Cyber Training Center Seminarprogramm 2016

Transcript

DEDICATED TO SOLUTIONS Cyber Training Center Seminarprogramm 2016 2. Auflage DAS CYBER TRAINING CENTER DER ESG Digitale Informationen sind zu einem grundlegenden Bestandteil des täglichen Lebens geworden. Neue Formen der Digitalisierung und Vernetzung sind die wesentlichen Treiber des Fortschritts: Unternehmen steigern die Effizienz der Geschäfts- und Produktionsabläufe und verbessern ihre Konkurrenzfähigkeit, Behörden bieten auf elektronischem Wege bürgerfreundliche Dienstleistungen an, „Smart“-Applikationen erleichtern Prozesse im privaten und industriellen Bereich. Infolge der starken Durchdringung durch Informations- und Kommunikationstechnologien entstehen aber auch Verwundbarkeiten: Digitale Informationen sind ein begehrtes Objekt für Cyber-Kriminelle geworden. Ein Systemausfall kann eine Kette schwerwiegender Konsequenzen auslösen oder ganze Geschäftsbereiche lahmlegen. Zudem müssen die Persönlichkeitsrechte des Einzelnen und der Schutz personenbezogener Daten in einer digitalen Welt gewahrt bleiben. Die ESG – Das Unternehmen hinter dem Cyber Training Center Leidenschaft für Technik: Seit mehr als 50 Jahren zählt die ESG zu den führenden deutschen Unternehmen für Entwicklung, Integration und Betrieb komplexer, oftmals sicherheitsrelevanter IT- und Elektroniksysteme. Als unabhängiger Technologie- und Prozessberater stellt die ESG zusammen mit ihrem Netzwerk ausgewählter Partner eine Full-Service-Kompetenz zu Cyber Security & Intelligence bereit, die ein umfangreiches Service Portfolio, das Cyber Training Center und das Cyber Living Lab umfasst. Unser Angebot Wir bieten Seminare, Workshops und In-House-Schulungen in den Themenbereichen Informationssicherheit, Informationsmanagement und Datenschutz an. Die Trainings gliedern sich in folgende Kategorien und Schwerpunkte: Um moderne Informations- und Kommunikationstechnologien effizient und sicher zu nutzen, ist ein umfassendes Know-how der Chancen und Risiken sowie der Möglichkeiten realisierbarer Schutzmechanismen und Technologien erforderlich. › Certified Professionals & Experts: Trainings mit Zertifizierung Das Cyber Training Center der ESG hat sich die Vermittlung der erforderlichen Kompetenzen zur Aufgabe gemacht. Besuchen Sie unsere Seminare und Workshops oder führen Sie mit uns eine In-HouseSchulung durch, um den komplexen Herausforderungen erfolgreich zu begegnen. › Rechtliche Aspekte und Compliance › Best Practices: Organisatorische Mittel und Methoden › Technologies & Techniques: Technische Mittel und Methoden › Customised Trainings: Individuelle Inhouse-Schulungen Alle wesentlichen Domänen der Informationssicherheit werden in den Trainings adressiert: › Secure Engineering: Sichere Systeme und Software › Awareness: Sicherheitsbewusstes Verhalten › Prävention: Vorsorge- und Schutzmaßnahmen › Erkennung von Cyber-Angriffen › Reaktion auf Angriffe und Notfälle › Audits und Zertifizierungen 2 › ESG Cyber Training Center Die Trainings richten sich an die folgenden Zielgruppen: › Cloud – Grundlagen und Anwendungen › Führungskräfte, Fachpersonal und Mitarbeiter in Industrie, öffentlicher Verwaltung, Sicherheitsbehörden, Bundeswehr und sonstigen Institutionen › Mobile Device Security › Unternehmens- und Behördenleitungen, CEOs, CIOs, CISOs, ITSicherheitsbeauftragte, IT-Leiter, IT-Administratoren, SoftwareEntwickler, Auditoren, Ermittler, Datenschutzbeauftragte, CERTs, Datenanalysten, Risikomanager, Notfallmanager, Business Continuity Manager und vergleichbare Funktionen Überzeugen Sie sich von unserer Kompetenz. › Sichere Webanwendungen › Verschlüsselung in der Praxis › IT-Forensik › WLAN-Sicherheit › Awareness-Kampagnen planen und durchführen *Bundesamt für Sicherheit in der Informationstechnik Wir sind › Innovativ – wir bieten aktuelle Themen und Trends, Sie können „hands-on“ in unserem Cyber Living Lab üben › Kompetent – unsere qualifizierten Referenten haben tiefgreifende Praxiserfahrung › Kundenorientiert – wir bieten ein breites Trainingsangebot und ein modulares Trainingskonzept › Fokussiert – wir bieten kleine Teilnehmergruppen und professionelle Gestaltung › Objektiv – die ESG ist produkt- und herstellerneutral Unser umfangreiches Seminarprogramm beinhaltet zum Beispiel folgende Themen: Unsere Dozenten Unsere Seminare werden von hoch qualifizierten Referenten geleitet. Sie alle verfügen über eine langjährige tiefgreifende Erfahrung aus ihrer beruflichen Praxis in Industrie, Wissenschaft und öffentlicher Verwaltung und geben als Dozenten ihr reichhaltiges Know-how in verschiedensten Cyber-Themen weiter. Sie haben bereits Dozentenerfahrung und interessieren sich für eine Lehrtätigkeit im Cyber Training Center der ESG? Als Experte in den Themengebieten Datenschutz, Informationssicherheit und Informationsmanagement wollen Sie Ihr Wissen weitergeben? Dann nehmen Sie mit uns Kontakt auf! Wir freuen uns auf Ihre Bewerbung per E-Mail an: [email protected] › Ausbildung zum IT-Sicherheits- oder Datenschutzbeauftragten › Informationssicherheit nach ISO 27001 / IT-Grundschutz des BSI* Zusatzinformation › IT-Risiko-Management Alle weiterführenden Informationen, wie z. B. über die Veranstaltungsorte, Hotelkontingente, Terminänderungen und neue Seminare entnehmen Sie bitte den Internetseiten des CTC unter www.cybertraining.esg.de. › IT-Notfallplanung und -übungen › IT-Grundlagen für Datenschutzbeauftragte 3 › ESG Cyber Training Center INHALTSVERZEICHNIS Themenbereiche Informationssicherheit Kategorien/Schwerpunkte Technik Recht Organisatorisch Mit Zertifizierung Automotive Datenschutz Cyber-IT Auftragsdatenverarbeitung & Verfahrensverzeichnis................................................................................. 8 Automotive Security – Grundlagen für Führungskräfte.............................................................................. 9 Awareness-Kampagnen zielgerecht planen und durchführen.................................................................. 10 Behördlicher Datenschutzbeauftragter..................................................................................................... 11 Behördlicher IT-Sicherheitsbeauftragter.................................................................................................. 12 Big Data – Grundlagen & Anwendungen.................................................................................................. 13 Bring Your Own Device und COPE aus Datenschutz-Sicht........................................................................ 14 BSI-Grundschutz und ISO 27001 im Vergleich.......................................................................................... 15 CISSP – Certified Information Systems Security Professional.................................................................. 16 Cloud Computing – Wirtschaftlichkeit, Sicherheit, Compliance................................................................ 18 Cyber Security-Kompetenz für Entscheider in Unternehmen................................................................... 19 Datenschutzprüfungen vorbereiten und durchführen............................................................................... 20 Digitalisierung und Digitale Kommunikation – Grundlagen und technische Lösungen............................ 21 4 › ESG Cyber Training Center SEMINARE 2016* Entwicklung sicherer Software nach ISO 27034 und BSI-Leitfaden......................................................... 22 EU-Datenschutz-Grundverordnung........................................................................................................... 23 Ganzheitliche Sicherheit Kryptographie................................................................................................... 24 Hacking-Grundlagen – Methoden und Schutzmaßnahmen im Überblick................................................. 25 Hacking Hands-on – Schutz von Netzwerken.......................................................................................... 26 Incident Detection & Response................................................................................................................. 27 Industrial Control System Security – Grundlagen und Hands-on............................................................. 28 Industrie 4.0 und IT-Sicherheit – Entscheidungsgrundlagen für Führungskräfte..................................... 29 Informationssicherheitsmanagement nach ISO 27001............................................................................. 30 Informationssicherheitsmanagement nach IT-Grundschutz des BSI........................................................ 31 IPv6 – Grundlagen und Praxis.................................................................................................................. 32 IT-Compliance Manager............................................................................................................................ 33 IT-Forensik-Grundlagen Teil 1: Datenträger.............................................................................................. 34 IT-Forensik-Grundlagen Teil 2: Netzwerke................................................................................................ 35 IT-Forensik Hands-on............................................................................................................................... 36 IT-Grundlagen für Datenschutzverantwortliche........................................................................................ 37 IT-Notfall- und -Krisenübungen................................................................................................................ 38 IT-Notfallplanung...................................................................................................................................... 39 * Änderungen und Irrtümer vorbehalten. Den aktuellen Stand der Seminare finden Sie unter www.cybertraining.esg.de. 5 › ESG Cyber Training Center INHALTSVERZEICHNIS Themenbereiche Informationssicherheit Kategorien/Schwerpunkte Technik Recht Organisatorisch Mit Zertifizierung Automotive Datenschutz Cyber-IT IT-Risikomanagement............................................................................................................................... 40 IT-SiBe-Update – Aktuelles für Informationssicherheitsverantwortliche.................................................. 41 IT-Sicherheit in der Fahrzeugkommunikation........................................................................................... 42 IT-Sicherheit in FPGA-basierten Embedded Systems............................................................................... 43 IT-Sicherheitsbeauftragter........................................................................................................................ 44 IT-Sicherheitsgesetz – Anforderungen und Umsetzung........................................................................... 45 IT-Sicherheitstechnik & -methoden – Grundlagen für Informationssicherheitsverantwortliche.......................................................................... 46 Mobile Device Security............................................................................................................................. 47 Multisensordatenfusion: Grundlagen und Anwendungen......................................................................... 48 Penetrationstests – Planung, Beauftragung, Durchführung..................................................................... 49 Real Time Cloud – Software Defined Network.......................................................................................... 50 Rechtskonforme Cloud-Anwendung......................................................................................................... 51 6 › ESG Cyber Training Center SEMINARE 2016* Secure Software Engineering im automobilen Entwicklungsprozess...................................................... 52 Social Media Analytics im Umfeld der öffentlichen Sicherheit................................................................. 52 Systems Engineering in IT-Projekten........................................................................................................ 54 Verschlüsselung – Verfahren und Anwendungsmöglichkeiten................................................................. 55 Voice over IP – Funktion, Anwendung, Sicherheit.................................................................................... 56 Webanwendungssicherheit – Grundlagen................................................................................................ 57 WLAN-Sicherheit...................................................................................................................................... 58 Zertifizierter Business Continuity Manager.............................................................................................. 59 Zertifizierter IT-Notfallmanager................................................................................................................ 60 Notizen..................................................................................................................................................... 61 Allgemeine Geschäftsbedingungen.......................................................................................................... 62 Notizen..................................................................................................................................................... 64 Anmeldeformular...................................................................................................................................... 66 Impressum................................................................................................................................................ 67 * Änderungen und Irrtümer vorbehalten. Den aktuellen Stand der Seminare finden Sie unter www.cybertraining.esg.de. 7 › ESG Cyber Training Center Auftragsdatenverarbeitung & Verfahrensverzeichnis Thema Im Rahmen der Meldepflicht müssen alle Unternehmen, Behörden und sonstige Institutionen, welche Verfahren zur automatisierten Verarbeitung personenbezogener Daten einsetzen, diese lückenlos in entsprechenden Verfahrensverzeichnissen dokumentieren. Zu den erforderlichen Angaben gehören u. a. der Datenverarbeitungszweck, die betroffenen Personengruppen, Empfänger der Daten, Regelfristen für die Datenlöschung sowie getroffenen technischen und organisatorische Schutzmaßnahmen. Werden externe Dienstleister im Rahmen einer so genannten Auftragsdatenverarbeitung mit der Verarbeitung personenbezogener Daten beauftragt, so bleibt aber der Auftraggeber für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich. Es obliegt weiterhin dem Auftraggeber, bei Auswahl des Dienstleisters dessen Schutzvorkehrungen zu prüfen, datenschutzkonforme Vertragsvereinbarungen mit dem Dienstleister zu treffen und die Einhaltung der Datenschutzvorgaben durch den Dienstleister zu kontrollieren. Zielsetzung Zielgruppe Die Teilnehmer werden befähigt, Das Seminar richtet sich an Datenschutzbeauftragte, Datenschutz- und Compliance-Verantwortliche. › das Vorliegen der Kriterien einer Auftragsdatenverarbeitung zu beurteilen, › die gesetzlichen Anforderungen im Rahmen der Auftragsdaten­ verarbeitung innerhalb der Organisation erfüllen zu können, › Vereinbarungen mit externen Dienstleistern zu formulieren sowie die erforderlichen Kontrollen durchzuführen, › Verfahrensverzeichnisse zu erstellen und zu pflegen, › Beiträge zu Verfahrensverzeichnissen durch die Fachabteilungen erstellen zu lassen und zu kontrollieren. Referentin Iris Nopper ist Consultant für Datenschutz & Datensicherheit bei activeMind AG und unterstützt Unternehmen als externe Datenschutzbeauftragte. Frau Nopper hat Rechtswissenschaften studiert, ist IHK-zertifizierte Da- Das Seminar stellt eine Fortbildungsveranstaltung gemäß § 4f Abs. 3 des Bundesdatenschutzgesetzes (BDSG) bzw. entsprechender Abschnitt im jeweiligen Landesdatenschutzgesetz (LDSG) dar. Voraussetzungen Datenschutzgrundwissen ist empfehlenswert, Vorkenntnisse zu Verfahrensverzeichnis und Auftragsdatenverarbeitung sind nicht notwendig. Termine › 10. März 2016, Düsseldorf (Kennziffer: DS-AUV-0116) › 16. Juni 2016, Berlin (Kennziffer: DS-AUV-0216) › 06. Oktober 2016, München (Kennziffer: DS-AUV-0316) Preis › 450,- Euro zzgl. MwSt. Seminar in Düsseldorf/Berlin › 430,- Euro zzgl. MwSt. Seminar in München Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. tenschutzbeauftragte und bereits seit mehreren Jahren als Dozentin für Datenschutz tätig. Sie verfügt zudem über mehrjährige Erfahrungen in Forschung und Lehre sowie in der wissenschaftlichen Datenanalyse. 8 › ESG Cyber Training Center Automotive Security – Grundlagen für Führungskräfte Thema Die zunehmende Vernetzung von Fahrzeugen untereinander, mit Smartphones und zentralen Infrastrukturen (Car2X) sowie Erweiterungen wie Unfalldatenschreiber und das System „eCall“ wurden bisher in Bezug auf IT-Sicherheitsaspekte und Datenschutzbetrachtungen in der Automobilindustrie im Gegensatz zu Fragen der Func­ tional- und Road-Safety niedriger priorisiert. Das Bewusstsein über die Gefahren, die durch mangelhafte IT-Sicherheit im Automotive-Um- feld ausgehen, hat sich durch die zahlreichen Incidents und Veröffentlichungen in 2015 spürbar verändert. Die Speicherung und der Austausch von Fahrzeug- und Bewegungsdaten wecken Begehrlichkeiten bei Industrie, Polizei und Justiz, Versicherungen und Dienstleistern aber auch bei Kriminellen. Und aus der Vernetzung und Steuerungsmöglichkeit von Fahrzeugen via Funk ergeben sich komplett neue Bedrohungsszenarien im Bereich der IT-Sicherheit mit Auswirkungen auf die Functional- und Road-Safety. Zielsetzung Zielgruppe Das halbtägige Seminar vermittelt in kompakter Form die IT-Sicherheitsgrundlagen, die spezifisch für den Automotive-Bereich relevant sind. Zu den Inhalten gehören insbesondere: Das Seminar richtet sich an Führungskräfte und Entscheider sowohl bei OEM als auch bei Zulieferern im Auto­motiveBereich. › Automotive-Innovationen wie Car2X und autonomes Fahren und damit verbundene IT-Sicherheitsrisiken und Schutzmaßnahmen › 08. April 2016, München/Fürstenfeldbruck (Kennziffer: IS-ASG-0116) › Zusammenhang von Security und Safety › Haftungs-, Datenschutzund Privacy-Aspekte Termin › Weitere Termine in Planung Preis › 490.- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. › Bedeutung von Automotive-Forensics › Top 10 Code of Conduct-Empfehlungen zu Datensicherheit, -hoheit und -zugriff Referent Dipl.-Ing. Thomas Käfer, M.Sc. „Digitale Forensik“ ist öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung und Geschäftsführer eines eigenen IT-Systemhauses. Seit 1990 ist er als Consultant und Sachverständiger im Bereich IT-Sicherheit und digitaler Forensik tätig. Seit 2012 ist Herr Käfer auf die Themen Automotive Security und Car Forensics spezialisiert. 9 › ESG Cyber Training Center Awareness-Kampagnen zielgerecht planen und durchführen Thema Der steigende Grad der Digitalisierung und Vernetzung und immer neue Formen der Cyberkriminalität erschweren es IT-Sicherheits- und Datenschutzverantwortlichen zunehmend, ein wirksames Schutzniveau in der eigenen Organisation zu etablieren. Technische Schutzmaßnahmen sind dabei nur ein Aspekt eines ganzheitlichen Lösungsansatzes. Vielmehr wird die aktive Mitarbeit aller Beschäftigten unverzichtbar: Seit Jahren führen Umfragen Fehlverhalten der eigenen Belegschaft als Top-Risiko für Organisationen auf. Ein ausreichendes Sicherheitsniveau wird nur dann erreicht, wenn alle beteiligten Personen Teil des Sicherheitsprozesses sind und ein entsprechendes Verantwortungsund Risikobewusstsein entwickeln, das „sicheres Handeln“ nachhaltig fördert. Awareness-Kampagnen sind damit eine wesentliche Komponente innerhalb eines wirkungsvollen Sicherheits- oder Datenschutzmanagements. Was aber sind die für den jeweiligen Zweck, das jeweilige Umfeld und den jeweiligen Kontext geeigneten Inhalte, Methoden und Mittel ? Zielsetzung Zielgruppe In diesem zweitägigen Seminar erhalten die Teilnehmer in Theorie und in vielfältigen praktischen Arbeiten das erforderliche Rüstzeug, um eine Awareness-Kampagne selbst planen, durchführen und auswerten zu können. Die Teilnehmer werden befähigt, Inhalte, Methodik und Mittel eigenständig auf die individuellen Bedürfnisse ihrer Institution und deren Mitarbeiter auszurichten. Das Seminar richtet sich an IT-Sicherheitsbeauftragte und Datenschutzbeauftragte sowie generell all diejenigen, welche die Durchführung einer Awarenesskampagne beabsichtigen. Voraussetzungen Es ist kein Vorwissen zum Thema Awareness erforderlich. Termine › 03.-04. Mai 2016, Berlin (Kennziffer: DI-AWA-0116) › 07.-08. Juni 2016, München/Fürstenfeldbruck (Kennziffer: DI-AWA-0216) › 28.-29. September 2016, Frankfurt am Main (Kennziffer: DI-AWA-0316) Preis Referent › 950,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Michael Helisch ist seit 2001 in verschiedenen Fach- und Führungsfunktionen im IT- und Security-Umfeld tätig. Von 2002 bis 2007 war er für die Konzeption und Leitung des International Security Awareness Programs (ISAP) der Münchener Rückversicherungs-AG verantwortlich, seinerzeit eine der umfangreichsten Security Awareness-Kampagnen in Deutschland. 