Programm 2017

Industry Trends & IT-Audit Insights
Communications Management
COBIT, Governance, Risk & Compliance Management
Data Governance & Compliance
Information Systems Audit & Assurance
IT-Sicherheit & Cyber Security
Filter zurücksetzen

Tag 1

Donnerstag, 28. September 2017

Tag 2

Freitag, 29. September 2017

ab 08.45 Uhr

Einlass und Ausgabe der Kongressunterlagen

09.30 - 09.45 Uhr

Eröffnung und Begrüßung durch die Präsidentin Karin Thelemann und Pepper

09.45 - 10.15 Uhr
Keynote

Die Frage nach den Nutzungsmöglichkeiten des Cyber-Raums hat viele Unternehmen elektrisiert. Investitionen in diesem Bereich werden rege getätigt; der Aspekt der Sicherheit wird dabei jedoch häufig vernachlässigt. Das Bundesamt für Verfassungsschutz warnt vor den Gefahren im Cyber-Raum und zeigt Möglichkeiten zum Selbstschutz auf.
Dr. Hans-Georg Maaßen

Dr. Hans-Georg Maaßen

Präsident
Bundesamt für Verfassungsschutz
Dr. Hans-Georg Maaßen wurde 1962 in Mönchengladbach (Nordrhein-Westfalen) geboren. Nach dem Abitur studierte er in Köln und Bonn Rechtswissenschaften. Das Studium schloss er 1987 mit dem ersten juristischen Staatsexamen ab, das anschließende Rechtsreferendariat beendete er 1991 mit dem zweiten juristischen Staatsexamen.
Seit 1991 war er in verschiedenen Abteilungen im Bundesministerium des Innern tätig. Nach Verwendungen als Referent in der Abteilung für Ausländerangelegenheiten und in der Polizeiabteilung wurde er im Jahr 2000 persönlicher Referent des Sicherheitsstaatssekretärs. 2001 übernahm er die Leitung der Projektgruppe Zuwanderung und wurde 2002 zusätzlich Referatsleiter für Ausländerrecht. Im August 2008 wurde er Leiter des Stabes Terrorismusbekämpfung in der Abteilung Öffentliche Sicherheit im Bundesministerium des Innern.
Seit 1. August 2012 ist Dr. Hans-Georg Maaßen Präsident des Bundesamtes für Verfassungsschutz.
10.25 - 11.00 Uhr

Session I

Kick-off

Im Bereich der Kritischen Infrastrukturen ist ein hohes Niveau der IT-Sicherheit von zentraler Bedeutung, um die Versorgungssicherheit aufrechterhalten zu können. Dies kann nur durch geplantes und organisiertes Vorgehen aller Beteiligten erreicht werden, also ein funktionierendes Sicherheitsmanagementsystem. Die international anerkannten Vorgehensweisen nach ISO27001 und IT-Grundschutz bilden hierfür die Grundlage.
Andreas Könen

Andreas Könen

Leiter der Stabsstelle "IT- und Cybersicherheit; sichere Informationstechnik
Bundesinnenministerium
Diplom Mathematiker Andreas Könen ist Leiter der Stäbe IT II - IT- und Cybersicherheit; sichere Informationstechnik und ÖS III - Cybersicherheit im Bereich der Polizeien und des Verfassungsschutzes im Bundesministerium des Innern (BMI). Bis 2016 war er der Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Beim BSI begann Andreas Könen im Jahr 2006, als Leiter des Leitungsstabs. Im Jahr 2009 wurde ihm die Leitung des Fachbereichs „Sicherheit in Anwendungen und Kritischen Infrastrukturen“ übertragen. Im Anschluss daran übernahm er die Leitung des Fachbereichs „Koordination und Steuerung“. Ab 2011 leitete er die Abteilung „Beratung und Koordination“.
In den Vorjahren war er in verschiedenen Bereichen der Bundesverwaltung, mit dem Schwerpunkt Informationstechnik, tätig. Dies beinhaltete auch operative Funktionen. Andreas Könen ist verheiratet und Vater zweier Kinder.
Kick-off

Die zunehmende Digitalisierung unserer Gesellschaft hat einen nachhaltigen Einfluss auf alle Geschäftsbereiche eines Unternehmens. Für eine konstruktive und zukunftsorientierte Audit Assurance ergeben sich damit eine Vielzahl an neuen Herausforderungen. Dabei ist ein wesentlicher Prüfungsfokus gerade die Interaktion zwischen analoger und digitaler Welt im Ökosystem der Unternehmen. Um als Auditor zielführende und umfassende Prüfungen im Kontext der Digitalisierung durchführen zu können, ist es wichtig, neues Wissen mit strukturierten Frameworks wie COSO II und COBIT 5 zu verbinden.

Arco-E. Neequaye

Arco-E. Neequaye

Senior Engagement Manager
ARC Institute | Audit Research Center
Arco-E. Neequaye ist Senior Engagement Manager beim ARC Institute | Audit Research Center. Durch seine mehrjährige Tätigkeit bei einer der vier großen Wirtschaftsprüfungsgesellschaften und als ehemaliger Chief Audit Executive eines internationalen Konzerns im Finanzsektor hat er über 15 Jahre internationale, branchenübergreifende Prüfungserfahrung, sowohl im Bankensektor als auch in der Industrie. Er berät Revisionsleiter bei der strategischen und prozessualen Ausrichtung ihrer Revision und trainiert die Führungskräfte dieser Revisionen in ‚best-in-class‘ Revisionsprozessen. Darüber hinaus ist er Sicherheitsexperte mit Schwerpunkt auf Informationssicherheit.
Kick-off

Die Datenschutz-Grundverordnung schafft grundlegend neue Anforderungen an den technischen Datenschutz. Dies betrifft die technischen und organisatorischen Maßnahmen, die Unternehmen und Behörden umsetzen müssen. Vorhandene IT-Sicherheitsmaßnahmen müssen auf den Prüfstand gestellt und gegebenenfalls angepasst werden. Neu sind die Berücksichtigung des Stands der Technik sowie die Rechenschaftspflicht. Sie führen rechtlich wie technisch zu aufwändigen Abwägungen und Dokumentationen.
Karsten U. Bartels LL.M.

