IT-Sicherheit und Datenschutz in Versorgungsunternehmen

Transkript

1 DVGW INFORMATIONSTECHNOLOGIE IT-Sicherheit und Datenschutz in Versorgungsunternehmen AUCH SEPARAT BUCHBAR! SEPTEMBER 2015, FRANKFURT DEZEMBER 2015, BERLIN 1. Veranstaltungstag: IT-Sicherheit Das neue IT-Sicherheitsgesetz Was es für die Sicherheitsstruktur in Versorgungs unternehmen bedeutet Stellungnahme des UP KRITIS, Besonderheiten für IT-Systeme im EVU und Aufbau eines ISMS nach ISO/IEC Praxisbericht: Vorgehen zum Aufbau und Implementierung der Informationssicherheit bei der Open Grid Europe GmbH Datensicherheit für Metering-Prozesse IT-Sicherheit als Baustein im Gesamtsicherheitskonzept von Versorgungsunternehmen Cyber-Sicherheit, Wirtschaftsspionage und IT-Sicherheit im Digital Offi ce 2. Veranstaltungstag: Datenschutz Neue Datenschutzanforderungen für EVU in Deutschland und Europa Datenschutz in der Cloud Der Datenschutzbeauftragte in der Energiewirtschaft Beschäftigten- und Kundendatenschutz Datenschutz und Smart Metering INKLUSIVE GET TOGETHER UND LIVE HACKING Zielgruppe Datenschutz/Datenverarbeitung IT und IT-Sicherheit Interne Revision/Controlling Zähl- und Messwesen Messtechnik Kundenservice/Marketing Vertrieb Rechnungswesen/Controlling Recht/Personal/Compliance Unternehmensentwicklung Technische Leitung Mit Beiträgen von DVGW. e.v. DVGW Service & Consult GmbH Open Grid Europe GmbH numetris AG KKI Kompetenzzentrum Kritische Infrastrukturen GmbH CSPi GmbH Squire Patton Boggs (US) LLP Berliner Wasserbetriebe Itron GmbH Medienpartner

2 Das neue ITSichG Handlungsbedarf für Versorgungsunternehmen! Mit dem vom Bundestag am 12. Juni 2015 verabschiedeten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) gewinnt das Thema IT-Sicherheit in Versorgungsunternehmen zunehmend an Brisanz. Die Neuregelungen sollen den Schutz der Integrität und Authentizität datenverarbeitender Systeme für kritische Infrastrukturen verbessern und der gestiegenen Bedrohungslage anpassen. Was bedeutet dies konkret für die Sicherheitsstruktur in Versorgungsunternehmen und welche technischen und organisatorischen Maßnahmen kommen auf Ihr Unternehmen zu? Wie können Sie sich schon jetzt darauf vorbereiten? Potenzielle Gefahren bestehen auch hinsichtlich der zunehmenden digitalen Datenflut in Versorgungsunternehmen. Hochsensible Mitarbeiter-, Kunden und Geschäftsdaten müssen vor Manipulation und Missbrauch geschützt werden. Was ist bei der Entwicklung eines Datenschutzkonzeptes zu beachten und wie lässt sich dieses in die bestehende IT-Infrastruktur implementieren? Erhalten Sie Antworten auf diese und viele weitere Fragen und diskutieren Sie mit unseren Referenten. 1. Veranstaltungstag: IT-Sicherheit 9:15 9:30 Uhr Ausgabe der Tagungsunterlagen, Begrüßung und Einführung Das neue IT-Sicherheitsgesetz Was es für die Sicherheitsstruktur in Versorgungsunternehmen bedeutet 9:30 10:00 Uhr Stellungnahme des UP KRITIS: Neue IT-Standards für Versorgungsunternehmen Daniel Fricke, Leitung IT, DVGW Service & Consult GmbH und Andreas Kirk, Leiter Compliance / Internal Control, Open Grid Europe (1. Termin) Frank Dietzsch, Hauptreferent Gasversorgung, DVGW e.v. (2. Termin) Entstehung, Zusammensetzung und Ziel der Kooperation UP KRITIS Für wen gilt das IT-Sicherheitsgesetz? Entwicklung branchenspezifischer IT-Standards vor