10 › ESG Cyber Training Center Behördlicher Datenschutzbeauftragter mit TÜV Rheinland geprüfter Qualifikation Thema Zielsetzung Um kundenfreundliche und effiziente Dienstleistungen anbieten zu können, werden in Behörden sensible personenbezogene Daten von Bürgern und Mitarbeitern zunehmend in digitaler Form verarbeitet. Verlust und Missbrauch dieser Daten können erhebliche Beeinträchtigungen der Persönlichkeitsrechte der Betroffenen zur Folge haben. Deshalb schreiben Bundesdatenschutzgesetz (BDSG) sowie die jeweiligen Landesdatenschutzgesetze (LDSG) entsprechende Schutzmaßnahmen sowie die Benennung von Datenschutzbeauftragten zu deren Umsetzung vor. In diesem Seminar wird die erforderliche Fachkunde zur Aufgabenerfüllung eines Datenschutzbeauftragten vermittelt. Das Seminar vermittelt in kompakter und praxisorientierter Form die für Datenschutzbeauftragten erforderlichen aktuellen rechtlichen, organisatorischen und technischen Grundlagen. Den Teilnehmern werden Schritt für Schritt die Handlungserfordernisse erläutert, welche sie bei Übernahme der Aufgabe eines Datenschutzbeauftragten bewältigen müssen. Die Teilnehmer lernen dabei einen individuellen Zeitplan mit allen wichtigen Aktionen und Prioritäten zu entwickeln, um die Aufgaben effizient erledigen zu können. Die erforderlichen Rechtsgrundlagen werden nicht auf trockene und theoretische Weise in einem Block abgehandelt, sondern Referenten Zielgruppe in die Abläufe in der Praxis eingebunden. Neben dem Bundesdatenschutzgesetz werden explizit auch die Landesdatenschutzgesetze der jeweiligen Teilnehmer behandelt und miteinander verglichen. Zertifikat Nach erfolgreicher Prüfung durch die unabhängige Personenzertifizierungsstelle Pers-Cert TÜV von TÜV Rheinland erhalten die Teilnehmer das Zertifikat „Behördlicher Datenschutzbeauftragter mit TÜV Rheinland-geprüfter Qualifikation”. Das Seminar stellt eine Fortbildungsveranstaltung gemäß § 4f Abs. 3 des Bundesdatenschutzgesetzes (BDSG) bzw. entsprechender Abschnitt im jeweiligen Landesdatenschutzgesetz (LDSG) dar. Das Seminar richtet sich an › bestellte Datenschutzbeauftragte in Behörden und entsprechende Dienstleistungsunternehmen als Vorbereitung auf die Tätigkeit, › aktive Datenschutzbeauftragte als Weiterbildungsmaßnahme in Verbindung mit einer Zertifizierung. Voraussetzungen Spezifische Vorkenntnisse sind nicht erforderlich, PC-Grundkenntnisse werden allerdings vorausgesetzt. Termine › 20.-24. Juni 2016, Frankfurt am Main (Kennziffer: DS-ZDB-0216) › 21.-25. November 2016, München/Fürstenfeldbruck (Kennziffer: DS-ZDB-0316) Preis › 1.750,- Euro zzgl. MwSt. › Zzgl. TÜV-Prüfungsgebühr: 250,- Euro zzgl. MwSt. Boris Arendt ist Rechtsanwalt und TÜV-qualifizierter Datenschutzbeauftragter und -auditor. Er ist als Senior Consultant bei PERSICON mit Spezialisierung in den Bereichen ITRecht und Datenschutz tätig. Michael Steiner ist Diplom-Wirtschaftsjurist (FH) und als Consultant bei PERSICON mit Spezialisierung im Bereich Datenschutz und IT-Recht tätig. Er ist TÜV-qualifizierter Datenschutzbeauftragter und -auditor. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. 11 › ESG Cyber Training Center Behördlicher IT-Sicherheitsbeauftragter unter Berücksichtigung des „Neuen IT-Grundschutzes nach BSI” mit TÜV Rheinland geprüfter Qualifikation Thema Die Gewährleistung der Verfügbarkeit, der Integrität und der Vertraulichkeit von Informationen ist eine wesentliche Voraussetzung für den reibungslosen und sicheren Geschäftsablauf in Behörden und Unternehmen. Dem IT-Sicherheitsbeauftragten kommt die Aufgabe zu, entsprechende IT-Sicherheitskonzepte zu Referenten Jörn Maier, Director Information Security Management bei HiSolutions AG ist seit 2001 in der Informationssicherheit tätig. Einer seiner fachlichen Schwerpunkte liegt im Aufbau von Informationssicherheits-Managementsystemen nach ISO 27001 und dem BSIGrundschutz. Mike Seidel, Dipl.-Informatiker ist Senior Consultant bei ML Consulting mit Schwerpunkt Informationssicherheit im IT-Grundschutz nach BSI. Ralf Wildvang ist Senior IT-Securuty-Consultant bei ML Consulting und seit 1989 im IT-/IT-Security-Bereich im IT-Grundschutz nach BSI tätig. Zielgruppe erarbeiten und deren Umsetzung zu koordinieren. Im behördlichen Umfeld muss er dazu vor allem den IT-Grundschutz nach BSI anwenden können, da dieser für Bundesbehörden und fachübergreifende Verfahren als maßgeblicher Standard vorgegeben ist. Weiterhin berichtet der IT-Sicherheitsbeauftragte an die Behördenbzw. Unternehmensleitung, berät diese in allen Fragen der Informationssicherheit und wirkt maßgeblich an der Erstellung von Leitlinien mit. In seinen Verantwortungsbereich fallen schließlich auch die Untersuchung von IT-Sicherheitsvorfällen, Sensibilisierungs- und Schulungsmaßnahmen für die Mitarbeiter und die Definition von Sicherheitsanforderungen für das Notfallmanagement. Zielsetzung Das Seminar vermittelt das Basiswissen, um die Aufgaben eines IT-Sicherheitsbeauftragten in einer Behörde wahrnehmen zu können und ein angemessenes Informationssicherheitsniveau zu implementieren. Im Einzelnen: Modul 1: Das Seminar richtet sich an › Aufbau eines Informations­ sicher­heitsmanagementsystems (ISMS) nach IT-Grundschutz des BSI › Unterschiede zum ISO 27001-Standard › wesentliche Merkmale des neuen IT-Grundschutzes (*) › Angehende IT-Sicherheitsbeauftragte Modul 2: Technisches Know-how zur Umsetzung und Bewertung von technisch-­organisatorischen IT-Sicherheitsmaßnahmen, wie z. B. Netzwerksicherheit, Intrusion Detection, Kryptographie, Authentifikation (*) Hinweis: „IT Grundschutz nach BSI NEU” Der IT-Grundschutz des BSI befindet sich derzeit in Überarbeitung, wobei die grundsätzliche Methodik bestehen bleiben wird. Das Seminar vermittelt die derzeitig gültige Version des IT-Grundschutzes, geht dabei aber bereits auf die vorgesehenen Neuerungen ein, soweit diese durch das BSI bekanntgegeben wurden. › Aktive IT-Sicherheitsbeauftragte Voraussetzungen Vorkenntnisse zum Thema IT-Sicherheit sind nicht erforderlich. Termine › 18.-22. April 2016, München/ Fürstenfeldbruck (Kennziffer: IS-ZIB-0116) › 19.-23. September 2016, Frankfurt am Main (Kennziffer: IS-ZIB-0216) Preis › 1.850.- Euro zzgl. MwSt. › Zzgl. TÜV-Prüfungsgebühr: 250,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Zertifikat Nach erfolgreicher Prüfung durch die unabhängige Personenzertifizierungsstelle Pers-Cert TÜV von TÜV Rheinland erhalten die Teilnehmer das Zertifikat „Behördlicher IT-Sicherheitsbeauftragter mit TÜV Rheinland-geprüfter Qualifikation”. 12 › ESG Cyber Training Center Big Data – Grundlagen & Anwendung Thema Zielsetzung Die in der heutigen digitalen und globalisierten Welt produzierten und fast überall verfügbaren Datenmengen stellen ein gewaltiges wirtschaftliches Potential, aber auch ein Risiko für Unternehmen, staatliche Organisationen sowie Wissenschaft & Forschung dar. Das Seminar bietet einen fundierten Einblick in die Themenkomplexe um Big Data. Als Big Data wird das elektronische Erfassen und Arbeiten mit besonders großen Datenmengen bezeichnet. Das Thema trägt eine immer größer werdende Bedeutung für Unternehmen, Behörden und Institutionen aller Bereiche, da die Datenvolumen explosionsartig steigen, Übersicht, Kontrolle und Transparenz jedoch abnehmen. Das Seminar bietet Kenntnisse über neue Werkzeuge, Verfahren, Konzepte und Technologien, welche die Basis für Gewinnung, Erfassung, Bearbeitung und Schutz großer Datenmengen bilden. Durch fundierte und zielgerichtete Informationsgewinnung kann ein hoher Nutzen aus Big Data gezogen werden. Referenten R. Höhn, Dipl.-Math., X–PER.NET CONSULTING, Darmstadt Prof. Dr. H. Görl, Universität der Bundeswehr München, Neubiberg P. Pinter, Dipl.-Ing., ehem. Zentrale Untersuchungsstelle der Bundewehr für Technische Aufklärung, Hof Erfahren Sie in diesem Seminar, warum eine Big-Data-Strategie in Zukunft immer wichtiger wird, mit welchen Problemen Sie bei Big Data konfrontiert werden, aber auch welche Lösungen zur Verfügung stehen, um Ihre Geschäftsprozesse zu optimieren, welche Wettbewerbsvorteile Sie aus großen Datenmengen ziehen können und welche Schutzmaßnahmen gegen elektronische Ausspähung Sie ergreifen müssen. Zielgruppe *) Die Carl-Cranz-Gesellschaft als eigenverantwortlicher Veranstalter ist vom Finanzamt Fürstenfeldbruck wegen Förderung der Wissenschaft und der Bildung von den Ertragsteuern freigestellt. Die Entgelte, die die Gesellschaft für ihre Lehrveranstaltungen erhält, sind gemäß § 4 Nr. 22a UStG von der Umsatzsteuer befreit. Mitglieder der CCG erhalten 10 % Rabatt. Bei Anmeldung mehrerer Mitarbeiter einer Firma / Dienststelle zum gleichen Seminar erhält jeder Teilnehmer 10 %. Studentenrabatte sind auf Nachfrage verfügbar. abatte sind nicht miteinander kombinierbar. Das Seminar richtet sich an Führungskräfte und Experten mit Aufgabenstellungen in der Technik der Datenerfassung, sowie in der Strukturierung, Analyse, Auswertung und Schutz von großen Datenmengen. Termine › 22.-23. Juni 2016, München/Oberpfaffenhofen (Kennziffer: IT-BDA-C116) Hinweis Das Seminar wird von und bei unserem Kooperationspartner Carl-Cranz-Gesellschaft e. V. (CCG) in dessen Seminarräumen eigenverantwortlich durchgeführt. Bei Anmeldung erhalten Sie die Bestätigung und alle weiteren Informationen von CCG. Mit Ihrer Anmeldung willigen Sie ein, dass Ihre Anmeldedaten an CCG weitergegeben werden. Preis › 1.060,- Euro (umsatzsteuerfrei*) D. Teufel, Planungsamt der Bundeswehr, Ottobrunn 13 › ESG Cyber Training Center Bring Your Own Device und COPE aus Datenschutz-Sicht Thema Über das Modell „Bring Your Own Device“ (BYOD) gestatten Unternehmen, Behörden und sonstige Organisationen ihren Mitarbeitern den Einsatz privater Endgeräte wie Smartphones und Tablets für dienstliche Zwecke. Neben den damit verbundenen Vorteilen entstehen aber eine Reihe von Problemfeldern aus Sicherheits- und Datenschutzperspektive. Beispielsweise stellt die Einbindung von unternehmensfremden Geräten in das interne Netzwerk ein nicht zu unterschätzendes Sicherheitsrisiko dar. Zudem wird mit privaten Gerä- Referent Zielsetzung Zielgruppe ten oftmals sorgloser umgegangen als mit betrieblichem Equipment, insbesondere was Kennwortschutz oder Verschlüsselung betrifft. Weiterhin stellt sich die Frage, wie sich private Daten von geschäftlichen Daten auf ein und demselben Gerät sicher voneinander trennen lassen. Nicht zuletzt sind auch die Verantwortlichkeiten und Abläufe im Falle einer Datenpanne zu adressieren. Das Seminar gibt einen umfassenden Überblick zum Thema „Bring Your Own Device“ (BYOD) aus datenschutzrechtlicher Perspektive und beantwortet dabei u. a. folgende Fragen: Das Seminar richtet sich an Datenschutzbeauftragte, Datenschutz- und Compliance-Verantwortliche. Das Gegenstück zu BYOD ist das Modell „Corporate Owned, Personally Enabled“ (COPE) bzw. „Private Use of Company Equipment“ (PUOCE), welches den Mitarbeitern die private Nutzung von unternehmenseigenen Geräten ermöglicht. Doch auch hier ist zu klären, ob und welche Beschränkungen den Mitarbeitern auferlegt werden müssen, um keine Einbußen im Bereich der Sicherheit hinnehmen zu müssen. › Welche organisatorischen und technischen Lösungen helfen bei der datenschutzkonformen Umsetzung? › Welche Risiken bestehen aus Datenschutzsicht? › Welche datenschutzrechtlichen Vorgaben sind einzuhalten? Dabei wird auch ein Vergleich zu dem Modell COPE bzw. PUOCE gezogen. Das Seminar stellt eine Fortbildungsveranstaltung gemäß § 4f Abs. 3 des BDSG bzw. entsprechender Abschnitt im jeweiligen LDSG dar. Voraussetzungen Grundlagenwissen zum Thema Datenschutz wird vorausgesetzt. Termine › 08. März 2016, Düsseldorf (Kennziffer: DS-BYO-0116) › 14. Juni 2016, Berlin (Kennziffer: DS-BYO-0216) › 04. Oktober 2016, München (Kennziffer: DS-BYO-0316) Preis › 450,- Euro zzgl. MwSt. Seminar in Düsseldorf / Berlin › 430,- Euro zzgl. MwSt. Seminar in München Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Michael Plankemann, Rechtsanwalt, ist als Berater für Datenschutz für die activeMind AG tätig. Er ist extern bestellter Datenschutzbeauftragter sowie zertifizierter ISO 27001 Audit-Teamleiter für Audits auf der Basis von IT-Grundschutz des BSI, ISO IEC 27001 Auditor (TÜV) und ITIL v3 Manager. 14 › ESG Cyber Training Center BSI-Grundschutz und ISO 27001 im Vergleich Thema Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und die ISO 27001:2013 sind die zwei Standards, welche in Deutschland am häufigsten zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) angewandt werden. Vornehmlich im Behördenumfeld wird der IT-Grundschutz des BSI eingesetzt, dessen Anwendung dort teilweise vorgeschrieben ist (siehe Leitlinie „Informationssicherheit für die öffentliche Verwaltung“ des IT-Planungsrates). Die ISO 27001:2013 dagegen findet vor allem im Unternehmensbereich Verbreitung. Die beiden Standards unterscheiden sich dabei im Wesentlichen in der Vorgehensweise und in den Aufwendungen zur Umsetzung. Zielsetzung Zielgruppe Das Seminar vermittelt in knapper Form die Grundlagen zu beiden Standards, stellt diese gegenüber und zeigt Unterschiede sowie Vorund Nachteile des jeweiligen Ansatzes auf. Es werden zudem die häufig gestellten Fragen nach dem Umstieg oder der Kombination beider Standards beantwortet. Das Seminar richtet sich an Unternehmens-/Behördenleitungen, CIOs, CISOs und IT-Sicherheitsbeauftragte. Auf Neuerungen infolge der Überarbeitung des IT-Grundschutzes wird eingegangen. Die Teilnehmer sollen befähigt werden, selbst Bewertungen für die eigene Organisation hinsichtlich der Eignung und Anwendung der beiden Standards zu treffen. Voraussetzungen Basiswissen zu IT und Informationssicherheit sollte vorhanden sein, Vorkenntnisse zu BSI-Grundschutz und ISO 27001 sind nicht erforderlich. Termine › 09. März 2016, Düsseldorf (Kennziffer: IS-B-I-0116) › 06. Juli 2016, München/Fürstenfeldbruck (Kennziffer: IS-B-I-0216) › 28. September 2016, Berlin (Kennziffer: IS-B-I-0316) Referent Preis › 520,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Reto Lorenz, Geschäftsführer der secuvera GmbH verfügt über mehr als 19 Jahre Berufserfahrung im Bereich der Informationssicherheit. Er ist seit 2002 zertifizierter ISO 27001-Auditor auf der Basis von IT-Grundschutz, IS-Revisor (BSI) und ISO 27001-Lead-Auditor. 15 › ESG Cyber Training Center CISSP – Certified Information Systems Security Professional Thema Die Zertifizierung zum „Certified Information Systems Security Professional“ (CISSP) ist ein bei Arbeitund Auftraggebern international anerkannter und gefragter Qualifikationsnachweis auf dem Gebiet der Informationssicherheit. Die CISSP-Zertifizierung wird vom International Information Systems Security Certification Consortium, Inc. (auch genannt (ISC)²) angeboten. Sie war die erste Zertifizierung in der Informationssicherheit, die die Anforderungen des ISO/IEC Standards 17024 erfüllte. Um die CISSP-Zertifizierung zu erlangen, ist das Bestehen einer umfangreichen Prüfung (Dauer ca. sechs Stunden, 250 Fragen aus acht Fachgebieten) erforderlich. Als Zulassungsvoraussetzung müssen Prüfungsteilnehmer eine mindestens 5-jährige fachrelevante berufliche Tätigkeit nachweisen können. Das ESG Cyber Training Center bietet diese Schulung als Vorbereitung auf die Prüfung an. Durchgeführt wird die Schulung in Zusammenarbeit mit dem deutschen (ISC)² Chapter als autorisierten (ISC)² Schulungspartner. Dies bietet den Zielsetzung Schulungsteilnehmern vor allem folgende Vorteile: › Offizielles (ISC)² CISSP Training – effizient für höchste Teilnehmerzufriedenheit › Referenten, die direkt vom (ISC)² ausgebildet wurden: Viele CISSP-Referenten unterrichten das Fach seit fünf Jahren oder länger › Verwendung offizieller Lehrbücher, Materialien und Testprüfungen von (ISC)² Die Schulung geht nicht nur auf den Common Body of Knowledge (CBK) ein. Es werden darüber hinaus dazugehörige Informationssicherheits-Konzepte sowie industrieweite Vorgehensweisen und Verfahren besprochen, diskutiert und in Kontext der eigenen Unternehmen und des CBK gebracht. Zudem werden in der Schulung auch mehrere Testprüfungen durchgeführt. Weitere ausführliche Informationen zu (ISC)² und der CISSP-Zertifizierung finden Sie auf www.isc2.org. Die Teilnehmer dieses 5-tägigen Intensiv-Kurses (in deutscher Sprache) werden umfassend und effizient durch einen von (ISC)² autorisierten deutschen Trainer auf die Prüfung zum CISSP vorbereitet. Das Seminar behandelt in ausführlicher und interaktiver Form sowie unter Nutzung der offiziellen (ISC)² CISSP-Schulungsunterlagen und -Testprüfungen alle acht CISSP-Fachgebiete: › Security & Risk Management (Sicherheit, Risiko, Compliance, Gesetze, Regelungen, Business Continuity) › Asset Security (Schutz von Unternehmensbeständen) › Security Engineering (Engineering und Sicherheitsmanagement) › Communications and Network Security (Design und Umsetzung von Netzwerksicherheit) › Identity and Access Management (Identitäts- und Zugriffsverwaltung) › Security Assessment and Testing (Planung, Durch- führung und Auswertung von Sicherheitstests) › Security Operations (Sicherheitskonzepte, Vorfall-Untersuchungen, Incident Management, Disaster Recovery) › Software Development Security (Entwicklung und nachhaltige Gewährleistung von Softwaresicherheit) Termine › 13.-17. Juni 2016, München/Fürstenfeldbruck (Kennziffer: IS-ZCP-0116) › 26.-30. September 2016, München/Fürstenfeldbruck (Kennziffer: IS-ZCP-0216) Preis › 3.290 Euro zzgl. MwSt. Komplett-Paket: Ein ****-Hotelzimmer-Kontingent steht zur Verfügung. Auf Wunsch übernehmen wir für Sie die Reservierung. Preis: ab 102,- Euro inkl. MwSt. pro Nacht im EZ mit Frühstück. Im Preis enthalten sind Original-ISC2Seminar­unterlagen, Tagungsgetränke, Pausenimbiss sowie Mittagessen. › CISSP-Prüfungs-Voucher: 550,- Euro zzgl. MwSt. 16 › ESG Cyber Training Center Location Veranstaltungshinweise Zielgruppe Prüfung Das Seminar richtet sich an beruflich im Bereich der IT-/Informationssicherheit tätige Personen, wie z. B. Informationssicherheitsberater und -dienstleister, IT-Sicherheitsbeauftragte, CIOs, CISOs, IT-Leiter, Auditoren, IT-/IT-Sicherheits­ architekten. Die Prüfungen werden von Pearson Vue-Testcentern durchgeführt, die weltweit sowie in mehreren deutschen Großstädten (Berlin, Düsseldorf, Hamburg, Frankfurt am Main, München, Stuttgart) zu finden sind. Bild: Fürstenfelder/Veranstaltungsforum Fürstenfeld Viel lernen in kurzer Zeit! – Dazu stellen wir Ihnen eine optimale Schulungsumgebung bereit: Der Schulungsraum des Veranstaltungsforums Fürstenfeld in Fürstenfeldbruck bei München bietet Ihnen eine ruhige und angenehme Lernatmosphäre. Alles aus einer Hand organisiert! Wählen Sie unser Komplett-Paket und wir kümmern uns auch um die Buchung Ihrer Unterkunft für die Dauer der Schulung. Sie übernachten im direkt angrenzenden ****Hotel Fürstenfelder mit reichhaltigem Frühstücksbüffet. Zertifikat Referent Rainer Rehm ist autorisierter (ISC)² CISSP-Trainer und verfügt hier über jahrelange Erfahrung. Er gründete in Deutschland eines der ersten (ISC)² Chapter weltweit und leitet das (ISC)² Chapter Germany e.V. als Vorstand. Auf Wunsch stellen wir Ihnen einen CISSP-Prüfungs-Voucher zum Preis von 550,- Euro zzgl. MwSt. bereit (Gültigkeit: 6 Monate). Wir übernehmen dann für Sie die Buchung eines Prüfungstermins in einem PersonVue-Testcenter Ihrer Wahl. Alternativ können Sie sich selbst für einen Termin bei einem der Pearson Vue-Testcentern anmelden. Herr Rehm ist auch als Dozent für Datensicherheit und Datenschutz für die IHK München tätig. Rainer Rehm verfügt über die Qualifika­ tionen Information Systems Security Professional (CISSP), (ISC)² und Certified Information Systems Manager (CISM), ISACA. Nach erfolgreicher Prüfung erhalten Sie Ihr CISSP-Zertifikat und eine ID-Karte. Auf Wunsch werden Sie als Zertifikatinhaber im CISSP-Verzeichnis geführt. Das CISSP-Zertifikat hat eine Gültigkeit von drei Jahren. Voraussetzungen Um zur Prüfung zugelassen zu werden, sind folgende Voraussetzungen zu erfüllen: › 5-jährige Berufserfahrung (Vollzeit) als Sicherheitsexperte auf mindestens zwei der acht CISSP-Fachgebiete oder › 4-jährige Berufserfahrung (Vollzeit) als Sicherheitsexperte auf mindestens zwei der acht CISSP-Fachgebiete und Universitätsabschluss Bei fehlender Berufserfahrung können Sie als „Associate of (ISC)²“ die Prüfung ablegen, um dann innerhalb von sechs Jahren die erforderliche Berufserfahrung zu gewinnen. 