Kongress Businesspartner: Secure Summit 2010 Tag 1: Wirtschaftsund Industriespionage Stefan Becker Polizeipräsidium Bonn Andreas Hentschel CHIP Wilfried Karden Innenministerium NRW Dr. Gerhard Klett BASF IT-Services GmbH Götz Schartner 8com GmbH & Co. KG; lizensierter Hacker des Bundesamtes für Sicherheit in der IT (BSI) Klaus Schimmer SAP AG Dr. Gerhard Schmid Europäisches Parlament Eginhard Vietz Vietz GmbH Pipeline Equipment Dr. Johannes Wiele Defense AG Medienpartner: Tag 2: IT-Sicherheit Dr. Werner Degenhard Universität München Prof. Dr. Rainer Gerling Max-Planck-Gesellschaft; Hochschule München Prof. Dr. Eduard Heindl Hochschule Furtwangen University Michael Kranawetter Holger Arends Microsoft Deutschland GmbH Norbert Moeren Merck KGaA Günther Otten Gothaer Finanzholding AG Sebastian Schreiber SySS GmbH Andreas K.-H. Walz HDI-Gerling Leben Dr. Kerstin A. Zscherpe CSC Deutschland Solutions GmbH 23. und 24. November 2010 in Wiesbaden
www.secure-summit.de Grußwort Jörg Ziercke Präsident des Bundeskriminalamtes Das Know-how der deutschen Wirtschaft weckt Begehrlichkeiten: Immer häufiger sind neben privaten Anwendern auch deutsche Unternehmen von Cybercrime betroffen. Kriminelle Hackingangriffe zur Störung von IT-Systemen oder mit dem Ziel der Spionage nehmen stetig zu. Die Höhe der verursachten ökonomischen Schäden ist alarmierend. Hier gilt es zu handeln: Wesentlich ist das Bewusstsein für den sensiblen Umgang mit Daten und Informationen. Jedes Unternehmen braucht eine wirkungsvolle, ganzheitliche Sicherheitsstrategie. Das Verschweigen von Übergriffen auf Unternehmen häufig aus Angst vor Imageschäden ist dabei der falsche Weg. Denn: Wer keine Anzeige bei der Polizei erstattet, schützt nicht sein Unternehmen, sondern die Täter. Wir müssen die Sicherheit unserer IT-Systeme den gegenwärtigen und zukünftigen Risiken anpassen. Diese Aufgabe kann nur im Schulterschluss von Unternehmen und Sicherheitsbehörden gelöst werden. Der Kongress leistet einen wichtigen Beitrag zum Schutz von Unternehmen durch Aufklärung und Wissensvermittlung. Ich wünsche der Veranstaltung viel Erfolg. Das Konzept des Kongresses Die Schäden, die durch Spionage und Sicherheitslücken in Unternehmen entstehen, schätzt die Arbeitsgemeinschaft für Sicherheit in der Wirtschaft auf 30 Mrd. Euro. Begehrt sind Informationen zu Firmenstrategien, Kostenschätzungen, Preisstrukturen, Bieterverfahren, Lieferanten und Auftragnehmer sowie Details zu Patenten, Produkten, Methoden und Prozesse. Die Liste der Begehrlichkeiten ist lang! Vermittlungsbüros in China beispielsweise leiten Spione passgenau an freie Stellen in Deutschland weiter. Kein Unternehmen kann sich heute sicher fühlen. Auch Mitbewerber greifen gerne zu wirksamen Maßnahmen, um an Ihre Informationen zu gelangen in der Regel geschieht dies alles unbemerkt! Die stärkste Waffe im Kampf gegen Spionageaktivitäten ist Wissen und Achtsamkeit. Die Kunst der Abwehr besteht darin, IT- und Unternehmenssicherheit in eine Gesamtstruktur zu integrieren. Genau dies spiegelt die Konferenz. Ziel dieser Veranstaltung ist es, mit aktuellem Erfahrungswissen hochkarätiger Insider die entscheidenden Erkenntnisse zu vermitteln, die Sie in die