Karsten U. Bartels LL.M.

Rechtsanwalt/ Partner,HK2 Rechtsanwälte &
Vorstand, Bundesverband IT-Sicherheit e. V. (TeleTrusT)
Karsten U. Bartels LL.M. ist spezialisiert auf das IT-Recht. Er ist Partner bei HK2 Rechtsanwälte. Schwerpunkte: IT-Vertragsrecht, IT-Compliance, Datenschutz- und IT-Sicherheitsrecht. Bartels ist zertifizierter Datenschutzbeauftragter (TÜV) und anerkannter Sachverständiger für IT-Produkte (rechtlich) beim ULD Schleswig-Holstein. Er ist Geschäftsführer der HK2 Comtection GmbH und Vorstandsmitglied des Bundesverband IT-Sicherheit e.V. (TeleTrusT).
Kick-off

Die IT-Prüfung muss sich an Standards und Rahmenwerken ausrichten. COBIT 5 ist ein Rahmenwerk, dass einerseits die bekannten Rahmenwerke der internen Revision und der Wirtschaftsprüfer berücksichtigt, und andererseits als Soll-Vorgabe für die IT-Prüfung dienen kann.

Der Vortrag zeigt, wie COBIT 5 für die Erstellung von Prüfungsleitfäden und zur Prüfungsdurchführung genutzt werden kann. Dazu wird anhand von konkreten Beispielen gezeigt, welche COBIT 5-Elemente wie genutzt werden können, um die Prüfungsdurchführung an Standards auszurichten.

Markus  Gaulke

Markus Gaulke

Senior Manager
KPMG AG
Markus Gaulke, CISA, CISM, CGEIT, CRISC, ist Experte in Fragestellungen der Prüfung, dem Management und der Governance von Informationstechnologie. Er ist seit über 18 Jahren bei der KPMG AG Wirtschaftsprüfungsgesellschaft in Frankfurt am Main mit der IT-Prüfung und IT-Beratung von Unternehmen vor allem aus dem Finanzsektor betraut.

Darüber hinaus ist Markus Gaulke das für COBIT zuständige Vorstandsmitglied im deutschen Chapter des internationalen Berufsverbandes „Information Systems Audit and Control Association (ISACA)” und darüber hinaus Verfasser des Fachbuches „Praxiswissen COBIT“.
11.00 - 11.30 Uhr

Pause

11.30 - 12.15 Uhr

Session II

Best Case

Die Fachgruppe „Informationssicherheit“ des ISACA Germany Chapters e.V. hat einen Leitfaden für die Implementierung eines ISMS herausgebracht. Der Implementierungsleitfaden richtet sich an Organisationen, die ein ISMS nach der internationalen ISO/IEC-Norm 27001:2013 betreiben oder aufbauen wollen. Neben zielorientierten Hilfestellungen und Herangehensweisen werden die Vorteile eines individuell angepassten und normkonformen ISMS aufgezeigt.
Michael Schmid

Michael Schmid

Senior Information-Security Expert und PhD-Student
Hubert Burda Media Holding KG
Michael Schmid ist Senior Information-Security Expert der Hubert Burda Media Holding KG und verantwortet die Steuerung und das Management der Informationssicherheit des Konzerns. Die Themen Enterprise-, IT- und Informationssicherheits-Risiko-Management sowie Datenschutz werden ebenfalls in seiner Abteilung konzernweit verantwortet. Ferner ist er Gründer und Mitglied des Aufsichtsrates der AUDEG - Deutsche Auditoren eG.
Best Case

Anhand von praxisnahen Beispielen wird gezeigt, wie eine Prüfung zum Thema „Cloud Computing“ ablaufen kann. Hierbei wird auf eine Auswahl von Prüfungsmaßstäben, mögliche Risiken aus Sicht der Internen Revision, ein Prüfungsansatz und beispielhafte Empfehlungen eingegangen.

Axel  Dors

Axel Dors

Revisor
KfW Bankengruppe
Seit 2009 arbeitet Axel Dors als Revisor in der KfW Bankengruppe. Sein Schwerpunkt liegt auf der Prüfung von IT-Systemen bezüglich ihrer Unterstützung fachlicher Prozesse. Darüber hinaus prüft er auch Regelungen und Prozesse in der IT. Des Weiteren schult er neue Revisoren. In der ISACA-Fachgruppe „IT-Revision“ liegt sein Themenschwerpunkt auf „Organisation und Prozesse einer Internen Revision“.
Vortrag

Spätestens am 25. Mai 2018 müssen in den Unternehmen die Regelungen der EU-Datenschutz-Grundverordnung (DSGVO) umgesetzt worden sein. Erfolgt dies nicht, können die Aufsichtsbehörden Bußgelder gegen die Unternehmen verhängen. Damit wird der Datenschutz zukünftig als massives Compliance-Risiko zu bewerten sein. Erfahren Sie, wie hoch dieses Risiko einzuschätzen ist und wie ihm begegnet werden kann.
Astrid  Ackermann

Astrid Ackermann

Senior Consultant Datenschutz
intersoft consulting services AG
Astrid Ackermann, LL.M. ist Rechtsanwältin und Fachanwältin für Informationstechnologierecht sowie Urheber- und Medienrecht in Frankfurt am Main. Als Senior Consultant berät sie für die intersoft consulting services AG Unternehmen unterschiedlicher Größe in Fragen des Datenschutzrechts und des IT-Strafrechts. Daneben ist Frau Ackermann Lehrbeauftragte an der University of Applied Sciences Frankfurt und Dozentin im Fachanwaltslehrgang IT-Recht für die Deutsche AnwaltAkademie.
Best Case

Der Vortrag ist ein Erfahrungsbericht über die praktische Anwendung und Adaption von COBIT 5 im Zusammenspiel mit weiteren IT-Frameworks (ITIL, IT4IT, TOGAF) bei der Einführung von neuen IT-Prozessen im Rahmen des Projekts „transform IT! – Neuaufstellen der SüdLeasing IT“.

Markus Dietrich

Markus Dietrich

Leiter IT-Strategie & Governance
SüdLeasing GmbH
Markus Dietrich ist im Bereich „IT-Strategie & Governance“ der SüdLeasing GmbH für das IT Change Management sowie IT-Prozess- und Qualitätsmanagement zuständig. Er steuert sämtliche Änderungen an IT-Systemen, prüft die Einhaltung der Prozessabläufe und führt Maßnahmen zur Messung und Verbesserung der Prozessqualität durch.
Zuvor war er als Senior Consultant bei PwC in der Wirtschaftsprüfung tätig.
12.25 - 13.10 Uhr

Session III

Vortrag

Das aktuelle Cyber Security Lagebild zwingt alle Unternehmen dazu, besondere Schutzmaßnahmen zu treffen. Gerade die Betreiber Kritischer Infrastrukturen stehen im Fokus internationaler Cyber Attacken und sind durch das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“, das IT-Sicherheitsgesetz, dazu verpflichtet, angemessene Sicherheitsmaßnahmen umzusetzen und diese Umsetzung spätestens zwei Jahre nach Inkrafttreten der für Sie relevanten Rechtsverordnung durch eine unabhängige Prüfung nachzuweisen.
Aber was bedeutet das für die Betreiber der Kritischen Infrastrukturen? Wer wird in der Lage sein, unabhängige Prüfer zu stellen und welche Anforderungen werden an das Verfahren zur Überprüfung gestellt?
Der Vortrag richtet sich sowohl an die Betreiber Kritischer Infrastrukturen als auch an Prüfer und Prüfteams und zeigt den Teilnehmern die Anforderungen an Prüfer zur Erlangung ihrer Prüfverfahrens-Kompetenz aber die Anforderungen, die an die Unternehmen gestellt werden, um die Umsetzung der Anforderungen aus § 8a BSIG korrekt nachweisen zu können.
Thomas  Kochanek

Thomas Kochanek

Geschäftsführer
KonzeptAcht GmbH
Herr Thomas Kochanek (CISA, CRISC) ist Geschäftsführer der KonzeptAcht GmbH. Er war während seiner sechsjährigen Tätigkeit bei der Flughafen Köln/Bonn GmbH als IT-Security Manager angestellt, entwickelte und administrierte dort IT-Sicherheits- und Internetlösungen und begleitete diverse Projekte als Verantwortlicher für IT-Sicherheit. Anschließend war er für die TÜV Rheinland Secure iT GmbH sowie für die TÜV TRUST IT GmbH tätig, wo er neben der Beratung zur Einführung von Informationssicherheits-Managementsystemen (ISMS) nach ISO 27001 auch als Lead-Auditor tätig war.

Aktuell unterstützt Herr Kochanek Kunden europaweit dabei, Informationssicherheits-Managementsysteme aufzubauen. Im Fokus stehen hierbei in laufenden Jahr vor allem Energieversorger und Betreiber Kritischer Infrastrukturen, damit diese ihren gesetzlichen und regulatorischen Pflichten zum Nachweis angemessener Sicherheitsniveaus nachkommen können.

Herr Kochanek ist akkreditierter ISO 27001 Lead-Auditor, Auditteamleiter für Audits nach ISO 27001 auf der Basis von IT-Grundschutz sowie Auditor „Smart Meter Gateway Administrator“ für BSI TR-03109-6 und Auditor gemäß Abschnitt 4 des Konformitätsbewertungsprogramms nach §11 Abs. 1a EnWG. Er besitz die Prüfverfahrenskompetenz für §8a BSIG.

Für verschiedenen TÜV Organisationen sowie das ISACA Germany Chapter e.V. ist Herr Kochanek zudem als Dozent / Referent für Informationssicherheit, IS-Revision und Risikomanagement tätig. Er hält regelmäßig Fachvorträge auf Sicherheitsseminaren und Veranstaltungen.
Best Case

Erfahrungen von Banken bei der Umsetzung der EU-Datenschutzverordnung. Die EU-DSVO stellt die IT und die Fachprozesse von Banken vor große Herausforderungen. Mein Beitrag soll die von der EU-DSVO betroffenen Bereiche aufzeigen und das Vorgehen zur Umsetzung der EU-DSVO anhand  von Projektbeispielen erläutern. In vielen Banken laufen derzeit Umsetzungsprojekte, da die EU-DSVO bis 2018 umgesetzt sein muss. PwC hat hier ein in vielen Projekten erprobtes Umsetzungskonzept entwickelt.

Dr. Martin  Fröhlich

Dr. Martin Fröhlich

Partner
PricewaterhouseCoopers
Dr. Martin Fröhlich ist Partner bei der PriceWaterhouseCoopers Wirtschaftsprüfungsgesellschaft AG in Düsseldorf. Mit einer über 25 jährigen Erfahrungen verantwortet er die IT-Prüfung und Beratung bei namhaften Banken, Versicherungen und IT-Dienstleistern. Darüber hinaus ist er Mitglied des FAIT beim Institut der Wirtschaftsprüfer und Lehrbeauftragter für IT-Prüfung an verschiedenen Hochschulen.
Best Case

Der C5-Katalog des BSI definiert Mindestanforderungen an die Sicherheit von Cloud-Diensten auf Basis anerkannter IT-Sicherheitsstandards wie z. B. ISO/IEC 27001. Der Vortrag stellt wichtige Grundsätze, Voraussetzungen und Randbedingungen  vor,  die auch eine erfolgreiche Anwendung des Standards  in der Internen Revision bzw.  im Informationssicherheitsmanagement ermöglichen.
Vortrag

