Informationssicherheit für (kommunale) Betreiber kritischer Infrastrukturen
Gegenstand des Seminars

Um ihrer Aufgabe der Grundversorgung nachzukommen, müssen Betreiber kritischer Infrastrukturen schon lange gewisse Sicherheitsstandards einhalten. Doch mit der zunehmenden Digitalisierung nimmt die Anzahl der von außen zugänglichen Schnittstellen und möglichen Ziele zu, die absichtlich oder unabsichtlich durch mangelnde Informationssicherheit beeinträchtigt werden können. Damit rücken Betreiber kritischer Infrastrukturen verstärkt ins Visier potentieller Angreifer. Die Täter können von jedem Ort der Welt aus die Kontrolle übernehmen und im schlimmsten Fall die Versorgung zum Erliegen bringen.
Weil vor allem die Betreiber in kommunaler Hand dafür verantwortlich sind, dass die Personen und Unternehmen in ihrem Einzugsgebiet mit ausreichend Energie versorgt werden, Abwasser beseitigt wird, Infrastrukturen für Informationstechnik und Telekommunikation in ausreichendem Maße vorhanden sind und das Notfall- und Rettungswesen funktioniert, müssen sie handeln, um nicht zum Ziel der Angreifer zu werden.
Dazu müssen Sicherheitsrisiken minimiert und die geschäftskritischen Informationen geschützt werden. Dies lässt sich z. B. durch die Einführung eines Informationssicherheits-Managementsystems realisieren. Für einige Gruppen der Betreiber kritischer Infrastrukturen ist dies bereits heute verpflichtend (z. B. für Energienetzbetreiber im IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG). Für alle anderen empfiehlt sich eine frühzeitige Auseinandersetzung mit dem Thema, um den Angreifern einen Schritt voraus zu sein und den sicheren Betrieb ihrer Geschäftstätigkeit aufrecht zu halten.

Zielsetzung

Vertreter von Betreibern kritischer Infrastrukturen erhalten eine praktische Einführung in die Themen Informationssicherheit und Informationssicherheits-Managementsysteme. Nach der Schulung sind die Teilnehmer in der Lage, mögliche Gefahrenquellen selbständig zu identifizieren. Sie kennen praxistaugliche Maßnahmen zur Risikominimierung. Die Teilnehmer sind mit dem Konzept eines Informationssicherheits-Managementsystems vertraut und besitzen einen ersten Überblick der anerkannten Standards ISO 27001 und IT-Grundschutz des BSI.

Neben der Wissensvermittlung soll die Schulung den Teilnehmern einen Erfahrungsaustausch untereinander ermöglichen.

Zielgruppe

Die Schulung richtet sich zunächst an Entscheidungsträger und IT- Beauftragte der (kommunalen) Betreiber kritischer Infrastrukturen, die sich allgemein über Informationssicherheit und den Umgang mit möglichen Sicherheitsgefährdungen informieren wollen.

Teilnehmerzahl
Die Schulung ist ausgelegt für maximal 20 Teilnehmer.

Seminarablauf

Themenüberblick, 09:30-16:30 Uhr:

09:30 – 10:00
Begrüßung und Vorstellung der Teilnehmer

10:00 - 11:30
Einführung Informationssicherheit
Zu Beginn wird eine Definition von Informationssicherheit erarbeitet. Damit wird das umfassende Feld verdeutlicht, dem die Informationssicherheit sich widmet und eine Abgrenzung gegenüber verwandten Begriffen geschaffen. Eine kurze Darstellung realer, aufgetretener Gefährdungen im kommunalen Umfeld verdeutlicht den Teilnehmern, dass Risiken der Informationssicherheit in ihrer persönlichen Realität auftreten. Vorgaben, die den Umgang mit Daten und Informationen regeln (z.B. Gesetze und Richtlinien), werden vorgestellt. Den Teilnehmern wird die Rolle ihrer Organisation als Schnittstelle sensibler Informationen verdeutlicht. Daraus werden die Kern-Schutzziele der Informationssicherheit abgeleitet und Bedrohungen, die diese Ziele gefährden, werden erläutert. Im Anschluss erfahren die Teilnehmer, welche weitreichenden Folgen ein Verstoß gegen die Vorgaben an Informationssicherheit nach sich ziehen kann.

  • Kurze Definition Informationssicherheit
  • Gefährdungen Informationssicherheit in persönlicher Realität der Teilnehmer (praktische Beispiele) / Darstellung Ist-Zustand
  • Vorgaben an Datenschutz und Informationssicherheit (extern: Gesetze, Richtlinien, …)
  • (Kommunale) Betreiber kritischer Infrastrukturen als Schnittstelle einer hohen Zahl sensibler Informationen
  • Kern-Schutzziele der Informationssicherheit und Bedrohungen, die Ziele gefährden
  • Auswirkungen bei Verstoß gegen Vorgaben

------ 11:30 – 11:45 Kaffeepause ------

11:45 - 13:00
Sicherheitsszenarien, Erkennung von Risiken und Praxismaßnahmen
Sicherheitsrisiken sind kein abstraktes Konzept, sondern treten in der persönlichen Realität der Teilnehmer im täglichen Arbeitsalltag auf. Nach dem theoretischen Einstieg werden in diesem Modul praktische Beispiele von Gefährdungsszenarien im alltäglichen Umfeld der Betreiber kritischer Infrastrukturen diskutiert. Die Teilnehmer werden in der Erkennung von Sicherheitsrisiken geschult und bekommen die Möglichkeit, dieses Wissen praktisch anzuwenden. Erste, operative Maßnahmen zur ad-hoc Verbesserung der Informationssicherheit werden vorgeschlagen. Hierbei wird gezeigt, dass bereits einfache, durch das Personal getragene Maßnahmen das Sicherheitsniveau deutlich anheben können.

