Sprache: Deutsch

Ein besonderes revDSG-Rechtsthema bleibt im IT-Alltag gerne unbeachtet: der rechtskonforme Umgang mit IT-Diagnose-Daten. Der Vortrag zeigt die potentiellen Rechtsverletzungen und damit einhergehenden Haftungsrisiken der
IT-Betriebe im alltäglichen Umgang mit IT-Diagnose auf. Der teils «laxe Umgang» mit diesen speziellen aber hoch-sensiblen Daten macht ein Handeln der IT-Verantwortlichen dringlich. IT-affine Juristen sollten die möglichen Rechtsverletzungen kennen, denn sie bergen hohe Risiken für die Verantwortlichen
und reichen bis hin zur potentiellen Gefahr von Massenklagen.

Sprecher: Dr. Stephen Fedtke, Chief Technology Officer (CTO), ENTERPRISE-IT-SECURITY.COM

Weitere Informationen und Anmeldemöglichkeit finden Sie hier.

Time left to presentation at June 20, 2024 (10:15-11:00 CET)

Sprache: Deutsch

Der Prüfkatalog der IT-Audits zu IT-Diagnose-Daten umfasst die gesamte Tragweite dieses Sicherheits- und Datenschutzrisikos. Keys, IP-Adressen, Passwörter, sensible Daten mit Personenbezug befinden sich in Dumps, Logs und Traces. Sobald diese den IT-Betrieb unanonymisiert verlassen, verletzen sie z.B. NIS-2, DORA oder die DSGVO. Die Diskussion um den Schlüsseldiebstahl vermeintlich aus einem Crash-Dump bei Microsoft und die Angriffe auf die US-Behörden zeigten 2023 die Gefahr. Oft sind die USA das Ziel der Dump-Uploads. Trotz des neuen EU-U.S. Data Privacy Framework (EU-US DPF) ist der Datentransfer nur zu den nach DPF zertifizierten Unternehmen gestattet. Auch Cyber-, IT-Haftpflicht- oder D&O-Versicherungen nehmen das Risiko für ihre Prüfungen und Obliegenheiten bereits in Augenschein.
Der Vortrag macht das Sicherheits- und Datenschutz-Risiko durch unanonymisierte sensible Daten in IT-Diagnose-Daten transparent. Er zeigt anhand des Audit- und Revisions-Fragenkatalogs, wo die Angriffspunkte für die IT durch Cyberkriminelle und durch Rechtsverletzungen (NIS-2, DORA, DSGVO) liegen.

Sprecher: Dr. Stephen Fedtke, Chief Technology Officer (CTO), ENTERPRISE-IT-SECURITY.COM

Weitere Informationen und Anmeldemöglichkeit finden Sie hier.

Sprache: Deutsch

Der Referent wirft in dieser spannenden Session einen Blick auf ein im Gesundheitswesen oft kaum beachtetes Problem: Er zeigt, wie große Mengen an personenbezogenen Gesundheitsdaten und IT-Sicherheitsinformationen in scheinbar unverfängliche IT-Diagnose-Dateien wie Dumps, Logs und Traces gelangen, die im Rahmen der technischen Problemlösung oft an den IT-Anbieter geschickt werden. Nicht selten verlassen die Daten dabei den deutschen Rechtsraum – teilweise sogar nach USA, Indien oder China.

Der Referent macht darauf aufmerksam, dass Patienten-Dokumente immer streng gesetzlich geschützt sind, eben auch, wenn sie völlig zweckfrei und planlos als zufälliger Bestandteil der IT-Diagnose-Daten verschickt werden.
Erfahren Sie, welche Folgen dieses gesetzeswidrige Verfahren für Krankenhäuser haben kann und wie sich das Problem mit einfachen Techniken und Tools schnell lösen lässt. Sehen Sie, wie automatisierte Anonymisierung IT-Diagnose-Daten sicher und DSGVO-konform macht, um Geldbußen und das Risiko immaterieller Schadensersatzansprüche und der Beweislastumkehr zu vermeiden.

• Welche IT-Diagnose-Daten in Krankenhäusern sind betroffen?
• Wo befinden sich die sensiblen und DSGVO-relevanten Gesundheitsdaten?
• Welche Sicherheitsinformationen beinhalten Dumps, Logs und Traces?
• Welche rechtlichen und sicherheitskritischen Gefahren entstehen durch den Upload?
• Welche Risikoreduzierung ermöglicht die Anonymisierung?

