten, welche im Zusammenhang mit Wirtschaftsprüfungs- sowie Spezialmandaten in Kooperation mit den Kollegen aus IT Risk & Assurance auftreten. Dr. Christoph R. Stocker ist seit über 25 Jahren Rechtskonsulent bei der UBS AG und berät heute umfassend in Rechtsfragen rund um Bankkundenbeziehungen sowie in grundsätzlichen Fragestellungen betrieblicher Natur, bei Projekten, Auswirkungen von Gesetzesänderungen etc. Sein besonderes Interesse richtete er in der Vergangenheit sodann auf Rechtsfragen bei elektronischen Bank-Dienstleistungen, beim Internet sowie rund um die Informationstechnologie. Rechtsanwalt Lukas Fässler befasst war von als Informatikbeauftragter der Luzerner Gerichte mit der Ersteinführung der Informatik im gesamten Gerichtswesen betraut. Ab leitete er als Informatikchef des Kantons Luzern die Organisations- und Informatik-Dienste (OID) des Kantons. Heute ist er neben seiner anwaltlichen Tätigkeit mit Spezialisierung auf Informatik-, Datenschutz- und Computer-Kriminalität auch in zahlreichen Verwaltungsräten von Informatik-Dienstleistungsunternehmen tätig und dort teilweise als Mitglied des Security-Boards für die interne Auditierung der Informatik-Sicherheits-Systeme mitverantwortlich. Als Präsident des Vereins Schweizerische Städte- und Gemeinde-Informatik legt er grossen Wert auf die Sensibilisierung der politischen Verantwortungsträger bezüglich ihrer Sorgfaltspflichten im Umgang mit digitalen Informationen.

5 Überblick zu den Referaten IT Risiken in einer sich ändernden Welt - Anspruch an Prüfungen und internes Audit Referent: Robert- Stephan Zergenyi, Audit Director für Information Technology und Group Operation bei Zurich Financial Services Diverse Ausprägungen von Risiken, neue Regulationen oder sich ändernde Geschäftsprozesse aufgrund von Outsourcing, Offshoring, neue Technologien oder veränderten Kundenverhaltens stellen immer breitere Ansprüche an die Audit Planung und deren Durchführung. Anhand Beispiele der IT Revision in der Zurich Financial Services wird aufgezeigt, wie man aus einer Kontrollsicht diesen Herausforderungen begegnen kann, was für Prüfungsaktivitäten auf technischer und organisatorischen Ebene erfolgreich sind, und wie man der Geschäftsleitung zusätzliche Unterstützung innerhalb und ausserhalb formeller Prüfungen bieten kann, diese Risiken zu managen. *** Sicherheitsprüfungen: Erfahrungen und Grenzen in der Praxis Referent: Ivan Bütler, Compass Security AG Schweiz Der Penetration Test ist eine anerkannte Methode für die Identifikation von Schwachstellen und Gefahren in IT Anlagen. Es gibt diverse Herausforderungen; neben Beeinträchtigung der Verfügbarkeit, Probleme bezüglich Privatsphäre, Cloud- und Service Provider als auch ändernde Testumgebungen gibt es diverse Hürden. Erfahren Sie in diesem Referat von Ivan Bütler, CEO von Compass Security AG, mehr als auch selbstkritische Erfahrungen und Grenzen von Penetration Tests in der Praxis. *** Jenseits corporate IT-Prävention und BCM: Die Rolle des Staates und die nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken Referent: Gérald Vernez, Projektleiter Cyber Defence Strategie Schweiz IKT ist ein wesentlicher Teil unsere Gesellschaft geworden. Leider hat die Medaille auch eine Kehrseite mit vielen Risiken, welche wir mit der nötigen Intensität und Nachhaltigkeit adressieren müssen. Halbe Lösungen suchen, weitere Verzögerungen in Kauf nehmen, um die perfekte Lösung abzuwarten sind keine Optionen. Cyber-Risiken übersteigen die Dimension der bereits bekannten und praktizierten IKT-Sicherheit. Die kurz vor der Genehmigung stehende nationale Strategie zum Schutz vor Cyber-Risiken sollte endlich einen pragmatischen und ausgewogenen Lösungsansatz darstellen, welcher die Schweiz ermöglicht Risiken zu antizipieren, eine wirksame Prävention zu betreiben und bei Vorfällen eine adäquate Reaktion auszulösen.

