Compliance & IT-RISK 2008

Transkript

1 Compliance & IT-RISK 2008 Rechtliche und wirtschaftliche Risiken in der IT erfolgreich managen In Modulen aufgebaute Ausbildungsreihe für CIO & IT-Manager Maßgeschneidert auf Ihre Bedürfnisse: Wählen Sie aus 6 Modulen aus und stellen Sie sich Ihren individuellen Ausbildungsplan zusammen Compliance Welche Normen Sie betreffen, wie Sie Strafen vermeiden und wirtschaftliche Risiken eindämmen IT-Sicherheit Wie Sie mit technischen und organisatorischen Maßnahmen die Vertraulichkeit und Verfügbarkeit von Informationen sicher stellen COBIT, ITIL, Euro-SOX Welche Standards gibt es und was bedeuten sie in der Praxis für Ihr Unternehmen Unsere Themen: Compliance IT-Recht IT-Sicherheit Security-Policy ITIL v.3 COBIT CIO IT-Management IT-Revision Audit Zertifizierung Mentoring IKS IT-Controlling EuroSox Business-IT Alignment IT-Governance Wirtschaftsprüfung MENTORING: Erfahrene IT-Manager und Management-Profis stehen Ihnen auch nach den Trainings als Ansprechpartner zur Verfügung. Wir vernetzen Sie mit Top-Entscheidern aus unterschiedlichen Branchen, damit Sie auch nach dem erfolgreichen Absolvieren der Seminare Ihre Fragen praxisnah klären können, u.a.: Robert Pumsenberger, CIO, Salzburg AG (ausgezeichnet mit dem CIO Award 2008) Martin Frick, CIO, Avis-Group, London (Schwerpunkte IT-Governance, IT- Strategie, Business-IT- Alignment) Frank Bieser, CIO, Herold Business Data GmbH (Schwerpunkte Führung, Rolle im Unternehmen, Business-IT-Alignment) Harald Reisinger, CIO, RailNet Europe (Schwerpunkte Compliance, IT-Governance, Controlling) Walter Steinhauser, IT-Manager, EurotaxGlass s (Führung, IT-Strategie für KMU)

2 FIT FÜR EURO-SOX, WIRTSCHAFTSPRÜFER UND ALLE RECHTLICHEN ANFORDERUNGEN? Folgende Mentoren unterstützen Sie bei der Umsetzung des erlernten Wissens: Martin Frick, CIO, Avis-Group, London (Schwerpunkte IT-Governance, IT-Strategie, Business-IT-Alignment) Thomas Brössler, Geschäftsführer, Exantis (Schwerpunkte Führung, Leadership) Sehr geehrte IT-Profis,? Haftung? Wirtschaftlichkeit? Für erfolgreiche Manager in der IT sind mittlerweile wirtschaftliches und rechtliches Wissen mindestens genauso wichtig, wie technisches Verständnis. Unter dem Schlagwort IT-Governance wird erwartet, dass der CIO oder IT-Leiter die Kosten und Leistungen der IT nach wirtschaftlichen Kriterien steuert. Er muss mit Risiko so umgehen, dass Handlunsgspielraum gegeben ist und die Leistungsfähigkeit des Unternehmens nicht leidet. Weiterbildung ist entscheidend, um den neuen Anforderungen gerecht zu werden. Zahlreiche hochkarätige Experten und IT-Profis aus unterschiedlichen Branchen unterstützen Sie dabei, die neuen Anforderungen zu bewältigen. Informieren Sie sich jetzt, um sich zielorientiert über Schlagworte wie COBIT, Euro-SOX, Compliance und IKS zu informieren. Relevantes Wissen, das hält. Ein ausgefeiltes didaktisches Konzept stellt sicher, dass Sie sofort umsetzbare Anregungen aus den Trainings mit in die Unternehmens-Praxis nehmen. Auch nach den Veranstaltungen haben Sie Kontakt zu den Trainern und Teilnehmern, so können Sie Fragen praxisnah und aktuell klären. Durch den modularen Aufbau, können Sie Ihren individuellen Ausbildungspfad definieren, maßgeschneidert auf Ihre Bedürfnisse. Spezielles Mentoring Angebot Unterstützung die wirkt Erfahrene IT-Profis aus unterschiedlichen Branchen stehen zur Verfügung um Sie in kniffligen Situationen zu beraten und Ihnen weiterzuhelfen. Nutzen Sie eine einmalige Chance, um bei schwierigen Themen, von der COBIT-Einführung bis zur Diskussion mit der Geschäftsführung nicht allein da zu stehen. Melden Sie sich jetzt an und profitieren Sie vom intensiven Erfahrungsaustausch mit internationalen IT-Profis, hochrangigen Mentoren und erfahrenen Referenten, Frank Bieser, CIO, Herold Business Data GmbH (Schwerpunkte Führung, Rolle im Unternehmen, Business-IT- Alignment) herzliche Grüße Ihre Lehrgangsleiter Dipl.Math. Holger Schellhaas, Managing Director, evoltas solutions ltd., München Mag. Michael Ghezzo, Geschäftsführer, Confare IT- und MarketingberatungsgmbH PS: Nachhaltiges Wissen Nicht nur Lernen, sondern Erleben, so dass Sie das erworbene Wissen sofort anwenden können Für Wirtschaftlichkeit und Sicherheit in der IT! Rainer Knyrim, Rechtsanwälte, Preslmayr Rechtsanwälte (Schwerpunkte IT-Recht, Datenschutz) Mag. Ing. Markus Oman, Verantwortlicher für e-billing, Archivierung und Prozessmanagement, Deloitte, Nähere Informationen finden Sie unter Inhaltsverzeichnis optimieren und Compliance umsetzen Compliance und... 7 stag... 8 Entwickeln und Umsetzen einer IT Security Policy... 9 Rechtliche für IT-Manager

3 Folgende Mentoren unterstützen Sie bei der Umsetzung des erlernten Wissens: Inhalte: Stellen Sie aus einer breiten Palette individuell auf Ihre Bedürfnisse zugeschnitten Ihren Ausbildungsplan zusammen. Alles was Sie für den Wirtschaftsprüfer in der IT brauchen, praxisnah, umsetzbar IT-Sicherheit Was ist für Wirtschaftlichkeit und Sicherheit in der IT notwendig? Compliance und IT-Governance Was ist für die Umsetzung notwendig? COBIT, ITIL und EURO-SOX Was ist für Ihre IT wirklich wichtig? Robert Pumsenberger, CIO, Salzburg AG (ausgezeichnet mit dem CIO Award 2008) Harald Reisinger, CIO, RailNet Europe (Schwerpunkte Compliance, IT-Governance, Controlling) Holger Schellhaas, Managing Director, evoltas solutions ltd. (Schwerpunkte Compliance, IT-Governance, Controlling) Walter Steinhauser, IT-Manager, EurotaxGlass s (Schwerpunkt Führung, IT- Strategie für KMU) Ausbildung für IT-Leiter Was ist wichtig? Vom IT-Leiter zum CIO Persönliche Weiterentwicklung, Business Orientierung, nachhaltige Ausbildung für IT-Manager (Artikel von Christian H. Leeb, holistic business developement) Informations- und Kommunikationstechnologie wird immer wichtiger für das Business. Nach wie vor herrscht aber eine Kluft zwischen den Anforderungen des Business und den zur Verfügung gestellten IT Diensten. Das hat vielerlei Gründe: Die IT wird als Cost-Center und nicht als Werte-Enabler gesehen und behandelt die IT wird zu technisch und operativ geführt das Verständnis für die jeweilig andere Seite ist kaum vorhanden die Sprache ist unterschiedlich die IT weiß um die kritischen Erfolgsfaktoren des Business nicht bescheid das Business kennt nicht die Entwicklungen in der IT etc. Ausgelöst von Finanzskandalen in Amerika (z.b. Enron) entdecken auch die Wirtschaftsprüfer, wie wichtig die IT für das (Über)leben der Firmen ist. Daraus entstehende Standards wie SOX, 8. EU-Richtlinie bringen das Unternehmen in die Situation, dass der IT-Manager, der sich bisher um das Funktionieren der IT gekümmert hat, nicht mehr ausreicht, sondern ein strategisch und business-orientierter CIO sein muss. Durch die immer stärker vernetzte Welt hat das Thema Security an Bedeutung gewonnnen. Zum einen geht es darum, dass alle Informationen, die ein Asset für das Unternehmen sind, nicht verloren gehen können, zum anderen müssen eben diese Assets vor kriminellen Handlungen jeder Art geschützt werden. Auch hier geht es nicht mehr primär um technische Lösungen sondern um eine. Die Ausbildungslandschaft stellt sich wie folgt dar: auf den Universitäten wird im Fach Informatik und ihren Ausprägungen wie Wirtschaftsinformatik noch immer sehr viel Wert auf die Technologie gelegt, der Praxisbezug ist kaum gegeben. An der Donau Universität Krems als einziger postgradualer Weiterbildungsuniversität ist zwar mehr Praxisnähe gegeben, allerdings ist die Unterrichtsform eher klassisch mit Vorträgen von Experten vor den Studierenden. Die Seminare und Kongresse unterschiedlicher Veranstalter sind ebenfalls eher auf Folienvorträgen aufgebaut. Die Weiterentwicklung des Internets in Richtung Mitmach-Web mit user generated content wird in allen bisherigen Angeboten nicht oder nur unzureichend miteinbezogen. Derzeit gibt es nirgends eine umfassende Ausbildung zum CIO für Menschen, die bereits im Berufsleben stehen. Gerry Wallner, Geschäftsleitung, Beck et al. Services GmbH, München 3

4 IT-Security Policy 30. September 2008 Gerade der IT-Manager steht heute vor großen Herausforderungen. In dem Maße, wie Technologie in beinahe jedem Geschäftsfeld grundlegende Bedeutung gewonnen hat, steigt auch die Anforderung, Risiken zu minimieren ohne die der Prozesse kaputt zu machen. Nutzen Sie diesen Praxistag und erfahren Sie, wie es gelingt, ein internes Kontrollsystem in der IT effizient zu gestalten und damit nachweisbar die zu erhöhen. Dipl.Math. Holger Schellhaas, Managing Director, evoltas solutions ltd., München Dipl.Kfm. Walter Wilmking, Geschäftsführer, Wilmking International Consulting, Rosenheim; zur Zeit Leiter Group Finance & Controlling, Alcor-Venilia GmbH, München optimieren und Compliance umsetzen Anforder ungen an ein internes Kontrollsystem (IKS) in der Praxis Zur Einstimmung: Minimalanforderungen an ein Kontrollsystem Was Sie für den Wirtschaftsprüfer brauchen Aufnahme und Dokumentation der internen Kontrollen Festlegung der Vorgehensweise (Zentral vs. dezentral) Untersuchung anhand des COSO-Anforderungskataloges Analyse auf Prozessebene Bestimmung der wesentlichen Kontrollen Zuordnung von Kontrollen zu Prozessen Untersuchung einzelner Prozesse Einbindung der Informationstechnologie Dokumentation der internen Kontrollen Prüfung und Dokumentation der Effektivität des Internen Kontrollsystems Abgrenzung des Testumfeldes und -umfanges Bewertung der Wirksamkeit von Kontrollen Dokumentation der Prüfungsergebnisse Dokumentationsleitfaden Definition von Maßnahmen-Plänen Überwachung der Umsetzung des Maßnahmen- und Zeitplans Entwicklung eines Plans zur zeitnahen Information des Prüfungsausschusses Praxisbeispiel: Die Sicht eines unserer Kunden - Umsetzung der Minimalanforderungen an ein IKS Anforderungen an das Interne Kontrollsystem (am Beispiel des Sarbanes-Oxley Act) Implementierung eines Internen Kontrollsystems Prüfung des Internen Kontrollsystems Lessons Learned Fortlaufende Überwachung des Internen Kontrollsystems Control Self Assessment und Einbindung in das -System Gewährleistung eines wiederkehrenden Prozesses Aufgabenverteilung für die Aktualisierung Einbindung in das -System Ausblick: Ihre neuen Herausforderungen Auswirkungen von Sarbanes-Oxley auf Europa und den Status Quo der Corporate Governance Auswirkungen auf Ihr Unternehmen IT-Security Policy Kostenloser 14-tägiger Test des Netviewers: 4

5 7./8. Oktober 2008 Wirtschaftsprüfer wollen genauso prüfen, wie Sie Ihre Informationen sichern, wie Ihre Vertragspartner und Kunden einen Anspruch darauf haben, dass Sie die Vertraulichkeit und Integrität der Daten sicher stellen. Nutzen Sie intensive zwei Tage mit zahlreichen Übungen und Case Studies, und erfahren Sie, wie Sie die Wirtschaftlichkeit Ihrer Sicherheitsmaßnahmen garantieren, wie Sie Sicherheit auch intern vermarkten und welchen Beitrag zum Unternehmenserfolg Sie durch ein maßgeschneidertes Sicherheits-Konzept leisten. Dipl.Math. Holger Schellhaas, Managing Director, evoltas solutions ltd., München Manfred Scholz, Geschäftsführer, SEC4YOU Advanced IT-Audit Services Ges.m.b.H., Korneuburg 1.Tag: Technische und organisatorische Maßnahmen umsetzen Formulieren Sie die richtige Security Policy für gelebte Sicherheit in Ihrem Unternehmen Was ist bei Prozessen zu beachten, welche organisatorischen Aspekte sind relevant? Nominieren von Verantwortlichen und Verteilen von Aufgaben Sicherheit versus Anwendbarkeit: Soviel Sicherheit wie nötig, soviel Usability wie möglich IT-Projekte rechtzeitig auf sicherheitsrelevante Auswirkungen untersuchen Integrieren der Sicherheitspolitik in die Unternehmenskultur Welchen Nutzen haben Standards wie ITIL, COBIT oder ISO 9001? Sicherheit managen - Von IT Security zum Information Security Management Dimensionen der Information Security - Was passiert, wenn was passiert? CIA - Synonym für Security Management (Confidentiality-Integrity-Availability) RIA Risk Identification - Operationelle und technische Risiken erkennen BIA Business Impact Analysis - Auswirkungen auf das Geschäft abschätzen Wirksame & wirtschaftlich angemessene Vorsorgemaßnahmen finden und festhalten Sicherheitshandbuch: was es enthalten muss Neue/geänderte Rolle des Security Management im Rahmen von IT Governance Was darf Sicherheit kosten - IT-Sicherheitskosten transparent und kalkulierbar machen Herausforderung Wirtschaftlichkeitsrechnung: Kosten/Nutzen-Analyse (ROI, TCO) Total cost of risk: Effizientes steuert Ihre Sicherheits-Kosten Special: Hacker-Methoden live erleben mit Réné Pfeiffer, Consultant, Paradigma Unternehmensberatung GesmbH Anforderungen aus der Sicht einer IT-Revision Was sind die rechtlichen? Welche Standards werden eingesetzt? Wie denken Prüfer? Was bedeutet der Begriff Ordnungsmäßigkeit? Fachbegriffe der IT-Revision - Richtig verstehen. Dokumentation Ein notwendiges Übel. Nachvollziehbarkeit und Prüfbarkeit. Warum IT-Sicherheit alleine nicht ausreicht? Warum eine IT-Revision sinnvoll ist? Wie kann man sich auf eine Prüfung vorbereiten? Ausblick auf zukünftige Entwicklungen Case Study: Mit Security Audits Ihren Sicherheitsstatus kontrollieren und optimieren Durchführen von Security Audits in der Praxis Unterschiedliche Auditing-Konzepte im Vergleich IT-Security IT-Security Policy Policy Erwin Klecker, CISO, OeBB Infrastruktur Bau AG, T-Kom Services, Réné Pfeiffer, Consultant, Paradigma Unternehmensberatung GesmbH 5

6 7./8. Oktober 2008 Mag. Michael Ghezzo, Geschäftsführer, Confare ITund MarketingberatungsgmbH, Gerry Wallner, Mitglied der Geschäftsleitung, Beck et al. Services GmbH 28. MÄRZ MÄRZ Tag: Technische und organisatorische Maßnahmen umsetzen Einführung eines standardisierten ISMS (Information Security Management System) Sicherheitsstandards im Vergleich: Unterschiedliche Internationale Standards ISO Vor- und Nachteile im Rahmen des IT Sec. Mgmt ISO Vor- und Nachteile Gemeinsamkeiten der ISO Normen Einbindung in die IT Service Management Organisation Rechtliche und regulatorische Anforderungen an Ihr Sicherheits-Konzept IT-Compliance Aspekte ( e.g. Basel II, Euro-Sox, etc) Rechtsicherheit in der IT - So vermeiden Sie Haftungsfälle Datenschutz versus Überwachungsstaat - Wie weit geht die Kontrolle von Mitarbeitern? Erstellen eines Marketing-Konzepts für Sicherheits-Bewusstsein und Akzeptanz für Ihre Security Policy Sicherheit im Konflikt mit User- und Management-Interessen Zielgruppengerechte Informationsaufbereitung Intranet und diverse Medien zum Bewusst-Machen der Sicherheits-Anforderungen nutzen Usability als Grundlage der Akzeptanz Der Human Factor in der Information Security Mitarbeiter können verhindern oder unterstützen: Wie nehme ich die Mitarbeiter mit? Erfahrungen aus der Praxis: So wird Security Management lebensfähig Die organisatorische Maßnahmen nicht vergessen: Gefahren bei der Umsetzung WIRTSCHAFT 13 Datensicherheit in der IT. Rechtliche und wirtschaftliche Anforderungen an den Umgang mit Risiko in der IT. Datensicherheit in der IT. Rechtliche und wirtschaftliche Anforderungen an den Umgang mit Risiko in der IT. Compliance smart easy kann Compliance Sicherheit in smart der IT & gewährleisten easy kann Knappe Personalressourcen, niedrige Budgets und hartes Tagesgeschäft führen dazu, dass gerade im KMU-Bereich (Informations-) Sicherheit Sicherheit oft hinten angestellt wird. Wie ein vernünftiges in der in IT auch IT bei kleinen gewährleisten Budgets möglich und wirtschaftlich sinnvoll machbar sein kann, skizziert Holger Schellhaas von evoltas ( Compliance-Guru und Prozessmanagement-Experte aus München Knappe Personalressourcen, niedrige Budgets und hartes Tagesgeschäft führen dazu, dass gerade im KMU-Bereich (Informations-) Sicherheit Lexpress: Sicherheit wird oft wie ein Gesetze und Richtlinien setzen kaputt zu machen. Also Compliance smart machbar & easy. sein kann, oft Stiefkind hinten behandelt: angestellt Kostet wird. nur Wie Geld, ein vernünftiges in der IT auch bei kleinen Budgets sich möglich mit Kontrollen und wirtschaftlich und daraus sinnvoll skizziert bringt nichts Holger für Schellhaas den Unternehmenserfolg von evoltas ( Compliance-Guru und Prozessmanagement-Experte resultierenden aus Maßnahmen München ausein- Inwieweit gibt es auch wirtander, jedoch findet dort die IT nur Inwieweit gibt es auch für KMU sinnvolle Lexpress: schaftliche Sicherheit Argumente wird für oft einen wie ein IT- vereinzelt Gesetze Niederschlag. und Richtlinien In geradezu setzen Argumente kaputt für zu den machen. Einsatz eines Also IKS Compliance in Stiefkind Grundschutz? behandelt: Kostet nur Geld, sich idealer mit Kontrollen Weise schließt und daraus das der IT? smart & easy. bringt nichts für den Unternehmenserfolg Holger Inwieweit Schellhaas: gibt es Erfolgreiche auch wirt- kombiniert ander, jedoch eine findet Vielzahl dort nationaler die IT nur Holger Inwieweit Schellhaas: gibt es auch für Wenn KMU sinnvolle die COBIT-Modell resultierenden diese Maßnahmen Lücke ausein- und schaftliche Unternehmen Argumente gerade für auch einen KMU IT- und vereinzelt internationaler Niederschlag. Standards In geradezu aus Unternehmen Argumente für zumindest den Einsatz so eines groß IKS in Grundschutz? wissen, dass die IT zur eigenen Wertschöpfung positiv beitragen Holger kann, Schellhaas: und sie haben Erfolgreiche auch verstanden, dass dies gerade voraussetzt, auch KMUdie wissen, Risiken dass in der die IT IT und zur durch eigenen die IT Unternehmen Wertschöpfung ausreichend kontrollieren positiv beitragen zu können (und sie dies haben dann auch verstan- zu tun). kann, Bereichen idealer Weise Qualität, schließt Sicherheit das sind, der dass IT? sie jährlich geprüft wer- den und COBIT-Modell Ordnungsmäßigkeit. diese Lücke Das und den, können sie mit einem internen Holger Kontrollsystems Schellhaas: in Wenn der ITdie Modell, und internationaler das für sämtliches Standards IT- aus jederzeit Unternehmen dem zuständigen zumindest so Wirt- groß Resultat kombiniert ist eine Vielzahl durchgängiges nationaler Ressourcen den Bereichen alle notwendigen Qualität, Sicherheit organisatorischen und Ordnungsmäßigkeit. und technischen Das dass den, die können IT auf dem sie mit richtigen einem Weg interschaftsprüfer sind, dass sie oder jährlich Auditor geprüft zeigen, wer- Mindestmaßnahmen Resultat ist ein durchgängiges in klaren ist. nen Kontrollsystems in der IT den, dass dies voraussetzt, die Worten Modell, festgelegt. das für sämtliches IT- jederzeit Generell heißt dem ja zuständigen nicht, dass ein Wirtschaftsprüfer Risiken Wer in der heute IT und noch durch an der die IT ausreichend Existenzberechtigung kontrollieren eines zu können Grundschutzes (und dies dann zweifelt, auch zu tun). hat die IT- Beispiel einer Grundstruktur zur Organisation des IT-Sicherheitsmanagements immer gleich oder viel Auditor Aufwand zeigen, Ressourcen alle notwendigen organisatorischen es sinnvolle IT-Sicherheits-Strate- und technischen bedeuten dass die muss. IT auf Es dem geht richtigen im KernWeg gien Mindestmaßnahmen für KMU? Was muss oder in klaren sollte doch ist. eigentlich nur um die IKS Gibt letzten Jahre verschlafen. Es gibt immer mehr rechtliche Anforderungen Verlässlichkeit und Verfügbarkeit getan Worten werden? festgelegt. Festlegung Generell von heißt Kontrollzielen ja nicht, dass undein Wer heute noch an der an die IT, insbesondere was der Daten.Die immer gleiche Frage Durchfüh-rung IKS immer gleich von geeigneten viel Aufwand Existenzberechtigung Der IT-Grundschutzkatalog eines IT-des die Beispiel Datensicherheit einer Grundstruktur betrifft. Wie zur kann Organisation ist, ob des IT-Sicherheitsmanagements es von Nutzen (also wirtschaftlich) Holger Gibt es Schellhaas: sinnvolle IT-Sicherheits-Strate- Für mich gibt Kontrollen, bedeuten um muss. die Dokumentation Es geht im Kern Grundschutzes BSI in kompakter zweifelt, Form hat als die Österreichische man diesen Anforderungen genüge tun? ist, dies sicherzustellen es gien keine für KMU-Sicherheitsstrategie. KMU? Was muss oder sollte der doch Abwei-chungen eigentlich und nur um um die die letzten Jahre IT-Sicherheitshandbuch verschlafen. Es Welche gibt immer organisatorischen mehr rechtliche und techni- Anfor- Verlässlichkeit und damit nicht und nur Strafen Verfügbarkeit vorzu- Die getan entscheidende werden? Frage lautet: Dokumen-tation Festlegung von der Kontrollzielen eingeleitetenund ( derungen schen Mindestmaßnahmen an die IT, insbesondere sind erfor- was der beugen. Daten.Die Die Antwort immer gleiche ist ohne Frage zu Wie kalkulieren und kontrollieren und Durchfüh-rung umgesetzten von Maßnahmen. geeigneten Der sihb/) IT-Grundschutzkatalog stellt ein bewährtes Hilfsmittel des die derlich Datensicherheit und wie viel darüber betrifft. hinaus Wie kann wirtschaftlich ist, zögern ob es JA. von Die Nutzen Bedeutung (also wirtschaftlich) von die Holger KMU Schellhaas: Ihr Risiko (wenn Für mich sie gibt es Dass Kontrollen, die IT nicht um die gerne Dokumentation dokumentiert, BSI in zur kompakter Definition Form der Mindeststandards für als Österreichische man diesen sinnvoll? Anforderungen genüge tun? Information ist, und dies den sicherzustellen zugrunde liegenden denn es keine kontrollieren)? KMU-Sicherheitsstrategie. der ist Abwei-chungen bekannt. Dass das und aber um so die IT-Sicherheitshandbuch die Informationssicherheit bereit, der eine schnelle und Holger Schellhaas: Ich würde liesohne nicht nur akzeptiert, son- mit einer passenden Lösung die gends. Welche organisatorischen und technischen Mindestmaßnahmen sind erforbeugen. Die Antwort ist ohne zu Wie kalkulieren und kontrollieren und umgesetzten Maßnahmen. und damit Technologien nicht nur Strafen ist zweifel- vorzu- Die Die entscheidende Kunst besteht doch Frage darin, lautet: bleiben Dokumen-tation muss (und kann) der eingeleiteten steht nir- ( pragmatische Umsetzung des ISO- ber von Informationssicherheit dern mittlerweile auch wissenschaftlich bewiesen. ohne die der IT Interview: Mag. Michael Ghezzo Mindestanforderungen zu erfüllen, sihb/) stellt ein bewährtes Hilfsmittel zur Definition der Mindeststanschaftlich sinnvoll? Information und den zugrunde lie- denn kontrollieren)? tiert, ist bekannt. Dass das aber so derlich und wie viel darüber hinaus wirt- zögern JA. Die Bedeutung von die KMU Ihr Risiko (wenn sie es Dass die IT nicht gerne dokumen- Standards erlaubt. reden - also von der Vertraulichkeit, dards Die evoltas für die GmbH Informationssicherheit mit Sitz in Hamburg, München und verbindet seit fast genden zehn Jahren Technologien - getreu dem ist zweifel- Motto "We are Die moving Kunst innovations besteht doch - Prozessberatung darin, bleiben mit der muss Gestaltung (und kann) von steht nir- Innovationen bereit, der in eine der schnelle IT und begleitet und die Holger Kunden Schellhaas: erfolgreich Ich bei würde der Umsetzung liesohne organisatorischer nicht nur akzeptiert, und technischer son- Lösungen. mit einer Innovation passenden in der Lösung IT heißt diefür uns gends. nicht Rationalisierung um pragmatische jeden Preis, Umsetzung sondern die des Balance ISO-zwischen verbesserung Informationssicherheit und Risikominimierung dern mittlerweile in den auch Prozessen wissen-sicherzustellenschaftlich Mindestanforderungen Herr Schellhaas zu erfüllen, ist Managing Director und als Partner von Ausbildungsreihe bewiesen. für CIO & IT Manager. ohne die der IT Standards confare gemeinsam erlaubt. mit Michael Ghezzo reden verantwortlich - also von der für Vertraulichkeit, die Konzeption der Interview: Mag. Michael Ghezzo Backup und Restore WIRTSCHAFT 13 6 IT-Security Policy

7 21./22. Oktober 2008 Das Management von Risiken und die Einhaltung gesetzlicher Vorgaben ist eine der wichtigsten Aufgaben des CIO. Doch keine Angst, das Training zeigt Ihnen, welche Wege es gibt, was sie kosten, und wie Sie daraus einen effektiven Vorteil für Ihre IT ziehen können. Dipl.Math. Holger Schellhaas, Managing Director, evoltas solutions ltd., München Dr. Michael Schirmbrand, Geschäftsführer, KPMG, Mag. Jimmy Heschl, Senior Manager, KPMG Mag. Krzysztof Müller, CISA, CISSP, Leiter Information Security, Telekom Austria TA AG, Compliance und in der IT Aufbau von IT-Governance Strukturen auf Basis von COBIT/SOX/ITIL etc. 1.Tag: Die Sicht der Wirtschaftsprüfer IT Governance Überblick Aktuelle Entwicklungen IT Governance was ist das / was ist das nicht Compliance versus Rollen und Verantwortungen Compliance in der IT historische Entwicklung Vom Handelsrecht zum URÄG Handelsrecht Fachgutachten SAS 70/ISA 402, IWP-PE 14 Sarbanes Oxley (SOX), inkl PCAOB 8. EU Audit Richtlinie ( Euro-SOX ) URÄG 2008 Gesetze Zum Vergleich: Rechtslage in Deutschland Die Sicht der Wirtschaftsprüfung Zu prüfende IT-Themen Prüfung des IKS in der IT Typische Prüfungsfeststellungen Lessons Learned Unterschiede Handelsrecht / URÄG 2008 Compliance und Internes Kontrollsystem der IT in der Praxis Praxisbericht Vorgehensweisen, Ergebnisse, Lessons Learned Praxisberichte aus Österreich und Deutschland Praxis Session 2.Tag: Praxisbeispiel Aufbau einer IT-Revision Frameworks und Standards Die Meinung der Analysten Umbrella-Frameworks COSO CobiT ITIL Integration mit Informationssicherheit und Risk Management Informationssicherheit (zb ISO 27001) Kontinuitätsmanagement Risk Management Integration mit Cobit und ITIL Die Sicht des CFO und CEO Der Nutzen der IT Val IT Erarbeitung Prozessmanagement inklusive Internes Kontrollsystem Gruppenarbeit: Ausarbeitung ausgewählter Musterprozesse Diskussion: Tools für Prozess- und Workflowmanagement sowie GRC und IAM Ausblick Umsetzung URÄG 2008 Weitere Entwicklungen IT-Security Policy 7

8 4. November 2008 Das IT Governance Institute stellt mit CobiT ein mächtiges Framework zur Verfügung, welches den Aufbau und die Steuerung der Unternehmens- IT mit Hilfe von IT-Prozessen ermöglicht. Dieses Framework liefert Beschreibungen für alle benötigten IT-Prozesse, die jeweiligen Prozessinputs und -outputs, ein vollständigesmodell zur Beurteilung des Reifegrads der Prozesse sowie ein feingliedriges Messsystem zur kontinuierlichen Prozess-Beurteilung und -Steuerung. CobiT 4.1 ist noch praxisrelevanter als seine Vorgängerversionen und damit ein Stück näher an die Praxis gerückt und somit auch zukunftssicherer geworden. Ein Grund mehr, sich mit demrunderneuerten Framework auseinanderzusetzen und den Einsatz in Ihrer IT-Umgebung zu prüfen. Dipl.Math. Holger Schellhaas, Managing Director, evoltas solutions ltd., München Jimmy Heschl, Senior Manager, KPMG, stag COBIT im praktischen Einsatz COBIT als Framework für Integration von Compliance Anforderungen und -Erfordernis Zusammenhänge zwischen Unternehmenszielen, IT-Zielen und IT-Prozessen, COBIT- Prozessen, IT-Zielen, Geschäftszielen : Was steckt dahinter? COBIT Framework: Die 4 COBIT -Domänen und deren 34 Prozesse COBIT-Methoden und Modelle COBIT im Kontext der IT-Governance: Conformance und Compliance: Kontrollen und Prüfung : Steuerungs- und Beurteilungsmaßnahmen Kombinationsmöglichkeiten aus Conformance und Wann wird COBIT, von wem, warum eingesetzt? Prozesse beurteilen Prozessziele messen Sicherstellen einer effektiven IT-Governance Wertorientierte Steuerung der Projekte mit IT-Beteiligung (ValIT und COBIT kombinieren) Werkzeuge zur Umsetzung und zum Betrieb von Governance-Strukturen COBIT und andere Standards und Best-Practices: Ergänzungs- und Spannungsbereiche COBIT & ITIL & ISO27002 & TOGAF & andere: Wo sind Ergänzungen möglich? Informationsquellen zum Mapping der Good-Practice-Ansätze Wann eignet sich welcher Standard? Gemeinsamkeiten und Überschneidungen Gegenüberstellungen von COBIT-Prozessen den entsprechenden Anforderungen aus ITIL, ISO, etc. Rollen und Verantwortlichkeiten, Gemeinsamkeiten und Unterschiede Vorteile bei der Kombination der Rahmenwerke Zusammenführung: Good-Practices clever kombinieren und erfolgreiche IT-Governance betreiben IT-Infrastruktur vs. ITIL-Prozesse vs. ISO27002-Anforderungen vs. COBIT Control Objectives Gewachsene IT-Infrastrukturen und IT-Organisationen Vorschläge für eine optimierte Implementierung Anpassung an den individuellen Bedarf der Organisation (Geschäftsprozesse, Werttreiber, IT-Prozesse) Priorisierung: Welchen Prozessen und Themen ist die Aufmerksamkeit zu schenken? Implementierungsstrategien Fehlerquellen vermeiden Stolpersteine bei der Zusammenführung der Good-Practice-Rahmenwerke Praxis Session IT-Security Policy Mag. Krzysztof Müller, CISA, CISSP, Leiter Information Security, Telekom Austria TA AG, 8

9 13./14. November 2008 Maßgeschneiderte Sicherheit für Ihre Unternehmensbedürfnisse Erleben Sie, wie Sie eine Sicherheitsrichtlinie verfassen und intern durchsetzen, was nicht fehlen darf und was es bringt. Mag.(FH) Markus Bamberger, CIO, IMC FH Krems, Krems Erwin Klecker, CISO, OeBB Infrastruktur Bau AG, T-Kom Services, Dipl.Math. Holger Schellhaas, Managing Director, evoltas solutions ltd., München Manfred Scholz, Geschäftsführer, SEC4YOU Advanced IT-Audit Services Ges.m.b.H., Korneuburg 1.Tag: Entwickeln und Umsetzen einer IT Security Policy IT Security Policy in der Praxis - Konzeption eines IT Security Management Systems - Was muss ein Konzept enthalten - Wie unterstütze ich eine Policy mit Prozessen & Procedures? - Welche Rollen werden benötigt? Einbindung in die IT Service Management Organisation Entwicklung des Continual Security Improvement (KVP) IT-Security als integraler Bestandteil der Service Support Prozesse nach ITIL V3 Organisatorische Umsetzung: Wer macht was? Wie können KMUs damit umgehen? Tücken und Fallstricke, Tipps und Tricks Change Management So holen Sie Management und Anwender ins Boot Praxissession: Herausforderung Sicherheit - Architektur & Abwehrmaßnahmen Bedrohungs-Szenarien und Angreifer-Strategien Gesamtkonzept für Berechtigungen - Autorisierung und Authentisierung Verschlüsselungsmethoden Network Intrusion Detection und intelligente Firewalls Jenseits Firewalling - The Big Picture 2.Tag: ISO und BSI-Ansätze zum Informationssicherheitsmanagement Einordnung der BSI-Standards und wesentliche Merkmale Das neue IT-Grundschutzhandbuch BSI-Standard Wesentliche Merkmale BSI-Standard Wesentliche Merkmale BSI-Standard Wesentliche Merkmale Exkurs: Das Österreichische IT-Sicherheitshandbuch ein Beitrag zur Usability IT-Grundschutz - jetzt viel mehr als nur Basis Planung des IT-Sicherheitsprozesses Umsetzung der IT-Sicherheitsleitlinie Festlegung der Schutzbereiche und Detaillierung der Risikofelder Ableiten Risiko-Portfolio Übungsszenario: IT-Grundschutzprofil für eine große Institution Definition und Abgrenzung des IT-Verbundes Sicherheitsleitlinie und Sicherheitskonzept Strukturanalyse und Schutzbedarfsfeststellung Modellierung nach IT-Grundschutz Basis-Sicherheitscheck und Risikoanalyse Realisierung von IT-Sicherheitsmaßnahmen Case Study Change Management Aus der Arbeit eines Information Security Officers IT-Security Policy Gerry Wallner, Mitglied der Geschäftsleitung, Beck et al. Services GmbH 9

10 1./2. Dezember 2008 Dr. Rainer Knyrim, Rechtsanwalt, Preslmayr Rechtsanwälte, Mag. Ing. Markus Oman, Verantwortlicher für e-billing, Archivierung und Prozessmanagement, Deloitte, Rechtliche für IT-Manager CIO = Chief Imprisoned Officer? Wann man als CIO mit einem oder beiden Füßen im Kriminal steht und wie man dies verhindert. Tatbestände der Computerkriminalität Unternehmensstrafrecht und die Verantwortlichkeit der IT Verantwortlichkeiten des CIO Wie man als CIO seine IT Landschaft und seine IT Projekte so gestaltet, dass man sich keine Probleme mit dem Datenschutzrecht und dem Betriebsrat einhandelt Was das Datenschutzrecht dem CIO für einen Handlungsspielraum vorgibt Was CIOs typischer Weise nicht wissen oder übersehen Enduservereinbarung - Anleitung für Umsetzung: Dieses Dokument dient dazu Denkanstöße zu geben und auf ausgewählte Problembereiche hinzuweisen und somit SOP s anpassen zu können. Struktur: Wen betrifft es Organisation IT Infrastruktur Mitarbeiter mit Externen Zugängen Soft- und Hardware Umgang mit Daten Internet s Aufzeichnung von Datenverkehr Sanktionen e-archivierung: Anforderungen an elektronische Archivierungssysteme: Nachvollziehbarkeit des Archivierungsvorgangs und des Verfahrens Grundsätze der elektronischen Archivierung (10 goldenen Regeln) Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten Urdaten Archivierung Alt-Daten Systemwechsel Umgang der Mitarbeiter mit der IT Datenanalysen Welche Daten sind notwendig Problemdaten bzw. Ergebnisse Langzeitarchivierung Gesetzliche und sonstige Vorgaben Anbietervergleich Systemeinbindung Testierungen e-billing Herausforderungen: Was muss ich tun? Wann muss ich es tun? Muss ich es tun? Welche Technik benötige ich? Brauche ich ein teures Archivsystem? Hafte ich für Probleme bei meinen Kunden? Hafte ich für Fehler meiner Lieferanten? Ist der Ausdruck oder das File das Original? Ich arbeite mit Gutschriften - was gilt hierbei? Was ist mein Nutzen? Was sind die Kosten? IT-Security Policy 10

11 Antworten von Michael Bartz, Leiter der Microsoft Österreich Business Group Information Worker EuroSox hat massive Auswirkungen auf den Umgang, den Unternehmen mit ihren Daten und Informationen betreiben - die IT ist selbstverständlich davon betroffen. Worauf sollten sich IT-Leiter vorbereiten, um den neuen Anforderungen gerecht zu werden? Durch die 8. EU-Richtlinie (EuroSox) werden die Regulatorien für die Dokumentation der IT- und der Telekommunikationsinfrastruktur geschärft. Das bedeutet für IT- und Technikleiter, dass zusätzliche Dokumentationen geschaffen, bestehende Dokumentationen inhaltlich erweitert und ein Dokumentenmanagement sichergestellt sein muss, dass den EuroSox-Anforderungen standhält. Das Versionsmanagement von Dokumenten ist dabei ein zentraler Punkt. Welche Bedeutung hat Standardsoftware bei der Implementierung der nötigen Maßnahmen? Man sollte bei der Evaluierung und Auswahl von Software für die Umsetzung von EurSox Maßnahmen darauf achten, eine größtmögliche Abdeckung der Anforderungen durch Standardsoftware zu erreichen. Die Verwendung von Standardfunktionen aus einer Standardsoftware wie dem Microsoft Office SharePoint Server 2007 hilft die Komplexität der Lösung gering zu halten. Zudem sorgt diese auch für die notwendige Benutzerakzeptanz, da die Microsoft Lösung auf der vertrauten Office Umgebung basiert und somit keine zusätzlichen und neu zu erlernenden Komponenten benötigt werden. Damit verringert man Konfliktpotenziale bei den Anwendern und kommt auch mit weitaus geringeren Kosten bei der Einführung aus. Ein zusätzlicher Vorteil der Verwendung von Standardsoftware ist auch, dass man Entwicklungs- und Anpassungsaufwände gering halten oder gar vermeiden kann. Microsoft Office und Microsoft Office SharePoint Server 2007 bieten umfangreiche integrierte Dokumentmanagementfunktionen, die miteinander integriert viele Aspekte der EuroSox Anforderungen abdecken. SharePoint Server 2007 erfüllt exakt die EuroSox-Dokumentationsanforderungen inklusive Versionsmanagement, sowie die Möglichkeit, die Nachvollziehbarkeit von Prozessen und Auditfunktionen umzusetzen. IT-Leiter können SharePoint Server 2007 als Plattform ideal dazu verwenden, EuroSox Dokumentationspflichten und -verantwortlichkeiten dezentral zu organisieren und mit den integrierten Funktionen in den Bereichen Dokument Management, Records Management und Geschäftsprozesse zu nutzen. Mit welchen zusätzlichen Aufwänden muss der IT-Leiter rechnen? Tooltechnisch ist das durch Lösungen wie dem Sharepoint Server bereits mit geringem Aufwand verbunden. Dieser steckt aber noch im organisatorischen und vor allem im inhaltlichen dieser Aufgabe. Von den technischen Mitteln ist es zunächst wesentlich, eine Dokumentationsplattform zu schaffen. Ist Sharepoint Server schon im Einsatz, erspart das viele Schritte und Aufbauarbeit. Das Aufsetzen der entsprechenden Workspaces für die Ablage der Informationen ist dann vom Aufwand her eher gering. Deutlich mehr Arbeit steckt in der organisatorischen Regelung der Verantwortlichkeiten und der notwendigen Workflows für die Erstellung. Das gilt auch für die regelmäßige Aktualisierung und Freigabe von Dokumentationen. Diese Funktionen, als auch das Workflow Management bietet SharePoint Server bereits integriert an. Beim inhaltlichen Umfang geht es um die Dokumentation verschiedenster Themen: IT-Governance/Organisation, Dokumentation des Projektgeschäftes, Berechtigungswesen, Notfallkonzepte und viele weitere Punkte. An diesen Beispielen lässt sich der inhaltliche Umfang ablesen. Mithilfe einer dezentral organisierten Dokumentationsplattform auf Basis von SharePoint sind zur Bewältigung dieser Aufgabe aber die idealen Voraussetzungen geschaffen. Man sollte das eher als Chance betrachten: Die IT kann ihre zentrale Rolle noch stärker wahrnehmen. So gilt es, Governance nicht nur auf technischer Ebene zur Umsetzung zu bringen, sondern auch im Bereich Content also den Dokumenten und Informationen sowie Governance als Service für die Fachbereiche bei ihren Prozessen anzubieten. Gleichzeitig lassen sich damit viele Sünden der Vergangenheit bereinigen, die durch mangelnden Fokus entstanden sind. IT geht so einen großen Schritt weiter hin zum internen Service Provider, der rasch und flexibel auf verschiedenste Anforderungen reagiert. Damit IT-Abteilungen diese Chance auch wirklich nutzen können, bedarf es auch der entsprechenden Software Produkte. Microsoft hat hier mit dem SharePoint Server 2007 und der Office Familie eine integrierte Plattform, die optimal geeignet ist. Wie können Sie Erfahrungen im eigenen Konzern für Ihre Kunden nutzen? Microsoft nutzt selbst Microsoft SharePoint Technologie für die Verwaltung von Informationen unter Anwendung verschiedenster externer Regelments wie Sarbanes Oxley. Wir lassen diese Erfahrungen in unsere Produkte einfließen und haben zudem einen Teil dieser Erfahrungen und auch die praktische Anwendung auf Basis unserer Technologien in Whitepapers und Konferenzvorträgen dokumentiert und verfügbar gemacht. Partner IT-Advisory der KPMG Kaum ein Prozess in einem Unternehmen kommt ohne IT-Unterstützung aus. Umso wichtiger ist es, Prozesse auf die besonderen Anforderungen der Informationstechnologie (IT) abzustimmen. Das gilt insbesondere für die unternehmensweite Steuerung der IT und für die Sicherheit Ihrer Informationen sowie im IT- Projektmanagement. In der Gruppe IT-Advisory der Wirtschaftsprüfungsgesellschaft KPMG sind all jene Dienstleistungen zusammengefasst, die sich mit den Risiken und Möglichkeiten bei der Verwendung von Informationstechnologie beschäftigen. Im Rahmen von IT-Advisory bieten wir neben der Ausrichtung der IT und der IT-Prozesse sowie der strategischen Steuerung der IT aus Unternehmenssicht (IT-Governance) auch Audits und Unterstützungsleistungen in den Bereichen Informationssicherheit (ISO2700x), Kontinuitätsmanagement (BS25999), Servicemanagement (ITIL) und Umsetzung eines Internen Kontrollsystems in der IT (COSO und CobiT). Wir fokussieren auch auf die Abbildung des unternehmensweiten IKS in den IT-Systemen. Dabei analysieren und verbessern wir die vorhandenen Berechtigungen und Möglichkeiten, um ein wirksames IKS in den Systemen zu etablieren und dauerhaft zu erhalten und die Governance, Risk und Compliance- Umgebung auf dem Niveau zu halten, das den Unternehmensanforderungen entspricht. Wir bieten klassische IT-Audits und spezifische Prüfungen der Informationsverarbeitung, um die mit dem Einsatz von IT verbundenen Risiken zu erheben, zu analysieren und die eingesetzten Maßnahmen und Kontrollen unabhängig und mit hohem fachlichem Know-How zu beurteilen. Besonders bei Unternehmenszusammenführungen (Merger & Acquisition) und Unternehmensbewertungen (Due Diligence) ist diese unabhängige Meinung und Begleitung hilfreich. Unsere Mitarbeiter sind national wie international Meinungsbildner im Bereich der IT-Governance. Sie sind aktiv in die Weiterentwicklung der wesentlichen Methoden und Standards der IT eingebunden und stellen österreichweit einzigartige Ressourcen dar, die bereits heute Antworten auf die Herausforderungen von morgen kennen. 11

12 IT-RISK 2008 Gemeinsam. Besser. Mac hen. Ich möchte an folgenden Modulen teilnehmen: optimieren und Compliance umsetzen am 30. September Euro 590,- (zzgl. 20% MWSt) am 7./8. Oktober Euro 1.090,- (zzgl. 20% MWSt) Compliance und in der IT am 21./22. Oktober Euro 1.090,- (zzgl. 20% MWSt) stag am 4. November Euro 590,- (zzgl. 20% MWSt) Entwickeln und Umsetzen einer IT Security Policy am 13./14. November Euro 1.090,- (zzgl. 20% MWSt) Rechtliche für IT-Manager am1./2. Dezember Euro 1.090,- (zzgl. 20% MWSt) Veranstaltungsort: Stellen Sie sich Ihren individuellen Ausbildungsplan zusammen: Teilnehmer 1: Teilnehmer 2: Der jeweilige Veranstaltungsort wird noch rechtzeitig bekannt gegeben. Ich möchte an folgenden Modulen teilnehmen: optimieren und Compliance umsetzen am 30. September Euro 590,- (zzgl. 20% MWSt) am 7./8. Oktober Euro 1.090,- (zzgl. 20% MWSt) Compliance und in der IT am 21./22. Oktober Euro 1.090,- (zzgl. 20% MWSt) stag am 4. November Euro 590,- (zzgl. 20% MWSt) Entwickeln und Umsetzen einer IT Security Policy am 13./14. November Euro 1.090,- (zzgl. 20% MWSt) Rechtliche für IT-Manager am1./2. Dezember Euro 1.090,- (zzgl. 20% MWSt) Veranstaltungsort: Der jeweilige Veranstaltungsort wird noch rechtzeitig bekannt gegeben. Name:... Abteilung/Funktion:... Tel:... Fax: Sekretariat:... Wer entscheidet über Ihre Teilnahme? ich selbst oder Name/ Position:... Firma:... Mitarbeiterzahl: bis mehr als 300 Adresse: Datum, Unterschrift:... Bitte faxen Sie Ihre Anmeldung an +43/ 1/ /997 oder per an Für Rückfragen stehen wir Ihnen unter der Tel. +43/ 1/ gerne zur Verfügung Name:... Abteilung/Funktion:... Tel:... Fax: Sekretariat:... Wer entscheidet über Ihre Teilnahme? ich selbst oder Name/ Position:... Datum, Unterschrift:... Die Teilnahmegebühr pro Person wird zuzüglich 20% MwSt. zur Verrechnung gebracht. Sie umfasst die Teilnahme an der jeweiligen Veranstaltung, die Verpflegung (Erfrischungsgetränke, Pausenverpflegung und Mittagessen falls vorgesehen), sowie eine Dokumentation. Nach Eingang Ihrer Anmeldung erhalten Sie eine Anmeldebestätigung per und eine Rechnung per Post, zahlbar bis 14 Tage nach Erhalt ohne jeglichen Abzug. Einlass kann nur gewährt werden, wenn die Zahlung vorher bei uns eingetroffen ist oder am Veranstaltungstag schlüssig nachgewiesen werden kann. Bei der Anmeldung von drei oder mehr Personen aus einem Unternehmen gewähren wir einen Rabatt von 10%. Programmänderungen, Verschiebungen oder Absagen aus wichtigem Anlass behalten wir uns vor. Druckfehler und Irrtümer bieten keinerlei Ansprüche. Eine allfällige Stornierung muss ausnahmslos schriftlich zumindest per erfolgen. Langt die Stornierung mindestens 14 Tage vor Veranstaltungsbeginn bei uns ein, so wird der Teilnahmebetrag zur Gänze refundiert. Bis 48 Stunden vor Veranstaltungsbeginn haben Sie bei Stornierung Anspruch auf Rückzahlung des halben Teilnahmebetrages. Bei Nichterscheinen oder Stornierung innerhalb von 48 Stunden vor Veranstaltungsbeginn besteht keinerlei Anspruch auf Rückzahlung. Sie können jedoch bei Verhinderung der Teilnahme eine beliebige Ersatzperson aus Ihrem Unternehmen namhaft machen. Mit der Anmeldung erteilen Sie Ihre Zustimmung zur Übermittlung von Informationsmaterial per Fax und bzw. für Marketingzwecke unserer Partner. Ihre Daten werden nur für Abrechnungszwecke, Statistik, Vertrieb, Marketing sowie zur Vorbereitung der Veranstaltung und im Zuge der Recherche für neue Themen verwendet Sollten Sie dieser Einwilligung nicht zustimmen, so streichen Sie bitte die entsprechenden Satzteile. Diese Einwilligung kann jederzeit widerrufen werden.