Certified Data- and Information-Security Manager
Gegenstand des Seminars

Die CDISM-Zertifizierung bietet Ihnen eine einmalig fundierte theoretische und praxisnahe Einführung in die Themengebiete Informationssicherheit und Datenschutz.

Durch eine Vielzahl von namhaften Top-Referenten haben Sie die Möglichkeit, tiefgreifende Einblicke in alle Aspekte der Informationssicherheit und des Datenschutzes zu erlangen. Alle unsere Referenten vermitteln sehr praxisnah und anhand vieler Beispiele, wie das erlangte Wissen im „echten Leben“ Anwendung finden kann. Wir bieten Ihnen einen Blick, über den üblichen Tellerrand hinaus, so dass Sie ein tiefgehendes Verständnis auf die Themen bekommen können. Eine weitblickendere und effizientere Ausbildung zum Thema Informationssicherheit und Datenschutz werden Sie nirgends finden.

Dauer des Seminars:
16 Tage

Termine:
1. Woche: 28.08. - 01.09.2017

2. Woche: 25.09. - 29.09.2017
3. Woche: 23.10. – 28.10.2017

Zielsetzung

Das Certified Data- and Information-Security Manager-Programm zertifiziert den Kursteilnehmer als ganzheitlichen Datenschutz- und Informationssicherheitsexperten. Der Certified Data- and Information-Security Manager ist ein Fachmann/eine Fachfrau, der/die es versteht, alle Belange des Datenschutzes und der Informationssicherheit in Unternehmen/Behörden jeder Größe zu initiieren und umzusetzen.

Zielgruppe

Informationssicherheitsbeauftragte, Datenschutzbeauftragte, IT-Administratoren, IT-Leiter, Auditoren, IT-Sicherheitsberater, Datenschutzberater, IT-Revisoren.

Voraussetzungen:
Grundlegende IT-Kenntnisse von Vorteil

Seminarablauf

Initiierung und Umsetzung eines ISMS

  • Grundlagen der Informations-Sicherheit nach ISO/IEC 27001 und auf Basis von IT-Grundschutz
  • rechtliche Grundlagen
  • Einführung in die ISO 27001 ff. Standards und die Grundschutzkataloge und BSI-Standards 100-1 und 100-2
  • Erstellung einer Informations-Sicherheitsleitlinie
  • Aufbau einer Organisationsstruktur zum Umsetzen eines ISMS
  • Aufgaben des IT-Sicherheitsbeauftragten
  • Sensibilisierung der Mitarbeiter
  • Aufgaben eines ISMT
  • Durchführung einer Strukturanalyse
  • Modellierung
  • Einführung in die Dokumentation
  • Überblick über HiScout als Dokumentationstool
  • Durchführung einer Schutzbedarfsfeststellung
  • Basis-Sicherheitscheck
  • Risikoanalyse nach ISO 31000 und BSI-Standard 100-3
  • BCM nach ISO 22301 und Notfallvorsorge nach BSI-Standard 100-4
  • interne und externe Audits

Einführung in den Datenschutz unter Berücksichtigung der europäischen Datenschutzgrundverordnung

Einführung:

  • Einführung und Überblick ins Datenschutzrecht der Behörden
  • Aktuelle gesetzliche Entwicklungen, EU-Datenschutzgrundverordnung

Rechtsgrundlagen:

  • Prinzipien des Datenschutzes
  • Gesetzesgrundlagen
  • Definition und Begriffe
  • Zulässigkeit der Datenverarbeitung

Verfahrensdokumentation:

  • Gesetzliche Anforderungen an die Verfahrensdokumentation
  • Hilfsmittel zur Verfahrensdokumentation
  • Praktische Übung: Erstellung eines Verfahrensverzeichnisses

Aufgaben des Datenschutzbeauftragten:

  • Gesetzliche Pflichten des Datenschutzbeauftragten in einer Behörde
  • Rechtsstellung des Datenschutzbeauftragten

Datenschutzorganisation:

  • Organisation des Datenschutzes in einer Behörde
  • Tools und Hilfsmittel für das Datenschutzmanagement
  • Arbeitsplan für die ersten 12 Monate
  • Umgang mit Presseanfragen/Anfragen nach den Informationsfreiheitsgesetzen

