Spätestens mit der europäischen DSGVO und dem deutschen IT-Sicherheitsgesetz haben beide Themen formal an Sichtbarkeit und Relevanz gewonnen. Auch seitens der -Bedrohungssituation steigen die Anforderungen für Datenschutz und Informationssicherheit stetig sehr stark an: Datenlecks, z. B. Patientendaten, DDOS-Attacken, Verschlüsselungstrojaner wie Emotet, spezialisierte Angriffe, Wirtschaftsspionage, Sabotage etc. Datenschutz und Informationssicherheit lassen sich somit heute kaum mehr voneinander trennen. Parallel zu dieser Entwicklung werden die zugrundeliegenden Infrastrukturen immer komplexer: Mobile Endgeräte, Fernwartung, Cloud-Nutzung, "as a service"-Modelle, Anbindung von Anlagensteuerungen im Rahmen von Industrie 4.0 usw.

Die integrierte Fachkraft DSB + ISB entspricht unserem zukünftigen Rollenbild in Organisationen. Bereits heute gibt es vereinzelt integrierte Verantwortliche für Datenschutz, Informationssicherheit, Objektsicherung, Krisenmanagement, Compliance, Governance, Risikomanagement, Qualitätssicherung, Zertifizierungen und Prozesse - denn alle diese Funktionen haben sehr große Schnittmengen und wachsen immer näher zusammen. Überall geht es letztlich um effektive technische und organisatorische Maßnahmen, die entsprechend eines ganzheitlichen Risikomanagements entlang der unternehmensspezifischen Schutzziele und Geschäftsmodelle ein Optimum aus Sicherheit, Nachhaltigkeit und Wirtschaftlichkeit definieren und sicherstellen sollen.

Dieser Kurs soll Sie als Teilnehmer befähigen, mit gutem Gewissen die Rolle eines DSB und/oder eines ISB in dieser modernen Technologiewelt anzutreten oder, falls Sie bereits länger in einer der beiden Rollen tätig sind, Ihr Wissen im Dialog mit einem Kritis-Betreiber zu vertiefen und sich weiter zu vernetzen - von Betroffenen für Betroffene, mit Praxisbezug.

Einführung, Rollen, rechtliche Grundlagen (Teil 1)

• Einführung und aktuelle Bedrohungslage
• Ziele, Historie und Grundlagen von Datenschutz und Informationssicherheit
• Abgrenzungen und Schnittmengen beider Themen
• Rollen und Anforderungen an DSB und ISB
• Praxis: Alltag von DSB und ISB
• Verwandte Rollen und Themen in der Organisation
• Datenschutzrecht: Übersicht, Grundlagen, Vertiefungsmodule
• Informationssicherheitsrecht: Übersicht, Grundlagen, Vertiefungsmodule
• Branchenspezifische Sicherheitsstandards (B3S)
• Verwandte gesetzliche Regelungen und ergänzende Anforderungen
• Praxis: jeweils Beispiele zur eigenen Anwendung
• Zusammenfassung und Ausblick (Recht)

Sicherheitsmanagement (Teil 2)

• Hackermethoden und Herausforderungen
• Vision, Strategie, Schutzziele, Sicherheitskonzept
• Praxis: Erstellung eines Sicherheitskonzeptes
• Ganzheitliches Risikomanagement
• Ableitung technischer und organisatorischer Maßnahmen
• Praxis: IT-Werkzeuge für Risikomanagement
• Risikomanagement und Prozesse im Datenschutz
• Praxis: Verzeichnis der Verarbeitungstätigkeiten
• Praxis: Datenschutz im Personalbereich
• Praxis: Datenverarbeitung im Auftrag
• Sicherheitsmanagement nach ISO 27xxx
• Sicherheitsmanagement nach BSI IT-Grundschutz
• Praxis: Informationssicherheitsmanagementsystem
• Zertifizierungen, Scope, Dienstleisterqualifizierung, Audits
• Praxis: Zertifizierungsplanspiel
• Awareness, Social Engineering und Endanwendersicherheit
• Schnittstellen zu Einkauf und Entsorgung (u.a. HW/SW)
• Cyberversicherungen
• Planung und Durchführung von Penetrations-Tests
• Notfallkonzepte und Krisenmanagement / CERT
• Zusammenfassung und Ausblick (Sicherheitsmanagement)