17 › ESG Cyber Training Center Cloud Computing – Wirtschaftlichkeit, Sicherheit, Compliance Thema Kosteneinsparungen, geringe Investitionsnotwendigkeit und flexi­ blere Anpassung an Markterfordernisse sind attraktive Chancen des Cloud Computing, um die eigene Wettbewerbsposition zu verbessern oder neue Geschäftsmodelle zu etablieren. Natürlich gibt es auch Risiken, die zu prüfen und sorgfältig abzuwägen sind. Der Innovationsprozess setzt sich aber fort, Sicherheitslücken werden ausgemerzt, Risiken lassen sich oftmals durch geeignete Sicherheitsmaßnah- men kontrollieren und die Qualität nimmt ständig zu. Das Angebot an Cloud Services wird breiter und umfasst mittlerweile die meisten typischen Unternehmensanwendungen, wie z. B. ERP, CRM, Office, Kommunikation, Service Management, Projektsteuerung oder GRC. Unternehmen sollten deshalb Überlegungen anstellen, wann der beste Zeitpunkt für den eigenen Übergang zur Cloud ist und wie man diesen effizient und sicher gestaltet. Zielsetzung Zielgruppe Das Seminar gibt einen umfassenden Überblick zum Thema Cloud und beantwortet dabei u. a. folgende Fragen: Das Seminar richtet sich an Mitglieder der Unternehmensleitung, KMU-Geschäfts­ führer, IT-Leiter, CIOs, CISOs, CFOs, Geschäfts­bereichsleiter, Compliance- und Controlling-Verantwortliche. I. Wirtschaftlichkeit & Compliance (Tag 1): › Welche Vorteile bietet die Cloud, welche Risiken sind zu beachten, wo macht eine Cloud-Anwendung Sinn? › Welche Kostenfaktoren sind zu berücksichtigen, wann rechnet sich die Cloud? › Wie erarbeitet man eine Cloud-Strategie, wie setzt man diese um? Referenten › Welche Compliance-Anforderungen gibt es, wie trägt man diesen Rechnung? II. Sicherheit in der Cloud (Tag 2): Christoph Puppe berät als Principal Consultant bei HiSolutions AG zum Thema Cyber-Sicherheitsstrategie, wobei Cloud-Anwendungen zu einem seiner Schwerpunkte zählen. Herr Puppe ist Lead-Auditor nach BSI-Grundschutz, IS-Revisor und BSI-zertifizierter Penetrationstester. Folker Scholz berät und unterstützt seit mehr als 25 Jahren Organisationen aus verschiedenen Branchen im Umfeld IT-Governance, Risk und Compliance. Seit 1998 ist er selbständiger Unternehmensberater. Herr Scholz ist Gründungsmitglied der ISACA-Arbeitsgruppe Cloud-Computing und Mitautor der DIN SPEC „Management von Cloud Computing in KMU“. › Welchen Sicherheitsrisiken ist die Cloud ausgesetzt? › Welche Schutzmaßnahmen können getroffen werden? › Wie kann die Cloud helfen die Daten zu sichern? Voraussetzungen Cloud-Kenntnisse werden nicht vorausgesetzt, IT-Grundkenntnisse sind für Tag 2 vorteilhaft. Termine › 31. Mai - 01. Juni 2016, Frankfurt am Main (Kennziffer: IT-CLO-0216) › 28.-29. September 2016, Berlin (Kennziffer: IT-CLO-0316) Hinweis Die beiden Tage können auf Anfrage auch einzeln gebucht werden. Preis › 890,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. › Für welche Anwendungen und Daten ist die Cloud aus Sicherheitssicht geeignet? 18 › ESG Cyber Training Center Cyber Security-Kompetenz für Entscheider in Unternehmen Thema Moderne Kommunikations- und Informationstechnologien und die Möglichkeiten der Vernetzung und Informationsbereitstellung über das Internet gehören zu den Schlüsselfaktoren, um Geschäftsprozesse schneller, flexibler und effizienter zu gestalten und damit besser zu sein als die Konkurrenz. Mit zunehmender Nutzung und Abhängigkeit steigt auch gleichzeitig das Risiko, Opfer von Wirt- schaftsspionage und -sabotage, Datendiebstahl, Erpressung und sonstiger Cyber-Crime-Delikte zu werden. Die Negativkonsequenzen bei Eintreten derartiger Risiken können auf Unternehmen schnell existenziellen Einfluss nehmen. Das Thema Cyber Security erhält somit eine unternehmensstrategische Dimension, welcher sich Geschäftsführer und Führungskräfte stellen müssen. Zielsetzung Zielgruppe Das Seminar vermittelt in kompakter Form das für Geschäftsführer und Führungskräfte essentielle Wissen, um Cyber-Risiken für das eigene Unternehmen bewerten und strategische Entscheidungen unter Berücksichtigung von Compliance-Aspekten treffen zu können. Dazu werden insbesondere die folgenden Themen adressiert: Das Seminar richtet sich an Geschäftsführer und Führungskräfte wie z. B. CIOs, CISOs, CFOs. › Erkennen und Minimieren von Risiken › Compliance – nationale und internationale Rechtsprechung › Haftung und Versicherung Termin › 11. März 2016, Frankfurt am Main (Kennziffer: IS-TOP-0116) › Weitere Termine in Planung Preis › 550,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Getränke und Mittagessen. › Entwicklung einer individuellen Cyber Security-Strategie Referenten Dr. Alexander Duisberg ist Partner bei Bird & Bird in München und verantwortet den Bereich Software und Services der internationalen Tech & Comms Gruppe um Bird & Bird. Er gilt als einer der führenden Rechtsexperten im Bereich Informationstechnologien. › Ansprechen und Hilfestellung im Krisenfall Jörn Maier, Director Information Security Management bei HiSolutions AG ist seit 2001 in der Informationssicherheit tätig. Seine fachlichen Schwerpunkte liegen in der Durchführung von Zertifizierungsund Revisions-Audits, in der Eta­ blierung von Risikomanagementsystemen sowie im Datenschutz. 19 › ESG Cyber Training Center Datenschutzprüfungen vorbereiten und durchführen Thema Für Unternehmen und Behörden sind zum Teil erhebliche Investitionen erforderlich, um ein effizientes Datenschutzmanagement zu implementieren und gesetzlichen Datenschutzvorgaben nachzukommen. Die Wirksamkeit von Datenschutzmaßnahmen kann jedoch von kontinuierlich stattfindenden Veränderungen (z. B. neue Prozesse, Hard-/ Software-Erneuerungen, Personalwechsel, usw.) im Laufe der Zeit beeinträchtigt werden. Regelmäßige Überprüfungen durch den Datenschutzbeauftragten oder Referent externe Gutachter zeigen auf, wo und auf welche Weise das einmal erreichte Datenschutzniveau beibehalten und optimiert werden kann. Nicht zuletzt müssen auch externe Dienstleister, welche mit der Verarbeitung von personenbezogenen Daten beauftragt wurden, auf die Einhaltung der Datenschutzbestimmungen kontrolliert werden. Datenschutzaudits dienen somit neben der Einhaltung der Datenschutzvorgaben auch der Investitionssicherung und können als Qualitätsmerkmal nach außen hin herangezogen werden. Zielsetzung Zielgruppe Den Teilnehmern wird das Knowhow vermittelt zur Das Seminar richtet sich an Datenschutzverantwortliche und Datenschutzbeauftragte. › Planung und Durchführung von internen Audits sowie Audits bei externen Dienstleistern (Auftragsdatenverarbeitung), › Vorbereitung auf die Über­ prüfung durch externe zugelassene Gutachter und Aufsichtsbehörde, › Dokumentation der Prüfungsergebnisse und Umgang mit Findings. Das Seminar stellt eine Fortbildungsveranstaltung gemäß § 4f Abs. 3 des BDSG bzw. entsprechender Abschnitt im jeweiligen LDSG dar. Voraussetzungen Grundkenntnisse zum Thema Datenschutz sind vorausgesetzt. Termine › 01. Juni 2016, Berlin (Kennziffer: DS-AUD-0216) › 21. September 2016, Frankfurt am Main (Kennziffer: DS-AUD-0316) Preis › 450,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Michael Steiner ist Diplom-Wirtschaftsjurist (FH) und als Consultant bei PERSICON mit Spezialisierung im Bereich Datenschutz und IT-Recht tätig. Er ist TÜV-qualifizierter Datenschutzbeauftragter und -auditor. 20 › ESG Cyber Training Center Digitalisierung und Digitale Kommunikation – Grundlagen und technische Lösungen Zielsetzung Das Seminar bietet einen verständlichen Einblick in die Welt der digitalen Signalverarbeitung und vermittelt die Grundlagen digitaler Kommunikation. Zu den Inhalten gehören: › Digitale Signalbearbeitung › Arten von Fehlerquellen digitaler Signale › Nutzung von Fehlerquellen und Gegenmaßnahmen › Neue digitale Netze und deren Technologien › Funktionsweise aktueller Datenübertragungsverfahren Zielgruppe *) Die Carl-Cranz-Gesellschaft als eigenverantwortlicher Veranstalter ist vom Finanzamt Fürstenfeldbruck wegen Förderung der Wissenschaft und der Bildung von den Ertragsteuern freigestellt. Die Entgelte, die die Gesellschaft für ihre Lehrveranstaltungen erhält, sind gemäß §4 Nr. 22a UStG von der Umsatzsteuer befreit. Mitglieder der CCG erhalten 10  % Rabatt. Bei Anmeldung mehrerer Mitarbeiter einer Firma/Dienststelle zum gleichen Seminar erhält jeder Teilnehmer 10  %. Studentenrabatte sind auf Nachfrage verfügbar. Die Rabatte sind nicht miteinander kombinierbar. Das Seminar richtet sich an Führungspersonal und Mitarbeiter von Sicherheitsbehörden des Bundes und der Länder, an militärisches und Polizeipersonal, an Zulassungsbehörden, an Firmen für digitale Kommunikationstechnik, die Technik beschaffen, prüfen und zertifizieren. Voraussetzungen Vorkenntnisse sind nicht erforderlich. Termin › 20.-21. April 2016, München/Oberpfaffenhofen (Kennziffer: IT-DDK-C116) Hinweis Das Seminar wird von und bei unserem Kooperationspartner Carl-Cranz-Gesellschaft e.V. (CCG) in dessen Seminarräumen eigenverantwortlich durchgeführt. Bei Anmeldung erhalten Sie die Bestätigung und alle weiteren Informationen von CCG. Mit Ihrer Anmeldung willigen Sie ein, dass Ihre Anmeldedaten an CCG weitergegeben werden. Referent Preis › 1.075,- Euro (umsatzsteuerfrei*) P. Pinter, Dipl.-Ing., ehemalige Zentrale Untersuchungsstelle der Bundeswehr für Technische Aufklärung, Hof. 21 › ESG Cyber Training Center Entwicklung sicherer Software nach ISO 27034 und BSI-Leitfaden Thema Ein Automobil bestand in seiner Anfangszeit ausschließlich aus mechanischen Teilen – heute besteht das Innenleben eines Autos aus einer Vielzahl elektronischer Steuergeräte. Die Vision der nahen Zukunft sind autonom fahrende Autos, die untereinander sowie mit Ihrer Umwelt kommunizieren. Der Privathaushalt der Zukunft wird „smart“ sein, d. h. unterschiedliche Funktionen (Heizung, Rollladen, TV, Kühlschrank, etc.) können von Benutzern per App von beliebigen Orten aus gesteuert werden. Dies sind einige Beispiele dafür, wie sehr unsere Welt digitalisiert und vernetzt wird. Zielgruppe Neben allen Vorteilen gehen damit auch Risiken einher, insbesondere die Gefährdung durch Hacking-Angriffe und damit verbundene Kontroll- oder Datenverluste. Firewalls, Verschlüsselung und Co. sind zwar wesentliche Maßnahmen, welche für sich alleine aber unzureichend sind. Sicherheit beginnt bereits bei der Entwicklung der jeweiligen Anwendungs-Software. Sicherheitslücken im Programmcode, die in der Entwicklungsphase entstehen, sind Haupteinfallstore für Angreifer. Diese werden häufig erst durch eingetretene Schadensfälle erkannt und können nachträglich nur mit größerem Aufwand beseitigt werden. Referenten Die Anwendung entsprechender Sicherheitsstandards in der Software-Entwicklung ermöglicht nicht nur ein hohes Sicherheitsniveau, sondern schafft auch Vertrauen des Kunden bzw. Nutzers in die entsprechende Software. Für den professionellen Entwickler von Software ist somit die Einhaltung von Sicherheitsstandards ein Aushängeschild. Zielsetzung Das zweitägige Seminar vermittelt in anschaulicher Form – anhand umfangreicher Demonstrationen und praktischer Übungen – welche IT-Sicherheitsanforderungen bei der Entwicklung von Software berücksichtigt werden müssen und wie sie umgesetzt werden können. Das Seminar richtet sich an Software-­ Architekten, Projektleiter Software­ entwicklung, Software-Entwickler, Software-Tester. Voraussetzungen Software Engineering-Grundkenntnisse werden vorausgesetzt. Termin › 13.-14. September 2016, München/Fürstenfeldbruck (Kennziffer: IS-ESS-0116) Preis › 950,- Euro zzgl. MwSt Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Dazu wird insbesondere auf die Vorgaben der ISO 27034 sowie des BSI-Leitfadens zur Entwicklung sicherer Webanwendungen referenziert. Ivan Miklecic, Senior IT Security Consultant bei softScheck GmbH und Projektleiter ISO 27000-Familie. Herrn Miklecic’s Tätigkeitsschwerpunkte sind u. a. ISO 27034 Application Security und Security Testing, vor allem Threat Modeling, Static Source Code Analysis. Michael Arcan, IT Security Consultant bei softScheck GmbH. Seine Tätigkeitsschwerpunkte sind u. a. ISO 27037-basierte forensische Untersuchungen, Entwicklung von Sicherheitskonzepten, ISO 27034 Application Security-basiertes Security Testing Die Teilnehmer werden befähigt, einen Secure Development Lifecycle (SDL) in der eigenen Organisation abzubilden und die zugehörigen Test-Methoden anzuwenden. 22 › ESG Cyber Training Center EU-Datenschutz-Grundverordnung Thema Zielsetzung Zielgruppe Die europäische Datenschutzgrundverordnung des EU-Parlaments und des EU-Ministerrats wird zukünftig in Deutschland und der Europäischen Union die anwendbaren Datenschutzgesetze ersetzen. Dabei blieben viele Prinzipien – insbesondere in Deutschland – unverändert. Doch bei der Umsetzung des Datenschutzes im Unternehmen müssen maßgebliche Änderungen beachtet werden. Im Seminar werden die Änderungen, die die EU-Datenschutzgrundverordnung mit sich bringt, und die damit einhergehenden Konsequenzen und Anforderungen vermittelt. Die Teilnehmer werden befähigt, die datenschutzrechtlichen Änderungen der Grundverordnung direkt in Ihrem Unternehmen umzusetzen. Das Seminar richtet sich an Datenschutzbeauftragte, Datenschutz- und Compliance-Verantwortliche sowie Unternehmensführung und Management. Das Seminar stellt eine Fortbildungsveranstaltung gemäß § 4f Abs. 3 des Bundesdatenschutzgesetzes (BDSG) bzw. entsprechender Abschnitt im jeweiligen Landesdatenschutzgesetz (LDSG) dar. Termin Voraussetzungen Datenschutzgrundwissen ist empfehlenswert. › 13. Juli 2016, München (Kennziffer: DS-EUG-0116) Preis › 430,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Referent Marc Placzek, Volljurist, ist als Consultant für die activeMind AG tätig. Sein Schwerpunkt ist die Beratung im internationalen und europäischen Datenschutzrecht. Hier betreut und berät er internationale und deutsche Unternehmen in der Umsetzung der rechtlichen Vorgaben und unterstützt sie als exter- ner Datenschutzbeauftragter. Herr Placzek ist sowohl zertifizierter Datenschutzbeauftragter auf nationaler (IHK München und Oberbayern), als auch auf europäischer („Certified Data Protection Officer“ by the European Institute of Public Administration) Ebene. 23 › ESG Cyber Training Center Ganzheitliche Sicherheit: Von der Kryptographie bis zu Physical Unclonable Functions Thema Zielsetzung Einerseits bietet die mathematisch begründete Kryptographie ein festes Fundament für jede Sicherheitslösung. Andererseits eröffnet deren Implementierung und Realisierung – etwa in Software, aber auch in Hardware – mögliche Angriffsflächen für technologisch gut ausgerüstete Angreifer. Selbst ein guter kryptographischer Algorithmus ist dann wertlos, wenn z. B. seine geheimen Schlüssel im realisierenden Medium (Chip, Rechner, Smartphone) ausgespäht werden können. Das Seminar vermittelt einen ganzheitlichen Überblick zum Thema Kryptographie, von den kryptographischen Methoden (z. B. RSA, AES) über deren Anwendungen und Einsatzszenarien (Internet, Mobilkommunikation) bis hin zu modernsten Angriffsmethoden aus der Praxis (optische Emission, Reverse Engineering, HW-Trojaner). Referenten Prof. Dr. Albrecht Beutelspacher, Universität Gießen, Professur für Diskrete Mathematik und Geometrie Prof. Dr. Jean-Pierre Seifert, TU Berlin, Leiter des Fachgebiets „Security in Telecommunications“ Zielgruppe *) Die Carl-Cranz-Gesellschaft als eigenverantwortlicher Veranstalter ist vom Finanzamt Fürstenfeldbruck wegen Förderung der Wissenschaft und der Bildung von den Ertragsteuern freigestellt. Die Entgelte, die die Gesellschaft für ihre Lehrveranstaltungen erhält, sind gemäß § 4 Nr. 22a UStG von der Umsatzsteuer befreit. Mitglieder der CCG erhalten 10 % Rabatt. Bei Anmeldung mehrerer Mitarbeiter einer Firma / Dienststelle zum gleichen Seminar erhält jeder Teilnehmer 10 %. Studentenrabatte sind auf Nachfrage verfügbar. Die Rabatte sind nicht miteinander kombinierbar. Das Seminar richtet sich an Datenschutzund Informationssicherheitsbeauftragte und -verantwortliche, CSOs, CIOs, CISOs, Compliance-Verantwortliche, Studierende und Mitarbeiter in den MINT-Fächern. Voraussetzungen Grundwissen zur Informationssicherheit Termin › 18.-20. Oktober 2016, München/Oberpfaffenhofen (Kennziffer: IS-KR1-C116) Hinweis Das Seminar wird von unserem Kooperationspartner Carl-Cranz-Gesellschaft e.V. (CCG) in dessen Seminarräumen eigenverantwortlich durchgeführt. Bei Anmeldung erhalten Sie die Bestätigung und alle weiteren Informationen von CCG. Mit Ihrer Anmeldung willigen Sie ein, dass Ihre Anmeldedaten an CCG weitergegeben werden. Preis › 1.430,- Euro (umsatzsteuerfrei*) Klaus-Dieter Wolfenstetter, Dipl.-Math., Deutsche Telekom AG, Laboratories, Berlin 24 › ESG Cyber Training Center Hacking-Grundlagen – Methoden und Schutzmaßnahmen im Überblick Thema Die Dimension und die Bandbreite von Hacking-Angriffen wachsen mit Fortschreiten der technologischen Entwicklungen und der zunehmenden Abhängigkeit von digitalen Informationen ständig. Mittlerweile können leistungsfähige Hacking-Tools auch von technisch weniger versierten Personen eingesetzt werden, in entsprechenden (illegalen) Foren kann jedermann „Hacking-Services“ in Anspruch nehmen. Das Umfeld, aus dem Hacker kommen, ihre Motivation sowie ihre Angriffsmittel und -methoden sind dabei sehr unterschiedlich. Genau diese Faktoren zu kennen ist jedoch von elementarer Bedeutung, um als Betroffener aus einem reinen Reagieren in ein Vorhersehen von Angriffsverhalten und gezieltes präventives Agieren übergehen zu können. Zielsetzung Zielgruppe Die Teilnehmer erhalten anhand von Live-Demonstrationen einen aktuellen Überblick, mit welchen Methoden und Mitteln – z. B. Exploits, SQL-Injection, Netzwerk­ sniffer, Session Hijacking, Passwortcracking – Angreifer in die IT-Umgebung einer Organisation eindringen, welche Schäden daraus entstehen und welche Schutzmaßnahmen getroffen werden können. Das Seminar richtet sich an CIOs, IT-Sicherheitsbeauftragte, IT- bzw. IuK-Verantwortliche, -Architekten und -Administratoren, CERT-Personal sowie Ermittler in Strafverfolgungsbehörden. Voraussetzungen Solide IT-Grundkenntnisse, unter anderem über gängige Netzwerktechnik sowie Betriebssystem- und Anwendungsarchitektur sollten vorhanden sein. Termine › 08.-09. Juni 2016, München/Fürstenfeldbruck (Kennziffer: IS-HAG-0216) › 02.-03. November 2016, Berlin (Kennziffer: IS-HAG-0316) Referent Preis Frank Timmermann ist wissenschaftlicher Mitarbeiter des Instituts für Internet-Sicherheit – if(is) von Professor Norbert Pohlmann an der Westfälischen Hochschule Gelsenkirchen. Er verfügt über jahrelange Erfahrung im Forschungsbereich hinsichtlich Hacking-Methoden und -Mitteln. In diesem Kontext ist Herr Timmermann bei if(is) auch für Hacking-Vorführungen im Rahmen von Awareness-Schulungen und öffentlichen Veranstaltungen verantwortlich. › 890,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. 25 › ESG Cyber Training Center Hacking Hands-on – Schutz von Netzwerken Thema Die Dimension und die Bandbreite von Hacking-Angriffen wachsen mit Fortschreiten der technologischen Entwicklungen und der zunehmenden Abhängigkeit von digitalen Informationen ständig. Mittlerweile können leistungsfähige Hacking-Tools auch von technisch weniger versierten Personen eingesetzt werden, in entsprechenden (illegalen) Foren kann jedermann „Hacking-Services“ in Anspruch nehmen. Das Umfeld, aus dem Hacker kommen, ihre Motivation sowie ihre Angriffsmittel und -methoden sind dabei sehr unterschiedlich. Genau diese Faktoren zu kennen ist jedoch von elementarer Bedeutung, um als Betroffener aus einem reinen Reagieren in ein Vorhersehen von Angriffsverhalten und gezieltes präventives Agieren übergehen zu können. Zielsetzung Zielgruppe Die Teilnehmer erhalten einen detaillierten und sehr technisch­ orientierten Überblick über aktuelle Methoden und Mittel für Angriffe auf Netzwerke. Unter Anleitung eines erfahrenen Trainers führen die Teilnehmer selbst Angriffe auf Netzwerke in einem abgeschotteten, realitätsnah nachgebildeten Firmennetzwerk aus und lernen entsprechende Schutzmaßnahmen kennen. Letzteres steht im Vordergrund, das Seminar dient nicht der Hacker-Schulung. Das Seminar richtet sich an IT-Administra­ toren, IT-/IT-Sicherheits-Verantwortliche, SOC/CERT-Personal, Ermittler in Strafverfolgungsbehörden und Auditoren. Voraussetzungen Gute Unix-Kenntnisse und fundiertes Netzwerkwissen (Ethernet, TCP/IP, gängige Anwendungsprotokolle). Termine › 05.-07. April 2016, Berlin (Kennziffer: IS-HAH-0116) › 28.-30. Juni 2016, München (Kennziffer: IS-HAH-0216) › 15.