3. Fachtagung IT-Sicherheit - Finanz Colloquium Heidelberg

Finanz Colloquium
Colloquium
Finanz
Heidelberg
3. Fachtagung IT-Sicherheit
Innovative Maßnahmen und Technologien zur
Identifikation/Abwehr von IT-Risiken
Henning Riediger
Prüfungsleiter Bankgeschäftliche Prüfungen
Deutsche Bundesbank
Andreas Kullmann
Koordinator für Informationssicherheit
Frankfurter Sparkasse
Martin Peters
Fachbereich Datenschutz und Sicherheit
Deutsche Kreditbank AG
Christian Schulze
Abteilungsleiter Organisation
Sparkasse Witten
Frank Hülsemann
Senior Prüfungsleiter, Prokurist
WGZ BANK AG
Dirk Schumann
IT-Compliance Manager
DZ BANK AG
➜➜ Prüfungsschwerpunkte der Bankenaufsicht im breiten Themenfeld IT-Sicherheit
➜➜ Wichtige IT-sicherheitsrelevante Neuerungen in den MaRisk 2015
➜➜ Herausfordernde Vorgaben für die IT-Sicherheit bei Auslagerungen
➜➜ Problemfeld risikoorientierte und revisionssichere IT-Protokollierung
➜➜ Bereitstellung einer aussagekräftigen IT-Risikoberichterstattung
➜➜ Gefahrenquelle Internet: Projektbericht ReCoBS zum sicheren Surfen am Arbeitsplatz
➜➜ Zunehmende Anforderungen an die IT-Sicherheit im Zusammenspiel mit der IT-Compliance
27.–28. April 2015 in Berlin
Sonderkonditionen bei Kombi-Buchungen siehe Prospektrückseite
3. Fachtagung IT-Sicherheit
Montag, 27. April 2015
Dienstag, 28. April 2015
13.00 –15.00 Uhr Martin Peters
Fachbereich Datenschutz und Sicherheit, Deutsche Kreditbank AG
9.00 –11.00 Uhr Henning Riediger
Prüfungsleiter Bankgeschäftliche Prüfungen, Deutsche Bundesbank
Prägnantes Reporting von IT-Risiken als Kernaufgabe im
Rahmen des Informationssicherheits-Managements
Schwerpunkte und Praxistipps für die Ausgestaltung
einer sachgerechten IT-Sicherheit aus aktuellen
Bundesbank-Prüfungen
yySteigende Mindestanforderungen an die Qualität der Risikoberichte durch
die (geplanten) MaRisk 2015 bzw. Baseler Grundsätze für die Zusammenfassung von Risikodaten im Risikobericht (BCBS 239)
yyUnzureichende IT-Risikoberichterstattung immer stärker im Fokus von
Bundesbank-Prüfungen: Inhaltliche und prozessuale Anforderungen an das
IT-Reporting in der Praxis
yyErforderliche Prozess-Schritte im IT-Sicherheitsmanagement zur Sicherstel-
lung einer ausreichenden Datenbasis für den IT-Risikobericht: Strukturanalyse
• Schutzbedarfsfeststellung • Bewertung von Risiken und Schwachstellen •
Risikobehandlungsplan
yyWichtige Informationsflüsse und Meldewege für die IT-Sicherheit zur
frühzeitigen Identifikation neuer IT-Risiken • Organisatorische Maßnahmen
yyVisuelle Verdichtung der zahlreichen IT-Risiken in einer Risikomatrix inkl.