6 Überblick zu den Referaten (Fortsetzung) Das rechtliche und regulatorische Umfeld der IT Systemprüfung (aus der Sicht einer Revisionsgesellschaft und Treuhandberatung) Referent: Klaus Krohman, Rechtsanwalt, Head E&Y Legal Darstellung der gesetzlichen Randbedingungen aus Gesellschafts- und Revisionsrecht. Diskussion der regulatorischen Randbedingungen, Voraussetzungen und Pflichten auf nationaler Ebene wie Swiss Code insbesondere IKS, Umgang mit Risiken, Compliance; Handbuch für Wirtschaftsprüfung - HWP und auf internationaler Ebene (z.b. SOX). Daraus werden Pflichten für Massnahmen zum präventiven Umgang mit insbesondere IT Risiken und Hinweise auf mögliche Rechtsfolgen der Unterlassung dieser Massnahmen abgeleitet. Die Rolle der Revisions- und Treuhandgesellschaften bei der IT Systemprüfung wird erläutert und Empfehlungen aus juristischer Sicht für die Durchführung von Systemprüfungen durch interne oder externe Sachverständige gegeben. Der Schutz und die Sicherung der IT Infrastruktur sowie eigener vertraulicher Informationen und vertraulicher Daten von Kunden und Geschäftspartnern werden besonders hervorgehoben. Spezielles Augenmerk wird auf die Ausgestaltung der Verträge mit beigezogenen Experten und die Auswertung der Ergebnisse der Systemprüfung bei Vorhandensein vertraulicher Informationen gelegt. Praktische Erfahrungen und Empfehlungen aus der Revisionspraxis runden das Referat ab. *** Die IT Systeme und deren Sicherheit im Finanzbereich (aus der Sicht eines Bankjuristen) Referent: Dr. Christoph Stocker, Rechtsanwalt, UBS AG Rechtliche (BankG/BankV) und regulatorische (FINMA-Rundschreiben z.b. zur Überwachung und interne Kontrollen sowie zum Outsourcing; Richtlinien Swiss Banking, z.b. über die Standesregeln zur Sorgfaltspflicht oder die Empfehlungen zum Business Continuity Management) Anforderungen an die Systeme/Systemprüfung. Die Wahrung des Bankkundengeheimnisses bei der Systemprüfung. Anlass und Auftrag für ein Testing der Systemsicherheit, Beizung externer Sachverständiger, Dokumentation und Berichterstattung über die Ergebnisse, Folgemassnahmen. *** Stolpersteine und Hürden bei der praktischen Durchsetzung von Rechten im Zusammenhang mit IT Sicherheitssystemen- Datendiebstahl in der öffentlichen Verwaltung - juristischer Leidensweg einer Aufräumaktion - Recht haben heisst nicht Recht bekommen Referent: Lukas Faessler, Rechtsanwalt und IT Experte, FSDZ Rechtsanwälte Anhand eines konkreten Falles von massivem Datendiebstahl in der öffentlichen Verwaltung zeigt RA Fässler auf, mit welchen forensischen Mitteln die Beweissicherung bei einem widerrechtlichen Eindringen in eine EDV-Anlage sichergestellt werden muss, damit sowohl im Strafverfahren wie auch im zivilen Schadenersatzverfahren der Geschädigte seine Rechte vollumfänglich wahren kann. IT- Sicherheitssysteme bilden dabei eine unabdingbare Voraussetzungen dafür, dass überhaupt auch eine strafrechtliche Verfolgung stattfinden kann. Trotzdem sind die IT-Sicherheitssysteme weder Garant noch Basis für die Durchsetzung der Rechte der Dateninhaber. Es braucht viel mehr ein sehr subtiles Vorgehen zur Beweissicherung in jeder Hinsicht. Wie schwierig die Durchsetzung der Rechte der Dateninhaber nach einem Datendiebstahl wirklich sind, wird anhand des vorliegenden Falles augenscheinlich. Dies nicht zuletzt auch deshalb, weil das Bundesgericht in diesem Falle mit einem umstrittenen Entscheid den digitalen Daten die Sacheigenschaft abgesprochen hat. Dieser Entscheid wirft hinsichtlich der Durchsetzung insbesondere von Löschungsmassnahmen bezüglich der gestohlenen Daten gegen den Datendieb und allenfalls Dritte, welche bereits in den Besitz der gestohlen Daten gekommen sind (z.b. Hostingprovider, Service-Dienstleister) grosse Fragen auf. Wir danken unserem Tagungspartner IBM für die Unterstützung. Wir würden uns freuen, Sie an unserer Tagung begrüssen zu dürfen! Anmeldung unter

7 Zürcher Tagung 2012 am 12. Juni 2012 in Zürich Wie sicher sind sichere Systeme? Sicherheitsprüfung von IT-Systemen - Lästige Pflicht oder zwingende Notwendigkeit? Information Security Society Switzerland (ISSS) Wasserwerkgasse Bern 13 Schweiz

8 Anmeldung Zur Zürcher Tagung 2012 am 12. Juni Online Anmeldung auf Anrede: Herr Frau Titel: Vorname: Name: Funktion/ Stellung: Firma/Institution: Adresse: PLZ/Ort: Tel./Fax: Unterschrift: Teilnahmegebühr inkl. Dokumentation, Getränke und Apéro. Bitte auch die Rechnungsadresse angeben, falls diese abweichend ist. Zutreffendes bitte ankreuzen: Normaltarif CHF 220. Tarif CHF 190. für assoziierte Verbände (bitte ankreuzen) Mitglied bei SI, CLUSIS, ISACA, SGRP, foraus Mitglied bei ITG, IAETH, TeleTrusT, Datenschutz-Forum Schweiz Ab dem 3. Teilnehmenden aus einer Firma/einer Institution Tarif CHF 160. für Mitglieder ISSS oder SwissICT (bitte ankreuzen) Mitglied ISSS Mitglied SwissICT Studierendentarif CHF 50. Vollzeit- Studierende und Vollzeit- Doktoranden unter 30 Jahren mit Legi (Legikopie innert 10 Tagen nach Anmeldung an das ISSS-Sekretariat senden, sonst gilt Normaltarif) Gratis Vorstand ISSS Mitwirkende (Podium, Referat, etc.) Sponsorticket Presse