-17. November 2016, München (Kennziffer: IS-HAH-0316) › 29. November - 01. Dezember 2016, Berlin (Kennziffer: IS-HAH-0416) Referenten Raimund Specht, IT-Sicherheitsspezialist der genua mbh, führt seit vielen Jahren IT-Sicherheitstests bei internen und externen Projekten durch und gibt sein Wissen bei Live-Hacking-Demonstrationen, Gastvorlesungen und IT-Sicherheitsworkshops weiter. Hr. Specht ist Offensive Security Certified Professional und Wireless Professional. Preis Andreas Hempel, IT-Security Spezialist der genua mbH, beschäftigt sich seit vielen Jahren intensiv mit Fragen der IT-Sicherheit und Kryptographie. Er führt IT-Sicherheitstests bei internen und externen Projekten durch und gibt sein Wissen bei unseren Sicherheitsworkshops weiter. › 1.550,- Euro zzgl. MwSt. Seminar in Berlin › 1.450,- Euro zzgl. MwSt. Seminar in München Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Hinweis Bitte beachten Sie zu diesem Seminar die Veranstaltungshinweise im Internet unter www.cybertraining.esg.de. 26 › ESG Cyber Training Center Incident Detection & Response Thema Jegliche präventiven IT-Sicherheitskonzepte und -maßnahmen können nur bis zu einem bestimmten Grad einen wirksamen Schutz bieten: Angreifer entwickeln ihre Methoden und Mittel permanent weiter, Sicherheitstechnologien und organisatorische Schutzmaßnahmen hinken häufig hinterher. Somit wächst für Unternehmen und Behörden die Wahrscheinlichkeit, selbst Opfer eines Angriffs zu werden. In diese Situation kann es von existenzieller Bedeutung sein, entsprechende Anomalien frühzeitig Zielsetzung Zielgruppe zu erkennen und unmittelbar zu reagieren. In größeren Organisationen werden zur Wahrnehmung dieser Aufgaben Security Operations Center (SOC) und Computer Emergency Response Teams (CERT) etabliert. Das Seminar vermittelt die erforderlichen Grundlagen und Best Practices, um ein wirksames Incident Detection & Response-System in der eigenen Organisation zu etablieren. Insbesondere werden folgende Fragestellungen behandelt: Das Seminar richtet sich an Verantwortliche, die Incident Response Teams (CSIRTs, CERTs), und/oder Security Operations Center (SOC) aufbauen oder betreiben, CISOs, IT-Notfallmanager, Business Continuity Manager, IT-Leiter, IT-Sicherheitsverantwortliche. Das Seminar geht auf die wesentliche Prozesse, Methoden und Technologien ein, welche hier zum Einsatz kommen. Diese können auch von kleineren Organisationen angewandt werden, um ein entsprechendes Incident Detection & Response-System aufzubauen. › Wie kann man Sicherheitsvorfälle frühzeitig erkennen? Voraussetzungen › Nutzen und Grenzen von Technologien wie SIEM und IDS › Welche technischen und organisatorischen Maßnahmen sind im Vorfeld zu treffen? › Wie reagiert man im Ereignisfall schnell und effizient, welche Maßnahmen sind zu treffen? IT-Sicherheit-, IT-Organisation- und Netzwerk-Grundlagenkenntnisse Termine › 03. Mai 2016, Berlin (Kennziffer: IS-IRG-0216) › 27. September 2016, Frankfurt am Main (Kennziffer: IS-IRG-0316) Referent Preis Andreas Wagner ist Experte und IT-Sicherheitsberater für Security Operations Center (SOC) und Cyber Security Incident Response Teams (CSIRT) bei DATAKOM. Er verfügt über umfangreiche Erfahrungen aus mehr als 35 Jahren Tätigkeit in der IT-Branche. Seit 1995 fokussiert sich Herr Wagner auf IT-Sicherheit und insbesondere das Thema Incident Response. In vielen Unternehmen hat er die Infrastruktur für IT-Security sowie SOC- und CSIRT-Abteilungen kon- zipiert und optimiert. Internationale Erfahrung sammelte Herr Wagner in der Vergangenheit, als er 10 Jahre lang im Mittleren Osten tätig war und dort SOCs und CSIRTs von Telekommunikationsunternehmen und Regierungsstellen aufbaute und reorganisierte. Als Consultant für McAfee’s Foundstone Team wurde Herr Wagner zu zahlreichen Kriseneinsätzen in Europa und dem Mittleren Osten gerufen, um entsprechende Incident Response Teams zu leiten. › 490,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Weitere Seminare zum Thema Notfallmanagement › IT-Notfallplanung › IT-Notfall- und -Krisenübungen › IT-Risikomanagement › Zertifizierter IT-Notfallmanager 27 › ESG Cyber Training Center Industrial Control System Security – Grundlagen und Hands-on Thema In zunehmendem Maße werden industrielle Kontrollsysteme von hochspezialisierter Schadsoftware wie Stuxnet oder Havax RAT bedroht. Doch neben den steigenden Fällen von Malwareinfektionen zeigen sich auch immer mehr gezielte Angriffe und Spionageaktivitäten in Industrieanlagen und kritischen Infrastrukturen. Eine Achilles-Ferse besteht bei vielen Anlagen darin, dass Hard- und Software-Komponenten zum Teil vor langer Zeit und noch ohne die Berücksichtigung von IT-Sicherheitsstandards entwickelt worden Referent sind. Dabei kommen viele Komponenten nicht von der Stange, sondern sind individuell für sehr spezifische Zwecke konzipiert worden. Schwachstellen entstehen aber auch, wenn Personal aus dem Betriebs- und dem IT-Bereich die Technologien des Anderen aufgrund mangelnden Wissens nicht richtig einsetzen oder konfigurieren. Um diese Probleme in den Griff zu bekommen werden nach und nach gültige Standards überarbeitet und neue Regularien erlassen. Wie kann man diesen nun gerecht werden, welche Schutzmaßnahmen gibt es und wie können diese mit wirtschaftlich vertretbarem Aufwand realisiert werden? Zielsetzung Zielgruppe Den Seminarteilnehmern werden die notwendigen Grundlagen der ICS-Security vermittelt, um bestehende Anlagen bestmöglich abzusichern und neue Anlagen sicher zu entwerfen. Das Seminar richtet sich an ICS-/SCADA-Ingenieure, Betriebspersonal, Administratoren, Integratoren. Sie erfahren anhand von praktischen Beispielen, Live-Demonstrationen und anonymisierten Erfahrungsberichten, mit welchen Werkzeugen und Methoden Schadsoftware und Angreifer HMIs, Kon­ trollserver, SPSen und Netzwerkgeräte bedrohen und wie man sich dagegen schützen kann. In Hands-On-Übungen können die Teilnehmer den praktischen Umgang mit den Werkzeugen und Techniken erlernen. Voraussetzungen Grundkenntnisse zu Netzwerken sowie Windows- und Linux-Kenntnisse werden vorausgesetzt. Termine › 26.-28. April 2016, München/ Fürstenfeldbruck (Kennziffer: IS-ICH-0116) › 20.-22. September 2016, Frankfurt am Main (Kennziffer: IS-ICH-0216) Preis › 1.490,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Hinweis Andreas Seiler ist Bereichsleiter für sichere Produkte und Industriesicherheit bei der Forschungsgruppe für IT-Sicherheit und Digitale Forensik der Hochschule Augsburg (HSASec). Er verfügt über langjährige Erfahrung im Bereich Risikoanalysen und IT-Sicherheitstests von Produkten und Lösungen, vorwiegend im industriellen Umfeld. Die Teilnehmer haben die Möglichkeit, ihr eigenes Notebook in den Hands-on-Sessions zu nutzen, um somit auf vertrauter Desktopumgebung zu arbeiten. Eine aktuelle Version des kostenlosen VMWare Players muss bereits installiert sein (Download unter https://my.vmware.com/de/web/ vmware/free#desktop_end_user_computing/vmware_player/7_0). Sie erhalten im Seminar eine virtuelle Maschine mit jeweils vorinstallierten Werkzeugen und Test-Images. Alternativ werden für die Teilnehmer entsprechende Notebooks für die Dauer des Seminars bereitgestellt. Bitte geben Sie bei der Anmeldung im Feld „Anmerkung“ an, ob Sie ein eigenes Notebook mitbringen oder ob wir ein Notebook bereitstellen sollen. 28 › ESG Cyber Training Center Industrie 4.0 und IT-Sicherheit – Entscheidungsgrundlagen für Führungskräfte Thema Die Vernetzung von Industrieanlagen und -komponenten im Rahmen von Industrie 4.0 stellt für viele Unternehmen ein Muss dar, um die eigene Effizienz und Wettbewerbsfähigkeit zu steigern. Im Zuge dieses Trends entstehen aber auch gravierende Sicherheitsrisiken, die den Stillstand von Produktionsprozessen zur Folge haben können. Einer Studie des VDMA zufolge gehören Online-Angriffe über Office-/Enterprise-Netze sowie das Einschleusen von Schadcode auf Maschinen- und Anlagen zu den TOP5-Bedrohungen im Maschinenund Anlagenbau. Vor allem industrielle Kontrollsysteme (Industrial Control Systems – ICS) werden in zunehmendem Maße von hochspe- zialisierter Schadsoftware wie Stuxnet oder Havax RAT bedroht. Eine Schwachstelle besteht bei vielen Industrieanlagen darin, dass Hardware- und Software-Komponenten zum Teil vor langer Zeit und ohne Berücksichtigung von IT-Sicherheitsstandards entwickelt wurden. Erschwerend kommt hinzu, dass viele Komponenten nicht von der Stange kommen, sondern individuell für sehr spezifische Zwecke konzipiert wurden. Steigerung der Effizienz und der Wettbewerbsfähigkeit unter gleichzeitiger Wahrung der Unternehmenssicherheit und -werte – diese Herausforderung hat unternehmensstrategische Dimension, der sich Geschäftsführer und Führungskräfte stellen müssen. Referenten Zielsetzung Zielgruppe Was bedeutet Industrie 4.0 für die Sicherheit des Unternehmens? Welchen Cyber-Risiken sind Industrieanlagen ausgesetzt? Welche Maßnahmen können getroffen werden? Das Seminar richtet sich an Geschäftsführer, Führungskräfte und IT- sowie IT-Sicherheitsverantwortliche in der Produktions- und Prozessindustrie sowie in industrienahen kritischen Infrastrukturen. Das Seminar vermittelt in kompakter Form das für Geschäftsführer, Führungskräfte und IT-/IT-Sicherheitsverantwortliche essentielle Wissen, um derartige Fragen beantworten und strategische Entscheidungen für das eigene Unternehmen treffen zu können. Zu den Seminarinhalten gehören technische Grundbegriffe, Risiko­ identifikation und -bewertung, Sicherheitsstandards und -maßnahmen, Zertifizierungen, Compliance-Aspekte und die Anforderungen des IT-Sicherheitsgesetzes. Voraussetzungen IT-Grundkenntnisse werden vorausgesetzt. Termin › 05. April 2016, München/Fürstenfeldbruck (Kennziffer: IS-ICG-0116) › Weitere Termine in Planung Preis › 490,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Hinweis Prof. Dr. Gordon Thomas Rohrmair, Vizepräsident für Forschung und Entwicklung in der Hochschute Augsburg, lehrt seit 2009 an der Hochschule Augsburg sicherheitsorientierte Fächer wie Softwaretechnik, Datenkommunikation und IT-Sicherheit. Andreas Seiler ist Bereichsleiter für sichere Produkte und Industriesicherheit bei der Forschungsgruppe für IT-Sicherheit und Digitale Forensik der Hochschule Augsburg (HSASec). Das Seminar entspricht den „Empfehlungen für Fortbildungs- und Qualifizierungsmaßnahmen im ICS-Umfeld“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). 29 › ESG Cyber Training Center Informationssicherheitsmanagement nach ISO 27001 Thema Zielsetzung Hinweis Zielgruppe Die ISO 2700x-Familie umfasst eine Reihe internationaler Standards zur Informationssicherheit. Die ISO 27001 beschreibt dabei die Anforderungen zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) und ist – neben dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) – einer der gebräuchlichsten Standards in Deutschland. Viele Unternehmen lassen sich nach ISO 27001 zertifizieren, um somit ein international anerkanntes Sicherheitsniveau nachweisen zu können. Die Seminarteilnehmer werden anhand von praxisnahen Beispielen durch alle Schritte zum Aufbau eines Informationssicherheitsmanagements nach ISO 27001 bis hin zur Vorbereitung auf die Zertifizierung geführt. Sie werden somit befähigt, die ISO 27001 in der eigenen Organisation effizient umzusetzen bzw. die entsprechenden Aufwände abzuschätzen. Das Seminar ist ein Modul des Seminars „IT-Sicherheitsbeauftragter“. Bei zusätzlicher Belegung des zweiten Moduls „IT-Sicherheitstechnik und -methoden – Grundlagen für Informationssicherheitsverantwortliche“ erfüllen Sie die Voraussetzungen zur Teilnahme an der Zertifizierungsprüfung „IT-Sicherheitsbeauftragter“ des PersCert TÜV Rheinland. Das Seminar richtet sich an Informations­sicherheitsverantwortliche, IT-Sicherheitsbeauftragte, CIOs, CISOs, IT-Leiter und Datenschutzbeauftragte. Voraussetzungen Vorkenntnisse zur ISO 27001 sind nicht erforderlich. Termine › 18.-19. April 2016, München/ Fürstenfeldbruck (Kennziffer: IS-ISO-0116) › 19.-20. September 2016, Frankfurt am Main (Kennziffer: IS-ISO-0216) Preis › 790,- Euro zzgl. MwSt. Referent Björn Schmelter, Managing Consultant bei HiSolutions AG, berät Unternehmen und Behörden bei der Einführung von Informationssicherheits-, Business Continuity- sowie Compliance Management-Systemen. Er ist Certified Lead Auditor Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und ein Mittagessen am zweiten Seminartag. für Managementsysteme nach ISO 27001 und ISO 22301, Certified Information Systems Auditor (CISA), Enterprise Risk Manager (Univ.) und Mitautor des BSI-Standards 100-4 (Notfallmanagement). 30 › ESG Cyber Training Center Informationssicherheitsmanagement nach IT-Grundschutz des BSI unter Berücksichtigung des „Neuen IT-Grundschutzes nach BSI” Thema Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist in Deutschland neben der ISO 27001 ein maßgeblicher Standard zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Er beschreibt dazu sehr umfassend das entsprechende Vorgehen sowie die zu erfüllenden Anforderungen, um ein vorgegebenes Sicherheitsniveau zu erreichen. Referent Jörn Maier, Director Information Security Management bei HiSolutions AG ist seit 2001 in der Informationssicherheit tätig. Seine fachlichen Schwerpunkte liegen in der Durchführung von Zertifizierungsund Revisions-Audits, in der Etablierung von Risikomanagementsystemen sowie im Datenschutz. Im Behördenumfeld sowie für Unternehmen, welche als Auftragnehmer der öffentlichen Verwaltung tätig sind, ist die Anwendung des IT-Grundschutzes teilweise vorgeschrieben (siehe Leitlinie „Informationssicherheit für die öffentliche Verwaltung“ des IT-Planungsrates). „IT-Grundschutz NEU” Das Seminar geht ausdrücklich auf die wesentlichen Änderungen und Merkmale des neuen IT-Grundschutzes ein, soweit diese durch das BSI bereits bekanntgegeben wurden. Mittlerweile wird der IT-Grundschutz hinsichtlich vereinfachter Anwendung und Flexibilität überarbeitet, wobei die grundsätzliche Methodik bestehen bleiben wird. Das Seminar basiert deshalb auf der derzeitig gültige Version des IT-Grundschutzes, geht dabei aber bereits auf die vorgesehenen und durch das BSI veröffentlichten Neuerungen ein. Die Seminarteilnehmer können somit die Grundschutz-Methodik anwenden, kennen die Merkmale des neuen IT-Grundschutzes und benötigen bei Verabschiedung der neuen Version (möglicherweise Ende 2016) lediglich eine Einweisung in die finalen Details. Zielsetzung Zielgruppe Das Seminar vermittelt das erforderliche Know-how, um den IT-Grundschutz nach BSI in der eigenen Organisation effizient umzusetzen bzw. die damit verbundenen Anforderungen und Aufwände abzuschätzen. Das Seminar richtet sich an Informationssicherheitsverantwortliche, IT-Sicherheitsbeauftragte, CIOs, CISOs, IT-Leiter und Datenschutzbeauftragte. Die Teilnehmer werden anhand von praxisnahen Beispielen durch alle Schritte zum Aufbau eines Informationssicherheitsmanagements nach BSI-Grundschutz bis hin zur Vorbereitung auf die Zertifizierung geführt. Dabei werden die Unterschiede zum ISO 27001-Standard aufgezeigt. Vorkenntnisse zum BSI-Grundschutz sind nicht erforderlich. Hinweis Das Seminar ist ein Modul des Seminars „Behördlicher It-Sicherheitsbeauftragter“. Bei zusätzlicher Belegung des zweiten Moduls „IT-Sicherheitstechnik und -methoden – Grundlagen für Informationssicherheitsverantwortliche“ erfüllen Sie die Voraussetzungen zur Teilnahme an der Zertifizierungsprüfung „Behördlicher IT-Sicherheitsbeauftragter“ des PersCert TÜV Rheinland. Voraussetzungen Termine › 18.-19. April 2016, München/Fürstenfeldbruck (Kennziffer: IS-BSI-0116) › 19.-20. September 2016, Frankfurt am Main (Kennziffer: IS-BSI-0216) Preis › 790,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und ein Mittagessen am zweiten Seminartag. 31 › ESG Cyber Training Center IPv6 – Grundlagen und Praxis Thema Die von den meisten Rechnern im Internet benutzte Internet Protocol Version 4 bietet einen Adressraum von 2 32 IP-Adressen. Inzwischen ist dieser IP-Adressraum längst aufgebraucht. Bereits heute herrscht in den momentanen IP-Wachstumsmärkten in Asien eine drastische Adressenknappheit. Die Umstellung der weltweiten IP-Netze auf den neuen Standard IPv6 ist folglich in vollem Gange und betrifft alle Netzanbieter und -nutzer – auch den Endanwender. Mittlerweile erfordern Applikationen auch Referent Mathias Hein ist Geschäftsführer des Beratungsunternehmens IKT-Consulting LG GmbH. Als Schwerpunkt seiner Tätigkeit begleitet er Unternehmen und Behörden bei der Einführung von bzw. der Migration auf IPv6. die Aktivierung von IPv6. Während einer Übergangszeit werden beide Protokolle (IPv4 und IPv6) parallel verwendet werden. Mit Hilfe von Translation- und Tunneling-Mechanismen können die Daten übersetzt bzw. die Daten des einen Protokolls so transportiert werden, dass diese von dem anderen Protokoll verstanden werden. Allerdings kann es dabei zu gewissen Leistungseinbußen kommen. Eine Umstellung ist aber letztlich unvermeidlich, da das alte Netz nur mehr zeitlich begrenzt betrieben wird. Zielsetzung Zielgruppe Die Teilnehmer erhalten einen umfassenden Überblick über die Anforderungen einer Migration vom IPv4- auf das IPv6-Protokoll, über die neuen Sicherheitsrisiken sowie die unterschiedlichen Ansätze und Methoden zum Übergang zwischen den Protokollwelten. Sie erfahren praxisorientiert Das Seminar richtet sich an IuK-/IT-/ IT-Sicherheits-Verantwortliche, IT-Architekten, Netzplaner, IT-Leiter, IT-Administratoren, IT-Sicherheitsbeauftragte, CIOs, CISOs. › wie die IPv6-Protokolle funktionieren, › welche Aufgaben die einzelnen Teilprotokolle haben und wie sie sinnvoll genutzt werden, › welche Auswirkungen die Änderungen gegenüber IPv4 in der Praxis haben, › welche Aspekte beim Design von IPv6- Netzen zu beachten sind, › aus welchen Schritten eine effiziente Migrationsstrategie besteht, › welche Sicherheitsprobleme beim Einsatz entstehen können und wie diese adressiert werden und › welche Auswirkung Dual-Stack-Implementierungen und Tunnel-Technologien auf die Netzwerksicherheit haben können. Voraussetzungen Fortgeschrittene IT-Kenntnisse und Netzwerkerfahrung werden vorausgesetzt. Termine › 26.-27. April 2016, Frankfurt am Main (Kennziffer: IT-IPV-0116) › 07.-08. September 2016, Hannover (Kennziffer: IT-IPV-0216) Preis › 850,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Die Teilnehmer werden befähigt, komplexe IPv6-Netze zu planen und dabei die Sicherheitsaspekte von IPv6 zu berücksichtigen. 32 › ESG Cyber Training Center IT-Compliance Manager mit TÜV Rheinland geprüfter Qualifikation Thema Aufgabe der IT-Compliance ist die Einhaltung aller für den Bereich der IT-Landschaft relevanten gesetzlichen, unternehmensinternen und vertraglichen Regelungen. Die Anzahl und die Komplexität der IT-Compliance- und Sicherheitsanforderungen sowie der Kontrollund Reporting-Auflagen seitens Wirtschaftsprüfung, Finanzbehörden oder Aufsichtsrat steigen kontinuierlich an und verstärken das Risiko potenzieller Regelverstöße. Um die Einhaltung der Vorgaben sicherzustellen, sind ein gezieltes IT-Compliance-Management und ein geregelter IT-Compliance-Prozess notwendig. Dabei kann eine effiziente IT-Compliance-Umsetzung mit mehreren Vorteilen verbunden sein: Die Qualität von IT-Prozessen kann z. B. durch bessere Transparenz erhöht werden, IT-Compliance-Maßnahmen tragen häufig zur Informa­ tionssicherheit bei und letztlich stellt IT-Compliance einen Faktor zur Bewertung des Unternehmenswertes dar. Zielsetzung Zielgruppe Die Teilnehmer erhalten einen umfassenden Überblick über die für die IT-Compliance relevanten rechtlichen Vorgaben, Standards und Normen und werden befähigt Das Seminar richtet sich an Mitglieder der Geschäftsleitung, Führungskräfte und Verantwortliche aus den Bereichen Compliance, IT, Informationssicherheit, Risikomanagement, IT-Management, -Controlling und -Revision. › Compliance-Anforderungen an die IT zu bewerten und praktisch umzusetzen, › ein IT-Compliance-Managementsystem für das eigene Unternehmen zu konzeptionieren, einzuführen und zu betreiben, › IT-Compliance in die Corporate Compliance und das Risikomanagement des Unternehmens einzubinden. Zertifikat Referent Michael Redey ist Senior Consultant für die Themen Informa­ tionssicherheit, Internal Audits, Revision und Datenschutz bei der Loomans & Matz AG. Herr Redey kann langjährige Berufserfahrung als Referent der IT-Revision, Leiter der Innenrevision, interner Auditor und IT-Revisor bei Finanzinstituten, Ver- Nach erfolgreicher Prüfung durch die unabhängige Personenzertifizierungsstelle PersCert TÜV von TÜV Rheinland erhalten die Teilnehmer das Zertifikat „IT-Compliance Manager mit TÜV Rheinland-geprüfter Qualifikation”. sicherungen, Rechenzentren und der Dienstleistungswirtschaft nachweisen. Für mittelständische Unternehmen ist er als externer Datenschutzbeauftragter tätig. Herr Redey verfügt über umfangreiche Erfahrungen in der Durchführung von Seminaren, u. a. als Referent für IT-Sicherheit an der Sparkassen-Akademie. Voraussetzungen Grundkenntnisse bezüglich IT und ITSicher­heit werden vorausgesetzt. Termine › 23.-25. Mai 2016, Frankfurt am Main (Kennziffer: IT-ZCM-0216) › 16.-18. November 2016, München/Fürstenfeldbruck (Kennziffer: IT-ZCM-0316) Preis › 1.450,- Euro zzgl. MwSt. › Zzgl. TÜV-Prüfungsgebühr: 350,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. 33 › ESG Cyber Training Center IT-Forensik-Grundlagen Teil 1: Datenträger Thema Die Fälle von Computer- und Internetkriminalität nehmen weiterhin zu. 40 % aller Unternehmen in Deutschland waren Umfragen zufolge in 2014 betroffen. Dabei sind es nicht nur externe Hacker, welche Schäden verursachen, sondern auch bestehende oder ehemalige Mitarbeiter. Besteht der Verdacht einer kriminellen Handlung, dann kommt es auf ein methodisches und sorg- Zielsetzung Zielgruppe fältiges Vorgehen an: IT-Forensik bedeutet, den „digitalen Tatort“ abzusichern, so dass keine Spuren verwischt werden, und diese dann gerichtsverwertbar sicherzustellen und zu verwerten. Das Seminar bietet eine Einführung in die IT-Forensik (z. B. technische Begriffe, rechtliche Aspekte, Organisation, Vorgehensweisen) und vermittelt das folgende Grundlagenwissen: Das Seminar richtet sich an IT-Leiter, IT-Administratoren, IT-Sicherheitsbeauftragte, Notfallmanager, Revisoren, CERT-Personal, Ermittler im polizeilichen Bereich und IT-Dienstleister. Dabei trägt die IT-Forensik nicht nur zur Schadenaufklärung und Identifikation des Täters bei, sondern unterstützt in der Ermittlung und Beseitigung von Schwachstellen in einer Organisation. › Erkennen von Vorfällen auf der Datenträgerebene und der relevante Komponenten, › Vorgehensweise zur gerichtsverwertbaren Spurensicherung, › Analyse der verschiedenen Datenträgerarten, wie z. B. Festplatten, Smartphones und Server, Referenten › Gebräuchliche Werkzeuge der IT-Forensik zur Sicherung und Analyse von Daten auf Datenträgern. Hakan Özbek ist Director im Bereich Forensic Technology bei Deloitte in Deutschland. Herr Özbek verfügt über 17 Jahre Berufspraxis in den Bereichen IT-Revision, IT-Sicherheit und IT-Forensik. Seine Tätigkeitsschwerpunkte sind die Bekämpfung und Aufklärung von Wirtschafts- und Computerkriminalität im nationalen und internationalen Umfeld. Sven Bursch-Osewold ist Manager im Bereich Forensic Technology bei Deloitte in Deutschland. Als Diplom-Informatiker verfügt er über 7 Jahre Erfahrung in den Bereichen IT-Forensik, Datenbanken, forensische Datenanalysen und Softwareentwicklung. Seine aktuellen Tätigkeitsschwerpunkte sind computerforensische Analysen unter Einsatz spezieller forensischer Methoden und Technologien. Im Seminar werden Erfahrungsberichte aus der Ermittlungspraxis gegeben und die praktischen Anwendungen der IT-forensischen Methoden und Werkzeuge anschaulich live mit anonymisierten Falldaten demonstriert. Voraussetzungen Gute IT-Grundkenntnisse sind vorausgesetzt. Termine › 13.