Darstellung der veränderten Risikosituation
yyFrühzeitiges Erkennen von Risikokonzentrationen durch systematische
Einordnung in IT-Risikokategorien • Beispiele
yyTipps zur Berücksichtigung wesentlicher IT-Risiken von Auslagerungen im
IT-Risikobericht
yyFestlegung eines angemessenen Turnus der Berichterstattung an die
Geschäftsleitung nach MaRisk 4.3.2 • IT-Risiken auch in der vierteljährlichen
Information des Aufsichtsorgans?
yyBeispiele aus der Praxis zur kumulierten Darstellung der IT-Risiken in einem
Management-Summary
yyIn welchem Umfang muss der Risikobericht die Möglichkeit geben, auch
Einzelrisiken im Detail auswerten zu können?
yyAusgestaltung der Ad-Hoc Berichterstattung an betroffene Organisationsein-
heiten und Geschäftsleitung bei sicherheitskritischen Vorfällen
yyOperationelles Risiko IT: Erkenntnisse aus § 44 KWG-Prüfungen der
Bundesbank und „wesentliche“ Schwerpunkte der IT-Feststellungen •
Bearbeitung von praxisnahen Fallbeispielen aus aktuellen Sonderprüfungen
yySteigende Anforderungen an die IT-Sicherheit durch die (geplanten)
MaRisk 2015 im Überblick
yyEinschätzung zu künftigen Schwerpunkten in der IT-Prüfung sowie zusätzli-
chen Mindestanforderungen der europäisch getriebenen Aufsicht
yyAusblick auf die angekündigten Aktivitäten der BaFin zur aufschlussreichen
IT-Grunderhebung in den Instituten
yyMindestanforderungen an hinreichende strategische Aussagen zur
IT-Sicherheit
yyHäufige Beanstandungen bei unvollständigen Schutzbedarfsanalysen des
IT-Risikomanagements • Angemessene Einbindung von Fachbereichen
yyFestlegung konkreter Soll-Maßnahmen zur Erreichung des angestrebten
Schutzniveaus
yyBerücksichtigung der Funktionstrennung in internen Kontrollverfahren, u.a.
hinsichtlich Berichterstattung von Dienstleistern
yyBerechtigungskonzepte nach MaRisk AT 7.2 als ein Schwerpunkt bei § 44
KWG Sonderprüfungen:
Fehlende, unvollständige oder veraltete Soll-Berechtigungskonzepte •
Intensivere Überprüfung privilegierter Zugriffsrechte gemäß AT 4.3.1
yyDokumentationslücken im Notfallkonzept und fehlende prozessübergreifende
Notfalltests
yyTest- und Freigabeverfahren nach MaRisk AT 7.2: Sicherheitslücken durch
fehlerhafte Eigenentwicklungen und unreflektiertem Einsatz externer Software
yyAuswirkungen von IT-Veränderungen auf Kontrollverfahren der IT-Sicherheit
bzw. des Internen Kontrollsystems (MaRisk AT 8.2)
15.15 –17.00 Uhr Christian Schulze
Abteilungsleiter Organisation, Sparkasse Witten
Gefahrenquelle Internet: Projektbericht zum sicheren
Surfen am Arbeitsplatz (Remote-Controlled Browser System)
yySpannungsfeld IT-Sicherheit und Arbeitseffizienz: Wachsender Aufwand
für Administratoren und IT-Sicherheitsverantwortliche aufgrund zunehmender
Angriffe über Webbrowser • Umfangreiche Browser-Einschränkungen
als Problem im Tagesgeschäft z.B. für Vertriebsmitarbeiter einer Bank
yyProjektbericht: Kernpunkte der erarbeiteten Mindestanforderungen an
einen neugestalteten Internetzugriff am Arbeitsplatz, insbesondere sicherer
Aufruf von aktiven Inhalten
yyIT-Architektur und Funktionsweise des Konzepts „Remote-Controlled
Browser System“ (ReCoBs)
yyErarbeitung bankspezifischer Lösungsansätze gemäß Schutzbedarfsanalyse
u.a. Alternativen zur Zwischenablage
yyEckpfeiler der Termin- und Aufwandsplanung • Zusammensetzung des
Projektteams und beteiligte Organisationseinheiten
yyBereitstellung eines sicheren Datentransfers zwischen dem individuellen
ReCoB-System und dem Verbund-Netz
yyWesentliche Maßnahmen zur Implementierung einer sicheren und
datenschutzkonformen Nutzerverwaltung
yyErfahrungen aus der Testphase und dem Roll-Out ins Produktivsystem
yyBeurteilung der wichtigsten Vor-/Nachteile durch ReCoBs im Praxiseinsatz für
Nutzer und Administratoren
yyNachträgliche Bewertung von kritischen Erfolgsfaktoren und Hürden bei
der Umsetzung
ca. 17.00 Uhr Ende des 1. Tages (Kaffeepause am Nachmittag)
yyAnforderungen an die Auslagerung des IT-Sicherheitsbeauftragten:
Inwieweit ist eine Unterstützung durch externe noch zulässig?
11.15 –13.00 Uhr Andreas Kullmann
Koordinator für Informationssicherheit, Frankfurter Sparkasse
Schwierigkeiten und Lösungsansätze zur Durchsetzung
bankindividueller Sicherheitsziele auch bei Outsourcing
• Aufgaben von IT-Sicherheit und Datenschutz im Auslagerungsprozess
yyInwieweit sind (wesentliche) Auslagerungen nach MaRisk in das IT-Risiko
management zu integrieren?
yyOrganisatorische Maßnahmen zur angemessenen Beteiligung von IT-
Sicherheit und Datenschutz im Auslagerungsprozess und anschließendem
Dienstleistermanagement
yyLösungswege zur in der Praxis schwierigen Sicherstellung des bankindividuel-
len IT-Sicherheitsniveaus bei (Mehrmandanten-)Dienstleistern
yyBerücksichtigung der technisch-organisatorischen Anforderungen des §11
Bundesdatenschutzgesetz bei Auftragsdatenverarbeitung
yyTipps zur Begrenzung der oftmals zu weit gehenden Zugriffsrechte externer
Dienstleister (z.B. technischer Support) durch angemessene Ausgestaltung von
Fernwartungsvereinbarungen
yyWelche Möglichkeiten bieten sich, die IT-Schutzziele auch bei Weiterverlage-
rungen an Subdienstleister sicherzustellen?
yyProbleme bei Zusicherung von Mindeststandards der IT-Sicherheit und des
Datenschutzes bei (nicht seltener und teilweise gar nicht bekannter) Datenübermittlung in Nicht-EU-Staaten
yyIT-Trend Cloud-Computing: Neue Risiken für die Datensicherheit durch Aus-
lagerung „in die Wolke“ • Durchsetzung der Informations- und Prüfungsrechte
für Institut und Bankenaufsicht
3. Fachtagung IT-Sicherheit
yyInstitutsindividuelle(!) Interpretation der umfangreichen Risikoberichte des
Dienstleisters als Herausforderung für das IT-Risikomanagement
yyEntscheidungskriterien für eine vor Ort Prüfung der IT-Sicherheits- und
Datenschutzmaßnahmen beim Dienstleister
yyZwingend notwendige Abstimmung der Notfallkonzeption bei der Ausla-
gerung zeitkritischer Aktivitäten und Prozesse • Kopplung an das Schutzziel
„Verfügbarkeit“ aus der Schutzbedarfsanalyse?
14.00 –15.45 Uhr Frank Hülsemann
Senior Prüfungsleiter, Prokurist, WGZ BANK AG
Schwachpunkte bei der Nachvollziehbarkeit von
IT-Aktivitäten: IT-Protokollierung revisionssicher und
praxistauglich
yyZur unterschätzten Bedeutung der IT-Protokollierung für ein wirksames
Referenten
Internes Kontrollsystem sowie die Betrugsprävention
yyMindestanforderungen an den Informationsgehalt von Log-Dateien • Zu
beteiligende Stellen bei der Festlegung prüfungssicherer Inhalte
yyAutomatisierte Identifizierung und Bewertung sicherheitsrelevanter Ereig-
nisse mit SIEM-Systemen (Security Information and Event Management)
yySchwerpunkte und Hilfestellungen bei der regelmäßigen und anlassbezogenen
Auswertung von Log-Protokollen durch die Revision
yyReichweite der IT-Protokollierung: Sicherstellung einer prüfungssicheren und
beweiskräftigen Datenqualität der Log-Daten vs. „Überprotokollierung“
durch Speicherung irrelevanter Massendaten
yyEinschränkungen aus dem Datenschutzgesetz vs. umfangreiche KWG-Über-
wachungspflichten durch Compliance/zentrale Stelle
yyWesentliche Aufwertung der Thematik durch den neuen Baustein „Protokol-
lierung“ und entsprechende Maßnahmenempfehlungen in den IT-Grundschutz-Katalogen des BSI
yyInwieweit kann die Schutzbedarfsanalyse als Basis für eine risikoorientierte
IT-Protokollierung dienen?
yyErhöhter Bedarf zur Protokollierung von Administrator-Aktivitäten •
Überblick über mögliche Lösungen wie z.B. Session-Aufzeichnungen oder
Workflow-gestützte Administrationsprozesse
yyMaßnahmen zum Schutz der Protokoll-Dateien gegen Manipulationen
yyBerücksichtigung von Löschfristen bei der Planung von änderungsresistenten
Protokollarchiven
yyPraxistipps zum Umgang mit „offenen Flanken“ wie z.B. fehlende Protokol-
lierungsmöglichkeiten bei fremdbezogener Software und nicht revisionssicherer Alt-Software
16.00 –17.00 Uhr Dirk Schumann
IT-Compliance Manager, DZ BANK AG
Zentrale Schnittstellen von IT-Sicherheit & Datenschutz
zur verstärkt geforderten IT-Compliance
yyÜberblick über die wesentlichen Aufgaben der IT-Sicherheits- und Daten-
schutzbeauftragten im Rahmen ihrer originären IT-Compliance-Funktion
yySicherstellung einer hinreichenden Beteiligung der IT-Compliance bei
IT-nahen Projekten der Fachbereiche
yyIdentifizierung neuer (Rechts)Risiken: Verschärfte und erweiterte Anforde-
rungen an die IT-Sicherheit durch die neuen MaRisk 2015 im Überblick
yyVorstellung einer IT-Compliance-Landkarte für die wichtige Inventur
relevanter interner/externer Vorgaben
yyBeurteilung aktueller nationaler und internationaler Gesetzesinitiativen mit
Bezug zur IT-Sicherheit, u.a. IT-Sicherheitsgesetz (Entwurf August 2014)
yyNotwendige Schnittstellen zur Überführung der identifizierten IT-Sicherheitsri-
siken in die bereichsübergreifende Gefährdungsanalyse
ca. 17.00 Uhr Ende der Fachtagung
(ca. 13–14 Uhr Mittagessen, Kaffeepause am Vor- und Nachmittag)
Henning Riediger
Prüfungsleiter, Bankgeschäftliche Prüfungen,
Deutsche Bundesbank, Hannover
Seit 2004 bei der Deutschen Bundesbank in Hannover, Hauptverwaltung in
Bremen im Referat für Bankgeschäftliche Prüfungen tätig. Seine Tätigkeitsschwerpunkte liegen auf der Prüfung der Gesamtbanksteuerung (Risikomanagement und Risikocontrolling), IT-spezifischen Themen, Outsourcing
sowie der Abbildung derivativer Produkte in der SolvV.
Andreas Kullmann
Koordinator für Informationssicherheit, Frankfurter Sparkasse
2014 wechselte er vom Sachgebiet „Cyber-Sicherheit in kritischen Infrastrukturen“ im Geschäftsbereich des Bundesministeriums für Inneres in die
Frankfurter Sparkasse. Sein Schwerpunkt liegt dabei auf der Steuerung des
ISMS und operativer Umsetzung von IT-Sicherheitsmaßnahmen. Als eine der
IT-konsolidierten Sparkassen ist dabei die zuverlässige Zusammenarbeit mit
externen Dienstleistern ein wesentlicher Aspekt der Informationssicherheit
der Frankfurter Sparkasse.
Martin Peters
Fachbereich Datenschutz und Sicherheit, Deutsche Kreditbank AG
Als Berater für Informationssicherheit unterstützte Herr Peters mehrere Jahre Mandanten beim Aufbau eines angemessenen Informationssicherheitsmanagementsystems (ISMS) unter Einhaltung der Anforderungen gemäß
ISO 27001 auf der Basis von BSI IT-Grundschutz. Seit 2013 ist Herr Peters bei
der Deutschen Kreditbank AG im Fachbereich Datenschutz und Sicherheit
tätig. Sein Schwerpunkt ist hierbei die Informations-/IT-Sicherheit.
Christian Schulze
Abteilungsleiter Organisation, Sparkasse Witten
Vor seiner jetzigen Tätigkeit als Leiter der Organisationsabteilung sammelte
er langjährige Erfahrungen im Bereich der IT-Revision. Seit vier Jahren ist
er zudem Informations-Sicherheits-Management-Koordinator. Das Projekt
„ReCoBs-Browser“ hat er gemeinsam mit seinen innovativen Mitarbeitern
der EDV-Organisation durchgeführt. Die ReCoBs-Umsetzung wird mittlerweile auch von anderen Kreditinstituten genutzt, da das Sicherheitskonzept
diese überzeugt hat.
Frank Hülsemann
Senior Prüfungsleiter, Prokurist, CISA, WGZ BANK AG
Seine langjährige Erfahrung in prüfenden und leitenden Funktionen der ITRevision in Banken – zunächst bei einer großen Landesbank, dann in der
WGZ BANK AG – macht ihn zu einem ausgewiesenen Experten in allen
Gebieten der IT-Prüfung. Als Certified Information Systems Auditor und Mitglied des Arbeitskreises “IT-Revision in Kreditinstituten” setzt er sich seit vielen Jahren intensiv mit den nationalen und internationalen Anforderungen
an den Einsatz und die Prüfung von IT in Theorie und Praxis auseinander.
Dirk Schumann
IT-Risk & -Compliance Manager, DZ BANK AG
CISA, CISM, CRISC. Seit Ende 2013 in der Funktion des IT-Risk & -Compliance Managers bei der DZ BANK AG Frankfurt am Main mit Weiterentwicklung und Optimierung der IT-Prozesse und des internen Kontrollsystems des
Bereichs IT sowie dessen Verfahren im Bereich IT-Risikomanagement beauftragt. Zuvor mehrere Jahre tätig bei der KPMG AG Wirtschaftsprüfungsgesellschaft als Prüfungsleiter für IT-Prüfungen bei Banken und Finanzdienstleistern sowie als Berater für IT-Compliance-Themen.
760,- €*
760,- €*
Ich kann nicht am Seminar teilnehmen und bestelle
deshalb die Seminarunterlagen zu den oben
angekreuzten Seminaren:
zu 150,00 €* je Veranstaltungsdokumentation
(versandkostenfrei innerhalb D)
Ich bestelle das Fachbuch:
(versandkostenfrei innerhalb D)
IT im Fokus der Bankenaufsicht, 2. Auflage
2015, ca. 480 Seiten, 99,- €**
Bearbeitungs- und Prüfungsleitfaden
Datenschutz & IT-Sicherheit, 3. Auflage
2013, ca. 390 Seiten, 79,- €**
MaRisk-Prozessänderungen und Projektmanagement
2014, ca. 380 Seiten, 99,- €**
Die Veranstaltung richtet sich an Beauftrage für
IT-
Sicherheit, Compliance und Datenschutz, die
Orga/IT sowie die IT-Revision.
Montag, 27. April 2015 von 13 bis 17 Uhr
Dienstag, 28. April 2015 von 9 bis 17 Uhr
Name:
relexa hotel Stuttgarter Hof Berlin
Anhalter Straße 8-9, 10963 Berlin
Tel. 030 264 83-916, Fax 030 264 83-900
Vorname:
Position:
Begrenztes Zimmerkontingent im Tagungshotel verfügbar. Bitte nehmen Sie Ihre
Zimmerreservierung unter dem Stichwort „Finanz Colloquium Heidelberg“ direkt
beim Tagungshotel vor.
