Eine schriftliche Anmeldung ist Voraussetzung zur Teilnahme. Bitte nutzen Sie dazu das Online-Formular. Alternativ besteht auch die Möglichkeit, sich per Email an praxisseminare(at)behoerdenspiegel.de, per Fax an 0228/970 97-78 oder per Post an Behörden Spiegel, Friedrich-Ebert-Allee 57, 53113 Bonn anzumelden. Nach Eingang Ihrer Anmeldung erhalten Sie nach kurzer Eingangsprüfung eine Anmeldebestätigung per E-Mail mit ausführlichen Informationen. Die Teilnehmerzahl ist begrenzt. Zusagen erfolgen deswegen in der Reihenfolge der Anmeldungen. Sollte die Veranstaltung bereits ausgebucht sein, werden Sie ebenfalls umgehend informiert.

Teilnahmegebühr

Die Teilnahmegebühr stellen wir kurz vor Beginn des Seminars postalisch in Rechnung. In der Teilnehmergebühr ist ein Abonnement der Fachzeitschrift Behörden Spiegel sowie der Newsletter, die Sie über die Fortentwicklung der Tagungsinhalte kontinuierlich informieren, enthalten. Die Zusendung dieser erweiterten Tagungsunterlagen endet nach einem Jahr (keine kostenpflichtige Verlängerung). Widerspruch ist hierzu jederzeit formlos möglich.

Stornierung/Umbuchung/Vertretung

Bei Stornierung oder Umbuchung der Anmeldung bis zwei Wochen vor Veranstaltungsbeginn wird eine Bearbeitungsgebühr erhoben. Danach oder bei Nichtteilnahme wird die gesamte Gebühr berechnet. Selbstverständlich ist eine Vertretung der angemeldeten Teilnehmerin/des angemeldeten Teilnehmers kostenfrei möglich. Informieren Sie uns bitte schriftlich.

September

Die Beschaffer der öffentlichen Hand sind in aller Regel verpflichtet, die EVB-IT anzuwenden. Bisher steht jedoch kein Vertragsmuster für die Beschaffung von Cloud-Leistungen und ähnlichen Leistungen zur Verfügung, obwohl der Wunsch vieler Behörden, dem Markttrend folgend, dahin geht, verstärkt solche Leistungen einzukaufen.

Dieses Webinar setzt sich u.a. mit den zentralen Fragen IT-Sicherheit und Datenschutz im Zusammenhang mit Cloud-Leistungen auseinander und stellt Möglichkeiten und Grenzen der Beschaffung für verschiedene Arten von Cloud Leistungen unter diesen Aspekten dar. Dabei werden die aktuelle Rechtslage ebenso berücksichtigt wie die Beschlüsse des IT-Rats für den Bund und die des IT-Planungsrats für Bund, Länder und Kommunen.

Das Webinar zeigt außerdem die Möglichkeiten auf, wie Cloud-Leistungen mit den vorhandenen EVB-IT Vertragstypen beschafft und wie diese sinnvoll in das Vergabeverfahren integriert werden können.

In diesem Zusammenhang werden unter anderem notwendige und sinnvolle Regelungen zu technischen Fragen, z.B. Verfügbarkeit, SLA etc. sowie Preis – und Abrechnungsmodelle dargestellt und aufgezeigt, was das jeweils für die Ausgestaltung des Vergabeverfahrens bedeutet, insbesondere wie eine Vergleichbarkeit der Angebote ermöglicht werden kann.

Themenüberblick:

  • Grundsätzliche rechtliche Fragenstellungen im Zusammenhang mit Cloudleistungen, u.a.
    • Vertragscharakter
    • Datenschutz und IT-Sicherheit
    • Besonderheiten bei Cloud-Anbietern aus dem Nicht-EU-Ausland
    • Einbeziehung von Standards und Anforderungskatalogen für Cloud-Leistungen, z.B. C 5 des BSI
  • Geeignete EVB-IT Vertragsbasis für Cloud-Leistungen
    • EVB-IT System vs. EVB-IT Dienstleistung
    • weitere ggf. geeignete EVB-IT?
  • Sinnvolle Ergänzungen und Änderungen:
    • Regelungen zur Laufzeit und Kündigungsrechte
    • Regelungen im Zusammenhang mit technischen Aspekten, u.a.:
      • der Verfügbarkeit und deren Vergleichbarkeit bei verschiedenen Anbietern,
      • verschiedenen Performanceparametern,
      • Service Level Agreement (SLA)-Regelungen,
    • Monitoring, Protokollierung
    • Gutschriften bzw. Vertragsstrafen, Möglichkeiten und Grenzen

Zur Teilnahme an diesem Webinar (Kurze Erklärung: Was ist das?) benötigen Sie lediglich einen Internetbrowser und Internetzugang. Es handelt sich um eine webbasierte Software, die keine Installation erfordert und es gelten diese Hardwarevoraussetzungen für unsere Plattform. Weitere Informationen zur Teilnahme und zu den technischen Voraussetzungen erklärt dieses kurze Video. Ihre Zugangsdaten sowie weitere relevante Informationen erhalten Sie nach Anmeldung.

Zeitraum: 29.09.2020 10:00 Uhr – 29.09.2020 13:00 Uhr
Preis: 179,- Euro (Endpreis, die Teilnahmegebühr ist umsatzsteuerbefreit)

Oktober

Mit der Verabschiedung des IT-Sicherheitsgesetzes in 2015, dem Inkrafttreten der entsprechenden Rechtsverordnungen (KRITIS-VO) sowie der Umsetzung der NIS-Richtlinie in nationales Recht sowie dem EU Cybersecurity Act, der EU-DSGVO und dem sich anbahnenden IT-Sicherheitsgesetz 2.0 haben die Gesetz- und Verordnungsgeber auf nationaler und europäischer Ebene bedeutende regulatorische Neuerungen auf den Weg gebracht. Selbst für Juristen ist es mittlerweile schwierig, bei den vielfältigen gesetzlichen Regelungen und den komplexen Strukturen den Überblick zu behalten.

Ziel des Seminares ist es, den Teilnehmern einen Überblick über das aktuelle IT-Sicherheitsrecht zu geben und die konkreten Auswirkungen und Haftungsrisiken für Behörden und Unternehmen aufzuzeigen. Das Seminar ist dabei nicht nur für IT-Sicherheitsbeauftragte und Datenschutzbeauftragte interessant, sondern für alle, die mit dem Thema „IT-Sicherheit“ befasst sind oder in Berührung kommen.

Themenüberblick:

  • Überblick über die gesetzlichen Regelungen des IT-Sicherheitsrechts
  • Struktur und Anwendungsbereich des IT-SiG und den Rechtsverordnungen Umsetzung der NIS-Richtlinie in deutsches Recht
  • Meldepflichten nach BSIG und nach EU-DSGVO
  • IT-Sicherheitsstandards und ISMS nach BSIG und EU-DSGVO
  • Änderungen des Telemediengesetzes (TMG)
  • Überwachung der gesetzlichen Aufgaben
  • IT-Sicherheit in der IT-Vergabe
  • Externe Anforderungen an die IT-Sicherheit
  • Aktuelle Urteile zum IT-Sicherheitsrecht

Zeitraum: 08.10.2020 09:30 Uhr – 08.10.2020 17:30 Uhr

Preis: 650,- Euro (Endpreis, die Teilnahmegebühr ist umsatzsteuerbefreit).

Mit dem Referentenentwurf zum Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) brachte die Große Koalition weitere Inhalte des Koalitionsvertrages gesetzgeberisch auf den Weg. Zwar lässt die Verabschiedung – ursprünglich für Juni 2019 geplant – noch auf sich warten, doch eine Vorbereitung auf die Bestimmungen des Gesetzes ist angeraten.

Schließlich enthält der Entwurf ein Bündel konkreter Maßnahmen mit umfangreichen Anpassungen: von strafrechtlichen Regelungen über eine umfassende Reform des BSI-Gesetzes bis hin zu einer sprunghaften Erhöhung der Bußgelder auf das Niveau der Regelungen der DSGVO. Die Befugnisse des BSI werden zum Schutz der Bundesverwaltung und auch mit Blick auf den Verbraucherschutz erweitert. Die Einrichtung eines einheitlichen IT-Sicherheitskennzeichens, erweiterte Meldepflichten für Betreiber kritischer Infrastrukturen sowie Pflichten zur Erstellung von Krisenreaktionsplänen sind Teile des geplanten neuen Gesetzes.

Zusätzlich wird der Anwendungsbereich des IT-Sicherheitsgesetzes erheblich erweitert. So sollen börsennotierte deutsche Aktiengesellschaften, Infrastrukturen aus den Bereichen Chemie und Automobilhersteller sowie Unternehmen aus den Sektoren Rüstung sowie Medienkultur unterliegen den neuen Anforderungen des IT-Sicherheitsgesetzes 2.0 unterliegen. Darüber hinaus wird die Liste der KRITIS-Sektoren auf die Abfallentsorgung ausgedehnt.

Doch das Gesetz fokussiert sich nicht nur auf die Kritischen Infrastrukturen allein, es formuliert auch einen Maßnahmenkatalog, der von Dienstleistern im KRITIS-Bereich einzuhalten ist.

Das Webinar stellt die im Referentenentwurf veröffentlichten wesentlichen Änderungen des IT-Sicherheitsgesetz 2.0 vor und zeigt die konkreten Auswirkungen auf die Praxis. So erhalten Unternehmen und Behörden die Möglichkeit, sich rechtzeitig auf die neuen Anforderungen einzustellen und entsprechende Maßnahmen zu initiieren. In Anbetracht der Bußgelder bis max. 20.000.000 € oder 4 % des gesamten weltweiten Umsatzes ist auch das Risikomanagement neu zu justieren.

Themenüberblick:

  • Überblick über das neue IT-Sicherheitsgesetz
    • Ziel der gesetzlichen Regelungen
    • Aktueller Stand des Gesetzgebungsverfahrens
    • Neue Bußgeldregelungen und Haftungsfragen
  • Änderungen im Strafrecht
    • Strafbarkeit für das Betreiben illegaler Darknet-Handelplätze
    • Digitaler Hausfriedensbruch
    • Erweiterung des Hackerparagrafen
  • Neue Anforderungen für Host-Provider
    • Einrichtung einer Kontaktstelle
    • Löschpflichten bei rechtswidrigen Taten
  • Erweiterung der Befugnisse des BSI zum Schutz der Bundesverwaltung und der Gesellschaft
  • Maßnahmen zum Verbraucherschutz
  • Neues IT-Sicherheitskennzeichen
  • Erweiterung der kritischen Infrastrukturen
    • Neue Sektoren
    • Infrastrukturen von Chemie und Automobilherstellung
    • Dienstleister für börsennotierte Unternehmen
    • Unternehmen, deren IT-Sicherheit bei Störungen eine Gefährdung der Gesellschaft nach sich ziehen kann
    • Meldepflichten und deren Umsetzung
    • Mindeststandards der IT-Sicherheit
  • Vorratsdatenspeicherung und Protokollierung
  • Maßnahmen zur Detektion und Auswertung von Sicherheitslücken und Schadenprogrammen
  • „Huawei-Klausel“ – Erklärung zur Vertrauenswürdigkeit
  • Pflichten für Hersteller von Komponenten, die im KRITIS-Bereich eingesetzt werden
  • Pflicht zur Erstellung von Krisenreaktionsplänen

Zeitraum: 19. Oktober 2020 10:00 – 19. Oktober 2020 12:30

Preis: 179,- Euro (Endpreis, die Teilnahmegebühr ist umsatzsteuerbefreit).

Datenmengen sind häufig so groß oder komplex, dass sie mit konventionellen Methoden nicht mehr sinnvoll verarbeitet werden können. Gerade bei der Verarbeitung von Massendaten spielen Datensicherheit und Datenschutz eine große Rolle, da eine Datenpanne schwerwiegende Folgen nach sich zieht.

Im ersten Teil des Seminars wird die Konzeption und Implementierung eines Datenschutz-Management-System (DSMS) vorgestellt. Durch die Vernetzung der IT Schutzmaßnahmen werden Synergien von Informations-Sicherheits-Management-Systemen (ISMS) zu DSMS und umgekehrt aufgezeigt. Besonderer Schwerpunkt liegt auch hier auf Datenbanken-Sicherheit, dazu werden weitere Vorteile verschiedener DSMS-Umgebungen aufgezeigt, die im Marktvergleich der D-A-C-H-Region herausragen.

Im zweiten Teil des Seminars, das sich mit technischen Maßnahmen der Datensicherheit beschäftigt, wird im Rahmen praktischer Beispiele anschaulich gezeigt, wie man eine Massendatenverarbeitung nach Stand der Technik sicher konzipiert, wie man bekannte Fallstricke vermeidet und mit technischen Einschränkungen (Never-delete-Datenbanken, fehlender oder nur grober Zugriffsschutz) umgeht.

