ISSS Zürcher Tagung 2010

Transkript

1 ISSS Zürcher Tagung 2010 Data Leakage Prevention - DLP Datenpreisgabe verhindern, entdecken und bewältigen 1. Juni :00-19:00 WIDDER HOTEL Rennweg 7, 8001 Zürich Programm und Anmeldung: Hauptsponsor

2 Data Leakage Prevention Data Leakage Prevention (DLP) soll dazu dienen, die Risiken der Preisgabe von Daten an Unberechtigte durch verstärkte Kontrolle über die Nutzung von Daten zu kontrollieren. Mindestens soll sichergestellt werden, dass die Daten bei unbefugtem Zugriff, Verlieren oder Entwendung von Datenträgern, unsorgfältiger Entsorgung etc. nicht verwertet werden können. Im Gegensatz zur Netzwerksicherheit, z.b. Firewalls oder Intrusion Detection Systemen (IDS), liegt der Schwerpunkt der Massnahmen zur DLP nicht beim Schutz gegen Zugriff von aussen, sondern gegen den Missbrauch durch Personen der eigenen Organisation: Mitarbeitende und Service-Personal. DLP soll durch Datenverschlüsselung, Sperrung von USB- Schnittstellen, Unterdrückung des Ausdruckens, Selbstlöschungsverfahren etc. verhindern, dass aus der eigenen Organisation lesbare Daten an Dritte abfliessen. Spektakuläre Fälle von Datenpreisgabe an ausländische Stellen (Weitergabe von Daten der LGT Vaduz mit anschliessenden Schadenersatzansprüchen betroffener Personen gegen den Dateninhaber; Datendiebstahl bei HSBC Genf, Berichte über einen möglichen Datenverlust bei der Credit Suisse) unterstreichen die wachsende Bedeutung von DLP. Dabei stehen heute folgende Überlegungen im Vordergrund: Verstärkter Schutz vertraulicher Informationen in Wirtschaft und Verwaltung gegen Zugriff und Missbrauch interner Personen Erweiterte Rechtspflichten zur Sicherung von Personendaten gegen Data Leakage sowie zur aktiven Information betroffener Personen bei Feststellung eines Datenverlustes ( data breach notification ) Risiko der Haftung von Unternehmen und Verwaltungseinheiten gegenüber den durch Data Leakage betroffenen Personen bei ungenügender DLP Die ISSS Zürcher Tagung 2010 behandelt das Thema in zwei Teilen: Der erste Teil beschäftigt sich mit den Aspekten von Recht und Compliance der DLP und geht auf die Sanktionen gegen die Täter, Empfänger und Nutzer entwendeter Daten, sowie auf die Verantwortung und Haftung von Unternehmen und Verwaltungsstellen bei ungenügenden Massnahmen zur DLP ein. Der zweite Teil beschäftigt sich mit dem aktuellen Stand der Technik zur Umsetzung der DLP und zeigt praktische Vorgehensweisen bei Vermutung eines Vorfalls von Datenpreisgabe auf.

3 Die Zürcher Tagung wird sich sowohl mit den grundlegenden Mechanismen und der technischen Implementierung der DLP-Technologien und -Verfahren, als auch mit ihrer organisatorischen und rechtlichen Umsetzung befassen. Die Erkenntnisse werden konsolidiert und im Plenum zur Beantwortung folgender Fragen diskutiert: Ist Ihre Firma oder Verwaltungsstelle gegen Datendiebstahl ausreichend geschützt oder vielmehr ausgeliefert? Wie schützt man heute die relevanten Daten eines Unternehmens zeitgemäss vor Zugriff durch und Weitergabe an unberechtigte interne und externe Personen? Welche der Data Leakage Protection (DLP) Technologien und Verfahren sind in der Praxis gut umsetzbar? Wie muss man aus rechtlicher Sicht vorgehen, wenn Daten von Kunden oder Geschäftspartnern preisgegeben wurden? Abschliessend werden die verschiedenen Themen in einer moderierten Runde diskutiert und erörtert. Die Veranstaltung wird mit einem Apéro beendet. Anmeldung unter Wir danken unserem Hauptsponsor McAfee sowie unseren Co-Sponsoren Avira und dem Zürcher Beratungsunternehmen Consecom AG für die Unterstützung und würden uns freuen, Sie an unserer Tagung begrüssen zu dürfen! Hauptsponsor: Co-Sponsoren:

4 Programm Ab 13:00 Registrierung 13:20 Begrüssung - Dr. Thomas Dübendorfer, Präsident ISSS 13:30 Keynote: Preisgabe von Daten - Das rechtliche Umfeld Rechtsschutz gegen Datenklau in der Schweiz; Anforderungen an den Dateninhaber, Sorgfaltspflichten des Dateninhabers Lic. iur. David Rosenthal, Konsulent für Informations- und Kommunikationsrecht, Kanzlei Homburger, Zürich 14:10 Überwachung am Arbeitsplatz - eine Massnahme im Rahmen von DLP Voraussetzungen und Schranken betrieblicher Massnahmen zur DLP Lic. iur Karin Koç, Juristische Beraterin in datenschutzrechtlichen Fragen, EDÖB 14:30 Die Haftung des Dateninhabers bei Datenverlust Erfahrungen und Lehren aus der Anwaltspraxis Jürgen Wagner, LL.M., Rechtsanwalt und Fachanwalt für Handels- und Gesellschaftsrecht, Wagner & Joos Rechtsanwälte, Konstanz/Zürich/Vaduz 15:10 Diskussion Moderation: Fürsprech Beat Lehmann, Vorstand ISSS 15:30 Pause 16:00 Keynote: The Future of Data Leakage Prevention Object related policies and monitoring Sandy Porter, Head of Identity and Security, Avoco Secure 16:30 Die goldenen Regeln der Data Loss Prevention Umsetzung und Anwendung von DLP im Rahmen eines ISMS Johann Petschenka, Channel Manager für internationale Sales Partner, SECUDE IT Security GmbH 16:50 DLP Und nun ist alles sicher? Erfahrungen von DLP Programmen im Unternehmen Oliver Jäschke, Group IT Risk Strategie Team, Zurich Versicherungs-Gesellschaft AG 17:20 Data Protection in der Praxis Thomas Maxeiner, Product Line Executive, Data Protection Central Europe, McAfee GmbH, Deutschland 17:40 Diskussion Moderation: Prof. Dr. Bernhard Hämmerli, Vorstand ISSS 18:00 Apéro 19:00 Veranstaltungsende

5 Dr. Thomas Dübendorfer Dr. Thomas Dübendorfer arbeitet als Senior Software Engineer Tech Lead im Bereich IT Sicherheit bei Google in Zürich. Zudem unterrichtet er als Dozent für Netzwerksicherheit an der ETH Zürich. Er ist Präsident der Information Security Society Switzerland ISSS und als CISSP Security Professional zertifiziert. Er hat das höhere Lehramt absolviert und trägt den Doktortitel sowie den Master of Science in Informatik mit Auszeichnung von der ETH Zürich. Prof. Dr. Bernhard Hämmerli Prof. Dr. Bernhard Hämmerli ist in der Informationssicherheit tätig seit 20 Jahren. Er ist Gründungsmitglied von ISSS, hat in diesem Rahmen das CAS und das Masterstudium an der FH Luzern aufgebaut. Von war er Vizepräsident und Präsident von ISSS. Nach 2000 hat er sich mit Information Sharing, Cybercrime und kritischen Infrastrukturen auseinandergesetzt und ist heute Chair der CIP Taskforce des Centre for European Policy Studies CEPS. Sein Unternehmen Acris GmbH berät in den Bereichen Informationssicherheit und kritischen Infrastrukturen. Oliver Jäschke Oliver Jäschke ist seit Sommer 2008 im Group IT Risk Strategie Team der Zurich Financial Services tätig. In dieser Funktion ist er für den Unterhalt der internen Policies und der Referenz Security Architektur zuständig. Weiter fallen in seinen Aufgabenbereich IT Security Lösungen innerhalb der Zurich Gruppe global zu betreuen und die Koordination zwischen den verschiedenen Ländern sicherzustellen. Zuvor war er als IT Security Consultant bei der Zurich tätig. Karin Koç Lic.iur., juristische Beraterin beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), Lehrbeauftragte Hochschule Luzern. Sie ist zuständig für die datenschutzrechtliche Beratung und Aufsicht im Bereich der Statistik und Forschung, für die Zertifizierung von Produkten, Stellvertretung im Bereich Umsetzung des Datenschutzes im Arbeitsrecht und Gesundheitsrecht. Dozententätigkeit an der Hochschule Luzern und WISS. Verschiedene Publikationen zum Risk Management und zur Umsetzung des Datenschutzes im Unternehmen. Beat Lehmann Lic. iur., Fürsprech; Rechtskonsulent IBM, später Alusuisse-Lonza bzw. Alcan-Rio Tio Gruppe; Mitarbeit an der Datenschutzgesetzgebung des Bundes und der Anpassung der Aufbewahrungsvorschriften; diverse Lehraufträge und Publikationen zu Fragen von Informatik und Recht; Mitgliedschaft in Fachorganisationen der Wirtschaft und der Informatik, im Vorstand der ISSS.