Auftragsdatenverarbeitung:

  • Anwendungsbereiche
  • Anforderungen § 11 BDSG und der Landesdatenschutzgesetze
  • Abgrenzung zur Funktionsübertragung
  • Cloud-Computing
  • Prüfung von Verträgen zur Auftragsdatenverarbeitung
  • Auditierung von Dienstleistern

Rechte der Betroffenen:

  • Gesetzliche Ansprüche, insbesondere Auskunftsansprüche
  • Rechtsgültige Einwilligung in die Datenverarbeitung

Beschäftigtendatenschutz:

  • Leistungs- und Verhaltenskontrolle
  • E-Mail- und Internetnutzung
  • Prüfung von vertraglichen Regelungen und Dienstvereinbarungen zu IT-Nutzung
  • Datenschutz und mobile Endgeräte
  • Bring your own Device
  • Elektronische Personalakte
  • Datenschutz und soziale Medien, z.B. Facebook oder XING

Technische und organisatorische Maßnahmen (TOM):

  • Datenschutz und IT-Sicherheit
  • Vorabkontrolle von Verfahren
  • Kontrollen §9 BDSG inkl. Anlage, insbesondere Zugangs-, Zutritts- und Zugriffskontrolle
  • Digitale Poststelle

Personalrat und Datenschutz:

  • Aufgaben des Personalrats in Bezug auf den Datenschutz
  • Zusammenarbeit zwischen Personalrat und Datenschutzbeauftragtem

Datenschutzschulungen:

  • Gesetzliche Anforderungen
  • Vorbereitung einer Datenschutzsensibilisierung
  • Vorstellung einer Muster-Schulung

Videoüberwachung:

  • Ermächtigung zur Videoüberwachung
  • Datenschutzkonforme Überwachung von Mitarbeitern und/oder Externen
  • Überprüfung von Videoüberwachungsanlagen
  • Vorabkontrolle von Überwachungssystemen

Umgang mit Aufsichtsbehörden:

  • Maßnahmen der Aufsichtsbehörden
  • Bußgeldpraxis
  • Umgang mit Datenschutzpannen
  • Datenübermittlung zwischen Behörden, u. a. Datenweitergabe an Aufsichtsbehörden oder Rechnungshöfe

Netzwerksicherheit

  • Modul 01: Grundlagen
  • Modul 02: Planung, Organisation und Durchführung von Penetrationstests
  • Modul 03: Planen von Angriffen und Informationen sammeln
  • Modul 04: Scanning - Aufspüren von Servern, Diensten und Anwendungen
  • Modul 05: Enumeration Erkennen und Auswerten
  • Modul 06: Exploitationen von Schwachstellen erkennen und ausnutzen
  • Modul 07: Physikalische Angriffe
  • Modul 08: Social Engineering und Feinde unter uns
  • Modul 09: Packet Sniffing und aktives und passives Mitlesen
  • Modul 10: Windows-Hacking
  • Modul 11: Angriffe auf UNIX/Linux
  • Modul 12: Angriffe auf Netzwerkdienste
  • Modul 13: Denial of Service und Destruktive Angriffe
  • Modul 14: Viren, Trojaner, Malware und Rootkits
  • Modul 15: Spuren vernichten
  • Modul 16: Firewalls, IDS und Honeypots
  • Modul 17: Angriffe auf Drahtlosnetzwerke (WLAN)

Infrastruktursicherheit

  • Einführung in das Thema
  • Zahlen, Daten, Fakten zum Thema Einbruch
  • Tätervorgehensweisen
  • Schwachstellen
  • Mechanische Sicherungseinrichtungen
    • Einbruchhemmende Produkte
    • Nachrüstung
  • Elektronische Sicherungseinrichtungen
    • Einbruchmeldeanlagen
    • Videoüberwachungsanlagen
    • Zugangskontrollsysteme
  • Einbruchschutz und IT-Sicherheit
    • IT-Grundschutz nach BSI
    • Sicherung der Infrastruktur
    • Maßnahmenkataloge

