Fachseminar Informationssicherheit Nr.20

Inhalt

• Grundlagen eines Netzwerkes, Aufbau, Möglichkeiten und Risiken
• Technische Abläufe und Zusammenhänge
• Filialanbindung
• IT-Infrastruktur der Sparkasse: Technischer Aufbau, Konzepte, Dokumentationen, Praxisbeispie-le
• Grundlagen Windows Server Konzept der Finanzinformatik, Betriebskonzept, Technische Zu-sammenhänge
• Betriebskonzept für individuelle Anwendungen im IT-Service, Internetkonzept: Möglichkeiten der Bereitstellung individueller Anwendungen, Zuständigkeiten (Wer ist für was verantwortlich? FI oder Sparkasse?)
• Gesetzliche Regelungen:

       - Übersicht der Regelungen mit Bezug zur Informationssicherheit

• Sicherheit als Prozess:

       - Sicherheitsprozess in Sparkassen

       - Wie kann sich der Informationssicherheitsbeauftragte einbringen

• Moderation und Kommunikation in Sitzungen, Konfliktmanagement:

       - Grundregeln der Kommunikation

       - Der 360 Grad Check für Präsentationen (Teil 1)

       - Die Bedeutung von Motiven für menschliches Handeln und ihre gezielte Ansprache

       - Der "Bedrohlichkeits-Check" und seine Bedeutung für unsere Kommunikation

       - Bedürfnisanalyse

       - Argumentationstechnik

       - Behandlung von Einwänden

       - Hausaufgaben für das 2. Zusammenkommen in Modul 4

Mehrwerte

• Sie lernen die Grundlagen eines Netzwerkes kennen. Dazu gehören  auch die Rollen und Funkti-onen verschiedener Geräte. Sie lernen Grundlagen über den Datenfluss in einem Netzwerk ken-nen.
• Sie lernen die IT-Infrastruktur in der Sparkassen kennen. Neben dem technischen Aufbau wer-den die Konzepte erläutert und mit Beispielen aus der Praxis angereichert.
• Sie lernen das Server- und Administrationskonzept kennen. Neben den technischen Aspekten erhalten sie einen Überblick über die wichtigsten Dokumentationen und deren Umgang
• Individuelle Anwendungen spielen in den Sparkassen eine wichtige Rolle. Im Seminar lernen sie wichtige Fragestellungen und Verantwortungen kennen. Besonderes Augenmerk liegt auch auf dem Internetkonzept.
• Gesetzliche Grundlagen: Verständnis der relevanten Gesetze und Vorschriften im Bereich In-formationssicherheit, wie beispielsweise die BAIT, die Datenschutz-Grundverordnung (DSGVO) in der EU oder andere regionale Datenschutzgesetze.
• Sicherheit als Prozess: Die Integration von Sicherheitsmaßnahmen in den Betriebsprozess einer Sparkasse ist entscheidend, um ein umfassendes und effektives Sicherheitsmanagement zu ge-währleisten.
• Den Teilnehmern wird aktuelles Wissen über Sicherheitsprozesse in einer Sparkasse, einschließ-lich neuer Technologien, Bedrohungen und bewährter Praktiken vermittelt. Es werden Denkan-stöße für die Integration in die Betriebsprozesse gegeben.
• Neben der Vertiefung Ihres Wissens über Grundregeln der Kommunikation lernen Sie wichtige Motivstrukturen im Geschäftsleben kennen.
• Wir setzen uns damit auseinander, wie der Bedrohlichkeits-Check Kommunikation und Koopera-tion torpedieren kann und was Sie dagegen unternehmen können.
• Sie lernen, die Bedürfnisse Ihrer Gesprächspartner besser zu ermitteln, Ihre Argumente gezielter als bisher zu formulieren und souveräner mit Einwänden umzugehen."

Termine

Durchgang 20
29.09.2025 I Webinar I 09-17 Uhr
06.-10.10.2025 I Präsenzwoche I 09-17 Uhr, Freitag: 09-13 Uhr

Ihre Dozenten

• Christian Kuntze, Infrastrukturberater Spezialist Arbeitsplatzlösungen bei der Finanzinformatik Münster
• Bernd Rode, Leiter Organisation Kreissparkasse Grafschaft Bentheim zu Nordhorn
• Martin Siebel, Freiberuflicher Trainer

Inhalt

• Standards und Kernaktivitäten – Wie arbeite ich in der Praxis als ISB?