Themenüberblick:

Teil 1:

• Rechtliche Grundlagen nach EU DS-GVO (Verordnung (EU) 2016/679)
• Grundlagen Projekt-Management-Systeme: PDCA, ISMS, DSMS
• Festlegung Schutzziele/Schutzbedarfsklassen nach BSI-Standard 200-2 (Neu) für personenbezogene Daten
• Die vier Phasen des DSMS: Handlungsmuster, geforderte Inhalte und Maßnahmen zur Umsetzung
• Schnittstellen-Analyse und Synergien zum ISMS
• Praktisches Beispiel: „DSMS-Umsetzung einer deutschen Forschungseinrichtung“

Teil 2:

• Praxisbeispiel: Siebzig Millionen Datensätze aus dem medizinischen Bereich – wie werden sie gesichert und datenschutzkonform verarbeitet?
• Kategorisierung von Sicherheitsvorfällen nach Tätergruppen/ Ausmaß/ Angriffsvektoren
• Überblick über verschiedene Datenbanken und Suchmaschinen für Massendatenverarbeitung
• Fallstricke und technische Einschränkungen, und der Umgang mit Incident-Szenarios
• Praxisbeispiel: Aufklärung eines Datendiebstahls in einer Elasticsearch-/Lucene-Umgebung
• Weitere Werkzeuge zur Erhöhung der Sicherheit und des Datenschutzniveaus

Zeitraum: 28.10.2020 09:00 Uhr – 28.10.2020 17:00 Uhr

Preis: 650,- Euro (Endpreis, die Teilnahmegebühr ist umsatzsteuerbefreit).

Die Auslagerung von Teilen der IT-Infrastruktur in die Cloud und die Nutzung einzelner Cloud-Anwendungen werden für immer mehr Firmen interessant. Hauptantrieb sind dabei meist der Kostenfaktor und die schnelle und einfache Bereitstellung per Mausklick. Die hohen Anfangsinvestitionen, Aufbauen und Umräumen für eine On-Premise-Infrastruktur fallen weg.

Doch was gibt es bei der Migration zu Cloud-Diensten organisatorisch, rechtlich und sicherheitstechnisch zu beachten? Welche Risiken bestehen, welche Entscheidungen müssen getroffen werden und wie wird das am besten organisiert?

Das Seminar „IT-Sicherheit bei der Nutzung von Cloud-Diensten“ hilft den Teilnehmern des Webinars dabei, Antworten auf diese Fragen zu finden und ihren Umzug in die Cloud sicher zu gestalten. Im Rahmen des Seminars werden die verschiedenen Cloud-Modelle vorgestellt, die Auswirkungen auf die IT-Sicherheit und rechtliche Aspekte betrachtet und die wichtigen Grundsätze und Maßnahmen für die Datensicherheit und Organisation bei der Nutzung von Cloud-Diensten erläutert.

Dieses Seminar richtet sich an alle, die einen Einblick in die für eine Migration in die Cloud notwendigen Arbeitsschritte, Sicherheits- und rechtliche Aspekte bekommen wollen, um entscheiden zu können, in welchem Umfang sie zu Cloud-Diensten migrieren wollen und was sie dabei beachten müssen, um einen sicheren Geschäftsbetrieb zu ermöglichen.

Themenüberblick:

  • Vorstellung von Cloud-Modellen
    • IaaS, PaaS, SaaS
    • Public, Private, Community, Hybrid
  • Vor- und Nachteile für die IT-Sicherheit
  • Verantwortlichkeiten in der Cloud
  • Anforderungen an das Design
    • Analyse der Geschäfts-Anforderungen
    • Möglichkeiten und Grenzen der Cloud-Modelle
    • Grundsätzliche Prinzipien zur Absicherung
  • Sicherheit in der Cloud
    • Überblick über Sicherheitsrisiken der Cloud-Modelle
    • Angriffsoberfläche
    • Risiken der Virtualisierung
    • Business Continuity, Desaster Recovery
  • Klassifizierung von Daten
  • Speicherung, Sicherheit und Schutz der Daten
  • Betrieb der Infrastruktur
    • Training und Awareness
    • Überblick sicherer Betrieb
    • Monitoring und Wartung
    • Change Management
    • BC/DR
  • Nachbetrachtung Cloud/Hybrid/On-Premise: Sicherheit und Kosten

Zeitraum: 28. Oktober 2020 9:00 – 28. Oktober 2020 17:00

Preis: 650,- Euro (Endpreis, die Teilnahmegebühr ist umsatzsteuerbefreit).