Strategische IT-Sicherheit

  • Neue Risiken und ihre Bedeutung für den Return on Security Invest
  • Effektivität und Effizienz von Sicherheitstechnologien erkennen und bewerten
  • strategische Kommunikation von IT-Sicherheitsrisiken
  • industrielle Innovation von und mit IT-Sicherheit

IT-Dokumentation

  • Welche Anforderungen an die Dokumentation gibt es?
  • Was prüfen Wirtschaftsprüfer und Revisoren?
  • Welche Dokumentationsfelder gibt es im IT-Umfeld?
  • Wie kann eine IT-Dokumentation strukturiert werden?
  • Was gehört zur Dokumentation für den operativen IT-Betrieb?
  • Wie gehe ich sinnvoll mit Informationssicherheit und Notfallmanagement um?
  • Welche Dokumente werden aus Sicht von IT-Sicherheit benötigt?
  • Was sind notwendige Dokumente der IT-Notfalldokumentation?
  • Wer ist für welche Teile der Dokumentation von Applikationen verantwortlich?
  • Welche Vorteile hat ein Dokumentationsmanagement?
  • Wie kann ein Dokumentationsmanagement praxisnah aufgebaut werden?
  • Wie starte ich das Dokumentationsprojekt?
  • Wie können Tools die Dokumentationsaufgaben unterstützen?

Grundlagen der IT-Forensik

  • Was ist wichtig in der IT-Forensik, dem Beweissicherungsprozess in einem Unternehmen etc.
    • Locard’sches Prinzip
    • Dokumentation
    • Reproduzierbarkei
  • Gegenüberstellung Post-Mortem vs. Liveforensik
  • Besprechung wichtiger/gängiger Tools
  • Basics Dateisysteme
  • Demonstration Spurenträger (Nachbildung Antreffsituation)
  • Anwendung IT-Forensik
    • Wie erkenne ich einen IT-Sicherheitsvorfall
    • Konzepte
    • IT-Sicherheitsgesetz
    • Betriebsrat, etc.
  • Ablauf einer IT-Forensik-Untersuchung (post Mortem)
    • Technische Anforderungen an die Datenaufbereitung
    • Metadaten
    • Zeitstempe
  • Konzeptlage
    • Betriebskonzept/Sicherheits-/Backup- /Notfallkonzept – Idee, lesen, verstehen, nutzen
  • Zeitschiene Cybercrime
  • Fallbeispiel
    • Aus dem Tag eines IT-Forensikers
    • Ziele vor Ort
    • To do’
  • Praxisteil Wireshark
    • Nachstellung virtuelles Netzwerk
    • Analyse von Malware, welche Verbindungen, was läuft auf dem Netzwer
  • Exkurs Social Engineering
  • Branchenschwerpunkte
    • Banken
    • Versicherungen
    • Krankenhäuser
    • Industrie 4.0
  • Datenspuren
  • „Wie sieht die Welt heute aus?“
  • Internet der Dinge/Hausautomatisierung

Big Data Analysen/Front Door Angriffe

  • Spiegel Mining
  • Traue keinem Scan, den du nicht selbst gefälscht hast
  • Front Door Angriffe

Cyber-Security und strategische Risiken

Durch die Vernetzung steigt die Komplexität in Systemen und es entstehen systemische Risiken. Wie können diese erkannt und beachtet werden?
Systemische Risiken begünstigen strategische Schocks, Ereignisse, die in der Lage sind, unser Zusammenleben abrupt und nachhaltig zu verändern.
Durch ein sich gegenseitig ergänzendes Robustheits- und Resilienz-Denken und -Handeln kann das Risiko gesenkt, bzw. der Umgang mit unerwarteten Situationen verbessert werden. So kann die Gesellschaft besser mit neuen und unerwarteten Situationen und Entwicklungen umgehen. Eine komplementäre Herangehensweise beim Krisenmanagement erleichtert die Bewältigung von strategischen Schockereignissen. Was kann dabei alles berücksichtigt werden? Warum spielt dabei die aktive Einbindung der Bevölkerung die zentrale Rolle? Die voranschreitende IT-Vernetzung in den Infrastrukturen (Stichworte wie Industrie 4.0, Smart Grid, Internet der Dinge) schaffen völlig neue Verwundbarkeiten. Auf diese sind wir unvorbereitet und unsere bisherigen Lösungsansätze sind wenig geeignet, mit ihnen umzugehen. Welche aktuellen Beispiele können exemplarisch analysiert werden und uns für weitere negative Entwicklungen sensibilisieren? Wie ist es möglich, achtsam neue Entwicklungen anzustoßen und auch Risiken einzugehen, ohne sich auf eine Scheinsicherheit zu verlassen?