Kompakte technische Grundlagen (Teil 3)

• Grundlagen Informationstechnologie (IT)
• Grundlagen Anlagen- und Systemtechnik (OT) und Industrie 4.0 (IoT)
• Grundlagen Internet-Architektur
• Grundlagen Firmennetzwerk-Architektur
• Grundlagen Mobilfunk-Netzwerke
• Praxis: Netzwerk-Komponenten
• Grundlagen Ports, Protokolle und Netzwerksicherheit
• Grundlagen Kryptographie, Verschlüsselung, sichere IP-Kommunikation
• Grundlagen Identitäten, Rollen, Berechtigungsmanagement
• Grundlagen Public Key Infrastrukturen, Signaturen und Zertifikate
• Grundlagen Rechenzentren und Cloud-Infrastrukturen
• Praxis: Compliance Bewertung eines Cloud-Dienstes
• Grundlagen Betriebssysteme und Betriebssystemsicherheit
• Grundlagen Apps, Anwendungen, Sicherheit von Webanwendungen
• Grundlagen Endgeräte und Endgerätesicherheit
• Praxis: Mobile Device Management
• Zusammenfassung und Ausblick (neue Technologien)

Fähigkeiten für erfolgreiche Informationssicherheit (Teil 4)

• Zusammenarbeit und Unterstützung durch verantwortliche Geschäftsführung
• Kooperation mit zuständigen Diensten/Behörden bei Prävention und Krise
• Zuverlässigkeit der Mitarbeiter
• Sichere Netzanbindung
• IT-Sicherheitszonenkonzept
• Sichere Netzwerk-Segmentierung an Zonengrenzen
• Objektsicherung und physische Sicherheit
• Sichere Energieversorgung
• Sichere Fernwartung
• Sichere Rechenzentren, Synchronisation und Back-ups
• Sichere Orchestrierung von Cloud-Services
• Sichere Emails, sicheres Surfen, sicherer Datenaustausch
• Praxis: öffentliche Sicht auf Unternehmen und Anlagen
• Sichere Anwendungsentwicklung, Common Criteria
• Praxis: privacy/security by design/default
• Sicheres Patchmanagement
• Störungs- und Änderungsmanagement, Dokumentation
• Netzwerk-Überwachung, Intrusion Detection, Security Operation Center (SOC)
• Praxis: innerer Netzwerk-Sensor im Unternehmen
• Krisen-/Notfallmanagement, CERT, Cyber-Notfallübungen
• Praxis: (kleine) Cyber-Notfallübung
• Zusammenfassung und Ausblick (Informationssicherheit)

Wiederholungs- und Praxismodul (Teil 5)

• Übersicht Bedrohungssituation, klassische Angriffe, Vorsorge und Abwehr
• Zusammenfassung und Anwendung von Auskunfts-, Melde- und Dokumentationspflichten
• Praxis: operative Entscheidungen im Datenschutz
• (Informationspflichten, Rechtsgrundlagen, neue Prozesse und Tools)
• Praxis: Pflege der Datenschutzdokumentation
• Praxis: Datenschutzfolgenabschätzung
• Praxis: operative Entscheidungen in der Informationssicherheit
• (Informationspflichten, Rechtsgrundlagen, neue Prozesse und Tools)
• Praxis: Awareness und Social Engineering Maßnahmen
• Praxis: (kleiner) Prozess-Reifegrad Workshop
• Praxis: Informationssicherheit am Beispiel eines Wasserversorgers
• Wiederholung/Vertiefung/Diskussion/Prüfungsvorbereitung in Abstimmung mit Teilnehmern Änderungen vorbehalten.