Verstehen der regulatorischen Vorgaben (ISO27701, BSI Grundschutz) im Bezug auf die praxisnahe Arbeit als Informationssicherheitsbeauftragter
Verstehen und Anwenden der Kernaktivitäten eines ISBs
Aufarbeitung von Leit- und Richtlinien
Konzeptionelle Unterstützung bei Schulungs- und Sensibilisierungsmaßnahmen
ISM-Teamsitzungen erfolgreich planen und durchführen
Verstehen der Methodik einen Schutzbedarf festzulegen
Verstehen der Funktionsweise eines Informationsverbunds

Praxisbeispiele:
ISM Berichtserstellung  
Schutzbedarfsfeststellungen
Tools zur Unterstützung
Schulungs- und Sensiblisierungskonzept
Praxisnahe Anwendung SITB

Erstellen eines Auditprogramms
Erfolgreiche Durchführung von Audis
IS-Risikomanagement

Gundlagen Notfallmanagement
Verstehen der Methodik Business-Impact-Analyse
Verstehen der Methodik Risk-Impact-Analye
Planung von Notfallübungen

Praxisbeispiele:
Audits und deren Dokumentation
IS-Risikomanagement (Dokumentation im Risikokatalog und -behandlungsplan)
Business-Impact-Analyse
Risk-Impact-Analyse   
Mehrjahresplanung Notfallübungen

• Grundlagen ISO 27001:2022

Verstehen der Organisation und ihres Kontextes
Verstehen der Erfordernisse und Erwartungen interessierter Parteien, um daraus den Anwendungsbereich des ISMS abzuleiten
Aufgaben und Zuständigkeiten des Vorstandes
Informationssicherheitsrisikomanagement
Erforderliche Ressourcen, Kompetenzen, Dokumentation sowie Kommunikation
Betrieb des Informationssicherheitsmanagementsystems
Bewertung und Auditierung des Informationssicherheitsmanagementsystems
Kontinuierliche Verbesserung

Praxisbeispiele:
Unternehmenskontext
interessierte Parteien
Ableitung des Anwendungsbereiches 
Erklärung zur Anwendbarkeit

• Operative Informationssicherheit - Zusammenspiel von 1. und 2. Linie in der Praxis

Informationssicherheitsmanagementsystem - Einbindung der Fachbereiche gemäß dem 3-Linien-Modell

Informationssicherheitsrichtlinien - Aufbau und Mindestinhalte

Prozesse der operativen Informationssicherheit:
2.08.60 Operative Informationssicherheit
- 2.08.60.005 Testprogramm pflegen und steuern
- 2.08.60.010 Technisches Schachstellenmanagement betreiben
- 2.08.60.015 Cyberbedrohungen analysieren
- 2.08.60.020 Operative Sicherheitsmaßnahmen erstellen und bearbeiten
- 2.08.60.030 Operative Sicherheitskontrollen durchführen

Praxisbeispiele:
IKT-Risiken (Analyse und Bewertung)
Testprogramm
Analyse schwerwiegender IKT-bezogener Vorfälle sowie erheblicher Cyberbedrohungen

• Rechtliche Grundlagen im Zusammenhang Auslagerungsmanagement - Informationssicherheit

              - Rollen und Aufgaben
              - Einordnung und Abgrenzung von Dienstleistungsbezügen
              - Sollmaßnahmen im Bezug zu Dienstleistern    

• Praxisbeispiele

              - Einordnung und Abgrenzungen von Dienstleistungsbezügen
              - Risikobewertung als Beispiel

Mehrwerte

• Sie erhalten einen guten Überblick über Informationssicherheitsstandards. Sie lernen die vielfältigen Aufgaben eines ISB praxisnah kennen. Sie lernen anhand von Praxisbeispielen, wie Sie sich als ISB einen guten, ersten Überblick über die offenen Themen in Ihrem Haus verschaffen können. Im Thema Schutzbedarfsfeststellung lernen Sie, wie Sie diesbezüglich mit Ihren Fachbereichen gute Ergebnisse erzielen können.
• Der 2. Tag im Modul 2  steht im Zeichen der Audits, einer zentralen Aufgabe des ISB. Nach diesem Tag sind Sie in der Lage, ein aufsichtskonformes Auditprogramm zu erstellen, selbst Audits durchzuführen oder externe Audit zu planen. Sie gewinnen Überblick  über das IS-Risikomanagement und lernen Abweichungen zu dokumentieren und nachzuverfolgen. Der Nachmittag widmet sich dem Notfallmanagement und hilft Ihnen einen Gesamtüberblick über dieses Themengebiet zu bekommen.
• Sie kennen:
  - das Zusammenspiel der ISO 2700x Normenreihe,
  - die Anforderungen der ISO 27001 an ein Informationssicherheitsmanagementsystem,
  - die Planung und die Durchführung von Audits und Kontrollen.
• Sie kennen die Zusammenhänge mit den Aufgaben der 1. Linie, zu denen Sie beraten und die sie überwachen.
• Sie erhalten einen Überblick zu Dienstleistungsbezügen mit Schwerpunkt auf die Auswirkungen auf das Informationssicherheitsmanagement.  Dazu gehört auch ein Einblick in die entsprechenden Umsetzungshilfen (Instrumente). Damit sind Sie in der Lage, den Bezug von IT-Dienstleistungen aus Sicht der Informationssicherheit in Ihrem Haus zu begleiten.