6 Thomas Maxeiner Thomas Maxeiner ist seit April 2009 Data Protection Product Line Executive für Central Europe bei McAfee. Maxeiner ist in dieser Region für die Entwicklung und das Wachstum der Data Protection-Sparte verantwortlich. In seiner vorherigen Position war Thomas Maxeiner als Product Manager bei SafeBoot zuständig. SafeBoot wurde im Oktober 2007 von McAfee übernommen. Johann Petschenka Johann Petschenka ist als Channel Manager für internationale Sales Partner bei SECUDE IT Security GmbH tätig. Herrn Petschenkas fundiertes und breites Wissen über IT-Sicherheitslösungen ist sehr wertvoll, um neue Sales Partner für eine Zusammenarbeit zu gewinnen. Er war Gründer der Paladin Group, die er über zwei Jahre geleitet hat. Herr Petschenka verfügt über 15 Jahre Erfahrung in der IT- Sicherheitsbranche. Sandy Porter Sandy Porter co-founded Avoco Secure to develop privacy and security software solutions that were to be based on identity and access control mechanisms. He is currently the director for Strategic Development and Head of Identity and Security at Avoco Secure. His work includes extending user centric identity to document content access control, cloud signing of information, the development of cloud service selectors and secondary forms of authentication for anti-phishing. He is actively involved in European Union funded research for securing the critical financial infrastructure and is an EU expert project evaluator. Throughout the 1990's his work encompassed developments in the securing and control of digital information with a strong focus on digital cinema. David Rosenthal David Rosenthal ist nach Tätigkeiten im Bereich Software-Entwicklung und EDV- Beratung heute Konsulent für Informations- und Kommunikationsrecht und Co-Leiter der IT-Rechtsberatung bei Homburger, Zürich. Er ist Inhaber eines Lehrauftrages auf diesem Gebiet an der Universität Basel und der ETH Zürich, sowie Verfasser verschiedener stark beachteter Publikationen zum Thema Informatik, Internet, E-Commerce und Recht und Mitherausgeber des umfangreichen Handkommentars zum Datenschutzgesetz (2008). Er war Mitglied der 1996 vom Bundesrat eingesetzten Studienkommission zur Informationsgesellschaft, berät regelmässig Anwender über Rechtsfragen der Informatik, der Realisierung von IT-Projekten, Outsourcing-Transaktionen, des Datenschutzes und des Fernmelderechts und vertritt Parteien in Schiedsverfahren mit Technologiebezug. Jürgen Wagner Partner der Kanzlei Wagner & Joos, zugelassen und tätig in Konstanz, Zürich und Vaduz, LL.M. Internationales Wirtschaftsrecht Uni Zürich, Fachanwalt für Handelsund Gesellschaftsrecht; Mitglied des geschäftsführenden Ausschusses der Arbeitsgemeinschaft Steuerrecht im DAV, Redaktion Steueranwaltsmagazin und Herausgeber Liechtenstein-Journal; Verfasser zahlreicher Publikationen zum Steuer-, Wirtschafts- und Gesellschaftsrecht und zur Verantwortlichkeit von Gesellschaftsorganen.

7 Zürcher Tagung 2010 am 1. Juni 2010 in Zürich Data Leakage Prevention - DLP: Datenpreisgabe verhindern, entdecken und bewältigen Information Security Society Switzerland (ISSS) Wasserwerkgasse Bern 13 Schweiz

8 Anmeldung Zur Zürcher Tagung 2010 am 1. Juni Anrede: Herr Frau Titel: Vorname: Name: Funktion/ Stellung: Firma/Institution: Adresse: PLZ/Ort: Tel./Fax: Unterschrift: Teilnahmegebühr inkl. Dokumentation, Getränke und Apéro. Zutreffendes bitte ankreuzen: Normaltarif CHF 340. Tarif CHF 260. für assoziierte Verbände (bitte ankreuzen) Mitglied bei SI, CLUSIS, ISACA, ISSA, SGRP Mitglied bei InfoSurance, SIK, ITG, IAETH Ab dem 3. Teilnehmenden aus einer Firma/einer Institution Tarif CHF 220. für Mitglieder ISSS/ SwissICT (bitte ankreuzen) Mitglied ISSS SwissICT Studierendentarif CHF 50. Vollzeit- Studierende und Vollzeit- Doktoranden unter 30 Jahren mit Legi (Legikopie innert 10 Tagen nach Anmeldung an das ISSS-Sekretariat senden, sonst gilt Normaltarif) Gratis (Unkostengebühr von CHF 100. bei Nichterscheinen) Vorstand ISSS Mitwirkende (Podium, Referat, etc.) Sponsorticket Presse