November

Ein maßgeblicher Standard zur Etablierung einer angemessenen Informationssicherheit in einer Institution ist in Deutschland der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Für viele Behörden und für Unternehmen, welche als Auftragnehmer der öffentlichen Verwaltung tätig sind, ist die Anwendung des BSI-Grundschutzes vorgegeben. In diesem Seminar wird die komplette Vorgehensweise zur Implementierung eines Informationssicherheitsmanagements nach dem IT-Grundschutz des BSI – von der Initiierung des Sicherheitsprozesses über die Erstellung einer Sicherheitskonzeption bis hin zur Zertifizierung – anschaulich in allen Schritten vermittelt. Dazu werden die Standards 100-1 bis 100-4 und die Grundschutz-Kataloge (Bausteine, Gefährdungs- und Maßnahmenkataloge) erläutert und Tipps zur Umsetzung in der Praxis gegeben. Das Seminar zielt nicht auf eine detaillierte Betrachtung der einzelnen Bausteine und Maßnahmen, sondern auf das Verstehen der BSI-Grundschutz-Philosophie ab. Die Teilnehmer lernen, die Zusammenhänge zu verstehen und die einzelnen Möglichkeiten zu bewerten, um somit den BSI-Grundschutz in ihrer Institution korrekt zu implementieren. Je nach Umgebung und Schutzbedarf kann es notwendig sein, zusätzlich eine erweiterte Risikoanalyse durchzuführen. Auch solche Fälle werden anhand praktischer Beispiele besprochen.

Themenüberblick:

  • 1. Tag
    • Einleitung Informationssicherheit:
      • Begriffe
      • Ziele, Risiken, Methoden
      • Gesetzliche Anforderungen
      • Sicherheitszertifizierungen (Arten, Nutzen, Auswahl)
      • Risikoanalyse
    • BSI-Grundschutz – Überblick
    • BSI-Standards
      • 200-1: Managementsysteme für Informationssicherheit (ISMS)
      • 200-2: IT-Grundschutz-Vorgehensweise
      • 200-3: Risikoanalyse auf der Basis von IT-Grundschutz
      • 200-4: Notfallmanagement
    • Vorgehensweise nach BSI-Grundschutz
      • Geltungsbereich
      • Strukturanalyse
      • Schutzbedarfsfeststellung
      • Modellierung
      • Basis-Sicherheitscheck
      • ergänzende Sicherheitsanalyse
      • Umsetzung
      • Revision
      • Zertifizierung
  • 2. Tag
    •  IT-Grundschutz-Kompendium
      • Bausteine
      • Gefährdungen
      • Maßnahmen
      • Umsetzungshinweise

 

Zeitraum: 04.11.2020 10:00 Uhr – 05.11.2020 15:30 Uhr

Preis: 1250,- Euro (Endpreis, die Teilnahmegebühr ist umsatzsteuerbefreit).

Das Darknet ist in aller Munde – als Ort, in dem sich Dissidenten aus autoritären Ländern neben Kriminellen und Neugierigen tummeln. In diesem Seminar werden Möglichkeiten, Orte und Gefahren im Darknet behandelt und verschiedene Darknet-Konzepte eingeführt. Teilnehmer haben die Möglichkeit, selbst Rechner zur Nutzung des Darknets einzurichten und sich anschließend im Darknet auf eigene Gefahr zu bewegen. Im Rahmen des Seminars werden typische im Darknet abrufbare Inhalte vorgestellt, wie geleakte Daten, Kaufangebote und politische Informationen, Recherchemöglichkeiten (mit bestehenden, fertigen Tools und Bau eigener Werkzeuge) aufgezeigt sowie Sprachgebrauch und Konventionen bei der Durchführung von Geschäften über das Darknet erläutert.

Das Seminar beinhaltet darüber hinaus eine kurze Einführung in Kryptowährungen wie Bitcoin und Ethereum und gibt einen Überblick über häufig genutzte Kryptowährungen, ihre Funktionsweise und ihre Nachvollziehbarkeit.

Teilnehmer dieses Seminars sind in der Lage, selbstständig Recherchen im Darknet durchzuführen, über das Darknet Kontakte aufzunehmen und den Weg von Daten durch das Darknet nachzuvollziehen. Weiterhin gibt ihnen das Seminar die Möglichkeit, Kryptowährungen zu nutzen und Zahlungsströme bei Kryptowährungen zu verfolgen.

Themenüberblick:

  • Vorbereitungen
    • Vorbereitung der Laptops
    • Installation der VMs
    • Belehrung und allgemeine Hinweise zum Verhalten
  • Einführung: Was ist das Darknet? Grundlagen
    • Definition „Darknet“
    • Technische und soziale Aspekte
    • Einrichtung von Rechnern zur Nutzung des Darknets
  • Technische Funktionsweise, Anonymität
    • Funktionsweise des Tor-Netzwerks, Hidden Services
    • Bekannte Angriffe gegen das Tor-Netzwerk und ihre Abwehr
    • Überblick über Teilnehmer des Tor-Netzwerks
    • Andere Darknet-Konzepte (I2P, Freenet)
  • Tor und Applikationen (Tor Browser, Torchat)
    • Demonstration und Übung: Tor Browser
    • Eine Reise durch das Darknet: Möglichkeiten, Orte und Gefahren
    • Demonstration und Übung: Torchat
  • Handel im Darknet
    • Funktionsprinzip des Handels im Darknet
    • Foren, Marktplätze und Usancen
    • Demonstration und Übung: Handel
  • Recherchen im Darknet
    • Öffentlich zugängliche Suchmaschinen
    • Der Weg von Leaks durch das Darknet
    • Demonstration: Erstellung einer eigenen Suchmaschine für Darknet-Webseiten
    • Übung: Eigenständige Recherche (auf eigene Gefahr)
  • Einführung in Kryptowährungen, häufig genutzte Kryptowährungen
    • Einführung: Funktionsweise und Geschichte von Kryptowährungen
    • Ein Streifzug durch die Welt der Kryptowährungen (Bitcoin, Bitcoin Cash, Ethereum, Monero, …)
    • Aufbewahrung und Transaktionen von Kryptowährungen
    • Demonstration und Übung: Durchführung von Transaktionen
  • Nachvollziehbarkeit von Zahlungsströmen
    • Die Blockchain – Öffentlich zugängliche Informationen bei der Nutzung von Kryptowährungen
    • Andere öffentliche Quellen
    • Demonstration und Übung: Nachvollziehbarkeit von Zahlungsströmen

Zeitraum: Tag 1: 10:30 Uhr bis 17:30 Uhr & Tag 2: 09:00 Uhr bis 15:30 Uhr

Preis: 1250,- Euro (Endpreis, die Teilnahmegebühr ist umsatzsteuerbefreit).

Seit Mai 2018 gelten in der Verarbeitung von personenbezogenen Daten neue Standards. Das Inkrafttreten der EU GS-DVO wird zu einer Erhöhung des Datenschutzniveaus sowie der Informationssicherheit von Organisationen beitragen. Es entstehen aber auch etliche praktische Herausforderungen: wie sind die gesetzlichen Inhalte im ständigen Wandel der Digitalisierung nachhaltig umzusetzen? Mit bloßer Implementierung von Maßnahmen ist es kaum getan, denn personelle Veränderungen, neue Betriebsmittel und zunehmende Vernetzung außerhalb/innerhalb einer Institution haben stets erhebliche Auswirkungen auf die Wirksamkeit von Datenschutzmaßnahmen.

Eine Antwort auf diese praktischen Herausforderungen kann die Einführung eines Datenschutz-Management-System (DSMS) sein, bietet Sie doch u.a. folgende Vorteile: – kontinuierliches Risiko-Management

  • Vorbeugung, Erkennung und Behandlung von Datenschutz-Vorfällen
  • automatische Dokumentenversionen, Richtlinien und Dokumente einpflegen und ad hoc durchsetzen
  • Plattform für Beschwerden und Hinweise
  • Betroffenenrechte nach dem Stand der Technik verwalten
  • Kommunikationstool für Meldefristen, Reports und Updates
  • Synergien zum ISMS
  • Zentrale für Mitarbeiterschulung und -Sensibilsierungsmaßnahmen

Praxisnähe ist Programm: Unser Referent erläutert den Aufbau eines DSMS an Hand eines anonymisierten Kunden-beispielen sowie die Einführung, Implementierung und Umsetzung entlang der vier Phasen: Predict, Prevent, Detect, Respond. Dazu werden Hersteller-unabhängig relevante IT Security- und Datenschutz-Werkzeuge vorgestellt, deren Einsatz eine Schnittstellenanalyse zum ISMS und die Definition von Schutzzielen vorausgeht. Aktualisierbar und auditierbar werden alle Maßnahmen im DSMS-Handbuch zusammengefasst.

Da sich je nach Größe der Organisation differenzierte Anforderungen stellen, werden im Seminar fachlich wie finanziell angemessene Lösungen für den Erfolg eines DSMS-Betriebs erarbeitet. Die Teilnehmer erhalten eine Anleitung zur Einführung und Umsetzung eines DSMS und sind so in die Lage versetzt, den Datenschutz von Verwaltungseinheiten rechtskonform zu kontrollieren und das erreichte Niveau zu verbessern.

Themenüberblick:

  • Rechtliche Grundlagen nach EU DS-GVO (Verordnung (EU) 2016/679)
  • Grundlagen Projekt-Management-Systeme: PDCA, DSMS
  • Identifikation von relevanten Datenanwendungen (Verfahrensverzeichnis) und Bewertung der Risikofelder
  • Die vier Phasen des DSMS: Handlungsmuster, geforderte Inhalte und Maßnahmen zur Umsetzung
  • Praktisches Beispiel: „Das DSMS einer deutschen Forschungseinrichtung“
  • Integration von Tools zur Erleichterung eines DSMS
  • Schnittstellen-Analyse und Synergien zum ISMS
  • Übersicht durch DSMS-Handbuch: GAP-Analyse, Tool-Auswahl, Implementierung, Regelbetrieb, Akzeptanzschaffung, Schulung, Audit, Kontrolle, Bericht, Integration neuer Prozesse nach EU DS-GVO

Zeitraum: 12.11.2020 09:00 Uhr – 12.11.2020 17:00 Uhr

Preis: 650,- Euro (Endpreis, die Teilnahmegebühr ist umsatzsteuerbefreit).

The working language of the seminar will be English. Please note that currently, some documents related to registration and pre-information are only available in German. If you thus have any questions, feel free to contact us via mail or phone.

The environment for criminal investigations has dramatically changed. Today’s criminals are tech-savvy and regularly misuse modern online tools and platforms for their criminal agenda. A vast amount of crimes today includes online activity, communications, tools and platforms. That means that plenty of evidence can be found through traces left on the internet. Investigators can utilize those same resources, to uncover and collect trails and evidence relating to their cases.

In this unique course you will be taught how to gather in-depth information about your target from publicly available resources, through the discipline of Open Source Intelligence (OSINT). The methods taught will help you discover new leads in your investigation and facilitate your evidence collection. You will also learn to profile a target through Social Media Intelligence (SOCMINT) and then utilize this profile to engage with the target and elicit information that will facilitate your investigation through methods of Human Intelligence (HUMINT). This course is particularly useful for both open and covert operations, as well as passive reconnaissance and information gathering on specific suspects. This course combines established intelligence collection practices with state-of-the-art technologies, and methodologies.

Outline:

  • Introduction
    o Course Overview: A hidden world in plain sight
    o Terminology
    o Legal considerations
    o Internet technologies
    o Intelligence cycle
  • Operational Security (OPSEC)
    o Cyber risks & countermeasures
    o Investigation workspace
    o Creation of sock puppets
  • Open Source Intelligence (OSINT)
    o Basic search techniques
    o People searches including (username, e-mail address and phone)
    o Website investigation
  • Social Media Intelligence (SOCMINT)
    o Basic information gathering principles for social networks
    o Content analysis
    o Cold Reading: conducting inferences and logical deductions
    o Reverse image searches
    o Forensic linguistics
  • Human Intelligence (HUMINT)
    o Profiling
    o Non-verbal communication
    o Engaging and building rapport
    o Perception reframing & information elicitation
    o Influence techniques
  • Collection & Documentation
    o Basic web scraping
    o Preserving evidence
    o OSINT Frameworks
  • Intelligence Analysis
    o Basic intelligence analysis principles
    o Common Pitfalls & Cognitive Biases
    o Graphical analysis techniques

Zeitraum: 18.11.2020 09:00 Uhr – 19.11.2020 17:00 Uhr

Preis: 1250,- Euro (Endpreis, die Teilnahmegebühr ist umsatzsteuerbefreit).

Zur strukturierten Verarbeitung von Daten werden Datenbanken in verschiedenen Formen eingesetzt. Doch dieser Datenreichtum nutzt nicht nur den Berechtigten: Datenbanken sind ein lohnendes Ziel für Datendiebstahl oder -Sabotage.

In diesem Seminar werden verschiedene Typen von Datenbanken beleuchtet und konkrete Strategien zur Reduzierung des Risikos vorgestellt. Anhand von Praxisbeispielen bekannter Datendiebstähle und -verluste wird demonstriert, wie falsche Architekturen, schlechte Konfigurationen und häufige Fehler zu Datenvorfällen führen und wie man diese Fehler vermeidet.

Eine Demonstration anhand der Datenbanklandschaft einer fiktiven Behörde zeigt, wie schnell ein Angreifer aus schlecht gesicherten Datenbanken nicht nur Daten entnehmen, sondern auch Daten verändern kann, und mit welchen Maßnahmen dagegen vorgegangen werden kann.

Teilnehmer dieses Seminars sind in der Lage, Datenbanken in verschiedener Form nach dem Stand der Technik zu betreiben und abzusichern sowie aktuelle Informationen zu neu bekanntgewordenen Sicherheitsrisiken korrekt einordnen und die notwendigen Schritte einzuleiten.