Teilnehmer erfahren hier, wie in Kliniken sehr oft sensible Gesundheits- und Sicherheitsdaten versteckt eingelagert in IT-Diagnose-Dateien landen, warum der ungeschützte Versand dieser Daten im Rahmen des IT-Problem-Managements gegen die DSGVO verstößt und wie durch Anonymisierung negative Rechtsfolgen vermieden werden können.

Sprecher: Dr. Stephen Fedtke, Chief Technology Officer (CTO), ENTERPRISE-IT-SECURITY.COM

Weitere Informationen und Anmeldemöglichkeit finden Sie hier.

Time left to Conference at November 12, 2024 (10:30-11:00 CET)

-Sprache: Deutsch

Inhalt: 

Vortrag 1: DSGVO, NIS-2 und Co. – Rechtliche Risiken beim Umgang mit IT-Diagnose-Daten im öffentlichen Sektor

– Überblick über relevante datenschutzrechtliche Normen und deren Anwendbarkeit auf IT-Diagnose-Daten
– Verantwortlichkeiten und Drittlandsübermittlungen
– Implikationen aus dem IT-Sicherheitsrecht, etwa der NIS2-Richtlinie und nationalen Umsetzungsgesetzen
– Mögliche Rechtsfolgen bei Verstößen

Sprecher: Jonathan Stoklas, Rechtsanwalt und Partner & Wissenschaftlicher Mitarbeiter, lexICT legal Rechtsanwält:innen & Lehrstuhl für öffentliches Recht und das Recht der digitalen Gesellschaft an der Leibniz Universität.

Vortrag 2: Anonymisierung vertraulicher und sicherheitskritischer Daten in IT-Diagnose-Dateien der Public IT

– Risiko-Analyse von IT-Diagnose-Daten im Life-Cycle
– Cyberangriff auf US-Regierung durch Schlüsseldiebstahl vermeintlich aus Crash-Dump bei Microsoft USA und BSI-Verfahren
– Geeignete technische und organisatorische Maßnahmen zum Schutz der sensiblen und sicherheitskritischen Daten
– Risikomanagement IT-Diagnose-Daten unter Berücksichtigung des „Stand der Technik“, d.h. der Anonymisierung
– Prüfschema IT-Diagnose-Daten für die IT-Revision

Sprecher: Dr. Stephen Fedtke, Chief Technology Officer (CTO), ENTERPRISE-IT-SECURITY.COM 

Weitere Informationen und Anmeldemöglichkeit finden Sie hier.

Time left to Conference at October 10, 2024 (10:30-12:00 CET)

Sprache: Deutsch

Der Referent beleuchtet und analysiert die besonderen Risiken, denen Mainframes im Kontext der neuen EU-Verordnung DORA (EU) 2022/2554 ausgesetzt sind. Diese Verordnung fordert von Finanzinstituten den Nachweis der Resilienz ihrer gesamten IT-Infrastruktur. Da die wertvollsten Daten, die „Kronjuwelen“, oft auf Mainframes gespeichert sind, verdienen diese verstärkte Beachtung.
Er stellt innovative Methoden vor, um Mainframes proaktiv zu überwachen, Bedrohungen zu erkennen, darauf zu reagieren und ihre Sicherheit zu verstärken. Diese Ansätze bilden das Fundament für die Schutz-, Präventions-, Erkennungs- und Reaktionsmaßnahmen im IKT-Risiko-Rahmenwerk von DORA. Zudem präsentiert er simulationsbasierte Penetrationstests, die ideal zur Vorbereitung auf DORA-Prüfungen und TLPT-Tests sind, und zeigt auf, wie diese Tests zur Absicherung und Stärkung der IT-Infrastruktur beitragen können.

• DORA – Resilienzforderungen an IT und Organisation
• „Kronjuwelen“ auf dem Mainframe – Schutz, Prävention, Erkennung, Reaktion
• DORA-konformer Umgang mit IT-Diagnose-Daten
• DORA- und TLPT-Readiness für Mainframe
• Penetrationstest auf Simulationsbasis und SF-Sherlock

Die Teilnehmer erfahren hier, welche Resilienz-Maßnahmen der Mainframe für DORA (EU) und FINMA RS 2023/1 (CH) benötigt und welche Fragen die Banken-CIOs, die IT-Revisoren und die Cyber-Versicherungen dazu stellen werden.

 
Sprecher: Dr. Stephen Fedtke, Chief Technology Officer (CTO), ENTERPRISE-IT-SECURITY.COM

Weitere Informationen und Anmeldemöglichkeit finden Sie hier.

Time left to Conference at October 1, 2024 (10:00-10:30 CET)

Sprache: Deutsch

Inhalt: Dumps, Logs und Traces enthalten wahre Schätze für Cyberkriminelle. Keys, IP-Adressen, Passwörter und sicherheitskritische Informationen laden Hacker regelrecht zu Beutezügen ein. Sie nutzen sie selbst für Angriffe, wie bei dem Diebstahl des OpenID Signing Key für das Azure Active Directory aus einem Crash-Dump bei Microsoft vermutet wurde. Das BSI hat in diesem Fall ein Verfahren gegen Microsoft zwecks weiterer Aufklärung eröffnet. Dumps von produktiven sensiblen Servern und Applikationen sind deshalb eine potentielle wertvolle Ware im Darknet. Denn ohne Anonymisierung sind die versteckt eingelagerten Sicherheitsinformationen frei zugänglich. Erfahren Sie von dem Sicherheits-Experten Dr. Stephen Fedtke, wie Sie den Zugriff auf die zu schützenden Security- und Personen-Daten durch automatisierte Anonymisierung verhindern können.

Sprecher: Dr. Stephen Fedtke, Chief Technology Officer (CTO), ENTERPRISE-IT-SECURITY.COM

Weitere Informationen und Anmeldemöglichkeit finden Sie hier.

Time left to Conference at September 12, 2024 (10:45-11:05 CET)

Sprache: Deutsch

Inhalt: In diesem Online-Vortrag erfahren Sie, wie Sie die Angriffe der DORA-, NIS-2- und FINMA-RS 23/1-Profitester auf Ihren Mainframe abwehren und ihn resilient machen.

Dr. Stephen Fedtke betrachtet die besondere Penetrationstest-Situation des Mainframes.vor dem Hintergrund der neuen EU-Verordnung DORA (Digital Operational Resilience Act) für die Finanzwirtschaft. Hier wird das Testen zum zentralen Bestandteil des IKT-Risikorahmenwerkes. In Kapitel IV werden u.a. „angemessene Tests der digitalen operationalen Resilienz“ (Art. 25) sowie „erweitere Tests auf Basis von TLPT“ (Art. 26) gefordert.

Erleben Sie in einer Demo von SF-Sherlock, wie die DORA-Resilienz-Anforderungen Schutz, Prävention, Erkennung und Reaktion auf einem Mainframe implementiert werden, unter anderem via simulierter störungsfreier Penetration. So ist Ihre IT auf die Profi-Tester gut vorbereitet.

Sprecher: Dr. Stephen Fedtke, Chief Technology Officer (CTO), ENTERPRISE-IT-SECURITY.COM

Weitere Informationen und Anmeldemöglichkeit finden Sie hier.

Time left to Conference at June 6, 2024 (11:00-11:30 CET)

Sprache: Deutsch

Inhalt: Im Frühjahr 2023 wurden aus einem Microsoft-Labor in den USA ein Master-Key (Azure Cloud Signing Key verwendet für die Signierung von Privatkundenkonten) aus einem Crash-Dump gestohlen. Chinesische Hacker haben damit ab Mai 2023 mit diesem Key 25 Organisationen angegriffen, u.a. die amerikanische Regierung. Dort haben sie ca. 60.000 Mails aus zehn Accounts sowie umfangreiche Mail-Adress-Listen der US-Behörden erbeutet.

Es ist ein grundsätzliches IT-Sicherheits- und Datenschutz-Risiko, wenn Kunden ihre IT-Diagnose-Daten im Rahmen des Problem-Managements zum Support eines Herstellers hochladen. Denn die meisten Dumps, Logs und Traces enthalten Schlüssel, Passwörter, User-IDs, IP-Adressen, Bank- und Firmengeheimnisse oder auch personenbezogene Daten.