2.000 Unternehmen haben den VdS Quick-Check (39 Fragen, webbasiert, kostenlos) durchgeführt und ihre Informationssicherheit selbst bewertet. Im Vortrag können die Ergebnisse aus dem Vorjahr mit dem aktuellen verglichen werden. Der VdS Quick-Check wird unter anderem von Maklern und Versicherern genutzt, um eine erste Analyse der Risikosituation im Unternehmen zu erhalten. VdS nutzt diesen Quick-Check ebenfalls zur Vorbereitung für Risikoanalysen und Audits.
Dr. Robert  Reinermann

Dr. Robert Reinermann

Sprecher der Geschäftsführung
VdS Schadenverhütung GmbH
Dr. Robert Reinermann ist Sprecher der Geschäftsführung der VdS Schadenverhütung GmbH, einer der weltweit renommiertesten Institutionen für Unternehmenssicherheit und eine hundertprozentige Tochter des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Der 43jährige Manager war zuvor als Führungskraft bei Lidl und beim TÜV Süd beschäftigt und absolvierte vorab eine Offiziersausbildung bei der Bundeswehr. Dr. Reinermann promovierte in Psychologie, hält einen MBA & Engineering-Abschluss (Schwerpunkte Unternehmensführung und Maschinenbau) und ist certified systems security professional (CISSP).
13.15 - 14.15 Uhr

Lunch

14.15 - 15.00 Uhr

Session IV

Vortrag

In der Automation wird ein neues Kommunikationsparadigma eingeführt. Die Sensoren stellen dabei die Augen und Ohren dar und machen dadurch die Dinge messbar und bewertbar. Die Sicherheit als Querschnittsthema ist ein fester Bestandteil in I4.0 für Komponenten und Services. Eine verlässliche und vertrauensvolle Vernetzung muss deshalb sichergestellt sein. Eine Übersicht der aktuellen Normungsaktivitäten und mögliche Lösungsvorschläge werden angesprochen.
Andreas  Teuscher

Andreas Teuscher

Chief Industrial Security Officer
SICK AG
Herr Andreas Teuscher ist als Chief Industrial Security Officer bei der SICK AG verantwortlich für Fragen der Informationssicherheitsstrategie in Produkten und Services sowie die Erstellung von Produkt- und Sicherheitsrichtlinien (Richtlinienkompetenz). Über den Security Development Process begleitet er die Umsetzung der Sicherheitsanforderungen und koordiniert die Schwachstellentest Prüfungen.
Best Case

Gemeinsam mit der Internen Revision der Deutschen Telekom AG wurde ein weltweites Social Engineering Projekt erfolgreich durchgeführt. Die Revision beinhaltete vier Prüfgebiete: Physischer Zugang, Telefonanrufe, E-Mails und USB-Sticks. Im Vortrag stellen wir das Thema Social Engineering vor und gehen insbesondere auf Herausforderungen in der Praxis beim Testen der Awareness der Mitarbeiter ein.

Vortrag

Vernetzte Technologien, Cloud und Industrie 4.0, benötigen Informationssicherheit. IoT bedeutet Produktvielfalt, was nach Standardisierung verlangt, womit das  Ecosystem effektiv und effizient realisiert werden kann. Akkreditierung stellt die notwendige Infrastruktur bereit um Anforderungen an Compliance erfüllen zu können, Governance erleichtert wird und die Qualität des Risikomanagements steigt.
Alexander W. Köhler

Alexander W. Köhler

Fachbereichsverantwortlicher Informationstechnik - Informationssicherheit - Datenschutz
Deutsche Akkreditierungsstelle GmbH (DAkkS)
Alexander W. Koehler ist IT-Sicherheitsexperte mit 17 Jahren Erfahrung und ist zertifiziert als CISSP (Holistische IT-Sicherheit), CCSK (Cloud) und weitere. Er war in verschiedenen Managementfunktionen für U.S. und deutsche IT- und IT-Sicherheitsunternehmen tätig und ist aktuell Fachbereichsverantwortlicher IT-Sicherheit und Datenschutz in der Nationalen Akkreditierungsstelle (Bundesbehörde).
Vortrag

Mit den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT), die sich primär an die Geschäftsleitungen der Kreditinstitute richten, wollen Deutsche Bundesbank und BaFin die Erwartungshaltung der Aufsicht an die Institute transparenter darstellen. Zentrales Ziel ist es, dem Management der Institute einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der Informationstechnik der Institute und der Informationssicherheit vorzugeben.

Renate  Essler

Renate Essler

Referat BA 51 (Kompetenz IT-Sicherheit)
Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
Renate Essler, Referentin bei der BaFin in Bonn, arbeitet seit 2012 in der Grundsatzabteilung der Säule Bankenaufsicht und ist unter anderem mit den Themenkomplexen IT-Sicherheit und IT-Organisation bei Banken befasst. Sie berät die Fachaufsichtsreferate zu Fragen der Banken-IT, insbesondere im Hinblick auf Institute, die grundlegende Veränderungen im IT-System vornehmen, beispielsweise durch Outsourcing oder Fusionen. Darüber hinaus ist Frau Essler in IT-Sonderprüfungen der Deutschen Bundesbank eingebunden. Nach ihrem Abschluss als Diplom-Wirtschaftsmathematikerin an der Universität Ulm war sie langjährig bei der Westdeutschen Landesbank Girozentrale und danach bei Price Waterhouse Coopers in der IT-Prüfung von Banken und Kapitalanlagegesellschaften tätig.
15.10 - 15.55 Uhr

Session V

Live Hack

Wer sich vor digitalen Angriffen schützen will, sollte die Arbeitsweise von Hackern genau kennen. Die eingesetzten Hacking-Techniken werden stetig weiterentwickelt: Kaum ein Tag vergeht ohne neue Exploits. In einer eindrücklichen Live-Hacking-Präsentation demonstriert Sebastian Schreiber, wie leicht es ist, an die Daten Dritter zu gelangen: Eine nur scheinbar abstrakte Bedrohung, die ganz konkret jeden treffen kann.
Sebastian Schreiber

Sebastian Schreiber

Geschäftsführer
SySS GmbH
Diplom-Inform. Sebastian Schreiber, geb. 1972, studierte Informatik, Mathematik, Physik und BWL an der Universität Tübingen und gründete das IT-Sicherheitsunternehmen SySS GmbH. Seit 2000 tritt er regelmäßig als Live-Hacker auf und gilt mittlerweile als gefragter IT-Sicherheitsexperte in Print-, Funk- und Online-Medien.
Best Case

Cybersecurity is a huge universe that spans all parts of an enterprise and incorporates a range of disciplines including traditional information security, risk & control and governance. This presentation will help to demystify cybersecurity from an auditor’s perspective by exploring the major concepts and key differences of widely-used frameworks such as ISO and NIST.

Matthias  Kraft

Matthias Kraft

Senior Manager Internal Audit
Fidelity International
Matthias Kraft is an Information Security executive with more than 13 years of experience within the IT industry. He currently works as Senior Manager Internal Audit for Fidelity International, a leading provider of investment management services. Matthias worked in Germany, France and New Zealand and is currently based in Luxembourg. He holds certifications such as CISA, CISM, CGEIT and CRISC.
Best Case

Der Beitrag startet mit einer Darstellung der zu verwaltenden Objekte und zu unterstützenden Kernprozesse für IT Governance und Compliance. Darauf aufbauend werden verschiedene Klassen unterstützender IT-Systeme vorgestellt. Vermittelt werden soll ein Überblick über mögliche unterstützende Systeme.
Folker  Scholz

Folker Scholz

Unternehmensberater
FSU
Folker Scholz berät seit mehr als 25 Jahren Unternehmen aus verschiedenen Branchen im Umfeld IT-Governance, Risk und Compliance sowie in digitalen Geschäftsprozessen. Er ist Mitglied in der ISACA, CRISC und Gründungsmitglied der Fachgruppe Cloud Computing sowie zertifizierter Experte im Cloud Ecosystem und Autor verschiedener Fachpublikationen.
Best Case

Wie erreichen wir ein einheitliches Sicherheits-Risikomanagement im Unternehmen? Ist eine Standardisierung die Lösung? Bis zu welchem Grad ist ein Standardisierung notwendig und sinnvoll? Welche Kennzahlen brauchen wir? Wann werden Sicherheits-Risiken in das finanzielle Berichtswesen aufgenommen, welches in der Regel nur auf quantitative Kennzahlen beruht? Einfach machen – einfach machen war die Aufgabenstellung und in meinem Vortag zeige ich das Ergebnis.

Horst  Moll

Horst Moll

Senior Security Risk Manager, Enterprise Security Risk Management
T-Systems International GmbH
Horst Moll ist im Bereich Security Risk Management der Telekom Security verantwortlich für das Design und die Methode im Security Risk Management für den Konzern Deutschen Telekom AG. Davor hat er maßgeblich am Design des Information Security Risk Management in der Telekom Deutschland mitgewirkt. Bevor Herr Moll 2010 zur Telekom gewechselt ist , war er als Senior Information Security Consultant bei verschiedenen Beratungsunternehmen im In- und Ausland tätig.
15.55 - 16.30 Uhr

Pause

16.30 - 17.15 Uhr

Session VI

Best Case

Vorstellung des Projekts des diesjährigen Gewinner-Teams der Innovation Cyber Security Challenge for Young Professionals: Der Datenschutz | Datensicherheits – Parcours ist eine interaktive Schulungsmaßnahme. In kleinen Teams werden an mehreren Stationen alltägliche Arbeitssituationen simuliert, die einen bleibenden Eindruck schaffen und den Mitarbeitern Datenschutz sowie Datensicherheit spielend praxisnah aufzeigen.
Best Case

Audits can and should be used as a chance for IT organizations to drive changes towards long term visions, support the development of new processes and controls or to improve effectiveness and efficiency of existing procedures. This presentation shows an approach for leveraging audits and assessments as a tool to reach the aforementioned targets – rather than treating the audit as a threat.

Thomas  Neeff

Thomas Neeff

Inhaber und Gründer / Managing Partner
TEN.consult
Thomas Neeff brings experience from well-known companies, including Porsche and SAP, founded TEN.consult in 2013 providing specialised consultancy in IT service-, security- and data privacy management topics. With an international client base his key activities are implementation, auditing and professional training for IT management and control systems.
Best Case

Zunehmend ist die Qualität von Daten entscheidend für die strategische Geschäftsentwicklung, z.B. als Grundlage für Marketing und Vertrieb oder als Voraussetzung zur Umsetzung von Compliance Anforderungen. Dieses setzt voraus, dass ihr Unternehmen seine Daten und Systeme kennt und den Information Lifecycle aktiv steuert. Der Workshop zeigt Ansätze zum Vorgehen an einem Beispielprojekt, stellt Herausforderungen dar und präsentiert Lösungsansätze.
Vortrag

Stefan Wittjen und RA Norman Langhoff informieren über aktuelle rechtliche Entwicklungen und deren Auswirkungen auf den Gesundheitssektor. Die Themen umfassen insbesondere die EU-Datenschutz-Grundverordnung (EU-DSGVO), das deutsche Datenschutzrecht sowie das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz).
17.15 - 17.30

Pause

17.30 - 19.30

Mitgliederversammlung ISACA Germany Chapter e.V.

ab 20.00 Uhr

Gala Dinner & Gewinnerehrung Innovation Cyber Security Challange

20.30 - 21.00 Uhr
Dinner Speech
Sascha Lobo

Sascha Lobo

Autor, Blogger & Strategieberater
Sascha Lobo, Jahrgang 1975, ist Autor, Strategieberater und hält Fach- und Publikumsvorträge. Er beschäftigt sich mit den Auswirkungen des Internet auf Gesellschaft, Wirtschaft, Politik und Kultur. Auf Spiegel Online erscheint wöchentlich seine Kolumne “Mensch-Maschine” über die digitale Welt. Zuletzt erschien sein Buch “Internet – Segen oder Fluch”, geschrieben gemeinsam mit Kathrin Passig.