Lage versetzen, Ihr wertvollstes Gut Ihr Unternehmens Know-how wirksam zu schützen. Der Fokus liegt dabei auf praxisrelevanten Maßnahmen zum Erkennen, Schützen und Vorbeugen vor Angriffen! Der Kongress auf einen Blick Intensiv-Seminare 1. Kongresstag 2. Kongresstag Intensiv-Seminare Montag, 22. November Dienstag, 23. November Mittwoch, 24. November Donnerstag, 25. November Die Security Policy Awareness: Mitarbeitersensibilisierung in der Praxis Wirtschaftsspionage IT-Sicherheit Social Engineering vorbeugen & erkennen Verantwortlichkeiten & Haftungsfragen Teilnehmerkreis Veranstalter Branchenübergreifend: Geschäftsführer, Vorstände und Aufsichtsräte, IT-Manager und CIOs sowie Leiter und leitende Mitarbeiter aus den Unternehmensbereichen Sicherheit, Datenschutz, Sicherheitsmanagement, Krisenmanagement, Risikomanagement, IT-Revision, Interne Revision, IT-Controlling, Compliance, Unternehmensplanung, Organisation, Unternehmenskultur, Beratung und Wirtschaftsprüfung. Die 1979 in Heidelberg gegründete FORUM Institut für Management GmbH ist eine internationale Institutsgruppe, die sich mit der Weiterbildung von Fach- und Führungskräften der Wirtschaft befasst. Für die hohe Qualität der Seminare und Fachtagungen garantieren erstklassige Referenten, aktuelle Themen, hochwertige Seminarunterlagen und qualifizierte Betreuung vor Ort.
www.secure-summit.de Referenten u.a. Stefan Becker Kriminalhauptkommissar, Sachbearbeiter für Computerkriminalität, Polizeipräsidium Bonn Dr. Werner Degenhard CIO und Akademischer Direktor, Universität München Prof. Dr. Rainer Gerling Datenschutz- und IT-Sicherheitsbeauftragter, Max-Planck-Gesellschaft; Honorarprofessor für IT-Sicherheit, Hochschule München Prof. Dr. Eduard Heindl Lehrstuhlinhaber für Wirtschaftsinformatik und Datenschutzbeauftragter, Hochschule Furtwangen University Andreas Hentschel Ressortleiter Multimedia, CHIP Wilfried Karden Projektleiter Wirtschaftsspionage, Innenministerium NRW Dr. Gerhard Klett Senior Security Consultant, BASF IT-Services GmbH Norbert Moeren Chief Information Officer, Merck KGaA Günther Otten Experte für Information Security und Konzern-Datenschutz, ehem. Chief Information Security Officer (CISO) und Konzern-Datenschutz-Beauftragter, Gothaer Finanzholding AG Götz Schartner Geschäftsführer, 8com GmbH & Co. KG; lizensierter Hacker des Bundesamtes für Sicherheit in der IT (BSI); Experte für Electronic Banking Security Klaus Schimmer Marketing Director, SAP AG Dr. Gerhard Schmid Vizepräsident a.d., Europäisches Parlament und Berichterstatter des nicht ständigen EU-Untersuchungsausschusses zu Echelon Sebastian Schreiber Geschäftsführer, SySS GmbH Eginhard Vietz Vietz GmbH Pipeline Equipment Andreas K.-H. Walz CISO und Leiter Information-, Risk- und Prozessmanagement, HDI-Gerling Leben Dr. Johannes Wiele Geschäftsführer, Defense AG Haben Sie individuelle Fragen an unsere Experten? Sie haben die Möglichkeit, auf Wunsch vor Ort Einzelgespräche mit den Experten zu planen. Dr. Kerstin A. Zscherpe Rechtsanwältin, Legal Council, Licenciée en Droit, CSC Deutschland Solutions GmbH Bitte kontaktieren Sie uns dazu bis spätestens 29. Oktober! Wir vermitteln gerne ein Vier-Augen-Gespräch für Sie!