-15. Juni 2016, München/Fürstenfeldbruck (Kennziffer: IS-FG1-0216) › 14.-16. November 2016, Berlin (Kennziffer: IS-FG1-0316) Preis › 1.570 Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Hinweis Die Teilnahme an IT-Forensik-Grundlagen Teil 1 und Teil 2 bieten wir zum Gesamtpreis von 1.980,- Euro zzgl. MwSt. an. Ergänzend dazu stellt das Seminar „IT-Forensik-Grundlagen Teil 2: Netzwerke“ das Grundwissen zur Netzwerk-Forensik bereit. Es findet direkt im Anschluss statt. 34 › ESG Cyber Training Center IT-Forensik-Grundlagen Teil 2: Netzwerke Thema Die Fälle von Computer- und Internetkriminalität nehmen weiterhin zu. 40 % aller Unternehmen in Deutschland waren Umfragen zufolge in 2014 betroffen. Dabei sind es nicht nur externe Hacker, welche Schäden verursachen, sondern auch bestehende oder ehemalige Mitarbeiter. Besteht der Verdacht einer kriminellen Handlung, dann kommt es auf ein methodisches und sorg- Zielsetzung Zielgruppe fältiges Vorgehen an: IT-Forensik bedeutet, den „digitalen Tatort“ abzusichern, so dass keine Spuren verwischt werden, und diese dann gerichtsverwertbar sicherzustellen und zu verwerten. Ergänzend zum IT-Forensik-Grundlagen-Seminar Teil 1, dessen Fokus auf Datenträgern liegt, vermittelt dieses Seminar das folgende Grundwissen zur Netzwerk-Forensik: Das Seminar richtet sich an IT-Leiter, IT-Administratoren, IT-Sicherheitsbeauftragte, Notfallmanager, Revisoren, CERT-Personal, Ermittler im polizeilichen Bereich und IT-Dienstleister. Dabei trägt die IT-Forensik nicht nur zur Schadenaufklärung und Identifikation des Täters bei, sondern unterstützt in der Ermittlung und Beseitigung von Schwachstellen in einer Organisation. › Erkennen von Vorfällen auf der Netzwerkebene und der relevante Netzwerkkomponenten, › Vorgehensweise zur gerichtsverwertbaren Spurensicherung, › Analyse von Log-Dateien und des Netzwerkverkehrs, Referent › Gebräuchliche Werkzeuge der IT-Forensik zur Sicherung, Protokollierung und Auswertung auf Netzwerkebene. Anhand von Live-Demonstrationen werden Methoden und Mittel nachvollziehbar erläutert. Peter Schulik ist Bereichsleiter für IT-Forensik an der Hochschule Augsburg, Forschungsgruppe IT Security und Forensik (HSASec). Er verfügt über langjährige Erfahrungen in den Bereichen IT-Sicherheit und IT-Forensik. Seine Tätigkeitsschwerpunkte sind forensische Analysen von Unternehmensnetzwerken und Systemen. Voraussetzungen Gute IT-Grundkenntnisse sind vorausgesetzt. Eine Teilnahme am Seminar „IT-Forensik-Grundlagen Teil 1: Datenträger“ ist nicht Voraussetzung, der Teil 2 behandelt die einführenden Aspekte des Teils 1 in knapper Form. Termine › 03. März 2016, Frankfurt am Main (Kennziffer: IS-FG2-0116) › 16. Juni 2016, München/Fürstenfeldbruck (Kennziffer: IS-FG2-0216) › 17. November 2016, Berlin (Kennziffer: IS-FG2-0316) Preis › 520,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Hinweis Die Teilnahme an IT-Forensik-Grundlagen Teil 1 und Teil 2 bieten wir zum Gesamtpreis von 1.980,- Euro zzgl. MwSt. an. 35 › ESG Cyber Training Center IT-Forensik Hands-on Thema Die Fälle von Computer- und Internetkriminalität nehmen weiterhin zu. 40 % aller Unternehmen in Deutschland waren Umfragen zufolge in 2014 betroffen. Dabei sind es nicht nur externe Hacker, welche Schäden verursachen, sondern auch bestehende oder ehemalige Mitarbeiter. Besteht der Verdacht einer kriminellen Handlung, dann kommt es auf ein methodisches und sorg- fältiges Vorgehen an: IT-Forensik bedeutet, den „digitalen Tatort“ abzusichern, so dass keine Spuren verwischt werden, und diese dann gerichtsverwertbar sicherzustellen und zu verwerten. Dabei trägt die IT-Forensik nicht nur zur Schadenaufklärung und Identifikation des Täters bei, sondern unterstützt in der Ermittlung und Beseitigung von Schwachstellen in einer Organisation. Zielsetzung Zielgruppe Im Seminar wird die praktische Anwendung von Methoden, Techniken und Werkzeugen der IT-Forensik vermittelt. Die Teilnehmer werden befähigt, forensische Vorgehensweisen in ihrer Organisation zu etablieren und sammeln dazu unter Anleitung erfahrener Trainer Hands-on-Erfahrungen zu den folgenden Themen: Das Seminar richtet sich an Computer Security Incident Response Teams (CSIRT), Security Operations Center (SOC) -Personal, Forensik-Analysten, IT-Administratoren, IT-Notfallmanager sowie Ermittler im polizeilichen Bereich. › Erkennen von Anomalien und Vorfällen auf der Datenträger­ ebene und im Netzwerkverkehr, › Sicherung, Analyse und Wiederherstellung von persistenten Daten auf Datenträgern, › Sicherung und Analyse von flüchtigen Daten im Arbeits­ speicher, Referent › Analyse von Log-Dateien und des Netzwerkverkehrs. Hinweis Peter Schulik ist Bereichsleiter für IT-Forensik an der Hochschule Augsburg, Forschungsgruppe IT Security und Forensik (HSASec). Er verfügt über langjährige Erfahrungen in den Bereichen IT-Sicherheit und IT-Forensik. Seine Tätigkeitsschwerpunkte sind forensische Analysen von Unternehmensnetzwerken und Systemen. Die Teilnehmer haben die Möglichkeit, ihr eigenes Notebook in den Hands-on-Sessions zu nutzen, um somit auf vertrauter Desktopumgebung zu arbeiten. Eine aktuelle Version des kostenlosen VMWare Players muss bereits installiert sein (Download unter: https://my.vmware.com/de/web/vmware/free#desktop_end_user_computing/ vmware_player/7_0). Sie erhalten im Seminar eine virtuelle Maschine mit jeweils vorinstallierten Werkzeugen und Test-Images. Alternativ werden für die Teilnehmer entsprechende Notebooks für die Dauer des Seminars bereitgestellt. Bitte geben Sie bei der Anmeldung im Feld „Anmerkung“ an, ob Sie ein eigenes Notebook mitbringen oder ob wir ein Notebook bereitstellen sollen. Voraussetzungen Solide IT-Kenntnisse, insbesondere Netzwerk- und Linux Shell-Anwenderkenntnisse, werden ebenso wie theoretische Grundkenntnisse zur IT-Forensik (z. B. aus dem CTC-Seminar „IT-Forensik-­ Grundlagen“) vorausgesetzt. Termine › 12.-14. April 2016, Berlin (Kennziffer: IS-FOH-0116) › 13.-15. September 2016, München/Fürstenfeldbruck (Kennziffer: IS-FOH-0216) › 13.-15. Dezember 2016, Berlin (Kennziffer: IS-FOH-0316) Preis › 1.550.- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­lagen, Pausengetränke und Mittagessen. 36 › ESG Cyber Training Center IT-Grundlagen für Datenschutzverantwortliche Thema Datenschutzbeauftragten fällt die Aufgabe zu, Verfahren der automatisierten Datenverarbeitung hinsichtlich der Einhaltung von Datenschutzvorgaben zu bewerten und die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen. Vor allem sind sie gefordert, technische und organisatorische Schutz- Referent Christoph Wittmann, Consultant bei der Firma PERSICON berät Unternehmen und Behörden in Bezug auf die Konzeption von Informationssicherheitsmanagementsystemen und die Umsetzung entsprechender technischer und organisatorischer Maßnahmen. Herr Wittmann ist TÜV-geprüfter Daten- und IT-Sicherheitsbeauftragter, COBIT Practitioner (ISACA) und studierte Wirtschaftsinformatik mit dem Schwerpunkt Verwaltungsinformatik. maßnahmen vorzuschlagen und deren Umsetzung zu kontrollieren. Um diesen Aufgaben und dem Nachweis der notwendigen Fachkunde im Sinne des § 4f BDSG nachzukommen, muss der Datenschutzbeauftragte neben juristischen und betrieblich-organisatorischen Kenntnissen auch über ein ausreichendes IT-Wissen verfügen. Zielsetzung Zielgruppe Datenschutzverantwortliche erlernen im Seminar die erforderlichen IT-Grundlagen, um Das Seminar richtet sich an Datenschutzbeauftragte, -sachbearbeiter und -koordinatoren. › Risiken für den Datenschutz im Bereich der IT-basierten Datenverarbeitung erkennen zu können, › geeignete technische und organisatorische Schutzmaßnahmen in Zusammenarbeit mit IT-Abteilung und IT-Sicherheitsbeauftragten zu initiieren, › die Umsetzung von Datenschutzkonzepten zu kontrollieren. Das Seminar bietet dazu einen Überblick über IT-Infrastrukturen, insbesondere Netzwerke und Applikationen sowie entsprechende Schutzmaßnahmen, wie z. B. Firewalls und Verschlüsselungsverfahren. Voraussetzungen PC-Anwender-Kenntnisse werden vorausgesetzt. Termine › 02. Juni 2016, Berlin (Kennziffer: DS-ITG-0216) › 22. September 2016, Frankfurt am Main (Kennziffer: DS-ITG-0316) Preis › 450,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Das Seminar stellt eine Fortbildungsveranstaltung gemäß § 4f Abs. 3 des BDSG bzw. entsprechender Abschnitt im jeweiligen LDSG dar. 37 › ESG Cyber Training Center IT-Notfall- und -Krisenübungen Thema Es ist eine Frage der Zeit, bis jede Organisation – ob Unternehmen, Behörde oder sonstige Institu­ tion – von einem IT-Ausfall und/ oder einem Datenverlust unmittelbar bedroht oder betroffen ist. Die Bandbreite an Störungs- und Angriffsmöglichkeiten ist einfach zu groß, als dass für jede Eventualität entsprechende Schutzmaßnahmen vorgesehen werden könnten. Im akuten IT-Notfall und in der Krise kommt es auf das schnelle, zielgerichtete und koordinierte Handeln aller Beteiligten an, um Schäden zu minimieren und den Normalbetrieb zügig wiederherzustellen. Referent Deshalb ist die Vorbereitung auf den Ereignisfall ein wesentlicher Bestandteil eines guten Informa­ tionssicherheitsmanagements. Vorbereitung heißt vor allen Dingen: › ein IT-Notfall- und Krisenmanagement mit definierten Verantwortlichkeiten, Ressourcen und Prozessen zu etablieren, › mögliche Gefährdungen und deren Konsequenzen zu erfassen, › ein Incident Detection & Response Framework aufzubauen, um Störungen und Angriffe frühzeitig zu erkennen und unmittelbar zu reagieren sowie › das theoretisch Vorbereitete in der Praxis zu testen und zu trainieren. Dieses Seminar fokussiert sich auf den letzten Punkt, die Durchführung von Übungen. Zielsetzung Zielgruppe Die Seminarteilnehmer erfahren, wie man anhand von Übungen Das Seminar richtet sich an IT-Sicherheitsbeauftragte, CISOs, IT- und IT-Sicherheitsverantwortliche, Notfall-/Krisenmanager und Business-Continuity-Manager. › das Zusammenspiel aller Akteure und Prozesse im IT-Notfall bzw. Krisenfall trainieren und › Notfallpläne und -maßnahmen testen und optimieren kann. Sie erhalten das notwendige Grund­ wissen, um individuelle IT-Notfall- und Krisenübungen für ein Unternehmen oder eine Behörde zu planen, durchzuführen und auszuwerten. Dazu werden gebräuchliche Methoden und Mittel vorgestellt, welche die Teilnehmer in Workshops selbst anwenden. Das Seminar geht dabei auf alle wesentlichen Übungsarten (technischer Test, Planbesprechung, Stabs-/Stabsrahmenübung, Kommunikations-/Alarmierungsübung, Ernstfall- oder Vollübung, etc.) und deren Charakteristika und Einsatzbereiche ein. Voraussetzungen Grundwissen zur Informationssicherheit wird vorausgesetzt. Termine › 23. Juni 2016, Frankfurt am Main (Kennziffer: IS-NRU-0216) › 01. Dezember 2016, München/Fürstenfeldbruck (Kennziffer: IS-NRU-0316) Preis › 490,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Weitere Seminare zum Thema Notfallmanagement › Incident Detection & Response Stefan Riegel, Managing Consultant bei HiSolutions AG berät Behörden und Unternehmen bei der Einführung und Optimierung von IT-Risiko-, Notfall- und Krisenmanagementprozessen. Er hat langjährige Erfahrungen im Aufbau von Übungs- und Testprogrammen für Notfall- und Krisenmanagement. Herr Riegel ist Mitautor des Umsetzungsrahmenwerkes zum BSI-Standard 100-4 (Notfallmanagement) und Certified ISO 22301 Lead Auditor. › IT-Notfallplanung › IT-Risikomanagement › Zertifizierter IT-Notfallmanager 38 › ESG Cyber Training Center IT-Notfallplanung Thema Es ist eine Frage der Zeit, bis jede Organisation – ob Unternehmen, Behörde oder sonstige Institu­ tion – von einem IT-Ausfall und/ oder einem Datenverlust unmittelbar bedroht oder betroffen ist. Die Bandbreite an Störungs- und Angriffsmöglichkeiten ist einfach zu groß, als dass für jede Eventualität entsprechende Schutzmaßnahmen vorgesehen werden könnten. Im akuten IT-Notfall und in der Krise kommt es auf das schnelle, zielgerichtete und koordinierte Handeln aller Beteiligten an, um Schäden zu minimieren und den Normalbetrieb zügig wiederherzustellen. Referent Stephan Kurth ist Senior Consultant für Business Continuity Management, Krisenmanagement, IT-Notfall- und IT-Risikomanagement bei HiSolutions AG. Er ist Certified ISO 22301 Lead Auditor und Mitautor des Umsetzungsrahmenwerks zum Standard BSI 1004 (Notfallmanagement). Deshalb ist die Vorbereitung auf den Ereignisfall ein wesentlicher Bestandteil eines guten Informa­ tionssicherheitsmanagements. Vorbereitung heißt vor allen Dingen: › ein IT-Notfall- und Krisenmanagement mit definierten Verantwortlichkeiten, Ressourcen und Prozessen zu etablieren, › mögliche Gefährdungen und deren Konsequenzen zu erfassen, › IT-Notfallpläne zu erstellen, welche die durchzuführenden Handlungsanweisungen für den jeweiligen Ereignisfall beschreiben, › ein Incident Detection & Response Framework aufzubauen, um Störungen und Angriffe frühzeitig zu erkennen und unmittelbar zu reagieren sowie › das theoretisch Vorbereitete in der Praxis zu testen und zu trainieren. Dieses Seminar fokussiert sich auf die Erstellung von IT-Notfallplänen und die Einbeziehung der IT-Aspekte in das Gesamt-Notfallvorsorgekonzept einer Organisation. Zielsetzung Zielgruppe Die Seminarteilnehmer erfahren, welche Anforderungen IT-Notfallpläne erfüllen sollten, damit eine Organisation bestmöglich auf den IT-Notfall vorbereitet ist. Das Seminar richtet sich an IT-Sicher­ heitsbeauftragte, CISOs, IT- und IT-Sicherheitsverantwortliche, Notfall-/ Krisenmanager und Business-Continuity-­ Manager. Sie erhalten das notwendige Grund­ wissen zur Voraussetzungen › Erstellung, Beurteilung und Umsetzung von IT-Notfallplänen in Abstimmung mit anderen Fachbereichen › Erarbeitung der IT-Sicherheits-spezifischen Anteile für das Gesamt-Notfallvorsorgekonzept einer Organisation Dazu werden gebräuchliche Methoden und Mittel vorgestellt, welche die Teilnehmer in Workshops selbst anwenden. Grundwissen zur Informationssicherheit wird vorausgesetzt. Termine › 22. Juni 2016, Frankfurt am Main (Kennziffer: IS-NRP-0216) › 30. November 2016, München/Fürstenfeldbruck (Kennziffer: IS-NRP-0316) Preis › 490,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Weitere Seminare zum Thema Notfallmanagement › Incident Detection & Response › IT-Notfall- und -Krisenübungen › IT-Risikomanagement › Zertifizierter IT-Notfallmanager 39 › ESG Cyber Training Center IT-Risikomanagement Thema Die eigenen IT-Risiken kennen und sich entsprechend absichern ist eine Pflichtdisziplin für alle Institutionen mit hoher IT-Abhängigkeit. Unter „Risiko“ versteht man das Produkt aus der Eintrittswahrscheinlichkeit eines Ereignisses und dem entsprechenden Schadensausmaß. Im IT-Bereich nimmt die Bandbreite an Ereignissen, welche zur Störung, zum Ausfall und zum Datenverlust Referent Björn Schmelter, Managing Consultant bei HiSolutions AG, berät Unternehmen und Behörden bei der Einführung von Informationssicherheits-, Business Continuity- sowie Compliance Management-Systemen. Er ist Certified Lead Auditor für Managementsysteme nach ISO 27001 und ISO 22301, Certified Information Systems Auditor (CISA), Enterprise Risk Manager (Univ.) und Mitautor des BSI-Standards 100-4 (Notfallmanagement). Zielsetzung Zielgruppe führen können, kontinuierlich zu. Die Ursache liegt vor allem in der steigenden Komplexität von Software, Hardware und Infrastrukturen sowie dem Einfallsreichtum von Hackern. Die Seminarteilnehmer erfahren, wie man eine Strategie zur Minderung von IT-Risiken entwickelt und dabei eine Balance zwischen Sicherheit und Wirtschaftlichkeit findet. Das Seminar richtet sich an IT-Sicher­ heitsbeauftragte, CISOs, IT-/IT-Sicherheitsverantwortliche, Business-Continuity-Manager, Notfall-/Risikomanager, Verantwortliche aus den Bereichen Compliance, Controlling und Revision. Ebenso können hier die möglichen Konsequenzen derartiger Ereignisse existenzbedrohenden Charakter annehmen, zumal die meisten kritischen Geschäftsprozesse in Unternehmen, Behörden und sonstigen Institutionen von einer funktionierenden IT abhängig sind. Wie hoch dieser Abhängigkeitsgrad ist wird vielen Verantwortlichen erst bewusst, nachdem eine umfassende Risikobestandsaufnahme durchgeführt wurde. In vielen Fällen können Maßnahmen zur Risikominderung gefunden werden. Wo Restrisiken in Kauf genommen werden müssen, können zumindest gezielt Notfallvorbereitende Maßnahmen getroffen werden. Sie erhalten das notwendige Grundwissen, um Voraussetzungen › Gefährdungen im Rahmen einer Risikoanalyse zu ermitteln, › risikomindernde Maßnahmen zu definieren und umzusetzen, › Kosten-Nutzen-Analysen durchzuführen, › Restrisiken abzuschätzen, › die Wirksamkeit von Maßnahmen zu prüfen. Dazu werden gebräuchliche Standards, Methoden und Mittel vorgestellt, welche die Teilnehmer in Workshops selbst anwenden. Grundwissen zur Informationssicherheit wird vorausgesetzt. Termine › 20.-21. Juni 2016, Frankfurt am Main (Kennziffer: IS-NRR-0216) › 28.-29. November 2016, München/Fürstenfeldbruck (Kennziffer: IS-NRR-0316) Preis › 790,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Weitere Seminare zum Thema Notfallmanagement › Incident Detection & Response › IT-Notfall- und -Krisenübungen › IT-Notfallplanung › Zertifizierter IT-Notfallmanager 40 › ESG Cyber Training Center IT-SiBe-Update – Aktuelles für Informationssicherheitsverantwortliche Thema Zielsetzung Was heute im Informationssicherheitsbereich noch aktuellen Bestand hat, kann in kurzer Zeit bereits überholt sein: Informationsund Kommunikationstechnologien unterliegen einem permanenten Weiterentwicklungsprozess und in analoger Weise verändern sich sowohl Bedrohungsspektrum als auch die entsprechenden Sicherheitsstandards und -technologien. Das Seminar stellt in kompakter Form wesentliche Neuerungen und Trends der Informationssicherheit dar und beleuchtet aktuelle Problem- und Fragestellungen. Sich hier auf dem aktuellen Stand zu halten stellt für Informationssicherheitsverantwortliche in Anbetracht knapper Zeit und Mittel naturgemäß eine Herausforderung dar. Referent Folgende Themenfelder werden insbesondere adressiert: › Standards in der Informationssicherheit: Aktuelles zur ISO 27000er Familie, Neuerungen im IT-Grundschutz des BSI › Informationssicherheitsmanagement: Policies, Kennzahlen, Tools (IDS, SIEM, …) › Rechtsgrundlagen: IT-Sicherheitsgesetz und EU-Datenschutzverordnung Zielgruppe › Aktuelle Angriffe auf Unternehmen und Lessons Learned › Grenzen der Verschlüsselung › Malware: Aktuelle Entwicklungen und Schutztechniken jenseits signaturbasierter AV-Software › Cloud-Computing: Accountund Security-Management, Verschlüsselung in der Cloud › IT-Sicherheit in der Produktion Die Teilnehmer erhalten dabei die Möglichkeit, mit Experten und Gleichgesinnten zu diskutieren und aktuelle Best Practices in anderen Organisationen kennenzulernen. Das Seminar richtet sich an IT-Sicherheitsbeauftragte, CIOs, CISOs, IT-Leiter, Auditoren und Datenschutzbeauftragte. Voraussetzungen Grundlagen der Informationssicherheit sollten bekannt sein (d. h. die in der Inhaltsbeschreibung verwendeten Begriffe sind vertraut). Termine › 15. März 2016, Hannover (Kennziffer: IS-IUP-0116) › 14. Juni 2016, München/Fürstenfeldbruck (Kennziffer: IS-IUP-0216) › Oktober 2016, Nürnberg Termin im Rahmen der it‑sa 2016 geplant › 06. Dezember 2016, Berlin (Kennziffer: IS-IUP-0316) Preis Jörn Maier, Director Information Security Management bei HiSolutions AG ist seit 2001 in der Informationssicherheit tätig. Seine fachlichen Schwerpunkte liegen in der Durchführung von Zertifizierungsund Revisions-Audits, in der Etablierung von Risikomanagementsystemen sowie im Datenschutz. › 450,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. 41 › ESG Cyber Training Center IT-Sicherheit in der Fahrzeugkommunikation Thema Neue Funktionalitäten in Kraftfahrzeugen werden zunehmend durch die Vernetzung von Steuergeräten untereinander sowie durch die Vernetzung des Fahrzeugs mit Backend-Systemen und mit weiteren externen Kommunikationspartnern (Vehicle-to-X / V2X) erreicht. Infolge dessen ergeben sich Angriffsmöglichkeiten durch Dritte, welche zum einen den unbefugten Zugriff auf Daten und somit auf die Pri- vatsphäre des Fahrers zur Konsequenz haben können (Privacy). Zum anderen besteht insbesondere die Möglichkeit der Manipulation von Daten bzw. der Beeinflussung von Fahrzeugfunktionen (Security), was zu einer Gefährdung des Fahrers und anderer Verkehrsteilnehmer führen kann (Safety). Insofern sollten IT-Sicherheits­aspekte in der Fahrzeugentwicklung von Beginn an berücksichtigt werden. Zielgruppe Das Seminar vermittelt die Grundlagen zur IT-Sicherheit in der Fahrzeugkommunikation. Das Seminar richtet sich an Projektleiter und Entwickler in der Fahrzeug- oder Steuergeräteentwicklung bei Automobilherstellern und Automobilzulieferern. Es behandelt IT-Sicherheitsschwachstellen und Angriffsmöglichkeiten in Bezug auf › fahrzeuginterne Kommunikation auf Bussystemen sowie › fahrzeugexterne Kommunikation (Vehicle to X) zu anderen Fahrzeugen und zur Infrastruktur / zu Backend-Systemen. In der Folge werden Risiken für die Privatsphäre der Fahrzeugnutzer, für den Produktschutz und die Verkehrs­sicherheit aufgezeigt und entsprechende Schutzmaßnahmen erläutert. Referenten Alexander Kiening, Dipl.-Inf. ist wissenschaftlicher Mitarbeiter am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) und seit 2010 auf dem Gebiet der Automotive Security tätig. Dabei ist er in zahlreichen Projekten mit Automobilherstellern und -zulieferern, Forschungsprojekten und der Standardisierung aktiv. Schwerpunkt seiner Tätigkeit sind automobile Bussysteme und Sicherheit von Steuergeräten. Zielsetzung Voraussetzungen Grundkenntnisse Fahrzeug- und Steuergerätearchitektur werden vorausgesetzt. Termin › 13. Mai 2016, München/Fürstenfeldbruck (Kennziffer: IS-ASK-0116) › Weitere Termine in Planung Preis › 520,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Daniel Angermeier, Dipl.-Inf. ist seit 2011 als wissenschaftlicher Mitarbeiter am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) tätig. Er verfügt über umfangreiche Erfahrungen aus zahlreichen Forschungsprojekten und Projekten für Automobilhersteller und -zulieferer. Zu seinen Tätigkeitsschwerpunkten gehören Risikoanalysen, Schutz­k onzepte und Entwicklungsprozesse im Auto­motive-Umfeld. 42 › ESG Cyber Training Center IT-Sicherheit in FPGA-basierten Embedded Systems Thema FPGAs (Field Programmable Gate Array) – programmierbare Logikbauelemente – eignen sich für Aufgaben mit speziellen Performance-Anforderungen in eingebetteten Systemen, zum Beispiel in der Signalverarbeitung oder für kryptographische Operationen. Insbesondere für Industriesteuerungen und Kommunikationstechnologien sowie in den Bereichen Verteidigung und Automotive finden sich FPGA-Anwendungsfelder. FPGAs zeichnen sich durch hohe Rechenleistung, Flexibilität und Multifunktionalität aus. Durch eine kürzere Entwicklungszeit (time to market) besitzen FPGAs zudem Vorteile gegenüber ASICs (Application Specific Integrated Circuit). Zugleich ergeben sich aber auch spezielle Herausforderungen, wenn IT Security-Anforderungen an Systeme gestellt werden, in welchen FPGAs eingesetzt werden. Zielsetzung Zielgruppe Das Seminar vermittelt die Grundlagen der FPGA-Sicherheit in eingebetteten Systemen und geht auf folgende Aspekte ein: Das Seminar richtet sich an Entwickler, Architekten und Fachexperten in Entwicklungsprojekten im Embedded-Systems-Bereich. › FPGA-spezifische Angriffs­ möglichkeiten Voraussetzungen › FPGA-Schutzmaßnahmen und -Sicherheitskonzepte › Angewandte Kryptographie in FPGAs › Marktüberblick FPGA-Produkte und deren Vor- und Nachteile › Produktauswahl in Abhängigkeit der ausgewählten Schutzziele Ziel ist die Befähigung der Teilnehmer, das gewonnene Wissen konkret für eigene Projekte umsetzen zu können. Referent Dr.-Ing. Johann Heyszl leitet die Abteilung Hardware-Sicherheit am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC. Die Analyse und Konzeption von Sicherheitslösungen für eingebettete System und die Implementierungssicherheit von kryptographischen Grundkenntnisse im Hardware-Design sind empfohlen. Termin › 09. Juni 2016, München/Fürstenfeldbruck (Kennziffer: IS-IFE-0116) Preis › 520,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Algorithmen sind Forschungsschwerpunkte der Abteilung. Zuvor promovierte Johann Heyszl an der Technischen Universität München auf dem Gebiet der Seitenkanalanalysen kryptographischer Implementierungen. 43 › ESG Cyber Training Center IT-Sicherheitsbeauftragter mit TÜV Rheinland geprüfter Qualifikation Thema Zielsetzung Zertifikat Zielgruppe Die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen sind wesentliche Voraussetzungen für das Funktionieren von Prozessen in Unternehmen und Behörden. Die Teilnehmer erhalten in dem Seminar das erforderliche Know-how, um im Anschluss die Aufgaben eines IT-Sicherheitsbeauftragten zielgerichtet ausführen zu können. Im ersten Teil des Seminars werden die Teilnehmer anhand von praxisnahen Beispielen durch alle Schritte des Aufbaus eines Informationssicherheitsmanagements nach ISO 27001:2103 geführt. Weitere Standards, wie z. B. der IT-Grundschutz nach BSI, werden dabei ebenfalls angesprochen. Nach erfolgreicher Prüfung durch die unabhängige Personenzertifizierungsstelle Pers-Cert TÜV von TÜV Rheinland erhalten die Teilnehmer das Zertifikat „IT-Sicherheitsbeauftragter mit TÜV Rheinland geprüfter Qualifikation” (siehe auch Certipedia). Das Seminar richtet sich an Dem IT-Sicherheitsbeauftragten kommt die Aufgabe zu, entsprechende IT-Sicherheitskonzepte zu erarbeiten und deren Umsetzung zu koordinieren. Er berichtet an die Unternehmens- und Behördenleitung, berät diese in allen Fragen der Informationssicherheit und wirkt maßgeblich an der Erstellung von Leitlinien mit. In seinen Verantwortungsbereich fallen schließlich auch die Untersuchung von IT-Sicherheitsvorfällen, Sensibilisierungs- und Schulungsmaßnahmen für die Mitarbeiter und die Koordination des IT-Notfallmanagements. Im zweiten Teil werden die technischen Grundlagen vermittelt und Themen wie z. B. Netzwerksicherheit, Kryptographie und physische IT-Sicherheit behandelt. Zusätzlich haben die Teilnehmer die Möglichkeit, mit dem Prüfzeichensignet für ihre Tätigkeit/Qualifikation zu den unter www.tuv.com/perscert dargestellten Bedingungen gegen Entgelt zu werben. › Angehende IT-Sicherheitsbeauftragte in Unternehmen, Behörden und entsprechende Dienstleistungsunternehmen als Vorbereitung auf die Tätigkeit › Aktive IT-Sicherheitsbeauftragte als Weiterbildungsmaßnahme in Verbindung mit einer Personenzertifizierung Voraussetzungen Vorkenntnisse zum Thema IT-Sicherheit sind nicht erforderlich. Termine › 18.-22. April 2016, München/ Fürstenfeldbruck (Kennziffer: IS-ZIU-0116) › 19.-23. September 2016, Frankfurt am Main (Kennziffer: IS-ZIU-0216) Preis Referenten Björn Schmelter, Managing Consultant bei HiSolutions AG und Certified Lead Auditor nach ISO 27001, berät Unternehmen und Behörden bei der Einführung von Informationssicherheits-, Business Continuity- sowie Compliance Management-Systemen. › 1.850.- Euro zzgl. MwSt. Mike Seidel, Dipl.-Informatiker ist Senior Consultant bei ML Consulting mit Schwerpunkt Informationssicherheit. › Zzgl. TÜV-Prüfungsgebühr: 250,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Ralf Wildvang ist Senior IT-Security Consultant bei ML Consulting und seit 1989 im IT/IT-Security-Bereich tätig. 44 › ESG Cyber Training Center IT-Sicherheitsgesetz – Anforderungen und Umsetzung Thema Das Gesetz zur Erhöhung der Sicherheit informationstechnischer System, kurz IT-Sicherheitsgesetz, welches am 25. Juli 2015 in Kraft trat, verlangt von Kritischen Infrastrukturen (KRITIS) die Einhaltung von IT-Sicherheits-Mindeststandards sowie die regelmäßige Prüfung der Einhaltung und beinhaltet eine Meldepflicht bei IT-Sicherheitsvorfällen. Im Falle von Verstößen sind entsprechende Bußgelder vorgesehen. Unter den Begriff KRITIS fallen Einrichtungen, die für das Gemein- wesen von zentraler Bedeutung sind, wie Energie- und Wasserversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheitswesen, Ernährung und Finanz- und Versicherungswesen. Offen war bislang noch, welche Einrichtungen konkret unter die KRITIS-Einordnung fallen. Mittlerweile wurde der „Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ veröffentlicht, nach der rund 700 Anlagen betroffen sind. Zielsetzung Zielgruppe Das eintägige Seminar vermittelt die Inhalte des IT-Sicherheitsgesetzes und der entsprechenden BSI-KRITIS-Verordnung sowie die Anforderungen, welche an KRITIS-Betreiber gestellt werden. Dazu gehören neben den technischen und organisatorischen Anforderungen auch die rechtlichen Rahmenbedingungen, einschließlich der besonders wichtigen Fragen im Umgang mit Sicherheitspannen. Darüber hinaus werden die Möglichkeiten der Umsetzung dargestellt. Das Seminar richtet sich an Fach- und Führungskräfte aus den Bereichen IT, IT-Sicherheit, Risikomanagement, Compliance, Recht, internes Audit, CIOs, CISOs, IT-Sicherheitsbeauftragte. Das Seminar hat mit max. 10 Teilnehmern Workshop-Charakter, so dass auf individuelle Fragestellungen eingegangen wird und Problemstellungen diskutiert werden können. Referenten Termin › 01. Juni 2016 München/Fürstenfeldbruck (Kennziffer: IS-ITA-0116) Preis › 650,- zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Das Seminar geht dabei auch auf die BSI-Orientierungshilfe „Branchenspezifische Sicherheitsstandards“ ein. Dr. Alexander Duisberg ist Partner bei Bird & Bird in München und verantwortet den Bereich Software und Services der internationalen Tech & Comms Gruppe um Bird & Bird. Er gilt als einer der führenden Rechtsexperten im Bereich Informationstechnologien. Dr. Jörg Schneider ist IT-Sicherheitsberater bei der HiSolutions AG. Als Penetrationstester prüft er präventiv Anwendungen und Systeme auf Schwachstellen und als Forensiker untersucht er reaktiv Sicherheitsvorfälle bis hin zu komplexen APT-Angriffen. 45 › ESG Cyber Training Center IT-Sicherheitstechnik & -methoden – Grundlagen für Informationssicherheitsverantwortliche Thema Ein effizienter Schutz von wertvollen Informationen, personenbezogenen Daten und kritischen IT-basierten Prozessen innerhalb einer Institution hängt von einer Reihe von Faktoren ab: Neben organisatorischen Maßnahmen, wie z. B. Sicherheitsleitlinien und Sensibilisierungen der Mitarbeiter, sind technische Sicherheitsmaßnahmen ein wesentlicher Baustein. Der Markt bietet als Antwort auf das vielfältige Bedrohungsszenarium eine breite Palette von Technologien und Lösungen an. Eine Art Standardpaket, welches den Bedürfnissen in jeder Organisation gerecht wird, gibt es nicht. Je nach Risikopotenzial, verfügbarer Budgets, angestrebtem Sicherheitsniveau und sonstiger spezifischer Rahmenbedingungen müssen die Verantwortlichen die geeigneten technischen Mittel individuell auswählen und aufeinander abstimmen. Referenten Mike Seidel, Dipl.-Informatiker ist Senior Consultant bei ML Consulting mit Schwerpunkt Informationssicherheit. Er berät Unternehmen und Behörden in Fragen der technischen IT-Sicherheit sowie im Aufbau von Informationssicherheitssystemen nach BSI-Grundschutz und ISO 27001. Herr Seidel verfügt über langjährige Erfahrungen in der Durchführung von Schulungen für IT-Sicherheitspersonal. Ralf Wildvang ist Senior Consultant bei ML Consulting und seit 1989 im IT-Bereich tätig. Seit 2007 fokussiert er sich auf das Thema Informationssicherheit. Hier berät Herr Wildvang Unternehmen und Behörden in Fragen der technischen IT-Sicherheit und begleitet diese bei der Vorbereitung und Implementierung von IT-Sicherheitskonzepten nach BSI-Grundschutz und ISO 27001. Ralf Wildvang verfügt über langjährige Trainier-Erfahrungen und führt regelmäßig Hacking-Veranstaltungen durch. Zielsetzung Zielgruppe Das Seminar vermittelt das technische Grundlagenwissen zum Thema IT-Sicherheit und geht dabei auf aktuelle Sicherheitstechnologien und -methoden ein. Das Seminar richtet sich an Informationssicherheitsverantwortliche, IT-Sicherheitsbeauftragte, CIOs, CISOs, IT-Leiter und Datenschutzbeauftragte. Die Teilnehmer sollen befähigt werden, die technischen bzw. technisch-organisatorischen Maßnahmen zu bewerten und festzulegen, welche für die eigene Organisation zur Gewährleistung der erforderlichen Informationssicherheit anzuwenden sind. Das Seminar eignet sich auch für Datenschutzbeauftragte, welche sich etwas detailliertere technische Kenntnisse zur Bestimmung, Umsetzung und Bewertung von Datenschutzmaßnahmen aneignen wollen. Hinweis Bei zusätzlicher Belegung des zweiten Moduls, welches das Thema Informationssicherheitsmanagement nach ISO 27001 bzw. nach BSI-Grundschutz behandelt, erfüllen Sie die Voraussetzungen zur Teilnahme an der Zertifizierungsprüfung „IT-Sicherheitsbeauftragter“ bzw. „Behördlicher IT-Sicherheitsbeauftragter“ des PersCert TÜV Rheinland. Voraussetzungen IT-Grundkenntnisse werden vorausgesetzt. Termine › 20.-21. April 2016, München/ Fürstenfeldbruck (Kennziffer: IS-ITG-0116) › 21.-22. September 2016, Frankfurt am Main (Kennziffer: IS-ITG-0216) Preis › 790,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Hinweis Im Rahmen des Seminars ist die Besichtigung eines Rechenzentrums vorgesehen. 46 › ESG Cyber Training Center Mobile Device Security Thema Mobilität ist einer der wesentlichen gesellschaftlichen Trends, welcher sowohl den privaten wie auch geschäftlichen Alltag extrem beeinflussen und kennzeichnen. Der Forderung nach Kommunika­ tion und Informationszugang immer und überall tragen mobile Endgeräte Rechnung. Mit deren Weiterentwicklung und zunehmenden Einsatz steigt gleichzeitig der Umfang an sensitiven Informationen, welche auf Smartphone, Tablet, und Co. zu finden sind. Referent Somit ist es nicht verwunderlich, dass mobile Endgeräte mittlerweile ein beliebtes Angriffsobjekt für Kriminelle darstellen – vor allem in Anbetracht des häufig schwach ausgeprägten Risikobewusstseins der Anwender und unzureichender Schutzmaßnahmen. Zielsetzung Zielgruppe Das Seminar vermittelt anhand praktischer Beispiele und Demonstrationen das erforderliche Wissen, um mobile Endgeräte in Organisationen sicher einsetzen zu können: Das Seminar richtet sich an IT-Sicherheitsbeauftragte, IT-Leiter, IT-Administratoren, IuK-Verantwortliche, IT-Dienstleister, Ermittler in Strafverfolgungsbehörden. › Angriffsmöglichkeiten und Risiken für mobile Endgeräte › Organisatorische und technische Schutzmöglichkeiten › Verwaltung mobiler Endgeräte in Organisationen (Mobile Device Management) › Sicherheitsaspekte von „Bring Your Own Device“ (BYOD) Voraussetzungen IT-Grundlagenwissen wird vorausgesetzt. Termine › 18.-20. April 2016, München/Fürstenfeldbruck (Kennziffer: IS-MOB-0116) › 27.-29. Juni 2016, Berlin (Kennziffer: IS-MOB-0216) › 07.-09. November 2016, Frankfur am Main (Kennziffer: IS-MOB-0316) Preis › 1.190,- Euro zzgl. MwSt. Thomas Pusch ist Senior Consultant bei ML Consulting Schulung, Service & Support GmbH und seit 1993 im IT-Bereich tätig, seit 2005 mit dem Schwerpunkt technische Informationssicherheit. Er berät Unternehmen und Behörden in den Themen mobile Sicherheit, heterogene Netzwerke sowie Verschlüsselung und PKI-Strukturen und führt entsprechende Penetration-Tests für Kunden durch. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. 47 › ESG Cyber Training Center Multisensordatenfusion: Grundlagen und Anwendungen Thema Zielsetzung Taktisch-operationelle Erfordernisse und moderne Kommunikationstechnik führen zu einer immer engeren Vernetzung von Überwachungssensoren und in Datenbanken abgelegtem Kontextwissen. Entscheidungsträgern steht dadurch auf allen Führungsebenen eine bislang nicht bekannte Fülle von Einzeldaten zur Verfügung. Um dieses Informationspotential nutzbar zu machen, darf die realzeitnah einströmende Datenflut die handelnden Menschen jedoch nicht überfordern. Die Datenströme sind vielmehr ebenengerecht und anwendungsbezogen zu hochwertiger Information zu fusionieren. Das Seminar bietet einen umfassenden Überblick über das Themengebiet Datenfusion aus multiplen Sensorquellen und ihre Anwendungen z. B. im Luftfahrt-, Automotive- und Robotikbereich. Die Datenfusion besitzt großes technisches Innovationspotential und eine Schlüsselstellung für alle künftigen Überwachungs- und ISR-Systeme (Intelligence, Surveillance, Reconnaissance). Dabei behandelt das Seminar Sensormodellierung, Sensordatenverarbeitung, moderne Tracking-Verfahren, Architektur von Multisensorsystemen, Einsatzbereiche, statistische und kombinatorische Verfahren sowie die Verarbeitung unscharfen Wissens. Zielgruppe Zudem vermittelt es Entscheidungsträgern grundlegende Informationen zur Beurteilung von Multisensordatenfusionssystemen. Das Seminar richtet sich an Ingenieure, Informatiker und Naturwissenschaftler aus Industrie, Behörden, Streitkräften und Forschungseinrichtungen. *) Die Carl-Cranz-Gesellschaft als eigenverantwortlicher Veranstalter ist vom Finanzamt Fürstenfeldbruck wegen Förderung der Wissenschaft und der Bildung von den Ertragsteuern freigestellt. Die Entgelte, die die Gesellschaft für ihre Lehrveranstaltungen erhält, sind gemäß §4 Nr. 22a UStG von der Umsatzsteuer befreit. Voraussetzungen Die Vermittlung methodisch-algorithmischer Grundlagen und ihre Veranschaulichung durch Beispiele und Demonstrationen aus unterschiedlichen Anwendungen stehen dabei im Mittelpunkt. Das Seminar bietet Systemingenieuren eine umfassende Einführung bzw. ein Update auf den neuesten Stand der Multisensordatenfusion. Mitglieder der CCG erhalten 10  % Rabatt. Bei Anmeldung mehrerer Mitarbeiter einer Firma/Dienststelle zum gleichen Seminar erhält jeder Teilnehmer 10  %. Studentenrabatte sind auf Nachfrage verfügbar. Die Rabatte sind nicht miteinander kombinierbar. Fraunhofer IOSB, Ettlingen R. Gabler; S. Kuny Atlas Elektronik GmbH, Bremen E. Ruthotto Airbus Defence and Space, Friedrichshafen Dr. W. Konle FusionSystems GmbH, Chemnitz Dr. U. Scheunert Termin › 19. – 21. April 2016 Wachtberg-Werthoven (Kennziffer: IT-MDF-C116) Hinweis Das Seminar wird von und bei unserem Kooperationspartner Carl-Cranz-Gesellschaft e.V. (CCG) in dessen Seminarräumen eigenverantwortlich durchgeführt. Bei Anmeldung erhalten Sie die Bestätigung und alle weiteren Informationen von CCG. Mit Ihrer Anmeldung willigen Sie ein, dass Ihre Anmeldedaten an CCG weitergegeben werden. Referenten Fraunhofer FKIE, Wachtberg-­ Werthoven Priv.- Doz. Dr. W. Koch; Dr.-Ing. M. Brötje; Dr. J. Koller; M. Mertens; M. Schikora; G. Schüller; T. Röhling; Dr. M. Ulmke Grundkenntnisse im Bereich Sensorik und Informationsverarbeitung sind hilfreich. Preis › 1.580,- Euro (umsatzsteuerfrei*) Airbus Defence and Space, Ulm Dr. F. Opitz; Dr. M. Wiedmann 48 › ESG Cyber Training Center Penetrationstests – Planung, Beauftragung, Durchführung Thema Ob eine Organisation wirklich über geeignete Schutzmaßnahmen und ein ausreichendes IT-Sicherheitsniveau verfügt kann letztendlich nur anhand realistischer und umfassender Prüfungen erkannt werden. Im Rahmen von Penetrationstests werden dazu die technischen und organisatorischen Sicherheitsvorkehrungen auf den Prüfstand gestellt. Um objektive und aussagekräftige Ergebnisse zu erhalten, welche die Ableitung gezielter Optimierungsmaßnahmen erlauben, bietet sich zur Durchführung der Tests die Beauftragung externer Speziallisten an. Dazu ist es erforderlich, eine Leistungsbeschreibung zu erstellen und den zur Durchführung geeigneten Dienstleister zu identifizieren. Zielsetzung Zielgruppe Das Seminar befähigt die Teilnehmer, Penetrationstests zu planen und durchführen zu lassen, welche auf die Rahmenbedingungen und Bedürfnisse der eigenen Organisation abgestimmt sind. Dazu wird auf die unterschiedlichen Arten von Penetrationstests sowie Best Practices zur Auswahl geeigneter Dienstleister eingegangen. Das Seminar richtet sich an mit der Planung, Beauftragung und Durchführung von Penetrationstests betraute Personen, insbesondere IT-Sicherheitsbeauftragte, IT-Leiter, IT-Revisoren. Voraussetzungen IT- und IT-Sicherheitsgrundkenntnisse werden vorausgesetzt. Termine › 12. Mai 2016, München/Fürstenfeldbruck (Kennziffer: IS-PEN-0116) Referent › 10. November 2016, Frankfurt am Main (Kennziffer: IS-PEN-0216) Preis Tobias Glemser, Geschäftsführer der secuvera GmbH, ist BSI-zertifizierter Penetrationstester und Certified Ethical Hacker. Er ist Mitglied des OWASP German Chapter Boards, Initiator und hauptverantwortlich für die Erstellung des OWASP-Whitepapers „Projektierung der Sicherheitsprüfung von Webanwendungen“ und am Übersetzungsprojekt OWASP Top 10 beteiligt. Herr Glemser ist Autor mehrerer Fachartikel in den Fachmagazinen c’t, iX, IT-Fokus und IT-Security und Referent bei Seminaren und Kongressen (z. B. OWASP Day Germany, IT-Security, it-sa). Er hat diverse Security Advisories für selbst gefundene Schwachstellen, z. B. in Web-Anwendungen und VoIP-Endgeräten veröffentlicht. Darüber hinaus ist Herr Glemser BSI-geprüfter Evaluator und berechtigt, Evaluierungen für Zertifizierungen im Rahmen der Common Criteria Compliance durchzuführen. › 490,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. 49 › ESG Cyber Training Center Real Time Cloud – Software Defined Network Thema Zielsetzung Netzbetreiber stehen vor der großen Heraus­forderung, immer größere Datenmengen für immer mehr Applikationen und Geräte zuverlässig, sicher und flexibel möglichst überall hin und zu möglichst geringen Kosten zu übertragen. Neue technologische Entwicklungen wie Network Functions Virtualization (NFV) und Software Defined Networks ermöglichen dabei den Aufbau einfacherer Netze mit übersichtlicheren Netztopologien und die schnellere Einführung neuer Dienste. Das Seminar bietet einen Überblick und einen orientierenden Einstieg in das Themengebiet. Dazu wird eine Übersicht über wesentliche Anforderungen an moderne Kommunikationsnetze auf Basis aktueller Studien und bekannter Dienste, wie z. B. WhatsUp und DropBox, durchgeführt. In der Folge wird vertiefend auf Netzarchitekturen für Breitbandnetze mit Glasfaser und Mobilfunktechnologie eingegangen. Des Weiteren werden Grundlagen und wesentliche Entwicklungen zum Cloud Computing, also im Netz verteilter Intelligenz zur Erbringung von Diensten, auf Basis von Software-Defined Networks (SDN) und IP Multimedia Subsystem (IMS) behandelt. Zielgruppe *) Die Carl-Cranz-Gesellschaft als eigenverantwortlicher Veranstalter ist vom Finanzamt Fürstenfeldbruck wegen Förderung der Wissenschaft und der Bildung von den Ertragsteuern freigestellt. Die Entgelte, die die Gesellschaft für ihre Lehrveranstaltungen erhält, sind gemäß §4 Nr. 22a UStG von der Umsatzsteuer befreit. Das Seminar richtet sich an Fachleute aus Industrie, Behörden und Streitkräften sowie Ingenieure und Wissenschaftler aus Forschung und Entwicklung, die sich über Grundlagen und spezifische Aspekte moderner Kommunikationsnetze informieren möchten. Mitglieder der CCG erhalten 10 % Rabatt. Bei Anmeldung mehrerer Mitarbeiter einer Firma/Dienststelle zum gleichen Seminar erhält jeder Teilnehmer 10 %. Studentenrabatte sind auf Nachfrage verfügbar. Die Rabatte sind nicht miteinander kombinierbar. Vorkenntnisse sind nicht erforderlich. Voraussetzungen Termin › 10.-11. Mai 2016, München/Oberpfaffenhofen (Kennziffer: IT-CSN-C116) Hinweis Das Seminar wird von und bei unserem Kooperationspartner Carl-Cranz-Gesellschaft e.V. (CCG) in dessen Seminarräumen eigenverantwortlich durchgeführt. Bei Anmeldung erhalten Sie die Bestätigung und alle weiteren Informationen von CCG. Mit Ihrer Anmeldung willigen Sie ein, dass Ihre Anmeldedaten an CCG weitergegeben werden. Preis › 1.075,- Euro (umsatzsteuerfrei*) Referent Wolfgang Kluge, Dipl.-Ing., Ericsson, Backnang 50 › ESG Cyber Training Center Rechtskonforme Cloud-Anwendung Thema Der Einsatz von Cloud-Lösungen ist das im Datenschutzbereich wohl meist diskutierte Thema, da zahlreiche spezifische datenschutzrechtliche Problemstellungen aufgeworfen werden. So können vermeintlich anonymisierte Daten in der Cloud reidentifizierbar werden, wenn verschiedene Beteiligte über entsprechendes Zusatzwissen verfügen. Auch die Fernadministration der Cloud-Server eröffnet Fragen bezüglich datenschutzrechtlicher Zulässigkeit. Insbesondere muss auch der örtliche Verbleib der Daten klar definiert Referent Klaus Foitzick, Volljurist und Vorstand der activeMind AG, ist sowohl IT-Spezialist als auch Auditor nach BSI-Grundschutz und ISO 27001. Seit 2006 ist er für das BSI und den TÜV als Auditor tätig. Umfangreiche Praxiserfahrungen bringt Herr Foitzick auch als Geschäftsführer und IT-Sicherheitsbeauftragter eines größeren Rechenzentrums mit. werden, da bei einer grenzüberschreitenden Datenverarbeitung deren Zulässigkeit vorab sichergestellt sein muss. Die Verantwortung für den Schutz personenbezogener Daten bleibt generell beim Auftraggeber von Cloud-Services. Deshalb sollte vor einer Beauftragung überprüft werden, ob der jeweilige Serviceanbieter die Einhaltung der Datenschutzvorschriften gewährleisten kann. Der Auftraggeber sollte zudem darauf achten, dass bei der Vertragsausgestaltung alle datenschutzrechtlich relevanten Auflagen berücksichtigt werden. Diese Aspekte stehen beispielhaft für die Komplexität datenschutzrechtlicher Fragestellungen in der Cloud, welche möglichst vor der Entscheidung für eine Cloud-Lösung zu berücksichtigen sind. Zielsetzung Zielgruppe Das Seminar gibt einen umfassenden Überblick zum Thema Cloud aus datenschutzrechtlicher Perspektive und beantwortet dabei vor allem folgende Fragen: Das Seminar richtet sich an Datenschutzbeauftragte, Datenschutz- und Compliance-Verantwortliche. › Welche datenschutzrechtlichen Problemfelder gibt es, wie kann man diese adressieren? Grundlagen-Wissen zum Thema Datenschutz wird vorausgesetzt. › Welche Arten von Services und Anbietern gibt es, wie geht man bei der Auswahl vor? Voraussetzungen Termine › 09. März 2016, Düsseldorf (Kennziffer: DS-CLO-0116) › Wie gestaltet man Verträge mit Cloud-Anbietern? › 15. Juni 2016, Berlin (Kennziffer: DS-CLO-0216) › Wie überprüft man beauftragte Anbieter auf Einhaltung der Datenschutzbestimmungen? › 05. Oktober 2016, München (Kennziffer: DS-CLO-0316) Das Seminar stellt eine Fortbildungsveranstaltung gemäß § 4f Abs. 3 des BDSG bzw. entsprechender Abschnitt im jeweiligen LDSG dar. Preis › 450,- Euro zzgl. MwSt. Seminar in Düsseldorf / Berlin › 430,- Euro zzgl. MwSt. Seminar in München Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. 51 › ESG Cyber Training Center Secure Software Engineering im automobilen Entwicklungsprozess Thema Connected Car, drahtlose Schnittstellen, autonomes Fahren – die IT nimmt im Fahrzeug einen immer größer werdenden Stellenwert ein und der Softwareanteil in der Fahrzeugentwicklung steigt zunehmend. Sicherheitslücken in der Software können daher Angreifern nicht nur den unberechtigten Zugriff auf personenbezogene Daten eröffnen (Privacy), sondern auch unmittelbare Auswirkungen auf die Funktionssicherheit von Fahrzeugen (Safety) Referenten oder weitere Sicherheitsziele des Unternehmens wie den Schutz von Geschäftsgeheimnissen haben. Um ein adäquates Niveau der Angriffs­ sicherheit (Security) für softwarebasierte Systeme im Fahrzeug zu erhalten, ist ein konsequent auf Angriffssicherheit angelegtes Vorgehen im Entwicklungsprozess erforderlich. Von der Risikoanalyse zur Identifikation und Bewertung von Sicherheitsanforderungen über die Auswahl geeigneter Schutzkonzepte bis zu ihrer Umsetzung, Verifikation und Validierung reichen dabei die Aktivitäten, die durch geeignete Methoden und Werkzeuge unterlegt werden müssen. Zielsetzung Zielgruppe Das Seminar vermittelt anhand praktischer Beispiele das grundlegende Know-how des Security Engineering für softwarebasierte Systeme im Fahrzeug: Das Seminar richtet sich insbesondere an Software-Entwickler und -Architekten, Fachexperten und technische (Projekt-) Leiter in Entwicklungsprojekten im Automotive-Bereich. › Identifikation von Angriffs­ möglichkeiten auto­ mobiler Anwendungen › Analyse entsprechender Datenschutz- und Sicherheitsrisiken › Ableitung und Umsetzung von Anforderungen der Angriffssicherheit bei Design und Implementierung › Testen der Angriffssicherheit von Software Voraussetzungen Grundkenntnisse der Softwaretechnik (Software Engineering) werden vorausgesetzt. Termin › 10.-11. Mai 2016, München/Fürstenfeldbruck (Kennziffer: IS-ASE-0116) Preis › 950,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Dr. Jörn Eichler leitet die Abteilung Secure Software Engineering am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC). Er verfügt über langjährige Erfahrungen bei der Konstruktion und Analyse sicherer Softwaresysteme. Sein Schwerpunkt ist die Optimierung von Entwicklungsprozessen für sichere Softwaresysteme sowie die Anwendung entsprechender Praktiken in Entwicklungsprojekten. Clemens Teichmann ist wissenschaftlicher Mitarbeiter in der Abteilung Secure Software Engineering am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC). Sein Schwerpunkt ist die domänenspezifische Modellierung von Risikoanalysen und Sicherheitsbewertungen sowie die Anwendung in Entwicklungsprojekten. 52 › ESG Cyber Training Center Social Media Analytics im Umfeld der öffentlichen Sicherheit Thema Soziale Netzwerke wie Facebook, Twitter & Co. sind zu einem der bedeutendsten Kommunikationsphänomene des digitalen Zeitalters avanciert. In rasantem Tempo erobert sich das Social Web seinen Platz im täglichen Leben von immer mehr Menschen weltweit. Was einst als Zeitvertreib für Teenager in den westlichen Ländern begann, wurde schnell von den verschiedensten Gruppen auf der ganzen Welt mit Begeisterung angenommen und etabliert. Nach aktuellen Umfragen sind mittlerweile über 40 Millionen Deutsche Mitglied in sozialen Netzwerken. Facebook alleine hat laut Unternehmensinformationen mehr als 30 Millionen Nutzer in Deutschland und 1,44 Milliarden Mitglieder weltweit. Zielsetzung Zielgruppe Unternehmen haben die Bedeutung von Social Media für die Kommunikation, die Kundenbindung und den schnellen und fast unbeschränkten Informationsaustausch von Texten, Bildern und Videos bereits erkannt und nutzen die Möglichkeiten der Social Media-Analyse erfolgreich im Rahmen ihrer Geschäftsentwicklung. Durch die Auswertung von Social Media-Informationen ist allerdings auch die Erkennung von potenziellen kritischen Lageentwicklungen im Umfeld der öffentlichen Sicherheit und Ordnung denkbar. Eine Einbeziehung derartiger Erkenntnisse kann somit die frühzeitige Reaktion verantwortlicher Behörden unterstützen, um kritische Sicherheitssituationen abzuwenden oder schneller kontrollieren zu können. Das Seminar zeigt Anwendungsmöglichkeiten von Social Media Analytics im Umfeld der öffentlichen Sicherheit auf und vermittelt dazu: Das Seminar richtet sich an Führungskräfte in Behörden, insbesondere in Behörden und Organisationen mit Sicherheitsaufgaben (BOS) sowie Bundeswehr. Frederick King ist Senior Consultant bei der PwC und spezialisiert auf Digitalisierungsthemen und Unter­nehmenssteuerung. Herr Koß und Herr King sind Autoren der PwC-Studie „Digital Controlling“, welche die Auswirkungen der Digitalisierung auf die Unternehmenssteuerung und das Controlling in Deutschland analysiert. › Grundlagenkenntnisse im Bereich Social Media › Methoden der Social Media-­ Datenanalyse › Marktgängige Tools und Geschäfts­modelle › Rechtliche Vorgaben › Best Practice-Beispiele aus der Wirtschaft › Mögliche Use Cases im Bereich Krisenfrüherkennung, Cyber Crime und Cyber Defense Voraussetzungen Es ist kein Vorwissen zum Thema erforderlich. Termin › 05. Juli 2016, München/Fürstenfeldbruck (Kennziffer: CY-SMA-0116) Preis › 490,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Referenten Ronald Koß ist Senior Manager und Business Unit-Leiter Digital Controlling & Qlikview bei der PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft (PwC). 53 › ESG Cyber Training Center Systems Engineering in IT-Projekten Thema Zielsetzung Der Chaos-Report der Standish-Group sowie weitere internationale Untersuchungen belegen seit vielen Jahren, dass insbesondere in großen und komplexen Softwareprojekten ein erhebliches Risikopotenzial im Hinblick auf eine nicht erfolgreiche Realisierung dieser Projekte steckt. Erschreckend ist hierbei, dass nur ca. ein Drittel aller Softwareprojekte erfolgreich durchgeführt werden. Das Seminar behandelt kompakt die folgenden Aspekte des Systems Engineering: Die Hauptgründe für die nicht erfolgreiche Realisierung liegen insbesondere in der unzureichenden Beherrschung des Systems Engineering. Das Systems Engineering ist ein interdisziplinärer Ansatz zur systematischen Entwicklung von softwareintensiven Systemen. › Architektur und Design verteilter Anwendungen › Einführung in das Systems Engineering › Überblick über Vorgehensmodelle, insbesondere das V-Modell XT › Bedeutung von Software-Safety › Requirements Engineering › Test, Analyse und Verifikation von Software Zielgruppe *) Die Carl-Cranz-Gesellschaft als eigenverantwortlicher Veranstalter ist vom Finanzamt Fürstenfeldbruck wegen Förderung der Wissenschaft und der Bildung von den Ertragsteuern freigestellt. Die Entgelte, die die Gesellschaft für ihre Lehrveranstaltungen erhält, sind gemäß § 4 Nr. 22a UStG von der Umsatzsteuer befreit. Mitglieder der CCG erhalten 10 % Rabatt. Bei Anmeldung mehrerer Mitarbeiter einer Firma/Dienststelle zum gleichen Seminar erhält jeder Teilnehmer 10 %. Studentenrabatte sind auf Nachfrage verfügbar. Die Rabatte sind nicht miteinander kombinierbar. Projektmanager, Projektleiter und Ingenieure, die einen kompakten Überblick über wichtige Aspekte des komplexen Gebietes des Systems Engineering bekommen wollen. Termin › 17.-21. Oktober 2016, München/Oberpfaffenhofen (Kennziffer: IT-SYS-0116) Hinweis Das Seminar wird von unserem Kooperationspartner Carl-Cranz-Gesellschaft e.V. (CCG) in dessen Seminarräumen eigenverantwortlich durchgeführt. Bei Anmeldung erhalten Sie die Bestätigung und alle weiteren Informationen von CCG. Mit Ihrer Anmeldung willigen Sie ein, dass Ihre Anmeldedaten an CCG weitergegeben werden. › Risikomanagement › Reifegradmodelle und deren Abgrenzung zu Vorgehensmodellen Preis › 1.975,- Euro (umsatzsteuerfrei*) Referenten Margit Fries, Dipl.-Phys., ESG Elektroniksystemund Logistik-GmbH, Fürstenfeldbruck Prof. Dr. Ralf Kneuper, Beratung für Softwarequalitätsmanagement und Prozessverbesserung, Darmstadt Prof. Dr.-Ing. Peter Liggesmeyer, Lehrstuhl Software Engineering: Dependability am Fachbereich Informatik, TU Kaiserslautern Prof. Dr. Helmut Partsch, Institut für Programmiermethodik und Compilerbau, Universität Ulm Prof. Dr. Andreas Rausch, Institut für Informatik, TU Clausthal Hans-Jürgen Thönnißen-Fries, Dipl.-Inform., ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck 54 › ESG Cyber Training Center Verschlüsselung – Verfahren und Anwendungsmöglichkeiten Thema Verschlüsselung ist seit 2500 Jahren sowohl in der Kriegsführung als auch der Diplomatie ein gängiges Mittel, um sensitive Informationen vor unbefugter Kenntnis zu schützen. In der heutigen Zeit sind sichere Datenübertragung im elektronischen Zahlungsverkehr, sichere Kommunikation per E-Mail oder Mobilfunk und sichere Datenhaltung ohne kryptographische Verfahren nicht denkbar. Mittlerweile befinden sich zahlreiche Verfahren für verschiedene Anwendungsfelder auf dem Markt, wobei Praktikabilität, Kosten und Sicherheitsvorteile sehr unterschiedlich sein können. Zielsetzung Zielgruppe Das Seminar bietet einen Einstieg in das Thema Verschlüsselung. Die Teilnehmer können nach dem Seminar fundierte Entscheidungen treffen, welche Verschlüsselungsverfahren für ihre Zwecke geeignet sind. Dazu werden die erforderlichen Grundlagen vermittelt und insbesondere die Möglichkeiten zur Absicherung von Das Seminar richtet sich an IT-Sicherheitsbeauftragte, CIOs, CISOs, IT-Leiter, IT-Administratoren, Auditoren, Datenschutzbeauftragte. › E-Mail, › IT-Grundkenntnisse werden vorausgesetzt. › Vorkenntnisse zur Verschlüsselung werden nicht vorausgesetzt. › Datenträgern, Termine › mobilen Endgeräten, › 07.-08. März 2016, Düsseldorf (Kennziffer: IS-KRG-0116) › Netzwerken, › WebServices und › Webanwendungen erläutert. Referent Voraussetzungen Dabei wird auf die jeweiligen Angriffsmöglichkeiten und deren praktische Auswirkungen auf den Einsatz eingegangen. › 27.-28. Juni 2016, München/Fürstenfeldbruck (Kennziffer: IS-KRG-0216) › 22.-23. November 2016, Berlin (Kennziffer: IS-KRG-0316) Preis › 750.- Euro zzgl. MwSt. Christoph Puppe berät als Principal Consultant bei HiSolutions AG zum Thema Cyber-Sicherheitsstrategie, wobei Cloud-Anwendungen zu einem seiner Schwerpunkte zählen. Herr Puppe ist Lead-Auditor nach BSI-Grundschutz, IS-Revisor und BSI-zertifizierter Penetrationstester. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. 55 › ESG Cyber Training Center Voice over IP – Funktion, Anwendung, Sicherheit Thema Die öffentlichen Netze werden bereits seit Jahren umgebaut. Durch die öffentliche Ankündigung der Deutschen Telekom wird die IP-Transformation zu einem beherrschenden Marktthema, an dem keiner mehr vorbeikommt. Das klassische ISDN wird es bis spätestens 2018 nicht mehr geben. Als Nachfolgeprodukt zum klassischen S2M/S0-Anlagenanschluss steht der SIP-Trunk mit den Voice over IP (VoIP) -Strukturen in den Startlöchern. Die Carrier und ISPs haben damit die Voraussetzungen für Anwendungen im Next Generation Network (NGN) geschaffen. Wer VoIP oder eine andere NGN-Anwendung einführen will, Referent Mathias Hein ist Geschäftsführer des Beratungsunternehmens IKT-Consulting LG GmbH. Als Schwerpunkt seiner Tätigkeit begleitet er Unternehmen und Behörden bei der Einführung von bzw. der Migration auf IPv6. muss sich von bisherigen TDMund IT-Mustern verabschieden und den Paradigmenwechsel, den die Einführung der IP-Technologie für Sprach- und andere Kommunikationsanwendungen bewirkt, im Unternehmen umsetzen. Die größte Herausforderung liegt darin, die Möglichkeiten zu nutzen, die moderne Netzwerke bieten. NGN ist kein Selbstzweck, sondern bietet die technologischen Voraussetzungen, um die Geschäftsprozesse im Unternehmen zu optimieren und besseren Kundenservice sowie Kosteneinsparungen zu erzielen. Alle aktuellen VoIP-Systeme in öffentlichen und privaten Netzen basieren auf dem Session Initiation Protocol (SIP). SIP ist von der Internet Engineering Task Force (IETF) und vom 3rd Generation Partner­ ship Project (3GPP) als steuerndes Protokoll für Multimediaverbindungen in UMTS und LTE festgelegt worden. In den TK-Anlagen ist es der Standard, allerdings mit seinen diversen herstellerspezifischen Varianten. Zielsetzung Zielgruppe Den Seminarteilnehmern wird praxisorientiert vermittelt Das Seminar richtet sich an IuK-/IT-/ IT-Sicherheits-Verantwortliche, IT-Architekten, Netzplaner, IT-Leiter, IT-Administratoren, IT-Sicherheitsbeauftragte, CIOs, CISOs. › wie Voice over IP (VoIP) und Unified Communications (UC) funktionieren, › welche Aufgaben die einzelnen Teilprotokolle haben und wie sie sinnvoll implementiert werden, › welche Auswirkungen die VoIP-Technologie auf die Netzwerke haben, › welche Aspekte beim Design von VoIP-Netzen zu beachten sind, › aus welchen Schritten eine effiziente Migrationsstrategie besteht und › welche Sicherheitsprobleme beim Einsatz entstehen können und wie diese adressiert werden. Voraussetzungen IT-Grundkenntnisse sollten vorhanden sein. Termine › 19.-20. April 2016, München/Fürstenfeldbruck (Kennziffer: IT-VOI-0116) › 14.-15. September 2016, Hannover (Kennziffer: IT-VOI-0216) Preis › 850,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Dazu geht das Seminar ausführlich auf das Session Initiation Protocol (SIP) ein und betrachtet dabei die Architektur, die unterschiedlichen Varianten und Anwendungen in vielfältigen Szenarien und die Potenziale, welche sich aus SIP ergeben. 56 › ESG Cyber Training Center Webanwendungssicherheit – Grundlagen Thema Über Webapplikationen stellen Unternehmen und Behörden Informationen und Dienstleistungen für Kunden und Bürger bereit und erlauben dazu den Zugriff auf entsprechende Webserver. In vielen Fällen sind die Webanwendungen aber unzureichend gesichert. Referent Spezifische Sicherheitslösungen gibt es zwar z. B. in Form von WebShields oder Application Firewalls, deren Schutzfunktion ist jedoch begrenzt und sie werden auch noch zu wenig eingesetzt. Angreifern bieten sich somit viele Möglichkeiten (wie z. B. SQL-Injection oder Cross-Site-Scripting) um an interne Informationen, personenbezogene Daten und kritische Prozesse heranzukommen. Zielsetzung Zielgruppe Das Seminar vermittelt anschaulich, welchen spezifischen Angriffsmöglichkeiten Webapplikationen ausgesetzt sind. Anhand von praktischen Beispielen und Demonstrationen werden die Lücken mit den höchsten Risiken und der größten Verbreitung, so genannte OWASP Top 10 (*), erläutert. Das Seminar richtet sich an IT-Sicherheitsbeauftragte, CISOs, IT- und IT-Sicherheitsverantwortliche, IT-Administratoren, Entwicklungsprojektleiter, Webentwickler, Ermittler in Strafverfolgungsbehörden, Auditoren und Datenschutzbeauftragte. Die Teilnehmer erhalten praktische Tipps, wie sie im Anschluss an das Seminar auf Basis frei verfügbarer Test-Werkzeuge selbst entsprechende Penetrationstests durchführen können. (*) OWASP = Open Web Application Security Project Voraussetzungen IT-Grundkenntnisse sind von Vorteil. Termine › 07. Juni 2016, München/Fürstenfeldbruck (Kennziffer: IS-WEG-0216) › 29. September 2016, Berlin (Kennziffer: IS-WEG-0316) Preis › 520,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Tobias Glemser, Geschäftsführer der secuvera GmbH, ist BSI-zertifizierter Penetrationstester und Certified Ethical Hacker. Er ist Mitglied des OWASP German Chapter Boards, Initiator und hauptverantwortlich für die Erstellung des OWASP-Whitepapers „Projektierung der Sicherheitsprüfung von Webanwendungen“ und am Übersetzungsprojekt OWASP Top 10 beteiligt. 57 › ESG Cyber Training Center WLAN-Sicherheit Thema WLANs sind ein beliebtes Angriffsziel für Hacker, da Sie häufig ungenügend gesichert sind. Somit besteht die Gefahr, dass funkübertragene Daten mitgelesen werden oder Angreifer Zugang zur IT-Infra­ struktur des Unternehmens bzw. der Behörde finden. Häufig lassen auch Mitarbeiter, welche mobile Endgeräte einsetzen, bei der Nutzung öffentlicher WLANs entsprechende Sicherheitsüberlegungen außer Acht. Damit Referent gefährden sie wiederum Daten und Prozesse der eigenen Organisation, auf die das Mobilgerät ggf. Zugriff hat. Der Verlust wertvoller Unternehmensinformationen oder sensitiver personenbezogener Daten ist eine mögliche Konsequenz. Hinzu kommt, dass der Betreiber eines Funknetzwerkes haftbar gemacht werden kann, wenn über sein ungenügend gesichertes WLAN Straftaten verübt werden. Zielsetzung Zielgruppe Die Seminarteilnehmer erwerben das Know-how, um Das Seminar richtet sich an IT-Sicherheitsbeauftragte, CIOs, CISOs, IT-Leiter, IT-Administratoren, Ermittler und Datenschutzbeauftragte. › Risiken und Angriffsmöglichkeiten zu erkennen, › Schutzmaßnahmen für WLANs und WLAN-Clients zu ergreifen, › sichere WLANs aufzubauen und zu betreiben. Die Angriffs- und Schutzmöglichkeiten werden anhand zahlreicher Live-Demonstrationen anschaulich erläutert. Voraussetzungen Netzwerk-Grundkenntnisse sind vorausgesetzt. WLAN-Kenntnisse sind nicht erforderlich. Termine › 21.-22. April 2016, München/Fürstenfeldbruck (Kennziffer: IS-WLA-0116) › 30. Juni - 01. Juli 2016, Berlin (Kennziffer: IS-WLA-0216) › 10.-11. November 2016, Frankfurt am Main (Kennziffer: IS-WLA-0316) Preis Thomas Pusch ist Senior Consultant bei ML Consulting Schulung, Service & Support GmbH und seit 1993 im IT-Bereich tätig, seit 2005 mit dem Schwerpunkt technische Informationssicherheit. Er berät Unternehmen und Behörden in den Themen mobile Sicherheit, heterogene Netzwerke sowie Verschlüsselung und PKI-Strukturen und führt entsprechende Penetration-Tests für Kunden durch. › 750,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. 58 › ESG Cyber Training Center Zertifizierter Business Continuity Manager mit TÜV Rheinland geprüfter Qualifikation Thema Durch Automatisierung, Auslagerung und fortschreitende Spezialisierung vernetzt sich die Wirtschaft immer stärker. Diese Vernetzung betrifft nicht mehr nur die Arbeitsabläufe und Lieferketten, sondern unmittelbar auch die Ressourcen wie Informations- und Kommunikationstechnik, Gebäudetechnik und -services sowie Personal. Zunehmend sind auch Produktionstechnik und Logistik sowie deren Zulieferer/Dienstleister betroffen. Durch die direkte Vernetzung dieser Ressourcen über mehrere Ebenen Referent Dirk Pollnow ist Managing Consultant bei der HiSolutions AG. Seine Beratungskompetenz umfasst die Bereiche BCM, Notfall- und Security-Management, Facility Services Continuity Management und Informationssicherheit. Ein weiterer Tätigkeitsschwerpunkt liegt in der Überprüfung, Analyse und Neuausrichtung von BCM-Systemen für Unternehmen und Behörden. der Wertschöpfung hinweg steigen die Risiken von Ausfällen und Geschäftsunterbrechungen. Hinzu kommen Gefährdungen, die durch den Klimawandel verursacht werden, wie z. B. Extremwetterereignisse und Bedrohungen von innen und/ oder außen, wie Cyber-Angriffe. Die Antwort auf diese Risiken für den Geschäftsbetrieb ist ein professionelles System, welches einen geordneten Notbetrieb einleitet und damit Geschäftsunterbrechungen mit geringstmöglichem Schaden überstehen lässt: Business Continuity Management. Der/die Business Continuity Manager/in übernimmt hierzu im Auftrag der Geschäftsleitung die Konzeptionierung, Planung, Implementierung sowie den Betrieb und die laufende Optimierung dieses an nationalen (z. B. BSI 100-4) und internationalen (z. B. DIN EN ISO 22301) Standards ausgerichteten Managementsystems. Zielsetzung Zielgruppe Die Teilnehmer werden befähigt, in ihrem Unternehmen ein Business Continuity Management (BCM) nach ISO 22301:2012 einzuführen und zu betreiben. Das Seminar vermittelt dazu das folgende Wissen: Das Seminar richtet sich an angehende Business Continuity Manager, IT-Sicherheitsbeauftragte, CIOs, CISOs, Notfall­ manager, Risikomanager und Auditoren. › Ziele, Aufgaben, Führungsprinzipien und Ordnungsstrukturen des Business Continuity, Kenntnis von Organisationsstrukturen und Prozessen in Unternehmen sowie Grundlagenkenntnisse organisationsspezifischer Ressourcenbereiche (z. B. IT, FM, SP, HR) werden vorausgesetzt. › Einordnung des BCM in die Unternehmensorganisation, › BCM-Standards, insbesondere ISO 22301 und rechtliche Grundlagen, › Techniken, Zielsetzungen und Durchführung einer Business Impact Analyse und BCM-Risikoanalyse, › Struktur, Inhalte und Anwendung von Notfallplänen im BCM, › BCM-Prozesse (Übungen, Tests, Schulungen/Awareness, Audits) und deren Anwendung. Die Teilnehmer wenden im Rahmen von Workshops die Mittel und Methoden des BCM anhand von praxisnahen Fallbeispielen selbst an. Voraussetzungen Termin › 11.-15. April 2016, Frankfurt am Main (Kennziffer: BC-ZBC-0116) › Weitere Termine in Planung Preis › 2.390.- Euro zzgl. MwSt. Zzgl. Prüfungsgebühr: 300,- Euro zzgl. MwSt. Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Zertifikat Nach erfolgreicher Prüfung durch die unabhängige Personenzertifizierungsstelle PersCert TÜV von TÜV Rheinland erhalten die Teilnehmer das Zertifikat „Zertifizierter Business Continuity Manager mit TÜV Rheinland-geprüfter Qualifikation”. 59 › ESG Cyber Training Center Zertifizierter IT-Notfall­m anager mit TÜV Rheinland geprüfter Qualifikation Thema Zielgruppe Allen Schutzmaßnahmen zum Trotz ist es letztlich eine Frage der Zeit, bis jede Organisation – ob Unternehmen, Behörde oder sonstige Institution – von einem IT-Ausfall und/oder einem Datenverlust bedroht oder gar betroffen ist. Die Bandbreite an Störungs- und Angriffsmöglichkeiten ist mittlerweile einfach zu groß, als dass für jede Eventualität entsprechende präventive Maßnahmen vorgesehen werden könnten. Durch die hohe Vernetzung der einzelnen T-Services können z. B. unachtsam eingespielte Patches einen großflächiger IT-Ausfall zur Folge haben und somit zu einer Unterbrechung kritischer Geschäftsprozesse führen. Referent Zielsetzung Stephan Kurth ist Senior Consultant für Business Continuity Management, Krisenmanagement, IT-Notfall- und IT-Risikomanagement bei HiSolutions AG. Er ist Certified ISO 22301 Lead Auditor und Mitautor des Umsetzungsrahmenwerks zum Standard BSI 1004 (Notfallmanagement). Ein etabliertes IT-Notfallmanagement sorgt dafür, dass im Ereignisfall ein geordneter Notbetrieb vollzogen wird, um Schäden zu minimieren und schnellstmöglich den Normalbetrieb wieder herzustellen. Der/die IT-Notfallmanager/in übernimmt im Auftrag der IT-bzw. Geschäftsleitung die Konzeptionierung und Implementierung sowie den Betrieb und die laufende Optimierung dieses Managementsystems, welches an nationalen (z. B. BSI 100-4) und internationalen (z. B. ISO 27031) Standards ausgerichtet ist. Die Teilnehmer werden befähigt, ein BSI-Grundschutz konformes IT-Notfallmanagement nach ISO 27031 einzuführen und zu betreiben. Das Seminar vermittelt dazu die folgenden Kenntnisse und Fertigkeiten: › Ziele, Aufgaben, Führungsprinzipien und Ordnungsstrukturen des IT-Notfallmanagements › IT-Notfallmanagement-Standards – insbesondere ISO 27031 – und rechtliche Grundlagen › Aufbau und Integration eines IT-Notfallmanagements in die IT-Betriebsorganisation sowie in bestehende Business Continuity- und Informationssicherheits-Management-Systeme Das Seminar richtet sich an IT-Sicher­ heitsbeauftragte, CISOs, IT- und IT-Sicherheitsverantwortliche, Business Continuity Manager (Notfallmanager), Auditoren. › Durchführung von Service Impact- und IT-Risikoanalysen im IT-Notfallmanagement Grundwissen zur Informationstechnik und Informationssicherheit sowie Kenntnis von Organisationsstrukturen und Prozessen in der IT werden vorausgesetzt. › Erstellung und Anwendung von Notfallplänen im IT-Notfallmanagement › Anwendung der Prozesse des IT-Notfallmanagements: Übungen, Tests, Schulungen, Awareness, Audits, kontinuierliche Verbesserung, Governance Die Teilnehmer wenden im Rahmen von Workshops die Mittel und Methoden des IT-Notfallmanagements anhand von praxisnahen Fallbeispielen selbst an. Voraussetzungen Empfehlung: Projektleitungskenntnisse und Führungserfahrungen Termin › 10.-13. Mai 2016, Berlin (Kennziffer: IT-ZNM-0116) › Weitere Termine in Planung Preis › 1.950,- Euro zzgl. MwSt. › TÜV-Prüfungsgebühr: 250,- Euro zzgl. MwSt Im Preis enthalten sind Seminarunter­ lagen, Pausengetränke und Mittagessen. Zertifikat Nach erfolgreicher Prüfung durch die unabhängige Personenzertifizierungsstelle PersCert TÜV von TÜV Rheinland erhalten die Teilnehmer das Zertifikat „Zertifizierter IT-Notfallmanager mit TÜV Rheinland-geprüfter Qualifikation”. 60 › ESG Cyber Training Center NOTIZEN 61 › ESG Cyber Training Center ESG CYBER TRAINING CENTER ALLGEMEINE GESCHÄFTSBEDINGUNGEN (AGB) FÜR OFFENE SEMINARVERANSTALTUNGEN DES ESG CYBER TRAINING CENTERS Die nachfolgenden AGB regeln das Vertragsverhältnis zwischen dem Teilnehmer an offenen Seminarveranstaltungen des ESG Cyber Training Centers (nachfolgend „CTC“) und der ESG Elek­ troniksystem- und Logistik-GmbH, Livry-Gargan-Straße 6, 82256 Fürstenfeldbruck (nachfolgend „ESG“), als Veranstalter dieser Seminare. Offene Seminarveranstaltungen sind solche, für die sich ein nicht spezifizierter Kreis von Teilnehmern im Rahmen der Verfügbarkeit von freien Plätzen anmelden kann. Abänderungen oder Nebenabreden bedürfen zu ihrer Gültigkeit der vorherigen schriftlichen Bestätigung der ESG und gelten stets nur für den jeweiligen einzelnen Geschäftsfall. Entgegenstehende Geschäftsbedingungen des Teilnehmers werden nicht anerkannt, auch wenn diesen nicht ausdrücklich widersprochen wurde. Die aktuellen Informationen zu den Seminaren sind der Webseite des CTC unter der URL www.cybertraining.esg.de zu entnehmen. 1. Teilnehmerkreis Die Seminare des CTC richten sich ausschließlich an natürliche Personen, juristische Personen und rechtsfähige Personengesellschaften, deren Teilnahme ihrer gewerblichen oder selbstständigen beruflichen Tätigkeit zugerechnet werden kann (§ 14 BGB). Davon erfasst sind auch natürliche Personen, deren Anmeldung im Rahmen eines Anstellungsverhältnisses bei einer juristischen Person oder rechtsfähigen Personengesellschaft erfolgt. Natürliche Personen, deren Anmeldung weder ihrer gewerblichen noch ihrer selbständigen beruflichen Tätigkeit, sondern ausschließlich ihrem privaten Lebensbereich zugerechnet werden kann (§ 13 BGB), können nicht an den Seminaren des CTC teilnehmen. 2. Anmeldung/Anmeldebestätigung Die Anmeldung zu einem Seminar kann unter Verwendung der Anmeldeformulare online unter www.cybertraining.esg.de, per Telefax unter +49 89 9216-16-2080 oder auf postalischem Wege durch Zusendung an ESG Elektroniksystem- und Logistik-GmbH, ESG Cyber Training Center, Livry-Gargan-Straße 6, 82256 Fürstenfeldbruck erfolgen. Die Teilnehmerzahl eines Seminars ist in der Regel begrenzt. Anmeldungen zu einem Seminar werden in der Reihenfolge ihres Eingangs berücksichtigt. Ein Vertrag über die Teilnahme kommt erst durch eine Anmeldungsbestätigung der ESG per E-Mail zustande. Die ESG ist berechtigt, die Anmeldung zu einem Seminar ohne Angabe von Gründen abzulehnen. 3. Teilnahmegebühren und Zahlungsbedingungen Es gelten die jeweils zum Zeitpunkt der Anmeldung veröffentlichten Seminarpreise. Falls nicht anders ausgewiesen gelten alle angegebenen Preise zuzüglich der gesetzlichen Mehrwertsteuer. Mit der Teilnahmebestätigung wird dem Teilnehmer von der ESG die Rechnung übersandt. Die ausgewiesenen Teilnahmegebühren sind nach Erhalt der Rechnung sofort zur Zahlung fällig. In den Teilnahmegebühren inbegriffen sind die Seminarunterlagen, die Verpflegung mit Pausengetränken während der Veranstaltung und ein Mittagessen pro Veranstaltungstag, soweit dies in der Seminarbeschreibung angegeben ist. Nicht inbegriffen sind sonstige Aufwendungen des Teilnehmers, wie z. B. Reisekosten, Aufwendungen für Übernachtung und Verpflegung außerhalb der Seminarzeiten. Die Rechnung muss vom Teilnehmer grundsätzlich vor Beginn des jeweiligen Seminars beglichen sein. 4. Rücktritt des Teilnehmers 4.1 Der Rücktritt eines Teilnehmers von einer Seminaranmeldung muss schriftlich oder per E-Mail gegenüber der ESG erfolgen. Sollte ein Teilnehmer verhindert sein, ist die Teilnahme einer Ersatzperson nach vorheriger Absprache und nach entsprechender Bestätigung durch die ESG per E-Mail ohne Aufpreis möglich. Im Falle des Rücktritts oder der Umbuchung eines Teilnehmers werden folgende Gebühren erhoben:  bis 28 Kalendertage vor Veranstaltungsbeginn: keine Gebühr  bis 10 Kalendertage vor Veranstaltungsbeginn: 50 % der Teilnahmegebühr  weniger als 10 Kalendertage: volle Teilnahmegebühr  bei Nichterscheinen (gleich aus welchem Grund) ist die volle Gebühr zu entrichten 4.2 Sowohl der ESG als auch dem Teilnehmer bleibt es unbenommen, im konkreten Einzelfall die Entstehung eines niedrigeren oder höheren Schadens nachzuweisen. 5. Änderungen 5.1 Die ESG behält sich das Recht vor, angekündigte Referenten zu ersetzen und das Seminarprogramm unter Wahrung des Gesamtcharakters zu ändern. 5.2 Die ESG behält sich das Recht vor, Seminare bis 10 (zehn) Kalendertage vor deren Beginn ohne Angabe von Gründen sowohl abzusagen, als auch diese zeitlich oder räumlich zu verschieben. 5.3 Die ESG behält sich vor, bei Eintreten von der ESG nicht zu vertretender Umstände, wie z. B. der Erkrankung oder dem sonstigen Ausfall eines Referenten, das Seminar räumlich und/oder zeitlich zu verlegen, einen anderen Referenten ersatzweise einzusetzen oder die Veranstaltung abzusagen. Im Fall einer zeitlichen und/oder räumlichen Verlegung einer Veranstaltung kann der Teilnehmer zwischen der Teilnahme an dem ersatzweise angebotenen Termin und der Rückerstattung eventuell schon überwiesener Teilnahmegebühren wählen. Im Fall der ersatzlosen Absage einer Veranstaltung werden bereits überwiesene Teilnahmegebühren erstattet. Weitergehende Ansprüche des Teilnehmers, insbesondere Schadensersatz­ansprüche (auch Stornogebühren für Reise oder Hotelkosten) bei Änderungen oder Absage eines Seminars bestehen nicht. 6. Urheberrechte Sämtliche Unterlagen der Seminarveranstaltungen sind urheberrechtlich geschützt. Dem Teilnehmer wird ausschließlich ein einfaches, nicht übertragbares Nutzungsrecht für den persönlichen Gebrauch eingeräumt. Es ist dem Teilnehmer und Dritten insbesondere nicht gestattet, die Tagungsunterlagen – auch auszugsweise – inhaltlich oder redaktionell zu ändern oder ge- 62 › ESG Cyber Training Center änderte Versionen zu benutzen, sie für Dritte zu kopieren, öffentlich zugänglich zu machen bzw. weiterzuleiten, ins Internet oder in andere Netzwerke entgeltlich oder unentgeltlich einzustellen, sie nachzuahmen, weiterzuverkaufen oder für kommerzielle Zwecke zu nutzen. Etwaige Urheberrechtsvermerke, Kennzeichen oder Markenzeichen dürfen nicht entfernt werden. 7. Haftung 7.1 Die ESG wählt für die Seminare in den jeweiligen Fachbereichen qualifizierte Referenten aus. Für die Korrektheit, Aktualität und Vollständigkeit der Seminarinhalte, der Seminarunterlagen sowie die Erreichung des jeweils vom Teilnehmer angestrebten Lernziels übernimmt die ESG keine Haftung. Ebenso nicht für etwaige Folgeschäden, welche aus fehlerhaften und/oder unvollständigen Seminarinhalten entstehen sollten. 7.2 Im Übrigen haftet die ESG bei Vorsatz, grober Fahrlässigkeit, der Verletzung des Lebens, des Körpers oder der Gesundheit sowie bei Ansprüchen aus dem Produkthaftungsgesetz oder der Übernahme von Garantien unbeschränkt. 7.3 Darüber hinaus haftet die ESG bei leichter Fahrlässigkeit nur für die Verletzung von Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Teilnehmer regelmäßig vertrauen darf. Dabei ist die Haftungshöhe pro Schadensfall auf die Höhe des vertragstypischen und vorhersehbaren Schadens beschränkt. 8. Datenschutz 8.1 Die ESG schützt die personenbezogenen Daten des Teilnehmers. Die ESG wird die vom Teilnehmer überlassenen Daten vertraulich behandeln. Die ESG verwendet die im Rahmen der Bestellung und Nutzung ihres Angebotes erhobenen Daten im Rahmen der geltenden rechtlichen Bestimmungen zum Zwecke der Durchführung ihrer Leistungen und um den Teilnehmer per E-Mail, Post und/oder Telefax über solche ihrer Angebote zu informieren, die den vorher von ihm genutzten Leistungen ähnlich sind. 8.2 Bei der Erhebung der Daten fragt die ESG nach der Einwilligung des Teilnehmers, ob die ESG ihn über weitere ihrer Angebote per E-Mail, Post oder Telefax informieren darf. Der Teilnehmer kann die Einwilligung zur Nutzung seiner Daten für Zwecke der Werbung oder der Ansprache per E-Mail, Post oder Telefax jederzeit auf dem Postweg gegenüber der ESG, Livry-Gargan-Straße 6, 82256 Fürstenfeldbruck, widerrufen. Der Widerruf kann auch per E-Mail an [email protected] oder per Telefax an +49 89 9216-16-2080 erfolgen. 8.3 Darüber hinaus verwendet die ESG die Daten des Teilnehmers, soweit dieser hierfür seine Einwilligung erteilt hat. 9. Weitergabe von Daten an Personenzertifizierungsstellen Mit der Anmeldung zu einem Seminar des CTC, welches mit der Möglichkeit einer Personenzertifizierung durch eine externe Personenzertifizierungsstelle angeboten wird, willigt der Teilneh- mer darin ein, dass die ESG personenbezogene Daten des Teilnehmers zum Zwecke der Vorbereitung, der Durchführung und der Nachbereitung der Personenzertifizierung an die jeweilige Personenzertifizierungsstelle weitergibt und dass diese Daten dort gespeichert werden. Darüber hinaus willigt der Teilnehmer darin ein, dass die bei der jeweiligen Personenzertifizierungsstelle gespeicherten Daten von der Personenzertifizierungsstelle im Rahmen der Überprüfung des Zertifizierungsstatus eines Teilnehmers an sonstige Dritte weitergegeben werden. 10. Weitergabe von Daten an Anbieter von externen Seminarveranstaltungen 10.1 In bestimmten, besonders gekennzeichneten Fällen ist die ESG nicht der Veranstalter der unter der URL www.cybertraining.esg.de beworbenen Seminarveranstaltungen (nachfolgende „externe Seminarveranstaltung“). Der tatsächliche Veranstalter einer externen Seminarveranstaltung ist der Beschreibung der betreffenden Veranstaltung zu entnehmen. 10.2 Die Anmeldung zu einer externen Seminarveranstaltung kann unter Verwendung der Anmeldeformulare des CTC online unter www.cybertraining.esg.de, per Telefax unter +49 89 9216-16-2080 oder auf postalischem Wege durch Zusendung an die ESG Elektroniksystemund Logistik-GmbH, ESG Cyber Training Center, Livry-Gargan-Straße 6, 82256 Fürstenfeldbruck erfolgen. Die ESG wird die Daten des Teilnehmers an den in der Beschreibung der externen Seminarveranstaltung genannten Veranstalter weiterleiten. Mit seiner Anmeldung zu einer externen Seminarveranstaltung unter Verwendung der von der ESG bereitgestellten Möglichkeiten willigt der Teilnehmer in diese Datenübermittlung ein. 10.3 Für die Durchführung der externen Seminarveranstaltung gelten stets die Bedingungen des jeweiligen Veranstalters und mit Ausnahme dieser Nr. 10 nicht die AGB für Seminarveranstaltungen des ESG Cyber Training Centers. 11. Sonstiges 11.1 Sollte eine Bestimmung dieser Allgemeinen Geschäftsbedingungen unwirksam oder nichtig sein oder werden, so gelten sämtliche übrigen Bestimmungen fort. Die Parteien werden die unwirksame oder nichtige Bestimmung durch eine wirksame ersetzen, die der unwirksamen oder nichtigen in wirtschaftlicher Hinsicht möglichst nahe kommt. Entsprechendes gilt für den Fall, dass sich in diesen Allgemeinen Geschäftsbedingungen eine Lücke offenbart. Zur Ausfüllung der Lücke verpflichten sich die Parteien auf die Etablierung angemessener Regelungen hinzuwirken, die dem am nächsten kommen, was sie nach dem Sinn und Zweck der Allgemeinen Geschäftsbedingungen bestimmt hätten, wenn der Punkt von ihnen bedacht worden wäre. Sofern die Parteien keine Einigung erzielen können, kann jede Partei die Ersetzung der nichtigen Bestimmung bzw. die Ausfüllung der Lücke durch das zuständige Gericht herbeiführen. 11.2 Es gilt deutsches Recht unter Ausschluss des Kollisionsrechts und des UN-Kaufrechts (CISG). Gerichtsstand und Erfüllungsort sind, soweit zulässig, München. 63 › ESG Cyber Training Center NOTIZEN 64 › ESG Cyber Training Center NOTIZEN 65 › ESG Cyber Training Center ESG CYBER TRAINING CENTER ANMELDUNG Bitte ausfüllen und per Fax an 089 9216-16-2080 senden oder Online-Anmeldung unter www.cybertraining.esg.de Dieses Formular gilt ausschließlich für Seminare der ESG. Die Anmeldung für Seminare der Carl-Cranz-Gesellschaft e.V. (CCG) und weiterer Partnerfirmen ist online möglich. Seminartitel* Veranstaltungsort* Anrede* Datum* Name* Seminarkennziffer Vorname* Behörde / Institution / Unternehmen* Abteilung Funktion Straße / Hausnr.* Telefon* PLZ* Telefax Ort* E-Mail* Abweichende Rechnungsadresse * Pflichtfelder Ich habe die Allgemeinen Geschäftsbedingungen des Seminarveranstalters ESG zur Kenntnis genommen und stimme diesen zu. Hiermit willige ich ein, dass meine bei der Anmeldung erfassten Angaben zur Durchführung der Leistung, zu Werbezwecken für andere Veranstaltungen des ESG Cyber Training Centers, zum Versand des ESG Cyber Training Center-Newsletters und bei Auswahl einer Veranstaltung eines Kooperationspartner zur Weitergabe der Daten an den jeweiligen Kooperationspartner der ESG verwendet werden dürfen. Ihre Angaben sind freiwillig. Die Einwilligung kann jederzeit per E-Mail an [email protected] widerrufen werden. Nach Eingang Ihrer Anmeldung erhalten Sie eine Anmeldebestätigung und weitere Informationen per E-Mail. Die Teilnehmerzahl ist begrenzt. Zusagen erfolgen deshalb in der Reihenfolge der Anmeldungen. Sollte die Veranstaltung bereits ausgebucht sein, werden wir Sie umgehend informieren. 66 › ESG Cyber Training Center Impressum Herausgeber: ESG Elektroniksystem-und Logistik-GmbH Unternehmenssitz: Frankfurter Ring 211, 80807 München Kontaktadresse: Livry-Gargan-Straße 6, 82256 Fürstenfeldbruck Die ESG wird gesetzlich vertreten durch die beiden Geschäftsführer Kai Horten (Vorsitzender der Geschäftsführung) und Götz Graichen. Die ESG ist im Handelsregister des Amtsgerichts München unter der Nummer HRB 219422 eingetragen. Die Umsatzsteueridentifikationsnummer der ESG lautet 301671879. Kontakt ESG Cyber Training Center Telefon: +49 89 9216-2080 Telefax: +49 89 9216-16-2080 E-Mail: [email protected] Gestaltung: ESG – Design & Medien Druck: Seismografics JK GmbH, Unterschleißheim Auflage: 1800, Stand: 02 2016 ESG Elektroniksystem- und Logistik-GmbH › Livry-Gargan-Straße 6 › 82256 Fürstenfeldbruck Telefon: 089 9216-2080 › [email protected] › www.cybertraining.esg.de