Themenüberblick:

  • Grundlagen, Einführung in das Thema Datenbanksicherheit
    • Einführung in das Thema Datenbanken
    • Grundlagen der sicheren Datenverwaltung
    • SQL- und NoSQL-Datenbanken
    • Zugriffsszenarien auf Datenbanken
  • Häufig genutzte Datenbanken und ihre Sicherheitsrisiken
    • SQL-Datenbanken im Webapplikations-Umfeld: MariaDB/MySQL, PostgreSQL
    • SQL-Datenbanken im Enterprise-Umfeld: Microsoft SQL Server, Oracle RDBMS
    • NoSQL-Datenbanken: MongoDB, Elasticsearch/Lucene, CouchDB, Redis
  • Praxisbeispiel: Diebstahl von etwa 11.000 personenbezogenen Datensätzen aus einer Datenbank eines Webservers
    • Ausgangssituation
    • Erster Angriff
    • „Lateral Movement“: Weitere Aktionen des Angreifers im Netzwerk
    • Der eigentliche Diebstahl
    • Entdeckung des Diebstahls
    • Aufklärung (Forensik)
    • Recovery, Lessons learned
  • Praxisbeispiel: Erpressung mit gestohlenen und gelöschten Daten auf MongoDB-Systemen
    • Ausgangssituation
    • Der automatisierte Angriff, Funktionsweise
    • Schutz vor weiteren Angriffen, Recovery
  • Demonstration: Angriff auf eine schlecht gesicherte Datenbanklandschaft
  • Konkrete Maßnahmen zur Erhöhung der Sicherheit von Datenbanken
    • Sichere Konfiguration der in Punkt 2 erwähnten Datenbanken
    • Häufige Fallstricke und wie man sie vermeidet
    • Zusätzliche Tools zur Erhöhung der Sicherheit von Datenbanken
    • Forensik und Disaster Recovery nach einem Sicherheitsvorfall

Zeitraum: 19. November 2020 09:00 – 19. November 2020 17:00

Preis: 650,- Euro (Endpreis, die Teilnahmegebühr ist umsatzsteuerbefreit).

Die Wahrscheinlichkeit, Opfer eines Sicherheitsvorfalls zu werden, liegt bei Unternehmen bzw. Behörden in Deutschland aber auch bei Privatpersonen mittlerweile bei über 50% – und sie steigt weiter. Selbstverständlich kann und sollten Institutionen sich gegen Angriffe mit einem individuellen Informationssicherheitskonzept schützen. Dazu gehören einerseits proaktive Maßnahmen wie ein sauberes Netzwerkkonzept und Sensibilisierungsmaßnahmen für alle Mitarbeiter. Andererseits ist ein 100%iger Schutz nicht möglich bzw. bezahlbar, deshalb muss auch eine entsprechende Planung zum Umgang mit Sicherheitsvorfällen Bestandteil des Sicherheitskonzepts sein. Viele Schäden, die im Zuge eines Sicherheitsvorfalls entstehen, resultieren aus falschen Reaktionen. So wird z. B. häufig Hardware einfach ausgeschaltet, was zu korrupten Daten führen kann oder die Kommunikation nach außen läuft derart aus dem Ruder, dass es zu kapitalen Reputationsverlusten in der Öffentlichkeit kommt.

Nutzen für die Teilnehmer
In diesem Seminar bekommen die Teilnehmer einen Überblick darüber, wie man korrekt mit Sicherheitsvorfällen umgeht und welche Strategien und Maßnahmen Bestandteil eines Incident Response-Konzepts sein sollten.

Themenüberblick:

  • 1. Tag
    • Warum ein Incident Response-Konzept?
    • Ziele eines solchen Konzepts
    • Ab wann ist ein Vorfall ein Sicherheitsvorfall?
    • Wie erkennt man einen Sicherheitsvorfall?
    • Typische Angriffsvektoren und Angreiferklassen
    • Wer ist verantwortlich?: Bilden eines CERT
    • Kommunikation nach innen bzw. nach außen
    • Stoppen bzw. Eindämmen von Angriffen
    • Sicherstellen der Verfügbarkeit von Daten und Diensten
  • 2.Tag
    • Vorbereitende Schritte für eine nachfolgende IT-Forensik
    • Analysieren und Schließen von verwendeten Sicherheitslücken
    • Analyse des Sicherheitsvorfalls: technisch und organisatorisch
    • Dokumentation: im Vorfeld – Kontakte, Checklisten, Prozesse, etc.
    • Dokumentation: im Nachgang – Protokoll des Zwischenfalls
    • Lessons Learned: Ableiten zukünftiger Sicherheitsmaßnahmen

Zeitraum: 24. November 2020 11:30 Uhr – 25. November 13:30 Uhr

Preis: 1250,- Euro (Endpreis, die Teilnahmegebühr ist umsatzsteuerbefreit).