  • Typische Sicherheitsrisiken im Umfeld kritischer Infrastrukturen
  • Erkennen von Sicherheitsrisiken
  • Ableitung von praxistauglichen Maßnahmen

------ 13:00 – 14:00 Mittagspause ------

14:00 - 14:30
Aktuelle Fokusthemen I
Informations- und Kommunikationstechnologien werden stetig weiterentwickelt. Dies ermöglicht die Nutzung neuer Technologien auch für die Betreiber kritischer Infrastrukturen. Damit verbunden treten neue Risiken auf, die die Sicherheit der Informationen gefährden. Die Teilnehmer können aus vier aktuellen Fokusthemen, die in dieser und der folgenden Session angeboten werden, zwei für ihren Alltag relevante Themen wählen. Nach einer kurzen Einführung in das jeweilige Thema werden insbesondere die damit verbundenen Auswirkungen auf die Informationssicherheit aufgezeigt. Die Teilnehmer erfahren, welche Maßnahmen möglich sind, um diesen Gefahren zu begegnen. Dies kann organisatorische Anpassungen ebenso umfassen wie technische Lösungen.

  • Erläuterung des Themas
  • Auswirkungen auf Informationssicherheit
  • Maßnahmen technisch und organisatorisch

Angebotene Themen zur Auswahl:

  • Sichere E-Mail-Nutzung
  • Mobile Computing & Bring Your Own Device

14:30 - 15:00
Aktuelle Fokusthemen II

Angebotene Themen zur Auswahl:

  • Social Engineering
  • Verarbeitung von Daten durch externe Dienstleister

------ 15:00 – 15:15 Kaffeepause ------

15:15 - 16:15
Informationssicherheit „im Griff“ – Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 und IT-Grundschutz des BSI
Um über Einzelmaßnahmen hinaus langfristig Informationssicherheit zu gewährleisten und strategisch in der Organisation zu verankern, dient ein Informationssicherheits-Managementsystem (ISMS). Dieses definiert die Grundlagen für einen systematischen Umgang mit Informationen (Zuständigkeiten, Regeln, Prozesse, …). Der Begriff des ISMS wird den Teilnehmern erläutert und sie werden mit der Zielsetzung und dem Aufbau eines ISMS vertraut gemacht. Die Standards ISO 27001 und IT-Grundschutz des BSI werden vorgestellt, die jeweiligen Vorgehensweisen erläutert und die einzelnen Phasen erklärt. Hierbei wird insbesondere aufgezeigt, worin sich beide Standards unterscheiden und wie sich diese optimal ergänzen lassen.

  • Informationssicherheits-Management als Systematik zum sicheren Umgang mit Informationen (Zuständigkeiten, Regeln, Prozesse, …)
  • Begriff ISMS
  • Weg zum ISMS
  • ISO 27001 und IT-Grundschutz des BSI

16:15 – 16:30
Zusammenfassung und Verabschiedung
Zum Abschluss der Veranstaltung werden die Kernpunkte für die Teilnehmer zusammengefasst und Möglichkeiten zur Klärung weiterführender Fragen beschrieben.

Referenten
Peter  Pachali, Diplom-Wirtschaftsinformatiker, IT-Security Consultant bei der Bundesdruckerei GmbH. Herr Pachali besitzt langjährige Erfahrung in der Durchführung von Sicherheitsschulungen sowie bei der Analyse von Sicherheitskonzepten. Er berät externe Kunden zu Informationssicherheits-Managementsystemen nach ISO 27001 auf der Basis IT-Grundschutz und kennt aus seiner Tätigkeit im Fieldsupport sowie aus mehreren Rollouts von BDr-Geräten sehr gut die Ablauforganisation und IT-Struktur in den bundesdeutschen Meldebehörden.
Lea  Simon, Diplom-Wirtschaftsingenieurin, Beraterin und Sicherheitsexpertin bei der Bundesdruckerei GmbH. Frau Simon ist als Expertin für Informationssicherheit und Prozessmanagement tätig. Sie berät Kunden im öffentlichen und privaten Sektor. Im Rahmen der Informationssicherheit liegt ihr Schwerpunkt insbesondere auf der Einführungsbegleitung von Informationssicherheits-Managementsystemen nach ISO 27001.
Termin und Ort
Ort:
Tagungshotel
Düsseldorf


Zeitraum:
29.03.2017 09:30 Uhr - 29.03.2017 16:30 Uhr

Preis
490,- Euro zzgl. MwSt.
Zur Anmeldung


Partner:


Veranstaltungen nach Datum


Mai 2017 (1)

Juni 2017 (7)

Juli 2017 (1)

August 2017 (1)

September 2017 (25)

Oktober 2017 (6)

November 2017 (14)

Dezember 2017 (1)


Veranstaltungen nach Thema


Datenschutz
Digital Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung