Sicherheitsmanagement, Verschlüsselung und sichere (Web-) Applikationen Donnerstag, 30. Jänner 2014 9.00 13.30 Uhr Industriellenvereinigung, Europasaal, 1030 Wien, Schwarzenbergplatz 4 Der Arbeitgeber als Ermittler? Rechtsfragen im Zusammenhang mit internen Untersuchungen Mobile Security und staatlich anerkannte Softwarebeweissicherung Unsere IT wird abgehört wie funktioniert das eigentlich? Verschlüsselung von Daten & E-Mails Die neue ISO/IEC 27001:2013 bewährter Security-Standard in neuem Gewand Best Practice Referenten: Thomas Bleier ( Austrian Institute of Technology GmbH AIT ), Orlin Radinsky ( Brauneis Klauser Prändl Rechtsanwälte GmbH), ZT Wolfgang Prentner ( ZT-PRENT NER-IT ), Peter Titak ( CIS ), Andreas Tomek (SBA Research Sicherheitsforschung GmbH) Moderation: Martin Pscheidl ( KPMG ) Beschränkte Teilnehmerzahl! Anmeldung erforderlich! Mit freundlicher Unterstützung von: In Zusammenarbeit mit
Agenda 9.00 Begrüßung 9.05 Der Arbeitgeber als Ermittler? Rechtsfragen im Zusammenhang mit internen Untersuchungen Orlin Radinsky (Brauneis Klauser Prändl Rechtsanwälte GmbH) 10.05 Mobile Security und staatlich anerkannte Softwarebeweissicherung ZT Wolfgang Prentner (ZT-PRENTNER-IT) 10.40 Unsere IT wird abgehört wie funktioniert das eigentlich? Überwachung für Dummies Thomas Bleier (Austrian Institute of Technology GmbH AIT) 11.25 Verschlüsselung von Daten & E-Mails Andreas Tomek (SBA-Research Sicherheitsforschung GmbH) 12.00 Pause 12.30 Best Practice 12.55 Die neue ISO/IEC 27001:2013 bewährter Security-Standard in neuem Gewand Peter Titak (CIS) 13.30 Ende der Veranstaltung Zum Thema Unsere Gegenwart ist durch viele wirtschaftliche und gesellschaftliche Unsicherheiten und Widersprüche geprägt, und diese beginnen in einem zunehmenden Maß Einfluss auf Abläufe in Unternehmen und deren IT zu nehmen. Zunehmende Freiheitsansprüche der einzelnen Mitarbeiter, die sich in Trends wie Consumerization, Mobility und Social Clouds ausdrücken, treffen im Unternehmen auf wachsende Kontrollund Regulierungsanforderungen, welche durch Gesetze und Verträge erzwungen werden und sich in Governance-, Risk- und Compliance-Maßnahmen niederschlagen. Während also die Risiken auf Grund der an vielen Stellen entgleitenden Kontrollmöglichkeiten und der beständig erweiterten Technologien immer mehr zunehmen, sind einfache und gewohnte Gegenmaßnahmen wie die Steigerung der Investitionen und der Ausbau der IT-Ressourcen unter den aktuellen Bedingungen selten möglich. Ein Negieren der Risiken wäre jedoch fahrlässig und in vielen Fällen auch gesetzeswidrig. Was bleibt ist eine wohl abgestimmte Herangehensweise, die an der Basis, beim Verhalten der Mitarbeiter, ansetzt und gezielt neue automatisierte Abwehrtechniken zum Einsatz bringt. Der Arbeitgeber als Ermittler? Rechtsfragen im Zusammenhang mit internen Untersuchungen Vermutete Rechtsverstöße am Arbeitsplatz führen immer häufiger zu betriebsinternen Maßnahmen im Bereich der IT. Nicht selten kommt es dabei zum Konflikt zwischen dem Interesse des Arbeitgebers, Verdachtslagen aufzuklären, und dem Schutz der Privatsphäre des betroffenen Arbeitnehmers. Orlin Radinsky (Brauneis Klauser Prändl Rechtsanwälte GmbH) Welche Maßnahmen sind zulässig? Muss der Betriebsrat zwingend eingeschaltet werden? Können beispielweise Daten vom Laptop des Arbeitnehmers ohne weiteres sichergestellt und analysiert werden? Muss sofort eine Anzeige erfolgen und welche dienstrechtlichen Konsequenzen sind zu ziehen? In der Praxis zeigt sich, dass neben den sich stellenden Rechtsfragen in diesem Zusammenhang auch rein faktische Probleme gelöst werden müssen. Orlin Radinsky ist Partner bei bkp Rechtsanwälte und Trainer für IT-Recht der Zertifizierungsorganisation CIS. Seine Schwerpunkte sind: Liegenschaften, Handel, Gesellschaften, Wirtschaftsstrafsachen, Compliance, Zentral- & Osteuropa, Private Clients Ausbildung & Praxis: 1995 Mag. iur., Universität Wien; 1996 Dr. iur., Universität Wien; seit 2003 Rechtsanwalt & seit 2006 Partner bei bkp.
Mobile Security und staatlich anerkannte Softwarebeweissicherung Jeder Österreicher hat heute statistisch gesehen 1,9 Smartphones. Dies bringt immer mehr Hacker, aber auch Familienmitglieder und so genannte Freunde auf die Idee, Daten fremder Smartphones aus Spaß oder aus krimineller Absicht auszuspähen bzw. zu überwachen. ZT Wolfgang Prentner (ZT-PRENTNER-IT) Wichtig in solchen Fällen ist neben der Auffindung solcher Spionageaktivitäten auch die staatlich anerkannte bzw. gerichtstaugliche Beweissicherung bei Rechtsstreitigkeiten. In dem Vortrag werden von IT-Zivilingenieur Dr. Wolfgang Prentner kurz die elementaren Sicherheitsfeatures von Google- Android- und iphone-mobiltelefonen erklärt und zumindest eine Überwachungssoftware für Mobile Devices kurz präsentiert und diskutiert. ZT Dr. Wolfgang Prentner ist seit 1997 als Ziviltechniker im Fachbereich Informations- und Kommunikationstechnologie erfolgreich tätig. Als Geschäftsführer der ZT Prentner IT GmbH, Gerichtssachverständiger und promovierter Informatiker an der TU Wien unterstützt er außerdem in ehrenamtlicher Funktion die Länderkammer, die Bundeskammer, das Bundeskomitee der Freien Berufe sowie das Bundeskanzleramt. Unsere IT wird abgehört wie funktioniert das eigentlich? Überwachung für Dummies Die Überwachung und das systematisierte Abgreifen von Daten durch verschiedene Geheimdienste wie NSA und GCHQ war in den letzten Monaten ein großes Thema. Es wurde in den Medien viel über die ausgespähten Daten und die angegriffenen Ziele geschrieben die technischen Thomas Bleier (Austrian Institute of Technology GmbH AIT) Hintergründe bleiben mitunter unklar. Dieser Vortrag beschäftigt sich mit der Technik hinter diesen Aktionen. Wie konnte es überhaupt passieren, dass diese Daten abgehört wurden, welche technischen Mittel stecken dahinter, was bedeutet das für unsere IT-Infrastrukturen und wie kann man sich vor solchen Abhöraktionen schützen? Der Vortrag versucht die Antworten auf diese Fragen in verständlicher Art und Weise auch für Nicht-Hardcore-IT-Security-Experten zu geben. DI Thomas Bleier, MSc leitet das IKT-Sicherheitsforschungsprogramm am AIT Austrian Institute of Technology GmbH, Safety & Security Department und beschäftigt sich mit anwendungsorientierter Forschung zu Themen wie Secure System Design, Sicherheit von kritischen Infrastrukturen, National Cyber Defense, Sicherheit in Smart Grids und Secure Cloud Computing. Vor seiner Tätigkeit beim AIT war er 10 Jahre in der Wirtschaft in der IT tätig. Verschlüsselung von Daten & E-Mails Andreas Tomek (SBA- Research) Die Verschlüsselung von Daten & E-Mails wird gerade in letzter Zeit als häufige Lösung für Security- Probleme und Bedrohungen angepriesen. Besonders in Bezug auf mobile Endgeräte und Cloud Lösungen stellen sich Verschlüsselungslösungen oft als einziger gangbarer Weg dar. Dieser Vortrag stellt verschiedene Ansätze zur Diskussion, zeigt Ansatzpunkte & technologische (Standard-) Lösungen für Verschlüsselung von Daten & E-Mails auf und soll Best Practices in Bezug auf die organisatorische Einführung und damit verbundene Erfahrungen vermitteln. DI Mag. Andreas Tomek ist Geschäftsleiter des Bereichs Professional Services bei SBA-Research sowie Geschäftsführer der ISCP GmbH und beschäftigt sich mit Fragen der technischen und organisatorischen Informationssicherheit sowie deren Einbettung in die Unternehmensziele. Zu seinen Spezialgebieten zählen IT-Audit, Penetrationstests & IT-Security Training. Er besitzt über 15 Jahre Erfahrung in der IT und war zuvor für ein Big4 Unternehmen, mehrere Universitäten und Fachhochschulen sowie das WIFI Wien tätig.