Tag 1

Donnerstag, 28. September 2017

Tag 2

Freitag, 29. September 2017

ab 08.45 Uhr

Einlass

09.45 - 10.00 Uhr

Begrüßung und Ausblick auf den Tag

10.00 - 11.00 Uhr
Diskussion

Diskussionsrunde ``Nach der Wahl ist vor der Wahl``

11.00 - 11.30 Uhr

Pause

11.30 - 12.10 Uhr

Session VII

Vortrag

Zur Erkennung und Abwehr von Angriffen setzen immer mehr Unternehmen auf „Security Analytics“ oder „Security Intelligence“. In deutschen Unternehmen sind jedoch diesen Ansätzen z.B. durch Gesetze und Regelungen  zu Mitarbeiter- und Datenschutz oft Grenzen gesetzt. Wird Deutschland dadurch zukünftig zum Standortproblem für sichere IT? Welche Optionen gibt es, diesem Dilemma zu entfliehen?
Dr. Karl-Friedrich Thier

Dr. Karl-Friedrich Thier

Executive Advisor
T-Systems International GmbH
Dr. Karl-Friedrich Thier ist aktives Mitglied von ISACA und Leiter der Fachgruppe Cloud Computing im ISACA Germany Chapter. Er ist beruflich seit über 15 Jahren im Bereich Sicherheitsmanagement und Risikomanagement tätig und hat als Gastdozent an Hochschulen gelehrt. Aktuell arbeitet er für T-Systems International als Executive Berater für Informationssicherheit und Cyber Defense.
Best Case

Ausfälle von IT Systemen im Krankenhaus können zu bedrohlichen Situationen für Patienten und dem Krankenhauspersonal führen. Durch viele Prozessbeteiligte (Ärzte, Therapeuten, Verwaltung, externe Dienstleister, etc.) ist eine gute Krisenkommunikation unerlässlich. Die Kliniken des Bezirks  Oberbayern haben für das Krisenmanagement und Sicherheitsfragen das kbo IT-Sicherheitskomitee gegründet, welches die zentrale Steuerung von konkreten Maßnahmen zur Krisenbewältigung übernimmt.

Workshop

Im Workshop wird die Blockchain-Technologie an einem konkreten Beschaffungsprozess  in ihrer Wirkungen auf den Audit im möglichen Adressatenkreis kritisch diskutiert. Prototypen zum Anwendungsfeld „blockchain enabled audit of procure2pay in S4/HANA“ machen dabei das Konzept anschaulich. Einsichten und Einwände werden in der intensiven, moderierten Diskussion ausgewählter Aspekte der Lösung vertieft und nach dem Kongress als Ergebnisbericht bereitgestellt.
Prof. Dr. Karin Gräslund

Prof. Dr. Karin Gräslund

Professorin für Finance Information Management
Wiesbaden Business School
Karin Gräslund ist Professorin für Finance Information Management an der Wiesbaden Business School, RheinMain Universität f.a.W. Wiesbaden & Rüsselsheim. Derzeit unterstützt sie KuppingerCole als wiss. Analystin, ist Beiratin in mehreren Firmen, baute die IT Management Gesellschaft mbH Stuttgart mit auf. Danach war sie mehrere Jahre Mitarbeiterin der SAP Deutschland (SAP ERP & SAP BI).
12.15 - 12.55 Uhr

Session VIII

Vortrag

Das BSI gibt Einblicke in neue Strukturen und Handlungshilfen zur Umsetzung des IT-Sicherheitsgesetzes, das den Schutz Kritischer Infrastrukturen gesetzlich stärkt: Sicherheitsvorfälle in KRITIS-Anlagen werden dem BSI gemeldet, Betreiber erhalten Warnmeldungen. Ihre Anlagen sind geeignet zu schützen, was alle 2 Jahre nachzuweisen ist. Eine Eignungsprüfung branchenspezifischer Sicherheitsstandards gibt Sicherheit in der Deutung des Gesetzes. Die bereits etablierte, freiwillige Kooperationsplattform „UP KRITIS“ leistet hierzu durch Beratung und Abstimmung einen wichtigen Beitrag.
Angelika Jaschob

Angelika Jaschob

Referat CK 32 Kritische Infrastrukturen -Grundsatz-
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Diplom-Mathematikerin Angelika Jaschob, Diplom-Mathematikerin, ist seit 1994 im Bundesamt für Sicherheit in der Informationstechnik (BSI) auf dem Gebiet der IT-Sicherheit tätig. Ihr erster Arbeitsschwerpunkt lag im Bereich Zertifizierung und Grundschutz. Sie führte Beratungen und IS-Revisionen bei Bundesbehörden durch und leitete Schulungen für IT-Sicherheitsbeauftragte, Zertifizierer, Penetrationstester und Revisoren, ehe sie 2011 die Allianz für Cyber-Sicherheit initiierte. Heute ist Sie für die Umsetzung des § 8a BSIG zuständig.
Impuls

Die „Charta der digitalen Grundrechte“ versucht, den Blick von den rein technischen auf die ethischen Fragen der digitalen Zukunft zu lenken. So notwendig dieser Schritt ist, so defensiv versucht die Charta, auf die ohne Zweifel vorhandenen Gefahren hinzuweisen und vor ihnen zu schützen. Hierbei übersieht die Charta grundlegende Problemstellungen, die es jedoch zu beachten gilt, um auch konstruktiv und produktiv in die digitale Zukunft zu schreiten.