Abteilung:
Firma:
Zum Thema
Ich melde mich auch zu dem Kombi-Seminar an:
Vergabe und Kontrolle von IT-Berechtigungen
am 29. April 2015 in Berlin (15 04 27)
IT-Dokumentation: schlank und revisionssicher
am 30. April 2015 in Berlin (15 04 31)
1140,- €*
Der verstärkte Fokus der Aufsicht auf sichere
IT-Systeme (OpRisk!) einerseits sowie komplexer
werdende IT-Landschaften, neue Technologien
und Angriffsszenarien andererseits lassen der ITSicherheit eine hohe Aufmerksamkeit zukommen. Stillstand bedeutet in diesem dynamischen
Umfeld Rückschritt – die IT-Sicherheit hat sich
ständig auf neue Erfordernisse und Bedrohungen
einzustellen.
Ein Prüfungsleiter der Bundesbank berichtet über
aktuelle Erfahrungen aus IT-Sonderprüfungen.
Zudem greift das erfahrene Referententeam
wichtige Schwerpunktthemen auf (u.a. MaRisk-
Novelle 2015), welche sowohl die Umsetzung als
auch die Prüfung von sicheren IT-Systemen ermöglichen.
Termine / Ort
Ich melde mich an zum Seminar:
3. Fachtagung IT-Sicherheit
am 27. & 28. April 2015 in Berlin (15 04 20)
Im Teilnahmeentgelt enthalten: Seminardokumentation, Erfrischungen, Mittagessen und 2-jähriger kostenfreier Bezug unseres Newsletters Banken-Times.
Straße:
Bei der Teilnahme an mehreren Seminaren dieser Seminarreihe durch einen oder
mehrere Mitarbeiter aus demselben Unternehmen erhalten Sie für jedes weitere
Seminar € 50,- Rabatt.
PLZ/Ort:
Sie erhalten nach Eingang der Anmeldung Ihre Anmeldebestätigung/Rechnung.
Bitte überweisen Sie den Rechnungsbetrag vor dem Veranstaltungstermin. Bei
Stornierung Ihrer Anmeldung bis zu vier Wochen vor dem Veranstaltungstermin
erheben wir ein Bearbeitungsentgelt von 150,- €*. Bei Stornos nach diesem Zeitpunkt wird das gesamte Seminarentgelt fällig. Zur Fristwahrung müssen Stornos
schriftlich bei uns eingehen. Kostenfreie Vertretung durch Ersatzteilnehmer beim
gebuchten Termin ist möglich. Umbuchungen auf ein anderes Seminar sind bis zu
vier Wochen vor dem Veranstaltungstermin kostenfrei, danach fällt ein Bearbeitungsentgelt von 150 Euro* an. Bei Absage durch den Veranstalter wird das volle
Seminarentgelt erstattet. Darüber hinaus bestehen keine Ansprüche, wenn die
Absage mindestens zwei Wochen vor dem Seminartermin erfolgt. Änderungen
des Programms aus dringendem Anlass behält sich der Veranstalter vor.
Tel.:
Fax:
E-Mail:
Rechnung an:
(Name, Vorname)
(Abteilung)
* zzgl. 19 % MwSt. ** inkl. 7 % MwSt.
E-Mail:
Fach-/Produktinformationen und Datenschutz
Bemerkungen:
Bitte einsenden an:
[email protected]
Fax +49 6221 99898-99
Finanz Colloquium Heidelberg GmbH
Plöck 32 a, 69117 Heidelberg
Weitere Infos unter:
Telefon: +49 6221 99898-0 oder www.FC-Heidelberg.de
Die Finanz Colloquium Heidelberg GmbH und ihre Dienstleister (z. B.
Lettershop) verwenden Ihre personenbezogenen Daten für die Durchführung unserer Leistungen und um Ihnen ausgewählte Fach- und
Produktinformationen per Post zukommen zu lassen. Sie können der
Verwendung Ihrer Daten jederzeit durch eine Mitteilung per Post, EMail oder Telefon widersprechen.
Senden Sie mir bitte Fach- und Produktinformationen sowie die BankenTimes SPEZIAL für meinen Fachbereich kostenfrei an meine angegebene
E-Mail Adresse (Abbestellung jederzeit möglich).
Teilnahmebedingungen
Anmelden / Bestellen
3. Fachtagung IT-Sicherheit

Download Report