Dienstag, 23. November 2010 Getrennt buchbar! Wirtschafts- und Industriespionage Chinesische Nachrichtendienste verfügen über ca. eine Million Mitarbeiter. Auch russische Nachrichtendienste verfügen über mehrere hunderttausend Mitarbeiter und sind gesetzlich verpflichtet, Wirtschaftsspionage zu betreiben. Die stärkste Waffe im Kampf gegen Spionageaktivitäten ist das Wissen über Gefahren und Methoden. Das ist das Ziel dieses Tages. Der Fokus liegt auf praxisrelevanten Maßnahmen zum Erkennen, Schützen und Vorbeugen vor Spionageangriffen. Vorsitzender und Moderator des Tages: Dr. Johannes Wiele, Geschäftsführer, Defense AG > 9.30 Uhr Wirtschaftsspionage: Mediengespenst oder Bedrohung? Dr. Gerhard Schmid Vizepräsident a.d., Europäisches Parlament Was wird ausspioniert? Welche Branchen sind gefährdet? Welche Rolle spielen Geheimdienste? Was kann das US-Spionagesystem ECHELON? > 10.45 Uhr Kaffee- und Teepause > 11.15 Uhr Aktuelle Bedrohungen im Unternehmensalltag Eginhard Vietz Geschäftsführer, Vietz GmbH Pipeline Equipment Strategische Vorgehensweise von Angreifern am Beispiel China Sicherungsmechanismen, um externe Angriffe zu verhindern Die Rolle der Geheimdienste Empfehlungen zur Know-how-Sicherung aus der Praxis > 12.00 Uhr Gemeinsames Mittagessen > 13.30 Uhr Social Engineering Klaus Schimmer Marketing Director, SAP AG Der Mensch als Glied in der Sicherheitskette Techniken des Social Engineers Was können Sie tun? Erfahrungen aus der Praxis > 14.15 Uhr Spionageaktivitäten erkennen und abwehren Dr. Werner Degenhardt CIO und Akademischer Direktor, Universität München; Dr. Johannes Wiele, Geschäftsführer, Defense AG Die Rolle der Mitarbeiter und der Geschäftsführung Die Rolle der Sicherheitsabteilungen im Unternehmen Führungskräfte als Zielpersonen Social Engineering erkennen Blended Threats Vom unguten Gefühl zur richtigen Handlung Verdachtsmomente abgleichen Die Rolle der Kommunikation > 15.00 Uhr Kaffee- und Teepause > 15.30 Uhr Schutzmöglichkeiten in der Praxis Wilfried Karden Projektleiter Wirtschaftsspionage, Innenministerium NRW Frühwarnsysteme Schutz vor Social Engineering Schutz von technischen Zugängen: Internet, Telekommunikationsanlagen, Drahtlose Verbindungen, Mobile Endgeräte > 16.30 Uhr Einbruch bei Google Wie Spione Software-Lücken nutzen Andreas Hentschel Ressortleiter Multimedia, CHIP Communications GmbH Beispiel eines spektakulären Spionage-Falls aus den USA Ausgeklügelte Angriffstrategien Ausgeklügelte technische Finessen > 17.00 Uhr Forensik und Zusammenarbeit mit den Ermittlungsbehörden Stefan Becker Kriminalhauptkommissar, Polizeipräsidium Bonn Die Anzeigenerstattung Einflussnahme auf das Ermittlungsverfahren Risiko der Verbreitung in den Medien Zeugenpflichten und Auswirkungen Vor- und Nachteile des Ermittlungsverfahrens Die Einbindung privater Ermittler > 17.45 Uhr Ausblick, Zusammenfassung und Abschlussdiskussion > 18.00 Uhr Get Together In entspannter Atmosphäre können Sie Ihre Gespräche mit Referenten und Fachkollegen vertiefen. Für Ihr leibliches Wohl wird gesorgt sein.
Mittwoch, 24. November 2010 IT-Sicherheit IT-Sicherheit ist längst wettbewerbsbestimmende Kenngröße geworden. Modernste Technik aber auch eine Vielzahl an nichttechnischen Maßnahmen bringen jedes Unternehmen in puncto Sicherheit ein gutes Stück voran. Wir bieten Ihnen am heutigen Kongresstag das notwendige Know-how, um Ihre Unternehmes-IT wirksam zu schützen! Vorsitzender und Moderator des Tages: Prof. Dr. Eduard Heindl, Lehrstuhl für Wirtschaftsinformatik, Hochschule Furtwangen University > 9.15 Uhr Sicherheit ganzheitlich managen Michael Kranawetter Chief Security Advisor Deutschland und Holger Arends, Senior Security Consultant, Microsoft Deutschland GmbH > 10.00 Uhr Status Quo der Sicherheitslage Prof. Dr. Eduard Heindl Hochschule Furtwangen University Strategische Veränderung des Risikos Aktuelle Bedrohungsszenarien Täterformen Angemessene Reaktionen Herausforderungen für die Zukunft > 11.00 Uhr Kaffee- und Teepause > 11.30 Uhr IT-Sicherheit und Datenschutz: Ein Widerspruch in der Praxis? Prof. Dr. Rainer W. Gerling IT-Sicherheitsbeauftragter, Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.v. Datenschutz: Datenvermeidung und Datensparsamkeit Die neuen Regelungen zum Beschäftigtendatenschutz IT-Sicherheit: Überwachung, Protokollierung und Speicherfristen Beispiele zur Lösung des Konfliktes > 12.30 Uhr Gemeinsames Mittagessen > 14.00 Uhr Standardisierte Informationssicherheit? Norbert Moeren Chief Information Officer, Merck KGaA Aktuelle nationale und internationale Standards Gegenüberstellung hinsichtlich Eignung, Aufwand und Zertifizierbarkeit Fazit: Für wen eignet sich welcher Standard und warum > 15.00 Uhr Compliance Management Günther Otten Experte für Information Security und Konzern Datenschutz, Gothaer Finanzholding AG Rechtliche Rahmenbedingungen und Haftungsszenarien Normen und internationale Standards Ziele eines Compliance-konformen IT-Risiko-Managements Fazit > 16.00 Uhr Kaffee- und Teepause > 16.30 Uhr IT-Sicherheit messen, vergleichen und kommunizieren: Die Information Risk Scorecard (IRS) Andreas K.-H. Walz Chief Information Security Officer und Leiter Information-, Risk- und Prozessmanagement, HDI-Gerling Leben Grundlegende Anforderungen an eine IRS Messbarkeit, Effektivität und Effizienz Erstellung einer IRS Integration in das Unternehmen > 17.30 Uhr Ausblick, Zusammenfassung und Abschlussdiskussion Pausen-Special mit dem Erfinder des Live Hackings: Sebastian Schreiber bekannt aus Funk und Fernsehen Schauen Sie Profi-Hacker Sebastian Schreiber über die Schulter, wenn er in IT-Netze einbricht und Sicherheitsbarrieren überwindet. Ein Erlebnis, das Sie beeindrucken wird!