PD Dr. Dr. Michael Rasche

PD Dr. Dr. Michael Rasche

Privatdozent für Philosophie & Coach und Berater
Katholische Universität Eichstätt-Ingolstadt
Michael Rasche, Jahrgang 1974, ist Privatdozent für Philosophie an der KU Eichstätt-Ingolstadt. Studium der Philosophie und der Theologie in Bochum und Rom, Promotionen in beiden Fächern in Bochum, Habilitation in Philosophie in Eichstätt. Von 2015 bis 2016 war er Professor (i. V.) für Theologische Grundfragen der Theologie an der KU Eichstätt-Ingolstadt. Seine Forschungsschwerpunkte sind die Sprachphilosophie, die Rhetorik sowie die Systemtheorie.
Vortrag

In den nächsten Jahren wird humanoide Robotik im gesellschaftlichen Leben mehr und mehr eine bedeutende Rolle einnehmen und neue Formen des Zusammenlebens schaffen. Derzeit ist es insbesondere der freundliche Roboter Pepper, der als Charaktersymbol für weltweites Aufsehen sorgt und zunehmend den Anbeginn einer neuen Symbiose kennzeichnet. Pepper ist in der Lage neue Dimensionen in der Nutzung von humanoiden Robotern aufzuzeigen als bislang bekannt. Der Roboter unterstützt als Assistent in unterschiedlichen Situationen des Leben, z.B. bei Empfängen von Kunden und Gäste, nimmt Bestellungen im Food- & Non-Food-Bereich entgegen, dient als Orientierungs- und Alltagshilfe bei Bedürftigen und spricht nebenbei auch noch sämtliche Sprachen um beim Dolmetschen auszuhelfen. „Mixed-Reality“ ist eine weitere Stufe im Umgang mit humanoider Robotik. Konkret bezeichnet „Mixed-Reality“ die Nutzung eines humanoiden Roboters für sich selbst, als eine Art „dritte Person“ oder auch „Avatar“. Eine VR-Brille eröffnet das Sehen durch die Augen eines Roboter, während die Bewegungen der Arme und der Kopfs ebenfalls zeitgleich in den Roboter übertragen werden. Dieser wird folglich zu einem Ebenbild des Menschen der ihn steuert. Defacto hat man sich somit „verdoppelt“ in eine andere physischen Gestalt. Spannend, wie wir finden. Doch was bedeutet diese Art und Weise des Verdoppelns für die Zukunft? Und welche Chancen oder auch Risiken birgt ein „Avatar“ im Zusammenhang mit Megatrends wie Individualisierung, Mobilität, Sicherheit oder New Work? Diesen und noch weiteren Fragen geht dieser Vortrag nach und nimmt sie mit auf eine visionäre Reise von „Humanizing Technologies“.
13.00 - 13.30 Uhr
Keynote

In seiner Keynote wird Jan Philipp Albrecht die Herausforderungen für Politik, Recht und Gesellschaft durch die Digitalisierung darstellen und Beispiele aufzeigen, wie diese bewältigt werden können. Den wichtigsten Ansatz der Regulierung sieht er vor allem auf der Ebene der Europäischen Union, die bereits heute mit wichtigen Gesetzgebungsvorhaben im Bereich des Digitalen Binnenmarkts, des Datenschutzes und bei der Rechtsdurchsetzung im digitalen Zeitalter voranschreitet.
Jan Philipp Albrecht

Jan Philipp Albrecht

Mitglied des Europäischen Parlaments
Europaparlament
Als Abgeordneter des Europäischen Parlaments vertritt Jan Philipp Albrecht die Bürgerinnen und Bürger aus Hamburg und Schleswig-Holstein. Sein Arbeitsplatz wechselt zwischen Brüssel, Straßburg und seinem Wahlkreis in Norddeutschland. Jan Philipp Albrechts Themen sind Innen- und Justizpolitik, dabei geht es um die Reform des Europäischen Datenschutzrechts, die Europäische Staatsanwaltschaft, Polizeipolitik und die Bekämpfung von Rechtsextremismus. Besonders am Herzen liegen ihm "Bürgerrechte im digitalen Zeitalter".
13.30 - 14.30 Uhr

Lunch

14.30 - 15.10 Uhr

Session IX

Best Case

SIEM steht für „Security Information and Event Management“. Gegenstand von SIEM ist die Überwachung von sicherheitskritischen Ereignissen auf IT-Systemen auf Basis von Systemlogs und Protokollen. Im Vortrag soll ein praxiserprobtes Vorgehensmodell zur Einführung eines SIEMS vorgestellt und dessen Auswirkungen auf das interne Kontrollsysteme von Unternehmen zur Reduzierung der Risiken von in- und externen Angriffen aufzeigen.
Dirk Hölzer

Dirk Hölzer

Senior Manager | Advisory | EMEIA Financial Services
Ernst & Young GmbH
Dirk Hölzer ist Senior Manager bei EY in Berlin und verantwortet das gesamte Spektrum der IT-Prüfung und Beratung bei Finanzdienstleistern in der Region Ost. Schwerpunkte seiner Beratungstätigkeit bilden die Themenbereiche Data Analytics, System Implementation Audit sowie Cyber- und Informationssicherheit.
Vortrag

In der zweiten Berufsfeldstudie stand das Thema Organisation und Führung der IT-Governance-Einheiten im Fokus. Die Studie, die in Kooperation zwischen Quadriga Hochschule Berlin und ISACA durchgeführt wurde, zeigt, welche Organisations- und Führungsprinzipien eine IT-Governance-Einheit zum Erfolg führt. Zusätzlich wurde der Bereich Ethik in der IT-Governance thematisiert.
Best Case

Klassische Systeme der Industrie wurden weder für vernetzte Verbindungen konzipiert, noch mit einem Fokus auf IT-Sicherheit entwickelt.
Bei Industriesystemen die den Anforderungen genügen sollen, hier als Stichwort Digitalisierung zu nennen, ist eine Einzelbetrachtung von Safety und Security nicht empfehlenswert. Schützenswert Objekte können u.a. Sicherheitsfunktionen (Safety) des Systems sein, die hinreichend gegen Bedrohungen (Security) abgesichert werden müssen. Safety in Verbindung mit Informationssicherheitsvorgaben stellen einen Auditor oder Sicherheitsmanager vor Herausforderungen.
Markus  Lörsch

Markus Lörsch

Senior Consultant
telexiom AG
Markus Lörsch verfügt als Business Analyst über langjährige Erfahrung in den Bereichen Anforderungsmanagement, Projektmanagement, Prozess Management, Risikomanagement, Sicherheits-Management-Systeme und den Gemeinsame Sicherheitsmethoden (CSM).
Z.Z. beschäftigt er sich mit IKT Teilsystemen von Sicherungssystemen im Eisenbahnwese, CSM- und ITK- Risikobetrachtungen (nach EU 352/2009; 27001/BSI).
Vortrag

In einer Live-Simulation wird ein Sicherheitsvorfall dargestellt, wie er in jedem Unternehmen zu jeder Tages- und Nachtzeit passieren kann. Cyberattacken durch Innentäter – wie können Angriffe schnell erkannt, analysiert und Datenverluste verhindert werden? Echtzeit-Monitoring und Dokumentation sind sogar nach der neuen EU-DSGVO möglich. Dipl.-Inf. Dennis Buroh, Senior Consultant IT-Security bei der Consist Software Solutions GmbH, stellt eine mögliche Lösung vor, die sämtliche rechtlichen Anforderungen für die Datensicherheit in Unternehmen gewährleistet. Als zertifizierter Partner für Insider Threat Management bietet Consist umfassenden Security-Service an: von der ersten Beratung über die Implementierung bis hin zur Betreuung und Weiterentwicklung.
Dennis Buroh

Dennis Buroh

Senior Consultant IT-Security
Consist Software Solutions GmbH
Während seines Studiums der Informationstechnologie fokussierte sich Dennis Buroh auf das Themenfeld Security.Seit 2014 ist Dennis Buroh als Security Consultant und internationaler Projektmanager für die Consist Software Solutions GmbH tätig. Seine Schwerpunkte liegen hierbei vor allem im Finanz- und Gesundheitssektor sowie kritischen Infrastrukturen (KRITIS-Unternehmen). Unternehmen unterstützt er im Aufbau eines Insider Threat Programmes und führt in diesem Kontext auch Mitarbeiterschulungen durch. Fachvorträge, beispielsweise in 10/2015 bei KuppingerCole oder auf der CeBIT 2017 runden seine Expertise in diesem Themenfeld ab.
15.15 - 15.55 Uhr

Session X

Vortrag

tba.
Dr. Carsten Intveen

Dr. Carsten Intveen

Fachanwalt für IT-Recht
LLR Legerlotz Laschet und Partner Rechtsanwälte Partnerschaft mbB
Vortrag

Ein Erfahrungsbericht über die Realisierung eines YouTube Kanals zum Thema Informationsrisikomanagement. Ziel ist die professionelle Wissensvermittlung in lustiger und anschaulicher Form. Zur Veranschaulichung von Szenarien dient das beliebte Spiel Minecraft. Freiwillige Lernkontrollen zu den Tutorials werden als Labyrinth in Minecraft realisiert.
Spaß als Treiber der Wissensvermittlung…
Holger  Schrader

Holger Schrader

Freier Berater für Informationssicherheit
Holger Schrader - Freier Berater -
Holger Schrader ist Senior Berater für Informationssicherheit und Informationsrisikomanagement. Er beschäftigt sich mit diesen Themengebieten seit 1999. Als Diplom-Informatiker (FH) arbeitete er im Gesundheitswesen, in der Telekommunikation und in der Finanzindustrie. Herr Schrader ist Mitglied der Fachgruppe “Information Security” innerhalb des ISACA Germany Chapter. e.V.
Vortrag

Mit großen Schritten hält die Digitalisierung Einzug in die industrielle Produktion. Die Anlagentechnik ist längst vernetzt, IP- wie auch SCADA-Firewalls sind in den Produktionshallen verteilt und so manche in der Office-IT bewährte Lösung vermag in der Produktion dennoch nicht zu überzeugen. In dieser Session werden wir aktuelle Fragen wie die folgenden diskutieren: Brauche ich einen Produktions-CISO? Wer betreibt diese neue IT-Sicherheitsinfrastruktur? Wie bekomme ich IT-Risikomanagement in die Produktion? Wie bringe ich unserem CERT/SOC bei, dass diese Konsole nur unter Windows 95 läuft? Gehen SIEM, IDS, IPS im Produktionsnetz? Wie bekommeich Active Directory in den Griff?
Marco  Schulz

Marco Schulz

Founder & CEO
Marconcert GmbH
Marco Schulz ist geschäftsführender Gesellschafter der marconcert GmbH mit Sitz in Berlin. In den 90ern war er der erste CISO von KPMG Deutschland, die 2000er verbrachte er in verschiedenen leitenden Funktion im KPMG International Headquarters in den Niederlanden und seit 2013 berät er wieder die deutsche Wirtschaft in allen Belangen der IT-Orchestrierung, insbesondere der IT-Sicherheit. Er ist CISM, CISA, CGEIT, CISSP, COBIT Basic Practitioner, ITILv3 Foundation und ISO27001 Lead Auditor zertifiziert, aktives Mitglied des BITKOM und präsentierte bereits beim ersten IT-GRC Kongress 2016.
15.55 - 16.05 Uhr

Sum-Up und Verabschiedung