Referenten
Heiko  Fauth, BSI-lizensierter Auditteamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz, IS-Revisions- und IS-Beratungsexperte sowie zertifizierter Datenschutzbeauftragter nach dem Ulmer-Modell. Er ist auf die Vorbereitung, Umsetzung und Auditierung von Risiko- und IS-Managementsystemen nach ISO/IEC 27001 und BSI IT-Grundschutz spezialisiert, sowie als externer Datenschutzbeauftragter bei zahlreichen namhaften national und international tätigen Unternehmen aus verschiedensten Wirtschaftsbereichen bestellt. Herr Fauth war über 20 Jahre für Sicherheitsbehörden tätig, unter anderem mehr als 6 Jahre als IT-Sicherheitsbeauftragter und IT-Grundschutz-Auditor.
Dr.  Sandro  Gaycken, Technikphilosoph und Experte für Cyber-Kriminalität, Direktor des Digital Society Institute Berlin, ESMT Berlin, zählt zu den führenden Experten im Bereich IT-Security und befasst sich mit den Auswirkungen der Informationstechnologien auf unsere Gesellschaft. Als Technikphilosoph und Senior Researcher für Cybersecurity und Cyberstrategy an der European School of Management and Technology in Berlin forscht er zu den Themen IT und Gesellschaft und interessiert sich zudem für das Zusammenspiel von Ethik, Technologie und Politik.
Gerrit  Huesmann, ist Rechtsanwalt und externer Datenschutzbeauftragter. Rechtsanwalt Huesmann ist TÜV-zertifizierter Compliance Officer, Mediator und zertifizierter ISO 27001 Lead Auditor. Er verfügt über langjährige Erfahrung aus seiner Arbeit in Rechtsabteilungen in der Finanzbranche sowie der IT-Wirtschaft.
Frank  Jesse, Erster Kriminalhauptkommissar arbeitet in der technischen Prävention des Landeskriminalamts Baden-Württemberg und ist seit 20 Jahren sicherungstechnischer Berater des Landes Baden-Württemberg. Im Rahmen seiner Tätigkeit war er mit der Sicherung unterschiedlichster Objekte betraut und ist Experte für Gebäudesicherheit mit den Schwerpunktthemen mechanische und elektronische Sicherungsmaßnahmen.
David  Kriesel, ist Informatiker und hat in Bonn sowie an der Cornell University (Ithaca, New York, USA) studiert bzw. geforscht. In der Informatik interessieren ihn besonders die Biologie-nahen Themen: Neuroinformatik, Machine Learning und Schwarmverhalten. Kriesel ist Autor eines Buchs über eine der fortschrittlichsten Techniken, mit denen man Computer vollautomatisch lernen lassen kann - Neuronale Netze - und stellt dieses Buch kostenfrei auf seiner Website dkriesel.com zur Verfügung. Kriesel ist seit seinem 14. Lebensjahr - das war 1998 - beruflich in verschiedenen Feldern der IT aktiv. Aktuell macht Kriesel hauptberuflich das, worüber gerade alle reden: Big Data. Er arbeitet als Advanced Analytics Technology Engineer bei Procter & Gamble. Nebenberuflich betätigt er sich als Berater und Speaker für Konferenzen und Firmenveranstaltungen. Abseits der Informatik ist Kriesel sehr interessiert daran, wie die Digitalisierung der Welt die Gesellschaft beeinflusst. Dies legt nahe, dass er noch eine Sozialwissenschaft hätte dazustudieren sollen, er ist aber auch so zufrieden.