Montag, 22. November 2010, jeweils von 10.00 bis 17.00 Uhr Ergänzende Intensiv-Seminare Starten Sie den Kongress mit einem intensiven Seminar! Als Auftakt der Veranstaltung behandeln wir zwei Themen jeweils ganztägig, die eine wichtige Rolle in der Optimierung Ihrer Unternehmenssicherheit spielen. Sie lernen von unseren Experten, worauf es in der Praxis ankommt und erarbeiten sich Leitfäden zur sofortigen wirksamen Umsetzung. Zurück in Ihrem Unternehmensumfeld haben Sie dann das Rüstzeug für eine sichere Zukunft. Die Security Policy IT-Security Standards IT-Sec/Common Criteria ISO 27001 COBiT BSI Grundschutz Probleme beim Entwurf von IT-Security Policies Management der Policy nach dem PDCA (Plan-Do-Check-Act)-Modell Struktur und Aufbau Erstellung der IT-Security Policy Beispiel Checkliste für eine umfängliche IT-Security Policy Ergänzungen für Mobile und Cloud Computing Implementierung der Policy Kommunikation Überprüfung der Vollständigkeit und Wirksamkeit (Key Performance Indicators) Verbesserung und Weiterentwicklung der IT-Security Policy Ihr Seminarleiter: Dr. Gerhard Klett Senior Security Consultant, BASF IT-Services GmbH Awareness: Mitarbeitersensibilisierung in der Praxis Sensibilisierungsmaßnahmen im Umgang mit IT und E-Mail Möglichkeiten, Unternehmensstrukturen sicher gestalten Sicherheitsindikatoren: Wie Mitarbeiter Angriffsflächen selbst erkennen (und richtig reagieren) Sicherer Umgang mit Twitter, Facebook, Xing & Co. durch aufgeklärte Mitarbeiter Umsetzung effektiver Sensibilisierungstechniken in der Praxis Awarenesskampagnen im Unternehmen planen und umsetzen Nachhaltige Sicherheit schaffen: Awareness-Kontrolle und -Steuerung Ihr Seminarleiter: Götz Schartner Geschäftsführer, 8com GmbH & Co. KG; lizensierter Häcker des BSI
Donnerstag, 25. November 2010, jeweils von 10.00 bis 17.00 Uhr Ergänzende Intensiv-Seminare Sichern Sie sich im Anhang an zwei spannende Kongresstage Ihr individuelles Umsetzungs-Know-How! Nach dem Kongress möchten wir mit Ihnen abermals wichtige Themen vertiefen, um Ihnen das Praxiswissen für Ihren Unternehmensalltag zu vermitteln. Sie erarbeiten sich wahlweise ein zentrales Thema, mit denen Sie der Kongress in den vergangenen zwei Tagen konfrontiert hat. Lernen Sie, wie Sie sich mit konkreten Maßnahmen wirksam vor Sicherheits- und Haftungsrisiken schützen. Social Engineering vorbeugen und erkennen Warum Menschen für Social Engineers berechenbar sind Abkürzungen des Denkens: Kognitive Heuristiken Vereinfachte Beziehungen: Soziale Heuristiken Auf dem Golfplatz und in der Lounge: Führungskräfte als Zielpersonen Insidergespräche virtuell und real: Fachkräfte als Zielpersonen Blended Threats: Die Mischung von technischen und kommunikativen Angriffen Hierarchie macht verletzlich: Organisationsformen als Schwachstellen Paranoia ist kontraproduktiv: Über die Balance zwischen Vorsicht und Vertrauen Sensoren entwickeln: Als Person und Organisation Angriffe erkennen Die Rolle der unternehmensinternen Kommunikation Ihre Referenten: Dr. Johannes Wiele Geschäftsführer, Defense AG Dr. Werner Degenhardt CIO und Akademischer Direktor, Universität München Verantwortlichkeiten, Haftungsfragen und Bewältigungsstrategien Die aktuelle Rechtslage Rechtliche und wirtschaftliche Notwendigkeit von IT-Sicherheit Überblick über die einschlägigen Rechtsnormen Verantwortung und Haftungsrisiken einzelner Unternehmensorgane Haftung von IT-Sicherheitsverantwortlichen Zivilrechtliche Haftung Strafrechliche Verantwortlichkeit, insbesondere vor dem Hintergrund des BGH-Urteils vom 17.7.2009 Zertifizierungen zur Reduzierung des Haftungsrisikos? Welche Zertifizierung ist unter welchen Bedingungen sinnvoll? Haftungsreduzierung durch Zertifikate Transparenz von Zertifizierungsansätzen Möglichkeiten zur Reduzierung des Haftungsrisikos Als Erstes: Risikoidentifikation Als Zweites: Risikomanagement Prozessorientierung Klare Aufgabenbeschreibung der Rollen Risikoübertragung Möglichkeiten und Grenzen der Versicherung Ihre Referenten: Andreas K.-H. Walz CISO und Leiter Informations-, Risk- und Prozessmanagement, HDI-Gerling Leben Dr. Kerstin A. Zscherpe Rechtsanwältin, Legal Council, Licenciée en Droit, CSC Deutschland Solutions GmbH
www.secure-summit.de anmeldung@forum-institut.de oder Fax +49 6221 500-555 Anmeldeformular Ja, ich nehme am 1. Tag des Secure Summit, zum Thema Wirtschaftsspionage teil. 23. November 2010 Tagungs-Nr. 10 11 843 I Ja, ich nehme am 2. Tag des Secure Summit, zum Thema IT-Sicherheit teil. 24. November 2010 Tagungs-Nr. 10 11 844 I Ja, ich nehme am Intensiv-Seminar des Secure Summit Die Security Policy teil. 22. November 2010 Tagungs-Nr. 10 11 841 I Ja, ich nehme am Intensiv-Seminar des Secure Summit Mitarbeitersensibilisierung in der Praxis teil. 22. November 2010 Tagungs-Nr. 10 11 842 I Ja, ich nehme am Intensiv-Seminar des Secure Summit Social Engineering vorbeugen und erkennen teil. 25. November 2010 Tagungs-Nr. 10 11 845 I Ja, ich nehme am Intensiv-Seminar des Secure Summit Verantwortlichkeiten und Haftungsfragen teil. 25. November 2010 Tagungs-Nr. 10 11 846 I Ich bin an weitergehenden Informationen über FORUM-Veranstaltungen interessiert und damit einverstanden, dass mir diese auch per E-Mail übermittelt werden. So melden Sie sich an Anmelde-Information: FORUM Institut für Management GmbH Postfach 10 50 60 D-69040 Heidelberg Anmelde-Hotline: +49 6221 500-501 Veranstaltungsort: Pentahotel Wiesbaden Abraham-Lincoln-Str. 17 65189 Wiesbaden Tel. +49 611 797-0 Fax +49 611 761-372 Gebühren: 1.590, für die Teilnahme an beiden Kongresstagen 990, für die Teilnahme an nur einem Kongresstag 820, für die Teilnahme an einem ergänzenden Intensivseminar 3.100, für die Teilnahme an allen vier Kongresstagen Alle Preise verstehen sich zuzüglich 19% MwSt. inklusive umfangreicher Dokumentation, Mittagessen, Erfrischungen und Kaffeepausen sowie der Teilnahme am Get-Together des 23. November 2010. Name, Vorname Position/Abteilung Firma Straße PLZ/Ort/Land Tel. Fax Anreise: Sonderpreise unter: www.forum-institut.de/bahn Zimmerreservierung: Für FORUM-Teilnehmer steht ein begrenztes Zimmerkontingent zu Vorzugskonditionen im Tagungshotel zur Verfügung. Bitte beachten Sie, dass das Abrufkontingent für Veranstaltungsteilnehmer automatisch 4 Wochen vor Veranstaltungsbeginn verfällt. Bitte nehmen Sie die Zimmerreservierung direkt im Hotel vor unter Berufung auf das FORUM-Kontingent und die Tagungsnummer. Weitere Informationen im Internet: www.secure-summit.de E-Mail Ansprechpartner/in im Sekretariat Datum, Unterschrift Rückfragen und Informationen Für Ihre Fragen zum Secure Summit 2010 und unserem gesamten Programm stehe ich Ihnen gerne zur Verfügung. Elke Ludin-Zobel Konferenzmanagerin Tel. +49 6221 500-554 Email: e.ludin-zobel@forum-institut.de AGB Es gelten unsere Allgemeinen Geschäftsbedingungen (Stand: 19.12.2008), die wir auf Wunsch jederzeit übersenden und die im Internet unter www.forum-institut.de/agb eingesehen werden können. Wir empfehlen den Abschluss einer Seminarrücktrittskostenversicherung. Details finden Sie unter www.erv.de FORUM Institut für Management GmbH Postfach 10 50 60 D-69040 Heidelberg Tel. +49 62 21 500-500 Fax +49 62 21 500-555 www.forum-institut.de