Für die IT-Revision bedeutet diese Sicherheits- und Datenschutz-Lücke ein neues Prüfthema. Es geht darum, Schaden vom Unternehmen abzuwenden, denn IT-Diagnose-Dateien sind schutzbedürftig. Die großen Mengen an sensiblen Daten sollten vor dem Upload zum Hersteller z.B. anonymisiert werden.

Sprecher: Dr. Stephen Fedtke, Chief Technology Officer (CTO), ENTERPRISE-IT-SECURITY.COM

Weitere Informationen und Anmeldemöglichkeit finden Sie hier.

Time left to Conference at June 3, 2024 (11:15-11:45 CET)

Sprache: Deutsch

Inhalt: Aus einem Crash-Dump haben die chinesischen Storm-0558-Hacker den Master-Signatur-Schlüssel von Microsoft im Mai 2023 gestohlen. Dieses Webinar macht Sie mit den sicherheitstechnischen und datenschutzrechtlichen Herausforderungen von IT-Diagnose-Daten und deren Anonymisierung vertraut.

Obiger Vorfall hat viele erstaunt. Denn es ist immer noch nicht ausreichend bekannt, welche Sicherheitsrisiken in Form von sensiblen Daten IT-Diagnose-Dateien enthalten sind. Damit einher gehen Haftungs- und Datenschutz-Risiken durch personenbezogene Daten in Dumps, Logs und Traces.

Dieses Datenschutz- und Sicherheits-Risiko kann durch Anonymisierung und Pseudonymisierung der sensiblen Daten eingegrenzt werden. Erfahren Sie hierzu von Horst Speichert, Rechtsanwalt, spezialisiert auf IT-Recht und Datenschutz, und Dr. Stephen Fedtke, Chief Technology Officer (CTO) von ENTERPRISE-IT-SECURITY.COM, wichtige rechtliche und technische Details in den beiden Fachvorträgen dieses Webcasts.

Teil 1 – Rechtliche Fallstricke beim Umgang mit Protokoll- und IT-Diagnose-Daten

Sprecher: Horst Speichert, Rechtsanwalt, spezialisiert auf IT-Recht und Datenschutz

Teil 2 – Anonymisierung vertraulicher und sicherheitskritischer Daten in IT-Diagnose-Dateien

Sprecher: Dr. Stephen Fedtke, Chief Technology Officer (CTO), ENTERPRISE-IT-SECURITY.COM

Herr Speichert und Herr Fedtke beantworten während der Sendung auch Fragen der Zuschauer.

Weitere Informationen und Anmeldemöglichkeit – kostenfrei und unverbindlich – finden Sie hier.

Time left to Life-Webcast at March 19, 2024 (11:00-12:00 CET)

Sprache: Deutsch

Inhalt: Im Frühjahr 2023 wurden aus einem Microsoft-Labor in den USA ein Master-Key (Azure Cloud Signing Key verwendet für die Signierung von Privatkundenkonten) aus einem Crash-Dump gestohlen. Chinesische Hacker haben damit ab Mai 2023 mit diesem Key 25 Organisationen angegriffen, u.a. die amerikanische Regierung. Dort haben sie ca. 60.000 Mails aus zehn Accounts sowie umfangreiche Mail-Adress-Listen der US-Behörden erbeutet.

Es ist ein grundsätzliches IT-Sicherheits- und Datenschutz-Risiko, wenn Kunden ihre IT-Diagnose-Daten im Rahmen des Problem-Managements zum Support eines Herstellers hochladen. Denn die meisten Dumps, Logs und Traces enthalten Schlüssel, Passwörter, User-IDs, IP-Adressen, Bank- und Firmengeheimnisse oder auch personenbezogene Daten.

Für die IT-Revision bedeutet diese Sicherheits- und Datenschutz-Lücke ein neues Prüfthema. Es geht darum, Schaden vom Unternehmen abzuwenden, denn IT-Diagnose-Dateien sind schutzbedürftig. Die großen Mengen an sensiblen Daten sollten vor dem Upload zum Hersteller z.B. anonymisiert werden.

Sprecher: Dr. Stephen Fedtke, Chief Technology Officer (CTO), ENTERPRISE-IT-SECURITY.COM

Während der Sendung werden auch Fragen der Zuschauer beantwortet.

Weitere Informationen und Anmeldemöglichkeit – kostenfrei und unverbindlich – finden Sie hier.

Time left to Life-Webcast at March 7, 2024 (17:00-18:00 CET)

Sprache: Deutsch

Inhalt: Im Frühjahr 2023 wurden aus einem Microsoft-Labor in den USA ein Master-Key (Azure Cloud Signing Key verwendet für die Signierung von Privatkundenkonten) aus einem Crash-Dump gestohlen. Chinesische Hacker haben damit ab Mai 2023 mit diesem Key 25 Organisationen angegriffen, u.a. die amerikanische Regierung. Dort haben sie ca. 60.000 Mails aus zehn Accounts sowie umfangreiche Mail-Adress-Listen der US-Behörden erbeutet.

Es ist ein grundsätzliches IT-Sicherheits- und Datenschutz-Risiko, wenn Kunden ihre IT-Diagnose-Daten im Rahmen des Problem-Managements zum Support eines Herstellers hochladen. Denn die meisten Dumps, Logs und Traces enthalten Schlüssel, Passwörter, User-IDs, IP-Adressen, Bank- und Firmengeheimnisse oder auch personenbezogene Daten.

Für die IT-Revision bedeutet diese Sicherheits- und Datenschutz-Lücke ein neues Prüfthema. Es geht darum, Schaden vom Unternehmen abzuwenden, denn IT-Diagnose-Dateien sind schutzbedürftig. Die großen Mengen an sensiblen Daten sollten vor dem Upload zum Hersteller z.B. anonymisiert werden.

Sprecher: Dr. Stephen Fedtke, Chief Technology Officer (CTO), ENTERPRISE-IT-SECURITY.COM

Während der Sendung werden auch Fragen der Zuschauer beantwortet.

Weitere Informationen und Anmeldemöglichkeit – kostenfrei und unverbindlich – finden Sie hier.

Time left to this conference at April 9, 2024 (16:40-17:40 CET)

Sprache: Deutsch

Inhalt: Aus einem Crash-Dump haben die chinesischen Storm-0558-Hacker den Master-Signatur-Schlüssel von Microsoft im Mai 2023 gestohlen. Jetzt ist es quasi “amtlich”. Die sicherheitstechnischen und datenschutzrechtlichen Herausforderungen im Umgang mit IT-Diagnose-Daten bestehen für jeden IT-Betrieb. Damit sind sie auch Thema für Cyber- und IT-Haftpflicht-Versicherungen.

Der Fachvortrag von Dr. Stephen Fedtke, Chief Technology Officer (CTO) von ENTERPRISE-IT-SECURITY.COM, erläutert die für Underwriter und deren Teams wichtigen Details. Die Vortragsschwerpunkte sind:

IT-Diagnose-Daten als Einfallstor für Cybercrime – Was lernen Cyberversicherungen aus dem Microsoft-Hack im Mai 2023?

Risiko Nr. 1: IT-Diagnose-Dateien – riskante „Fundgrube“ sensibler IT-Sicherheits-Informationen für Angreifer

Risiko Nr. 2: Personenbezogene Daten in Dumps, Logs und Traces – Achtung Datenschutz-Verletzung bei Transfer an Dritte!

Aktuelle Aufgabe für Underwriter: Obliegenheitsmanagement und Risikofragebogen der Cyberversicherung zeitnah anpassen 

Weitere Informationen und Anmeldemöglichkeit finden Sie hier.

Time left to this conference at January 31, 2024 (11:45-12:15 CET)

Sprache: Deutsch

Inhalt: Erfahren Sie, welche sensiblen Daten im IT-Betrieb geschützt werden müssen und wie Sie dies durch Anonymisierung erreichen können.

Dumps entstehen bei allen Computer- und Applikationsabstürzen. System-Logs werden fortlaufend erzeugt. Traces, z.B. des Netzverkehrs, erstellt der Administrator gezielt für die Problemanalyse. Sämtliche IT-Diagnose-Daten enthalten potentiell sensible Personendaten, sicherheitsrelevante Informationen und Geschäftsgeheimnisse. Ohne Zweck dürfen personenbezogene Daten gemäß DSGVO und DSG Dritten nicht zugänglich gemacht werden.

Dennoch werden IT-Diagnose-Daten regelmäßig vom IT-Betrieb an den Support der Software-Anbieter und Dienstleister geschickt, oft auch in „unsichere Drittländer“ wie etwa USA, Indien oder China. Dort werden sie entschlüsselt, gespeichert und verarbeitet.

Dieses Datenschutz- und Sicherheits-Risiko kann durch Anonymisierung und Pseudonymisierung der sensiblen Daten eingegrenzt werden. Erfahren Sie hierzu von Dr. Alesch Staehelin, Rechtsanwalt in Zürich, und Dr. Stephen Fedtke, Chief Technology Officer (CTO) von ENTERPRISE-IT-SECURITY.COM wichtige rechtliche und technische Details in den beiden Fachvorträgen dieses Webcasts.

Teil 1 – rechtliche Aspekte: Anonymisierung oder Pseudonymisierung – wie können Risiken minimiert werden?

Sprecher: Dr. Alesch Staehelin, Rechtsanwalt, Digital Lawyer & Counsel (DLC)

Teil 2 – technische Aspekte: Anonymisierung von datenschutz- und sicherheits-kritischen Daten in IT-Diagnose-Dateien

Sprecher: Dr. Stephen Fedtke, Chief Technology Officer (CTO), ENTERPRISE-IT-SECURITY.COM

Herr Staehelin und Herr Fedtke beantworten während der Sendung auch Fragen der Zuschauer.

Moderator der Sendung ist Martin Seiler von Heise Business Services.

Weitere Informationen und Anmeldemöglichkeit – kostenfrei und unverbindlich – finden Sie hier.

Time left to Life-Webcast at September 28, 2023 (11:00-12:00 CET)

Erfahren Sie in dem WEBINAR „IT-Diagnose- und Protokoll-Daten – datenschutzrechtliche Anforderungen und technische Schutz-Massnahmen“ von einem führenden Datenschutz-Experten RA Dr. David Vasella, CIPP/E, CIPM, Walder Wyss AG, Zürich, unter welchen Voraussetzungen IT-Diagnose-Daten unter das Datenschutzgesetz fallen und welche Auflagen und Restriktionen sich daraus ableiten.

Auch sprechen wir über Lösungen, diese Daten vor dem Zugriff Dritter zu schützen. Soviel schon vorab: Verschlüsselung bietet keinen Schutz, da die Diagnose-Daten zur Fehleranalyse auf Herstellerseite wieder entschlüsselt und verarbeitet werden müssen.

Die algorithmische Herausforderung lautet:

Anonymisierung sensibler Daten in Dumps und Logs

Informieren Sie sich bei diesem Online-Experten-Briefing am 27.9.2022 oder 30.11.2022, jeweils um 13.30-14.15 Uhr, über das für jeden IT-Betrieb wichtige Datenschutz- und Sicherheitsthema der IT-Diagnose-Daten.

Programm und Anmeldemöglichkeit – kostenfrei und unverbindlich – finden Sie zum direkten Download hier

Time left to Webinar #1 at September 27, 2022

Time left to Webinar #2 at November 30, 2022

Our presentation is about “data privacy for diagnostics” and is timed for Oct 01, 2020.

Subject Covered

• The risk of providing system dumps and logs to software vendors – and how to achieve “Data Privacy for Diagnostics” to stay GDPR and PCI compliant

Visit us at the “z/OS Guide 2020” on March 18 to 20, 2020 in Kassel (Germany) and attend our presentation.

Subject Covered

• The risk of providing system dumps and logs to software vendors – and how to achieve “Data Privacy for Diagnostics” to stay GDPR and PCI compliant

Visit us at the “IDUG DB2 Tech Conference 2019” from Oct 20-24, 2019 in Rotterdam and attend our presentation

Subject Covered

• The risk of providing DB2 SVC dumps to software vendors – and how to stay GDPR and PCI compliant

Visit us at the “2019 IBM Systems Technical University” event in Berlin and attend our presentation

Subject Covered

• The risk of providing system dumps and logs to software vendors – and how to stay GDPR and PCI compliant

Subject Covered

• The risk of providing system dumps and logs to software vendors – and how to stay GDPR and PCI compliant

→ Watch Our Recorded Webinar