Termine

Durchgang Nr. 20
Termin für 2026 wird noch geplant I 09-17 Uhr, Freitag: 08-13 Uhr

Ihre Dozenten

• Maxim Sartison, IT-Consultant, S-Management-Services GmbH
• Birgit Heykamps, IT-Consultant, S-Management-Services GmbH
• Jürgen Nordmann, IT-Consultant, S-Management-Services GmbH

Inhalt

• Informationssicherheit und IKT-Risikomanagement in der Praxis: Vertiefung der theoretischen Grundlagen (Inhalte in Abstimmung mit Teilnehmern).
• Praktische Erfahrungen und Tipps: - Ziele des ISB, Verantwortungsbereich und Herausforderungen
• RiMaGo:- Einbindung in Prozesse / SBF; Schulung und Sensibilisierung
• Weiterentwicklung IS / IKT-Risikomanagement
• Vorgehensweise bei Sicherheitsvorfällen: In dem Seminar wird den Teilnehmenden ein Modell zur strukturierten Bearbeitung von Vorfällen vorgestellt. Neben einer Klassifizierung von Vorfällen werden auch die Methoden der Analyse und Beweissicherung behandelt. In kleineren Gruppenübungen können die Teilnehmenden die Theorie in Praxis umsetzen. Zum Abschluss bearbeiten die Teilnehmenden live in einem Art Rollenspiel einen fiktiven aber komplexen Sicherheitsvorfall, der sowohl Fachwissen, Methodik als auch eine gute Kommunikation erfordert.
• Aufsichtsrechtliche Anforderungen an eine IT-Strategie, betriebswirtschafliche Ziele von (IT-)Strategien, strategische Key Performance und Key Risk Indikatoren als Elemente der strategischen Steuerung der IT, Verzahnung von Geschäfts-, Risiko- und IT-Strategien, Fehler und Beanstandungen in aufsichtsrechtlchen Prüfungen der IT-Strategie von Sparkassen, Vertiefung verschiedener Einzelinhalte. Praxisbeispiele: Durchsprache einer Muster-IT-Strategie für Sparkassen

Mehrwerte

• Sie können die theoretischen Grundlagen vertiefen und auf die Tagespraxis anwenden. Außerdem bietet sich die Möglichkeit zum Austausch von Herausforderungen, Lösungsstrategien und Tipps (inkl. RiMaGo). Weiterhin erhalten Sie einen Blick auf die Weiterentwicklung von Informationssicherheit und IKT-Risikomanagement.

• Sicherheitsvorfälle können jedes Haus treffen. Allerdings haben nur wenige Mitarbeitende Erfahrungen bei der Bearbeitung. Das Seminar soll diese Lücke schließen und den Teilnehmenden Kompetenz zur Abwehr von Cyber-Attacken vermitteln.

• Sie erhalten einen fundierten Gesamtblick auf Funktion, Ziele, Herausforderungen und gängige Fehler bei IT-Strategien und können diese insbesondere als Rahmen für ihre Arbeit in der Infomationssicherheit lesen und nutzen. Sie sind direkt in der Lage, die Informationssicherheit be-treffenden Vorgaben der IT-Strategie zu gestalten bzw. zuzuliefern  und die Ableitungen für die Leitlinien und Richtlinien der Informationssicherheit vorzunehmen.

Termin

Durchgang Nr. 20
Termin für 2026 wird noch geplant I 09-17 Uhr, Freitag: 09-13 Uhr

Ihre Dozenten

• Jochen Fritsch,  Abteilungsleiter Organisationsentwicklung, Sparkasse Wetzlar
• Matthias Stoffel, Leiter S-CERT, SIZ GmbH Bonn
• Michael Lenz, SIZ GmbH Bonn
• Eugen Meckbach,  Referatsleiter IT-Revision, Prüfungsstelle Sparkassen-und Giroverband Hes-sen-Thüringen
• Prof. Dr. Ralf Kühn, Wirtschaftsprüfer/CPA/StB, geschäftsführender Gesellschafter Finance Au-dit GmbH Wirtschaftsprüfungsgesellschaft, Ettlingen

Inhalt      

• Verhalten in Audits, externen Prüfungen und sonstigen spannenden Kommunikationsmomenten
• Zustandsmanagement
• Der 360 Grad Check für Präsentationen (Teil 2)
• Der Nutzen von Persönlichkeitstest - für mich und andere
• Antreibersysteme und ihre Auswirkungen
• Situationen aus der Praxis

Mehrwert

• Sie erfahren, wie Sie gestärkt und besonnen in anspruchsvolle Gesprächssituationen agieren können.
• Wir schließen den Kreis und vervollständigen den 360 Grad Check für Präsentationen
• Wir betrachten, in wie weit Persönlichkeitstests hilfreich für Ihre Arbeit sind.
• Wir bestimmen Stress verstärkende Verhaltensmuster und wie Sie sie verändern können.
• Anhand von Beispielen aus Ihrer persönlichen Erfahrung seit unserem ersten Zusammenkommen erarbeiten wir gemeinsam weiter mögliche Handlungsalternativen, um Ihren Aktionsradius zu vergrößern.

Termine

Durchgang Nr. 20
Termin für 2026 wird noch geplant I 09-17 Uhr
Termin für 2026 wird noch geplant I Kolloquium

Ihr Dozent

• Martin Siebel,  Freiberuflicher Trainer