dem Hintergrund des neuen IT- Sicherheitsgesetzes: Worauf müssen sich Versorgungsunternehmen vorbereiten? Stellungnahme des DVGW: Überführung der IT-Standards in den technischen Regelsetzungsprozess 10:00 11:00 Uhr Besonderheiten für IT-Systeme im EVU und Aufbau eines Informationssicherheitsmanagementsystems nach ISO Daniel Fricke, Leitung IT, DVGW Service & Consult GmbH Gesetzliche Anforderungen - Datenschutz, Datensicherheit, KRITIS, IT-Sicherheitsgesetz, EnWG Überblick über Gefährdungen - Welche Gefahren? Woher? Beispiele Implementierung eines ISMS - Übersicht BSI-Grundschutz und ISO Einführung eines ISMS am Beispiel ISO SMIT: Mögliche Umsetzung einer Branchenlösung? 11:00 11:30 Uhr Diskussion, danach Kaffeepause 11:30 13:00 Uhr Informationssicherheit Umsetzung von internen und gesetzlichen Anforderungen / Schutz vor neuen Sicherheitsrisiken Andreas Kirk, Leiter Compliance / Internal Control, Open Grid Europe (1. Termin) Jörg Waning, Leiter Strategy & Efficiency, Open Grid Europe (2. Termin) Gesetzliche Anforderungen, Regelwerke und Normen OGE Vorgehen zum Aufbau / zur Implementierung der Informationssicherheit - IT-Risikomanagement / IT-Risikoanalyse - Muster für ein Regelwerk zur Informationssicherheit - Organisatorische Ausgestaltung der Informationssicherheit Überwachung der Einhaltung der Informationssicherheit - Internes Kontrollsystem Muster für die Ausgestaltung interner Kontrollen - Externe Audits Planung, Durchführung, Maßnahmenverfolgung Beispiele für vorbeugende Maßnahmen (E-Learning, Awareness-Programm) 13:00 14:15 Uhr Diskussion, danach Mittagessen Metering-Prozesse und IT als Baustein im Gesamtsicherheitskonzept 14:15 15:00 Uhr Datensicherheit für Metering-Prozesse vom Zähler in die weite Welt Joachim Pyras, Vorstand, numetris AG Intelligent, gläsern, angreifbar? Anforderungen an Datenschutz und Datensicherheit durch Smart Metering und Smart Grid Sicher unterwegs? Der Prozess vom Zähler bis zur Rechnung und seine Risiken Und was kommt danach? Auswirkungen auf die Marktprozesse 15:00 15:45 Uhr IT-Sicherheit als Baustein im Gesamtsicherheitskonzept von Versorgungsunternehmen Stephan Boy, Geschäftsführer, KKI Kompetenzzentrum Kritische Infrastrukturen GmbH Ganzheitliche Analyse von IT Systemen als Prävention Anforderungen an ein Ereignismanagement aus dem ISMS Besonderheiten des Netzstrukturplans Bedeutung der IT Systeme in der Normal- und Sonderorganisation 15:45 16:15 Uhr Diskussion, danach Kaffeepause Gefahrenquellen im EVU 16:15 16:45 Uhr Pentesting, aber richtig Markus Fritzsch, Technische Abteilung Pentesting, CSPi GmbH Unterschied zwischen Pentest und Ethical Hacking Pentest: Ursache und Wirkung 16:45 17:00 Uhr Alte Risiken in neuer Technik Markus Fritzsch USB-Sticks - Gefahr aus der Hosentasche Webbrowser: Unterschätzte Gefahr im Unternehmen Darknet: Viren und Trojaner für eine Handvoll Dollar 17:00 Uhr Get together und Live Hacking Praxis Im Anschluss an den ersten Seminartag laden wir Sie zu einem kommunikativen Umtrunk und zum Austausch mit den Referenten und Teilnehmern ein. Dabei vertiefen Sie die Seminarinhalte im Rahmen aufschlussreicher Live Hacking- Szenarien. Lernen Sie vom Experten, mit welchen aktuellen Methoden Hacker vorgehen, um sich besser vor Angriffen schützen und die richtigen Gegenmaßnahmen ergreifen zu können.

3 2. Veranstaltungstag: Datenschutz 9:15-9:30 Uhr Ausgabe der Tagungsunterlagen, Begrüßung und Einführung Neue Datenschutz-Anforderungen und Datenschutz in der Cloud 9:30 10:30 Uhr Datenschutz in der Energiewirtschaft: Europäische und nationale rechtliche Vorgaben Dr. Andreas Fillmann, Rechtsanwalt/Partner, Squire Patton Boggs (US) LLP Grundlagen des Datenschutzrechts - BDSG und sonstige rechtliche Vorgaben - Systemdatenschutz bei intelligenter Energieversorgung EU-Datenschutzgrundverordnung - Überblick und Auswirkungen auf EVU Datenschutz als Teil der IT-Compliance / IT-Security - Datenschutzkonforme Ausgestaltung der Energieversorgungssysteme - Cyber Security - Big Data Kommerzielle Nutzung (Profilierung) und rechtskonforme Datenverarbeitung Konsequenzen und Haftung bei Datenschutzverstößen - Meldepflichten bei Verstößen Kontroll- und Sanktionsmöglichkeiten der Aufsichtsbehörden und Mitwirkungspflichten von EVU 10:30 11:15 Uhr Datenschutz in der Cloud Rainer Olschewski, Technical Solutions & Consulting, CSPi GmbH Nationale und internationale Anforderungen IT-Sicherheitsgesetz vs. Datenschutz Bezug zur ISO :30 15:30 Uhr Kundendatenschutz: Werbliche Ansprache mit und ohne Einwilligung des Betroffenen Jürgen Brockhausen Zulässigkeitsvoraussetzungen Formen der Einwilligung Die verschiedenen Akquisemöglichkeiten Die Vertriebskanäle: Post, , Telefon und Haustürgeschäft: Was ist möglich, was ist zu berücksichtigen? Datenschutz und Datensicherheit bei Kundenprofildaten 15:30 16:00 Uhr Diskussion, danach Kaffeepause Datenschutz und intelligente Messsysteme 16:00 16:45 Uhr Datenschutz und Datensicherheit bei intelligenten Messsystemen Martin Hoh, Produktmanagement, Itron GmbH Anforderungen an Datenschutz und Datensicherheit Schutzprofil Gateway und Sicherheitsmodul Technische Richtlinie Zertifizierung Smart Metering in der Praxis: Das MessSystem :45 Uhr Abschlussdiskussion, Ende der Veranstaltung Datenschutzbeauftragter, Beschäftigten- und Kundendatenschutz im EVU 11:15 12:00 Uhr Stellung und Aufgaben eines Datenschutzbeauftragten Jürgen Brockhausen, Datenschutzbeauftragter, Berliner Wasserbetriebe Eingliederung in die Organisation Zusammenarbeit mit der Geschäftsführung, anderen Abteilungen und dem Betriebsrat Aufgaben nach dem BDSG 8 Gebote des Datenschutzes (Vorab-) Kontrollen Schulung und Information Auskünfte an Betroffene und Dritte 12:00 13:30 Uhr Diskussion, danach Mittagessen 13:30 14:30 Uhr Beschäftigtendatenschutz: Anforderungen an den Umgang mit Arbeitnehmerdaten Jürgen Brockhausen Struktur und Erlaubnistatbestände im BDSG Beschäftigtendaten: Regelungen zur Erhebung, Verarbeitung, Nutzung und Löschung Beschäftigtendatenschutz im Konzern Videoüberwachung, Telefonaufzeichnungen und Logfiles: Was ist zulässig? Beschäftigtendatenschutz und Compliance: Monitoring, Screening und der Sonderfall Whistleblowing Datenschutz und Betriebsrat Ausblick auf die aktuellen Novellierungsvorschläge zum Beschäftigtendatenschutz Zielgruppe Die Veranstaltung richtet sich an Geschäftsführer, technische und kaufmännische Leiter, Datenschutzbeauftragte, Betriebs- und Aufsichtsräte sowie Fach- und Führungskräfte von: Energieversorgungs- und -dienstleistungsunternehmen Unternehmen der energieintensiven Industrie Vertriebsgesellschaften Rechenzentren und Sicherheitszentralen Netzgesellschaften und Netzleitstellen Messstellenbetreibern und Messdienstleistern Stadtwerken IT- und Softwareanbietern/Systemdienstleistern Rechts- und Unternehmensberatungen öffentlichen, insbesondere kommunalen Institutionen

4 Ihre Experten Frank Dietzsch, Hauptreferent Gasversorgung, DVGW e.v. Frank Dietzsch ist seit 2008 im DVGW e.v. tätig. Seine Themenschwerpunkte liegen u.a. in den Bereichen Versorgungssicherheit, Krisenmanagement Gas, IT-Sicherheit, Netzsteuerung und Dispatching. Zuvor oblag Herr Dietzsch die Leitung des Kompetenz-Centers Satellitenpositionierung GNSS- Anwendungen bei der E.ON Ruhrgas AG. Stephan Boy, Geschäftsführer, KKI Kompetenzzentrum Kritische Infrastrukturen GmbH Stephan Boy ist studierter Diplom-Bergbau-Ingenieur. Nach seinem Studium absolvierte er ein Referendariat mit abschließender Staatsprüfung für den höheren feuerwehrtechnischen Dienst. Ab 2001 baute er das Sicherheitsmanagement bei dem Berliner Gasversorger GASAG AG und dessen Netztochter NBB- Netzgesellschaft Berlin-Brandenburg mbh & Co. KG aus. Seit 2011 ist Boy Geschäftsführer des Kompetenzzentrums Kritische Infrastrukturen GmbH (KKI). Daniel Fricke, Leitung IT, DVGW Service & Consult GmbH Herr Fricke ist seit Anfang 2007 in der DVGW Service & Consult GmbH tätig. Der zertifizierte ISO Auditor verantwortet den Bereich IT, dazu zählen insbesondere auch solche Dienstleistungen, welche die DVGW Service & Consult GmbH als externer IT-Dienstleister für den DVGW e.v. und verschiedenste Unternehmen aus der Versorgungswirtschaft anbietet. Markus Fritzsch, Technische Abteilung Pentesting, CSPi GmbH Markus Fritzsch ist seit 2005 als Penetrationstester tätig. Seit 2014 ist er bei der CSPi GmbH als Security Consultant beschäftigt mit Schwerpunkten in den Themen Rent a Hacker und Alte Viren in neuen Systemen. Andreas Kirk, Leiter Compliance / Internal Control, Open Grid Europe Andreas Kirk, Diplom-Wirtschaftsinformatiker, CISA, CISM, ist verantwortlich für die Themen Compliance / Internal Control und Datenschutzbeauftragter der Open Grid Europe. Zuvor war er bei der E.ON Ruhrgas AG für die Informationssicherheit und die IT-Revision verantwortlich, davor in der Wirtschaftsprüfung tätig. Seit 1993 ist er als externer Referent und in verschiedenen Arbeitskreisen (DSAG) tätig. Dr. Andreas Fillmann, Rechtsanwalt/Partner, Squire Patton Boggs (US) LLP Dr. Andreas Fillmann berät und vertritt nationale und internationale Mandanten in den Bereichen Bank- und Kapitalmarktrecht. Er hat insbesondere Erfahrung in der Erarbeitung und Umsetzung individueller Compliance-Programme bei Unternehmen und Banken und zu Fragen bei grenzüberschreitenden Datenübermittlungen. Die Qualität seiner Arbeit wird seit mehreren Jahren sowohl im Juve Handbuch, Nomos Handbuch als auch in Chambers Global erwähnt. Jörg Waning, Leiter Strategy & Efficiency, Open Grid Europe Jörg Waning leitet bei der Open Grid Europe das Team IT Strategie und Effizienz und ist verantwortlich für die Themen IT-Architektur, -Sicherheit, -Kosten und -Prozesse. Zuvor war er als IT-Projektleiter in diversen gaswirtschaftlichen Projekten tätig. Bis 2010 war er bei der Tochtergesellschaft PLEdoc GmbH tätig, zuletzt als Leiter der Abteilung Softwareentwicklung. Rainer Olschewski, Technical Solutions & Consulting, CSPi GmbH Rainer Olschewski ist seit 1994 Rechtsanwalt, Datenschutzbeauftragter und SAP Consultant (SCM). Als Senior Consultant bei der CPSi GmbH liegt der Schwerpunkt seiner Tätigkeit im Bereich der Einführung und Fortentwicklung von Datenschutzmanagement- und Compliance- Systemen. Zuvor war Herr Olschewski als Justiziar am Aufbau eines der größten konzernunabhängigen Telekommunikations- und Energieversorgungsunternehmen beteiligt. Joachim Pyras, Vorstand, numetris AG Joachim Pyras, Vorstandsvorsitzender der Essener numetris AG, legte 1996 den Grundstein für das heutige Unternehmen, das als Spezialist für das Mess- und Energiedatenmanagement gilt. In mehr als 40 Jahren Berufspraxis als Systemanalytiker in der IT und Energiewirtschaft, u.a. bei der Ruhrgas AG, entwickelte er sich zum Experten rund um Themen wie Zählerfernauslesung, Smart Metering und Energiedatenmanagement und engagiert sich in verschiedenen DVGW-Projektkreisen. Jürgen Brockhausen, Datenschutzbeauftragter, Berliner Wasserbetriebe Jürgen Brockhausen ist seit 1992 bei den Berliner Wasserbetrieben beschäftigt. Er wurde 1998 zum Datenschutzbeauftragten bestellt. Seit 2003 leitet er die Gruppe der Datenschutzbeauftragten, welche das Regelwerk für den Datenschutz der Berlinwasser Gruppe entwickelt. Martin Hoh, Produktmanagement, Itron GmbH Nach seinem Studium der Elektrotechnik an der Universität Dortmund hat Herr Hoh mehrere Jahre als Produktmanager im Bereich Gebäudeautomation gearbeitet. Seit dem Jahr 2000 war er bei der Firma Schlumberger Rombach (jetzt Itron) in verschiedenen Funktionen tätig. Der Schwerpunkt seiner Tätigkeit liegt momentan bei der Gasmengenmessung und Kommunikationstechnik. Seit Jahren ist er in mehreren Arbeitsgruppen beim DVGW tätig.

5 Informationen und Anmeldung unter veranstaltungen/ Termine und Veranstaltungsorte September 2015, Frankfurt relexa Hotel Frankfurt/Main Lurgiallee Frankfurt am Main Telefon frankfurt-main@relexa-hotel.de 1. und 2. Dezember 2015 Best Western Plus Hotel Steglitz International Schloßstraße / Albrechtstraße Berlin Telefon info@steglitz.bestwestern.de Es ist ein begrenztes Zimmerkontingent im Tagungs hotel abrufbar. Nehmen Sie die Reservierung bitte rechtzeitig selbst direkt im Hotel unter dem Stichwort DVGW Service & Consult vor. Merken Sie sich auch die folgenden Veranstaltungstermine vor: 26. August 2015, Bonn Energiemanagement nach EDL-G 14. September 2015, Stuttgart Technisches Risiko- und Krisenmanagement in der Versorgungswirtschaft 17. September 2015, Bonn Unsicherheitsbetrachtung von staatlich anerkannten Prüfstellen im Zuge der Prüfstellenanerkennung 22. September 2015, Frankfurt Unterweisungspflichten zur Arbeitssicherheit in der Versorgungswirtschaft 30. September 2015, Berlin Trinkwasserhygiene in öffentlichen und gewerblich genutzten Gebäuden 1. Oktober 2015, Berlin Wiederherstellung der Trinkwasserhygiene in öffentlichen und gewerblich genutzten Gebäuden 9. November 2015, München Sicherheit managen Organisationsverschulden vermeiden 9. November 2015, Bonn Mikrobielle Belastung von Wasserzählern 23. September 2015, Frankfurt Novelle der Betriebssicherheitsverordnung

6 Per Fax an: +49 (0)228/ Mitglieds-Nr. bitte unbedingt angeben Anmeldung IT-Sicherheit und Datenschutz in Versorgungsunternehmen Ich nehme teil am: 21. und 22. September 2015 in Frankfurt 21. September September 2015 [25102] 1. und 2. Dezember 2015 in Berlin 1. Dezember 2015 in Berlin 2. Dezember 2015 in Berlin [25103] Titel/Vorname/Name Position/Abteilung Unternehmen Ansprechpartner im Sekretariat Straße/Nr. PLZ/Ort Telefon/Telefax Rechnung an Datum/Unterschrift Mitarbeiter ab 500 Teilnahmegebühr Für Mitglieder des DVGW e.v. Für Nichtmitglieder EUR 490, zzgl. MwSt (1 Tag) EUR 890, zzgl. MwSt (2 Tage) EUR 590, zzgl. MwSt (1 Tag) EUR 990, zzgl. MwSt (2 Tage) Anmeldung und Konditionen Bitte die Anmeldung ausfüllen und zurücksenden. Anmeldungen sind auch per , Fax oder Telefon möglich. Mitglieder geben bitte ihre Mitgliedsnummer an, da ansonsten der Nichtmitgliederpreis berechnet werden muss. Mit der Anmeldung werden die Allgemeinen Geschäftsbedingungen für die Teilnahme an Veranstaltungen der DVGW Service & Consult GmbH verbindlich anerkannt. Sie sind unter oder auf Anfrage erhältlich. Da die Teilnehmerzahl begrenzt ist, werden die Anmeldungen in zeitlicher Reihenfolge des Eingangs berücksichtigt. Sie erhalten eine Bestätigung, sofern noch Plätze verfügbar sind andernfalls informieren wir Sie umgehend. Die Anmeldung ist verbindlich und verpflichtet grundsätzlich zur Zahlung der Teilnahmegebühr. Die Teilnahmegebühr beinhaltet Mittagessen, Erfrischungsgetränke und die Tagungsunterlagen. Stornierungen einer Anmeldung sind bis zum 21. Kalendertag vor Veranstaltungsbeginn kostenlos möglich, danach werden 50% der Teilnahmegebühr berechnet. Bei Stornierungen ab drei Tagen vor Veranstaltungsbeginn oder bei Nichterscheinen wird die gesamte Teilnahmegebühr fällig. Die Vertretung durch einen Ersatzteilnehmer ist ohne weitere Kosten möglich. Programmänderungen aus wichtigem Grunde sind vorbehalten. Datenschutz Mit der Anmeldung erkläre ich mein Einverständnis, dass die DVGW Service & Consult GmbH meine persönlichen Angaben zur Durchführung meines mit ihr geschlossenen Vertrages verarbeitet und nutzt sowie mir postalisch und/oder per Informationen über gebuchte und weitere Angebote von der DVGW Service & Consult GmbH, dem DVGW e.v. und seinen Tochtergesellschaften zukommen lassen darf. Der Nutzung der Daten für diese Zwecke oder der Ansprache per oder Fax kann jederzeit gegenüber der DVGW Service & Consult GmbH unter den angegebenen Kontaktdaten widersprochen werden. Über Uns Die DVGW Service & Consult GmbH ist eine 100-prozentige Tochter des DVGW Deutscher Verein des Gas- und Wasserfaches e.v., einem der ältesten technisch-wissenschaftlichen Vereine Deutschlands mit mehr als Mitgliedern. Wir bieten Dienstleistungen in Form von Beratungsangeboten und Veranstaltungen speziell für Unternehmen der Ver- und Entsorgungswirtschaft an. Unsere Informations- und Fortbildungsveranstaltungen liefern insbesondere Entscheidungsträgern, Fach- und Führungskräften sowie Neu- und Quereinsteigern bedarfsgerechtes und übergreifendes Fachwissen aus erster Hand zu den aktuellen Themen der Branche. Anmeldung/Information Organisation und Marketing: Natalie Grünwald Telefon: +49 (0) Fax: +49 (0) anmeldung@dvgw-sc.de Internet: schriftlich: DVGW Service & Consult GmbH Josef-Wirmer-Straße Bonn Veranstalter/Ansprechpartner DVGW Service & Consult GmbH Josef-Wirmer-Straße Bonn Leitung Veranstaltungen: Konstanze Eickmann-Ismail Telefon: +49 (0) eickmann@dvgw-sc.de