Die neue ISO/IEC 27001:2013 bewährter Security-Standard in neuem Gewand Die novellierte Version des internationalen Standards für Informationssicherheit ISO/IEC 27001:2013 lässt mit interessanten Neuerungen aufhorchen. Schlüssige Kompatibilität mit anderen ISO-Standards, Kosteneffizienz durch zielorientiertes Monitoring und mehr Freiraum beim Risi- Peter Titak (CIS) komanagement durch Ausrichtung an dem rein risikobasierten Ansatz der RM-Norm ISO 31010 anstelle der Anlehnung an Vermögenswerten dies sind wichtige Punkte, die das Betreiben von Informationssicherheit mit der neuen Version erleichtern sollen. Insgesamt wurde die Struktur des Standards basierend auf dem ISO/IEC Annex SL harmonisiert, so dass dieser mit anderen relevanten ISO-Standards von ISO 9001 für Qualität, 14000 für Umweltmanagement bis 20000 für IT Services oder 22301 für Notfallmanagement eine gemeinsame»sprache sprechen«wird und dadurch optimal integrierbar ist. Die konsequente Ausrichtung der Unternehmensprozesse an der internationalen Security-Norm ISO 27001 führt zu einer nachhaltigen Verbesserung des Sicherheitsniveaus. Mag. Peter Titak fungiert bei der akkreditierten Zertifizierungsorganisation CIS als Auditor und Trainer für ISO 27001. Darüber hinaus blickt er auf eine langjährige Erfahrung als Information Security und Corporate Security Manager zurück.
An CON ECT Eventmanagement 1070 Wien, Kaiserstraße 14/2 Tel.: +43 / 1 / 522 36 36 36 Fax: +43 / 1 / 522 36 36 10 E-Mail: registration@conect.at http://www.conect.at Anmeldung Firma: Ich melde mich zu»sicherheitsmanagement, Verschlüsselung und sichere (Web-) Applikationen«am 30. 1. 2014 an: Als IT-Anwender aus Wirtschaft und öffentlicher Verwaltung zu 250, Als IT-Anbieter/-Berater zu 490, Als Mitglied des Future Network zu 199, Alle Preise zuzüglich 20 % MwSt. Ich möchte in Zukunft weiter Veranstaltungsprogramme per E-Mail oder Post übermittelt bekommen. Titel: Vorname: Nachname: Funktion: Straße: PLZ: Ort: Telefon: Fax: E-Mail: ANMELDUNG: Nach Erhalt Ihrer Anmeldung senden wir Ihnen eine Anmeldebestätigung. Diese Anmeldebestätigung ist für eine Teilnahme am Event erforderlich. STORNIERUNG: Sollten Sie sich für die Veranstaltung anmelden und nicht teilnehmen können, bitten wir um schriftliche Stornierung bis 2 Werktage vor Veranstaltungsbeginn. Danach bzw. bei Nichterscheinen stellen wir eine Bearbeitungsgebühr in Höhe von 50, in Rechnung. Selbstverständlich ist die Nennung eines Ersatzteilnehmers möglich. ADRESSÄNDERUNGEN: Wenn Sie das Unternehmen wechseln oder wenn wir Personen anschreiben, die nicht mehr in Ihrem Unternehmen tätig sind, teilen Sie uns diese Änderungen bitte mit. Nur so können wir Sie gezielt über unser Veranstaltungsprogramm informieren. Datum: f Ich erkläre mich mit der elektronischen Verwaltung meiner ausgefüllten Daten und der Nennung meines Namens im Teilnehmerverzeichnis einverstanden. f Ich bin mit der Zusendung von Veranstaltungsinformationen per E-Mail einverstanden. (Nichtzutreffendes bitte streichen) Unterschrift/Firmenstempel: 13121 Layout: Gerhard Krill