Dr.  Manuela  Reiss, ist Inhaberin von dokuit. Sie berät Kunden unterschiedlicher Branchen bei der Konzeption und Analyse ihrer IT-Dokumentation und unterstützt sie bei der Umsetzung ihrer Dokumentationsprojekte. Als ausgewiesene Expertin für den Bereich IT-Dokumentation bringt sie ihre Erfahrungen aus mehr als 25 Jahren freiberuflicher Tätigkeit als Beraterin und Trainerin ein. Daneben hat Dr. Manuela Reiss sich als Fachbuchautorin einen Namen gemacht und diverse Beiträge und Bücher, u. a. das „Praxisbuch IT-Dokumentation" veröffentlicht.
Herbert  Saurugg, MSc, Experte für die Vorbereitung auf den Ausfall lebenswichtiger Infrastrukturen, war 15 Jahre Berufsoffizier des Österreichischen Bundesheeres, zuletzt im Bereich IKT-/Cyber-Sicherheit. Seit 2012 beschäftigt er sich mit den möglichen Auswirkungen der steigenden Vernetzung und Komplexität und den damit verbundenen systemischen Risiken. Als Mahner in der Wüste versucht er seit Jahren auf die zunehmende gesellschaftliche Verwundbarkeit durch die steigenden infrastrukturellen Abhängigkeiten hinzuweisen. Ihm geht es dabei vor allem um die Vorbereitung auf Nicht-Verhinderbares und den Umgang mit unerwarteten Ereignissen, da es nirgends eine 100-prozentige Sicherheit gibt. Er betreibt dazu auch einen umfangreichen Fachblog mit konkreten Hilfestellungen (www.saurugg.net).
Björn  Schemberger, arbeitet seit mehreren Jahren als IT-Forensiker für das Landeskriminalamt (LKA) Baden-Württemberg. Im Jahr 2006 beendete er sein Hochschulstudium der technischen Informatik mit dem Schwerpunkt Kommunikationstechnik. Bereits 2011 schloss er ein weiteres Studium als “Master of Science in applied IT-Security” ab. In seiner Berufslaufbahn hatte er verschiedene Schwerpunktthemen, so die Live-Forensik, Kryptologie und aktuell die Netzwerk-Forensik, jeweils auch im operativen Umfeld. Die Wurzeln der Informatik reichen bei Herrn Schemberger über 20 Jahren zurück, er ist Itler aus Leidenschaft. Seit 2009 betreibt er daher nebenberuflich sein Gewerbe „blue-it“, das individuelle Sicherheitslösungen für Privatkunden und kleine Unternehmen anbietet und sich in der digitalen Forschung engagiert.
Tom  Wechsler, arbeitet seit dem Jahr 2000 in der Informatik und ist seit 2007 selbstständiger IT Engineer & Consultant. Das Wissen aus seinen stetigen Weiterbildungen in der Informatik (Certified Ethical Hacker, CompTIA Network+/Security+/Linux+/Server+/Cloud+, Microsoft MCSE, MCSA, MCS, MCTS und Cisco CCNA R&S und Security) gibt er gerne weiter, wobei ihm auch seine Ausbildung zum MCT (Microsoft Certified Trainer) hilft. http://www.winsolution.ch
Termin und Ort
Ort:
Tagungshotel
6105 Leutasch


Zeitraum:
28.08.2017 09:00 Uhr - 28.10.2017 17:00 Uhr

Preis

4.990.- Euro zzgl. MwSt. und Prüfung 300.- Euro zzgl. MwSt.

Im Preis enthalten:

  • Teilnahme an der Schulung
  • Teilnahmebescheinigung
  • Seminarunterlagen
  • 13 x Übernachtung im Hotel 4*S
  • Vollpension
  • Seminarverpflegung
  • Rahmenprogramm
  • Zertifikat nach bestandener Prüfung

Die An- und Abreise sind individuell zu organisieren. Es besteht die Möglichkeit, Ihren Aufenthalt im Tagungshotel um das Wochenende davor und/oder danach zu verlängern. Transfers vom Bahnhof oder Flughafen sind möglich.

Zur Anmeldung


Partner:


Veranstaltungen nach Datum


September 2017 (9)

Oktober 2017 (6)

November 2017 (14)

Dezember 2017 (1)

Januar 2018 (2)

Mai 2018 (1)


Veranstaltungen nach Thema


Datenschutz
Digital Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung