Sicherheit und Prüfung in Unternehmen - ibs-schreiber.de · IOPS Prüfen des IT-Outsourcing nach IDW-PS-951 65 ... SPSY Systemprüfung von SAP-Systemen 112 ... Business Intelligence

IBS-

Sem

inar

kata

log

2018

Seminare & Fachkonferenzen 2018Sicherheit und Prüfung in Unternehmen

Grundlagen und Management der Revision

Sicherheit von SAP-Systemen

Data Science

IT-Sicherheit

Datenschutz

Susanne HegelerLeiterin des Seminarmanagements

Bei Fragen stehe ich gerne zur Verfügung Fon: +49 40 696985-10 • [email protected]

Liebe Interessentinnen und Interessenten,

ich freue mich, Ihnen unseren Seminarkatalog 2018 in einem neuen Design vorzustellen. Nehmen Sie sich die Zeit, und stöbern Sie in der neuen Ausgabe – es lohnt sich. Wir haben nicht nur unsere Seminare überarbeitet und noch interessanter gemacht – wir haben auch einige neue Seminare in unser Programm aufgenommen. Ich bin mir sicher, es ist für jeden das passende Seminar dabei.

Neue Seminare finden Sie in den Rubriken Data Science, IT-Sicherheit, SAP und Datenschutz.

Unsere Zertifizierung zum Certified Auditor for SAP Systems (CASAP) fand im Jahr 2017 das erste Mal statt und war ein voller Erfolg. Hierzu finden Sie mehr auf der Seite 109.

Sollten Sie ein Seminarthema vermissen – so melden Sie sich! Ich bin mir sicher, wir finden eine Lösung.

Unser Service reicht von der Seminaranmeldung bis hin zur Hotelreservierung in einem unserer Partnerhotels, die sich in der Nähe des Hamburger Hafens (auch unserer Akademie) befinden. Quasi im Herzstück von Hamburg! Sie sollen sich im Seminar und in unserer Akademie rundum wohlfühlen. Jederzeit haben wir ein offenes Ohr für Sie, wenn es z. B. um eine Idee für das Abendprogramm geht. Sie sehen, es lohnt sich zu uns nach Hamburg zu kommen.

Ich würde mich freuen, Sie zu einem unserer Seminare oder einer unserer Fachkonferenzen begrüßen zu dürfen.

Bis dahin sagt man in Hamburg bekanntermaßen „Tschüß“.

Ihre Susanne Hegeler

Vorwort

1

Revision

Data Science

Inhaltsverzeichnis

Dozenten – Revision 07Empfohlene Seminarfolge 09 Literaturverzeichnis – Revision 26Glossar – Revision 27

EinführungRGIR Einführung in die Interne Revision 10

GrundlagenRGPT Prüftechniken 11RGBE Berichterstattung 12RGIK Prüfen des IKS 13RGPR Präsentationstechniken aufgepeppt 14RGSL Schnelles Lesen für Prüfer 15RGPS Psychologie für Prüfer 16

FachseminareRFCP Controlling für Prüfer 17RFRF Forensik für Prüfer 18RFPR Prüfen des Projektmanagements 19RFGP Geschäftsprozesse – Erkennen und Prüfen 21RFEI Prüfen des Einkaufs 22RFGO GoBD-konforme Verfahrensdokumentation 24RFDS Prüfen des Datenschutzes 25

Dozenten – Data Science 29Empfohlene Seminarfolge 33 Literaturverzeichnis – Data Science 48Glossar – Data Science 49

Konferenz:FKDP „Data Science“ 34

Kompaktseminar:KSDA „Datenanalyse im Prüfungswesen“ 35

BasedDADA Datenanalyse-Führerschein 36DAAL Datenschutz und Datenanalyse - QuickLearn 37DAXR Explorative Datenanalyse mit MS-EXCEL 38DAST Stichprobenverfahren für Prüfer 39 DAAR Access für Prüfer I 40 DAAS Access für Prüfer II - QuickLearn 41DARE Einführung in R 42

AdvancedDARF R für Fortgeschrittene 43DADH Höhere datenanalytische Verfahren für die Prüfung 44

SpecialDABQ Big Data - Neue Herausforderungen im Prüfungswesen - QuickLearn 45DASQ Open-Source-Software für die Datenanalyse - QuickLearn 46DAKE Unternehmensprüfung/-steuerung mit Kennzahlen 47

NEU

NEU

2

Dozenten – IT-Sicherheit 50Empfohlene Seminarfolge 54 Literaturverzeichnis – IT-Sicherheit 95Glossar – IT-Sicherheit 96

Kompaktseminar:KSIT „Sicherheit in IT-Systemen“ 57

GrundlagenIGIR Einführung in die IT-Revision 58

OrganisationIOSP Prüfen der IT-Sicherheitspolitik nach ISO 27000 59IOSO ISO 27001 und Einführung eines ISMS 60IOIL Prüfen der IT-Organisation nach ITIL (IT Infrastructure Library) 61IOCO Prüfung der IT-Organisation nach COBIT 62IOLA Prüfung von Service-Level-Agreements 63IOOS Prüfen von IT-Outsourcing 64IOPS Prüfen des IT-Outsourcing nach IDW-PS-951 65IOBC Notfallmanagement BCM 66IOIS Prüfung des IT-Sicherheitsbeauftragten 67

IT-ProzesseIPPR Prüfen von IT-Projekten 69 IPSE Prüfen der Software-Entwicklung 70IPLI Grundlagen der Software-Lizenzüberprüfung 71IPBR Prüfung der Backup- und Recoverykonzepte 72IPSI Sicherheitsmanagement in der Industrie 4.0 73IPIR Prüfen des IT-Risikomanagements 74IPAP API Economy, API Gateways, Internet of Things - Sicherheit und Prüfung 75IPIM Identity & Access Management 77

SystemprüfungISIT Prüfung der aktiven und passiven IT-Infrastruktur 78ISPT Tools/Werkzeuge zur Prüfung von IT-Systemen 79ISUX Prüfen von UNIX/Linux Umgebungen 80ISFW Prüfen von Firewall-Konzepten 81ISDB Prüfen von Datenbanken 82ISTK Prüfen der Telekommunikation 83ISMK Prüfen von „mobile devices“ 84ISWS Schwachstellenanalyse von Webservern und Webapplikationen 85ISRM Revision von Remote- und Wartungzugängen 86ISOM Ordnungsmäßigkeit und Nachvollziehbarkeit administrativer Tätigkeiten 87ISVU Prüfen von virtuellen Umgebungen 88ISDM Ordnungsmäßigkeit und Prüfung von Dokumentenmanagement- und Archiv-Systemen 89ISCC Sicherheit und Prüfung von Cloud Computing 90ISTT Prüfen der Schatten-IT 91

Microsoft®

IMAD Prüfen von Windows® Active Directory Services I 92IMAF Prüfen von Windows® Active Directory Services II 93IMSP Prüfen von Microsoft® SharePoint 94

IT-Sicherheit

Inhaltsverzeichnis

NEU

3

Inhaltsverzeichnis

Sicherheit von SAP-Systemen Sicherheit von SAP-Systemen

Dozenten – Sicherheit von SAP-Systemen 98Empfohlene Seminarfolge 102 Literaturverzeichnis – Sicherheit von SAP-Systemen 151Glossar – Sicherheit von SAP-Systemen 152

Konferenz:FKSP „Sicherheit und Prüfung von SAP-Systemen“ 104CAUD Anwendertagung CheckAud® for SAP Systems 105

Kompaktseminare:KSSP1 Prüfen der Sicherheit und Berechtigungen in SAP-Systemen 106KSSP2 Prüfen von Geschäftsprozessen in SAP-Systemen 107

Grundlagen SPGB Führerschein zur Prüfung von SAP-Systemen 110SPBK Prüfung des Berechtigungskonzeptes in SAP-Systemen 111

SystemsicherheitSPSY Systemprüfung von SAP-Systemen 112SPSB Berechtigungsprüfung des Basismoduls von SAP NetWeaver® 113SPAG Prüfen der SAP ABAP-Sicherheit nach DSAG Prüfleitfaden 114SPBS Prüfen der SAP ABAP-Sicherheit nach BSI 115SPKT Prüfung des Korrektur- und Transportwesens von SAP Systemlandschaften 116SPBC Prüfung der Anwendungsentwicklung und des Customizings in SAP-Systemen 117SPPK Forensische Methoden in SAP-Systemen und deren Auswertungen 118SPBD Gesamtsicherheit von SAP-Systemen durch alle Schichten 119SPHC Hacking von SAP-Systemen 120SPEP Prüfung eines SAP Enterprise Portals 121SPH1 Prüfen der SAP HANA Sicherheit 122SPH2 Prüfen des SAP HANA Berechtigungskonzeptes 123

RechnungswesenSPFI Prüfung der Finanzbuchhaltung (FI) in SAP-Systemen 124SPFB Berechtigungsprüfung der Finanzbuchhaltung (FI) in SAP-Systemen - QuickLearn 126SPWF Tabellenorientieres Prüfen von integrierten Werteflüssen in SAP 127SPCO Prüfung des Controlling (CO) in SAP-Systemen I 128SPCF Prüfung des Controlling (CO) in SAP-Systemen II 129

LogistikSPMM Prüfung der Materialwirtschaft (MM) in SAP-Systemen 130SPSD Prüfung des Vertriebs (SD) in SAP-Systemen 131

PersonalwesenSPHR Prüfung des Personalwesens (HCM) in SAP-Systemen 132SPHB Berechtigungsprüfung Personalwesen (HCM) in SAP-Systemen 133SPHO Prüfen des Organisationsmanagements und der strukturellen Berechtigungen - QuickLearn 134SPHA Prüfen der Ordnungsmäßigkeit der Abrechnung in SAP HCM 135

Business IntelligenceSPBW Prüfung des SAP Business Information Warehouse (BW) 136SPBV Berechtigungsprüfung des SAP Business Information Warehouse (BW) 137

Datenschutz in SAP-SystemenSPDS Datenschutz in SAP-Systemen 138SPKD Prüfung des Zugriffs auf Kundendaten in SAP-Systemen 139

4

Data AnalyticsSPHM Prüfen der SAP HANA-Modellierung 140SPHD Data Analytics mit SAP HANA 141SPHL Reporting mit SAP Lumira 143

SpezialseminareSPWK Werkzeugkasten für die Prüfung von SAP-Systemen 145SPAI Aufbau und Implementierung eines SAP-Berechtigungskonzeptes 147SPPS Produktschulung „CheckAud® for SAP Systems“ 149

Dozenten – Datenschutz 154Empfohlene Seminare 155

Konferenz:FKDS „Hamburger Datenschutztage“ 157

DSGV EU-Datenschutz-Grundverordnung 158DSMA Datenschutzmanagement 159DSVV Praxis-Seminar „Verzeichnis von Verarbeitungstätigkeiten nach DS-GVO“ 160DSAV Praxis-Seminar „Auftragsverarbeitung nach DS-GVO“ 161DSIM Praxis-Seminar „Informations- und Meldepflichten nach DS-GVO“ 162DSRB Praxis-Seminar „Rechte der Betroffenen nach DS-GVO“ 163DSFA Praxis-Seminar „Datenschutz-Folgenabschätzung nach DS-GVO“ 165DSVÜ Praxis-Seminar „Datenschutzkonforme Videoüberwachung“ 166DSAB Praxis-Seminar „Vorbereitung auf Kontrollen durch die Datenschutz-Aufsichtsbehörde“ 167DSFG Datenschutz im Gesundheitswesen 168DSFB Datenschutz im Bankwesen 169

Ihre Vorteile 06Webinare 170Inhouse-/Individualseminare 171Unsere Partnerhotels 172Anfahrtsbeschreibung 173Unternehmenserfolg 174Teilnahmebedingungen 175Impressum 176

Inhaltsverzeichnis

Sicherheit von SAP-Systemen Sicherheit von SAP-Systemen

Datenschutz

CASAP Zertifizierung (Certified Auditor for SAP Systems) 109

NEUNEUNEU

NEUNEUNEUNEUNEUNEUNEUNEUNEUNEU

Diverses

5

IBS Schreiber GmbH • Zirkusweg 1 • 20359 HamburgFon: +49 40 69 69 85-10 • www.ibs-schreiber.de • [email protected]

In über 38 Jahren hat sich IBS zu einem führenden Prüfungs- und Beratungsunternehmen speziell im IT- und SAP-Umfeld entwickelt. Seit 1985 fühlt sich IBS verpflichtet, seinen Kunden, d.h. Ihnen, diese Erfahrungen in Seminaren und Workshops weiterzugeben – in der Zielsetzung, Ihnen die je-weils aktuell gegebenen sicherheits- und wirtschaftlichkeitsrelevanten Risiken bewusst zu machen und Ihnen zu zeigen, wie Sie diesen mit angemessenem Aufwand präventiv („ex ante“) und ggflls. „ex post“ begegnen können.

IBS ist kein Seminarvermittler, sondern steht selbst hinter seinen Seminaren und Workshops mit eigenen originalen IBS-Ressourcen, wie Sie nachfolgender Grafik entnehmen können - in freier Interpretation der Cäsar-Losung „veni, vidi, vici“: Kommen Sie! Schauen und lernen Sie! Seien Sie erfolgreich in Ihren Prüfungen und Beratungen!

IBS - seit 1979

Erfahrung der Referenten„aus der Praxis für die Praxis“

Kleine Gruppen – individuelle Betreuung

Aktuelle IT- und SAP-Systeme(1 Arbeitsstation pro Teilnehmer)

Zertifikate mit CPE‘sBereitstellung der Seminarinhalte und Leitfäden digital nach Seminarende

Nachbetreuung

Hotels zu IBS Sonderkonditionen

direkt an der IBS-Akademie

Besonderes Ambiente„Hamburger Hafen“

8 Gründeweshalb Sie

IBS-Seminarebesuchen sollten!

8 1

27

6 3

45

6


Unsere Referenten im Bereich Revision

Melanie Dörholt - Rechtsanwältin IBS data protection services and consulting GmbH

Die Rechtsanwältin und Datenschutzexpertin Melanie Dörholt, Geschäftsführerin der IBS data protection services and consulting GmbH, ist als externe Datenschutzbeauf-tragte und Datenschutzconsultant in diversen Branchen in Deutschland und im euro-päischen Ausland tätig. Als Dozentin hält sie Fachvorträge und Seminare zu Themen des Datenschutzes, der Revision, sowie zu Compliance-relevantem regulatorischem Unternehmensrecht und IT-Recht. Sie ist außerdem Datenschutzgutachterin bei der Europäischen Union für das European Privacy Seal (EuroPriSe).

Torsten Enk - Diplom Betriebswirt • CISABERLINCOUNSEL Consulting GmbH

Torsten Enk ist seit 2006 Partner der BERLINCOUNSEL Consulting GmbH und war davor langjährig bei einer BIG4-Wirtschaftsprüfungsgesellschaft als IT-Risk-Consul-tant und Auditor tätig. Er ist ausgebildeter Certified Information Systems Auditor (CISA) sowie zertifiziert als Datenschutzbeauftragter, ISO27001-Auditor und SAPConsul-tant. Schwerpunkte seiner Tätigkeit sind unter anderem die Revision sowie IT-Audits. Herr Enk ist Mitglied und Fachgruppenleiter in der ISACA und im IDW.

Dr. Michael Foth - Diplom Ingenieur • CGEIT, CISA, CRISC, CFEIBS data protection services and consulting GmbH

Dr. Michael Foth, Geschäftsführer der IBS data protection services and consulting GmbH, ist seit über 20 Jahren als Spezialist für Datenschutz und für IT-Sicherheitsanalysen tätig. Er betreut national und international aufgestellte Mandanten als externer Datenschutz-beauftragter mit den Schwerpunkten Gesundheitswesen und Finanzdienstleister. Außer-dem ist er zugelassener Datenschutz-Gutachter beim unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) für das Datenschutzgütesiegel und Datenschutz-gutachter bei der Europäischen Union für das European Privacy Seal (EuroPriSe).

Marcus Herold - Diplom Informatiker • CIA, CISA, CISM, CRISC, CASAPIBS Schreiber GmbH

Marcus Herold verfügt über eine langjährige Berufserfahrung als IT-Experte und Auditor. Der studierte Informatiker und Statistiker ist seit 2008 bei der IBS Schreiber GmbH als Auditor und Dozent tätig und Leiter des Geschäftsbereichs „Data Science“. Als anerkannter Experte für den Einsatz von datenanalytischen Methoden (u.a. Predictive Analytics, Data-Mining) und mathematisch-statistischen Softwaretools gibt er sein Wissen in zahlreichen Seminaren, Fachvorträgen und Veröffentlichungen weiter.

Rev

isio

n

7

Unsere Referenten im Bereich Revision

Joachim Sell - Unternehmensberater

Joachim Sell ist freiberuflicher Unternehmensberater und ist spezialisiert auf die Im-plementierung interner Kontrollsysteme, Beratung im Prozessmanagement sowie prüfungsnaher Beratung bei der Durchführung von Audits. Die Schwerpunkte legt Herr Sell hierbei auf die Bewertung von abteilungs- und funktionsübergreifenden Kon-trollsystemen, Reifegraden von Risiko- und Prozessmanagementsystemen als auch auf die Beurteilung der Informationssicherheit. Beratend unterstützt er bei der Einfüh-rung und Aktualisierung von Informationssicherheits-, Notfall- und Berechtigungsma-nagementsystemen und unterstützt die Umsetzung gesetzlicher sowie aufsichtlicher Anforderungen (z. B. revisionssichere Umsetzung von Maßnahmen aus Prüfungen).

Sven Humpke IBS Schreiber GmbH

Sven Humpke ist seit 1998 im SAP Berechtigungsumfeld unterwegs. In dieser Zeit erwarb er Implementierungserfahrung für GRC Access Control in verschiedenen Beratungs- und Prüfungsprojekten. Dabei sammelte Herr Humpke vorwiegend in komplexen organisatori-schen Umgebungen Erfahrungen bei der Implementierung von Abläufen für die SoD-kon-fliktfreie Rollenentwicklung und –vergabe an Anwender. Insbesondere innerhalb diverser regulierter Branchen, zuletzt im Bankenbereich. Systemtechnisch wurden die Erfahrungen in SAP GRC Access Control im Modul ARA, CheckAud oder anderen Prüftools umgesetzt.

Prof. Dr. Nicole Jekel Beuth Hochschule für Technik Berlin

Nach 20-jähriger internationaler Industriekarriere bei der Nixdorf Computer AG, Siemens Nixdorf Informationssysteme AG und Siemens AG sowie zahlreichen DAX Unternehmen ist Nicole Jekel seit 2008 Professorin für Marketing und Controlling. Ihr Forschungsschwerpunkt liegt auf strategischer Unternehmenssteuerung. Ihre wissenschaftliche und praktische Erfahrung gibt sie als Unternehmensberaterin, Autorin und Trainerin weiter.

Rev

isio

n

8

Einführung

RGIREinführung in die Intere Revision

RGPTPrüftechniken

11

RGBEBerichterstattung

RGIKPrüfen des IKS

1312

10

RGPRPräsentationstechniken

aufgepeppt

RGSLSchnelles Lesen für Prüfer

15

RGPSPsychologie für Prüfer

RFCPControlling für Prüfer

17

1614

Grundlagen

RFRFForensik für Prüfer

RFPRPrüfen des

Projektmanagements1918

RFGPGeschäftsprozesse - Erkennen und Prüfen

RFEIPrüfen des Einkaufs

22

21

RFGOGoBD konforme

Verfahrensdokumentation

RFDSPrüfen des

Datenschutzes2524

Empfohlene Seminarfolge – Revision

Rev

isio

n

Fachseminare

9

Rev

isio

n

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:

DIIR/ISACA/ISC2-Mitgliedsnr.:

Hotelbuchung (Preise und weitere Empfehlungen siehe Seite 174)

rEinzelzimmer inkl. Frühstück

Anreise:

Datum, Ort

rDoppelzimmer inkl. Frühstück

Abreise:

Unterschrift

r Empire Riverside r Hotel Hafen Hamburg r ARCOTEL Onyx

10

Dipl.-Inf.Marcus Herold CASAP, CIA, CISA, CISM, CRISCIBS Schreiber GmbH

Revision (=Prüfung) heißt „noch einmal hinsehen“ und impliziert, dass die Revision nicht in die betrieblichen Prozesse eingreifen darf. Nur dann ist ihre Objektivität gewährleistet.

Die Kenntnis praktischer Prüfmethoden und das Grundwissen um den trivial erscheinenden, aber doch sehr komplexen Prozess „Prüfung“ sind elementare Voraussetzungen für effiziente und effektive Revision.

Voraussetzungen einer schlanken, aber trotzdem effektiven Internen Revision in der Aufdeckung doloroser und doloser Handlungen sind eine risikoorientierte Prüfungsplanung, professioneller Einsatz von IT-Werkzeugen und die mit den geprüften Fachbereichen verabschiedeten Maßnahmen zur Vermeidung bzw. Beseitigung festgestellter Mängel. Der Prüfbericht stellt das Arbeitsergebnis des Revisors dar. Deswegen wird in diesem Seminar eine Einführung in die „Berichterstattung“ gegeben.

Der kritische Revisor stellt nicht nur den Prüfgegenstand in Frage, sondern auch sein eigenes Prüfergebnis. Deshalb wird dem Thema „Prüfrisiken – Aufdeckung und Vermeidung“ in diesem Seminar praktische Aufmerksamkeit gewidmet. Weiterhin wird die Durchführung von Prüfungen anhand von Fallbeispielen praxisnah erläutert.

Die Revision im Unternehmen• Das Unternehmen als Prüfgegenstand• Die Interne Revision als objektives

Info- und Kontrollinstrument des Vorstands

Interne Revision• Begründung und Zielsetzung der Revision• Die Kunden der Revision

Prüfmethoden und -techniken• Vom Wesen der Prüfung• Erhebungstechniken• Messtechniken

Der Prüfprozess• Prüfarten• Vorbereitung einer Prüfung• „ex post“-Prüfung (Linien-Prüfung)• „ex ante“-Prüfung (Projektrevision)• IT-Werkzeuge für die Interne Revision

Berichterstattung - Einführung

Prüfungsplanung• Kategorisierung von Betriebsrisiken• Risikoorientierte Prüfungsplanung

Regelwerk der Internen Revision• Grundsätze/IPPF (IIA/DIIR)• Qualitätsmanagement/Erfolgsmessung• Zertifizierungen: CIA, CISA

r29.01. – 30.01.2018

r17.09. – 18.09.2018

Kosten865,- € zzgl. MwSt.inkl. Mittagessen, Getränke und Seminarunterlagen (Print & Download)

Dauer: 2 Tage1. Tag: 09:30 – 17:00 Uhr2. Tag: 09:00 – 15:30 Uhr

Teilnehmerzahlmax. 12 Personen

MethodenVortrag, Diskussion, Beispiele am Rechner/Beamer, Praxisbeispiele

Seminarcode RGIR Anmeldung RGIR • Fax: +49 40 696985-31 • [email protected]

Einführung in die Interne Revision 13 CPE

Referent

inkl. Buch

„Revisionshandbuch

für den Mittelstand“

Rev

isio

n

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


11





r21.06. – 22.06.2018

Einführung in die Interne Revision

Referenten


Methodisches (!) Prüfen beginnt mit der Prüfungs-planung und -vorbereitung und setzt sich über den gesamten Prüfprozess fort. Nur so ist die Basis für ein fundiertes Prüfurteil gegeben, und deshalb ist die Festlegung der Methodik über den gesamten Prüfprozess kardinaler Bestandteil des Qualitäts managements in der Internen Revision! Dies bezeichnet direkt die Zielsetzung dieses Seminars: Kenntnis der relevanten Prüftechniken und daraus abgeleitet ihr zielgerichteter Einsatz zur methodischen Erfassung, Messung und Beurteilung des Prüfobjekts.

Obwohl die eigentliche Prüfung mit dem Soll/Ist- Abgleich und der Bewertung des festgestellten Deltas beendet ist, wird vom Prüfer die Empfehlung von Maßnahmen zur zukünftigen Minimierung oder gar Eliminierung der festgestellten Mängel erwartet. Die schlüssige Strukturierung solcher Empfehlun gen im Prüfbericht ist elementare Voraussetzung für die Überzeugungskraft und damit Akzeptanz der internen Revision! Das Seminar erhebt den Anspruch, dem Revisor alle relevanten Prüf techniken fallbeispielhaft und damit in direkter praktischer Umsetzbarkeit an die Hand zu geben als Grundlage und Voraussetzung für umfassende und methodische Prüfungen.

Beispiele der Teilnehmer sind erwünscht!

Der Prüfprozess• Die Prozessschritte und ihre Risiken• Komplexer Prüfablaufplan

Prüftechniken• Einführung und Übersicht• Allgemeine Hilfsmittel

� Checklisten, IT-Tools• Erhebungstechniken zum Prüfobjekt für Soll-/

Ist-Aufnahmen � Interview � Sichtung von Unterlagen � Begehung/Vor-Ort-Kontrolle � Vollerhebung von Daten � Daten-Scans

• Messtechniken � Der Soll/Ist-Abgleich (Delta-Feststellung) � Skalierungsverfahren und Messung von

Abweichungen � Indirekte Messungen � Verprobung, Plausibilität � Tool-gestützter Soll/Ist-Abgleich

Bewertungsansätze• Festlegung von Toleranzen• Risiken: Ursache und Wirkung• Urteilsfindung und -skalierung

Methodische Strukturierung von Empfehlungen

Dipl.-Ing.Dr. Michael FothCGEIT, CISA, CRISC, CFEIBS data protection services and consul-ting GmbH

Prüftechniken 13 CPE

Anmeldung RGPT • Fax: +49 40 696985-31 • [email protected] Seminarcode RGPT

Rev

isio

n

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


12

Der Prüfbericht der Revision hat viele Funktionen. Er erfüllt sowohl Informations- als auch Dokumentations- und Nachweisaufgaben. Als sogenannte Visitenkarte ist er zudem geeignet, die Akzeptanz der Revision bei ihren Kunden zu verbessern und zu fördern.

Um diese Ziele zu erreichen, müssen Revisi-onsberichte bestimmte formelle und materielle Qualitätskriterien erfüllen und Mindestinhalte aufweisen. Diese ergeben ich sowohl aus den einschlägigen Berufsstandards als auch aus Best Practice Gesichtspunkten, die in dem Seminar ausführlich behandelt werden.

Es wird aufgezeigt, wie die Berichterstattung der Revision organisiert und kontrolliert werden kann. Sowohl die formellen als auch die materiellen Anfor-derungen an den Bericht werden behandelt. Typische Fehler werden aufgezeigt. Eine übersichtliche Struktur und ein guter Schreibstil sind elementare Voraus-setzungen für einen lesbaren und überzeugenden Bericht. Hierzu werden praktische Übungen mit den Teilnehmern gemacht.

Die Teilnehmer werden gebeten, eigene Prüfberichte zum Seminar mitzubringen. Diese werden am 2. Tag im Rahmen eines Work-shops einer praktischen Berichtskritik unterzogen. Die Teilnehmer erhalten so die Gelegenheit, das Erlernte auf die eigenen Berichte anzuwenden.

Einführung• Funktionen und Zielsetzung des Prüfberichts• Empfänger des Berichts: u.a. IPPF

Standard 2440• Prüfungskonzept und -ankündigung• Arbeitspapiere: IDW PS 460 • Schlussbesprechung• Präsentation des Berichts

Formelle Anforderungen• Struktur (u.a. IDW PS 450) • Umfang• Stil (u.a. DIIR Revisionsstandard Nr. 3)• Textgestaltung

Materielle Anforderungen• offizielle und inoffizielle Sollvorgaben• Relevanz der Feststellungen• Inhalt der Maßnahmen• Risikobewertung• Gegendarstellung

Qualitätssicherung• Organisation• Erfolgskontrolle

Praktische Berichtskritik • Besprechung der mitgebrachten Berichte • Verbesserungsvorschläge

r15.11. – 16.11.2018





Seminarcode RGBE Anmeldung RGBE • Fax: +49 40 696985-31 • [email protected]

Berichterstattung 13 CPE

Referentin

RechtsanwältinMelanie DörholtIBS data protection services and consul-ting GmbH

Anmeldung RGIK • Fax: +49 40 696985-31 • [email protected] Seminarcode RGIK

inkl. Buch

„Visitenkarte der Revision“

Rev

isio

n

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


13

Berichterstattung





r22.03. – 23.03.2018

r08.10. – 09.10.2018

ReferentProzesse, Risiken und Kontrollen; Als untrennba-re Einheit bilden sie die Grundstruktur eines jeden internen Kontrollsystems (IKS). Ausgeprägt über die gesamte Unternehmenshierarchie, sind sie das Rückgrat eines Unternehmens zur Risikoerkennung und –bekämpfung.

Das IKS dient vorbeugend der frühzeitigen Aufdeckung von möglichen schadensverursachenden Ereignis-sen und unterstützt maßgeblich die Umsetzung der Geschäftspolitik.Werte und Anlagen sowie Daten und Informationen gilt es zu schützen, strukturiert und systematisch. Die permanente Optimierung des IKS hinsichtlich Effizienz und Effektivität ist eine wesentliche Aufgabe der internen Revision.

Ziel des Seminars ist es, dem Prüfer zu vermitteln, warum und in welcher Ausprägung ein IKS im Unternehmen umgesetzt werden muss. Der Prüfer soll in die Lage versetzt werden, die gesetzlichen Anforderungen und Standards als Soll-Vorgaben aufzuzeigen. Außerdem soll er zur Beurteilung der Angemessenheit und der Wirksamkeit des IKS die entsprechenden Methoden und Werkzeuge anwenden können, um hieraus konkrete Maßnahmen zur Verbesserung des IKS aufzeigen zu können.

Das Seminar vermittelt Kenntnisse, um prozess- und hierarchieübergreifend das gesamte IKS des Unternehmens bewerten zu können.

Grundlagen• Schutzobjekte • Gesetzliche Anforderungen

IKS - Konkretisierende Verordnungen• GoBD, IDW RS FAIT 1-5, MaRisk• ISO 27000, ISO 31000

IKS - Rahmenwerke• Cobit 5, BSI-Standards, BSI-Grundschutz• Sicherer IT-Betrieb (SITB), COSO ERM, COSO 2013 (IKS)

IKS - Prüfungsstandards• IDW PS 261, IDW PS 330, IDW PS 951, IDW PS 982• Corporate Governance

Darstellung des IKS• Risiko, Prozess, Kontrolle• Ordnungsmäßigkeits- und Sicherheitskriterien

Prüfen des IKS• Angemessenheit, Wirksamkeit• Risiko-Kontroll-Matrix• Funktionstrennung• Kennzahlensysteme• Stichprobenverfahren

Unternehmensberater Joachim Sell

Prüfen des IKS 13 CPE

Anmeldung RGIK • Fax: +49 40 696985-31 • [email protected] Seminarcode RGIK

Rev

isio

n

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


14

Sie erhalten aktuelles Wissen rund um Präsenta-tionstechniken. Sie analysieren eine von Ihnen erstellte Präsentation bzw. einen Vortrag hin auf die Struktur.

Sie erstellen Ihren individuellen Präsentations- Baukasten, analysieren Ihre Präsentation und das Erwartungsmanagement (Halbzeit, Ende) Ihrer Teilnehmer bzw. Zuhörer.

Sie denken über Aktivierung vorher, während und nachher nach, prüfen Handouts, Mitnahmeideen und Testimonials mit klarer Struktur und einem aktivierenden Ausblick mit Botschaft.

Darüber hinaus wird auf Moderationstechniken als auch auf Ihre Präsentation systematisch eingegangen.

Ziel ist es, Ihren persönlichen Stil weiter auszubauen. Nach dem Seminar werden Sie in der Lage sein, Ihre Präsentationen „aufzupeppen“ um sich die Aufmerksamkeit Ihrer Teilnehmer bzw. Zuhörer zu sichern und Präsentationen so schnell wie möglich zu erstellen um noch überzeugender zu sein.

Präsentation als Baukasten• Erwartungsmanagement der Zielgruppe• Inhalte als Baukasten strukturieren und wenn

möglich standardisieren

Aktivierung• Zeit: vor, während und nach der Präsentation• Art: analog und digital

Vortragsstruktur• Wissensbausteine• Dramaturgie• Standardisierungen• „klassische Bausteine“

Handouts, Mitnahmeideen• Aktivierender Ausblick• Mitnahmeideen• Testimonials mit klarer Struktur

Übungen: Bringen Sie eine beispielhafte Präsentation mit!

r29.01. – 30.01.2018

r22.10. – 23.10.2018





Seminarcode RGPR Anmeldung RGPR • Fax: +49 40 696985-31 • [email protected]

Präsentationstechniken aufgepeppt

Prof. Dr.Nicole JekelBeuth Hochschule für Technik Berlin

Referentin

13 CPE

inkl.

„Tool-Präsentations-Kit“

Rev

isio

n

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


15

Seminarcode RGPR Anmeldung RGPR • Fax: +49 40 696985-31 • [email protected]

Präsentationstechniken aufgepeppt





r04.06. – 05.06.2018

ReferentinSie lernen, wie Sie es schaffen, Fachliteratur, Gesetze, Analysen, kurz „Zahlen, Daten und Fakten“, in der halben Zeit zu lesen und dabei doppelt so viel zu behalten. Die Zeitersparnis eröffnet Ihnen Freiräume für die Bewertung erkannter Risiken und Empfehlung wirkungsvoller Maßnahmen.

Zunächst erfahren Sie, wie Sie mehr Buchstaben auf einmal erfassen können. Danach lernen Sie, wie Sie einen schnellen Überblick über Ihren Lesestoff bekommen. Anschließend sehen Sie, wie Sie Texte mit Ihren Augen abfotografieren und damit Ihr Lese-tempo exponentiell steigern können.

Eine durchschnittliche Buchseite hat 350 Wörter. Wenn jemand 10 Seiten mit 350 Wörtern in 10 Min. liest, dann ist seine Leseleistung bei 350 Wörtern pro Minute (WpM). Liest diese Person die Seiten in 5 Min., dann liegt die Leistung bei 700 WpM. John F. Kennedy kam beispielsweise auf 1.200 WpM.

Individuelle Leseverbesserungen sind möglich zwischen 70% und 350%. Dadurch können die Effizienz und Effektivität der Internen Revision bei der Inaugenscheinnahme schriftlicher Unterlagen insbesondere von Verfahrensanweisungen enorm gesteigert werden.

Hintergrundinformationen• Wozu lesen wir?• Wie funktioniert Lesen?

Klassisches Lesen • Leseproben und Feststellen unserer „Fehler“• Erstes Vermeiden dieser „Fehler“• Konzentriertes Lesen• Lesestoff: aufnehmen und verarbeiten

Systemlesen• Ziel festlegen• Überblick geben• Lesen Stufe I• Zusammenfassung• Lesen Stufe II

Beispielhafte Leseproben

Erfolgsmessung mit Hilfe von Leseproben • Wörter pro Minute (WpM)• Leseverständnis (L (in %))• Effiziente Leserate (ELR = WpM * L)

Bringen Sie gern Ihre Lesematerialien mit!

13 CPE

Anmeldung RGSL • Fax: +49 40 696985-31 • [email protected] Seminarcode RGSL


Schnelles Lesen für Prüfer

inkl. Buch

„Speed Reading für

Controller und Manager“

Rev

isio

n

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


16

Sie erhalten aktuelles Wissen relevanter und wichtiger psychologischer Erkenntnisse, um mit Ihrer Geschäftsleitung auf Augenhöhe noch besser kommunizieren zu können. Der Schwerpunkt liegt auf den arbeits- und organisationspsychologischen Aspekten und deren praktischer Anwendbarkeit.

Sie werden über Organigramme, Sitzordnungen in Gremien und bei Besprechungen nachdenken. Sie erstellen ein Psychogramm Ihrer Interview- Partner, das die Persönlichkeit u.a. hinsichtlich der Attribute „dominant“, „inspirierend“, „stetig“, „gewissenhaft“ aufzeigt. Zudem stellen Sie fest, welche Auswirkung die Reihenfolge der Kennzahlen im Rahmen von Cockpits und Dashboards hat.

Am Beispiel von zahlreichen Szenarien werden Sie feststellen, welche unterschiedlichen Ergeb-nisse in Form von Output (kurzfristiges Ergebnis), Outcome (länger wirkendes Ergebnis) und Outflow (langanhaltendes Ergebnis) herauskommen, wenn Sie die Weichen um wenige Grad verstellen. Zudem erfahren Sie, wie Sie noch besser entscheiden können.

Lernen Sie aus zahlreichen Analysen, noch bessere Urteile zu fällen und auf Basis zahlreicher Studien für Ihr Unternehmen positives Verhalten zu erzeugen und zu steuern.

Überblick über aktuelle Studien• Aus der Arbeits- und Organisationspsychologie• Aus dem deutschen und anglo-amerikanischen

Raum

Erfahren Sie, dass• Menschen mehr Geld auf einen Teller legen,

wenn anstelle eines reinen Textes zusätzlich Augenpaare auf einem Schild gedruckt sind,

• Menschen bei zwei Preisvarianten zu 85% zum günstigeren Produkt greifen, bei drei Preisen hingegen eher zur Mitte greifen,

• Menschen positiv reagieren, wenn sie eine Erklärung und einen Grund erhalten,

• Menschen bei höherer Fachkompetenz eher zu den günstigen Angeboten greifen als Menschen mit niedrigerer Fachkompetenz,

• Menschen, die sogenannte weiche Verbote mit Hintergrund-Erläuterungen erhalten haben, langfristiger dem Verbot folgen, als Menschen, die sogenannte harte Verbote erhalten haben.

Übungen• Ableiten von Kernthemenfeldern beispielhaft

anhand von Organigrammen, Sitzordnungen, Cockpits und Dashboards

• Erstellen von Psychogrammen

r19.04. – 20.04.2018

r15.10. – 16.10.2018





Seminarcode RGPS Anmeldung RGPS • Fax: +49 40 696985-31 • [email protected]

Psychologie für Prüfer


Referentin

Anmeldung RFCP • Fax: +49 40 696985-31 • [email protected] Seminarcode RFCP

inkl. Broschüre

„Psycho-Quick-Tests“

13 CPE

Rev

isio

n

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


17

Psychologie für Prüfer





r25.06. – 26.06.2018

ReferentinSie erhalten einen praxisorientierten und kompakten Überblick in grundlegende Controlling-Konzepte und Begrifflichkeiten.

Ziel ist es, Ihnen das notwendige Wissen an die Hand zu geben, das Controlling Ihres Unternehmens effektiv zu prüfen. Und Controlling-Techniken befördern die Effizienz und Effektivität von Prüfungen in allen Prüffeldern.

In diesem Seminar lernen Sie Controlling aus operativer und strategischer Umsetzung kennen und werden die daraus gewonnenen Erkenntnisse sicher interpretieren.

Ihr Basiswissen macht Sie zu einem kompetenten Geschäftspartner nicht nur für Controller in Ihrem Unternehmen, sondern auch für Vorgesetzte bei der Entscheidungsunterstützung.

Controlling wird Ihnen einfach mit zahlreichen Praxisbeispielen vermittelt, so dass auch Teilnehmer mit geringen Vorkenntnissen eine fundierte Wissensbasis erhalten.

Hintergrundinformationen• Was ist Controlling?• Controlling-Begriffe• Abgrenzung: Controlling, Kosten- und Leistungs-

rechnung, Deckungsbeitragsrechnung

Operatives Controlling• Zusammenhänge von Kostenarten,

-stellen und -trägerrechnung• Vollkosten- und Teilkostenrechnung• Deckungsbeitragsrechnung:

Target Costing

Strategisches Controlling• Markt- und Wettbewerbsanalysen,

Portfolio-Analysen• Ausgewählte Kennzahlen aus der Bilanz, Gewinn

und Verlustrechnung, Kapitalfluss- rechnung wie EBIT, EBITDA, Jahresüberschuss, Quick-Test-Kennzahlen

• SWOT-Analyse: Stärken-Schwächen- Chancen-Risiken

Integration von Risikomanagement und Controlling• Berücksichtigung von Simulationen• Fallstudie

13 CPE

Anmeldung RFCP • Fax: +49 40 696985-31 • [email protected] Seminarcode RFCP


Controlling für Prüfer

Rev

isio

n

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


18

Häufig müssen in Unternehmen forensische Verfahren zur Analyse von Missbrauch und Manipu-lation von Daten eingesetzt werden, um die Vorge-hensweise zu ermitteln und den Täter ausfindig zu machen.

Die Revision wird oft mit dolosen Handlungen konfrontiert. Sie muss die internen Bereiche, in denen forensische Verfahren genutzt werden, prüfen und die Ordnungsmäßigkeit der Abwicklung und Zulässigkeit durch externe Anforderungen (Behörden, Staatsanwalt) gewährleisten.

Vor dem Einsatz von Tools zur Analyse müssen alle Maßnahmen und Regelungen klar definiert sein, damit sie einem Beweisverfahren standhalten können.

In diesem Seminar werden notwendige Regelungen und Vorschriften aufgezeigt und Mustervereinbarungen definiert. Es werden Hinweise und Demonstrationen aus technischen Analysen diskutiert und deren Grenzen aufgezeigt.

Rechtliche Fallstricke können zur Nichtverwertbarkeit von Beweismitteln führen. Deswegen müssen dem Prüfer die Schwachstellen üblicher Vorgangsweisen bewusst sein.

Definition von Verdachtsfällen• Basis und Prüfung eines Verdachtes• Funktionstrennung• Informationsfluss und Gefahrenabwehr

Analyseumfang• Definition des Prüfobjektes• Abgrenzung der Analyse

Umgang mit Behörden• Parallele interne Untersuchungen• Anspruch auf Beweis-Kopie

Technische Vorgehensweise• Beweissicherung• Analyse an gesicherten Kopien• Nutzbarkeit von Tools• Anerkennung der Ergebnisse

Regelungen• Verdachtsprüfungen• Mitbestimmungsregeln• Ergebnisverwertung• Gesetzliche Vorschriften

Prüfmöglichkeiten und Tools• Checkliste für die Vorgehensweise• Festplatten-Analyse, Speicher-Analysen• Prüfen der Zulässigkeit• Aufbewahrungsfristen• Neutrale Analysen/Gutachten

r29.10. – 30.10.2018





Seminarcode RFRF Anmeldung RFRF • Fax: +49 40 696985-31 • [email protected]

Forensik für Prüfer


Referent

Anmeldung RFPR • Fax: +49 40 696985-31 • [email protected] Seminarcode RFPR

13 CPE

Rev

isio

n

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


19

Forensik für Prüfer





r18.10. – 19.10.2018

ReferentenProjekte sind notwendig zur Weiterentwicklung des Unternehmens; Projekte beinhalten ein ausgeprägtes Risikopotential wegen ihrer jeweiligen Einmaligkeit und des damit gegebenen Erfahrungs-defizits. Die Komplexität eines Projektes und damit u.a. sein Risikopotential folgen daraus, dass Projekte linienübergreifend durchgeführt werden.

Daraus folgt notwendigerweise das Gebot der Projektrevision: Objektiv, d. h. losgelöst vom Projektziel, von der Projektdurchführung, von der Projektübergabe in die Linie, alle Projektrisiken antizipierend zu erkennen und darauf hinzuwirken, dass diesen mit Präventivmaßnahmen begegnet wird: möglichst eliminierend oder zumindest minimierend in ihrer Schadenswirkung. Restrisiken müssen zeitnah erkannt werden, um ihnen mit „Troubleshooting-Maßnahmen“ begegnen zu können. Grundlage hierfür ist ein prüfbarer Milestone-Plan.

Projektrisiken auf allen Ebenen eines Projekts erkennen und ihnen präventiv entgegenwirken zu können („ex-ante“) ist das Ziel dieses Workshops. Als Soll-Vorgabe dienen dabei die DIN 69 901 und betriebsinterne Regelungen als Basis eines internen Kontrollsystems (IKS) in der Projekt-Steuerung.

Was Projekte sind• nach DIN 69 901• nach Projektstandards und -normen• nach betriebsinterner Definition

Projektmanagement• Auftraggeber• Lenkungsausschuss• Projektleiter, -controller und -team• Agiles Projektmanagement

Projekt-Prozess und -Prüfung• Prozess-Übersicht• Prozess-orientierte und risikoorientierte

Projektprüfung auf 3 Ebenen � Projektidee, Projektfindung � Projektvorbereitung, Projektdurchführung � Projekterfolg (Übergabe i.d.L.)

Zentrales Projektcontrolling – Multi-Projekt-Management MPM

Projektrevision• Projektrevision vs. Revision „in der Linie“• Prüfungsrisiko der Projektrevision• DIIR-Prüfungsstandard Nr. 4

Beispiele der Teilnehmer sind erwünscht.

13 CPE

Anmeldung RFPR • Fax: +49 40 696985-31 • [email protected] Seminarcode RFPR


Prüfen des Projektmanagementsinkl. Broschüre „Projekte:

Standards + Normen“

WWW.BOORBERG.DEWWW.PREV.DE

RICHARD BOORBERG VERLAG FAX 07 11 / 73 85-100 · 089 / 43 61 564 TEL 07 11 / 73 85-343 · 089 / 43 60 00-20 [email protected]

Journal für Data Science, IT-Sicherheit, SAP-Sicherheit und Datenschutz

www.prev.de

ISSN 1862-9032

Ausgabe 5 Oktober 2017

Rainer FeldmannStatistisches Denken für Prüfer – Visualisierung (Teil 5)

Jan-Henning LerchDas „neue“ AIS – Konfiguration und Nutzung

Nina DiercksBig Data Analysen heute und unter dem Eindruck der EU-Datenschutz grund-verordnung (DSGVO)

Check-Up Datenschutz

Rechtsprechung und Aktuelles zum Datenschutz

Nicole EisDer Einsatz von Mobile Devices aus Revisionssicht – ein Ansatz zur Prüfung mittels des BSI Mindest standards zum Mobile Device Management

SAP®-Sicherheit

Datenschutz

Data Science

IT-Sicherheit

Datenschutz

Än

der

un

g d

es P

reis

es v

orb

ehal

ten.

Aktuelle Entscheidungshilfe.

Revisionspraxis PRevJournal für Data Science, IT-Sicherheit, SAP-Sicherheit und Datenschutz

Erscheint sechsmal jährlich im Umfang von ca. 50 Seiten pro Ausgabe

Bezugspreis jährlich € 96,60 zzgl. Versand-kosten

ISSN 1862-9032

Praktische Anwendungsbeispiele und Arbeits-prozesse werden in vier Rubriken vorgestellt:

� Data Science: Prüfung von Geschäfts-prozessen/Geschäftsrisiken

� IT-Sicherheit: IT-Risiken erkennen, risiko-orientierte Maßnahmen, IT-Forensik, Daten-prüfung

� SAP-Sicherheit: Berechtigungskonzeption/Systemprüfung/modulbezogene Prüfung

� Datenschutz: praktische und organisatorische Umsetzung; Gesetze; Prüfung

Ein Schwerpunktthema in jeder PRev-Ausgabe sind die Sicherheit und die Prüfung von SAP®-Systemen. Dies umfasst sowohl technische The-men (SAP®Net-Weaver®, SAP®HANA etc.) als auch die betriebswirtschaftlichen Prozesse (ERP, SAP S4/HANA, BI etc.).

Die in PRev vorgestellten Alltagssituationen sind das Ergebnis von Erfahrungen, die die Autoren in konkreten Prüfaufträgen bei Revisionsklienten und im ständigen Kontakt mit Revisoren in Weiterbildungskursen gesammelt haben.

Abonnenten der PRev fi nden unter www.prev.de alle jemals erschienenen Zeitschriftenbeiträge, ergänzt um Prüfmanuals, Checklisten, Vor-schriften, aktuelle Meldungen u.v.m.

Anmeldung RFGP • Fax: +49 40 696985-31 • [email protected] Seminarcode RFGP

Rev

isio

n

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


21

Kosten1.265,- € zzgl. MwSt.inkl. Mittagessen, Getränke und Seminarunterlagen (Print & Download)

Dauer: 3 Tage1. Tag: 09:30 – 17:00 Uhr2. Tag: 09:00 – 17:00 Uhr3. Tag: 09:00 – 15:30 Uhr



r16.04. – 18.04.2018

r12.11. – 14.11.2018

ReferentDer Aufbau und die Einhaltung einer ordnungsge-mäßen Geschäftsorganisation setzt die Betrachtung aller realen Vorgänge im Unternehmen voraus. Das Management der Geschäftsprozesse und deren Dokumentation, die im Prüfungsfall als Soll-Zustand dient, stehen somit im Fokus der internen und externen Prüfer.

Gesetzliche und aufsichtliche Anforderungen stellen klar umrissene Bedingungen an die Pflege und die Darstellung der Geschäftsprozesse. Diese sind im Rahmen einer Prozessdokumentation nachvollziehbar und für alle Beteiligten einsehbar zu etab-lieren.

Der Prüfer muss neben den fachlichen auch über umfangreiche Kenntnisse in der Organisation und dem Management von Prozessen verfügen.

Ausgehend von den einzelnen Aufgaben innerhalb des wertschöpfenden Prozesses, bis hin zu den über Schnittstellen anschließenden Führungs- und Unterstützungsprozessen ist eine kritische Betrach-tung aller Aspekte notwendig.

Ziel des Seminars ist es, dem Prüfer ein ausrei-chendes Prozessverständnis für die Identifikation von Geschäftsprozessen und für eine risikoorien-tierte Betrachtung aller auf die Geschäftsprozesse wirkenden Einflüsse unter Beachtung des IKS und der gesetzlichen Anforderungen zu vermitteln.

Grundlagen (Prüfungsobjekt)• Definitionen und Abgrenzungen• Prozessebenen/-hierarchien/-typen• Geschäftsprozessidentifikation

Darstellung Geschäftsprozess (Prüfungsgrundlage)• Darstellungsformen/Symboltechnik• Bearbeitungs-, Liege-, Transport-, Durch-laufzeit

Anforderungen aus Regelwerken (Prüfungsanforderungen)• Gesetze, Konkretisierende Verordnungen, Rahmenwerke• Prüfungsstandards

Geschäftsprozesse im Kontext zum internen Kontrollsystem (Prüfungsdurchführung)• Risiken, Kontrollen, Risiko-Kontrollmatrix,• Funktionstrennung

Prüfungsfragen• Geschäftsprozess• Geschäftsprozessmanagement

20 CPE

Anmeldung RFGP • Fax: +49 40 696985-31 • [email protected] Seminarcode RFGP


Geschäftsprozesse – Erkennen und Prüfen

Rev

isio

n

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


22

Der Bereich Einkauf gehört zu den klassischen Prüfungsfeldern. Hier kann direkter finanzieller Schaden entstehen durch Korruption, Absprachen, mangelhafte Ausschreibungs- und Vergabeverfahren, durch ein unvollständiges, fehlerhaftes oder gar nicht ausgeprägtes IKS (Internes Kontrollsystem).

Dabei stehen i.d.R. dolose (betrügerische) Handlungen im Mittelpunkt der Diskussionen. Eine wesentlich signifikantere Rolle als dolose Handlungen dürften jedoch nicht kriminell bedingte dolorose (schmerzhafte) Handlungen als Schadensursache für das Unternehmen spielen, ausgelöst durch fehlendes Beschaffungsmarketing, schlechte und fehlbegründete Bedarfsplanung, fehlerhafte und unvollständige Ausschreibungs-unterlagen, unqualifizierte Vergabeverhandlungen u.a.m. Oft werden solche Handlungen trotz ihrer Schadens-Signifikanz gar nicht bemerkt bzw. aufgedeckt.

In diesem Workshop werden anhand relevanter Fallbeispiele in allen Prozessebenen der Beschaffung das Risikopotential diskutiert, gesetz-liche und betriebliche Soll-Vorgaben definiert und präventiv wirkende Prophylaxen sowie nachgelagerte Troubleshooting-Maßnahmen erarbeitet.

Einführung• Gefährdungspotential des Einkaufs• Die Prozesse des Einkaufs• Gesetzliche Randbedingungen• Spezielle Vertragsbedingungen des Auftraggebers• Verdingungsordnungen

Risiken im Beschaffungsprozess und RisikosteuerungZu jeder Ebene des Beschaffungsprozesses werden fallbeispielhaft erarbeitet:• Risikopotential + -ranking• Risiko-Steuerungsmaßnahmen• Prüfung der Maßnahmen-Funktionalität

(IKS im Beschaffungswesen)

Kommunikationsfluss• Richtlinien/Verfahrensanweisungen für den

Einkauf• Der Kommunikationsweg von der Anforderung bis

zur Lieferung und Abnahme und Rückkopp-lung• Reaktionen/Maßnahmenkatalog („ad hoc“,

Prophylaxe, Troubleshooting) bei Fehler- /Mangel-Feststellungen

Fallbeispiele im Zusammenhang• Praxisorientiere Revisionsfragestellungen


r11.06. – 12.06.2018





Seminarcode RFEI Anmeldung RFEI • Fax: +49 40 696985-31 • [email protected]

Prüfen des Einkaufs


Referenten

13 CPE

Sven HumpkeIBS Schreiber GmbH

IBS Schreiber GmbH – Prüfen mit Konzept

Der Blick aus den Bürofenstern der IBS Schreiber GmbH schweift über den Hamburger Hafen. Die beiden Geschäftsführer des Unternehmens, Thomas Tiede und Sebastian Schreiber, im Interview.

Der Hamburger Hafen bietet Schiffen Sicherheit vor Unwettern und Stürmen, andererseits steht dahinter eine riesige Logistikdienstleistung, die ohne IT und Digitalisierung gar nicht möglich wäre. In den letzten Monaten gab es immer wie-der Meldungen, dass viele IT-Infrastrukturen an-gegriffen wurden … Sebastian Schreiber: Ja, unser Unternehmens-leitspruch stammt von Seneca und lautet. „Wer den Hafen nicht kennt, in den er segeln will, für den ist kein Wind der Richtige!“ Häfen bedeuten einerseits Sicherheit, andererseits, Sie haben es angedeutet, Vernetzung. Das ist quasi die Ge-schäftsgrundlage für uns. Die Kernaktivitäten von IBS Schreiber liegen ganz klar bei den Themen IT-Sicherheit, SAP-Sicherheit und Data Science. Wir sind der Hersteller der Software CheckAud for SAP Systems, die zur Kontrolle der Berechti-gungen in SAP-Systemen eingesetzt wird. Zudem geben wir unsere Erkenntnisse in einer eigens da-für geschaffenen IBS-Akademie weiter. Da inzwischen IT-Techniken alle Unternehmens-bereiche erfassen, sind die Definition von Schutz-zielen und ein ständig zu überwachendes hohes Sicherheitsniveau für Unternehmen unerlässlich geworden. Wir bieten externe Audits für Unter-nehmen an, decken Schwachstellen auf und er-stellen Maßnahmenkataloge, um die entdeckten Risiken zu beseitigen.

Die IT-Systeme von Unternehmen gleichen sich aber nicht wie ein Ei dem anderen? Thomas Tiede: Die von Unternehmen einge-setzten Systeme sind sehr individuell, deshalb laufen unsere Sicherheitschecks auch nicht stan-dardisiert ab. Zwar gibt es auch bei uns Tools, mit denen wir diese Tests durchführen, aber je nach

ausgelesener Information und der Zahl und Art der offenen Zugänge in die IT-Netzwerke hinein erarbeiten wir – im Idealfall mit dem Kunden zusammen – entsprechend maßgeschneiderte Tests.

SAP-Systeme findet man sowohl im Mittelstand als auch in Großunternehmen. Geschäftsprozes-se müssen reibungslos funktionieren. Thomas Tiede: …aber auch sicher sein, denn sonst können Unternehmen hohe finanzielle Schäden entstehen, sei es durch Know-how-Ab-zug oder den Diebstahl von Kunden- oder Lie-ferantendaten. Dabei sind es nicht immer nur Angreifer von außen, die sich dieser Daten be-mächtigen können. Gerade vor dem Hintergrund der Europäischen Datenschutzgrundverordnung, die im kommenden Jahr in Kraft tritt, bekommt der präventive Datenschutz noch einmal eine besondere Rolle. Immerhin können bis zu zwei Prozent des Umsatzes als Bußgelder verhängt werden, einmal von wirtschaftlichen und Reputa-tionsschäden der betroffenen Unternehmen ab-gesehen.

SAP-Sicherheit bedeutet also vor allem auch die Erstellung von Berechtigungskonzepten? Sebastian Schreiber: Auf alle Fälle. In vielen Unternehmen treffen betriebswirtschaftliche Anforderungen auf komplexe technische SAP-Be-rechtigungen. Wir erarbeiten für unsere Kunden den konzeptionellen Überbau und implementie-ren diese Berechtigungskonzepte, angepasst an die speziellen Anforderungen, die die Unterneh-men in sich tragen. Wichtig ist dabei, dass wir es stets schaffen, die Akzeptanz bei den betroffenen Fachbereichen zu finden.

Stichwort Big Data: Die Masse an Daten hat unse-re Welt verändert. Können Unternehmen da noch Schritt halten? Thomas Tiede: Alle zwei Jahre verdoppeln sich die weltweit erzeugten Datenmengen, die vor allem vorangetrieben werden durch Daten, die in der Telekommunikation erzeugt werden, aber auch in Kameras, in RFID-Lesern, im Gesundheits-wesen, im Energiesektor, im Auto und in unserem Alltagsleben. Denken Sie nur an die Digitalisie-rung unserer Hausgeräte. Industrie 4.0 ist hier das Schlagwort. Allerdings steigen durch die Menge der Daten auch die Risiken, sei es durch Manipulationen, durch Missbrauch oder beim Datenschutz. Wir bieten unseren Kunden mit Data Science eine Möglichkeit, aus Massendaten unternehmens- und prüfungsrelevante Informationen abzuleiten. Dazu gehören zum Beispiel die unscharfe Suche nach Dubletten, die Anwendung von Data-Mi-ning-Algorithmen, Boxplots, prädiktive Analysen und Kerndichteschätzungen. Damit schaffen wir einen Schutz unserer Kuanden, beispielsweise vor Über- und Doppelzahlungen oder gar Zahlungen an Strohlieferanten und bewahren sie vor einer schlechten Datenqualität und Manipulationen.

ADVERTORIAL

IBS Schreiber GmbH Zirkusweg 1 | 20359 Hamburg

T: +49 40 6969 85-0 | F: +49 40 6969 [email protected] | www.ibs-schreiber.de






SAP-Systeme findet man sowohl im Mittelstand als auch in Großunternehmen. Geschäftsprozes-se müssen reibungslos funktionieren. Thomas Tiede: …aber auch sicher sein, denn sonst können Unternehmen hohe finanzielle Schäden entstehen, sei es durch Know-how-Ab-zug oder den Diebstahl von Kunden- oder Lie-ferantendaten. Dabei sind es nicht immer nur Angreifer von außen, die sich dieser Daten be-mächtigen können. Gerade vor dem Hintergrund der Europäischen Datenschutzgrundverordnung, die im kommenden Jahr in Kraft tritt, bekommt der präventive Datenschutz noch einmal eine besondere Rolle. Immerhin können bis zu vier Prozent des Umsatzes als Bußgelder verhängt werden, einmal von wirtschaftlichen und Reputa-tionsschäden der betroffenen Unternehmen ab-gesehen.


Stichwort Big Data: Die Masse an Daten hat unse-re Welt verändert. Können Unternehmen da noch Schritt halten? Thomas Tiede: Alle zwei Jahre verdoppeln sich die weltweit erzeugten Datenmengen, die vor allem vorangetrieben werden durch Daten, die in der Telekommunikation erzeugt werden, aber auch in Kameras, in RFID-Lesern, im Gesundheits-wesen, im Energiesektor, im Auto und in unserem Alltagsleben. Denken Sie nur an die Digitalisie-rung unserer Hausgeräte. Industrie 4.0 ist hier das Schlagwort. Allerdings steigen durch die Menge der Daten auch die Risiken, durch Manipulationen, durch Missbrauch oder beim Datenschutz. Wir bieten unseren Kunden mit Data Science eine Möglichkeit, aus Massendaten unternehmens- und prüfungsrelevante Informationen abzuleiten. Dazu gehören zum Beispiel die unscharfe Suche nach Dubletten, die Anwendung von Data-Mi-ning-Algorithmen, Boxplots, prädiktive Analysen und Kerndichteschätzungen. Damit schaffen wir einen Schutz unserer Kunden, beispielsweise vorÜber- und Doppelzahlungen oder gar Zahlungen an Strohlieferanten und bewahren sie vor einer schlechten Datenqualität und Manipulationen.

ADVERTORIAL











ADVERTORIAL











ADVERTORIAL



Prüfen des Einkaufs

Rev

isio

n

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


24

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) als quasi Nachfolger der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) bedeuten eine deutliche Verschärfung der Anforderungen, insbesondere in den Bereichen der Verfahrens- dokumentation, dem Nachweis der Integrität von rechnungslegungsrelevanten Daten und der Protokollierung von Datenänderungen. Diese gelten bereits für Geschäftsjahre, die nach dem 31.12.2014 beginnen.

Die Praxis zeigt, dass insbesondere die Erstellung und Aktualisierung der Verfahrensdokumentation meist dem Kosten- und Termindruck zum Opfer fallen und in den vielen Unternehmen Lücken und sich daraus ergebende Risiken hinsichtlich der GoBD-konformen Dokumentation bestehen.

Das Seminar stellt die Anforderungen vor, zeigt anhand von Praxisbeispielen Lösungsansätze und -wege auf um die Anforderungen zu erfüllen. Weiterhin werden die Anforderungen zur Aufbewahrung von steuerrelevanten Daten ebenfalls beleuchtet.


Anforderungen• GoBD• Vergleich zu GoBS und GDPdU

Aufbau der Verfahrensdokumentation• Bestandteile• Hierarchie von Dokumenten• Dokumentensteuerung• Beispiele zur Umsetzung• Checkliste für die Praxis

Exkurs: Aufbewahrung von steuerrelevanten Daten• Anforderungen• Zugriffsarten• Retrograder Ansatz• Checkliste für die Praxis

Ausgewählte Einzelfragen• Word und Excel vs. Visio und Co.• BPM2.0 und GoBD• Wer liefert die Systemdokumentation?• Beispiele für unterstützende Tools

Fallbeispiele• Dokumentationskonzept• Dokumentation eines Beispielprozesses

r18.10. – 19.10.2018





Seminarcode RFGO Anmeldung RFGO • Fax: +49 40 696985-31 • [email protected]

GoBD konforme Verfahrensdokumentation

Dipl.-Betriebsw., CISATorsten EnkBERLINCOUNSEL Consulting GmbH

Referent

Anmeldung RFDS • Fax: +49 40 696985-31 • [email protected] Seminarcode RFDS

13 CPE

Rev

isio

n

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


25

GoBD konforme Verfahrensdokumentation





r12.11. – 13.11.2018

ReferentenAb dem 25. Mai 2018 gilt die Verordnung 2016/679 (Datenschutz-Grundverordnung) und löst damit vorrangig die geltenden nationalen Datenschutz- vorschriften des Bundes und der Länder hinsichtlich des Schutzes personenbezogener Daten ab. Die DS-GVO lässt aufgrund einiger Öffnungsklauseln zwar weiterhin nationale Vorschriften zur ergänzenden Regelung des Datenschutzes zu, setzt allerdings den maßgeblichen Rahmen.

Für die Kontrolle der Einhaltung aller Datenschutz-vorschriften ist der betriebliche Datenschutzbeauf-tragte verantwortlich. Er überwacht die Einhaltung der Datenschutzvorschriften und ist beratender sowie unterstützender Ansprechpartner in sämtlichen Fragen zum Datenschutz. Die Herausforderung für Unternehmen und Behörden als Verantwortliche stellen die umfangreichen Pflichten im Bereich der Risikoabwägung und der Rechenschaftspflichten dar.

Schwachstellen im Datenschutz können schnell zu negativen Auswirkungen für das Unternehmen führen: Imageschäden, prozessuale Auseinandersetzung und neue monetäre Sanktionen machen die Prüfung des Datenschutzbeauftragten hinsichtlich seiner präventiv wirkenden Unterstützung sowie der Einhaltung seiner Kontrollpflichten erforderlich.

Die Revision des Datenschutzes ist notwendig!

Notwendigkeit der Prüfung des Datenschutzes • Betriebsvereinbarungen • Verzeichnis der Verarbeitungstätigkeiten • Datenschutz-Folgenabschätzung • Beratung, Unterstützung • Kontrolltätigkeiten und Prüfprozesse • Zuweisung von Zuständigkeiten • Sensibilisierung und Schulung

Prüfen der Datenverarbeitung • Auftragsverarbeitung • Sicherheit der Datenverarbeitung • Die neuen technischen und organisatorischen Maßnahmen

Prüfen der IT-Technik • Grundsätze der Datenverarbeitung • Pseudonymisierung / Verschlüsselung • Datenportabilität / Protokollierung

Berichterstattung des bDSB • Zyklen, Struktur und Ziel • Geheimhaltung • Rechtliche Konsequenzen

Qualifikation des bDSB • Nachweis der Qualifikation, Fortbildung • Unabhängigkeit, Zuverlässigkeit • Vermeidung von Interessenkonflikten

13 CPE

Anmeldung RFDS • Fax: +49 40 696985-31 • [email protected] Seminarcode RFDS


Prüfen des Datenschutzes


Literaturverzeichnis Interne Revision

Revisionshandbuch für den MittelstandOttokar Schreiber (Hrsg) ISBN: 978-3-415-04218-6 Richard Boorberg Verlag (www.boorberg.de)

Handbuch der Internen RevisionThomas Amling / Ulrich Bantleon ISBN 978-3-503-10344-7 Erich Schmidt Verlag (www.esv.info)

Handbuch Interne Kontrollsysteme (IKS)Oliver Bungartz ISBN 978-3-503-13672-8 Erich Schmidt Verlag (www.esv.info)

Lexikon der Internen RevisionWolfgang Lück ISBN 3-486-25255-0 R. Oldenbourg Verlag (www.oldenbourg.de)

Der optimale Prüfzeitpunkt in der Internen RevisionDr. Heinz Königsmaier ISBN 3-503-04042-0 Erich Schmidt Verlag (www.esv.info)

Vahlens Großes Auditing Lexikon Prof. Dr. Carl-Christian Freidank, Prof. Dr. Laurenz Lachnit, Jörg Tesch ISBN 978-3-8006-3171-1 Verlag Franz Vahlen (www.vahlen.de)

Handbuch der DatenprüfungHolger Klindtworth ISBN 978-3-930291-29-0 Ottokar Schreiber Verlag, Vertrieb über den Richard Boorberg Verlag (www.boorberg.de)

Persönliche Haftung von Managern und AufsichtsrätenRoderich C. Thümmel ISBN 978-3-415-04011-3 Richard Boorberg Verlag (www.boorberg.de)

Unternehmenssteuerung im Umbruch Prof. Dr. Carl-Christian Freidank, PD Dr. Patrick Velte ISBN: 978-3503144907 Erich Schmidt Verlag (www.esv.info)

Handbuch Internal Investigations Karl-Christian Bay ISBN: 987-3503141944 Erich Schmidt Verlag (www.esv.info)

Compliance kompakt – Best Practice im Compliance-Management Stefan Behringer ISBN: 987-3503144280 Erich Schmidt Verlag (www.esv.info)

Praxis der Internen Revision – Management, Methoden, Prüffelder Prof. Dr. Thomas Amling, WP/StB Prof. Ulrich Bantleon ISBN: 987-3503136872 Erich Schmidt Verlag (www.esv.info)

Rev

isio

n

26

Literaturverzeichnis Interne Revision Glossar Interne Revision

Absprache Verbotene Preisabsprache auf Anbieterseite durch Kartellbildung, den Bauherrn schädigende dolose Handlung.

ACL Audit Command Language, ein Datenprüfprogramm (www.acl.com); Konkurrenzprodukte: IDEA und OpenAnalyzer

Änderungsmanagement Das Änderungsmanagement ist verantwortlich für die Steuerung der Änderungen. Es sorgt dafür, dass Änderungen identifiziert, beschrieben, klassifiziert, bewertet, genehmigt, umgesetzt werden.

BSC Balanced Scorecard.

Change Agents „Agenten der Veränderung“. Personen, die den organisatorischen Wandel von innen heraus fördern.

CheckAud® Software zur Prüfung der logischen Sicherheitseinrichtungen von SAP-Systemen.

CIA (IIA) Abkürzung für: Certified Internal Auditor

CISA (ISACA) Abkürzung für: Certified Information Systems Auditor

Compliance Einhaltung von Regeln wie Gesetze, Normen, Betriebsinterne Verfahrensanweisungen. (s. IDW PS 980, Bribery Act (GB)).

Defraudant „Betrüger“, Auslöser von dolosen Handlungen.

DIIR Deutsches Institut für Interne Revision e.V.

Dolorose Handlung „schmerzhafte“ Handlung, geschäftsschädigende Handlung.

Dolose Handlung „betrügerische“ Handlung, geschäftsschädigende Handlung mit krimineller Energie (ausgelöst durch Defraudanten), Untermenge von dolorosen Handlungen.

ERP Enterprise Resource Planning (z. B. SAP ERP).

ex ante „aus Voraus’-Sicht“, projekt-begleitend.

ex post „aus Nachher’-Sicht“.

Freundschaftsdienst „Vetternwirtschaft“, moralisch verwerflich, setzt Wettbewerb außer Kraft und schädigt damit z. B. Bauherrn.

GoBD Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff.

GWB Gesetz gegen Wettbewerbsbeschränkungen.

IDEA Interactive Data Extraction and Analysis, ein Datenprüfprogramm (www.audicon.net), Konkurrenzprodukt: ACL und Open Analyzer

IDW Institut der Wirtschaftsprüfer in Deutschland e.V.

IKS Internes Kontrollsystem; in den GoBD „Grundsätze ordnungsmäßiger DV-gestützter Buchführungs-systeme“ (www.awv-net.de) heisst es u.a.: Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet, die die folgenden Aufgaben haben:• Sicherung und Schutz des vorhandenen Vermögens• Bereitstellung vollständiger, genauer und aussagefähiger sowie zeitnaher Aufzeichnungen• Förderung der betrieblichen Effizienz• Unterstützung der Befolgung der vorgeschriebenen Geschäftspolitik

Rev

isio

n

27

Interne Revision Von den betrieblichen Prozessen losgelöstes (hiervon unabhängiges) innerbetriebliches Informations- und Kontrollinstrument von Vorstand/Geschäftsführung eines Unternehmens, zielgerichtet auf die Verhinderung (Prophylaxe) bzw. zeitnahe Aufdeckung und Beseitigung (Troubleshooting) geschäfts-schädigender Handlungen.

ISACA Information Systems Audit and Control Association (ISACA German Chapter e.V)

Konflikt Ein Konflikt entsteht, wenn ein Handlungsplan einer Person den Handlungsplan einer anderen Person massiv einschränkt oder behindert.

Korruption Bestechung (aktiv), Bestechlichkeit (passiv).

Kosten-Trend-Analyse Ermittlung von Schätzwerten der Projektgesamtkosten zum voraussichtlichen Endtermin.

Kritischer Weg Der „kritische Weg“ ist ein Begriff aus der Netzplantechnik. Auf dem kritischen Weg liegen alle Vorgänge, bei denen die frühesten und spätesten Zeitpunkte übereinstimmen. Wenn sie verschoben werden, ändert sich der Projektendtermin.

Magisches Zieldreieck (dynamisches Projektdreieck). Leistung, Kosten und Termine werden im magischen Dreieck des Projektmanagements abgebildet.

Management by projects Statt starrer Hierarchieformen flexible Projektorganisation mit eigenem Führungsdenken und einer entwickelten Projektkultur (s. autonome Projektorganisation).

Meilenstein Meilensteine sind Ereignisse mit besonderer Bedeutung. Meilensteine haben die Dauer 0.

Netzplan Der Netzplan ist die „grafische oder tabellarische Darstellung von Abläufen und Abhängigkeiten (Anordnungsbeziehungen)“, (DIN 69 900).

Operationale Ziele Messbare Zielvorgaben.

Phasenmodell (Phasenkonzept, Projektlebenszyklus, Project Life Cycle). Darstellung des Projektablaufs in Abschnitten, die eindeutig bezeichnet sind.

Pönale Vertragsstrafe (z. B. bei Terminüberschreitung).

Projekt Ein Projekt ist ein Vorhaben, das im Wesentlichen durch die Einmaligkeit der Bedingungen in ihrer Gesamtheit gekennzeichnet ist (DIN 69 901). Ein Projekt ist linienübergreifend und hat i.d.S. eine Mindest-Komplexität. Es hat einen Anfang und ein Ende, d.h. eine überschaubare temporäre Existenz.

PS Prüfungsstandard des IDW.

Revision „Noch einmal Hinsehen“, Prüfung.

Risikomanagement Das Erkennen und Umgehen von Risiken in Form von Prävention, Abwehr, Ausweichen oder Mindern negativer Auswirkungen.

Rückwärtsrechnung (retrograde Berechnung). Begriff aus der Netzplantechnik. Berechnung der spätesten Zeitpunkte aller Ereignisse und Vorgänge im Netzplan.

Stakeholder Alle Personen, die ein Interesse am Projekt haben oder vom Projekt in irgendeiner Weise betroffen sind (ISO 10006).

Glossar Interne Revision

Rev

isio

n

28

Unsere Referenten im Bereich Data Science

Dat

a Sc

ienc

e

Marcus Herold - Diplom Informatiker • CASAP, CIA, CISA, CISM, CRISCIBS Schreiber GmbH


Rainer Feldmann - Diplom VolkswirtQuantitavie Analysen Krämer, Feldmann GmbH

Rainer Feldmann arbeitet seit über 30 Jahren als Statistiker. Seine Spezialgebiete sind Process Mining, Statistik für Innovationen, Visual Analytics und die Entwicklung statisti-scher Modelle (speziell Simulationsmodelle)



29


Erwin Rödler - Diplom WirtschaftsmathematikerREVIDATA GmbH

Erwin Rödler ist Geschäftsführer der Fractal Consult in Trier mit dem Schwerpunkten „Datenanalyse, IT-Beratung und Risikomanagement unter Anwendung mathematisch und statistischer Methoden“, sowie seit 2004 Prokurist der REVIDATA GmbH in Düsseldorf. Seit 2001 prüft, berät und schult er in den Bereichen Datenanalyse, Revision und SAP.

Arne WestphalFIDES Corporate Finance GmbH

Arne Westphal ist seit 01.07.2017 bei der FIDES Corporate Finance GmbH, Bremen, (FCF) im Projektmanagement für Finanz- und Rechnungswesen sowie Controlling mit Schwerpunkten in SAP CO/FI und Microsoft Dynamics NAV tätig. Seine fachlichen Schwerpunkte sind Werks- und Investitionscontrolling sowie der Aufbau und die Weiterentwicklung von Management-Reportings und Kennzahlensys-temen.

Dat

a Sc

ienc

e


Dr. Michael Foth, Geschäftsführer der IBS data protection services and consulting GmbH, ist seit über 20 Jahren als Spezialist für Datenschutz und für IT-Sicherheitsanalysen tätig. Er betreut national und international aufgestellte Mandanten als externer Datenschutz-beauftragter mit den Schwerpunkten Gesundheitswesen und Finanzdienstleister. Außer-dem ist er zugelassener Datenschutz-Gutachter beim unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), für das Datenschutzgütesiegel und Daten-schutzgutachter bei der Europäischen Union für das European Privacy Seal (EuroPriSe).

30

Mit den neuen IDW PS 981,

PS 982, PS 983

Auch als eBook erhältlich:

www.ESV.info/17145

Interne Kontrolle wirksamer und sicherer

Wie Sie ein IKS zielgerichtet entwickeln und einsetzen, zeigt Ihnen Oliver Bungartz in der umfassend aktualisier-ten 5. Aufl age dieses Standardwerks.

Schritt für Schritt ein IKS aufb auen O Nationale und internationale Vorgaben – mit den

neuen IDW PS 981 (Risikomanagementsystem), IDW PS 982 (Internes Kontrollsystem) und IDW PS 983 (Internes Revisionssystem)

O COSO-Rahmenwerk – mit dem neuen COSO Fraud Risk Management Guide und dem aktualisierten Enterprise Risk Management (ERM) Framework

O COBIT-Rahmenwerk – einschließlich Zuordnung von COBIT-Prozessen zu COSO-Komponenten und COSO-Prinzipien

O Compliance Management Systeme (CMS) und ihre Integration im ERM-Framework sowie Tax Compliance Management Systeme (Tax CMS) gemäß IDW PS 980

Nützliche Tools für die PraxisEin Leitfaden und Nachschlagewerk mit

O umfangreichen Fragebögen und Kontrollmatrizen, O mehr als 700 Beispielen zu Risiko-Kontroll-

Kombinationen, O über 200 Fraud-Indikatoren und O 170 Kennzahlen zur Risikoidentifi kation und

Steuerung wichtiger Prozesse.

Handbuch Interne Kontrollsysteme (IKS)Steuerung und Überwachung von Unternehmen

Von Dr. Oliver Bungartz5., neu bearbeitete und erweiterte Aufl age 2017, 599 Seiten, mit zahlreichen Abbildungen, Tabellen und Risikomatrizen, fester Einband, € (D) 89,95 ISBN 978-3-503-17144-6

Weitere Informationen:

www.ESV.info/17144

Bestellungen bitt e an den Buchhandel oder: Erich Schmidt Verlag GmbH & Co. KG · Genthiner Str. 30 G · 10785 Berlin Tel. (030) 25 00 85-265 · Fax (030) 25 00 85-275 · [email protected] · www.ESV.info

Bungartz-IKS_Anzeige_210x297_4c.indd 1 04.09.2017 13:31:29

Data ScienceAus Massendaten unternehmens- und prüfungsrelevante Informationen ableiten

Gemeinsames Datenanalyse-ProjektWir unterstützen Sie mit unseren erfahrenen Experten bei datenanalytischen Untersuchungen im Rahmen einer konkreten Aufgabenstellung über alle Phasen eines Datenanalyse-Projektes hinweg (Planung, Import und Aufbereitung, Auswertung, Berichterstattung).

Einsatz von Computer Aided Audit Tools (CAATs)CAATs erlauben eine gründliche Vollprüfung von Daten und Geschäftsprozessen, um tiefere Einblicke in betriebliche Abläufe zu erhalten und Anregungen für Prozess-optimierungen zu geben. Wir nutzen diese Tools im Rahmen unserer Prüfungs- und Beratungsdienstleistungen oder beraten Sie bei der Auswahl, Einführung und eigenständigen Nutzung.

Bewertung der DatenqualitätMit der Datenanlyse können wir die Qualität Ihrer Stamm- und Bewegungsdaten fundiert beurteilen und Vorschläge zur Verbesserung der Datenqualität erarbeiten.


Analyse der Segregation-of-Duties (SoD)Um tatsächliche oder potenzielle Verletzungen der implementierten Funktionstrennungen aufzudecken, analysieren wir Benutzerdaten und Systemparameter. Dabei geben wir Ihnen Hinweise, wie SoD-Analysen automatisiert umgesetzt werden können.

Fraud DetectionMit Hilfe spezieller Algorithmen identifizieren wir potenzielle Verdachtsfälle in Ihren Daten und stellen Ihnen entspre-chende Testverfahren zusammen.

Continuous Auditing und Continuous MonitoringWir beraten Sie bei der Einführung von Lösungen zum Continuous Auditing und Continuous Monitoring, um Ihnen die Möglichkeit zu geben, Ihre Geschäftsvorfälle annähernd in Echtzeit zu analysieren.

Schützen Sie Ihr Unternehmen gegen:

• Überzahlungen • Doppelzahlungen • Schlechte Datenqualität • Manipulation von Daten • Splitting von Aufträgen • Zahlungen an Strohlieferanten

Unsere Leistungen in der Übersicht

Based

DADADatenanalyse- Führerschein

KSDADatenanalyse im Prüfungswesen

35

DAXRExplorative

Datenanalyse mit MS-EXCEL

DASTStichprobenverfahren

für Prüfer393836

Advanced

DAASACCESS

für Prüfer II

DAARACCESS

für Prüfer I40

DAREEinführung

in R

DARFR für

Fortgeschrittene43

4241

DADHHöhere analytische

Verfahren für die Prüfung

DABQBig Data -

Neue Herausforderung im Prüfungswesen 45

44

DASQOpen-Source-Software für die Datenanalyse

DAKEUnternehmens-

prüfung/-steuerung mit Kennzahlen 4746

Dat

a Sc

ienc

e


• Überzahlungen • Doppelzahlungen • Schlechte Datenqualität • Manipulation von Daten • Splitting von Aufträgen • Zahlungen an Strohlieferanten

Empfohlene Seminarfolge – Data Science

Special

DAALDatenschutz und

Datenanalyse37

FKDPKonferenz

Data Science35

Kompaktseminar

SPHMPrüfen der

SAP HANA-Modellierung140

SPHDData Analytics mit

SAP HANA

SPHLReporting mitSAP Lumira

143141

Data Analytics im SAP

33

Im menschlichen Gehirn ist viel Platz für Daten. Würde man es mit Werten ausdrü-cken, passen dort geschätzte 2,5 Petaby-tes hinein. Ein Petabyte ist eine Eins mit 15 Nullen.

Diese Speicherkapazität ist aber nichts im Vergleich mit den riesigen Mengen von Unternehmensdaten. Die Datenvolumina einer Firma verdoppeln sich alle zwei Jah-re und somit auch der Datenbestand, der vom Prüfer im Rahmen von Prüfungen analysiert werden muss. Auch die Struktur der Daten hat sich verändert; hat man früher ausschließlich auf strukturierten Daten (Tabellen) gearbeitet, müssen nun auch semistrukturierte (XML-Daten) und unstrukturierte Daten (E-Mail) analysiert werden.

Dies erfordert, dass der Prüfer neben den klassischen Analyseverfahren auch moderne Verfahren (Data-Mining, Text- und Prozessmining) zur Analyse großer Datenmengen im Prüfungsalltag erlernt und einsetzt.

Die Fachkonferenz „Data Science“ bietet ein ausgezeichnetes Forum, in dem Sie sich im Rahmen von Vorträgen und Work-shops sich in den klassischen Analysetech- niken weiterbilden, aber auch neue Verfah-ren und Softwaretools kennenlernen, mit denen Sie effektiv und effizient große Datenmengen professionell analysieren können. Seien Sie die Ersten, die diese neuen Verfahren einsetzen!

Aber auch der Erfahrungsaustausch zwischen Ihnen und anderen Konferenz-teilnehmern ist wichtig. Mit ihnen können Sie Probleme aus dem Prüfungsalltag diskutieren und lösen.

Konferenz „Data Science“07. bis 08. Juni 2018

Pre-Seminar: 06.06.2018 Fachkonferenz: 07. bis 08.06. 2018


Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


35

Dat

a Sc

ienc

e


Die Datenanalyse ist für den Prüfer das wichtigste Werkzeug, um effizient und effektiv die während einer Prüfung erhobenen Unternehmensdaten plausibilisie-ren und beurteilen zu können.

Entsprechend werden für den Prüfer Kenntnisse zur Analyse der Daten zunehmend wichtiger.

Leider ist die Datenanalyse noch ein „zartes Pflänz-chen“ im Prüfungsumfeld. Viele Prüfer nutzen die heutigen technischen und methodischen Möglichkei-ten nur bedingt.

Deshalb ist ein Ziel dieses Seminares Vorbehalte (persönlicher und inhaltlicher Natur) gegen diese Prü-fungstechnik abzubauen und das enorme Prüfungs-potenzial der professionellen Datenanalyse aufzuzei-gen.

Ein weiteres Ziel ist es, Ihnen die grundlegenden Techniken der Datengewinnung und -aufbereitung sowie der Datenanalyse praxisnah zu vermitteln.

Da in vielen Unternehmen SAP im Einsatz ist, wer-den Ihnen zu Beginn wichtige SAP-Werkzeuge zur Durchführung von tabellenorientierten Datenanalysen vorgestellt.

Datenanalyse im Unternehmenskontext• Einsatzgebiete, Phasen der Datenanalyse• Gesetzliche Grundlagen• Massendatenanalyse, Big Data

Datenanalyse in SAP• Tabellenorientiertes Prüfen, Wichtige Werkzeuge• Protokollierung

Datenbeschaffung und Datenimport• Grundsätze• Datenprüfung, formale und referentielle Integrität• Datenqualität

Deskription und Visualisierung der Daten• Lage- und Streuungsparameter• Histogramm, Kerndichteschätzer, Boxplot

Stichprobenverfahren• zufällige, bewusste Auswahlverfahren• erforderlicher Stichprobenumfang• Stichprobenverfahren (u.a. sequentielle Stichprobe)

Ausgewählte datenanalytische Verfahren• Ziffernanalyse• Data-Mining, neuronale Netze

Softwaretools• IDEA, R, FuzzyDupes

Anmeldung KSDA • Fax: +49 40 696985-31 • [email protected] Seminarcode KSDA

Referenten

Dipl. WiMa Erwin RödlerREVIDATA GmbH




MethodenVortrag, Diskussion, Beispiele am Rechner/Beamer, Praxisbeispiele, jeder Teilnehmer hat eine eigene Workstation

Kompaktseminar „Datenanalyse im Prüfungswesen“

r 02.07. – 04.07.2018

20 CPE


Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


36

Dat

a Sc

ienc

e

Im heutigen Prüfungsalltag gehört die Analyse von Massendaten zu einem unverzichtbaren Bestand-teil von Prüfungen. Dies schlägt sich auch in den Berufsstandards des Revisors nieder.

So sieht der IIA-Standard 1220 vor, dass der Interne Revisor im Rahmen seiner beruflichen Sorgfalts-pflicht den Einsatz von Datenanalysetechniken und computergestützter Methoden zu berücksichtigen hat.

Die Datenanalyse kann eingesetzt werden, um sich einen Überblick über das Prüffeld zu verschaffen oder gezielt einen Datenbestand auf Hinweise von dolosen Handlungen zu untersuchen.

In diesem Seminar werden eine Vielzahl von Analyseverfahren sowie die erforderlichen Schritte einer Datenanalyse erläutert.

Darüber hinaus werden Ansätze für ein „Continuous Control Monitoring“ vorgestellt, um eine kontinuierliche Überwachung einzelner Bestandteile des IKS im Unternehmen zu implementieren.

Die verschiedenen Verfahren werden an zahlrei-chen Beispielen aus der Finanzbuchhaltung und Materialwirtschaft mit MS Excel und MS Access vertieft.

Vorgehensmodell für die Datenanalyse• Strategische und operative Planung• Prüfungsdurchführung

Datenbeschaffung• Identifikation der relevanten Datenbestände• Exportieren der Daten aus den Hostsystemen,

Importieren, Zusammenführen und Aufbereiten der Daten in Analyse-Programmen

• Formale und inhaltliche Prüfung der Datenübernahme

Analysetechniken• Erkennen von Auffälligkeiten in Daten• Einsatz von unscharfen Kriterien zur Entdeckung

von mehrfachen Datensätzen (z.B. Doppelbuchungen)

• Herleitung von Prüfgrößen zur Beantwortung individueller Fragestellungen

Statistische Analyseverfahren• Beschreibung der Daten durch deskriptive

Kennzahlen• Benford-Analyse, Chi-Quadrat-Test

Überwachung durch „Continuous Control Monitoring“

Referent

r 29.01. – 30.01.2018

r 29.11. – 30.11.2018

Seminarcode DADA Anmeldung DADA • Fax: +49 40 696985-31 • [email protected]


Datenanalyse-Führerschein 13 CPE





Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


37

Dat

a Sc

ienc

e

Seminarcode DADA Anmeldung DADA • Fax: +49 40 696985-31 • [email protected]

Datenanalyse-Führerschein


Dauer: 1 Tag1. Tag: 09:00 – 16:00 Uhr



Anmeldung DAAL • Fax: +49 40 696985-31 • [email protected] Seminarcode DAAL

Die Datenanalyse ist ein notwendiges Mittel, um Informationen über den inneren Zustand eines Unternehmens zu gewinnen, Schwachstellen und Stärken zu erkennen und daraus Entscheidungs- grundlagen für die Unternehmensführung zu generieren.

Für einen funktionierenden Geschäftsbetrieb werden Datenanalysen mit Personenbezug daher regelmäßig benötigt. Vor allem die interne Revision muss im Rahmen ihrer Tätigkeit Daten von Mitarbeitern zur Nachvollziehbarkeit von Geschäfts-prozessen auswerten können.

Der Nutzung von Daten, in denen Beschäftigte betroffen sind, hat der Gesetzgeber allerdings enge Grenzen gesetzt.

Wie sich dieser Widerspruch datenschutzkonform gestalten lässt und Lösungen für alle Beteiligten aussehen können, vermittelt dieses Seminar. Datenschutzgerechte Datenanalysen sind möglich und lassen sich bei definierten Vorgehensweisen für alle Bereiche umsetzen.

Den Teilnehmern werden anhand von praktischen Beispielen Wege aufgezeigt, die technischen Möglichkeiten der Datenanalyse unter Wah-rung der rechtlichen Rahmenbedingungen des Datenschutzes zu nutzen.

Aktuelles Recht• Beschäftigtendatenschutz• Mitbestimmungsgesetze• Rechtliche Voraussetzungen für den Zugriff auf

Mitarbeiterdaten

Arten der Datenanalysen• Analysen zur Steuerung des Unternehmens• Auswertung Mitarbeiterdaten• Analysen für Marketing und Werbung• Pseudonymisierte Analysen• Anonymisierte Analysen

Vorgehensweisen• Definition des Ziels• Mitbestimmung des Betriebsrats• Selektion der Daten• Notwendiger Personenbezug• Funktionstrennung zwischen Ersteller und Nutzer

Tools und Hilfen• Anwendungsmatrix der Zulässigkeit

von Datenanalysen• Checklisten zur Vorgehensweise• Prozessdefinition für die Anwendung

von Datenanalysen• Relevante Gesetzessammlungen

Referentin


r 01.03.2018

Datenschutz und Datenanalyse 7 CPE

QuickLearn

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


38

Dat

a Sc

ienc

e

Tabellenkalkulationsprogramme wie Microsoft

Excel sind im Laufe der Jahre gewachsen und überaus mächtig geworden. Als Standard- Software ist Microsoft® Excel auf nahezu jedem Arbeitsplatz-PC installiert und erlaubt komplexe Abfragen und Analysen. Besonders für Prüfer kann dies eine erhebliche Arbeitserleichterung bedeuten.

Durch Kennzahlenbildung erhalten Sie einen schnellen Überblick über den Datenbestand. Analysen wie Schichtungen und Pivot-Tabellen ermöglichen das Auffinden von kleinsten Un-stimmigkeiten. Neben der komplexen Auswer-tung auf Massendaten bietet Excel komfortable Möglichkeiten, um die Ergebnisse übersichtlich darzustellen. Hierbei unterstützt auch die Möglichkeit, Grafiken generieren zu lassen.

Um alle Funktionen schnell und effizient nutzen zu können, bietet dieses Seminar kompakt und umfas-send sowohl grundlegende als auch weitergehende Einsatzmöglichkeiten von Excel in allen Prüfungsbe-reichen.

Alle Themen werden durch praktische Übungen am Rechner vertieft. Am 3. Seminartag erwartet Sie eine Zusammenfassung am Beispiel einer interaktiven Prüfung von Datenbeständen inkl. grafischer Auswertung!

Einlesen von Prüfdaten• Aus div. Datei-Formaten• Selektion beim Import• Konvertierung von Daten• Konsistenzprüfung der eingelesenen Daten

Erstellen von Feldstatistiken• Kennzahlenbildung• Standardabweichungen und Auffälligkeiten

Analysemöglichkeiten• Filter, Gruppierung der Daten• Erzeugen von Teilergebnissen• Funktionen für klassische Revisions-

fragestellungen

Komplexe Analysen der Daten• Schichtungen• Datenkonsolidierung• Histogramm• Pivot-Tabellen • Benford-Analyse

Formatierung und Darstellung• Grafiken• Druckoptimierung

Kurzeinstieg in Makros / VBA

Referent

r 14.05. – 16.05.2018

Seminarcode DAXR Anmeldung DAXR • Fax: +49 40 696985-31 • [email protected]


Explorative Datenanalyse mit MS-EXCEL 20 CPE





Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


39

Dat

a Sc

ienc

e

Seminarcode DAXR Anmeldung DAXR • Fax: +49 40 696985-31 • [email protected]

Explorative Datenanalyse mit MS-EXCEL





Anmeldung DAST • Fax: +49 40 696985-31 • [email protected] Seminarcode DAST

Statistische Methoden unterstützen die Fachab-teilung, aber auch prüfende Institutionen bei der Beurteilung des Internen Kontrollsystems eines Unternehmens.

Um die Wirksamkeit eines IKS effizient unter den Gesichtspunkten Wirtschaftlichkeit und Zeitver-brauch beurteilen zu können, wird man in der Regel die Untersuchung auf eine Stichprobenprüfung beschränken müssen.

Oft bestehen Zweifel, ob die Anzahl der ausgewählten Fälle ausreichend ist, um zutreffende Rückschlüsse auf die zu untersuchende Grund- gesamtheit vornehmen zu können. Hier kann man sich statistischer Methoden bedienen, die nach der Wahrscheinlichkeitsrechnung schlüssige Aussagen zu Fehleranteil und -höhe zulassen.

Neben Stichprobenverfahren werden im Seminar auch andere statistische Verfahren angesprochen, die den zeitlichen Aufwand und die Kosten für Kontrollen erheblich reduzieren und damit einen wesentlichen Beitrag zu einem sicheren und effizienten Internen Kontrollsystem leisten.

Dieses Seminar ist keine Vorlesung über die Theorie der Verfahren. Zwar werden diese auch theoretisch erläutert, der Schwerpunkt des Seminars liegt aber bei der Anwendung.

Grundlagen der Statistik• Deskriptive und induktive Statistik• Begriffsdefinitionen• Statistische Verteilungen• Schätz- und Testverfahren• Fehlerarten

Stichproben• Bedeutung von Stichproben für

datenanalytische Verfahren• Aussagekraft von Stichproben• Ziehung von Stichproben• Berechnung von Stichprobenumfängen

Stichprobenverfahren• Annahmestichproben (Test von Hypothesen)• Sequentielle Stichprobenverfahren• Entdeckungsstichproben• Monetary-Unit-Sampling (MUS)• Schätzstichproben

Andere statistische Verfahren• Grafische Analysen• Benford- und Chi-Quadrat-Analyse von

Ziffernverteilungen

Software für Stichprobenziehungen• IDEA / ACL• EZ-Quant

Referent


r 27.08. – 28.08.2018

Stichprobenverfahren für Prüfer 13 CPE

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


40

Dat

a Sc

ienc

e

Referent

r 05.11. – 06.11.2018

Seminarcode DAAR Anmeldung DAAR • Fax: +49 40 696985-31 • [email protected]


ACCESS für Prüfer I 13 CPE





Datenbankprogramme wie Microsoft® Access sind im Laufe der Jahre immer beliebter geworden. Als Standard-Software ist Microsoft® Access auf nahezu jedem Arbeitsplatz-PC installiert und erlaubt komplexe Abfragen und Analysen. Besonders für Revisoren kann dies eine erhebliche Arbeitser-leichterung bedeuten. Durch Kennzahlenbildung erhalten Sie z.B. einen schnellen Überblick über den Datenbestand.

Ein wesentlicher Vorteil gegenüber der Analyse mit Microsoft® Excel besteht in der Möglichkeit, mehrere Tabellen miteinander zu verknüpfen. So können Analysekriterien auch tabellenüber- greifend definiert werden.

Neben der komplexen Auswertung auf Massen-daten bietet Access komfortable Möglichkeiten zur Darstellung der Ergebnisse. In Berichten können wichtige Details einfach zusammengefasst und für den Ausdruck formatiert werden.

Dieses Seminar richtet sich an Prüfer, die bisher wenig oder keine Erfahrungen mit Microsoft® ACCESS gesammelt haben. Grundlegende Einsatz-möglichkeiten in allen Prüfungsbereichen werden ausführlich erklärt.

Alle Themen werden durch praktische Übungen am Rechner vertieft.

Elemente in MS Access• Tabellen• Abfragen• Berichte

Abgrenzung zu Excel • Datenbank vs. Tabellenkalkulation• Kleine Datenbanktheorie

Einlesen von Prüfdaten• Aus div. Datei-Formaten• Selektion beim Import• Schreibschutz und Konvertierung der Daten

Erstellen von Feldstatistiken• Kennzahlenbildung• Darstellung von Standardabweichungen• Suche nach Auffälligkeiten

Analysemöglichkeiten• Tabellenverknüpfung• Aggregieren der Daten – z.B. Umsatzsummen

pro Quartal• Schichtung der Daten• OP-Analyse

Darstellung der Ergebnisse in Berichtsform• Formatierungsmöglichkeiten• Gruppierung der Daten• Druckoptimierung

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


41

Dat

a Sc

ienc

e

Dieses QuickLearn-Seminar baut auf das Seminar DAAR (s. Vorseite) auf und zeigt weitere schnelle und effiziente Analysemöglichkeiten.

Der Schwerpunkt liegt auf der Erstellung von unterschiedlichsten Abfragen. Typische Revisions-fragen werden in Access abgebildet.

Über Funktionen werden Daten aufbereitet und je nach Bedarf Feldinhalte aufgeteilt oder zusammengefügt.

Über Aggregatfunktionen können Daten gruppiert und Gruppen-Summen oder Mittelwerte gebildet werden.

Mit Analysen wie Schichtungen und Kreuztabel-lenabfragen können Auffälligkeiten aufgefunden werden. Die risikoorientierte Prüfung wird mit wenigen „Klicks“ ideal vorbereitet.

Eine wichtige Funktion ist die Verknüpfung von Informationen verschiedener Tabellen über Schlüsselfelder. Je nach Fragestellung kommen verschiedene Verknüpfungsmethoden zum Einsatz.

Alle Themen werden durch praktische Übungen am Rechner vertieft.

Tabellenverknüpfung• Inner Join• Outer Join• Anwendungsgebiete in der Prüfung

Analysemöglichkeiten• Funktionen in Abfragen• Parameteranalysen • Gruppierung und Konsolidierung

Komplexe Analyse der Daten• Inkonsistenzsuche• Duplikatsuche• Lückensuche• Schichtungen • Kreuztabellenabfragen

Automatisierungsmöglichkeiten• Wiederverwendung der Abfragen für die

FollowUp-Prüfung• Makros

Erhöhen der Revisionsfestigkeit durch• Schreibschutz der Originaldaten• Dokumentation der Analysen

Seminarcode DAAR Anmeldung DAAR • Fax: +49 40 696985-31 • [email protected]

ACCESS für Prüfer I


Dauer: 1 Tag1. Tag: 09:00 – 16:00 Uhr



Anmeldung DAAS • Fax: +49 40 696985-31 • [email protected] Seminarcode DAAS

Referent


r 07.11.2018

ACCESS für Prüfer II 7 CPE

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


42

Dat

a Sc

ienc

e

Datenanalysen mit statistischen Methoden und insbesondere Visualisierungen gewinnen immer größere Bedeutung für die Interne Revision (IR), die Tabellenkalkulationsprogramme kaum leisten können.

Mit R steht hierfür eine sehr leistungsfähige Open-Source Lösung zur Verfügung. R hat sich in den vergangenen Jahren zum Standard in der modernen statistischen Datenanalyse entwickelt.

Ein besonderer Vorteil von R ist, dass es für spezifische Problemstellungen leicht erweitert werden kann.

Dieses Seminar hat 2 Ziele:1. Teilnehmern eine strukturierte Einführung in die Arbeit mit R zu geben2. Vertiefung der Kenntnisse statistischer Methoden

Während der drei Tage werden die Teilnehmer viele Aufgaben bearbeiten. Für Diskussion und Fragen ist genügend Zeit eingeplant.

Einleitung• Historie• Vor- und Nachteile von R

Arbeitsumgebung• Aufbau von R• Hilfefunktion, externe Wissensquellen• Zusatztools für R (RStudio u.a.)• RCommander (GUI)

Start in die R-Welt• R als Taschenrechner• Terminologie, Syntaxregeln, Operatoren• Wichtige Funktionen

Grundlagen I• Variablen- und Datentypen• Faktoren• Missings• Arbeiten mit Variablen und Daten

Grundlagen II• Datenstrukturen in R (Data Frame, Vektor, List, …)• Daten importieren aus Textdateien (csv, txt, …)

Arbeiten mit Daten• Variablen transformieren• Teilmengen (Variablen, Daten) bilden• Datensätze zusammenführen

Referent

r 11.06. – 13.06.2018

Seminarcode DARE Anmeldung DARE • Fax: +49 40 696985-31 • [email protected]

Rainer FeldmannDiplom VolkswirtQuantitavie Analysen Krämer, Feldmann GmbH

Einführung in R 20 CPE





NEU

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


43

Dat

a Sc

ienc

e

Seminarcode DARE Anmeldung DARE • Fax: +49 40 696985-31 • [email protected]

Einführung in R





Anmeldung DARF • Fax: +49 40 696985-31 • [email protected] Seminarcode DARF

Sie haben erste Erfahrung in R gesammelt und wollen jetzt tiefer in die Software einsteigen? Dann ist dieses 2tägige Kompaktseminar das Richtige für Sie.

R ist in den letzten Jahren aus sich heraus um eine Reihe von Funktionen erweitert worden, die• das Arbeiten mit Daten erleichtern,• die Erstellung von Grafiken gemäß einer einheitlichen Philosophie effizient ermöglichen,• die Erstellung von Reports erleichtern.

Sie werden neue Funktionalitäten kennenlernen und Ihre R-Kenntnisse vertiefen.

Voraussetzung für das Seminar sind Grundkenntnisse in R wie sie z.B. in unserem Kurs „Einführung in R“ vermittelt werden. Als Software werden wir R mit RStudio nutzen.

Einstieg: Wiederholung Grundkenntnisse

Arbeitsumgebung verstehen

Fortgeschrittene Konzepte in R• Namesspace• Scoping• Objekt Orientierung

Funktionen selber erstellen

Scripting

Elegante Visualisierung mit ggplot2

Data Science mit R• dpylr Package• piping• Datentransformationen (Long to Wide und umgekehrt, Tidy Data)• Daten aus Datenbanken importieren

Berichte mit R und HTML

Übersicht Data Mining mit R (Schnittstellen zu „anderer“ Software , Packages)

Referent

r 11.10. – 12.10.2018

R für Fortgeschrittene 13 CPE

NEU

Rainer FeldmannDiplom VolkswirtQuantitavie Analysen Krämer, Feldmann GmbH

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


44

Dat

a Sc

ienc

e

Wer tiefer in die Datenanalyse einsteigen möchte, der hat in diesem Seminar – aufbauend auf dem Basisseminar DADA „Datenanalyse-Führerschein“ (s. Seite 36) – die Gelegenheit, komplexere Analy-sewerkzeuge kennen zu lernen.

Die Grundlage der Datenanalyse sind die Unter-nehmensdaten. Um sich auf die Ergebnisse der Analysen verlassen zu können, muss vorab die Qualität der Daten geprüft werden. Im Rahmen des Seminars werden hierzu einige Ansätze vorgestellt.

Um einen ersten Eindruck über Daten zu bekommen, ist es sinnvoll, diese graphisch darzustellen. Eine der häufigsten Darstellungsformen ist das Balkendiagramm (Histogramm). Es wird erläutert, welche Probleme bei einem Histogramm auftreten können und wie sie gelöst werden. Darüber hinaus werden weniger bekannte Darstellungsformen vorgestellt.

Den Schwerpunkt des Seminars bilden Verfahren aus dem Bereich Data-Mining. Mit diesen Verfahren ist es möglich, Muster, Anomalien und Regeln in großen Datensätzen automatisiert aufzuspüren.

Neben dem Einsatz von MS Access und MS Excel werden auch Softwaretools aus dem Bereich des Data-Mining (überwiegend frei verfügbar) vorgestellt und eingesetzt.

Prüfen der Datenqualität• Einfluss der Datenqualität auf den

Unternehmenserfolg• Definition des Begriffs• Ursachen für schlechte Datenqualität• Kriterien für die Messung der Datenqualität• Prüfverfahren

Beschreibende Kennzahlen• Relative Size Factor (RSF)• Number Frequency Factor (NFF)• Schiefe, Kurtosis

Datenvisualisierung• Histogramm• Kerndichteschätzer• Boxplot

Data-Mining• Intelligent Data Analysis• Klassifikation von Datenanalyse-Problemen• Phasen des Data-Mining-Prozesses• Methoden und Techniken• Neuronale Netze / Kohonennetze• Einsatzgebiete

Free-Software• R• RayQ

Referent

r 23.04. – 24.04.2018

Seminarcode DADH Anmeldung DADH • Fax: +49 40 696985-31 • [email protected]

Höhere analytische Verfahren für die Prüfung 13 CPE






Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


45

Dat

a Sc

ienc

e

Seminarcode DADH Anmeldung DADH • Fax: +49 40 696985-31 • [email protected]

Höhere analytische Verfahren für die Prüfung


Dauer: 1 Tag1. Tag: 09:00 – 16:00 Uhr



Anmeldung DABQ • Fax: +49 40 696985-31 • [email protected] Seminarcode DABQ

Für immer mehr Unternehmen und Organisationen erlangt die Fähigkeit, die ständig wachsenden Datenmengen in kürzester Zeit verarbeiten und analysieren zu können, hohe Priorität.

Big Data bezeichnet die wirtschaftlich sinnvolle Gewinnung und Nutzung entscheidungs- relevanter Erkenntnisse aus qualitativ vielfälti-gen sowie strukturierten und unstrukturierten Informationen.

Mit dieser Toolbox aus Technologien und Algorithmen erhalten Manager eine deutlich verbesserte Datengrundlage für die Vorbereitung unternehmerischer Entscheidungen.

Big Data im Unternehmen ist eine Herausforderung, der sich Mitarbeiter der Fachabteilungen, des Controllings und prüfender Institutionen in den nächsten Jahren stellen müssen.

Mit neuen IT-Tools und Analysemethoden werden Lösungen angeboten, Massendaten- analysen effektiv und effizient einzusetzen.

Dieses Kompaktseminar gibt dem Teilnehmer eine Einführung in diese Thematik und stellt Technologien und Tools anhand ausgewählter Beispiele vor.

Was ist Big Data?• Rechtliche Aspekte• Datenschutz• Ist Pseudonymisierung eine Lösung?

Erforderliche IT-Strukturen• ELT statt ETL• Parallelverarbeitung (Map-Reduce-Algorithmen)• NoSQL-Datenbanken• Verarbeitung von strukturierten und

unstrukturierten Informationen (Hadoop)

Statistische Analyseverfahren• Data-Mining• Neuronale Netze (Kohonen-Netz)

Einsatzgebiete• Fraud-Analyse von Massendaten• Bilanz- und Buchhaltungsdaten• Kreditoren / Debitoren

Analysetools und integrierte Lösungen• R• Rapid-Miner• QlikView• RayQ• SAP-Fraud-Management

Referent

r 29.08.2018

Big Data - Neue Herausforderungen im Prüfungswesen 7 CPE


QuickLearn

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


46

Dat

a Sc

ienc

e

Wer als Prüfer Datenanalysen durchführt, wird in der Regel die Programme Excel, ACL oder IDEA einsetzen. Diese Tools bieten dem Prüfer umfangreiche Funktionalitäten, haben aber in den Bereichen der höheren statistischen Analyse- verfahren und der visuellen Darstellung nur begrenzte Möglichkeiten. Zwei sehr leistungsfähige Open-Source Programme, die diese Bereiche abdecken, sind R und RapidMiner.

R hat sich in den vergangenen Jahren zu einem Standard in der modernen statistischen Datenana-lyse entwickelt. Der Funktionsumfang kann durch eine Vielzahl von Paketen erweitert und spezifische statistische Problemstellungen angepasst werden.

RapidMiner ist eine auf Java basierende Datenex-plorationsplattform zur interaktiven Datenanalyse. Die grafische und intuitive Benutzeroberfläche ermöglicht das einfache und schnelle Aneinander-setzen von Verarbeitungs- und Analyseschritten zu sogenannten „Pipelines“.

Ziel dieses Kompaktseminares ist es, den Teilneh-mern einen Überblick über die vielfältigen Möglich-keiten der beiden Softwaretools anhand von ausge-wählten Beispielen des Prüfungsalltags darzustellen und eine kurze Übersicht über weitere leistungs- fähige Tools zu geben.

Open Source-Software• Definition• Lizenzmodelle und ihre Grenzen• Open-Source als Innovationsmotor• Kommerzieller Einsatz

R• Import und Weiterverarbeitung von Daten• Explorative Datenanalyse• Visualisierung höherdimensionaler Daten • Berechnung von deskriptiven Kennzahlen• Regression und Korrelation• Erweiterung des Funktionsumfangs durch das La-

den von Packages

Zusatztools für R• R Commander• RExcel• RStudio

RapidMiner• Pipeline-Konzept• Datenimport• Einsatz als ETL-Werkzeug• Report Designer• Statistische Analysen• Datamining

Kurze Vorstellung weiterer Tools

Referent

r 25.04.2018

Seminarcode DASQ Anmeldung DASQ • Fax: +49 40 696985-31 • [email protected]

Open-Source-Software für die Datenanalyse 7 CPE


Dauer: 1 Tag1. Tag: 09:00 – 16:00 Uhr




QuickLearn

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


47

Dat

a Sc

ienc

e

Seminarcode DASQ Anmeldung DASQ • Fax: +49 40 696985-31 • [email protected]

Open-Source-Software für die Datenanalyse





Anmeldung DAKE • Fax: +49 40 696985-31 • [email protected] Seminarcode DAKE

Unternehmenssteuerung ist eine zentrale Aufgabe und beginnt mit der Zieldefinition des Unterneh-menserfolges. Alle weiteren Maßnahmen sind daran auszurichten und bilden die Unternehmensstrategie.

Zur Steuerung eines Unternehmens sind die relevanten Werttreiber zu identifizieren. Werttreiber sind Faktoren mit hoher Bedeutung für den Unternehmenserfolg und werden über Kennzahlen gemessen. Beispiele sind die klassischen Kennzahlen Rentabilität, Return on Investment, Liquiditäts-Grade bzw. Cash-Flow. Wichtig dabei ist der Einklang von Unternehmens-ziel, Strategie und Parameter zur Erfolgsmessung. Das Ausprägen, Definieren und Messen über Kennzahlen ist dabei häufig im Controlling eines Unternehmens angesiedelt. Ebenso können diese Kennzahlen auch als Frühwarnindikatoren im Continuous-Monitoring oder Continuous-Auditing der internen Revision eingesetzt werden.

Das Seminar vermittelt einen Überblick über die Prüfung der Unternehmenssteuerung. Es beginnt dabei mit der Zielsetzung und Strategie sowie den daraus abgeleiteten Maßnahmen. Im weiteren Verlauf werden Kennzahlen hergeleitet und zu einem Kennzahlensystem zur Erfolgsmessung verdichtet. Hierbei werden Daten aus ERP-Systemen in Microsoft Excel bereitgestellt, verarbeitet und analysiert.

Kennzahlen und Kennzahlensysteme• Aussagekraft von Kennzahlen• Klassifikation von Kennzahlen• Anforderungen an Kennzahlen und Kennzahlensysteme• Aufbau eines Kennzahlensystems• Quellen zur Kennzahlenentwicklung• Visualisierung von Kennzahlen• Kennzahlen als Frühwarnindikatoren

Finanzielle Kennzahlen• ROI, ROIC• EBIT, EBITDA, NOPAT• Cash-Flow

Nicht finanzielle Kennzahlen• Leistungsindikatoren, KPIs• Prozesskennzahlen• Qualitätskennzahlen

Kennzahlen und Reporting• Reportingsysteme• MIS (Management Informationssysteme)• Informationsquellen für die Kennzahlenermittlung

Referent

Unternehmensprüfung/-steuerung mit Kennzahlen 13 CPE

r 17.05. – 18.05.2018


Audit SamplingAICPA Audit GuideISBN: 978-1-937-35088-8AICPA (www.cpa2biz.com)

Audit SamplingAn introduction. Fifth Edition.Guy, Carmichael, WhittingtonISBN: 978-0-471-37590-6John Wiley & Sons (www.wiley-vch.de)

Benford’ LawApplications for Forensic Accounting, Auditing, and Fraud Detection. Mark J. NigriniISBN: 978-1-118-15285-0John Wiley & Sons (www.wiley-vch.de)

Big Data in der PraxisLösungen mit Hadoop, HBase und HiveDaten speichern, aufbereiten, visualisierenJonas FreiknechtISBN: 978-3-446-43959-7Hanser Verlag

Discovering Statistics using RAndy Field, Jeremy Miles, Zoe FieldISBN: 978-1-446-20046-9SAGE Publications Ltd (www.sagepub.com) Digitale SAP-MassendatenanalyseRisiken erkennen – Prozesse optimierenBönner, Riedl, WenigISBN: 978-3-503-11652-2Erich Schmidt Verlag (www.ESV.info)

Excel Security, Audit & ComplianceHandbuch zur systematischen Prüfung von Tabellenkalkulationen.Marc WerhagenISBN: 978-3-8442-2275-3ePubli GmbH (www.epubli.de)

Forensic AnalyticsMethods and Techniques for Forensic Accounting Investigations.Mark J. NigriniISBN: 978-0-470-89046-2John Wiley & Sons (www.wiley-vch.de)

Handbuch der Datenprüfung Holger KlindtworthISBN: 978-3-415-04537-8Richard Boorberg Verlag (www.osv-hamburg.de)

Statistische Verfahren für die Revision IBS-PrüfmanualISBN: 978-3-415-04537-POttokar Schreiber Verlag (www.osv-hamburg.de)

Transparenz durch digitale DatenanalysePrüfungsmethoden für Big DataDeggendorfer Forum zur digitalen Datenanalyse e.V. (Hrsg.)ISBN: 978-3-503-15675-7Erich Schmidt Verlag (www.ESV.info)

Literaturverzeichnis Data Science

Dat

a Sc

ienc

e

48

Benford-Analyse Beide Verfahren werden im Bereich der Digitalen Ziffernanalyse eingesetzt. Das Ziel der Ziffernanalyse ist es, ungewöhnlich häufiges Auftreten von einzelnen Ziffern oder Zifferkombinationen aufzudecken. Beide Verfahren beruhen darauf, dass eine empirische Ziffernverteilung im Prüffeld gegen eine erwartete Verteilung verglichen wird. Der Unterschied zwischen den Verfahren liegt in der zu erwarteten Häufigkeitsverteilung. Bei der Benford-Analyse wird die Benford-Verteilung der Ziffern, beim Chi2-Test die Gleichverteilung der Ziffern angenommen.

Die Ergebnisse dieser Analysen müssen vom Prüfer mit größter Sorgfalt interpretiert werden. Auffälligkeiten im Datenmaterial sind ein möglicher Hinweis aber kein Beweis für Manipulationen oder wirtschaftskriminelle Handlungen.

Big Data Dieser Begriff ist nicht zu verwechseln mit dem Begriff der Massendatenanalyse. Mit Big Data werden die Verfahren und Technologien zur Verarbeitung sehr großer Datenmengen (Petabytes und größer) zusammengefasst, die in strukturierter, semi-strukturierter und unstrukturierter Form vorliegen. Diese Datenmengen und –strukturen können nicht mit den traditionellen Analysetools und –techniken bearbeitet werden. Durch neue Datenbankmodelle (spaltenorientiert, In-Memory-Technik) und massiver Parallelverarbeitung wird die Bearbeitung dieser großen Datenmengen ermöglicht

Boxplot Eine wichtige Darstellungsform in der explorativen Datenanalyse. Sie bietet einen direkten Verteilungs-überblick und eignet sich insbesondere zum Verteilungsvergleich. Dabei zeigt sie sowohl die Lage als auch die Streuung der Werte und ermöglicht zudem die Identifikation von Ausreißern.

Data Mining Data Mining ist das Extrahieren von bisher unbekannten Informationen aus Rohdaten. Das Ziel ist das Finden vorhandener Strukturen, Muster, Regelmäßigkeiten, Abhängigkeiten oder Auffälligkeiten in den Daten, denen man sich vorher nicht bewusst war, also Wissens- oder Erkenntnisgewinn aus den Daten. Im Gegensatz zu den klassischen Methoden der Datenanalyse werden nicht die Arbeitshypo-thesen des Prüfers verifiziert, sondern der Prüfer wird auf Auffälligkeiten in den Daten hingewiesen.

Histogramm Grafische Darstellung einer Häufigkeitsverteilung. Die Daten werden im ersten Schritt geschichtet. Für jede Schicht (Klasse) wird die Häufigkeit bestimmt. Die relative oder absolute Häufigkeit wird durch eine balkenförmige Fläche über dem jeweiligen Schichtmittelpunkt dargestellt. Es ist bei dieser Darstellungsform wichtig, dass die Fläche und nicht die Höhe proportional zur Häufigkeit ist (Prinzip der Flächentreue). Die meisten Programme, die im Prüfungswesen im Einsatz sind, berücksichtigen dieses Prinzip nicht.

Monetary Unit Sampling Im Prüfungsalltag, insbesondere der Wirtschaftsprüfer, hat sich das Stichprobenverfahren Monetary Unit Sampling (MUS) zu einem Standard herausgebildet. Es ist von den mathematischen Grundlagen und der Durchführung her ein sehr komplexes Verfahren. Es wird eingesetzt, um quantitative Merkmale zu untersuchen. Ein häufiges Einsatzgebiet ist der Abgleich von Soll- und Istwert eines Prüffeldes (z. B. Lagerwert) auf Basis einer Stichprobe.

Ausgangspunkt des MUS ist die Vorstellung, dass jede in einem Prüffeld enthaltene Geldeinheit und nicht die physische Einheit (z. B. Rechnung, Darlehensvertrag) ein unabhängiges Untersuchungsobjekt darstellt.

R Ein frei verfügbares (Open-Source) Programmpaket mit einer sehr großen Bibliothek von Funktionen, die für Datenanalysen und grafische Darstellungen genutzt werden können. Es ist der de-Facto- Standard der statistischen Forschung an Universitäten.

Sequentielle Stichprobe Bei diesem Stichprobenverfahren wird im Gegensatz zu den Standardmethoden der Stichprobenumfang nicht vor Beginn des Auswahlprozesses festgelegt. Nach jedem einzelnen Prüfungsschritt wird über Fortsetzung oder Abbruch der Stichprobenziehung entschieden. Der Einsatz des Verfahrens kann zu drastisch reduzierten erforderlichen Stichprobengrößen führen, um sich ein statistisch gesichertes Urteil über das Prüffeld zu bilden.

Chi2-Test

Glossar Data Science

Dat

a Sc

ienc

e

49

Unsere Referenten im Bereich IT-Sicherheit

Konstantin Gork - Diplom Geophysiker • CISAIBS Schreiber GmbH

Konstantin Gork ist seit 2007 bei der IBS Schreiber GmbH als IT Security Auditor tätig und war vorher 8 Jahre für den Betrieb eines Rechenzentrums bei der Siemens AG verantwortlich. Zu seinen Aufgaben gehörte das Planen und Einrichten von Kundenan-bindungen, das Betreiben einer Firewall und der Netzinfrastruktur sowie die Unter- stützung des technischen Vertriebes. Weiterhin war er verantwortlich für die Umsetzung kundenspezifischer ITIL-Prozesse. Seit 2014 ist Herr Gork Leiter des Geschäfts- bereichs „IT Revision“.

IT-S

iche

rhei

t

Alexander Clemm - CISMEbner Stolz GmbH & Co. KG

Alexander Clemm hat als Prüfungsleiter bei Ebner Stolz langjährige Erfahrung im Bereich der IT Complianceprüfung (CISA). Zudem führt er IT-Risikoanalysen und ISMS Implementierungen als zertifizierter ISO 27001 Lead Auditor und zertifizierter IT-Sicher-heitsmanager (CISM) durch. Daneben kann Herr Clemm als zertifizierter ISO 22301 Lead Auditor auf erfolgreiche Implementierungsprojekte im Bereich Business Continuity Management zurückblicken.



Janis Exner - GeschäftsführerITB IT Betrieb GmbH

Janis Exner ist seit 2004 als selbstständiger IT-Berater im Kanzleiumfeld tätig und TÜV zertifizierter Information Security Officer. Schwerpunkte seiner Tätigkeit sind das strategische IT-Management, IT-Sicherheit sowie der Betrieb von Microsoft® basierter Infrastruktur. Als Dozent bringt er langjährige praktische Erfahrung in der Konzeption, Migration und Administration von Active Directory Services , Berechtigungen und Grup-penrichtlinien ein.

50


Kai Henken - Bachelor of ScienceIBS Schreiber GmbH

Kai Henken ist in der IBS Schreiber GmbH als IT Security Auditor tätig. Er studierte „Angewandte Informatik“ an der HAW Hamburg und war bereits während seines Studi-ums als Werkstudent bei der IBS-Schreiber GmbH im Bereich IT_Security eingesetzt. Er verfügt weiterhin über Erfahrungen als Freiberufler in der System- und Netzwerk- administration sowie im Webhosting.

Ingo Köhne - M.Sc. International Business, Diplom Wirtschaftsinformatiker (FH) CISA, CISM, QAR-ITEbner Stolz GmbH & Co. KG

Ingo Köhne ist seit 2011 bei Ebner Stolz als Prüfungsleiter im Geschäftsbereich IT-Revision tätig und arbeitet in den Bereichen IT- und Innenrevision. Herr Köhne ist auf den Gebieten IT-Governance, IT-Sicherheit sowie SAP ERP Experte. Er ist akkredi- tierter Qualitätsassessor der internen IT-Revision und COBIT Practitioner.

Herbert Lang - Diplom Ingenieur ITIL-Expert, SixSigma, Prozess ManagementDATEV eG

Seit 2010 ist Herbert Lang bei der DATEV eG in Nürnberg tätig. Neben der Ausrich-tung des Druckbetriebes nach den Prinzipien von Servicemanagement leitet er dessen Zertifizierungsaktivitäten. Hierbei schöpft er aus seinem reichhaltigen Erfahrungsschatz aus früheren Tätigkeiten in der Telekommunikation. In über 16 Jahren hat er Themen vom technischen Training über Projektmanagement bis zur Organisationsentwicklung übergreifend betreut.

IT-S

iche

rhei

t

Holger Freundlich - Datenschutzbeauftragter (TÜV®)IBS Schreiber GmbH

Holger Freundlich ist seit Februar 2011 als IT Security Auditor bei der IBS Schreiber GmbH tätig und war vorher 25 Jahre in der Siemens AG tätig. Zuletzt hat er in Schweden mehrere internationale Projekte geleitet. Weiterhin hat sich Holger Freundlich qualifiziert als: „Globaler Zertifizierungsmanager und Auditor“ im Bereich Netzwerk (CISCO) sowie Projektmanager im Bereich Telekommunikationssysteme (HiPath4000 und OpenScape Voice).

51

Alexandra Palandrani - Bachelor of ScienceIBS Schreiber GmbH

Alexandra Palandrani ist seit 2000 Mitarbeiterin der IBS Schreiber GmbH. Durch Ihr Studium der Medieninformatik erhielt Frau Palandrani eine professionelle Basis für die Prüfung von IT-Systemen. Ihre Bachelor-Arbeit behandelte das Thema Sicherheit von Online-Bewerberportalen. Seit 2011 befasst sich Frau Palandrani als IT-Security Auditor bei IBS mit entsprechenden Sicherheitslücken. Ihre Erfahrungen bringt sie in Seminare, Prüfungen und in Projekte ein.

Unsere Referenten im Bereich IT-Sicherheit

Dr. Thomas Lohre - Diplom Kaufmann, Diplom Wirtschaftsinformatiker MBA • CISA, CISM, CRISC, ISO 27001 LEAD-AUDITORDATEV eG

Thomas Lohre ist Lehrbeauftragter an der FH Würzburg-Schweinfurt zum IT-Risikomanage-ment und ist seit 2003 bei der DATEV eG in Nürnberg beschäftigt. Über 7 Jahre war er dort als IT-Revisor tätig und hat zahlreiche Prüfungen auf Grundlage einschlägiger Prüfungsstandards wie z. B. BSI, ITIL und ISO 27001 durchgeführt. Sein aktueller Aufgabenschwerpunkt ist das ISMS der DATEV eG nach ISO 27001. Seit einigen Jahren veröffentlicht er daneben regel- mäßig in der PRev zu aktuellen Themen der IT-Revision.

Georg MangoldGruner + Jahr GmbH & co. KG

Georg Mangold ist seit 2016 im Gruner + Jahr GmbH & co. KG Unternehmen in Hamburg. Der Betrieb der Server- und Clientlandschaft einschließlich der Kommunikation mit Outsourcing Dienstleistern obliegt in seiner Verantwortung. Sein Tätigkeitsschwerpunkt ist der Betrieb virtueller Umgebungen und Terminal Server- / VDI-Infrastrukturen, zu dem auch das Implementieren von Storage- und Backupkonzepten gehört. Seit 2010 vermittelt Herr Mangold seine theoretischen und praktischen Kenntnisse als Seminarleiter.

Prof. Dr. Christopher RentropINCA Consult GmbH, Winterthur (CH)

Prof. Dr. Christopher Rentrop (INCA Consult GmbH, Winterthur (CH)) ist seit 2007 selbständiger Unternehmensberater und Professor für Wirtschaftsinformatik mit dem Schwerpunkt Controlling an der HTWG Konstanz. Seine beruflichen Tätigkeitsschwer-punkte liegen in den Bereichen strategisches IT-Management und Controlling. Aktuell forscht er zu den Themen IT-Governance und Schatten-IT.

IT-S

iche

rhei

t

52


Sebastian Rohr - Diplom Ingenieur oec. • CISM, CISSPaccessec GmbH

Seit seinem Studium des Wirtschaftsingenieurwesens ist Sebastian Rohr im Bereich der Informations- und Datensicherheit tätig. Er ist Spezialist für Outsourcing und Cloud-Services sowie für Identity & Access Management mit besonderem Fokus auf Authentisierung. Zu seinen Mandanten in der Prüfungsvorbereitenden Beratung zählen hauptsächlich deutsche DAX-Unternehmen und der gehobene Mittelstand. Er entwickelt Sicherheitsstrategien und Outsourcing-Verträge. Sebastian Rohr ist Mitglied der ISACA, ISC2 und im TeleTrust e.V.

Tim WehleIT Consulting und Training Tim Wehle

Tim Wehle ist Microsoft zertifizierter Trainer und hat verschiedene Microsoft Zertifizie-rungen im Bereich SharePoint. Des Weiteren befinden sich N+ Zertifizierungen und die Produktzertifizierung der OSITRON in seinem Portfolio.

Christian WiederEbner Stolz GmbH & co. KG

Christian Wieder ist bei Ebner Stolz seit 2017 als Prokurist im Geschäftsbereich IT-Re-vision tätig. Herr Wieder verfügt über mehr als 13 Jahre Berufserfahrung im Bereich der IT-Prüfungen. Neben der Betreuung von national und international tätigen Unternehmen im Rahmen von Abschlussprüfungen und der Durchführung von internen Revisionen ist Christian Wieder schwerpunktmäßig in den Bereichen IT-Revision, Datenanalysen und (projektbegleitenden) Prüfungen von Dokumentenmanagementsystemen tätig.

Matthias WehrhahnVeritas Management Group GmbH & co. KG

Matthias Wehrhahn ist Consultant im Bereich der Informationssicherheit bei der Veritas Management Group GmbH & Co. KG. Der Schwerpunkt seiner Tätigkeit ist-die Beratung von Unternehmen unterschiedlichster Branchen hinsichtlich der Themen ISO 27001, IT-Grundschutz, IT-Security, Internen Kontrollsystemen, Prozessoptimierung und Compliance-Richtlinien. Darüber hinaus berät Herr Wehrhahn bei Arbeitsprozessen. Matthias Wehrhahn verfügt über sehr gute Erfahrungen bei der Prüfung, Implementierung und Optimierung von Informationsicherheitsmanagementsystemen und Internen Kontrollsystemen.

IT-S

iche

rhei

t

53

Grundlagen

Organisation

IGIREinführung in die

IT-Revision

59

IOSOISO 27001 und Einführung

eines ISMS

IOILPrüfen der IT-Organisation

nach ITIL61

IOCOPrüfen der IT-Organisation

nach COBIT

IOLAPrüfung von Service-

Level-Agreements63

62

IOOSPrüfen von

IT-Outsourcing

IOPSPrüfen des

IT-Outsourcing nach IDW-PS-951 65

IOBCNotfallmanagement BCM

IOISPrüfung des

IT-Sicherheitsbeauftragten67

66

60

64

IPPRPrüfen von IT-Projekten

IPSEPrüfen der

Softwareentwicklung70

IPLIGrundlagen der Software-

Lizenzüberprüfung

IPBRPrüfung der Backup- und

Recoverykonzepte727169

IPSISicherheitsmanagement in

der „Industry 4.0“73

58

IT-Prozesse

IPIRPrüfen des

IT-Risikomanagement

IPAPAPI Economy, API Gate-ways, Internet of Things - Sicherheit und Prüfung 75

IPIMIdentity und Access-

Management7774

Empfohlene Seminarfolge – IT-Sicherheit

IT-S

iche

rhei

t IOSPPrüfen der IT-Sicherheits-

politik nach ISO 27000

54

ISITPrüfung der aktiven und passiven IT-Infrastruktur

78

ISPTTools/Werkzeuge zur

Prüfung von IT-Systemen79

Systemprüfung

ISUXPrüfen von UNIX/Linux

Umgebungen

ISFWPrüfen von

Firewall-Konzepten81

ISDBPrüfen von Datenbanken

ISTKPrüfen der

Telekommunikation8382

80

Microsoft®

ISMKPrüfen von

„mobile devices“

ISWSSchwachstellenanalyse

von Webservern und Webapplikationen 85

ISRMRevision von Remote- und

Wartungszugängen

ISOMOrdnungsmäßigkeit und

Nachvollziehbarkeit adminis-trativer Tätigkeiten 8786

84

ISVUPrüfen von virtuellen

Umgebungen

ISDMPrüfung von Dokumen-

tenmanagment- und Archiv-Systemen 8988

ISCCSicherheit und Prüfung von

Cloud Computing

ISTTPrüfen der Schatten-IT

9190

IMADPrüfen von Windows®

Active Directory Services I

IMAFPrüfen von Windows®

Active Directory Services II9392

IMSPPrüfen von Microsoft®

Share Point94

IT-S

iche

rhei

t

KSITSicherheit in IT-Systemen

57

Kompaktseminar

55


Penetrationstest: Statusaufnahme der Sicherheit Ihrer IT-Infrastruktur

Weitere Prüffelder:• Prüfen der Netzwerkstrukturen

• Lücken im Lizenzmanagement

• Datenbankprüfung

• Betriebssystemprüfung

• Prüfen der Telekommunikation

• Prüfung BCM

• Applikationsprüfung

Beratung:• Unterstützung der IT-Organisation bei

• der Erstellung oder Bewertung von Richt- und Leitlinien

• dem Aufbau oder Prüfung eines Informationsmanagementsystems (ISMS)

• Themen wie Outsourcing und/oder Service-Level Agreements

• Unterstützung des IT-Sicherheitsbeauftragten/ Informationssicherheitsbeauftragten


Sie erhalten:• eine Einschätzung der Sicherheit Ihrer Unternehmensdaten und Darstellung des Gefahrenpotentials des penetrierten Umfeldes aus der Sicht eines Hackers

• eine Erhöhung der Sensibilität zur Sicherheit Ihrer technischen Systeme und Infrastruktur

• eine Bestätigung der IT-Sicherheit durch einen externen Dritten

Datenmanipulation Datenverluste SabotageSystemausfälle Lizenzverstöße

Vollumfängliche Prüfung oder begleitende Beratung

IT-Sicherheit

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


57

IT-S

iche

rhei

t


Kompaktseminar „Sicherheit in IT-Systemen“ 34 CPE

IT-gestützte Verfahren bieten eine Vielzahl an positi-ven Möglichkeiten, leider bergen sie aber auch hohe Risiken. In diesem Intensivseminar erhalten Sie einen Überblick über Gesetze, Standards und Sollvorgaben sowie sicherheitskritische Aspekte, die zur Durchfüh-rung von IT-Prüfungen von großer Relevanz sind.

Ziel des Seminars ist das Erkennen möglicher Schwachstellen und die Erarbeitung einer struktu-rierten Vorgehensweise bei der Prüfung notwendiger organisatorischer und technischer Maßnahmen.

Das Seminar behandelt Inhalte folgender Themenge-biete:

Mobile DevicesUnternehmen setzen zunehmend auf den Einsatz mobiler Geräte, wie beispielsweise Smartphones oder Tablets. Diese mobilen Computer bieten vielfälti-ge Funktionen und Dienste, diese bergen jedoch auch viele Risiken und Gefahren. Wir zeigen Ihnen wo die Gefahren lauern, was beim Einsatz mobiler Geräte zu beachten ist und wie Sie bei einer Prüfung vorgehen können.

Aktive InfrastrukturDie Komponenten der aktiven Infrastruktur (Verkabe-lungen, Router, Switche, etc.) ermöglichen die Kom-munikation mit anderen IT-Komponenten. Sie über-tragen häufig sensible Daten. Sie lernen in diesem Workshop, wie Sie entsprechende Schwachstellen

erkennen, welche Auswirkungen diese haben und welche Schutzmaßnahmen getroffen werden können.

UnixSie erlernen in diesem Workshop effektive Vorge-hensweisen für Ihre Prüfung. Weiterhin vermitteln wir Ihnen Kenntnisse über aktuelle Einstellungsmöglich-keiten, die die Informationssicherheit Ihrer Systeme erhöhen und präsentieren Ihnen Programme und Hilfsmittel, die Sie bei Ihrer Prüfung einsetzen können.

Oracle DatenbankenIn diesem Teil des Workshops lernen Sie klassi-sche Schwachstellen der Konfigurationen in Oracle- Datenbanken kennen. Es werden mögliche Zugriffs-beschränkungen, Kontrollen und Prüfungen vorge-stellt, die eine zwingende Ergänzung der Berechti-gungsprüfungen darstellen.

WebserversicherheitExterne Webserver zählen zu den Hauptangriffszie-len von Hackern. Aber auch interne Webserver bieten häufig die Möglichkeit, bestehende Schwachstellen auszunutzen. Wir zeigen Ihnen Vorgehensweisen für eine ganzheitliche Prüfung

Referent

Dipl.-Geophys.Konstantin GorkCISAIBS Schreiber GmbH


Dauer: 5 Tage1. Tag: 09:30 – 17:00 Uhr2. Tag: 09:00 – 17:00 Uhr3. Tag: 09:00 – 17:00 Uhr4. Tag: 09:00 – 17:00 Uhr5. Tag: 09:00 – 15:30 Uhr



r 06.08. – 10.08.2018

Anmeldung KSIT • Fax: +49 40 696985-31 • [email protected] Seminarcode KSIT

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


58

IT-S

iche

rhei

t

Referenten Dieses Seminar richtet sich an alle, die in den Bereich IT-Revision einsteigen wollen bzw. gerade in diesen Bereich eingestiegen sind. Sie lernen die unterschiedlichen Themen und Fragestellungen kennen, mit denen sich ein IT-Revisor auseinanderzusetzen hat. Entsprechende Risiken und Gegenmaßnahmen werdenn nachvoll-ziehbar anhand praktischer Beispiele erläutert. Der erste Teil des Seminars gibt Ihnen einen Überblick über rechtliche Grundlagen, Standards und Normen, die für Ihre Arbeit als IT-Revisor wichtig sind. Diese werden dabei anhand praktischer Szenarien demonstriert, die unseren Prüfern in ihrer Arbeit begegnet sind. Ihnen wird aufgezeigt, wie Sie entsprechende Informationen zu einem bestimmten Prüfthema suchen und interpretieren können.

Anhand praktischer Beispiele erarbeiten Sie in kleinen Workshops Risikobeschreibungen und finden entsprechende Gesetzesvorgaben bzw. Normen oder Standards als Soll-Vorgaben.

Im zweiten Teil des Seminars erhalten Sie eine Einführung in die technischen Grundlagen, die zur Durchführung von IT-Prüfungen wichtig sind. Mit diesen Kenntnissen können Sie einerseits eigenständig IT-Risiken erkennen und beschreiben und andererseits kompetente Gespräche mit der Administration/IT-Abteilung führen.

Sollvorgaben• Gesetzliche Grundlagen• Prüfungsstandards• Prüfungsarten (formell/materiell, Belegprüfung, Prozessprüfung, Systemprüfung)• Compliance-Anforderungen

Schutzziele• Vertraulichkeit• Integrität• Verfügbarkeit• Logische, physikalische und physische Sicherheit

Umgang mit Risiken• Internes Kontrollsystem (IKS)• Risikomanagementsystem• Risikoanalyse• Risikobewertung• Risikomanagement

Netzwerktechnik• Grundlagen der Netzwerktechnik• Risiken und Angriffspunkte• Schutzmaßnahmen• aktive und passive Netzkomponenten• Techniken zur Einhaltung der Schutzziele

Zertifizierungen• IS-Revisor (BSI)• CISA (ISACA)

r 05.03. – 06.03.2018

r 18.10. – 19.10.2018

Seminarcode IGIR Anmeldung IGIR • Fax: +49 40 696985-31 • [email protected]

Einführung in die IT-Revision

Bachelor of ScienceAlexandra PalandraniIBS Schreiber GmbH

13 CPE

Bachelor of ScienceKai Henken IBS Schreiber GmbH





inkl. Broschüre

„IT-Standards + -Normen“

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


59

IT-S

iche

rhei

t

Seminarcode IGIR Anmeldung IGIR • Fax: +49 40 696985-31 • [email protected]

Prüfen der IT-Sicherheitspolitik nach ISO 27000

Referent

r 14.06. – 15.06.2018

r 03.12. – 04.12.2018

Anmeldung IOSP • Fax: +49 40 696985-31 • [email protected] Seminarcode IOSP

Die IT-Sicherheit ist ein wesentlicher Bestandteil im Unternehmen zur Sicherung des Geschäfts- betriebes. Daher kommt deren Umsetzung und deren Prüfung eine besondere Bedeutung zu.

Basierend auf internationalen Standards wie der ISO 27000 Norm ist es möglich, einen umfassen-den Prozess zur IT-Sicherheit im Unternehmen zu etablieren.

Die Bausteine des IT-Sicherheitsmanagements, Risikoanalysen, sowie die Anforderungen und Prüfmöglichkeiten durch die interne Revision sind Hauptbestandteile des Seminars.

Der gesamte Zyklus der IT-Sicherheit mit allen verantwortlichen Beteiligten und deren Aufgaben werden in diesem Seminar behandelt.

Musterbeispiele von Risikoanalysen und Audit- konzepten werden analysiert und behandelt, ebenso wie alle zu definierenden Sicherheitsrichtlinien für ein nachvollziehbares IT-Sicherheitsmanagement.

Die umfassende Sensibilisierung von Mitarbeitern ist ebenfalls Bestandteil des IT-Sicherheits- management-Prozesses. Dazu gehören das Prüfen der Reaktionen der Mitarbeiter bei Sicherheitsvorfällen, die Vorbereitung auf IT-Sicherheitsvorfälle und die Kontrolle der Einhaltung der IT-Sicherheitsrichtlinien.

Standards für IT-Sicherheit• BSI; ISO 27000; ITIL• Branchenspezifische Anforderungen

Prozess der IT-Sicherheit• PDCA-Zyklus• Sicherheitspolitik, -leitlinien und -richtlinien

Risikoanalyse• Definition von Parametern• Eintrittswahrscheinlichkeit• Schadenshöhe• Verfügbarkeit• Datenklassifizierung

Auditkonzept• Audit-Plan, -Rhythmus und -Tiefe• Vorgehensweise und Tools• Ergebnisse, Maßnahmen und Dokumentation

IT-Sicherheitsmanagement• Dokumentation• Unterstützende Tools• Maßnahmenverfolgung• Berichterstattung• Dokumenten-Reviews

Revision• Vorgehensweise und Anforderungen• Checklisten• Fehler vermeiden

Dipl.-Kfm., Dipl.-Wirt. Inf., MBA Dr. Thomas LohreCISA, CISM, CRISCDATEV eG

13 CPE





inkl. elektronische Prüf-

checkliste „ISMS: Normen +

Prozessbeschreibungen“

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


60

IT-S

iche

rhei

t

Referenten Die Informationssicherheit hat nicht nur den Schutz von Daten in IT-Systemen zum Ziel, sondern auch die Sicherheit aller Informationen, also auch Informationen, die beispielsweise nur auf Papier oder nur im Kopf eines Mitarbeiters gespeichert sind. Die Grundwerte der Informationssicherheit sind dabei mindestens die Authentizität, die Vertraulichkeit und die Integrität der Informationen.

Durch die Einführung eines Information Security Management Systems (ISMS) wird die Informations- sicherheit im Unternehmen dauerhaft definiert, kontrolliert, aufrechterhalten und fortlaufend verbessert. Zu diesem Zweck beinhaltet ein ISMS eine Aufstellung von Verfahren und Regeln, an denen sich das Unternehmen auszurichten hat.

Die Norm ISO/IEC 27001 spezifiziert die Anforde-rungen an ein ISMS. Sie betrachtet die Herstellung, den Betrieb, die Überwachung, die Wartung und die Verbesserungen des ISMS.

Die Teilnehmer erlernen in diesem Seminar, wie ein ISMS nach ISO 27001 für ihr Unternehmen aufgebaut sein sollte und wie sie es prüfen und bewerten können. Weiterhin werden Bestandteile des Information Security Risk Managements erläutert und Best Practice-Vorgehensweisen vorgestellt.

ISO 27001• Aufbau, Ziel, Zweck, Anwendungsbereich• Normanforderungen der ISO 27001• Hintergründe zur Informationssicherheit

Information Security Management auf Basis der Normreihe 2700x• Zweck eines ISMS• Einführung in ISMS• Kernelemente der Norm ISO 27001:2013

(PDCA-Zyklus, Managementrahmen, Anhang A Controls/Maßnahmen)

• Best Practice-Vorgehensweise• Organisation der Informationssicherheit• Policies (Richtlinien) und Prozesse im ISMS• Einführung in Business Continuity Management

Information Security Risk Management auf Basis der 2700x• Einführung in das Risikomanagement• Anforderungen an IS-Risikomanagement gemäß

ISO 27001:2013 und anderen Vorgaben• Risikomanagement und Informationssicherheit• Der Risikomanagement-Prozess (Asset-

Inventarisierung, Schutzbedarf, Bedrohungen, Schwachstellen, Risiko)

• Best Practice-Vorgehen bei Risiko- Assessment• Behandlung von IS-Risiken• Auswahl von Maßnahmen• Fallbeispiele und selbst durchgeführte

Risikoanalyse

r 25.06. – 26.06.2018

Seminarcode IOSO Anmeldung IOSO • Fax: +49 40 696985-31 • [email protected]

ISO 27001 und Einführung eines ISMS 13 CPE

Matthias WehrhahnVeritas Management Group GmbH & Co. KG





Alexander ClemmCISMEbner Stolz GmbH & Co. KG

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


61

IT-S

iche

rhei

t

Prüfen der IT-Organisation nach ITIL (IT Infrastructure Library)

Referent

r 05.03. – 07.03.2018

Anmeldung IOIL • Fax: +49 40 696985-31 • [email protected] Seminarcode IOIL

IT-Systeme lassen sich nur effektiv und effizient betreiben, wenn Standards und kontrollierbare Grundlagen angewendet werden.

Zunehmend setzen sich Standards für den IT-Betrieb durch. Dabei hat sich das Vorgehen nach den Strukturen von ITIL „IT Infrastructure Library“ (Zertifizierungsmöglichkeit durch ISO 20000, ISO = Internationale Organisation für Normung) als „de facto“ Standard durchgesetzt.

Eine Vergleichbarkeit und Messbarkeit an diesem internationalen Standard ermöglicht eine objektive Prüfung des IT-Betriebes. Es existieren somit klare Vorgaben, die mit Inhalten und Parametern verse-hen sind.

Diese bilden die Basis für einen Soll-Ist-Vergleich und eine Bewertung der Qualität der IT-Orga-nisation und des Betriebes. Eine Prüfung der IT-Organisation auf der Basis der Anwendung von ITIL/ISO 20000 muss daher nach diesen Kriterien geplant und durchgeführt werden.

Trotzdem bietet dieser Rahmen immer noch Raum für zusätzliche, ergänzende und unternehmens-spezifische Regelungen, die die ITIL/ISO-Struktur ergänzen und stützen.

Standards im Rechenzentrum• ISO 20000 und ISO 27001• ITIL V3

Prozessmanagement• ITIL Rollenmodell (RACI)• Prozessreife nach CMMI• Kunden und Lieferanten bei Prozessen• Abhängigkeiten der Prozesse untereinander• Qualitätskriterien und Bewertungsstandards

Prozesse nach ITIL V3• Service Lebenszyklen• Service Management Prozesse

Managementsystem zur übergeordneten Steuerung• Klare Zielsetzungen bei Einführung und Betrieb• Service Management Plan• Audit und Review

Einführungsstrategien • Operative Exzellenz oder Kundenfokus?• Welche Prozesse sind wichtig?• Der Betrieb in Balance

Prüfung, Revision und interne Auditierung• Checklisten• Beispieldokumentationen/Guidelines

20 CPE





Dipl.-Ing. (FH) ITIL-Expert, SixSigma, Prozess ManagementHerbert LangDATEV eG

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


62

IT-S

iche

rhei

t

Referent Um eine optimale Unterstützung der Geschäfts-tätigkeit durch die IT zu erreichen, müssen nicht nur die IT-Systeme, sondern alle im Unternehmen genutzten Informationen und Ressourcen, die Organisation des Personals sowie die gesamte Infrastruktur betrachtet werden. Hierfür bietet COBIT 5.0 (Control Objectives for Information and Related Technology) Definitionen, Techniken, Prozesse und Vorgehensweisen für ein Unternehmensregelwerk. Hierzu entwickelte Standards, de-facto-Stan-dards, und Rahmenwerke gewährleisten eine hohe Effektivität und Effizienz in der Umsetzung.

Die aktuelle Version COBIT 5.0 bildet ein umfassendes Rahmenwerk für Governance und Management der Unternehmens-IT. Hier-zu sind 37 Governance- und Management- prozesse definiert. Neben einem verbesserten IT- und Business-Alignment kann COBIT auch in den Bereichen Compliance und Digitalisierung eingesetzt werden.

In diesem Seminar lernen Sie die definierten Prozesse kennen und lernen wie Sie sie in Ihrem Unternehmen umsetzen können, um die IT effektiv zu steuern bzw. wie Sie COBIT als Rahmenwerk in Ihren Prüfungen berücksichtigen.

Einführung• Entwicklung von COBIT• Grundsätze• Aufbau• Prozessbewertungsmodell (PAM)• Gestaltung der IT-Revision nach COBIT

Prozessbereiche• Evaluieren, Vorgeben und Überwachen• Anpassen, Planen und Organisieren• Aufbauen, Beschaffen und Implementieren• Bereitstellen, Betreiben und Unterstützen• Überwachen, Evaluieren und Beurteilen

Anwendungsbereiche• IT-Governance• Management der Unternehmens IT• IT-Revision• Compliance• IT-Risikomanagement• etc.

Weiterführende Zertifizierungen• COBIT 5 Foundation• COBIT 5 Implementierung• COBIT 5 Assessor

r 25.10. – 26.10.2018

Seminarcode IOCO Anmeldung IOCO • Fax: +49 40 696985-31 • [email protected]

Prüfung der IT-Organisation nach COBIT 13 CPE





M.Sc. Int. Business, Dipl.-Wirt.-inf. (FH) CISA, CISM, QAR-ITIngo KöhneEbner Stolz GmbH & Co. KG

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


63

IT-S

iche

rhei

t

Prüfung von Service-Level-Agreements

Referent

r 27.08. – 28.08.2018

Anmeldung IOLA • Fax: +49 40 696985-31 • [email protected] Seminarcode IOLA

Unternehmen sind auf hochverfügbare und sichere IT-Infrastrukturen und IT-Systeme angewiesen.

Serviceverträge sind für den sicheren Betrieb wichtig. Beteiligte Systeme und damit verbundene Service- verträge können eine entsprechende Sicherheit und Verfügbarkeit nur als Ganzes gewährleisten. Differenzen und Lücken ergeben sich erst bei einer horizontalen Analyse der Prozesse des Unternehmens, die dann oft gravierende Schwachstellen, aber auch erhebliche finanzielle Nachteile aufzeigen.

Die Anforderungen der Unternehmensprozesse bilden die Basis für die Anforderungen an die IT-Infrastruktur und die IT-Systeme selber. Daraus ergeben sich die mit den externen Partnern zu vereinbarenden Service- Level-Agreements. Diese sind auf Wirksamkeit, Verbindlichkeit, Datenschutz und anderes mehr zu prüfen. Vorgehensweisen und rechtliche Aspekte sind bereits in der Prüfungsplanung zu berücksichtigen. Ein weiterer wesentlicher Prüfaspekt bezieht sich auf vertraglich vereinbarte angemessene Konventional-strafen.

Aktuelle Änderungen und neue Anforderungen aus der Datenschutzgesetzgebung sind bei bestehenden und neuen Verträgen zu beachten. Messbare Standards können zu Benchmarking und zur Qualitätskontrolle herangezogen werden und ermöglichen den Vergleich zum Wettbewerb.

Ermitteln der Anforderungen an SLA• Verwaltungssicht• Fachliche Betrachtung• Anforderungen an Infrastruktur und IT-Systeme

Definitionen• Verfügbarkeit• Reaktionszeit, Widerherstellungszeit• Notfallszenarien• Analyse der SLAs• Beispiele vertraglicher Formulierungen• Begriffsbestimmungen• Horizontale Darstellungen• Schwachstellenermittlung

Szenarien• Ausfall- und Notfallszenarien• Eskalationswege und deren Wirksamkeit• Untervergabe an Dienstleister

Datenschutz• Einhaltung der Datenschutzbestimmungen• Prüfbarkeit des Datenschutzes

Prüfung• Ermittlung der Anforderungen• Analyse der Verträge, Konventionalstrafen• Horizontale Schwachstellenermittlung• Unangemeldete Tests, Störfälle• Berichterstattung• Check- und Prüflisten

13 CPE





Datenschutz-beauftragter (TÜV®)Holger FreundlichIBS Schreiber GmbH

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


64

IT-S

iche

rhei

t

Referent Die Wahrnehmung von IT-Dienstleistungen durch externe Unternehmen verbreitet sich immer mehr.Häufige Gründe dafür sind die zunehmende Digi-talisierung und die daraus resultierenden Konzent-ration der Unternehmen auf ihre Kernaufgaben. Sie überlassen den Betrieb und die Überwachung der IT-Systeme spezialisierten Partnern.

Die Verantwortung für Auftragsdaten, Einhaltung von Ordnungsmäßigkeit, Integrität, Nicht-Manipulation und Rechtmäßigkeit gibt das Unternehmen jedoch dadurch nicht ab. Gerade deshalb sind Dienst- leistungen, die durch externe Partner wahr- genommen werden, einer regeläßigen Prüfung zu unterziehen. Dabei sind Ansprüche und Kontrollen aus gesetzlichen und internen Vorgaben zu berücksichtigen.

Das Recht, Prüfungen beim Dienstleister durchzu-führen, inklusive deren Möglichkeiten und Umfang sind bei Vertragsabschluss zu vereinbaren. Um weitere Hindernisse und Probleme zu umgehen, sind lokale Besonderheiten, wie vertragliche und betriebliche Regelungen zu berücksichtigen

Das Seminar befähigt, den gesamten Kontext einer Auslagerung zu erfassen und zu bewerten. Die Se-minarteilnehmer erhalten die nötigen Kenntnisse, um eine Prüfung anschließend vollumfänglich und effektiv zu planen und durchzuführen.

Externe Dienstleistungen• Outsourcing / Outtasking• Application-Service-Provisioning (ASP)• Remote-Wartung und -Administration

Vorgaben und Richtlinien• Gesetzliche Vorgaben• Datenschutzbestimmungen• Länderbeschränkungen• Branchen-Vorgaben

Vertragsgestaltung• Recht auf Prüfung durch den Auftraggeber• Mindestanforderungen an den Auftragnehmer• Kontrollmöglichkeiten• Beibringen von Nachweisen• Sub-Unternehmer• Auslandssitz

Einflussnahme• Personal, Know-How• IT-Systeme, Betrieb

Prüfungen• Planung und Strategie• Beteiligte Stellen• Checklisten• Gesetzliche Vorgaben• Ergebnis-Dokumentation• Risiko-Bewertung• Rechtmäßigkeit

r 10.12. – 11.12.2018

Seminarcode IOOS Anmeldung IOOS • Fax: +49 40 696985-31 • [email protected]

Prüfen von IT-Outsourcing 13 CPE






Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


65

IT-S

iche

rhei

t

Prüfen des IT-Outsourcing nach IDW-PS-951

Referent

r 30.08. – 31.08.2018

Anmeldung IOPS • Fax: +49 40 696985-31 • [email protected] Seminarcode IOPS

Die fortschreitende Digitalisierung fordert Unternehmen auf, wesentliche Anteile in der Erbringung der Dienstleistungen an „Experten“ auszulagern. Damit lassen sich Komplexitäten und spezifische Risiken reduzieren.

Die Verantwortung zur Erfüllung gesetzlicher, vertraglicher oder sonstiger Pflichten verbleibt nach wie vor beim auslagernden Unternehmen. Um diesen sowohl im Allgemeinen, als auch in der Berichtspflicht nachzukommen, hat das Institut der Wirtschaftsprüfer den Prüfstandard 951 (Prüfung der ausgelagerten Funktionen und Prozesse) – kurz IDW-PS-951 - konzipiert und mit der neuen Fassung vom 16.10.2013 in Einklang mit dem internationalen Standard ISAE3402 gebracht.

In Zeiten zunehmender Sicherheitsrisiken stellt dieser Prüfstandard eine wirksame und oft auch effiziente Alternative gegenüber anderen Prüfungen und Zertifizierungen dar. Das Seminar vermittelt das Wissen und Verständnis für eine angemessene Prüfungsstrategie.

Das Seminar befähigt die Teilnehmer, die vorhandenen Voraussetzungen für ein internes Kontrollsystems (IKS) und dessen Aufbau zu bewerten. Darüber hinaus sind im Rahmen der Aufrechterhaltung dessen Angemessenheit und Wirksamkeit des IKS regelmäßig zu überwachen.

Anforderungen an Auslagerungen• Gesetze, Verträge• Branchenspezifische Standards• Geschäftliche Beziehungen

Aufbau eines IKS• Geltungsbereich• Relevante Kriterien• Risiken und Kontrollstrukturen• Beschreibungen

Beschreibungen• Erklärung der gesetzlichen Vertreter• IKS-Beschreibung• Risiko-Kontrollmatrix

Aufrechterhaltung eines IKS• Umgang mit Vorfällen und Änderungen• Risikomanagement• Revisionstätigkeiten

Prüfungen• Anforderungen und Planung• Prüfungstypen• Durchführung• Berichterstattung

13 CPE






NEU

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


66

IT-S

iche

rhei

t

Referent Business Continuity Management (BCM) ist ein ganzheitlicher Managementansatz. Unternehmen erkennen, welches ihre überlebensnotwendigen, organisationsentscheidenden Schlüsselprozesse und Werte sind, wie sie diese vor schädlichen Einflüssen oder bedeutenden Vorfällen schützen beziehungsweise für größtmögliche Ausfallsicher-heit sorgen können.

Business Continuity Management grenzt sich klar gegen das herkömmliche Risikomanagement ab. Es konzentriert sich vollständig auf die überlebensentscheidenden Aspekte mit dem Ziel, nach einem bedeutenden Vorfall zunächst die Überlebensfähigkeit und schnellstmöglich den Normalzustand der Organisation wieder herzustellen.

Die Bausteine des Business Continuity Man- agements: Business-Impact-Analysen, Business- Continuity-Pläne, Übung der BCM-Pläne, sowie die Anforderungen und Prüfmöglichkeiten durch die interne Revision sind Hauptbestandteile des Seminars.

Der gesamte Zyklus des Business Continutiy Managements mit allen verantwortlich Beteiligten und deren Aufgaben werden in diesem Seminar behandelt.

Standards für BCM• ISO 22301; ISO 22399; BS 100-4; ISO 27001; ITIL

Prozess des BCM• PDCA-Zyklus• Analyse, Strategie, Implementierung,

Verifizierung

Unternehmensstruktur• Business-Impact-Analyse• Risikobeurteilung und –kontrolle

Business-Continuity-Strategien auf Unternehmens- und Prozessebene• Auf Unternehmens- und Prozessebene• Wiederherstellung der Ressourcen

Reaktion durch das BCM• Krisenmanagement, Öffentlichkeitsarbeit• Reaktion auf Zwischenfälle

Übung, Pflege• Übungsmöglichkeiten• Pflege

Revision• Vorgehensweise und Anforderungen• Checklisten• Beispieldokumente

r 04.06. – 05.06.2018

Seminarcode IOBC Anmeldung IOBC • Fax: +49 40 696985-31 • [email protected]

Notfallmanagement BCM 13 CPE





inkl. elektronische

Prüfcheckliste

„Notfallmanagement:

Vorlagen BIA + Risikoanalyse“

Dipl.-Kfm., Dipl.-Wirt.Inf., MBA Dr. Thomas LohreCISA, CISM, CRISCDATEV eG

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


67

IT-S

iche

rhei

t

Prüfung des IT-Sicherheitsbeauftragten

Referent

r 23.08. – 24.08.2018

Anmeldung IOIS • Fax: +49 40 696985-31 • [email protected] Seminarcode IOIS

Das Bundesamt für Sicherheit in der Informati-onstechnik (BSI) empfiehlt jedem Unternehmen, das Informationstechnik einsetzt, die Ernennung eines IT-Sicherheitsbeauftragten. Je nach Unter-nehmensgröße nimmt dieser seine Tätigkeit als IT-Sicherheitsbeauftragter in Vollzeit oder in Teilzeit wahr.

Die Aufgaben des IT-Sicherheitsbeauftragten sind dabei vielfältig und meist auch mit einer großen Verantwortung versehen. Unterlaufen ihm in seiner Tätigkeit Fehler, egal ob beabsichtigt oder unbeabsichtigt, kann dieses fatale Konsequenzen für das Unternehmen haben. Aus diesem Grund ist es wichtig, dass die Arbeit des IT-Sicherheits-beauftragten durch einen unabhängigen Dritten im Unternehmen bewertet werden kann. Besonders wichtig ist eine Beurteilung, wenn der IT-Sicherheits-beauftragte bei einem Dienstleister ausgelagert ist. Die Prüfung des IT-Sicherheitsbeauftragten könnte beispielsweise die Aufgabe der Revision sein, da diese unabhängig agiert.

In diesem Seminar lernen Sie zunächst, welche Rechte und Pflichten der IT-Sicherheitsbeauftragte hat und welche Aufgaben zu seiner Tätigkeit gehören. Anschließend wird Ihnen aufgezeigt, wie Sie die Arbeit Ihres IT-Sicherheitsbeauftragten prüfen und bewerten können.

Der IT-Sicherheitsbeauftragte• Auswahl• Ernennung• Aufgaben• Rechte• Pflichten• Stellung im Unternehmen

Outsourcing• Planung und Beauftragung• Risiken• Auswahl eines geeigneten Dienstleisters• Vertragsgestaltung

Bewertung• Kennzahlen zur Qualitätsmessung• Rechtliche Grundlagen• Aufzählungen

Prüfung• Vorbereitung• Prüfschritte• Technische Beurteilung• Interviews• Umgang mit Feststellungen

13 CPE





inkl. elektronische Prüfcheck-

liste „IT-SiBe - Normen +

Prozessbeschreibungen“

Dipl.-Kfm., Dipl.-Wirt.Inf., MBA Dr. Thomas LohreCISA, CISM, CRISCDATEV eG

Informations-Sicherheit im Abonnement<kes> liefert alle relevanten Informationen zumThema IT-Sicherheit – sorgfältig recherchiert vonFachredakteuren und Autoren aus der Praxis.

— strategisches Know-how

— Trends und Neuentwicklungen

— Hilfen zum Risikomanagement

— einschlägige Gesetze im Umfeld

der IT und TK

— wichtige Messen und Kongresse

— Anwenderberichte

— BSI-Forum

— IT-Grundschutz

Informations-Sicherheit

Firma Abteilung

Name/Vorname

E-Mail*

Telefon (Geschäftl.) Fax (freiwillige Angabe)

Straße/Nr.

PLZ/Ort

Datum/Unterschrift

Fax-Rückantwort an +49 89 2183-7620

Ich/Wir abonniere(n) die Zeitschrift <kes> ab Ausgabe 2017#4Das Abonnement umfasst das Recht zur Nutzung des Abo-Bereichs auf www.kes.info mit allen aktuellen Beiträgen und dem <kes>-Archiv sowie den Bezug des <kes>/SecuPedia-Newsletters.

Jahresbezugspreis (sechs Ausgaben) E 135,00 inkl. MwSt. und Versandkosten (Ausland E 159,30). Der Bezugszeitraum beträgt ein Jahr. Sie können das Abonnement jederzeit, spätestens jedoch acht Wochen vor Ende des Bezugsjahres kündigen. Sonst verlängert sich das Abo automatisch um ein weiteres Jahr.

Datenschutzhinweis: Ihre persönlichen Angaben werden von der DATAKONTEXT GmbH ausschließlich zur Vertragserfüllung einschließlich Zusen-dung des Newsletters, evtl. unter Einbeziehung von Dienst leistern, verwendet. Darüber hinaus erfolgt die Weitergabe an Dritte nur zur Vertragser-füllung oder wenn wir gesetzlich dazu verpfl ichtet sind. Falls Sie keine weiteren Informationen von DATAKONTEXT mehr erhalten wollen, können Sie uns dies jederzeit mit Wirkung in die Zukunft an die DATAKONTEXT GmbH, Augustinusstr. 9d, 50226 Frechen, per Fax an +49 2234 98949-44 oder per E-Mail an [email protected] mitteilen.

* erforderlich zur Zusendung des Secupedia-Newsletters – zusätzlich erhalten Sie Informationen zu eigenen ähnlichen Produkten per E-Mail. Sie können dieser Ansprache jederzeit widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

QR-Code für Bestellung per E-Mail

WBW kes 2017-3.indd 83 19.06.17 15:27

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


69

IT-S

iche

rhei

t

Prüfen von IT-Projekten

Referent

Anmeldung IPPR • Fax: +49 40 696985-31 • [email protected] Seminarcode IPPR

Die IT-Welt verändert sich exponentiell. Einerseits müssen nicht alle IT-Entwicklungen in „real time“ mitgemacht werden. Andererseits besteht aber ein erhebliches Risiko darin, diesen Entwicklungen so weit hinterherzuhinken, dass das Unternehmen in seiner Wettbewerbsfähigkeit eingeschränkt wird.

Deshalb ist es ein hoher Anspruch, IT-Projekte zur richtigen Zeit in der angemessenen Qualität und im angemessenen Umfang auf den Weg zu bringen und termin- und budgetgerecht durchzuführen.

Zahlreiche Normen und Prüfungsstandards geben Randbedingungen vor, die von den verantwortlichen Projektlenkern und -leitern entsprechend der intern vorgegebenen Ordnungsmäßigkeitsvorgaben für die Abwicklung von Projekten einzuhalten sind und gegen die die IT-Revision die Projekte prüfen kann.

Die Vorstellung dieser Sollvorgaben als Bedingung für die ordnungsgemäße, sichere und wirtschaftliche Initiierung, Durchführung und Beendigung von IT-Projekten, verbunden mit den gegebenen Risiken der unterschiedlichen IT-Projektarten, stehen im Themenfokus dieses Seminars.

Des Weiteren werden einige der gängigsten Projekt-methoden vorgestellt, der Mehrwert und die Risiken der einzelnen Methoden dargestellt.

IT-Projektbeispiele der Teilnehmer sind erwünscht.

Grundlagen• Projekte nach DIN 69901• Erfordernis von IT-Projekten• IT-Projektauslöser (proaktiv, reaktiv)

Grundsätze der Prüfung von Projekten nach Prüfungsstandards• IT-Sicherheit (u. a. ISO 27000 ff)• Neuinstallation / Migration• Software-Entwicklung (IDW PS 880)• Outsourcing (DIN 1041)

Verträge mit Externen• Ausschreibung und Vergabe• SLAs / Prüfungsrechte

„ex ante“-Prüfung des Projektprozesses• Projektmanagement• Projektdurchführung (Meilensteinplan)• Projektbeendigung• „ex post“-Prüfung nach der Übergabe• Prüfungsarten• Interessenskonflikt:

Projektbegleitung vs. „ex post“-Prüfung

Strukturierte Maßnahmenkataloge zur Risikobekämpfung

13 CPE





r 19.03. – 20.03.2018

r 22.11. – 23.11.2018


Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


70

IT-S

iche

rhei

t

Referent

r 03.12. – 04.12.2018

Seminarcode IPSE Anmeldung IPSE • Fax: +49 40 696985-31 • [email protected]

Prüfen der Softwareentwicklung 13 CPE






Projekte in Unternehmen bilden ein großes Risikopotential bzgl. der Einhaltung von Terminen und des Budgets, sowie der Erreichung des Ziels. Dies gilt insbesondere für Software-Projekte, denen eine Entwicklung inne wohnt.

Die Prüfebenen für Softwareentwicklungsprojekte sind grundsätzlich identisch mit den aus der allge-meinen Projektrevision bekannten:• „ex ante“, d.h. projektbegleitende Prüfung• „ex post“, d.h. prüfen des Projektausgangs nach Fertigstellung• Verfahrensprüfung, d.h. Prüfen der Regelwerke, nach denen Projekte durchzuführen, zu dokumentieren und freizugeben sind Soll-Vorgaben für die Software-Entwicklung bilden ISO-Normen, anerkannte Regelwerke (z.B. des BSI) und Prüfungsstandards (z.B. vom IDW), die in diesem Seminar vorgestellt werden und auf denen das entsprechende Unternehmensregelwerk aufgebaut sein muss.

Im Seminar werden die Projektprozesse auf Risiken hin untersucht, auf Grund derer Projekte terminlich (und somit auch wirtschaftlich) aus dem Ruder laufen oder sogar gänzlich scheitern können. Prüfleitfäden, Workshops und die Diskussion auch eigener Beispiele der Teilnehmer setzen diese in die Lage, Projekte der Softwareentwicklung zielgerichtet zu prüfen.

Standards• ISO/IEC (u.a. 12207, 15504, 27002)• IDW PS 880 (Die Prüfung von Softwareprodukten)

Prozesse in Softwareprojekten• Prozesse im Software-Lebenszyklus• Verfahrensanweisungen

Softwareentwicklung in der Praxis• Qualitätssicherung, Testverfahren u. Kennzahlen• Dokumentation• Werkzeuge in der Softwareentwicklung• Klassische Verfahren kontra agile Methoden• Aktuelle Trends und Merkmale von Software(groß)projekten

Wirtschaftlichkeit• Anforderungs-, Änderungs- und Projektmanagement• Eindrücke der Software

Sicherheit• Informationssicherheit und IT-Sicherheit• Daten- und Zugriffssicherheit• Gefährdungspotential durch Projektbeteiligte

Haftung vs. Versicherung• Haftungsrechtliche Besonderheiten• Grenzen des Versicherbaren• Lösungsoptionen

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


71

IT-S

iche

rhei

t

Grundlagen der Software-Lizenzüberprüfung

Referenten

Anmeldung IPLI • Fax: +49 40 696985-31 • [email protected] Seminarcode IPLI

13 CPE





RechtsanwältinMelanie DörholtIBS data protection service and consulting GmbH


SAM (Software Asset Management) und Software- Lizenz-Audits der Revision leisten einen wesentlichen Beitrag zu einer umfassenden IT-Compliance und haben ein großes Potential zur Reduzierung der Haftung, von ungeplanten Ausgaben und der Reduzierung von Reputationsrisiken durch Her- stellerAudits. Aber auch Einsparungen können durch SAM zu einem schnellen Return on Investment führen.

Lizenzen sind in großen Unternehmen ein hoher IT-Kostenblock, der jedoch aufgrund von Studien zufolge in den wenigsten Fällen (< 5%) einem pro- aktiven Controlling unterliegt. Hierdurch ergeben sich Chancen und Risiken. Dies ist unmittelbar nachvollziehbar, da sich die Lizenzmodelle regel-mäßig ändern und die Informatikarchitektur ebenso wechselnden Anforderungen unterliegt. Dadurch ver- lieren Unternehmen den Überblick über die Lizenzen und geraten sehr schnell in eine Falsch- lizenzierung.

In dem zweitägigen Seminar wird nach einer rechtlichen Einführung zum Softwareschutz aufgezeigt, wie auf einfache Weise eine Einschät-zung über die Risiken und die Maturität abgeben werden kann. Wie Herstelleraudits ablaufen und Risiken minimiert werden. Verschiedene Cases mit hohem Potential für Haftungsrisiken, als auch für Einsparungen und die Abgaben von Checklisten runden das Seminar ab.

Rechtliche Einführung• Softwareschutz• Folgen von Schutzrechtsverletzungen• Der Softwareüberlassungsvertrag• Typische Klauseln und rechtliche Wirksamkeit• Auditklauseln in Überlassungsveträgen

Lizenzgrundlagen• Corporate Governance & Compliance• Lizenzmerkmale• Lizenzmetriken der Top5 Hersteller• Haftung / Risiken einer falschen Lizenzierung• SAM und CobiT, BSI, ITIL

Lizenz-Audit durch den Hersteller• Welche Hersteller auditieren• Typischer Ablauf eines Audits• Handlungsempfehlungen und typische Fehler

SAM Prüfung durch Int. Audit• Rollen und Beteiligte• Prüfungsobjekte und Tools• Prüfungskatalog

Risiken und Return on Investment• Reduzierung der Verantwortung

Checklisten und Hinweise• Empfehlungen zum Herstelleraudit• Prüfungskatalog für die Interne Revision

r 17.05. – 18.05.2018

r 26.11. – 27.11.2018

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


72

IT-S

iche

rhei

t

Referenten

r 18.06. – 19.06.2018

Seminarcode IPBR Anmeldung IPBR • Fax: +49 40 696985-31 • [email protected]

Prüfen der Backup- und Recoverykonzepte 13 CPE





Backup und Restore stellen in Unternehmen, gleich welcher Größe, einen zentralen Faktor des IT-Managements dar. Die Daten bzw. Informationen eines Unternehmens sind nutzlos, wenn Mitarbeiter, Kunden und/oder Geschäftspartner in einem Schadensfall nicht darauf zugreifen können.

Die Verfügbarkeit und Integrität von Unternehmens-daten muss sichergestellt sein, da sie im Negativen eine existenzielle Bedrohung für Unternehmen bedeuten. Im Fokus liegt hier die Backup-Umge-bung – involvierte Mitarbeiter, Prozesse und die Infrastrukturen. Grundvoraussetzung ist ein von der IT-Strategie vorgegebenes Backupmanagement, welches ein dokumentiertes, überprüfbares Backup- und Restore-Konzept beinhaltet.

Vor allem im Hinblick auf Revisionen oder Sicher-heits-Audits muss eine permanente und lückenlose Datenverfügbarkeit gewährleistet sein. Ebenso gibt es Fristen zu beachten, wann Daten endgültig vernichtet werden können. Ein professionelles Backup/Restore-Konzept berücksichtigt neben der Datenverfügbarkeit und dem Datenschutz auch betriebswirtschaftliche und rechtliche Aspekte.

In diesem Seminar lernen die Teilnehmer, wie ein ordnungsgemäßes Backup- und Recovery-Konzept aufgebaut sein sollte, wie dieses geprüft werden kann und welche Risiken existieren.

Grundlagen• Definitionen• Prozesse• Vorgaben• Dokumentation• Probleme und Gefahren

Backup-Konzepte• Methoden• Datenbanken-Backup• Sicherung der Backup-Systeme

Backup-Praxis• Einzelrechner• Arbeitsgruppen• Client/Server• Best Practices

Recovery-Konzepte• Dokumentation• Tests• Risiken• Best Practices

Ausblick und Fazit• Backupdateisysteme• Cloud-Backup



Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


73

IT-S

iche

rhei

t

Sicherheitsmanagement in der „Industrie 4.0“

Referent

Anmeldung IPSI • Fax: +49 40 696985-31 • [email protected] Seminarcode IPSI

13 CPE





Die Voraussetzungen für einen sicheren Betrieb von Produktionsanlagen haben sich stark verändert. Durch die Anforderungen der „Industrie 4.0“ mit dem Einzug der Informationstechnik in die Produktion werden diese noch verschärft.

Lokale Bedienterminals an den Maschinen werden am Bildschirm im Leitstand überwacht – eventuell von einem weit entfernten Ort aus. Verbesserungen der Arbeitsbedingungen bringen jedoch auch Nachteile mit sich, wie beispielsweise die steigende Anzahl gezielter Attacken auf SCADA-Netze zeigt.

IT- und Sicherheits-Verantwortliche in der Fertigung stehen vor großen Herausforderungen, diesen langfristig ausgelegten und „subversiven“ Angriffen (Advanced Persistant Threats) adäquat zu begegnen. Darüber hinaus hat die zunehmende Spezialisierung der Unternehmen zu einer deutlichen Zunahme der Einbindung externer Ressourcen in interne Geschäftsprozesse geführt.

Insbesondere bei der Durchführung von Projekten bedienen sich Firmen externen Beratern. Die Auswahl und Verwaltung der Ressourcen muss sicher und effizient geschehen. In diesem Zusammenhang gibt Sebastian Rohr auch einen Einblick in die Onboarding Prozesse, das Schwachstellen- und Threat Management sowie die Auswertung von Logs.

Charakteristik der „Industrie 4.0“ und der Informationssicherheit• Was ist „Industrie 4.0“? • Sicherheitsmanagement in der Industrie• Ähnlichkeiten mit und Abgrenzung zum Sicher-

heitsmanagement der Office-IT

IT-Sicherheit und die Herausforderungen der „Industrie 4.0“• Netztechnik und Steuerungen – global „online“ und

verfügbar?• Der Nutzen und die Auswirkung der „integrierten

Produktion“ und der APIs• Exkurs: Application Programming Interfaces –

die „API Economy“

Die neue Bedrohungslandschaft der „Industrie 4.0“• Die Entwicklung der Angreifer• Advanced Persistant Threat• Blended Threats

Sicherheitsmanagement in der Unternehmensführung:• Das Ende des Kokosnuss-Modells –

Datenschutz im Mittelpunkt• IT-Sicherheit in der Produktion als Teil

der Informationssicherheit• IT-Sicherheit unter ökonomischen

Gesichtspunkten: Asset-Management

r 17.05. – 18.05.2018

Sebastian RohrCISM, CISSPaccessec GmbH

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


74

IT-S

iche

rhei

t

Referent

r 29.11. – 30.11.2018

Seminarcode IPIR Anmeldung IPIR • Fax: +49 40 696985-31 • [email protected]

Prüfen des IT-Risikomanagements 13 CPE





Für Unternehmen spielt die bestmögliche Infor- mationsverteilung eben so wie eine stei-gende technische Abhängigkeit der Kern-prozesse von der IT eine zunehmende zen-trale Rolle für den Unternehmenserfolg. Damit geht jedes Unternehmen zusätzliche Risiken, sogenannte IT-Risiken ein.

Die möglichen Ursachen für Risiken in der IT sind in den letzten Jahren zwar nicht gestiegen, doch einige große Ereignisse und die entsprechende mediale Aufmerksamkeit rücken diese Risiken in den Fokus. Höhere Gewalt, menschliches Fehl- verhalten, Computerviren, Spoofing, Denial of Service-Angriffe und Sozial Engineering sind einige Ursachen. Vor diesem Hintergrund ist es notwendig, ein proaktives IT-Risikomanagement im Unterneh-men etabliert zu haben.

Das IT-Risikomanagement hat dabei die Bestimmung, IT-Risiken frühzeitig zu erkennen, angemessen auf sie zu reagieren und so zum Schutz des Unternehmens beizutragen.

In diesem Seminar lernen Sie den Prozess des IT-Risikomanagements kennen, wie dieser organisatorisch verankerten werden kann, wie Sie IT-Risiken effektiv identifizieren, analysieren und behandeln können, um daraus einen angemessenen Prüfungsansatz ableiten zu können.

IT-Risiko• Risikobegriff• Risikobewusstsein, -kultur, -neigung und -politik

IT-Risikomanagement• Anforderungen• Vorgaben, wie COBIT, ISO 31000, BSI

Aufbauorganisation• Organisationsstrukturen• Rollen• Gremien

IT-Risikomanagement-Prozess• Grundstruktur• Identifikation, Analyse, Bewertung, Behandlung• Reporting, Controlling

Methoden und Werkzeuge• Quantitativ und qualitativ• Dokumente• Softwareunterstützung, Templates

Prüfungsdurchführung• Formen und Varianten• Prüfungsablauf• Checklisten

inkl. elektronische Prüfcheck-

liste „Dokumentenvorlagen

IT-Risikomanagementpolitik

RMP“

MBADr. Thomas LohreCISA, CISM, CRISCDATEV eG

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


75

IT-S

iche

rhei

t

API Economy, API Gateways und Internet of Things - Sicherheit und Prüfung

Referent

Anmeldung IPAP • Fax: +49 40 696985-31 • [email protected] Seminarcode IPAP

13 CPE





Schnittstellen nehmen aller Orten Informationen entgegen und stellen Informationen und technische Dienste zur Verfügung. In der Industrie 4.0 sowie in der allgemeineren „Internet of Things“ –Welt werden intensiv Schnittstellen über das Web genutzt. Dieses Seminar versetzt Sie in die Lage, die notwendigen Grundlagen zu verstehen, die kritischen (Schwach-)Stellen zu identifizieren und präventive sowie detektive Sicherungsmaßnahmen zu definieren.

Aufgrund der schnelllebigen API Economy und den daraus resultierenden kurzen API- Lebenszyklen reicht es nicht aus, ausschließlich die APIs zu betrachten. Um den Überblick zu wahren, ist es vielmehr zwingend notwendig, die Entwicklungsprozesse zu standardisieren und Richtlinien zu definieren – auch um sicherzustellen, dass bereits bei der Entstehung neuer APIs und Architekturen deren Risiken sichtbar werden. Die Seminarteilnehmer lernen zudem, wie mithilfe eines API Gateways Richtlinien sowie Entwicklungsprozesse umgesetzt und überprüft werden können.

API Basics• Einführung in Schnittstellen Historie• Grundlagen moderner Schnittstellen• API Sicherheitsklassifizierungen

API Security• Risikofaktoren• Grundlegende Sicherheitsmechanismen• Erweiterte Sicherheitsmechanismen

API Governance• API Gateway• API Dokumentation (intern/extern) • Überwachung und Auditlogs • Daten Maskierung und Anonymisierung

API Development• Projektmanagement • Entwicklungsmethoden • Lebenszyklus • Qualitätsmerkmale einer API

r 23.04. – 24.04.2018

r 08.11. – 09.11.2018


IBS Schreiber GmbH • Zirkusweg 1 • 20359 HamburgFon: +49 40 69 69 85-82 • www.checkaud.de • [email protected]

Warum CheckIDM®?Stehen Sie täglich vor der Aufgabe Benutzer, deren Rollen und Zugriffsrechte im SAP-System zu verwalten? Müssen Sie bei der Bearbeitung von Berechtigungsanträgen zusätzlich eine transparente, nachvollziehbare und revisionssichere Dokumentation Ihrer Tätigkeiten nachweisen?

CheckIDM ist eine in SAP integrierte Lösung für die Verwaltung und die Dokumentation von Benutzer- und Berechtigungsänderungen. Die mehrstufigen Verfahren zur Antragsstellung, -freigabe und -bearbeitung werden über SAP Standard-Workflows abgebildet und können dadurch mit wenig technischem Aufwand implementiert und in das Tagesgeschäft integriert werden.

Funktionsumfang• Antrags-Workflow für die Anlage und Änderung von Benutzerstammsätzen

• Antrags-Workflow für die Zuordnung und den Entzug von Rollen

• Funktionstrennung zwischen Antragsteller, Genehmiger und Ausführendem

• Abbildung eines Rolleneigentümerkonzeptes inkl. Stellvertreterregelungen

• Cockpit-Funktion zur Auswertung der Anträge

• ZBV-fähig

Vorteile• Ablösen von Papieranträgen

• Technische Umsetzung von Dateneigentümerkonzepten

• Leicht zu installieren, da SAP Standard-Workflows genutzt werden

CheckIDM® for SAP Systems

Modernes Identitätsmanagement statt Identitätskrise

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


77

IT-S

iche

rhei

t

Vorteile• Ablösen von Papieranträgen

• Technische Umsetzung von Dateneigentümerkonzepten

• Leicht zu installieren, da SAP Standard-Workflows genutzt werden

Identity & Access Management

Referent

Anmeldung IPIM • Fax: +49 40 696985-31 • [email protected] Seminarcode IPIM

13 CPE





Die Verwaltung von Identitäten, Benutzerkonten und Berechtigungen ist seit jeher im Fokus bei der Auditierung von IT Anwendungen und Systemen. Die technisch sehr anspruchsvollen und je Zielsystem hohen Anforderungen an die Prüfer wurden durch eine Zentralisierung der Management Aufgaben in sogenannten IAM Systemen (Identity & Access Management) maßgeblich erleichtert. Schwer durchschaubare Reports aus den Syste-men gehören nunmehr der Vergangenheit an und ein Gesamtüberblick sowie die Nachvollziehbarkeit der Zusammenhänge sind problemlos möglich. Diese Effizienzsteigerung bei der oberflächlichen Prüfung wurde durch eine erhebliche Steigerung der Komplexität bei der Umsetzung von Erfassung, Ausführung und Dokumentation von Anträgen auf neue Berechtigungen im Rahmen des IAM Systems erkauft. Aus Sicht der Revision verlagert sich nunmehr der Fokus von der reinen Prüfung der Sachlage “Wer hat Zugriff auf was?” auf die Prozesssicht und die Organisationsabbildung: “Wer hat wann für wen was beantragt, warum und wieso wurde es genehmigt?”. Dies erfordert tieferen Einblick in die Rollenmodelle, Prozesse und Work-flows in den IAM Systemen und deren technische Abbildung. Im Seminar werden unter anderem wichtige Bausteine wie Re-Zertifizierung und Attestierung von bestehenden Konten und Berechtigungen sowie der Abgleich von Soll- gegen Ist-Stand (Identity Governance) vermittelt.

Grundlagen• Begriffe & Definitionen• Aufgaben• Architekturen

Identity Management• Digitiale und physische Identität • Konten, Accounts, User• User Lifecycle

Access Management• Applikationen und Zugriff• Berechtigungen für Konten• SSO und Föderation

Governance• Rollen und Hierarchien• Workflows• Re-Zertifizierung

Kritische Probleme• Namensräume• Gewaltenteilung• Privilege Escalation

Privilege Management• User vs. Admins• Access Management• Monitoring

r 16.04. – 17.04.2018

r 25.10. – 26.10.2018


Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


78

IT-S

iche

rhei

t

Referent

r 25.06. – 27.06.2018

Seminarcode ISIT Anmeldung ISIT • Fax: +49 40 696985-31 • [email protected]

Prüfung der aktiven und passiven IT-Infrastruktur 20 CPE





Verkabelung, Router, Switches und Layer 3 Switches stellen das Rückgrat jeder Kommunikation in Unternehmen dar.

Da diese Systeme Zugang zu allen anderen IT-Komponenten ermöglichen (insbesondere bei unverschlüsselten Datenübertragungen), müssen auch sie einer Prüfung unterzogen werden, um der IT-Revision und der IT-Sicherheit eine sicherheitsrelevante Gesamtsicht zu ermöglichen.

Insbesondere die Nutzung von virtuellen Netzen (VLANs) bietet Schwachstellen, die ohne eine genaue Analyse der Netzstrukturen und Bewertung der Verkabelung nicht erkannt werden. Daher ist es wesentlich, sowohl den Ist-Zustand der Netzwerkkomponenten als auch die Verkabelung zu analysieren und zu bewerten. Wie Schwachstellen erkannt werden können und die entsprechenden Auswirkungen (nebst Maßnahmen) wird in diesem Seminar anhand von Beispielen gezeigt.

Regelmäßige Analysen und auch die Sensibilisierung der Mitarbeiter gehören zu den Maßnahmen, die diesen Bereich sichern und die zu prüfen sind.

Der Einsatz technischer Tools und die strukturierte Vorgehensweise mit Checklisten sind die Basis für eine umfassende Prüfung dieser Systeme, die nicht immer als kritische Objekte betrachtet werden.

Passive Infrastruktur• Arten und Wege der Verkabelung• Angriffspunkte in der passiven Infrastruktur• Drahtlose Infrastruktur

Aktive Infrastruktur• Router, Switches und Layer 3 Switches• VLAN Strukturen• Firewalls und Gateways• Administration und Rechte• Manipulierbarkeit• Protokollierung adm. Tätigkeiten• WLAN

Sicherheitsanforderungen• Anforderungen an die Sicherheit der Infrastruktur• Verfügbarkeit und Ausfallsicherheit• Organisatorische Maßnahmen• Updates und Patches

Entwicklungen• Grenzen von Hardware und Software• Virtuelle Netze und die Prüfschwierigkeiten

Prüfung und Revision• Analyse der passiven Struktur• Analyse der aktiven Struktur• Abgleich mit der Dokumentation• Einsatz von technischen Tools• Prüf- und Checklisten


Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


79

IT-S

iche

rhei

t

Tools / Werkzeuge zur Prüfung von IT-Systemen

Referent

Anmeldung ISPT • Fax: +49 40 696985-31 • [email protected] Seminarcode ISPT

13 CPE





Der Einsatz von Programmen, technischen Methoden und automatisierten Verfahren durch die Revision zur Prüfung von IT Systemen ist notwendig, um neutrale und umfassende Aussagen über die Sicherheit treffen zu können.

Für die Prüfungen der IT-Infrastruktur müssen Tools zum Einsatz kommen, da nur mit solchen eine umfassende Aussage über den IST-Zustand des jeweils geprüften Systems möglich ist.

Es werden in diesem Seminar beispielhaft Tools und Methoden vorgestellt und von den Teilnehmern angewendet, die dem Revisor die praktische Durch-führung seiner IT-Revision erleichtern oder gar erst ermöglichen, ohne dabei ausschließlich auf Informationen und die Unterstützung des IT-Bereichs angewiesen zu sein. Es kommen Programme mit Scan-, Analyse- und Auswertungsfunktion zum Einsatz. Dabei handelt es sich bei diesen Werkzeu-gen u.a. um frei verfügbare Tools, Shareware-Tools und Software von kommerziellen Anbietern, die jedoch eine Fülle an Informationen für die IT-Revision liefern.

Die Ergebnisse dieser Tools werden in diesem Seminar analysiert und bewertet, so dass eine Risikoeinschätzung von den Teilnehmern getroffen werden kann. Strukturierte Check- und Prüflisten gewährleisten dazu eine effiziente und effektive Vorgehensweise.

Tools• Suchmaschinen• Netzwerkscanner• Wireshark• WLAN Tools• LIVE DVDs

Scanner• TCP/IP• SNMP• Web• Bluetooth• Schwachstellenscanner• VoIP

Web-Analyse• wget, nikto• Firefox AddOns• Proxyserver

Bordmittel• MMC (Microsoft® Management Console)• Kommandozeilentools (Unix/Windows)

Vorgehensweise• Einführung in Netzwerktechniken• Strukturierte Analysen• Prüfleitfäden

r 19.03. – 20.03.2018


Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


80

IT-S

iche

rhei

t

Referenten

r 23.04. – 25.04.2018

Seminarcode ISUX Anmeldung ISUX • Fax: +49 40 696985-31 • [email protected]

Prüfungen von UNIX / Linux Umgebungen 20 CPE

Kosten1,265,- € zzgl. MwSt.inkl. Mittagessen, Getränke und Seminarunterlagen (Print & Download)




UNIX-Linux-Systeme sind als Mehrbenutzersysteme Vorfahren moderner Netzwerkbetriebssysteme und auch heute noch Basissysteme für viele IT-Server- Systeme.

Trotz vieler Vorteile, die sich durch den klaren Aufbau von UNIX ergeben, dürfen Sicherheits- und Daten-schutzprüfungen nicht vernachlässigt werden.

Insbesondere die „root“-Problematik und mögliche Lösungsansätze werden in diesem Seminar behandelt. Sinnvollerweise sollten effektiven Prüfungen Überlegungen bzgl. der Prüfungs- konzeption vorausgehen.

UNIX als Angriffsziel von Personen mit krimineller Energie zeigt immer wieder neue Gefährdungspunkte. Daher sind aktuelle Kenntnisse über Prüfungs- möglichkeiten, neue (Angriffs-) Werkzeuge und Programmiermöglichkeiten unabdingbar.

In diesem Seminar werden – neben einem Gesamtüberblick – die wunden Punkte des Systems sowie aktuelle Programme und Hilfsmittel zur Prüfung vorgestellt und diskutiert.

Eine strukturierte Vorgehensweise in der Prüfung durch die Revision mit Checklisten und Tools gewähr-leistet Vollständigkeit und Sicherheit bei der Prüfung dieser Betriebssysteme.

Einführung• Übersicht und Funktionsweise des

Betriebssystems UNIX• UNIX-Dateiverwaltung• Grundlegende UNIX-Befehle• Einsatz und Schwächen

Benutzer, Benutzergruppen und Zugriffs-sicherungen• Zugriffsrechte unter UNIX• Restriktionen des Systems• Betrachtung spezieller Dienste

(ftp, telnet, ssh, …)

Datensicherheit und Datenschutz• Das Problem „root“• Dateirechte• Erzeugung von Systemfehlersicherheit• Sicherheitsstrategien in UNIX- und heterogenen

Netzwerken• Protokollierung administrativer Tätigkeiten• Mitlesbarkeit von Daten und Informationen

Werkzeuge für die IT-Revision• NMAP• Schwachstellen• Checklisten und ihre praktische Anwendung



Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


81

IT-S

iche

rhei

t

Prüfen von Firewall-Konzepten

Referent

Anmeldung ISFW • Fax: +49 40 696985-31 • [email protected] Seminarcode ISFW

13 CPE





Firewall-Systeme sollen Unternehmensnetze und die dazugehörigen Endgeräte vor unerwünschten Netzwerkzugriffen schützen. Dabei muss die Firewall-Struktur auf die jeweiligen Bedürfnisse des Unternehmens angepasst werden.

Wird ein Firewall-System eingesetzt, fühlen sich die Anwender und oft auch Administratoren sicher. Ist das Firewall-System jedoch falsch konfiguriert oder bietet es nur eingeschränkte Filtermöglichkeiten, kann die Sicherheit der Daten nicht gewährleistet werden und im schlimmsten Fall wird das Sicher-heitsniveau trotz Firewall-System nicht erhöht.

Sie lernen in diesem Seminar verschiedene Firewall-Konzepte und –Komponenten kennen. Die unterschiedlichen Aufgaben der jeweiligen Kompo-nenten werden aufgezeigt. Aufbauend auf diesen Grundlagen und den jeweiligen Einsatzgebieten werden mögliche Schwachstellen und Risiken dargestellt und, soweit möglich, umsetzbare Maßnahmen zu ihrer Eliminierung oder wenigstens Minimierung vorgestellt.

Wir zeigen Ihnen welche Möglichkeiten bestehen, um Firewall-Strukturen zu umgehen und erläutern die Gefahren, die dadurch entstehen. Weiterhin lernen Sie, auf welche Details, wie beispiels-weise Konfigurationen, Sie bei dem Einsatz von Firewall-Konzepten achten müssen, um ein größtmögliches Sicherheitsniveau zu erhalten.

Grundlagen der Sicherheit• Sicherheitselemente• Einbindung von Sicherheit in Netzwerke

Sicherheitskonzepte• Übergänge zwischen Netzen• Intranet, Internet, Firewalls

Internetprotokoll IP• Dienste von IP• Protokoll-Datenstruktur• Sicherheitsbedrohungen• Filtermöglichkeiten

Firewall-Architekturen• Paketfilter• Stateful Inspection Firewall• Application Level Gateway (ALG)• Next Generation Firewall (NGFW)• Schutzbedarfsfeststellungen von Netzen• Vor- und Nachteile der Konzepte• Anforderungen an Internet-Firewalls

Angriffstest und Revision• Risiken und zukünftige Anforderungen• Strukturierte Vorgehensweise, Checklisten• Einsatz und Anwendung von Prüftools• Grenzen der Revision und der Fachkenntnis• Verhältnismäßigkeitsaspekte

r 19.04. – 20.04.2018

r 22.11. – 23.11.2018


Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


82

IT-S

iche

rhei

t

Referenten

Seminarcode ISDB Anmeldung ISDB • Fax: +49 40 696985-31 • [email protected]

Prüfungen von Datenbanken 13 CPE





Der Zugriff auf Datenbanken wird in der Regel durch vorgelagerte Applikationen, wie z.B. SAP, geregelt. Die Qualität des Berechtigungskonzeptes dieser Applikationen sagt jedoch nichts über die Sicherheit der Daten aus. Standard-Datenbanken wie Oracle, MS-SQL, MySQL, DB2 und weitere bilden dabei den Daten-Speicher für die Applikationen. Die weite Verbreitung und Nutzung dieser Datenbanken bietet aber auch viele Angriffsstellen, die den direkten Zugriff auf die Datenbestände ermöglichen.

Ist ein direkter Zugriff zur Datenbank erlangt, wird jede Protokollierung, Nachvollziehbarkeit und Berechtigungsprüfung durch die Applikationen umgangen. Daher ist es notwendig, die direkten Zugriffe auf die Datenbank zu beschränken, zu kontrollieren und nachvollziehbar zu machen. Regelmäßige Auswertungen der Protokolle sind notwendigerweise durchzuführen.

Dieses Seminar behandelt die klassischen Schwach-stellen in der Konfiguration bei Oracle-, MS-SQL-, MySQL- und DB2-Datenbanken. Es werden mögliche Zugriffsbeschränkungen, Kontrollen und Prüfungen in diesen Datenbanken vorgestellt, die eine zwingende Ergänzung der Berechtigungs- prüfungen darstellen. Andernfalls kann keine zuverlässige Aussage über die Sicherheit der Daten im Unternehmen getroffen werden.

Datenbanktypen• SQL- und Meta-Datenbanken• Applikations-Datenbanken

Anforderungen• Zugriffsberechtigungen und Logging• Administrative Rechte, Vier-Augen-Prinzip• Frühwarnsystem und Alarmierung

Risiken• Netzwerk-Kommunikation, Verschlüsselung• Administration, Zugriffsrechte

Datenbanken• Oracle• MS-SQL• MySQL• DB2

Prüfung• Konzeption• Funktionstrennung• Notfallkonzepte

Prüfleitfäden• Logging• Konfiguration• Administration


r 26.02. – 27.02.2018

r 25.10. – 26.10.2018


Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


83

IT-S

iche

rhei

t

Prüfen der Telekommunikation

Referenten

Anmeldung ISTK • Fax: +49 40 696985-31 • [email protected] Seminarcode ISTK

13 CPE





Telekommunikation ist längst nicht mehr mit „nur telefonieren“ gleichzusetzen. Die Telekommunikation in Unternehmen ist heute ein fester und vor allem integraler Bestandteil der gesamten Datenkommunikation.

Neben der normalen Sprachkommunikation, die in steigendem Maße in die Datenwelt migriert (z.B. VoIP=Voice-over-IP), existieren schon lange Systeme wie Voice-Mail-Boxen, Fax-Server und integrierte Telefonbücher, die an zentrale Datenbanken gekoppelt sind und so auch über IP zu erreichen sind.

Hinzu kommen (vor allem im Bereich der Kunden- betreuung) Systeme für das computerunterstützte Telefonieren (CTI=Computer-Telephony-Integrati-on), die Arbeitsplätze und Server mit Telefonsyste-men koppeln, um über Kundenbetreuungssyste-me (CRM=Customer Relationship Management) möglichst schnell alle Kundendaten beim Anruf zur Verfügung zu haben. Dabei bieten die Leistungs-merkmale und Berechtigungen in diesen komplexen Gebilden auch heute noch vielfältige Möglichkeiten für Manipulationen und Betrug.

Das Seminar zeigt Wege für eine ganzheitliche Telekommunikationsprüfung: Vorgehensweise, technische Hintergründe, Gefahren und Lösungen.

Komponenten• TK-Anlage, Fax-Server, Voice-Mail-Server• CTI-Systeme, CRM-Systeme• Gesprächsaufzeichnung• Datenbanken• Smart Phones

Betrieb der Telekommunikation• Management-Stationen• Arten der Konfiguration• Fernwartung, Fern-Administration

Risiken• Gebührenbetrug• Anhören von Gesprächen• Konfigurations-Risiken• Einführung VoIP• Gesetzliche Anforderungen• Notfall-Betrieb• System-Kopplungen

Regelungen• Betriebs- und Sicherheitskonzepte• Verantwortlichkeiten• Prüfbarkeit der Systeme

Prüfmöglichkeiten• Prüfen der Gesamt-Konzeption• Prüftools• Checklisten, erforderliche Dokumentationen• Notfall-Szenarien

r 28.06. – 29.06.2018



Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


84

IT-S

iche

rhei

t

Seminarcode ISMK Anmeldung ISMK • Fax: +49 40 696985-31 • [email protected]

Prüfungen von „mobile devices“ 13 CPE





Der Einsatz von Smartphones und anderen mobilen Geräten erleichtert vielen Angestellten die Arbeit. Dadurch steigt die Nachfrage nach dem Einsatz in Unternehmen. Weiterhin dienen beispiels-weise Smartphones oft als Statussymbol, wobei Sicherheitsmaßnahmen nicht selten als lästig empfunden werden. Die Nutzer wollen Ihre kleinen Geräte uneingeschränkt nutzen können und beispiels-weise uneingeschränkt Apps installieren können.

Das vielfältige Angebot an Funktionen und Diensten, die mobile Geräte heutzutage bieten, bringen jedoch viele Risiken und Gefahren mit sich. Es drohen ein Verlust der Informationssicherheit und Verstöße gegen geltende Gesetze.

Im Rahmen von Prüfungen muss daher ein inten- sives Augenmerk auf diese Kommunikationsmedien (Smartphones, Tablets, UBS-Sticks, Notebooks, externe Festplatten usw.) gelegt werden, vor allem auf Regelungen und Weisungen im Umgang mit ihnen.

Mobile Systeme befinden sich nicht permanent sta- tionär in einer zentralen Infrastruktur und können daher keiner kontinuierlichen Kontrolle unterliegen.

Wir zeigen Ihnen Möglichkeiten und Risiken im Einsatz der mobilen Kommunikation. Gemeinsam erarbeiten wir eine strukturierte Vorgehensweise bei der Prüfung.

Mobile Kommunikationsgeräte• Smartphones• Netbook, Notebook, externe Festplatten • USB-Sticks

Mobile Kommunikation• USB, Bluetooth• Wireless LAN, Infrarot

Risiken• Bewegungsprofile• Abhörbarkeit• Datenverlust

Regelungen / Verfahrensanweisungen• Handhabungen• Konfiguration• Software• Kommunikation• Organisatorisches Umfeld• Backup• Verlust des Gerätes oder der Daten• Unbefugte Einsichtnahme• Beschaffungsweg• Gefährdung anderer Systeme• Datenverschlüsselung

Prüfmittel• Prüfleitfäden• Prüftools


r 17.09. – 18.09.2018

Referenten


Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


85

IT-S

iche

rhei

t

Schwachstellenanalyse von Webservern und Webapplikationen

Referenten

Anmeldung ISWS • Fax: +49 40 696985-31 • [email protected] Seminarcode ISWS

13 CPE





Externe Webserver zählen zu den Hauptangriffs-zielen von Hackern. Aber auch interne Webserver bieten häufig die Möglichkeit, bestehende Schwach-stellen auszunutzen. Der Webserver sowie die auf diesem laufenden Webapplikationen stellen dabei die entsprechenden Daten und Funktionen zur Verfügung. Nicht nur bei Online Banking oder Online Shops werden sensible Daten erhoben, gespeichert und verarbeitet, dies geschieht bereits bei einfachen Funktionen, wie etwa einem Kontaktformular oder einer Newsletter-Anmeldung. Es ist daher unumgänglich, die betroffenen Systeme regelmäßig auf Sicherheit zu prüfen.

In der schnelllebigen Zeit des Internets werden Sicherheitsaspekte in der Programmierung von Webseiten vernachlässigt. Dies bildet mit Fehl- und Standardkonfigurationen eine Grundlage für Angriffe gegen Datenvertraulichkeit, -integrität und -verfügbarkeit. Die angebundenen Datenbanken und Applikationsserver sind ebenfalls Ziel eines Angriffs und müssen in diese Betrachtungen einbezogen werden.

Das Ziel dieses Seminars ist es, die Möglichkeiten für eine ganzheitliche Prüfung inkl. der Vorgehensweise und der Erkennung der Gefahren aufzuzeigen. Sowohl der generelle Aufbau eines Webservers und der zugehörigen Skriptsprachen, wie z. B. PHP, als auch Tools und Programme, die sicherheitsrelevante Informationen auslesen können, werden erklärt.

Grundlagen der Sicherheit• Netzwerktechnik• Aufbau und Arbeitsweise von http(s)• Cookies• Gesetzliche Vorgaben und Prüfungsstandards

Aufbau• Der Webserver als Frontendsystem• Content Management Systeme• Datenbanken• Einbindung in Firewallkonzepte

Angriffe• Session Diebstahl• SQL Injection• XSS (Cross Site Scripting)

Sicherheitsanforderungen• Anforderungen an die Sicherheit der Webserver• Verfügbarkeit und Ausfallsicherheit• Organisatorische Maßnahmen• Updates und Patche

Prüfung• Ist-Aufnahme der Webserver• Analyse der eigenen Webserver• Einsatz von Tools• Abgleich mit der Dokumentation• Prüfleitfäden



r 15.03. – 16.03.2018

r 15.10. – 16.10.2018

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


86

IT-S

iche

rhei

t

Referenten

Seminarcode ISRM Anmeldung ISRM • Fax: +49 40 696985-31 • [email protected]

Revision von Remote- und Wartungszugängen 13 CPE





Externe Wartungszugänge auf IT-Systeme in Unter-nehmen erlauben externen Partnern oft auch Zugriff auf sensible, personenbezogene Daten.

Bei Remotezugängen, die einen unkontrollierten Zugang von außen erlauben, sind Kontrolle und Revision in der Regel kaum realisierbar.

Dieser Zugriff wird oft weder geloggt (protokolliert) noch ist nachvollziehbar, was durch Partner an den Systemen verändert oder eingesehen wurde, da diese mit administrativen Rechten arbeiten.

Dieses Seminar zeigt auf, dass es Lösungen gibt und dass Zugänge sicher und prüfbar gemacht werden können. Es wird gezeigt, wie eine Protokollierung erzeugt werden kann, die allen Anforderungen entspricht.

Vor allem aber erlernen die Teilnehmer, Struktur und Schwachstellen der bestehenden Remote-Zugänge zu erkennen und diese unter den Aspekten des Datenschutzes und der Revision zu prüfen.

Neue sichere und revisionsgerechte Verfahren der Remote-Administration werden aufgezeigt und analysiert.

Remote-Zugangsarten• Internet• VPN

Sicherer Remote-Zugang• Aufzeigen möglicher Lösungen• Anforderungen aus Datenschutz und Revision• Grenzen der Technik• Einbindung in die Firewallstrukturen

Ermitteln der Schwachstellen• Struktur der Remote-Zugänge• Rechte auf den Zielsystemen• Erreichbarkeit von außen• Manipulierbarkeit der Systeme

Anforderungen der Revision• Kriterien einer Prüfbarkeit• Verträge und Kontrolle mit Dienstleistern• Soll-Vorgaben und Ist-Kontrolle

Analyse und Revision• Prüfung der Struktur• Anforderungen aus organisatorischer Sicht• Empfehlungen und Migration• Prüfleitfäden


r 14.06. – 15.06.2018


Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


87

IT-S

iche

rhei

t

Ordnungsmäßigkeit und Nachvollziehbarkeit administrativer Tätigkeiten

Referent

Anmeldung ISOM • Fax: +49 40 696985-31 • [email protected] Seminarcode ISOM

13 CPE





In den kritischen Geschäftsprozessen jedes Wirtschaftsunternehmens ist eine Nachvollzieh- barkeit der Handlungen sowie eine persönliche Zuordbarkeit von Transaktionen zu ausführenden Personen anzustreben. In den meisten Anwendungsbereichen der Informationstechnik wird dies durch die Nutzung eines jeweils Applikations-spezifischen Zugriffskontrollsystems erreicht.

Betrachtet man statt des „normalen Anwenders“ jedoch die technischen und administrativen Konten, ergibt sich ein anderes Bild: Der Administrator als Person nutzt ebensolche – hoch privilegierten – Konten, um die Systeme zu betreuen und zu verwalten. Die Macht dieser Konten geht so weit, dass die eigenen administrativen Handlungen durch Änderung der Log-Einträge verschleiert oder verdeckt werden können. Neben der fehlenden persönlichen Zuordenbarkeit ergeben sich daraus Probleme bei der Erfüllung der Nachweispflichten, da administrative Handlungen und kritische Transaktionen „versteckt“ werden können.

Aus dieser Problemstellung heraus ergibt sich bei vielen Unternehmen der Bedarf für besonderen Schutz-, Kontroll- und Nachweisverfahren, die explizit auf Administratoren, technische Accounts und geteilte Konten abzielen. Lernen Sie in diesem Seminar welche Techniken möglich und nützlich sind.

Administration tut Not• Klärung der Ausgangssituation• Lokale Admins auf Clients• Globale Admins im AD• Root / SuperUser auf Linux / Unix• dba und SAP_all in Middleware• Technische Konten in Anwendungen

Admin-Problematik• „Admin Hacks“ in den Medien• Auftretende Risiken und Haftungsfragen• Handlungsspielräume und Grenzen• Auswirkungen auf die Fachabteilungen• Log-Management• Sonderfall: Technische Konten

Lösungsansätze• Organisatorische Regelungen• Gewaltenteilung & Verschlüsselung• Geteilte Passworte für Zugriffe• Zentrale Passwort-Safes• Nutzung von Jump-Hosts• Kommerzielle PIM / PAM / PUM Lösungen

Hands-On Training• Architektur und Designfragen• Planung und Umsetzung• Inbetriebnahme und Einsatz• Reporting und Auditfunktionen• PAM und der Betriebsrat

r 11.10. – 12.10.2018


Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


88

IT-S

iche

rhei

t

Referent

Seminarcode ISVU Anmeldung ISVU • Fax: +49 40 696985-31 • [email protected]

Prüfen von virtuellen Umgebungen 13 CPE





Virtualisierung ist eine der Techniken, die in der letzten Zeit immer häufiger in den Unternehmen zum Einsatz kommt. Der Grund liegt in der Konsolidierung von Servern und den einhergehenden Kostenein-sparungen an Hardware, Administrationsaufwand und Betriebskosten (Strom, Klimaanlage, usw). Die Server-Virtualisierung bringt noch weitere Vorteile. Eine Hardwareunabhängigkeit wird erzielt und Sicherungsmöglichkeiten werden vereinfacht. So können zum Beispiel Hochverfügbarkeits- lösungen kostengünstig umgesetzt werden.

Es entstehen neue Strukturen, die unter Sicher-heitsaspekten betrachtet werden müssen. Virtuelle Umgebungen sind nicht per se sicher. Durch schlechte Implementationen als auch fehlende Risikobetrachtungen können diese Systeme neuartigen Gefahren ausgesetzt werden, die nicht mehr in der Hardware, sondern hauptsächlich in den Applikationen zu identifizieren sind. So muss sichergestellt sein, dass für das Gesamtsystem (Gast und Host) eine klare Trennung auf technischer und organisatorischer Schicht umgesetzt ist.

In diesem Seminar erfahren die Teilnehmer, in welchen Bereichen Virtualisierungen möglich sind und wie Gefahren zu identifizieren sind. Vor gehensweisen für eine Prüfung werden ebenfalls vermittelt.

Grundlagen der Virtualisierung• Gründe für Virtualisierungen• Virtualisierungskonzepte

Techniken• Hypervisor• Virtuelle Switche• Terminalserverlösungen• Verwaltungsmethoden• Storage

Bedrohungen• Risikobetrachtung• Single Point of Failures• Ausfallsicherheit

Sicherheitsanforderungen• Definition der Anforderungen an die Sicherheit

von virtuellen Umgebungen• Organisatorische Maßnahmen• Datensicherung• Verfügbarkeit und Ausfallsicherheit

Prüfung• Analyse der eigenen virtuellen Umgebungen• Einsatz von technischen Tools• Abgleich mit der Dokumentation• Prüfleitfäden

r 18.06. – 19.06.2018

r 06.12. – 07.12.2018

Georg MangoldGruner + Jahr GmbH & Co. KG

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


89

IT-S

iche

rhei

t

Ordnungsmäßigkeit und Prüfung von Dokumentenmanagement- und Archiv-Systemen

Referenten

Anmeldung ISDM • Fax: +49 40 696985-31 • [email protected] Seminarcode ISDM

13 CPE





Viele Unternehmen planen für ihre Geschäfts-vorfallbearbeitung elektronische Archive und Dokumentenmanagement-Systeme 00,einzusetzen. Diese setzen eine Integration in die IT-Systemland-schaft voraus.

Bei Prüfungen zur Beurteilung der Gesetzes- und Ordnungsmäßigkeit solcher Systeme muss der Prüfer neben systemtechnischen Gesichtspunkten und funktionsorientierten Anforderungen auch organisatorische Regelungen untersuchen.

Das Seminar vermittelt notwendiges Wissen über die Einführungsplanung und Realisierung von elektronischen Archiven und Dokumenten- management-Systemen.

Die rechtliche Betrachtung und deren Abbildung in einer technischen Lösung sind wesentliche Aspekte in diesem Seminar. Erst nach der Klärung aller rechtlichen Vorgaben kann eine technische Realisierung stattfinden. Die Revision solcher Systeme muss auf einer strukturierten Vorgehens-weise basieren, die die rechtlichen und organisato-rischen Vorgaben verfahrensmäßig prüft und ihre Umsetzung als Realprüfung ergänzt.

Mögliche technische Realisierungen werden unter den Aspekten der Verhältnismäßigkeit und Wirtschaftlichkeit in der Umsetzung vorgestellt.

IT-gestützte Buchführungssysteme• Übertragung auf das Speichermedium• Aufbewahrung, Wiedergabe und Verfahrens-

dokumentation• Beweissicherheit elektr. Dokumente und

Vernichtung des Originals

Archivierung originärer elektronischer Dokumente• Datenzugriff der Finanzbehörde• Unmittelbarer und mittelbarer Datenzugriff• Datenträgerüberlassung• Steuerlich relevante Daten• Maschinelle Auswertbarkeit• Elektronisch signierte Dokumente

Theoretische Grundlagen• Einführung in die DMS- und Archiv-Technologie

und Verfahren• Grundlagen der Prüfung (GoBD, AWV-Schriften,

VOI-Checklisten)• Überblick und Einsatzmöglichkeiten• Risiken und Sicherheitsmechanismen• Digitale Signatur• Prüfungsmethoden und -verfahren

Übungen und Vorgehensweisen• Erstellung von Prüfungsleitfäden• Checklisten und ihre praktische Anwendung

r 11.06. – 12.06.2018


Christian Wieder Ebner Stolz GmbH & Co. KG

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


90

IT-S

iche

rhei

t

Referent

Seminarcode ISCC Anmeldung ISCC • Fax: +49 40 696985-31 • [email protected]

Prüfung der Sicherheit von Cloud Computing 13 CPE





Cloud Computing als Technologie ermöglicht es, Anwendungen, Plattformen und Infrastrukturen als Dienste bereitzustellen. Technologische Grundlage ist eine Weiterentwicklung der Desktop- und Server- Virtualisierung wie sie in Rechenzentren der Dienst-leister Anwendung finden. Treiber für die Nutzung von Cloud-Diensten ist primär der Einkauf günstiger Basis-Dienstleistungen der IT, insbesondere der direkte Bezug durch die Fachabteilung.

Durch die dynamische Zuweisung von Ressourcen und Kapazitäten besteht die Möglichkeit, binnen Minuten lastabhängig zu skalieren und Lastspitzen abzufangen und so flexibel auf schwankende Dienstnachfrage zu reagieren.

In der „Cloud“ finden sich jedoch die gleichen Risiken wie sie in eigenen virtuellen und realen Umgebungen anzutreffen sind, angereichert um Risiken, die die Sicherstellung der Datenvertraulichkeit, -verfügbarkeit und -integrität betreffen.

Diese Gesamtlage muss analysiert und aus technischer und rechtlicher Sicht bewertet werden, um sinnvolle vertragliche, organisatorische und technische Rahmen-bedingungen für einen sicheren Betrieb zu schaffen – denn grenzenlos skalierbar bedeutet nicht grenzenlos sicher! Das Seminar zeigt technische Hintergründe und Risiken auf, um daraus eine effiziente und effektive Vorgehensweise für die Sicherheit des Cloud Computings zu entwickeln.

Einführung• Definitionen• Spielarten• Architekturen

Techniken• Formen• Typen der Cloud• Technische Grundlagen• „as-a-Service“ Ansätze• API Nutzung als neues Paradigma

Risiken• „Grenzenlose Cloud“• Private-, Public-, Hybrid-Clouds• Datenschutz• Datensicherheit• Cloud und Identitäten

Sicherheitsbetrachtung• Vertragliche Gestaltungsoptionen• Technische Maßnahmen• Integration in das Risikomanagement

Prüfungsvorbereitung• Einführung in geltende Gesetze• Betriebsinterne Regelungen• Risiken der Spielarten• Ansätze für eine Prüfung• Tipps für die Vorbereitung• Checkliste für das Cloud Computing

r 26.04. – 27.04.2018


Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


91

IT-S

iche

rhei

t

Seminarcode ISCC Anmeldung ISCC • Fax: +49 40 696985-31 • [email protected]

Prüfen der Schatten-IT

Referent

Anmeldung ISTT • Fax: +49 40 696985-31 • [email protected] Seminarcode ISTT

13 CPE





In den meisten Unternehmen findet sich eine Vielzahl an IT-Systemen, die von den Fachabteilungen in Eigenregie und ohne Mitwirkung und Wissen der IT-Abteilung entwickelt und betrieben werden. Diese Systeme werden im Allgemeinen auch als Schatten-IT bezeichnet.

Mit der Schatten-IT sind einige positive Wirkungen wie beispielsweise die Innovationsförderung verbunden. Sie birgt aber auch erhebliche Risi-ken im Hinblick auf Datensicherheit, -schutz und –integrität. Zudem können mit Schatten-IT auch Compliance Problematiken verbunden sein.

Daher ist es für die Unternehmen und entsprechend auch für die Interne Revision von großer Bedeutung, die im Unternehmen vorhandene Schatten-IT zu kennen und das Risikopotenzial einzuschätzen.

Wie die reguläre IT ist auch die Schatten-IT von den Entscheidungsträgern zu sanktionieren und mit einem IKS zu unterlegen.

Das Ziel des Seminars ist es, den Prüfer an diese Thematik heranzuführen und ihm entsprechende Hilfsmittel zur zielgerichteten Aufdeckung und Bewertung der Schatten-IT an die Hand zu geben. Zur Unterstützung der praktischen Umsetzung werden Übungsfälle verwendet. Gerne werden auch Beispiele der Teilnehmer berücksichtigt.

Grundlagen der Schatten-IT• Definition• Verflechtungen mit IT-Governance und

IT-Strategie

Ursachen• Mangelndes Alignment• Fachbereiche• IT-Organisation

Auswirkungen• Risiken• Chancen

Prüfungsgrundlagen• Ziele einer Schatten IT-Prüfung• Prüfungsumfeld

Erhebungsmethoden• Prozessbeschreibungen (Verfahrensprüfung)• Technische Erhebung (Realprüfungen)• Ergänzende Wege

Bewertungsmethoden• Kriterien• Darstellungsmöglichkeiten

Handlungsempfehlungen• Sofortmaßnahmen• Strategieentwicklung

r 28.06. – 29.06.2018

Prof. Dr. Christopher RentropINCA Consult GmbH

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


92

IT-S

iche

rhei

t

Referenten

Seminarcode IMAD Anmeldung IMAD • Fax: +49 40 696985-31 • [email protected]

Prüfen von Windows® Active Directory Services I 13 CPE





Windows Server sind elementare Teile der Infrastruktur von Unternehmen. Seit der Integration eines auf X.500 basierenden Verzeichnisdienstes mit Windows 2000 Server ist die Flexibilität der Server-Umgebung mit diesen Betriebssystemen immer signifikanter erweitert worden.

Die Grundlagen des Berechtigungs- und Verwaltungskonzepts der Infrastruktur, des Active Directorys, der Domänenstruktur und der kritischen Zugriffe von Benutzern auf Dateien und Ressourcen werden Ihnen in diesem Seminar an einer beispiel-haften Prüfung dargestellt.

Hierbei wird speziell auf die Besonderheiten der einzelnen Windows Serverversionen und das Sonderverhalten im Mischbetrieb, insbesondere mit dem älteren Windows 2000 Server eingegangen.

Da in diesen Betriebssystemen zusätzlich zu alten auch neue Sicherheitslücken vorhanden sind, werden verschiedene Mittel und Werkzeuge vorgestellt, die zur Überwachung von Microsoft® zur Verfügung gestellt werden. Praxisnah wird den Teilnehmern erklärt, wie einfache Überprüfungen an eigenen Servern und Clients durchgeführt werden können.

Einführung• Aufbau und Struktur eines Betriebssystems • Merkmale und Unterschiede von Client- und

Server-Versionen• Aufbau einer Domänenstruktur• Aufbau eines Verzeichnisdienstes

Berechtigungskonzepte unter Windows• Dateisysteme• Zugriffsberechtigung unter NTFS• Vererbung von Berechtigungen• Benutzer und Gruppen• Freigabe und Verzeichnissicherheit• Bordmittel und -werkzeuge für die Prüfung

Microsoft® Active Directory Services• Grundlagen des Verzeichnisdienstes• Strukturierung des Verzeichnisdienstes• Objekte und deren Sicherheit in Verzeichnis-

diensten

Einsatz von Gruppenrichtlinien in Windows Umgebungen• Aufbau von Gruppenrichtlinien• Restriktionen und Berechtigungen der Benutzer

durch Gruppenrichtlinien• Prüfungsansätze und Tools

r 05.11. – 06.11.2018


Janis Exner GeschäftsführerITB IT Betrieb GmbHDozent & Consultant IT Security, ISO

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


93

IT-S

iche

rhei

t

Seminarcode IMAD Anmeldung IMAD • Fax: +49 40 696985-31 • [email protected]

Prüfen von Windows® Active Directory Services II

Referenten

Anmeldung IMAF • Fax: +49 40 696985-31 • [email protected] Seminarcode IMAF

13 CPE





Windows Server sind elementare Teile der Infrastruktur von Unternehmen. Seit der Integration eines auf X.500 basierenden Verzeichnisdienstes mit Windows 2000 Server ist die Flexibilität der Server-Umgebung mit disen Betriebssystemen immer signifikanter erweitert worden.

Auf Basis des ersten Teils dieser Seminarfolge werden hier die Feinheiten der Berechtigungs- struktur, deren Umsetzung und Einschränkungen, des Verzeichnisdienstes und der standortüber- greifenden Domänenstruktur behandelt.

Insbesondere die Sicherheit kritischer Daten und deren Übertragung sind Thema dieses Seminars. Zudem werden die Berechtigungen und Einschrän-kungen der Benutzer, wie auch Administratoren über Verzeichnisberechtigungen und Gruppenrichtlinien behandelt.

Mittels von Microsoft® veröffentlichter Mittel und Werkzeuge werden erweiterte Überprüfungen der Client- und Serverumgebung beispielhaft einer Prüfung unterzogen und deren Auswertung wird als Basis für Vorschläge zur Verbesserung des Sicher-heitskonzepts verwendet.

Einführung• Erweiterter Aufbau von Domänenstrukturen über

mehrere Standorte• Vertiefung des Active Directory-

Verzeichnisdienstes

Erweiterte Berechtigungskonzepte unter Windows• Zugriffsberechtigungen über Strukturgrenzen

hinweg• Freigabe und Verzeichnissicherheit• Revision der Verzeichnisdienststruktur durch

Bordmittel und -werkzeuge

Microsoft® Active Directory Services• Erweiterung des Verzeichnisdienstes und

Vertrauensstellungen• Neustrukturierung und Absicherung der Verzeich-

nisdienstumgebung

Einsatz von Gruppenrichtlinien in Windows Umgebungen• Erweiterungen bei Gruppenrichtlinien• erweiterte Beschränkungen und Berechtigungen

der Benutzer durch Gruppenrichtlinien• Prüfungsansätze und Tools

r 15.11. – 16.11.2018


Janis Exner GeschäftsführerITB IT Betrieb GmbH Dozent & Consultant IT Security, ISO

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


94

IT-S

iche

rhei

t

Referent

Seminarcode IMSP Anmeldung IMSP • Fax: +49 40 696985-31 • [email protected]

Prüfen von Microsoft® SharePoint 13 CPE





Die Teamsoftware SharePoint Foundation und SharePoint Server sind Webservices von Microsoft® und dienen der Verwaltung von Wissen und abrufbaren Informationen im Unter- nehmen. Die Share-Point-Techmologien sollen helfen dieses Wissen zu organisieren, wodurch sich das Know-how im Unternehmen optimal nutzen und Informationen optimal verteilen lassen. Mit dieser Kombination erreichen Unternehmen mit SharePoint verbesserte Teamarbeit, Abbildung und Beschleunigung von Arbeitsabläufen, einfachere Administration von Unternehmensdaten und tiefere Einblicke in den Geschäftsverlauf. Eine Philosophie von SharePoint ist es, dass Daten nicht in eine fest vorgegebene Struktur gepresst werden müssen, sondern dass Anwender oder Abteilungen frei entscheiden können, wie sie ihre Daten und Przesse verwalten möchten. Dementsprechend lässt sich eine Informationsum-gebung individuell gestalten. Doch genau das – die Möglichkeit, globale Teams zu koordinieren und die Verwaltung großer, strategischer Geschäftsinitiativen zu vereinfachen – ist auch der Grund für die besonders hohe Sicherheitsanfälligkeit.

In diesem Seminar lernen die Teilnehmer wie bereits im Design-Prozess von SharePoint- Umgebungen Sicherheit implementiert werden kann. Um die Vertraulichkeit von Daten einzustufen und die geeigneten Sicherheitsmechanismen anzuwenden, ist ein systematischer Ansatz, basierend auf einheitlichen Richtlinien unabdingbar.

Überblick• Funktionsweise• Abgrenzung Foundation und SharePoint Server• Datenbanken und Server• Versionen

Anwendungsgebiete• Zusammenarbeit• Soziale Netze• Portale• Projekte• Suche• Inhalt

Sicherheitsmodell• Berechtigungen• Authentifizierung• Policies• Firewall• Schwächen und Gefahren• Absicherung von öffentlichen Zugängen• Funktionstrennungen

Datenschutz• Archivierung• Versionierung• Informationsverwaltungsrichtlinien• Suchergebnisse

Prüfung• Ansätze• Checklisten

r 25.06. – 26.06.2018

Tim WehleIT Consulting und Training

IT-Revision, IT-Audit und IT-Compliance Aleksandra Sowa / Peter Duscha / Sebastian Schreiber ISBN: 978-3-658-02807-7 Springer Vieweg (www.springer-vieweg.de)

IT-Prüfung und IT-Revision Matthias Knoll (Hrsg.) ISBN: 978-3-86490-057-0 Dpunkt.verlag (www.dpunkt.de)

IT-Risiko-Management mit System Hans-Peter Königs ISBN: 978-3-8348-0359-7 Vieweg+Teubner Verlag (www.viewegteubner.de)

Einführung in das IT-Management Olaf Resch ISBN: 978-3-503-16747-0 Erich Schmidt Verlag (www.ESV.info)

IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz Heinrich Kersten ISBN: 978-3-658-01723-1 Springer (www.springer.com)

Aufbewahrungspflichten und -fristen nach Handels- und Steuerrecht AWV - Arbeitsgemeinschaft für wirtschaftliche Verwaltung e. V. ISBN: 978-3-503-16620-6 Erich Schmidt Verlag (www.esv.info)

PC-Netzwerke Axel Schemberg, Martin Linten, Kai Surendorf ISBN: 978-3-8362-3680-5 Rheinwerk Verlag (www.rheinwerk-verlag.de)

Risikomanagement in IT-Projekten Stefan Borgwedel ISBN: 978-3-639-02320-6 VDM (www.omniscriptum.com/.de)

Netzsicherheit Günter Schäfer ISBN: 978-3-86490-115-7 Dpunkt. Verlag (www.dpunkt.de)

IT-Sicherheit Claudia Eckert ISBN: 978-3-486-77848-9 De Gruyter Oldenbourg (www.degruyter.com)

IT-S

iche

rhei

t

Literaturverzeichnis IT-Sicherheit

95

Active Directory (AD) Verzeichnisdienst von Microsoft Windows Servern, mit dem eine Unternehmensstruktur virtuell im Netzwerk abgebildet werden kann.

Add-On Zusatzprogramme, die auf eine bereits installierte Software aufbauen und innerhalb dieser installiert werden können.

Application Programming Interface (API) Schnittstelle zur Anwendungsprogrammierung

Backup Sicherung von IT-Systemen, um bei einem Ausfall eine Datenverfügbarkeit zu erreichen.

Business Continuity Management (BCM) Management zur Fortführung des zentralen Geschäftsprozesse auch in Extremsituationen.

Bundesdatenschutzgesetz (BDSG) Gesetzliche Regelung zum Umgang mit personenbezogenen Daten, die in IT-Systemen oder manuell

verarbeitet werden.

Benchmarking Die vergleichende Analyse von Ergebnissen oder Prozessen mit einem festgelegten Bezugswert oder Vergleichsprozess.

BSI Bundesamt für Sicherheit in der Informationstechnik

Client Endgerät oder Computerprogramm, das mit einem Server kommuniziert bzw. Dienste eines Servers nutzt.

Capability Maturity Model Integration (CMMI) Reifegradmodell in der Softwareentwicklung

Content Management System System zur gemeinschaftlichen Erstellung, Bearbeitung und Organisation von Inhalten (Content) (CMS) zumeist in Webseiten, aber auch in anderen Medienformen.

COBIT Control Objectives for Information and Related Technology

Compliance Begriff für die Einhaltung von Gesetzen und Richtlinien, aber auch von freiwilligen Kodizes, in Unter-nehmen.

Cookie Textdatei, die auf dem Endgerät des Benutzers gespeichert wird, um Zustände und weitere Daten zu speichern.

Customer-Relationship- Die konsequente Ausrichtung einer Unternehmung auf ihre Kunden und die systematische Gestal-Management (CRM) -tung der Kundenbeziehungsprozesse.

Computer-Telephony- Zusammenfassung aller Telekommunikations-dienste in einer Anwendung.Integration (CTI)

Datenschutz Schutz personenbezogener Daten vor Missbrauch und zum Schutze der informationellen Selbstbe-stimmung.

Datensicherheit Eigenschaften von informationsverarbeitenden und -lagernden (technischen oder nicht-technischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen.

DB2 Kommerzielles relationales Datenbankmanagementsystem (RDBMS) des Unternehmens IBM.

Denial of Service (DoS) Angriff auf die Verfügbarkeit eines Dienstes.

DIN 1041 DIN-Norm zum Outsourcing technologieorientierter wissensintensiver Dienstleistungen

Glossar IT-Sicherheit

IT-S

iche

rhei

t

96

DIN 69901 Die DIN-Normenreihe DIN 69901 beschreibt Grundlagen, Prozesse, Prozessmodell, Methoden, Daten, Datenmodell und Begriffe im Projektmanagement.

DMS Dokumentenmanagementsystem

Domäne Abbildung und Gliederung einer realen Unternehmensstruktur durch die Verwaltung verschiedener Objekte, wie beispielsweise Benutzer, Gruppen, etc..

Ex ante Bezeichnet eine Beurteilung im Vorfeld (beispielsweise vor einer Maßnahme).

Ex post Bezeichnet eine Beurteilung im Nachhinein

FAIT Fachausschuss für Informationstechnologie

Firewall Ein Sicherungssystem, das ein Rechnernetz oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt und ist weiter gefasst auch ein Teilaspekt eines Sicherheitskonzepts.

ftp File Transfer Protocol. Netzwerkprotokoll zur Übertragung von Dateien.

GoB Grundsätze ordnungsmäßiger Buchführung

GoBD Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff

GPRS General Packet Radio Service. Dienst zur Datenübertragung in Mobilfunknetzen.

HGB Handelsgesetzbuch

Hypervisor Darstellung der realen Hardware für virtuelle Maschinen.

IDW Institut der Wirtschaftsprüfer

Integrität Schutzziel in der Informationssicherheit. Beschreibt die Unversehrtheit der Daten.

ISDN Integrated Services Digital Network. Standard für ein digitales Telekommunikationsnetz.

ISMS Information Security Management System

ISO Internationale Organisation für Normung

IT-Forensik Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung des Tatbestandes und der Täter durch Erfassung, Analyse und Auswertung digitaler Spuren

IT-Governance Besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Informati-onstechnik (IT) die Unternehmensstrategie und -ziele unterstützt.

ITIL IT Infrastructure Library. Eine Sammlung von vordefinierten Prozessen, Funktionen und Rollen, wie sie typischerweise in jeder IT-Infrastruktur von mittleren und großen Unternehmen vorkommen.

Jump-Host Zwischen-Host zur Protokollierung administrativer Tätigkeiten.

MMC Microsoft® Management Console

RoI Return on Investment

SAM Software Asset ManagementSession

Glossar IT-Sicherheit

IT-S

iche

rhei

t

97

Unsere Referenten in Sicherheit von SAP-Systemen

Marcus Herold - Diplom Informatiker • CASAP, CIA, CISA, CISM, CRISCIBS Schreiber GmbH


SAP

Konstantin Gork - Diplom Geophysiker • CISAIBS Schreiber GmbH

Konstantin Gork ist seit 2007 bei der IBS Schreiber GmbH als Prüfer IT und Security tätig und war vorher 8 Jahre für den Betrieb eines Rechenzentrums bei der Siemens AG verantwortlich. Zu seinen Aufgaben gehörte das Planen und Einrichten von Kundenan-bindungen, das Betreiben einer Firewall und der Netzinfrastruktur sowie die Unter- stützung des technischen Vertriebes. Weiterhin war er verantwortlich für die Umsetzung kundenspezifischer ITIL-Prozesse. Seit 2014 ist Herr Gork Leiter des Geschäfts- bereichs „IT Revision“.

Sven Humpke IBS Schreiber GmbH

Sven Humpke ist seit 1998 im SAP Berechtigungsumfeld unterwegs. In dieser Zeit erwarb er Implementierungserfahrung für GRC Access Control in verschiedenen Beratungs- und Prüfungsprojekten. Dabei sammelte Herr Humpke vorwiegend in komplexen organisatori-schen Umgebungen Erfahrungen bei der Implementierung von Abläufen für die SoD-kon-fliktfreie Rollenentwicklung und –vergabe an Anwender. Insbesondere innerhalb diverser regulierter Branchen, zuletzt im Bankenbereich. Systemtechnisch wurden die Erfahrungen in SAP GRC Access Control im Modul ARA, CheckAud oder anderen Prüftools umgesetzt.

Thomas Tiede - GeschäftsführerIBS Schreiber GmbH

Thomas Tiede ist seit Anfang des Jahres 2000 Geschäftsführer der IBS Schreiber GmbH. Seine umfangreichen Erfahrungen im Bereich der Unternehmensprüfung fließen in seine langjährige Seminartätigkeit ein. Er gilt als anerkannter Experte der Zugriffs- und Sicherheitsphilosophien von Betriebssystemen, Datenbanken und SAP. An der Entwicklung des Prüfungstools CheckAud® for SAP Systems war und ist Thomas Tiede maßgeblich beteiligt. Er ist Autor des Standardwerkes OPSAP „Ordnungsmäßig-keit und Prüfung von SAP-Systemen“.

98


Björn Meeder - SAP Certified Consultant HCMIBS Schreiber GmbH

Bereits während seiner Qualifizierung zum SAP Certified Consultant HCM konnte Björn Meeder von seiner langjährigen Tätigkeit als Personaladministrator im militärischen Personalwesen profitieren. Bei der IBS Schreiber GmbH setzt Herr Meeder seinen kaufmännischen Background und seine Erfahrungswerte zu personalwirtschaftlichen Vorgängen für seine Tätigkeit als Prüfer und Berater im Bereich der SAP Sicherheit ein. Im Bereich SAP-Berechtigungswesen liegt sein fachlicher Fokus besonders auf den Modulen SAP HCM, BC sowie der Umsetzung des Datenschutzes in SAP-Systemen.

Sebastian Schreiber - GeschäftsführerIBS Schreiber GmbH

Sebastian Schreiber ist Geschäftsführer der IBS Schreiber GmbH. Er ist seit 1999 im Unternehmen IBS Schreiber GmbH tätig und befasst sich seit dem Jahr 2001 mit dem Thema SAP-Sicherheit. Sein Tätigkeitsbereich umfasst SAP-Prüfungen im Bereich Be-rechtigungen und Systemsicherheit, sowie die Leitung und Umsetzung von SAP-Be-rechtigungsprojekten.

Aleksandra PristinIBS Schreiber GmbH

Alexandra Pristin ist seit 2001 in der Einführung und Optimierung von diversen IT Anwen-dungen tätig. Als IT-Projektmanager leitete sie in folgenden Jahren diverse IT-Projekte, darunter SAP-Einführungen bzw. Neustrukturierungen auf den Gebieten MM, Logistik, EH&S, QM, SAP-System-Releasewechsel und Berechtigungen. 2012 leitete sie erfolg-reich mit fachlicher Unterstützung der IBS Schreiber GmbH eine sehr komplexe Neu-strukturierung des SAP-Berechtigungssystems bei Martin Braun KG. Seit 2015 ist Frau Pristin als Projektleiterin in SAP-Projekten bei der IBS Schreiber GmbH fest angestellt.

SAP

Lisa Niekamp - Bachelor of ArtsIBS Schreiber GmbH

Lisa Niekamp ist seit 2013 Mitarbeiterin der IBS Schreiber GmbH. Nach ihrer Werk-studententätigkeit, die sie parallel zu ihrem Studium der Wirtschaft und Kultur Chinas im Marketing und Vertrieb ausübte, setzte Frau Niekamp ihren beruflichen Werdegang im Herbst 2014 als Junior Sales Manager weiter fort. Zusätzlich zu ihren vertrieblichen Tätigkeiten als Sales Manager übernimmt Frau Niekamp ebenfalls Aufgaben im Bereich des Marketings.

99


Unsere Referenten in Sicherheit von SAP-Systemen

Christian WolfIBS Schreiber GmbH

Während seiner Ausbildung betreute Christian Wolf die IT-Infrastruktur einer mittelstän-dischen Unternehmensberatung. Nach erfolgreichem Abschluss zum Informatikkauf-mann im Jahr 2003 führte er auch neben seinem Studium der Wirtschaftsinformatik diese administrative Tätigkeit fort. Aufgrund seiner praxisorientierten Arbeit wechselte Christian Wolf im Jahr 2006 in das Unternehmen IBS Schreiber und ist als Vertriebsleiter tätig.

SAP

Dirk Tesche - Master of ScienceIBS Schreiber GmbH

Dirk Tesche ist bei der IBS Schreiber GmbH im Bereich der SAP Security tätig. An der Universität Oldenburg studierte er Wirtschaftsinformatik im Master. In dieser Zeit arbei-tete er in zwei SAP-Einführungsprojekten bei der Raytheon Anschütz GmbH, in denen er die SAP Berechtigungskonzepte konzeptionell erarbeitete und implementierte. Im Bereich des SAP Berechtigungswesens liegt sein fachlicher Fokus auf den Modulen SAP FI, PS und HCM, hier insbesondere auf der Umsetzung von strukturellen Berech-tigungen.

Gerald Schrott - Diplom Ingenieur • CISAIBS Schreiber GmbH

Gerald Schrott ist seit 1998 im Unternehmen tätig. Er ist qualifizierter Experte für SAP-Prüfungen. Seit Anfang des Jahres 2002 ist er auch als Referent im Bereich der SAP Systemprüfungen tätig, in die er seine Prüferfahrungen einbringt. Durch seine langjährige Tätigkeit in der EDV verfügt er über fundierte Erfahrungen im Bereich der Systemsicherheit.


Arne Westphal ist seit 01.07.2017 bei der FIDES Corporate Finance GmbH, Bremen, (FCF) im Projektmanagement für Finanz- und Rechnungswesen sowie Controlling mit Schwerpunkten in SAP CO/FI und Microsoft Dynamics NAV tätig. Seine fachlichen Schwerpunkte sind Werks- und Investitionscontrolling sowie der Aufbau und die Weiterentwicklung von Management-Reportings und Kennzahlensys-temen.

100


Sicherheit von SAP-Systemen

Risiken beim Einsatz von SAP-Systemen • Manipulation von Unternehmensdaten • Verstoß gegen gesetzliche Vorschriften • Verstöße gegen Funktionstrennungen • Datenklau sensibler Daten • Finanzielle Risiken

Für unsere Prüfungen und Projekte nutzen wir unsere eigenentwickelte Software CheckAud® for SAP Systems, was eine Vollständigkeit der Analysen garantiert und eine hohe Effizienz ermöglicht.

Beratung • Berechtigungsprojekte: Voranalyse / ReDesign / Neu-Implementierung / Berechtigungsoptimierung • Implementierung der SAP GRC-Suite

Prüfung • Prüfung der Systemsicherheit komplexer Systemlandschaften • Berechtigungsprüfungen • Prozessprüfung in den Fachbereichen • Prüfen von SAP HANA

Minimaler Aufwand – hohe Akzeptanz

Wir unterstützen Sie zu allen Themen rund um die SAP-Sicherheit

SAP

Grundlagen

Systemsicherheit

SPGB Führerschein zur Prüfung

von SAP-Systemen

SPBKPrüfung des Berechtigungs-

konzeptes in SAP-Systemen 111

SPSYSystemprüfung von

SAP-Systemen

SPSBBerechtigungsprüfung des

Basismoduls von SAP NetWeaver®

113

SPAGPrüfen der SAP ABAP-Sicherheit nach DSAG

Prüfleitfaden

SPBSPrüfen der SAP ABAP-

Sicherheit nach BSI115114

SPKTPrüfung des Korrektur- und Transportwesens von SAP

Systemlandschaften

SPBCPrüfung der Anwendungs-entw. & des Customizings

in SAP 117

SPPKForensische Methoden in SAP-Systemen und deren

Auswertungen

SPBDGesamtsicherheit von SAP-Systemen durch

alle Schichten 120119

112

116

SPHCHacking von

SAP-Systemen

SPEPPrüfung eines SAP Enterprise Portals

122

SPWFTabellenorientiertes Prüfen

von Integrierten Werte- flüssen in SAP

SPH1Prüfen der SAP HANA Sicherheit

124

123

121

SPH2Prüfen des SAP HANA

Berechtigungskonzeptes125

110

Rechnungswesen

SPFIPrüfung der Finanz-buchhaltung (FI) in

SAP-Systemen

SPFBBerechtigungs prüfung

Finanzbuchhaltung (FI) in SAP-Systemen 127

SPCOPrüfung des Controlling (CO) in SAP-Systemen I

SPCFPrüfung des Controlling

(CO) in SAP-Systemen II129

128126

Empfohlene Seminarfolge – Sicherheit von SAP-Systemen

Logistik

SPMMPrüfung der Materialwirt-

schaft (MM) in SAP-Systemen

SPSDPrüfung des Vertriebs (SD)

in SAP-Systemen131130

Konferenzen

FKSP„Sicherheit und Prüfung

von SAP-Systemen“

CAUDAnwendertagungCheckAud® for SAP-Systems 105104

102

SAP

SPHRPrüfung des Personalwe-

sens (HCM) in SAP-Syste-men

SPHBBerechtigungsprüfung

Personalwesen (HCM) in SAP-Systemen 133132

Personalwesen

Business Intelligence

SPBWPrüfung des SAP Business

Information Warehouse (BW)

SPBVBerechtigungsprüfung

SAP Business Information Warehouse (BW) 137136

Datenschutz

SPDSDatenschutz in SAP-Systemen

SPHMPrüfen der SAP HANA-

Modellierung

SPHDData Analytics mit SAP

HANA

SPHOPrüfen des Organisationsma-nagements und der Struktu-

rellen Berechtigungen

SPHAPrüfen der Ordnungs-

mäßigkeit der Abrechnung in SAP HCM

141

SPKDPrüfung des Zugriffs auf

Kundendaten in SAP-Systemen 139

135

140

134

138

Data Analytics

Spezialseminare

SPHLReporting mit SAP Lumira

SPWKWerkzeugkasten für die

Prüfung von SAP-Systemen

145

143

SPAIAufbau und Implementie-rung eines SAP-Berechti-

gungskonzeptes 147

SPPSProduktschulung

„CheckAud® for SAP Systems“ 149

KSSP1„Prüfen der Sicherheit und

Berechtigungen in SAP-Systemen“ 106

KSSP2 „Prüfen von Geschäfts-

prozessen in SAP-Systemen“ 107

Kompaktseminare

103


Themen wie Cloud, künstliche Intelligenz und Big Data gewinnen auch im SAP-Umfeld immer höhere Priorität. Unternehmen, die den Weg in Richtung Cloud noch nicht eingeschlagen haben, werden in Zukunft vermehrt mit diesem Thema konfrontiert werden. Für Unternehmen, die bereits Szenarien in der Cloud haben, ergeben sich daraus neue Prüfungsansätze bezüglich der Sicherheit der Datenzugriffe und der Datenhaltung. In SAP-Systemen können auf Grund immer besserer Performance, Daten in kürzester Zeit konsolidiert und ausgewertet und immer größere Datenmengen gespeichert werden. Daraus ergeben sich neue, sicherheitsrelevante Punkte, die zu beachten sind:

Folgende Themen stehen im Mittelpunkt unserer Konferenz:

• HANA, S/4 HANA

• SAP-Cloud Betrieb

• Neuerungen in der SAP Security Suite

• EU-DSGVO: Was ist nach dem 25.05.2017

Weitere Themenschwerpunkte erhalten Sie mit der endgültigen Agenda.

In unserer SAP-Fachkonferenz werden Prüfern, Sicherheitsbeauftragten, Datenschützern aber auch fachlich Verantwortlichen an Hand von Praxisbeispielen neue Prüfungsansätze in Bezug auf neue SAP Technologien, Best-Practice -Prüfungsmethoden sowie die Einsatzmöglich-keiten technischer Hilfsmittel für SAP-Prüfungen aufgezeigt. Weiter Infos unter www.ibs-schreiber.de/fksp.

Konferenz „Sicherheit und Prüfung von SAP-Systemen“

20.09. – 21.09.2018

104



Effizienter Einsatz unserer GRC Software CheckAud® for SAP Systems in Unternehmen – IBS lädt jährlich Anwender und Interessenten zur CheckAudience – der Anwendertagung zu CheckAud® for SAP Systems – ein, um einen umfassenden Überblick zu Einsatzszenarien, neuen Funktionen sowie Erfahrungswerten zu erhalten. Während der zweitägigen Veranstaltung stehen Sie als Anwender im Mittelpunkt! Es erwarten Sie neue Ideen sowie Tipps & Tricks, um die Arbeit mit CheckAud® effizient und effektiv zu gestalten. Praxisbeiträge, Workshops und Schul- ungen zu folgenden Themen sind fester Bestandteil der CheckAudience:

• Anwender- und Erfahrungsberichte

• Aktuelle Fachbeiträge zur SAP Sicherheit

• Vorstellung neuer CheckAud® Funktionen und Einsatzmöglichkeiten

• Workshops und Schulungen zu bewährten und neuen Funktionen

• Informationen zu aktuellen Weiterentwicklungen von CheckAud®, Roadmaps und News

Während der gesamten Veranstaltung stehen die Experten von IBS für SAP und IT-Sicherheit sowie unsere CheckAud®-Entwickler für Fragen zur Verfügung. Dabei werden genügend Möglichkeiten für individuelle Gespräche und Erfahrungsaustausch angeboten. Praktische Tipps, Wünsche zur weiteren Entwicklung der Software sowie Austausch mit anderen CheckAud®-Anwendern stehen im Vordergrund. Weitere Infos unter www.ibs-schreiber.de/caud.

CheckAudienceAnwendertagung CheckAud® for SAP Systems

14. - 15.02.2019

105

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


106

KompaktseminarPrüfen der Sicherheit und Berechtigungen in SAP-Systemen(kann als CASAP Vorbereitungskurs gebucht werden)

Die Sicherheit der Geschäftsprozesse und Unterneh-mensdaten in SAP-Systemen hängt maßgeblich auch von der Basissicherheit dieser Systeme ab. Bedingt durch die Komplexität der SAP-Systeme ist großes Know-how zur Prüfung dieser Sicherheit erforderlich.

Ziel dieses praxisorientierten Workshops ist es, den Teilnehmern das erforderliche Wissen für die Prüfung von SAP-Systemen und SAP-Systemlandschaften zu vermitteln. Dies beinhaltet die erforderlichen SAP-in-ternen Tools und Funktionen zur Durchführung von Prüfungen, die Systemsicherheit (Benutzerverwaltung, Entwicklung, Transporte, Protokollierungskomponenten etc.), das Berechtigungskonzept sowie die Prüfaspekte bei Einsatz von SAP HANA bzw. S/4HANA.

Der Teilnehmer ist nach dem Seminar in der Lage, SAP-Systeme umfassend hinsichtlich Sicherheit zu prüfen und die Ergebnisse system- und unternehmens-spezifisch zu bewerten.

Dieses Seminar kann zur Prüfungsvorbereitung für den 1. Teil der Prüfung zum CASAP (Certified Auditor for SAP Systems) genutzt werden („Prüfen der Basis-Si-cherheit in SAP-Systemen“). Zur Vorbereitung auf den 2. Teil der Prüfung („Prüfen der wichtigsten Geschäfts-prozesse in SAP ERP“) dient das Seminar KSSP2 - Prüfen von Geschäftsprozessen in SAP-Systemen.

Grundlagen • Aufbau und Struktur eines SAP®-Systems • Transaktionen, Reports, Tabellen

Berechtigungskonzept• Aufbau des Berechtigungskonzeptes• Kritische Berechtigungen und Berechtigungskom-

binationen• Prüfen des Berechtigungskonzeptes

Systemsicherheit• Absicherung von Systemlandschaften• Systemparameter• Benutzerverwaltung, Standardbenutzer• Schnittstellensicherheit• Absicherung administrativer Tätigkeiten• Absicherung SAP HANA / S/4HANA

Transportwesen• Schutz SAP-Systeme und -Mandanten• Transportwege und –verzeichnisse• Kontrolle der Importvorgänge• Mandantenkopien• Change-Management

Berechtigungskonzept• Tabellenänderungsprotokolle, Änderungsbelege• Systemprotokollierung, Security AuditLog• Traces, Monitortabellen, Statistiken• Manipulationsmöglichkeiten, Absicherung und

Auswertung

Referenten

Seminarcode KSSP1 Anmeldung KSSP1 • Fax: +49 40 696985-31 • [email protected]




MethodenVortrag, Diskussion, Beispiele am Rechner/Beamer, jeder Teilnehmer hat eine eigene Worksta-tion.

34 CPE

r 15.01. – 19.01.2018

r 09.07. – 13.07.2018

Thomas TiedeIBS Schreiber GmbH

Dipl.-Ing.Gerald SchrottCISAIBS Schreiber GmbH

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


107

KompaktseminarPrüfen der Sicherheit und Berechtigungen in SAP-Systemen(kann als CASAP Vorbereitungskurs gebucht werden)

KompaktseminarPrüfen von Geschäftsprozessen in SAP-Systemen(kann als CASAP Vorbereitungskurs gebucht werden)

In SAP ERP werden ein Großteil, wenn nicht sogar alle Unternehmenswerte verwaltet. Daher ist es erforderlich zu prüfen, ob alle Prozesse effizient und effektiv gestaltet sind, ob die Möglichkeiten von SAP ausgeschöpft werden und ob die internen Kontrollen ausreichend sind.

Ziel dieses praxisorientierten Workshops ist es, den Teilnehmern die wichtigsten Grundlagen und Techni-ken zur professionellen Prüfung von Geschäftspro-zessen im SAP ERP zu vermitteln. Der Schwerpunkt liegt hierbei auf dem tabellenorientierten Prüfansatz, der viele Vorteile gegenüber der Nutzung von SAP Standard-Reports aufweist und sich in der Praxis bewährt hat.

Der Teilnehmer ist nach dem Seminar in der Lage, die maßgeblichen Geschäftsprozesse in einem SAP ERP-System zu prüfen und die Ergebnisse unterneh-mensspezifisch zu bewerten.

Dieses Seminar kann zur Prüfungsvorbereitung für den 2. Teil der Prüfung zum CASAP (Certified Auditor for SAP Systems) genutzt werden („Prüfen der wichtigsten Geschäftsprozesse in SAP ERP“). Zur Vorbereitung auf den 1. Teil der Prüfung („Prüfen der Basis-Sicherheit in SAP“) dient das Seminar KSSP1 - Prüfen der Sicherheit und der Berechtigungen in SAP-Systemen.

Tabellenorientierter Prüfansatz• Finden von unbekannten Tabellen• Werkzeuge zum Extrahieren / Weiterverarbeiten

von Tabelleninformationen

Finanzbuchhaltung• Organisationsstrukturen• Stammdaten (Hauptbuch / Nebenbücher)• Belegfluss / Belegprüfungen• Automatisierte Abläufe (Zahl- / Mahnlauf)• Prüfen des Customizing

P2P – Prozess• Stammdaten• Einkaufsprozess, Bestandsführung• Rechnungsprüfung

O2C – Prozess• Stammdaten• Auftragsabwicklung / Fakturierung• Auslieferung

Integrierte Werteflüsse• Datenflussmodell zwischen MM, SD und FI• Prüfen der Werteflüsse zwischen den Modulen

tabellarische Analysen• Abstimmungs- und Abschlussprozesse

Berechtigungen• Erforderliche Berechtigungen zur Prüfung• Kritische Berechtigungen und

Berechtigungskombinationen

Referent

Seminarcode KSSP1 Anmeldung KSSP1 • Fax: +49 40 696985-31 • [email protected] Anmeldung KSSP2 • Fax: +49 40 696985-31 • [email protected] Seminarcode KSSP2

34 CPE

r 22.01. – 26.01.2018

r 16.07. – 20.07.2018







Sie als Prüfer müssen nach den einschlägigen Berufs-standards (ISACA, IIA, DIIR) über eine ausreichende Fachkompetenz in einem Prüffeld verfügen, um dieses mit dem notwendigen Sachverstand prüfen und beurteilen zu können.

Ein wichtiges Instrument zum Nachweis dieser Fachkom-petenz ist die Zertifizierung. IBS hat in Kooperation mit dem unabhängigen, deutschen Berufsverband ISACA Germany Chapter ein Zertifikat entwickelt, um für Sie einen objektiven und angesehenen Qualitätsnachweis Ihrer Fachkenntnis gegenüber Kunden und Arbeitgebern bereitzustellen.

Der Berufsverband ISACA Germany Chapter e.V. hat den CASAP als Nachweis für Ihr prüfer-spezifisches SAP-Wissen in sein anerkanntes Zertifikatsprogramm aufgenommen.

IBS führt seit vielen Jahren auf Prüfer zugeschnittene SAP-Seminare erfolgreich durch und ist in diesem Seg-ment Marktführer im deutschsprachigen Raum.

Wesentlich für den Unternehmenserfolg sind Ordnungs- mäßigkeit und Sicherheit der Geschäftsprozesse und deren Abbildung im SAP-System. Dies bedeutet, dass Prüfungen des SAP-Systems für Revisoren und externe Prüfer obligatorisch sind. Um diese Prüfungen profes-sionell, effektiv und effizient durchführen zu können, ist umfangreiches Fachwissen nötig.

Das Zertifikat dient als Nachweis, dass der Inhaber über die erforderlichen Kenntnisse verfügt, um selbstständig professionelle Prüfungshandlungen zur Beurteilung der Ordnungsmäßigkeit und Sicherheit eines SAP-Systems durchführen zu können.

Ferner ist er in der Lage, die wesentlichen branchenüber-greifenden Geschäftsprozesse in den Modulen FI, MM und SD zu prüfen.

Werden Sie jetzt Certified Auditor for SAP Systems!

Vorbereitungskurse (optional):Kompaktseminar: Prüfen der Sicherheit und Berechtigungen in SAP-Systemen (Seite 106)Kompaktseminar: Prüfen von Geschäftsprozessen in SAP-Systemen (Seite 107)Weitere Informationen und die Anmeldung finden Sie unter: www.ibs-schreiber.de/casap

CASAP Certified Auditor for SAP-Systems

Systemsicherheit

Entwicklung und Transporte

Berechtigungskonzept

Protokollkomponenten

SAP HANA Sicherheit

Tabellenorientiertes Prüfen

Prozesse der Finanzbuchhaltung

Der P2P-Prozess

Der O2C-Prozess

Berechtigungen

SA

P-B

asis

SA

P-G

eschäftsprozesse



CASAP Certified Auditor for SAP Systems

Gültigkeit der Zertifizierung: 5 JahreNach Ablauf der Gültigkeit kann ein Rezertifizierungsprozess durchgeführt werden. Die Zertifizierung (inkl. Prüfung) ist von den Rabattierungen für DIIR- & ISC2-Mitglieder ausgeschlossen. Eine Kooperation der IBS Schreiber und des ISACA Germany Chapter.

Code CASAP Anmeldung CASAP · Fax: +49 40 696985-31 · [email protected]

Name, Vorname: Straße:

E-Mail: PLZ/Ort:

Firma: Telefon:

Abteilung*: ISACA-Mitgliedsnr.*:

*optional

Prüfungstermine 2018:

21. März 2018 12. September 2018

Hotelbuchung:

Empire Riverside Hotel Hafen Hamburg ARCOTEL ONYX

EZ 118 € DZ 129 € EZ 90 € DZ 101 € EZ 116 € DZ 136 €

Anreise: Abreise:

Datum, Ort: Unterschrift:

Veranstaltungsort:IBS Schreiber GmbH

Prüfungsgebühr:490,- € zzgl. MwSt. 400,- € zzgl. MwSt. für ISACA Mitglieder

Prüfungsablauf:Theoretische Prüfung: 90 Minuten60 Fragen 11:00 – 12:30 UhrPraktische Prüfung: 90 Minuten technische Aufgaben 13:30 – 15:00 Uhr

Themenschwerpunkte:

Prüfen der Basissicherheit

Basiswissen

Allgemeine Einführung

Transaktionen

Reporting

Tabellen

Basissicherheit

Transportwesen

Benutzerverwaltung

Protokollierung

Berechtigungen

Aufbau des Berechtigungs- konzepts

Problematik des Berechti- gungskonzepts

Prüfen des Berechtigungs- konzepts

Neue Entwicklungen

SAP HANA

SAP Fraud-Management

Prüfen der Geschäftsprozesse

Finanzbuchhaltung

Geschäftsprozesse

Rechtliche Grundlagen

Aufbau und Datenflüsse

Customizing

Kreditorenbuchhaltung

Debitorenbuchhaltung

Hauptbuch

Automatisierte Abläufe

Abstimmungen und Abschlüsse

Tabellenstruktur

P2P-Prozess

Geschäftsprozess

Customizing

Stammdaten

Einkaufsprozess

Bestandsführung

Rechnungsprüfung

Berechtigungen

O2C-Prozess

Geschäftsprozess

Customizing

Stammdaten

Auftragsabwicklung / Fakturierung

Auslieferung

Berechtigungen


109

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


110

Führerschein zur Prüfung von SAP-Systemen

In diesem Seminar werden die SAP Grundkenntnisse vermittelt, die für Prüfungen unverzichtbar sind. Vorkenntnisse sind für dieses Seminar nicht erforderlich.

Der Teilnehmer bekommt eine umfassende Einführung in SAP-Systeme unter Erklärung der zugehörigen Fachterminologie und erlernt so das Funktionsprinzip und das Zusammenspiel der Systeme. Insbesondere für Einsteiger in die SAP-Prüfung bieten sich hier viele Möglichkeiten, das revisionsspezifische Vorgehen direkt am System praktisch zu erlernen und sofort umzusetzen.

Oberflächenfunktionen und Navigation durch die Menüs sind ebenso Bestandteile dieses Praxisseminars wie Transaktionen und interne Systemstrukturen unter Einbeziehung prüfungsre-levanter Zusammenhänge. Die Einführung in das Reporting und in die Nutzung von Tabellen bieten den Teilnehmern das Rüstzeug für später zu erlernende Prüfungsschritte.

Alle Inhalte werden anhand konkreter Prüfungs-fragestellungen vermittelt, so dass nach diesem Seminar bereits erste konkrete Prüfungen am SAP-System durchgeführt werden können.

Dieses Seminar bildet die Grundlage für unsere weiteren SAP-Seminare.

Einführung• Aufbau und Struktur von SAP-Systemen und

Systemlandschaften• Unterschiede zwischen verschiedenen

Release-Ständen• Anwendungsbereiche und Module• Systemzugang und Kennwortregeln• Benutzereigenschaften• Systemparameter

SAP-Benutzeroberfläche• Navigation im SAP-System• Export von Daten

Transaktionen• Aufrufen von Anwendungen• Namenskonventionen• Ermitteln eines unbekannten Transaktionscodes

Reporting• Wichtige Reports der Standardmodule• Ermitteln eines unbekannten Reportnamens• Risiken des SAP-Reportings

Tabellen• Tabellenstrukturierung und –ansichten• Überblick über prüfungsrelevante Tabellen• Ermitteln eines unbekannten Tabellennamens

Referenten

r 29.01. – 30.01.2018

r 15.03. – 16.03.2018

r 27.08. – 28.08.2018

r 12.11. – 13.11.2018

13 CPE


Sebastian Schreiber IBS Schreiber GmbH

Seminarcode SPGB Anmeldung SPGB • Fax: +49 40 696985-31 • [email protected]





SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


111

Führerschein zur Prüfung von SAP-Systemen Prüfung des Berechtigungskonzeptes in SAP-Systemen

Die Teilnehmer erlernen in diesem Seminar die Funktionsweise des SAP-Berechtigungskonzeptes. Es wird gezielt auf die Möglichkeiten der Berechti-gungsvergabe und die unterschiedlichen Ebenen des Zugriffsschutzes eingegangen.

Die Zusammenhänge in der komplexen Berechti-gungsstruktur sowie die Wirkungsweise vergebener Berechtigungen werden erklärt. Der Teilnehmer wird mit Mitteln und Wegen vertraut gemacht, projekt- begleitend innerhalb der Einführungs- und Customizing-Phase die Implementierung des Berechtigungskonzeptes konstruktiv, aber kritisch zu begleiten.

Darüber hinaus werden Möglichkeiten gezeigt, bereits implementierte Berechtigungen gezielt auf Schwachstellen zu untersuchen. Hierfür werden im Seminar mit relevanten Fragestellungen zweck- mäßige Prüfungen am System durchgespielt, die in der Praxis konkret nachvollzogen werden können.

Alle Themen werden durch praktische Übungen am System vertieft.

Aufbau des Berechtigungs- konzeptes• Rollen und Sammelrollen• Berechtigungsobjekte / Berechtigungen / Profile• Transaktions- und Organisationsberechtigungen

Problematik des SAP Berechtigungskonzeptes• Komplexität und Quantität• Kritische Berechtigungen und Berechtigungskom-

binationen• Fallbeispiele zu unterschiedlichen Modulen

Prüfung von SAP Berechtigungen• Vorgehensweisen bei Berechtigungsprüfungen• Ermittlung kritischer Berechtigungen• Definition und Auswertung kritischer

Berechtigungen• Nutzung der SAP-Standardreports und

-tabellen zur Prüfung• Export von Benutzer- und Berechtigungs-

informationen• Bewertung der Auswertungsergebnisse

Reporting

Referenten

r 19.03. – 20.03.2018

r 10.09. – 11.09.2018

r 22.11. – 23.11.2018

13 CPE


Sebastian Schreiber IBS Schreiber GmbH

Seminarcode SPGB Anmeldung SPGB • Fax: +49 40 696985-31 • [email protected] Anmeldung SPBK • Fax: +49 40 696985-31 • [email protected] Seminarcode SPBK





SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


112

Systemprüfung von SAP-Systemen

Die Sicherheit der Geschäftsprozesse und Unternehmensdaten hängt maßgeblich von der Sicherheit der Systeme ab, in denen die Prozesse abgebildet sind. Dafür existieren gesetzliche Auflagen, technische Anforderungen und unterneh-mensspezifische Vorgaben.

SAP-Systeme bzw. Systemlandschaften sind sehr komplex. Dieses Seminar zeigt die relevanten Komponenten zur Absicherung der Systeme auf und die SAP-internen Tools, die zur Prüfung und Überwachung genutzt werden können. Ein weiterer Schwerpunkt liegt in der Nachvollziehbarkeit von Aktionen im SAP-System. Hierfür ist eine Vielzahl von Protokollen verfügbar.

Natürlich werden auch die (SAP Standard-) Funktionen aufgezeigt, mit denen die Sicherheits- und Protokollmechanismen umgangen werden können sowie die Absicherung dagegen.

Sämtliche Prüfungsansätze werden direkt am System durchgespielt, so dass diese sofort in der Praxis angewandt werden können. Zum Seminar erhalten die Teilnehmer eine Berechtigungsrolle, in der alle erforderlichen (Anzeige-)Berechtigungen zur Durchführung der Prüfungsschritte enthalten sind.

Systemsicherheit• Logische und technische Strukturen einer SAP

Systemlandschaft• Risikobewertung von SAP-Systemen• SAP-Hinweise (Security Patch Day)• Systemparameter• Absicherung von Mandanten / Systemen• Absicherung des Verbuchungsprozesses• Schnittstellen vom / zum SAP-System

Benutzerverwaltung• Aufbau und Auswertung Benutzerstammsatz• Absicherung SAP Standardbenutzer

Anmeldesicherheit• Kennwortkonventionen• Sicherheitsrichtlinien

Protokollierungskomponenten• SysLog, AuditLog, RAL• Versionierung• Änderungsbelege / Tabellenänderungs-

protokolle• Zugriffsstatistik, Anwendungslog

Anwendungsentwicklung• Absicherung Customizing (Tabellenpflege)• Eigenentwicklungen in ABAP• Absicherung der SAP-Systemlandschaft• Gefahrenquellen des Reporting

Referenten

r 26.04. – 27.04.2018

r 17.09. – 18.09.2018

13 CPE


Seminarcode SPSY Anmeldung SPSY • Fax: +49 40 696985-31 • [email protected]






SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


113

Systemprüfung von SAP-Systemen

Seminarcode SPSY Anmeldung SPSY • Fax: +49 40 696985-31 • [email protected]

Berechtigungsprüfung des Basismoduls von SAP NetWeaver®

Die Berechtigungskonzeption eines SAP-Systems ist hinsichtlich der Ausgestaltung sehr komplex. Insbesondere die Zugriffsrechte in der Basis sind auf Grund ihres teilweise sehr technischen Ansatzes und der vielfältigen Möglichkeiten schwierig und nur mit viel Hintergrundwissen zu prüfen.

Dieses Seminar geht detailliert auf die einzelnen kritischen Funktionen des SAP NetWeaver® ABAP Stack ein. Es werden die Funktionen der SAP Basis beleuchtet, die Berechtigungen zur Benutzer- verwaltung, zum Zugriff auf Tabellen sowie die Entwicklerberechtigungen. Dabei wird immer der Bogen über die Mehr-System-Landschaft gespannt, da zum einen die Berechtigungen dieser Benutzer-gruppen sich in den Systemen unterscheiden, zum anderen Funktionstrennungen meist über System-grenzen hinweg eingerichtet werden.

Auswertungsseitig wird sowohl die Sichtweise der berechtigten Benutzer betrachtet als auch die der berechtigten Rollen: Aus letzterer lässt sich u.a. die Qualität des Berechtigungskonzeptes ableiten.

Zu jeder Fragestellung werden konkret die abzufra-genden Transaktionen und Berechtigungsobjekte dargestellt, so dass die Analysen sofort in der Praxis angewandt werden können.

Grundwissen• Customizing-Schalter zur Steuerung der

Berechtigungen• Nutzung der SU24-Funktionalität für

Berechtigungsprüfungen• Berechtigungsprüfungen mit SUIM• Tabellen zur Berechtigungsanalyse

Benutzerverwaltung• Analyse der Berechtigungen zur Benutzer- und

Rollenverwaltung• Funktionstrennungen über Systemgrenzen• Zentrale Benutzerverwaltung

Administrationsberechtigungen• Berechtigungen der SAP Basis für das

Tagesgeschäft• Zugriff auf Betriebssystem und Datenbank• Kritische Berechtigungen der SAP Basis• Konzept der RFC-Berechtigungen• Gesetzeskritische Berechtigungen• Berechtigungen zur Tabellenpflege / -anzeige• Funktionstrennungen (Systemübergreifend)

Entwicklerberechtigungen• Berechtigungen in der 3-System-Landschaft• Entwicklerberechtigungen im Produktivsystem

(Notfall-Szenarien)• Funktionstrennungen bei Transporten• Absicherung von Reporting-Transaktionen

Referenten

r 03.12. – 04.12.2018

13 CPE

Anmeldung SPSB • Fax: +49 40 696985-31 • [email protected] Seminarcode SPSB







SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


114

Prüfen der SAP ABAP-Sicherheit nach DSAG Prüfleitfaden

Die deutschsprachige SAP Anwendergruppe (DSAG) hat im März 2015 einen Prüfleitfaden zu SAP ERP 6.0 (inkl. SAP NetWeaver®) veröffentlicht, der von vielen Unternehmen als Leitfaden sowohl zur Absicherung als auch zur Prüfung ihrer SAP-Systeme genutzt wird.

Der Prüfleitfaden behandelt die wesentlichen Aspekte der Sicherheit zum SAP NetWeaver®. Schwerpunkte sind die Authentisierung und Autorisierung sowie die Systemsicherheit. Der Prüfleitfaden verweist auf Transaktionen, Tabellen und Reports, die für die einzelnen Prüfungen genutzt werden können. Außerdem werden die maßgeblichen Berechtigungsabfragen aufgeführt. Eine Risikoklassifizierung für die einzelnen Prüffelder bietet der Prüfleitfaden allerdings nur bedingt.

Dieses Seminar vermittelt Ihnen das erforderliche Wissen zur Prüfung von SAP-Systemen und SAP Systemlandschaften nach diesem Prüfleitfaden (Kapitel 1 – 6: Sicherheit ABAP-Stack). Die Prüffelder werden in Risikoklassen eingeteilt und die Kontrollroutinen werden im SAP-System durch-gespielt und optimiert. Ein weiterer Schwerpunkt liegt in der Vermittlung von Prüfungsfragestel-lungen, die nicht im Prüfleitfaden enthalten sind. Außerdem werden Änderungen zum aktuellen SAP NetWeaver®-Release aufgezeigt.

Aufbau des Prüfleitfadens• Prüffelder • Risiken und Kontrollziele• Praktische Prüfungshandlungen

Grundwissen zur Nutzung des Prüfleitfadens• Das SAP Berechtigungskonzept• Die Benutzerverwaltung• Das ABAP DataDictionary• Die Programmiersprache ABAP• Erforderliche Prüferberechtigungen

Prüfroutinen• Reporting und Tabellenanzeige• Nutzung des AIS• SAP SOS (Security Optimization Self-Service)

Inhalte des Prüfleitfadens• Identifikation, Authentisierung, Autorisierung• Systemintegrität auf der Anwendungsebene• Software-Change-Management• Ausblick auf Prüfungen im Java-Stack-/

Betriebssystem- / Datenbank-Umfeld

Ergänzungen zum Prüfleitfaden• Risikoklassifizierung der Prüffelder • Optimierung der Abfragen• Fehlende Abfragen• Änderungen zum aktuellen NetWeaver®-Release

Referent

r 28.06. – 29.06.2018

13 CPE

Seminarcode SPAG Anmeldung SPAG • Fax: +49 40 696985-31 • [email protected]






SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


115

Prüfen der SAP ABAP-Sicherheit nach DSAG Prüfleitfaden

Seminarcode SPAG Anmeldung SPAG • Fax: +49 40 696985-31 • [email protected]

Prüfen der SAP ABAP-Sicherheit nach BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2005 einen IT-Grund-schutz-Baustein zu SAP-Systemen (B5.13; letzte Änderung in 2009) veröffentlicht, der häufig als Grundlage zur Absicherung von SAP-Systemen herangezogen wird.

Wie alle Bausteine des IT Grundschutz-Kataloges ist der Baustein aufgeteilt in „Gefährdungslage“ und „Maßnahmenempfehlungen“. Die Gefahren sind größtenteils allgemein gehalten, die Maßnahmen zumeist SAP-spezifisch. Die Maßnahmen enthalten wenig detaillierte Beschreibungen, so dass die Prüfung der Umsetzung ein profundes SAP-Wissen voraussetzt.

Dieses Seminar vermittelt das erforderliche Wissen zur Prüfung der SAP-Sicherheit nach BSI Grundschutz. Nach einer Einführung in den grundsätzlichen Aufbau der Bausteine des IT Grundschutz-Kataloges werden die einzelnen Maßnahmen betrachtet und die erfor-derlichen konkreten Prüfungshandlungen im System aufgezeigt. Außerdem erfahren Sie, was zusätzlich an Prüfungen durchgeführt werden sollte, um ein Thema zu vervollständigen. Da SAP-Systeme häufigen Updates unterliegen, wird das Delta zum aktuellen NetWeaver®-Release aufgezeigt.

Der Prüfer wird durch dieses Seminar in die Lage versetzt, die SAP-Sicherheit nach BSI Grundschutz zu prüfen.

Aufbau des Bausteins B5.13• Struktur des BSI Grundschutzkataloges• Gefahren und Maßnahmen• Verknüpfungen zu anderen Bausteinen

Grundwissen zur Nutzung des Bausteins• Das SAP Berechtigungskonzept• Die Benutzerverwaltung• Das ABAP DataDictionary• Die Programmiersprache ABAP• Erforderliche Prüferberechtigungen

Prüfroutinen• Reporting und Tabellenanzeige• Nutzung des AIS• SAP Security Optimization Self-Service

Inhalte des Bausteins• Planung und Konzeption des Einsatzes von

SAP-Systemen• Technische Umsetzung der SAP Sicherheit• Sicherheit im laufenden Betrieb der

SAP-Systeme• Aussonderung und Notfallvorsorge

Ergänzungen zum Baustein• Detaillierung der Maßnahmen• Abbildung konkreter Prüfungsroutinen• Weitere sicherheitsrelevante Inhalte• Änderungen zum aktuellen NetWeaver®-Release

Referent

r 18.06. – 19.06.2018

13 CPE

Anmeldung SPBS • Fax: +49 40 696985-31 • [email protected] Seminarcode SPBS






SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


116

Prüfung des Korrektur- und Transportwesens von SAP Systemlandschaften

Das Korrektur- und Transportwesen (KTW) von SAP stellt die Grundlage für die Software-Logistik des Kunden dar. Durch das KTW werden die Transporte aus dem Entwicklungssystem ins Qualitätssicherungs- und Produktivsystem gesteuert.

Hierbei sind Rollenverteilungen und die nachgela-gerten Kontrollen der Importe ins Produktivsystem besonders sicherheitsrelevante Vorgänge. Angriffe auf das System sind besonders leicht möglich, wenn es gelingt, manipulierte Programme in das entsprechende System zu importieren.

Dieses Seminar vermittelt das notwendige Wissen über den gesamten Transportprozess, die Risiken und die Auswertungsmöglichkeiten für Prüfungen. Dabei wird auch auf den Einsatz eines Java-Stacks oder eines Solution Managers eingegangen.

Ergänzend hierzu wird die Notwendigkeit von organisatorischen Vorgaben und deren Kontrolle zu einem Antragsverfahren erläutert.

SAP-Systemlandschaften• Mögliche SAP-Systemlandschaften• Entwicklungs-, Test- und Freigabemandanten• Schutz der verschiedenen SAP-Systeme und

Mandanten• Test- und Freigabeverfahren

Transportwege• Organisation und Schutz der Transportwege• Zugriffsberechtigungen auf die Transport-

verzeichnisse• Automatische und manuelle Transporte

Rollentrennungen beim Transportprozess• Entwicklung, Qualitätssicherung, Administration• Zugriffsberechtigungen der einzelnen Rollen• Funktionstrennungen• Das Transport Management System (TMS)• Konfiguration des TMS• Transportprotokolle• Das QA-Genehmigungsverfahren• Mandantenkopien

Kontrolle der Importvorgänge

Referent

r 17.05. – 18.05.2018

13 CPE

Seminarcode SPKT Anmeldung SPKT • Fax: +49 40 696985-31 • [email protected]






SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


117

Prüfung der Anwendungsentwicklung und des Customizings in SAP-Systemen

Das Basis-Modul ist in seinen Leistungsmerkmalen und Funktionalitäten gekennzeichnet durch sehr komplexe Strukturen. Daraus resultiert eine hohe Anforderung an den Prüfer. In diesem Seminar werden Ihnen erforderliche Kenntnisse hinsichtlich der Prüfungsanforderungen im Bereich der Anwen-dungsentwicklung und des Customizings vermittelt. Insbesondere diese beiden komplexen Themen bieten ein hohes Potential sowohl für Entwicklungs-fehler als auch für dolose Handlungen.

Ein weiterer wichtiger Themenschwerpunkt ist die Archivierung. Hierbei sind neben den technischen Aspekten auch die verschiedenen gesetzlichen Vorschriften hinsichtlich der Aufbewahrungsfristen zu beachten.

Anhand praktisch vollzogener Prüfungshandlungen werden Sie mit dem nötigen Wissen ausgestattet, um die Basissicherheit für die benannten Bereiche zu verproben. Dieses Seminar ist gekennzeichnet durch die Erläuterung zugehöriger Ordnungsmäßig-keitsvorgaben unter Berücksichtigung gesetzlicher Anforderungen für den Bereich Basis.

Anwendungsentwicklung• Nutzung der SAP Entwickler-Tools für Prüfungen• Sicherheit in der ABAP Programmierung• Analyse von ABAP-Quelltexten• Gefahrenquellen von Funktionsbausteinen• Remote Function Call – Funktionsweise

und Gefahrenpotential (Neuerungen in SAP NetWeaver® 7.5)

• Programmversionierung und Aufbewahrungspflichten

• Notfallkonzepte im Bereich der Programmierung und des Customizing

• Test- und Freigabestrategien für Eigenentwicklungen

• Ordnungsmäßigkeitsvorgaben / Richtlinien• Dokumentation

Customizing• Tabellen und Views• Implementation Guide (Einführungsleitfaden)• Protokollierungskomponenten für

das Customizing• Test- und Freigabestrategien für das Customizing

Archivierung• Backup-Strategien• Archivierungsobjekte• Archivierungssysteme

Referent

r 08.11. – 09.11.2018

13 CPE

Anmeldung SPBC • Fax: +49 40 696985-31 • [email protected] Seminarcode SPBC






Prüfung des Korrektur- und Transportwesens von SAP Systemlandschaften

Seminarcode SPKT Anmeldung SPKT • Fax: +49 40 696985-31 • [email protected]

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


118

Forensische Methoden in SAP-Systemen und deren Auswertungen

Wirtschaftskriminalität findet zum großen Teil in den ERP-Systemen statt. Dort sind zum einen die sensiblen Unternehmensdaten abgelegt, zum anderen sind dort alle maßgeblichen Unternehmens-prozesse abgebildet. Risiken liegen hierbei nicht nur auf finanziellen Schäden, sondern auch auf einem Know-how-Abzug, dem Diebstahl von Kunden- / Lieferantendaten sowie dem Diebstahl weiterer sensibler Daten, welche die Unternehmens- reputation gefährden können.

In SAP-Systemen wird eine Vielzahl von Protokollen mitgeschrieben, mit denen Eindringversuche und Fraud-Delikte nachvollzogen werden können. Protokolle werden sowohl für technische Vorgänge geschrieben (z.B. Systemvorgänge, Entwicklungen etc.) als auch für die Geschäftsprozesse. Optional können auch noch zusätzliche Protokolle aktiviert werden, bis hin zur Protokollierung von lesenden Zugriffen.

Dieses Seminar stellt die verfügbaren Auswer- tungen, Protokolle und Traces vor, die für forensische Analysen genutzt werden können. Es zeigt methodische Vorgehensweisen auf, wie bei solchen Analysen in SAP-Systemen vorzugehen ist. Anhand konkreter Fallbeispiele werden Szenarien durchgespielt, um Defraudanten „auf die Schliche“ zu kommen.

Forensik in SAP-Systemen• Aufbau von SAP-Systemlandschaften aus Sicht

der Nachvollziehbarkeit von Aktionen• Effiziente forensischen Methoden für

Auswertungen in SAP-Systemen• Beweissicherung

Analyse von Geschäftsprozessen• Änderungen von Stamm- und Bewegungsdaten• Änderungen an Customizing-Einstellungen• Änderungsbelege, Tabellenänderungsprotokolle

und modulspezifische Aufzeichnungsverfahren

Technische Protokolle• SysLog, AuditLog, Anwendungslog• Versionierung der Entwicklungsumgebung• Zugriffsstatistik, Monitoring-Tabellen, RAL• Benutzer- und Berechtigungsverwaltung• Konfiguration optionaler Protokolle• Welche Protokolle in welchem SAP-System?

Manipulationen an Protokollen• Methoden für Manipulationen• Absicherung und Aufdeckung

Fallbeispiele• Aufdeckung von Hacking-Szenarien• Aufdeckung von Fraud-Delikten

Referent

13 CPE

Seminarcode SPPK Ameldung SPPK• Fax: +49 40 696985-31 • [email protected]






r 19.04. – 20.04.2018

r 08.10. – 09.10.2018

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


119

Forensische Methoden in SAP-Systemen und deren Auswertungen

Gesamtsicherheit von SAP-Systemen durch alle Schichten

Jedes IT-System ist ein vielschichtiges, hierarchisch aufgebautes Gebilde bestehend aus mehreren Ebenen, wie zum Beispiel die Betriebs- oder Netzwerkebene.

Schutz vor unbefugtem Datenzugriff kann i.d.R. in jeder dieser Schichten eingerichtet werden, wobei die tatsächliche Sicherheit dieser Mechanismen von oben nach unten hin zunimmt. Ein SAP- Server darf z. B. nicht nur aus der Sicht von SAP gesehen werden. Das System verfügt zwar über einen komplexen Zugriffsmechanismus, der jedoch wirkungslos bleibt, wenn unter Umgehung der Appli-kationsebene (SAP) direkt über die Datenbank- oder Betriebssystemebene Daten kopiert und manipuliert werden können.

Es werden im Seminar die Schwachstellen und Zugriffsmöglichkeiten der Transportebene, der Netzwerkinfrastruktur, der Betriebssysteme (Unix, Linux und Windows) und der Datenbanken betrachtet und deren Risiken für eine Gesamtsicherheit analysiert und bewertet.

Themen dieses Seminars sind u. a. die Kriterien und Vorgaben für den Aufbau und die Prüfung von Zugriffsberechtigungen im Gesamtsystem sowie Überwachungs- und Prüfungsmöglichkeiten.

Strukturierte Checklisten gewährleisten eine zielgerichtete und definierte Vorgehensweise.

Zugriffsberechtigungen• Windows, Unix (Betriebssystemebene)• TCP / IP (Netzwerkebene)• Oracle (Datenbankebene)• SAP (Applikationsebene)

SAP – Client/Server-Umgebung• Schwachstellen in einer Unix-Umgebung• Sicherheitsmechanismen der C / S-Umgebung• Konzept der Zugriffsberechtigungen auf die

SAP- und Datenbank-Dateien• Protokollierungskomponenten in SAP,

Windows und Unix• SAP und Oracle-Datenbank

Sicherheitsstrategien• Kriterien zur Planung und Realisierung einer

Gesamt-Zugriffs-Konzeption• Aufbau einer Gesamt-Zugriffs-Konzeption

Einsatz von Tools• Tools für die Prüfung der Infrastruktur

Checklisten• Festlegung der Vorgehensweise• Gesamtbetrachtung der Risiken

Referenten

r 16.04. – 17.04.2018

13 CPE

Anmeldung SPBD • Fax: +49 40 696985-31 • [email protected] Seminarcode SPBD







SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


120

Hacking von SAP-Systemen

Die Prüfung des Berechtigungskonzeptes in SAP-Systemen ist zwar notwendig, aber nicht hinreichend für eine Aussage über die Sicherheit der Daten des SAP-Systems. Ein SAP-System als Applikation ist auf einem Betriebssystem installiert, verwaltet die Daten in einer Datenbank und kommuniziert mit anderen SAP-Systemen über Standardschnittstellen (RFC).

Schwachstellen im SAP-System, in der Konfiguration des Betriebssystems, der Netzwerk-kommunikationen und auch der Datenbanken ermöglichen es, schnell an den gesamten Datenbestand zu gelangen.

In diesem Seminar werden praktisch gängige Methoden zur Umgehung des Passwortschutzes im SAP-System, Hacking der SAP-Passwörter, Mitlesen der Kommunikationen zwischen SAP und Datenbank von den Teilnehmern analysiert.

Der Einsatz von Tools zeigt den Teilnehmern, wie Passwörter eines SAP-Systems oder einer Oracle-Datenbank ermittelt werden können. Aber auch Lösungen zur Absicherung und Kontrolle dieser Lücken werden vermittelt. Hierdurch können die Teilnehmer zukünftig auch die unteren Schichten des SAP-Systems prüfen, bewerten und Sicherheitsmaßnahmen empfehlen. Prüflisten und Checklisten gewährleisten dazu eine strukturierte Vorgehensweise.

SAP- Kommunikation • Analyse des SAP DIAG-Protokolls• Manipulation des SAP-Datenstroms

Datenbank-Manipulation• Hacken von Datenbanken und Passwörtern• Sicherung der Kommunikation in den

unteren Schichten• Kriterien zur Planung und Realisierung einer

Zugriffs-Konzeption

SAP und Web-Sicherheit• Java Portal• SAP NetWeaver® Applicationserver

Hacking von SAP-Passwörtern• Bildung und Manipulation von Hashwerten• Passwort Recovery Tools• Zugriff auf die Tabellen mit Kennwort-Hashwerten

SAP-Manipulation• Gefahren bei Remote Function Call (RFC)• Manipulationen über RFC• Manipulationsmöglichkeiten im ABAP Stack• Logging und Überwachung

Referenten

r 14.06. – 15.06.2018

r 26.11. – 27.11.2018

13 CPE

Seminarcode SPHC Anmeldung SPHC• Fax: +49 40 696985-31 • [email protected]







SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


121

Hacking von SAP-Systemen Prüfung eines SAP Enterprise Portals

Im Rahmen der Nutzung (system-)integrativer Geschäftsprozesse ist es erforderlich, den Anwendern die Applikationen über das Internet zur Verfügung zu stellen. Dies erfolgt über ein Portal, welches mit den darunterliegenden Applikationen kommuniziert. Ein häufig genutztes Produkt ist das SAP EP (Enterprise Portal), mit dem u.a. auch die SAP-Systeme angebunden werden, in denen die Unternehmensdaten verwaltet werden.

Statt der klassischen Themen der Netzwerk- und Firewall-Sicherheit wird in diesem Seminar auf die SAP-spezifischen Problematiken eingegangen, die sich aus Prüfersicht aus dieser offenen System-architektur ergeben.

Dieses Seminar macht den Prüfer mit dem Aufbau eines SAP Enterprise Portals vertraut und zeigt die damit verbundenen Prüfungsansätze und Prüfungs-möglichkeiten auf. Es wird erläutert, wie ein SAP EP technisch aufgebaut ist und welche Möglichkeiten ein Prüfer hat, diese Strukturen zu prüfen.

Ein weiterer wichtiger Punkt für die Prüfung ist na-türlich die Vergabe von Berechtigungen im SAP EP über die UME (User Management Engine). Hier werden die Verknüpfungen und die Prüfungs-möglichkeiten aufgezeigt. Die Nachvoll zieh barkeit von Änderungen und Aktionen über Logs stellt einen weiteren Schwerpunkt dar.

Integration von SAP-Anwendungen• Web Content Management• Portal Content Directory• Portal Framework

Content Objekte• Ordner, Seiten• iViews• Worksets• Rollen, Gruppen

Anbindung des SAP EP an die UME

Benutzerverwaltung• Portal-Berechtigungskonzept• Authentication Schemes

Single-Sign-On• Cookies und deren Gefahren• Absicherung

Logging / Monitoring• Log Viewer• Log Dateien auf Betriebssysteme

Security Konfiguration• http vs. https• Security Zones• Sicherheit im Betriebssystem

Tools

Referent

13 CPE

Anmeldung SPEP • Fax: +49 40 696985-31 • [email protected] Seminarcode SPEP






r 01.03. – 02.03.2018

r 22.10. – 23.10.2018

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


122

Prüfen der SAP HANA Sicherheit

Mit der Datenbank HANA hat SAP eine neue Technologie geschaffen, die auch neue Sicherheits- aspekte mit sich bringt. War in der „alten“ SAP-Welt die Anwendung streng von der Datenbank getrennt, so verschmilzt dies in der HANA-Welt. Direkte Zugriffe auf die Datenbank, und damit auf die Unternehmensdaten, sind nicht nur möglich, sondern auch „Standard“.

Die In-Memory-Technologie und die spaltenorientierte Speicherung der Daten sorgen für einen großen Geschwindigkeitsvorteil. Dadurch bedingt können OLTP-Systeme (Online Transaction Processing) wie SAP ERP und OLAP-Systeme (Online Analytical Processing) wie SAP BW zusammengeführt werden. Die Systemlandschaft „schrumpft“, die Sicherheitsanforderungen steigen auf Grund der Zusammenführung verschiedener Prozesse in einem System.

Die Sicherheitsaspekte einer SAP Datenbank waren bisher überschaubar, da nur eine kleine Gruppe von Datenbankadministratoren Zugriff darauf hatte. Da bei SAP HANA auch Endanwender und Entwickler direkt in der Datenbank arbeiten, ist sie vom Sicherheitsaspekt her genauso zu betrachten wie die SAP Anwendungsebene. Dieses Seminar zeigt die Sicherheitsaspekte auf und wie sie analysiert und abgesichert werden können.

Aufbau SAP HANA• In-Memory-Technologie• Technischer Aufbau SAP HANA• Datenstrukturen in SAP HANA

Systemsicherheit• Netzwerk- / Kommunikationssicherheit• Absicherung auf Betriebssystemebene• Administrative Tools / Monitoring Tools• Auditing-Tools• Schnittstellen von / zu SAP HANA

Anmeldesicherheit• Authentifizierungsmethoden• Kennwortrichtlinien

Zugriff auf Daten• Anbindungen: ABAP, HANA-Tools,

SQL-Treiber, MS Excel• Funktionen zum Zugriff auf Daten• Export von Daten

Entwicklungen in SAP HANA• Absicherung der Entwicklungsumgebung• Entwickler-Tools / SAP HANA Studio• Transporte

Prüfen in SAP HANA• Standard-Tools für Prüfungen• Berechtigungen zur Prüfung in SAP HANA• Checklisten zur Prüfung

Referent

13 CPE

Seminarcode SPH1 Anmeldung SPH1 • Fax: +49 40 696985-31 • [email protected]





r 04.06. – 05.06.2018

r 18.10. – 19.10.2018


SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


123

Prüfen des SAP HANA Berechtigungskonzeptes

Mit der Nutzung der SAP HANA-Datenbank wird das bisherige Konzept der Benutzerberechtigungen erweitert. Bisher hatten die Enduser ausschließlich Berechtigungen auf der Applikationsebene. Mit SAP HANA ist es möglich, dass sie auch direkt in der Datenbank arbeiten können, um die Performance- Vorteile für Auswertungen voll auszuschöpfen. Dies bedeutet gleichzeitig, dass auch Entwickler in SAP HANA tätig werden, um die Anwendungen dort zu entwickeln. Daher muss die HANA-Datenbank als Applikation betrachtet werden, nicht als reine Datenbank, auf die „nur ein paar Administratoren“ Zugriff haben.

In SAP HANA existieren Benutzer, Rollen und Privilegien. Privilegien können in Rollen zusammengefasst und Benutzern zugeordnet werden. Sie können allerdings auch Benutzern direkt zugeordnet werden. Die Analyse von Berechti-gungen erfolgt nicht, wie in ABAP, über vordefinierte Reports. Sie müssen explizit mit SQL-Statements abgefragt werden.

Dieses Seminar erläutert die Funktionsweise des SAP HANA Berechtigungskonzeptes und vermittelt das erforderliche Know-how zur Prüfung und Überwachung der Berechtigungen. Des Weiteren werden auch die Protokollmechanismen und die Trace-Funktionen aufgezeigt.

SAP HANA• Anbindung an den ABAP-Stack• Zugriffsmöglichkeiten vom Betriebssystem• Berechtigungen im Betriebssystem

Benutzerverwaltung• Standardbenutzer in SAP HANA• Verwaltung der SAP HANA-Benutzer• Berechtigungen zur Benutzerverwaltung• Protokollierung der Benutzerverwaltung

Anmeldesicherheit• Verwaltung der Kennwörter• Kennwortrichtlinien

SAP HANA Berechtigungskonzept• Aufbau des HANA Berechtigungskonzeptes• Katalog- / Repository-Rollen• Privilegien (System / Object / Analytic /

Package / Application)• Standard-Privilegien / -Rollen• Kritische Systemberechtigungen

(Administrations- / Entwicklerberechtigungen)Berechtigungen für Enduser

Prüfen der Berechtigungen• Berechtigungen in SAP HANA für Prüfer• Nutzung von HANA Standard-Views• Prüfung mit externen Tools• Standard-Berechtigungsabfragen-Katalog• Berechtigungs-Trace

Referent

13 CPE

Anmeldung SPH2 • Fax: +49 40 696985-31 • [email protected] Seminarcode SPH2





Prüfen der SAP HANA Sicherheit

Seminarcode SPH1 Anmeldung SPH1 • Fax: +49 40 696985-31 • [email protected]


r 14.06. – 15.06.2018

r 29.11. – 30.11.2018

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


124

Prüfung der Finanzbuchhaltung (FI) in SAP-Systemen

Zielsetzung dieses Seminars ist die erfolgreiche Vorbereitung der Teilnehmer auf eine Prüfung des SAP-Moduls FI.

Nach einer Einführung in die verschiedenen Teilkomponenten werden die systemeigenen Möglichkeiten und Mittel vorgestellt, die für eine erfolgreiche Prüfung des Rechnungswesens vorhanden sind.

Die Darstellung der Datenstrukturen und Datenflüsse ermöglicht das Erkennen von Risiken im eigenen Geschäftsfeld.

Am Ende des Workshops sind die Teilnehmer in der Lage, selbstständig mit den für sie geeigneten Mitteln eine Prüfung des Moduls FI am System durchzuführen.

Neben Richtlinien und Verordnungen, die dabei eine eklatante Rolle spielen, lernen die Teilnehmer wesentliche Moduleigenschaften, interne Systemabläufe und das von SAP zur Verfügung gestellte Prüfungswerkzeug sowie gezielte Prüfungsansätze kennen.

Des Weiteren werden mögliche Lücken des Internen Kontrollsystems (IKS), die innerhalb der Finanz-buchhaltung auftreten können, aufgezeigt, nebst Präventiv- und Troubleshooting-Maßnahmen, mit denen diese zu minimieren sind.

Rechtliche Grundlagen

Aufbau und Datenflüsse• Organisationsstruktur• Datenaufbau (Stammdaten / Bewegungsdaten)• Datenfluss• Abbildung buchhalterischer Abläufe im

SAP-System

Protokollierung der Rechnungs- legungsrelevanten Daten• Änderungsbelege• Tabellenänderungsprotokolle• Prüfung der ordnungsgemäßen Konfiguration• Analyse der Protokolle

Modul FI• Kreditoren und Zahllauf• Debitoren und Mahnwesen• Sachkonten• CpD-Konten• Prüfung auf Auffälligkeiten und Datenqualität

Prüfprozeduren• Wesentliche Tabellen• Namenskonvention• Auswertungsmöglichkeiten mit SAP-Mitteln• Standardreports inkl. Reportmodifizierungen• Auswahl prüfungsrelevanter Ansätze

Referent

13 CPE

Seminarcode SPFI Anmeldung SPFI • Fax: +49 40 696985-31 • [email protected]






r 05.03. – 06.03.2018

r 18.06. – 19.06.2018

r 10.10. – 11.10.2018

WWW.BOORBERG.DE


Titelfoto: © Thomas Tiede

TIEDE

Ordnungsmäßigkeit und Prüfung des SAP-Systems (OPSAP)

3. Aufl age

TIE

DE

O

rdnu

ngsm

äßig

keit

und

Prü

fung

des

SA

P-S

yste

ms

(OP

SA

P)

3. A

ufl

age Das Standardwerk

zur Sicherheit von SAP-Systemen.

Ordnungsmäßigkeit und Prüfung des SAP-Systems (OPSAP)von Thomas Tiede

2014, 3. Auflage, 936 Seiten, € 98,–

ISBN 978-3-415-04172-1

Die dritte Aufl age lehnt sich im Aufbau an die erfolgreiche zweite Aufl age an: Der Autor erläu-tert die einzelnen Fragen stets substantiiert und aus der Sicherheitsperspektive. Der Leser fi ndet in jedem Kapitel umfassende Checklisten inklu-sive Risikobewertung und Ordnungsmäßigkeits-vorgaben sowie ausführliche Anleitungen zur praktischen Prüfung der einzelnen Punkte. Den Abschluss jedes Kapitels bilden QuickWins, die wichtigsten Fragestellungen.

Aus dem Inhalt: � Konfi guration und Prüfung der System-sicherheit

� Absicherung und Prüfung der Benutzer- und Berechtigungsverwaltung

� Berechtigungen und Protokollierung im Customizing

� Absicherung und Prüfung des Transport-wesens und der Entwicklungsumgebung

Sämtliche Inhalte sind angepasst an die SAP Release-Stände NetWeaver 7.0 bis 7.4 und um deren Neuerungen erweitert. Jedes Kapitel ist in sich geschlossen und für sich verständlich. Das Handbuch kann deshalb gezielt für das jeweilige Prüfungsthema genutzt werden.

Leseprobe unter www.boorberg.de/alias/98495

Prüfung der Finanzbuchhaltung (FI) in SAP-Systemen

Seminarcode SPFI Anmeldung SPFI • Fax: +49 40 696985-31 • [email protected]

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


126

Berechtigungsprüfung der Finanzbuchhaltung (FI) in SAP-Systemen

Die Berechtigungskonzeption eines SAP-Systems ist hinsichtlich der Ausgestaltung sehr komplex. Die Grundzüge werden im Seminar SPBK vermittelt und werden in diesem Seminar vorausgesetzt.

Dieses QuickLearn-Seminar baut auf dem Seminar SPFI auf. Relevante Fragestellungen, die für eine Prüfung der Berechtigungskonzeption von SAP innerhalb der Finanzbuchhaltung notwendig sind, werden erläutert.

Es werden die wichtigsten Berechtigungsobjekte herausgearbeitet und deren Bedeutung und Verwendung untersucht.

Im Rahmen dieses Seminars wird auf Funktions-trennungen innerhalb der Fachabteilung sowie potentielle schnittstellenübergreifende Konzeptionen eingegangen.

Durch praxisorientierte Prüfungsaufgaben werden in diesem Seminar direkt am SAP-System verschiedene Prüfungsschritte nachgestellt.

Des Weiteren werden prüfungsrelevante Customizing-Einstellungen vermittelt, die Auswir-kungen auf die Benutzerberechtigungen haben.

Die Zielsetzung dieses Seminars ist die praktische Berechtigungsprüfung der Finanzbuchhaltung und die Bewertung der produktiven Ausgestaltung.

Spezifikation der Berechtigungs- konzeption für die Finanzbuchhaltung• Berechtigungsobjekte der Finanzbuchhaltung• Erläuterung des Einsatzes beteiligter

Berechtigungsobjekte• Komplexität und Quantitäten• Relation Transaktion - Berechtigungsobjekt• Verwendungsnachweise

Customizing der Berechtigungs- prüfung im Modul FI

Berechtigungsvergabe• Einsatz von 4-Augen-Prinzipien• Kritische Berechtigungen und ihre Kombination• Prüfen kritischer Berechtigungen und kritischer

Kombinationen• Prüfung auf Einhaltung von Funktionstrennungen• Bewertung von Umsetzungsmaßnahmen

Prüfung und Dokumentation• Erstellung eines Prüfleitfadens zur Berechti-

gungskonzeption der Finanzbuchhaltung• Aufzeigen von möglichen Lücken im Internen

Kontrollsystem (IKS)• Abbildung der Prüfungstätigkeit• Auswertungsmöglichkeiten mit SAP Standard-

reports und Tabellen

Referent

7 CPE

Anmeldung SPFB Seminarcode SPFB• Fax: +49 40 696985-31 • [email protected]


Dauer: 1 Tag1. Tag: 09:00 – 16:00 Uhr




r 07.03.2018

r 20.06.2018

r 12.10.2018

QuickLearn

Anmeldung SPWF • Fax: +49 40 696985-31 • [email protected] Seminarcode SPWF

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


127

Berechtigungsprüfung der Finanzbuchhaltung (FI) in SAP-Systemen

Tabellenorientiertes Prüfen von integrierten Werteflüssen in SAP

Wenn Datenanalysen durch Einsatz von Trans- aktionen und Reports durchgeführt werden, arbeitet man bereits auf von SAP verarbeiteten Daten, die u. U. schon aggregiert sind.

Wenn man auf der Grundlage der Tabellen arbeitet, ist man nicht in den datenanalytischen Frage- stellungen beschränkt.

Durch Auswahl und Verknüpfen der richtigen Tabellen kann ein Geschäftsprozess vollständig abgebildet werden. Dies ist mit einzelnen Transak- tionen und Reports nicht möglich.

Ziel des Workshops ist es, den Teilnehmern die nötigen Grundlagen zu vermitteln, auch modulüber-greifende Prozesse in SAP prüfen zu können.

Daher lernen die Teilnehmer im ersten Teil die wichtigsten SAP-Werkzeuge dieser Prüftechnik kennen. Ferner erhalten die Teilnehmer, im Gegen-satz zu unseren modulspezifischen Workshops, am Beispiel des Beschaffungsprozesses - inkl. der sich anschließenden Finanzbuchhaltung - einen Überblick, wie Werteflüsse in einem SAP-System geprüft werden können.

Die Analysen werden innerhalb von SAP oder durch ein externes Analysetool (MS-Access, IDEA) durch-geführt.

Rechtliche Grundlagen• HGB, AO, GoBD, • BDSG, EU-DSGVO• Problematik der Pseudonymisierung

Wichtige Werkzeuge für den Prüfer• Anzeige und Export von Tabellen• Verknüpfen von Tabellen (SE16H, QuickViewer)• Suchen von Texten in Tabellenfeldern (SE16S)• Tabellenbezogene Suche von prüfungsrelevanten Daten (Wie finde ich die richtige Tabelle?)

Analyse von Verlaufsinformationen (Protokollierung)• Tabellenänderungsprotokolle• Änderungsbelege

Beschaffungsprozess• Prozess-Modell• Datenstrukturen und deren Verknüpfung• Lösung des Problems der verschiedenen Beleg nummernkreise im Beschaffungsprozess• Werteflussanalysen am Beispiel der Bewertungs klassen und der Preisfindung

Finanzbuchhaltung• Datenstrukturen und deren Verknüpfung• Abstimmung zwischen MM und FI

Referent

r 07.05. – 08.05.2018

13 CPE

Anmeldung SPWF • Fax: +49 40 696985-31 • [email protected] Seminarcode SPWF





inkl.

IBS-Prüfmanual


SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


128

Anmeldung SPCF • Fax: +49 40 696985-31 • [email protected] Seminarcode SPCF

Prüfung des Controlling (CO) in SAP-Systemen I

Voraussetzung für ein wirkungsvolles Controlling sind leistungsfähige Informationssysteme. SAP stellt zur Abbildung von Kostenrechnungsverfahren des Gemeinkosten-Controllings die Komponente Controlling (CO) zur Verfügung.

Bei der Abbildung der Kostenflüsse und Reporting prozesse sind zur Sicherstellung von Governance und Compliance zunehmend Entwick lungs tendenzen feststellbar, die erhöhte An forderun gen an die Abschlusserstellung stellen und die Bedeutung der Controlling-Funktionalitäten bei der Unternehmensberichterstattung stärker gewichten.

Das Seminar vermittelt vor diesem Hintergrund den grundlegenden Funktionsumfang und die damit verbundenen Prüfungsmöglichkeiten der Kom ponente CO. Die Prüfung integrativer Funktionen und die Analyse von Verrechnungs- prozessen werden in gemeinsamen Übungen verdeutlicht.

Am Ende des Seminars sind den Teilnehmern die wesentlichen prüfungsrelevanten Prozess- abläufe der Komponente CO bekannt, so dass unternehmensspezifische Prüfungsansätze im Gemein kosten-Controlling entwickelt werden können.

Überblick Controlling• Aufbau und Architektur des Moduls CO• Grundlagen des Gemeinkosten-Controllings• Bedeutung unterschiedlicher CO-Kontierungs-

objekte

Modulinterne und übergreifende Prozessabläufe• Überblick wesentlicher primärer und

sekundärer Kostenflüsse• Prüfung von Abrechnungs- und

Verrechnungsprozessen• Funktionsumfang Obligoverwaltung,

Budgetverwaltung und Verfügbarkeitskontrolle

Reporting • Einsatz des CO Informationssystems• Erstellung eigener Berichte und Auswertungen• Downloads und MS Office Integration

Prüfungsplanung und Prüfungsdurch- führung• Erstellung von Checklisten und

Prüfungsleitfäden• Durchführung exemplarischer

Prüfungshandlungen

Referent

13 CPE

Seminarcode SPCO Anmeldung SPCO • Fax: +49 40 696985-31 • [email protected]





r 26.04. – 27.04.2018

r 29.10. – 30.10.2018


SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


129

Prüfung des Controlling (CO) in SAP-Systemen II

Das Seminar bietet einen Leitfaden für die Prüfung von speziellen Aufgabengebieten der Controlling-Organisation im Hinblick auf die Berichterstattung von Profit-Center-Rechnung und Ergebnis rechnung, Produkt- und Investitionskostenplanung sowie einen Ausblick auf die neuesten Entwick lungen des SAP ERP.

Die Funktionalitäten und Prozessabläufe der Produktkostenplanung bilden die Grundlage für Materialbewertung und Kalkulation. Die Revision der vielfältigen integrativen Beziehungen der Komponenten und die Analyse der Preis bestim-mung sind Schwerpunkte der im Seminar vermittelten Prüfungshandlungen.

Das Investitionsmanagement bündelt Funktionen der Planung, Budgetierung und Abrechnung. Schnittstellen der Komponente zu Logistik und Finanzbuchhaltung sind Grundlage der Prüfungs-tätigkeiten zur Sicherstellung der Funktionsweise des Internen Kontrollsystems.

Das neue Hauptbuch (New General Ledger) bietet wesentliche funktionale Erweiterungen für die Gestaltung der Prozessabläufe in Finanz buch-haltung und Controlling an. Auf Grundlage von Praxisbeispielen werden Funktionsumfang und Prüfungsmöglichkeiten dargestellt.

Ergebnisrechnung und Controlling• Grundlagen der Ergebnisrechnung• Abbildungsmöglichkeiten in SAP-Systemen• Aufgabenspektrum der Ergebnis- und

Marktsegmentrechnung CO-PA• Funktionsumfang und Integration der SAP

Profit-Center-Rechnung EC-PCA

Produktkostenplanung• Überblick grundlegender Aufgaben und

Prozessabläufe• Integration mit anderen Modulen und

Komponenten• Prüfung des Kalkulationsablaufs und der

Kalkulationsverfahren

Investitionsmanagement • Aufgabenumfang und Systemintegration• Belastung und Abrechnung von

Investitionsmaßnahmen• Informationssystem und Recherchen

Neues Hauptbuch in SAP• Grundfunktionalitäten und Aufbau• Erweiterte Prozessabläufe (Integration der

Module FI und CO, Segmentierung)• Erweiterte Reportingfunktionalitäten

Referent

13 CPE

Anmeldung SPCF • Fax: +49 40 696985-31 • [email protected] Seminarcode SPCF





Seminarcode SPCO Anmeldung SPCO • Fax: +49 40 696985-31 • [email protected]


r 21.06. – 22.06.2018

r 05.11. – 06.11.2018

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


130

Prüfung der Materialwirtschaft (MM) in SAP-Systemen

Die Hauptaufgabe der Materialwirtschaft ist die Sicherstellung der Versorgung des Unternehmens mit den benötigten Waren und Dienstleistungen zum richtigen Zeitpunkt und in der gewünschten Qualität. In diesem Zusammenhang bildet die SAP-Material-wirtschaft für viele betriebswirtschaftliche Vorgänge eines Unternehmens die Grundlage. Speziell finden sich hier die wesentlichen Schnittstellen zwischen Logistik und Rechnungs wesen.

Ein Grundverständnis der Prozesse und Begriffe der SAP-Materialwirtschaft sind daher für eine fundierte Prüfung unerlässlich.

Der Workshop hat deshalb das Ziel, die wesentli-chen Geschäftsabläufe und Terminologien der SAP- Materialwirtschaft zu vermitteln. Jeder einzelne Punkt wird auf seine Prüfungsrelevanz hin unter-sucht, so dass als Ergebnis des Workshops ein gemeinsam erarbeiteter Prüfungsleitfaden für die SAP-Materialwirtschaft entsteht.

Schwer punkte bilden hierbei die kritischen Geschäfts prozesse in der Materialwirtschaft sowie den angrenzenden Modulen. Neben dem eigentlichen Prüfprozess steht hier die Bewertung der unternehmensspezifischen Risiken im Beschaf-fungsprozess im Vordergrund.

Organisationsstrukturen in der Materialwirtschaft

Stammdaten• Material• Lieferanten• Einkaufsinformationen• Einkaufsoptimierung

Einkaufsprozess• Bestellanforderung (Banf)• Anfragen / Angebote• Bestellungen / Kontrakte

Bestandsführung• Wareneingang• Bewegungsarten• Überblick über die Materialbewertungsverfahren

Rechnungsprüfung• Rechnungseingang• WE/RE-Konto

Prüfen der Geschäftsprozesse• Risikofelder, Definition eines IKS

Sonstige Themen• Schnittstelle zur Finanzbuchhaltung• Reporting und Informationssysteme

Referentin

20 CPE

Seminarcode SPMM Anmeldung SPMM • Fax: +49 40 696985-31 • [email protected]





r 19.02. – 21.02.2018

r 15.10. – 17.10.2018


SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


131

Prüfung des Vertriebs (SD) in SAP-Systemen

Aus der Sicht der Prozess-Sicherheit gewinnt das Modul SD immer mehr an Bedeutung. Vorgänge wie die Konditionspflege oder die Retouren- und Gutschriftabwicklung sind ebenso sensibel anzusehen wie der Prozess der Warenbeschaffung.

Durch den Einsatz von Systemen wie CRM oder SCM und deren Anbindung an das Vertriebsmodul steigt die Komplexität des gesamten Vertriebs- prozesses.

Während im Warenbeschaffungsprozess die internen Kontrollsysteme meistens sehr ausgeprägt sind, sind diese im Vertriebsprozess häufig nur rudimentär vorhanden.

Dieses Seminar zeigt die maßgeblichen Aktionen im Vertriebsprozess auf (von der Stammdatenpflege über das Angebotsverfahren bis zur Fakturierung) sowie die Schnittstellen zu anderen Modulen bzw. anderen Systemen. Es vermittelt die sensiblen Bereiche im Vertrieb (z. B. Preise und Konditionen), auf die aus der Sicht des Prüfers ein besonderes Augenmerk zu legen ist.

Ein besonderer Schwerpunkt ist die Abbildung eines IKS, das auch im Modul SD aus technischer Sicht auf vielen Wegen realisiert werden kann.

Organisationsstrukturen im Vertrieb

Kundenstamm• Dreiteilung des Kundenstammsatzes• Sicherheitsanforderungen für die

Stammsatzpflege• Kreditmanagement

Material- / Artikelstammdaten• Aufbau• Schutzmechanismen• Anforderungen an die Pflege

Auftragsabwicklung und Fakturierung• Auftragsarten, Sperren von Aufträgen

unvollständige Aufträge• Preisfindung

Auslieferung• Lieferbeleg, Warenausgang, Kontenfindung

Retouren- und Gutschriftsabwicklung

Prüfen der Geschäftsprozesse• Risikofelder• Definition eines IKS

Referentin

13 CPE

Anmeldung SPSD • Fax: +49 40 696985-31 • [email protected] Seminarcode SPSD





Prüfung der Materialwirtschaft (MM) in SAP-Systemen

Seminarcode SPMM Anmeldung SPMM • Fax: +49 40 696985-31 • [email protected]

r 26.02. – 27.02.2018

r 12.12. – 13.12.2018


SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


132

Prüfung des Personalwesens (HCM) in SAP-Systemen

Die automatische Verarbeitung im Personalwesen kann zu systematischen Fehlern mit schwerwie-genden Folgen führen. Da die Verantwortung in den Fachabteilungen liegt, muss die Revision hier nicht nur prüfend, sondern auch unterstützend, bestäti-gend und empfehlend tätig werden. Dieses Seminar zum SAP-Modul HCM vermittelt neben den notwendigen Systemgrundlagen wie Prüfstrategien entworfen, vorhandene Prüfhilfen genutzt, Prüfdaten ausgewählt und Prüfungen dokumentiert werden können.

Im Rahmen dieses Workshops werden die für das Modul relevanten Prüfaspekte aufgegriffen, Ziele einer Prüfung formuliert sowie Themenkataloge aufgestellt, die Hinweise auf die vorhandenen Prüfwerkzeuge geben.

Kernprozesse der Zeitwirtschaft, Abrechnung, Planung und Reisekostenabrechnung werden am SAP HCM-System gezeigt und können von den Teilnehmern anhand von Übungen nachvollzogen werden.

Speziell wird hier auch auf das interne Kontrollsystem in SAP HCM eingegangen und wie dieses im Rahmen eines Projektes in der Unternehmung spezifiziert werden kann.

Einführung in SAP HCM

Grundlagen und Prüfung der Stammdaten• Organisationsstrukturen• Mitarbeiterstrukturen• Infotypen aus Revisionssicht

Grundlagen und Prüfung der HCM-Prozesse• Abrechnungsergebnisse• Folgeprozesse• Zeitwirtschaft• Reisekosten• Personalplanung

Auswertungsmöglichkeiten im SAP HCM

Internes Kontrollsystem für SAP HCM• Relevante Prüfbereiche • Systemlandschaften• Wartung eines SAP HCM Systems• Anforderungen an eine Systemdokumentation• Protokollierungen in SAP HCM• Schnittstellen

Reporting• Funktionsweise der relevanten Reports• Prüfungsrelevante Tabellen

Referent

13 CPE

Seminarcode SPHR Anmeldung SPHR • Fax: +49 40 696985-31 • [email protected]





r 19.02. – 20.02.2018

r 27.08. – 28.08.2018

Björn Meeder SAP Certified Consultant HCMIBS Schreiber GmbH

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


133

Berechtigungsprüfung des Personalwesens (HCM) in SAP-Systemen

Die persönlichen Daten der Mitarbeiter besitzen hinsichtlich des Zugriffsschutzes eine besondere Sensibilität. Im SAP HCM werden diese Daten verwaltet, von den Adressen der Mitarbeiter über ihre Bankverbindungen und Gehälter bis zu Beur teilun gen und Sonderzahlungen.

In diesem Seminar werden die Grundlagen und die notwendigen Prüfungshandlungen der Berechti-gungs konzeption für das Modul HCM von SAP vermittelt. Dabei wird explizit auf den Schutz der Stammdaten (der Infotypen) eingegangen, auf den Zugriffsschutz beim Reporting sowie auf die relevantesten Berechtigungen innerhalb der Prozesse im SAP HCM, wie z. B. die Abrechnung.

Es werden die relevanten Prüfaspekte aufgegriffen und anhand praktischer Übungen direkt am SAP- System nachvollzogen. Hierbei wird sowohl auf die Berechtigungsobjekte im Personalwesen einge-gangen als auch auf das Zusammenspiel mit den strukturellen Berechtigungen. Hierdurch ergibt sich ein Vorgehensmodell für die Prüfung, welches sofort in der Praxis angewandt werden kann.

Da es gerade im Bereich HCM um den Schutz sensibler Daten geht, ist es für jeden Prüfer und Daten schützer ein Muss, sich mit diesen Prüfschrit-ten einen Überblick über die Zugriffs konzeption seines HCM-Systems zu verschaffen, um auch gel-tende Ge setze und Richtlinien einhalten zu können.

Spezifikation der Berechtigungs-konzeption für die Personal wirtschaft (HCM)• Berechtigungsobjekte der Personalwirtschaft• Erläuterung des Einsatzes beteiligter

Berechtigungsobjekte• Komplexität und Quantitäten• Tabellenberechtigungen und Berechtigungs-

gruppen• Verwendungsnachweise• Fehlerquellen – Fehleranalyse

Berechtigungsvergabe• Einsatz und Einhaltung von Funktionstrennungen • Kritische Berechtigungen und ihre Kombinationen• Kritische Profile und Rollen• Strukturelle Berechtigungen• Bewertung von Umsetzungsmaßnahmen

Prüfung und Dokumentation• Aufzeigen von möglichen Lücken im Internen

Kontrollsystem (IKS)• Abbildung der Prüfungstätigkeit• Auswertungsmöglichkeiten mit SAP Standard-

reports und Tabellen

Referenten

13 CPE

Anmeldung SPHB • Fax: +49 40 696985-31 • [email protected] Seminarcode SPHB





Prüfung des Personalwesens (HCM) in SAP-Systemen

Seminarcode SPHR Anmeldung SPHR • Fax: +49 40 696985-31 • [email protected]

r 21.02. – 22.02.2018

r 29.08. – 30.08.2018


Dirk TescheMaster of ScienceIBS Schreiber GmbH

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


134

Prüfen des Organisationsmanagements und der strukturellen Berechtigungen

Berechtigungsprüfungen im SAP Modul HCM (Human Capital Management) stellen Prüfer vor eine große Herausforderung, wenn dabei strukturelle Berechtigungen und das Organisationsmanagement eingesetzt werden.

Dieses Seminar erläutert die Funktionsweise der strukturellen Berechtigungen im Zusammenwirken mit den „Standard Berechtigungen“ und zeigt Prüfungswege auf. Es werden strukturelle Berech-tigungen angelegt, verwaltet und das dazugehörige Customizing aufgezeigt. Dabei spielt die Verbindung zum Organisationsmanagement eine Schlüsselrolle.

Durch die Nutzung der indirekten Rollenzuwei-sung über das Organisationsmanagement wird das Rollenkonzept transparenter und erleichtert nicht nur das Reporting erheblich. Jedoch gilt es die besonderen Anforderungen zu kennen.

Wir zeigen Ihnen Wege auf, wie Sie Objekte des Organisationsmanagements und deren Beziehung zueinander erkennen und in Bezug auf das Berech-tigungswesen deren Vererbung auf Rechtmäßigkeit anhand der Realität Ihrer Unternehmensstruktur prüfen können.

Kurzeinführung in das Berechtigungswesen HCM• Allgemeiner Aufbau des Berechtigungswesens • Besonderheiten im Personalwesen• Berechtigungsrollen und strukturelle Berechtigungen

HCM Organisationsmanagement (OM)• Aufbau des Organisationsmanagements• Verknüpfungen, Objekte und Auswertungswege• Vererbung von Berechtigungen• Prüfungspunkte im OM• Technische Grundlagen des OM

Strukturelle Berechtigungen• Warum strukturelle Berechtigungen• Aufbau der strukturellen Berechtigungen• Kontextsensitive strukturelle Berechtigungen• Besonderheiten: indirekte Rollenzuordnung

Praktische Prüfung• Tabellenablage der strukt. Berechtigungen• Auswertung der berechtigten Org.-Objekte für

Benutzer• Kombination strukturelle Berechtigungen/

herkömmliche Berechtigungen

Referenten

7 CPE

Seminarcode SPHO Anmeldung SPHO • Fax: +49 40 696985-31 • [email protected]


Dauer: 1 Tage1. Tag: 09:00 – 16:00 Uhr



r 23.02.2018

r 31.08.2018


Dirk TescheMaster of ScienceIBS Schreiber GmbH

QuickLearn

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


135

Prüfen der Ordnungsmäßigkeit der Abrechnung in SAP HCM

Seit Jahren gilt das Einrichten und Betreuen der Abrechnung in SAP HCM zur Königsklasse. Wer hier seinen Tätigkeitsschwerpunkt hat, gehört zu den Fachspezialisten. Aber auch dieser sensible Bereich sollte konzeptionell geregelt sein und einem stetigen Prüfprozess unterliegen. In diesem Seminar betrachten wir den Gesamtprozess von der ordnungsgemäßen Stammdatenbearbeitung bis hin zur Überleitung der Abrechnungsergebnisse in die Finanzbuchhaltung.

Bereits im Standard bietet die SAP verschiedene Werkzeuge an, die Sie für Ihre Prüftätigkeiten abrechnungsbegleitend im Bereich der Personal-abrechnung einsetzen können. Vertiefend hierzu steht der Abrechnungsprozess als solches im Bereich des Customizing auf dem Prüfstand. Auch berechtigungsseitig werden Sie mit den elementaren Berechtigungsobjekten vertraut und lernen wie Sie Auswertungen schwerpunktmäßig einsetzen können.

Angrenzende Themen wie z.B. mögliche manuelle Eingriffe in die Abrechnung und der Kontrolle der Überleitungen an die Finanzbuchhaltung werden u.a. mit Hilfe von Checklisten praxisnah behandelt, damit Sie Ihr nächstes Audit umfassend durchführen können.

Personalstammdaten• Bedeutung und Einflussnahme

auf die Abrechnung• Besoldungsrelevante Stammdaten und Infotypen

Steuerung und Ablauf der Abrechnung• Der Abrechnungsprozess• Verarbeitung von Stamm- und Zeitdaten• Möglichkeiten des manuellen Eingriffs• Rück- und Korrekturabrechnung• Abrechnungsprotokoll und Entgeltnachweis

Customizing der Abrechnung• Kundenanforderungen an die Abrechnung• Grundlagen Customizing der Abrechnung• Kundeneigene Infotypen und Lohnarten• Mögliche Fehlerquellen

Berechtigungen im SAP HCM• Berechtigungsprüfung in der

Stammdatenbearbeitung• Berechtigungsprüfung zur Konfiguration

der Abrechnung• Berechtigungsprüfung und Schutz von

Clustern und Tabellen

Prüfungshandlungen• Berechtigungsprüfungen• Prüfen des Gesamtprozesses Abrechnung

Referent

13 CPE

Anmeldung SPHA • Fax: +49 40 696985-31 • [email protected] Seminarcode SPHA





Prüfen des Organisationsmanagements und der strukturellen Berechtigungen

Seminarcode SPHO Anmeldung SPHO • Fax: +49 40 696985-31 • [email protected]

r 21.06. – 22.06.2018

r 26.11. – 27.11.2018


SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


136

Anmeldung SPBV • Fax: +49 40 696985-31 • [email protected] Seminarcode SPBV

Prüfung des SAP Business Information Warehouse (BW)

In der heutigen Zeit gibt es in den Unternehmen einen dringenden Bedarf an Informationen, die einen Vergleich von aktuellen mit historischen Daten enthalten. Die Interpretation von Unternehmens-daten ist von zentraler Bedeutung, um die Wettbe-werbsfähigkeit zu garantieren sowie marktgerecht und schnell agieren zu können.

SAP NetWeaver® stellt mit dem Business Warehouse (BW) Werkzeuge zur Verfügung, damit Unterneh-men diese Ziele erreichen können.

SAP BW bietet die Möglichkeit, relevante Geschäftsinformationen aus SAP-Anwendungen und externen Datenquellen in einem Data Warehouse zu integrieren, zu transformieren und zu konsolidieren. Ferner stellt es flexible Reporting-, Analyse- und Planungswerkzeuge zur Verfügung.

In diesem Workshop werden Ihnen detailliert die Prüfungsmöglichkeiten aufgezeigt, um Sie in die Lage zu versetzen, das SAP BW-System Ihres Unternehmens unter Revisionsgesichtspunkten effektiv und effizient zu analysieren.

Der Workshop hat das Ziel, die wesentlichen Zusammenhänge und Terminologien des SAP BW zu vermitteln.

Architektur• Komponenten des BW• Integration mit anderen

NetWeaver®-Komponenten• Konzept des OLAP

Datenmodell• Modellierung und Namensräume von

BW-Objekten• Datenflüsse in einem BI-System• Stammdaten und Bewegungsdaten• Sternschema• Datenziele

Datenbereitstellung und Datenhaltung• Quellsysteme• Datenübertragung aus Fremdsystemen• Datenextraktion und Transformation• DataSource, InfoObjects, DataStore, InfoCube• Business Content

Analyse- und Reporting-Werk zeuge• BEx Query Designer• BEx Analyzer

Referent

13 CPE

Seminarcode SPBW Anmeldung SPBW • Fax: +49 40 696985-31 • [email protected]





r 08.11. – 09.11.2018


inkl. Broschüre

„Prüfleitfaden“

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


137

Berechtigungsprüfung des SAP Business Information Warehouse (BW)

Die Berechtigungskonzeption eines SAP BW / BI-Systems unterscheidet sich in vielen Elementen von denen eines SAP ERP. Der Zugriff erfolgt in den meisten Fällen nicht über eine SAP-GUI, sondern über ein Reporting-Tool (z. B. MS® Excel). Die Daten werden aus anderen Systemen importiert, was einen besonderen Schutz der Schnittstellen erfordert. Das SAP BW bietet in der Regel einen äußerst umfassenden Überblick über die Unternehmensdaten, was wiederum einen besonderen Schutz der Daten und der Auswertungs-möglichkeiten erfordert.

In diesem Seminar werden die relevanten Frage-stellungen bzgl. der BW-Berechtigungen erläutert. Einen besonderen Schwerpunkt stellt hier neben den Administrations- und Anwender berechtigungen die Absicherung des Zugriffes auf sensible Daten, wie z. B. Personaldaten sowie die Absicherung der Schnittstellen dar.

Ziel dieses Seminars ist es, einen praxisbezogenen Leitfaden für die Prüfung der BW-Berechtigungen zu erstellen, der in der Praxis sofort umgesetzt werden kann. Die Teilnehmer sind nach dem Seminar in der Lage, selbstständig diese Berechtigungs prüfungen durchzuführen und sie sind mit dem Aufbau des Berechtigungskonzeptes im BW-System vertraut.

Strategischer Aufbau der BW Berechtigungsstruktur • Grundsätzliche Unterschiede zum klassischen

SAP ERP• Schutz von InfoAreas, InfoProvidern, Queries etc.

Berechtigungen für die Administration • Notwendige Berechtigungen• Trennung der Berechtigungen für die Adminis-

tration von Strukturen und dem Anzeigen / Ändern von betriebswirtschaftlichen Inhalten

Berechtigungen für Anwender • Reporting-Berechtigungen / Schutz

sensibler Abfragen• Nutzung von Analyseberechtigungen• Zuordnung von Queries zu Rollen

Schutz besonders sensibler Daten • Definition der Datenhaltung • Zugriffsmöglichkeiten und Absicherung

Absicherung der Schnittstellen • Berechtigungen für Schnittstellenbenutzer • Berechtigungen zur Nutzung von Extraktoren in

den SAP Quell-Systemen • Zugriff über VBA, z. B. mit MS Excel

Referent

13 CPE

Anmeldung SPBV • Fax: +49 40 696985-31 • [email protected] Seminarcode SPBV





Seminarcode SPBW Anmeldung SPBW • Fax: +49 40 696985-31 • [email protected]

r 12.12. – 13.12.2018


inkl. Broschüre

„Prüfleitfaden“

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


138

Datenschutz in SAP-Systemen

SAP-Systeme bilden inzwischen fast alle Prozesse einer Unternehmung ab. Deswegen müssen sie mit hoher Relevanz in den Blickpunkt des Datenschutzes gestellt werden.

Die Daten werden nicht mehr nur in einem, sondern in verschiedenen SAP-Systemen gespeichert. Es werden hochsensible Daten in allen SAP-Systemen / -Modulen verarbeitet, und es existiert eine Vielzahl von Möglich keiten, in diesen komplexen Systemen auf die Daten zuzugreifen.

Der Datenschützer hat die Aufgabe, die Wahrung und Umsetzung der gesetzlichen Anforderungen zum Datenschutz zu gewährleisten und zu prüfen. Neben den Vorabkontrollen der SAP- Systeme und der Überwachung der ordnungs- gemäßen Programm anwendung stellt insbesondere die Erstellung des Verfahrensverzeichnisses eine Herausforderung dar. Auch die Kontrolle der Umsetzung des § 9 BDSG (und dessen Anlage) erfordert teils tiefere Kenntnisse der Sicherheits- und Berechtigungssystematik der SAP-Systeme.

Dieses Seminar vermittelt das notwendige Wissen zur Prüfung und Beurteilung der Einhaltung von Datenschutz vorschriften in SAP-Systemen.

Der betriebliche Datenschutzbeauftragte• Was muss der bDSB zu SAP-Systemen wissen?• Einbindung des bDSB in SAP-Projekte

Die SAP Datenschutz- und Sicherheits-leitfäden

Personenbezogene und bezieh bare Daten in SAP-Systemen• Wo werden P-Daten gespeichert?• Downloads aus SAP-Systemen

Aufgaben des bDSB und die Umsetzung in SAP-Systemen• Führen von Übersichten und

Verfahrensverzeichnissen• Vorabkontrolle von SAP-Systemen

Sicherheit in SAP-Systemen• Aufgaben des Datenschutzes gem. § 9 BDSG

(und deren Umsetzung)• Schwachstellen und Risiken• Protokollierungskomponenten• Schutzmaßnahmen für sensible Tabellen

Aufbau und Prüfung des SAP-Berechti-gungskonzeptes• Datenschutzgerechtes Berechtigungskonzept• Vorgehensweise bei der Prüfung• SAP interne Tools für die Berechtigungsprüfung• Zugriff auf Personaldaten in HCM

Referent

13 CPE

Seminarcode SPDS Anmeldung SPDS • Fax: +49 40 696985-31 • [email protected]






r 14.05. – 15.05.2018

r 12.12. – 13.12.2018

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


139

Prüfung des Zugriffs auf Kundendaten in SAP-Systemen

Dieses Seminar gibt einen Einblick in die Verwaltung von Kundendaten in SAP-Systemen. Dabei wird zunächst ein Überblick gegeben, wo diese Daten grundsätzlich in den verschiedenen Systemen innerhalb einer heterogenen SAP Landschaft (ERP, CRM, BI etc.) vorhanden sein können und wie darauf zugegriffen werden kann.

Zu den verschiedenen SAP-Systemen werden die Funktionen vorgestellt, mit denen Kundendaten gepflegt oder gelesen werden können. Hierzu wer-den die zu prüfenden Berechtigungen aufgezeigt.

Weiterhin erfolgt eine detaillierte Analyse der Ablage von Kundendaten in den entsprechenden Tabellen der einzelnen Systeme, da oftmals ein Miss-brauch dieser Daten über direkte Tabellen zugriffe erfolgen kann. Teil dieser Analyse ist ebenfalls die Ermittlung von Views, die ebenfalls einen Zugriff auf die Tabellen mit Kundendaten ermöglichen.

Seit dem SAP NetWeaver® 7.4 bietet SAP die Möglichkeit, lesende Zugriffe über das Read Access Logging (RAL) zu protokollieren. Das Seminar informiert über Funktionen und Möglichkeiten dieser Komponente.

Das Seminar wird abgerundet durch konzeptionelle Ansätze für eine transparente Gestaltung eines systemübergreifenden Berechtigungskonzepts bezüglich der Kundendaten.

Rechtliche Anforderungen• Gesetze und Vorschriften• Problematik der Umsetzung in den

SAP-Sys temen

Ablage von Kundendaten in SAP• Verteilte Systeme:

� ERP, CRM, BI, Portal• Transportlandschaft:

� Mandanten- / Systemkopien � 3-System-Landschaft

• Schichtenmodell: � Datenbank � Betriebssystem

• Schnittstellen � unverschlüsselte Datenübertragung � Zugriff über RFC-Verbindungen � Berechtigungen systemübergreifender Zugriffe

Technische Analyse in SAP• Ablage in Tabellen:

� Ermittlung betroffener Tabellen � Zugriffe über Views

• Zugriff über Endanwender-Transaktionen: � Ermittlung betroffener Transaktionen � Schutz über das Berechtigungskonzept

Berechtigungskonzept• Voraussetzungen für ein transparentes

Berechtigungskonzept bezüglich Kundendaten• Technische Umsetzung

Referent

13 CPE

Anmeldung SPKD • Fax: +49 40 696985-31 • [email protected] Seminarcode SPKD





Datenschutz in SAP-Systemen

Seminarcode SPDS Anmeldung SPDS • Fax: +49 40 696985-31 • [email protected]

r 11.06. – 12.06.2018


SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


140

Prüfen der HANA-Modellierung

Die Grundlage für zielsichere Unternehmens- entscheidungen bilden häufig aussagekräftige Informationen, die aus den im Unternehmen vorhandenen Daten abgeleitet (häufig in Echtzeit) werden können. Durch falsche Analysen verursachte Fehlentscheidungen können zu großen finanziellen Schäden und Imageverlusten führen.

Daher ist es wichtig, dass auch die kundeneigene Datenmodellierung in einem SAP HANA System prüft wird.

Um dies fundiert prüfen zu können, muss der Prüfer über ausreichende Kenntnisse in den Grundlagen und Methoden des Modellierens verfügen und die entsprechenden Analyse-Werkzeuge kennen.

Mit diesem Wissen kann der Prüfer aber auch eigene, für die Revision spezifische Datenmodelle entwerfen und auf diesen prüfungsrelevante Daten-analysen durchführen.

Das Seminar führt in die theoretischen Grundlagen der SAP HANA Modellierung ein. Anhand von Praxisbeispielen lernen die Teilnehmer einfache Datenmodelle und Analysen direkt auf der SAP HANA zu implementieren.

Während des Seminars werden Prüfungsansätze (Prüfungsleitfaden) entwickelt, um die Modellierung eines SAP HANA Systems professionell zu prüfen.

Grundbegriffe des Modellierens• Measure, Attribut• Dimension, Star Schema, Hierarchy• Semantics

SAP HANA Studio• Konfiguration, Benutzeroberfläche Graphische Modellierung• Attribute-, Analytic- und Calculation View• Verbinden von Tabellen • Restricted und calculated columns

SQL• Unterschied von SQL und SQL-Skript• Wichtige SQL-Statements• Funktionen und Prozeduren

SAP HANA Live• Was ist SAP HANA Live?• Content• Verändern und anwenden von SAP HANA Live views

Reporting-Werkzeuge (Überblick)• Lumira 2.0• MS Excel Analysis

Berechtigungsvergabe• Roles• Analytic privileges

Referent

13 CPE

Seminarcode SPHM Anmeldung SPHM • Fax: +49 40 696985-31 • [email protected]





r 29.10. – 30.10.2018


NEU

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


141

Data Analytics mit SAP HANA

Mit der neuen SAP-HANA-Technologie wachsen die OLTP-Welt (Online-Transaction-Processing) und die OLAP-Welt (Online Analytic-Processing) zusammen.

Massendatenanalysen können in Echtzeit auf den Original-Daten durchgeführt werden. Hierzu bietet SAP HANA zahlreiche Funktionsbibliotheken an. Die Funktionsbibliothek Predictive Analytics (PAL) stellt Funktionen für Prognoseverfahren zur Verfügung.

Zusätzlich bietet SAP HANA eine Schnittstelle zu R an. R ist eine Open-Source-Software zur statisti-schen Datenanalyse und zur grafischen Darstellung von Daten. R gilt zunehmend als die Standard-sprache für statistische Problemstellungen sowohl in der Wirtschaft als auch in der Wissenschaft.

Diese neuen Funktionalitäten können für professio-nelle Massendatenanalysen im Fachbereich oder im Prüfungswesen genutzt werden.

In diesem Seminar lernen die Teilnehmer den Umgang der datenanalytischen Tools in Verbindung mit SAP HANA für die Analyse, Visualisierung und Weitergabe von Data Mining Anwendungen kennen.Anhand von Praxisbeispielen werden mit der SAP Predictive Analytics – Funktionsbibliothek (PAL) und mit der R-Schnittstelle Analyseverfahren vorgestellt, angewendet und deren Ergebnisse interpretiert.

Grundlagen• Data-Mining• Predictive Analytics

Arbeiten mit Predictive Analytics• Expert Analytics• Automated analytics• Flowgraph

Datenschnittstellen• SAP HANA (online & offline)• 3rd Party Datenbanken und Dateiformate

Datenvorbereitung• Filterung• Stichprobe• Normalisierung

Ausgewählte Verfahren des Data Minings• Regression• Zeitreihenanalyse• Clustering & Klassifikation• Assoziationsanalyse

R-Schnittstelle• Kommunikation mit R• Aufruf von R-Paketen

Ergebnispräsentation• Visualisierung• Interpretation der Ergebnisse

Referent

13 CPE

Anmeldung SPHD • Fax: +49 40 696985-31 • [email protected] Seminarcode SPHD





Prüfen der HANA-Modellierung

Seminarcode SPHM Anmeldung SPHM • Fax: +49 40 696985-31 • [email protected]

r 05.11. – 06.11.2018


NEU

MarkIT Communication Verlag GmbH · Sigmund-Riefler-Bogen 8 · 81829 München · Telefon +49 (0)89 / 904 75 53 14

SAP-Fachwissen von Experten für Experten

Vertriebsanzeige_IBS_DIN A4_2017_Eigenanzeige_Vorschau 20.09.17 16:49 Seite 1

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


143

Reporting mit SAP Lumira

Lumira 2.0 ist ein anwenderfreundliches Analyse- und Visulisierungswerkzeug von SAP. Durch umfangreiche Funktionen für die Datenaufbereitung, das gleichzeitige Verknüpfen mehrerer Analysedaten für Auswertungen und die tiefe Integration in die SAP-HANA-Welt ist es ein wichtiges Werkzeug für den Prüfer, aber auch für die Fachabteilungen, um professionelle Datenanalysen durchzuführen.

Lumira 2.0 besteht aus zwei Komponenten, die separat installiert werden können, aber dennoch eng zusammenarbeiten: SAP Lumira Discovery als Ad-Hoc Reporting Tool fü rden Endanwender (Self-Service-BI). Diese Komponente zielt darauf ab, Nutzern die eigenständige Erstellung von Dash-boards und Analysen mit wenigen Mausklicks sowie mit “Drag & Drop” zu ermöglichen.

SAP Lumira Designer ist eine Weiterentwicklung des SAP Designstudios. Mit diesem Tool ist es möglich, komplexere Management-Dashboards zu erstellen. Dieses Tool erfordert erweiterte Programmier- kenntnisse und wird häufig von der IT eingesetzt.

Ziel des Seminars ist es, dem Teilnehmer einen Überblick über den Aufbau und die Funktionsweise von Lumira 2.0 zu geben, wobei der Schwerpunkt auf der Discovery-Komponente liegt. Ferner werden an ausgewählten Beispielen Analysen und Visuali-sierungen von Unternehmensdaten mit SAP Lumira Discovery durchgeführt.

Überblick• Unterschiede zwischen SAP Lumira Discovery und SAP Lumira Designer• Zusammenarbeit der beiden Komponenten

Datenanbindung• SAP BW• SAP HANA• 3rd Party Datenbanken und Dateiformate

Datenakquisition und Manipulation• Unterschied zwischen Dimensionen (Dimensions)und Kennzahlen (Measures)• Verbinden von Datensätzen (verschiedene Jointypen)• Generierung neuer Merkmale• Arbeiten mit Filtern• Inputkontrollen (Textbox, Listbox, Sliders)

Visualisierung und Analyse • Punkt- Kreis- und Balken- und Bubblediagramme• Darstellung von Geoinformationen• Statistische Kennzahlen, Zeitreihenanalysen• Darstellung von hierarchischen Daten

Komposition und Ergebniszusammen-führung (Storyboard)• Erstellung eines Dashboards / Ergebnisberichts

Referent

13 CPE

Anmeldung SPHL • Fax: +49 40 696985-31 • [email protected] Seminarcode SPHL





r 19.11. – 20.11.2018


NEU


CheckAud® Update Service for SAP Access Control

»Mit dem CheckAud® Update Service for SAP Access Control ist es uns gelungen, den erheblichen Aufwand für die Pflege der Zugriffs- und Berechtigungskontrollen in SAP-Systemen deutlich zu minimieren.

Dieser Service unterstützt die notwendigen Aktualisierungen des SAP Access Control Regelwerks auf Basis der in CheckAud® bereits

vorhandenen Berechtigungsabfragen.

Dies erhöht die Qualität Ihrer Berechtigungskontrollen bei gleichzeitiger Minimierung des Pflegeaufwands.«

Was wir für Sie leisten könnenDurch eine kontinuierliche, qualifizierte Entwicklung von ca. 1.600 Analysen im IBS-eigenen Audit-Tool CheckAud® for SAP Systems wird eine hohe Qualität bezogen auf Aktualität, Rich-tigkeit und Vollständigkeit der im Werkzeug enthaltenen Regeln gewährleistet.Diese hohe Qualität und der Detailgrad der CheckAud-Queries können durch eine regelmäßige Konvertierung der Check-Aud-Abfragesyntax in das kundeneigene Access Control RuleSet an den Kunden weitergegeben werden.

Hierfür wird eine kundenindividuelle Zusammenstellung der benötigten Regeln mit Hilfe von CheckAud® for SAP Systems erstellt. Nach finaler Abstimmung der modulspezifischen Inhalte erfolgt dann die Übersetzung der CheckAud®-Regelwerke in das Format des SAP Access Control direkt aus CheckAud® heraus – und zwar automatisch angepasst an die jeweils eingesetzten SAP Release-Stände.

Immer aktuell – alle sechs MonateIm halbjährlichen Turnus werden alle Abfragen auf Aktualität hin gesichtet und ggfs. überarbeitet. Ergeben sich für den Kunden entsprechende RuleSet-Änderungen, so werden diese neu ausgeliefert. Ebenso wird im Rahmen des Service der Kunde auf neue Funktionen hingewiesen, die für das eigene RuleSet relevant sein könnten.

Des Weiteren wird das Audit & Compliance Tool CheckAud® for SAP Systems dem Kunden im Rahmen des CheckAud® Update Service for SAP Access Control als Reporting-Tool mit zur Ver-fügung gestellt.

Sie wollen mehr über den CheckAud® Update Service for SAP Access Control wissen? Kontaktieren Sie uns unter [email protected]

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


145


CheckAud® Update Service for SAP Access ControlWerkzeugkasten für die Prüfung von SAP-Systemen

Durch die Komplexität des SAP-Sys tems stoßen Prüfer während ihrer Arbeit immer wieder auf Probleme und Grenzen. Insbesondere bei der Prüfung komplexer Module oder Eigenent wick lun gen ist es unerlässlich, die internen Strukturen des SAP-Systems zu kennen um konkrete Analysen durchführen zu können. In diesem Seminar werden Methoden zur Prüfung vermittelt, die einen tiefen Einblick ins System geben.

Das Data Dictionary stellt das Tabellen-Handbuch eines SAP-Systems dar. Die Kenntnisse über den technischen Aufbau dieses Dictionarys erleichtern dem Prüfer z. B. das Auffinden von Tabellen oder die Auswertung von betriebswirtschaftlichen Inhalten mittels des QuickViewers.

Durch die Nutzung der Trace-Möglichkeiten ist das Auffinden von Tabellen ein Leichtes, ebenso die exakte Analyse von zu prüfenden Zugriffs berechtigungen auch für komplexe Vorgänge im System.

Mittels einer Einführung in die Programmiersprache ABAP ist der Prüfer in der Lage, einfache ABAP- Reports selbst zu erstellen. Es werden relevante Prüfungsansätze vermittelt, die bei einer Prüfung von ABAP-Entwicklungen beachtet werden müssen.

Über das Audit Information System (AIS) werden dem Prüfer Werkzeuge und Berechtigungen zur Verfügung gestellt, um Prüfungen zu unterstützen bzw. berechtigungsseitig überhaupt erst zu ermöglichen.

Tipps und Tricks zu Tabellen und Reports

Aufbau des Data Dictionary• Domänen, Datenelemente, Felder• Tabellen, Views und Strukturen• Analysen von Tabelleneigenschaften und

Prüftabellen• Analyse von Eigenentwicklungen• Nutzung der Dictionary-Informationen

Traces• SAP System-Trace - Analyse von Zugriffs-

berechtigungen• SQL-Trace - Finden von Tabellen• Nutzung der Trace-Funktionen

QuickViews• Erstellen eigener Abfragen• Nutzung von Tabellen und logischen

Datenbanken• Konvertierung von QuickViews in Queries

SAP Query• Einsatzmöglichkeiten• Komponenten• Erstellung, Ausführung und Änderung

AIS• Grundsätzlicher Aufbau und Neuerungen

Referent

13 CPE

Anmeldung SPWK • Fax: +49 40 696985-31 • [email protected] Seminarcode SPWK





r 04.06. – 05.06.2018

r 19.11. – 20.11.2018


EG+ Job No: 732505-2Production:Clients:SAP (EMEA_MEE) - SAPEM:732505:Artworks and Linked files:Studio:732505-2_SAPEM_220517_SME Hotel_Digital50_210x297.inddTrim: 297x210mm | Bleed: 3mm

Date: 22.05.17Time: 15:08 GMT+01:00DI: Barry Newman

PRE PRESS 1

Export Option: EG+ Main Preset Bankside 3, 90 Southwark Street, London SE1 0SW | www.egplusww.com

IN DIESEM MOMENT ÖFFNEN SICH MILLIONEN CHANCEN FÜR IHR UNTERNEHMEN. ABER NUR EINE IST DIE RICHTIGE.ZUKUNFT IST LIVE. Mit SAP S/4HANA® behalten mittelständische und große Unternehmen ihr gesamtes Business im Blick: über alle Bereiche hinweg, live und rund um die Uhr. Natürlich auch in der Cloud. Für die richtigen Entscheidungen, im richtigen Moment.Mehr auf sap.de/wachstum

© 2

017

SAP

SE o

der e

in S

AP-K

onze

rnun

tern

ehm

en.

Alle

Rec

hte

vorb

ehal

ten.

Anmeldung SPAI • Fax: +49 40 696985-31 • [email protected] Seminarcode SPAI

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


147

Aufbau und Implementierung eines SAP-Berechtigungskonzeptes

Berechtigungen in SAP-Systemen unterliegen einem ständigen Wandel, sei es durch organisa-torische Änderungen im Unternehmen oder durch Anforderungen von Revision und Wirtschaftsprüfern. Die Einführung von neuen Modulen und allfällige Releasewechsel stellen weitere Anforderungen dar.

Fast zwangsläufig wird dabei der Punkt erreicht, an dem die bestehenden Berechtigungskonzepte ganz oder teilweise in Frage gestellt werden.

In diesem Seminar werden die Grundlagen für ein zukunftssicheres und flexibles Berechtigungswesen erarbeitet. Technische Basis sind diejenigen Werk-zeuge, die in jedem SAP-System vorhanden sind. Diese Werkzeuge werden in Anwendung und Einsatz vorgestellt.

Aus der Erfahrung von vielen Berechtigungs- projekten werden praxisnahe und erprobte Vorge-hensweisen vorgestellt. Von der Projektierung bis zu den Umstellungskonzepten werden die notwendigen Arbeitsschritte behandelt. Abgerundet wird das Seminar durch die Vorstellung von Prüfungswerk-zeugen und Auswertungen.

Dieses Seminar vermittelt Ihnen das Rüstzeug zur Erstellung eines flexiblen, transparenten und sicheren Berechtigungskonzepts und seiner Prüfung.

Grundlagen und Konzepte• Technische Grundlagen von Berechtigungen

(Profilgenerator / Rollen / Benutzer)• Projektierung von Reorganisationen im

Berechtigungsumfeld• Arbeitsplatzanalysen und ähnliche Konzepte zur

Ermittlung von Berechtigungen• Konzepte der Dateneigentümerschaft

Technische Ausprägung• Rollenaufbau nach Funktionen und Modulen• Steuerungsmöglichkeiten über Organistions-

ebenen und Berechtigungsgruppen• Ermittlung von modulbezogenen Schlüssel-

berechtigungen• Kritische Berechtigungsobjekte• Kritische Kombinationen von Berechtigungen

Automatisierungen• Praktische Hilfen und Tricks• Einsatz des System-Trace• Hilfsmittel zur Erstellung und Zuweisung von

Rollen

Prüfung• Prüfung von Berechtigungen und Berechtigungs-

kombinationen• Methodische und kontinuierliche Überwachung

der SAP-Berechtigungen• Checklisten und Standardprozeduren

Referentin

13 CPE

Anmeldung SPAI • Fax: +49 40 696985-31 • [email protected] Seminarcode SPAI





r 13.09. – 14.09.2018


Highlights der Software

• Prüfung sämtlicher Berechtigungen im SAP System

• Die Wissensbasis umfasst über 1.600 Berechtigungsabfragen zu diversen Modulen, in denen auch die Anforderungen anerkannter Sicherheitsleitfäden eingearbeitet sind

• Vordefinierte Tabellenabfragen, z.B. Prüfen der Sicherheit globaler Einstellungen

• Umfangreiche SoD-Prüfungen inkl. Risikobewertungen

• Regelmäßige technische und inhaltliche Aktualisierung

• Parameter-Audits inkl. Best Practice Empfehlungen

• Individuelle Anpassbarkeit an unternehmenseigene Anforderungen

• Ermittlung eines vergleichbaren Score-Wertes zur Beurteilung der Sicherheit Ihres SAP Systems

Sie wollen CheckAud live erleben?! Wir bieten Ihnen eine kostenfreie und unverbindliche Erstprüfung Ihres SAP-Systems!

Revision Administration Fachbereich Datenschutz Betriebs- und Personalrat Wirtschaftsprüfer


Anwenderkreise

®

Absolute Transparenz der Berechtigungskonzeption und Systemsicherheit

SAP

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


149

Produktschulung „CheckAud® for SAP Systems“

Die Teilnehmer erlernen in diesem Seminar die Arbeits-weise mit CheckAud® for SAP Systems als Software zur Prüfung der Berechtigungen in SAP-Systemen. Es wird gezeigt, wie die verschiedenen Prüfansätze mit Check-Aud® for SAP Systems gelöst werden. Hierzu gehört die Analyse der• Benutzer und deren Berechtigungen,• Transaktionen und berechtigte Benutzer,• Systemsicherheit und Konfiguration.

Bei der Schulung werden die neuen Funktionen der jeweils aktuellen Version von CheckAud® for SAP Systems intensiv erläutert.

Bei Bedarf werden zu den einzelnen Prüfansätzen fachliche Hintergründe erläutert. Fallweise werden die Ergebnisse im SAP-System nachvollzogen.

Durch den Einsatz von Filtern und weiteren Darstellungs-optionen werden die Ergebnisse zusammengefasst und in übersichtliche Berichte exportiert. Praxisnahe Beispiele zeigen Ergebnisaufbereitungen und Formate, wie sie üblicherweise in den Unternehmen zum Einsatz kommen.

Die Diskussion von Einsatzszenarien in Unternehmen bzw. unterschiedlichen Fachbereichen zeigt die Integration der Software in das interne Kontrollsystem auf.

Alle Themen werden durch praktische Übungen an Schulungssystemen vertieft.

Datenabzug • Installation CheckAud® for SAP Systems • Verzeichnisstrukturen, wichtige Verzeichnisse

und Dateien• Erzeugen eines SnapShot vom SAP-System• Import und Verwaltung der SnapShots mit

CheckAud® for SAP Systems

Projektaufbau• Erstellen von Analyseprojekten• Nutzen von Standard-Prüfungsfragen• Vorgabe der zu analysierenden Benutzer• Definieren von Soll-Vorgaben für Prüfpunkte

Anpassung des Analyseprojektes• Erstellen eigener Prüfungsfragen• Dokumentation der Risiken• Berechnung und Interpretation des Score /

DashBoard.• Berücksichtigung und Einfluss von

kompensierenden Kontrollen

Reporting• Erzeugen aussagekräftiger Exporte aus

CheckAud®

• Interpretation der Exporte• Empfehlung für die Erzeugung eines

Prüfberichtes

Referenten

13 CPE

Anmeldung SPPS • Fax: +49 40 696985-31 • [email protected] Seminarcode SPPS





r 07.05. – 08.05.2018

r 06-12. – 07.12.2018

Christian WolfIBS Schreiber GmbH

Bachelor of ArtsLisa NiekampIBS Schreiber GmbH

Monatlich alle SAP-Neuheiten:www.sap-press.de/newsletter

Schritt für Schritt zum daten-schutzkonformen SAP-System!

330 Seiten, gebunden, 89,90 EuroISBN 978-3-8362-5989-7

So setzen Sie die EU-DSGVO im SAP-System richtig um!Erfahren Sie Schritt für Schritt, wie Sie mit Hilfe von SAP-Lösungen ein Datenschutzkonzept entwickeln, das auch der neuen EU-Datenschutz-Grundverordnung standhält. Von der Einführung eines Sperr- und Löschkonzeptes bis hin zur Umsetzung der Informations- und Berichtspflichten werden alle erforderlichen Maßnahmen erklärt. Auch für die anderweitige Prüfung Ihrer SAP-Systeme halten wir für Sie die passenden Begleiter bereit.

Wir helfen Ihnen bei Ihrer Prüfung:

www.sap-press.de

Aktuell zur

EU-DSGVO

SAP

Literaturverzeichnis Sicherheit von SAP-Systemen

Berechtigungen in SAP 100 Tipps & Tricks (SAP PRESS) Autoren: Anna Otto, Katharina Stelzner; ISBN: 978-3836226158

Berechtigungen in SAP ERP HCM: Konzeption, Imple-mentierung, Betrieb (SAP PRESS) Autoren: Martin Esch, Anja Marxsen, Joost Klüßendorf; ISBN: 978-3836218269

Datenschutz in SAP-Systemen: Konzeption und Imple-mentierung (SAP PRESS) Autoren: Volker Lehnert, Anna Otto, Katharina Stelzner; ISBN: 978-3836216852

Handbuch SAP-Revision: Internes Kontrollsystem und GRC (SAP PRESS) Autor: Maxim Chuprunov; ISBN 978-3836219280

OPSAP - Ordnungsmäßigkeit und Prüfung des SAP Systems (Boorberg Verlag) Autor: Thomas Tiede; ISBN: 978-3415041721

SAP-Berechtigungswesen: Das Standardwerk zu Techniken, Werkzeugen und der praktischen Umsetzung in SAP (SAP PRESS) Autoren: Volker Lehnert, Katharina Stelzner; ISBN: 978-3836237680

SAP-Systeme schützen: Sicherheit von Netzwerk, Passwörtern, Applikationsserver, Schnittstellen etc. (SAP PRESS) Autoren: Daniel Berlin, Holger Stumm; ISBN: 978-3836238519

SAP Gateway und OData: Schnittstellenentwicklung für SAP Fiori und Co. Autoren: Carsten Bönnen, Volker Drees, André Fischer, Ludwig Heinz, Karsten Strothmann; ISBN: 978-3836240192 vrsl. Erscheinungstermin: 28.07.2016

SAP Solution Manager für SAP S/4HANA: Alles neue in SAP Solution Manager 7.2 auf einen Blick! Autoren: Marc O. Schäfer, Matthias Melich; ISBN: 978-3836-43896 vrsl. Erscheinungstermin: 28.09.2016

Sicherheit und Risikomanagement für SAP-Systeme (SAP PRESS) Autoren: Mario Linkies, Horst Karin; ISBN: 978-3836214216

Techniken im SAP-Berechtigungswesen (Espresso Tutorials) Autor: Klüppelberg; ISBN: 978-3943546781

BSI IT-Grundschutz, Baustein B5.13 SAP-System www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutz Kataloge/Inhalt/_content/baust/b05/b05013.html

DSAG Prüfleitfaden SAP ERP 6.0 www.dsag.de/fileadmin/media/150504_Leitfaden_Best-Practice- SAP-ERP/

DSAG Leitfaden Datenschutz SAP ERP 6.0 www.dsag.de/fileadmin/media/Leitfaeden/080909_Datenschutz- Leitfaden.pdf

SAP Sicherheitsleitfäden help.sap.com (1.: Komponente auswählen; 2.: Security Information [teilw. SAP Marketplace-Zugang erforderlich])

151

SAP

Glossar Sicherheit von SAP-Systemen

ABAP Advanced Business Application Programming Language. Dies ist die Programmiersprache des ABAP-Stack des SAP-Systems.

ABAP Stack Der zentrale Bestandteil des SAP →NetWeaver® ist der SAP Web Application Server, auf dem alle Komponenten des NetWeaver laufen. Dieser ist technisch in zwei verschiedene Komponenten auf-geteilt, den ABAP-Stack (SAP Web AS ABAP) und den → Java-Stack. Der ABAP-Stack ist für die Nutzung der ABAP-basierten Anwendungen zuständig. Für die zentralen Geschäftsprozesse (Logistik, Rechnungswesen, Personalwesen) stellt der ABAP-Stack die maßgebliche Prüfungsinstanz dar.

Customizing Anpassung des SAP-Systems an spezifische Unternehmensanforderungen. Erfolgt zum größten Teil über die Pflege von Customizing-Tabellen. Customizing-Tabellen sind maßgeblich am Namensraum zu erkennen – der Name beginnt mit einem T.

Java-Stack Der Java-Stack(SAP Web AS J2EE) des SAP →NetWeaver® ist ein J2EE-Server (Java 2 Enterpri-se Edition), der die Laufzeitumgebung für Java-basierte Programme bereitstellt. Die Prüfung des Ja-va-Stack ist technisch aufwändiger als eine Prüfung des → ABAP-Stack, da zum einen sehr großes technisches Know-how erforderlich ist, zum anderen kaum Prüfmittel im Java-Stack vorhanden sind.

Mandant Handelsrechtlich, organisatorisch und datentechnisch abgeschlossene Einheit innerhalb eines SAP-Systems.

NetWeaver® Der SAP NetWeaver® bildet die technische Plattform für SAP-Systeme und ermöglicht durch eine of-fene Architektur eine System- und Applikationsübergreifende Abbildung der Geschäftsprozesse. Über den SAP NetWeaver® können gekapselte Geschäftsanwendungen über offene Schnittstellen kom-munizieren. Dies wird über eine offene Anwendungs- und Integrationsplattform ermöglicht, die sowohl SAP- als auch Nicht-SAP-Anwendungen aufruft und koordiniert.

Repository Im SAP Repository wird die physische Organisation der Daten in der Datenbank von einer logischen Ebene, die alle Daten in einheitlicher Weise beschreibt, überlagert. Diese logische Sicht auf die Daten wird im Repository hergestellt und basiert auf dem relationalen Datenbankmodell.

RFC Remote Function Call. Offene Schnittstelle im SAP-System zum Aufruf von Programmen von anderen Anwen-dungen aus. Beinhaltet Risiken hinsichtlich hinterlegter Kennwörter und falscher Schnittstellen-Berechtigungen.

Rollen In einer Rolle werden Berechtigungen zusammengefasst, die einem Benutzer zugeordnet werden sollen. Über Rollen können auch Benutzermenüs zur Verfügung gestellt werden. Rollen können in Sammelrollen zusammengefasst werden.

S/4HANA Nachfolger des →SAP ERP, welches optimiert wurde für die HANA-Datenbank. Basier weiterhin auf dem →ABAP Stack, allerdings wurden einige Funktionen bereits direkt über die HANA-Datenbank ab-gebildet. Des Weiteren wurden auch die Prozesse optimiert, so dass viele Funktionen abgelöst wurden.

SAP_ALL Standardprofil, in dem (fast) alle Berechtigungen des SAP Systems enthalten sind. Darf in produktiven Systemen nicht vergeben werden, da es Berechtigungen enthält, mit denen gegen geltende Gesetze verstoßen werden kann.

SAP BI SAP Business Intelligence ist Bestandteil des SAP →NetWeaver® und unterteilt sich in die Kompo-nenten BW (Business Warehouse) und SEM (Strategic Enterprise Management)

SAP ERP ERP = Enterprise Resource Planning. Das SAP ERP ist das zentrale SAP-System, in dem die Kern-prozesse der Logistik, Finanzbuchhaltung und des Personalwesens abgebildet sind.

SAP HANA Spaltenorientierte In-Memory-Datenbank der SAP AG. Stellt Funktionen für Auswertungen zur Verfügung, wodurch direkte Zugriffe auf die Datenbank möglich sind. Sie ist daher wie eine Anwendung zu betrachten.

SAP HANA Studio Oberfläche zum Zugriff auf eine →SAP HANA-Datenbank. Genutzt wird das OpenSource-Produkt Eclipse.

Tabellenprotokollierung Aufzeichnung von Tabellenänderungen (→Customizing). Änderungen am Customizing gelten als Ver-fahrensanweisung und sind aufbewahrungspflichtig. Ist standardmäßig in SAP-Systemen nicht aktiviert. Wird aktiviert über den Systemparameter rec/client und den Transportparameter RECCLIENT.

152

Kompetenz aus einer Hand

Mein Partner für Datenschutz und IT-Sicherheit

Fachzeitschriften

Zertifi zierungen

Webinare

Newsletter

Fachtagungen

ARGEn

Corporate Publishing

Seminare

Consulting

Fachliteratur

©Yu

ri A

rcur

s/Fo

tolia

Bitte beachten Sie unser Seminarangebot unter www.datakontext.com

154

Dat

ensc

hutz




Dr. Michael Foth, Geschäftsführer der IBS data protection services and consulting GmbH, ist seit über 20 Jahren als Spezialist für Datenschutz und für IT-Sicherheitsanalysen tätig. Er betreut national und international aufgestellte Mandanten als externer Datenschutz-beauftragter mit den Schwerpunkten Gesundheitswesen und Finanzdienstleister. Außer-dem ist er zugelassener Datenschutz-Gutachter beim unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), für das Datenschutzgütesiegel und Daten-schutzgutachter bei der Europäischen Union für das European Privacy Seal (EuroPriSe).

Marc Neumann IBS data protection services and consulting GmbH

Marc Neumann ist zertifizierter Datenschutzbeauftragter (TÜV®) und seit 2009 als Bera-ter für Datenschutz und Datensicherheit tätig. Langjährige Erfahrung in der europawei-ten, kundenorientierten Betreuung, Beratung und Auditierung von Unternehmen jeder Größe zeichnen ihn aus. Die praxisnahe Umsetzung der Vorgaben aus der EU-Daten-schutz-Grundverordnung sowie die Unterstützung bei der Erstellung von Löschkonzep-ten in zahlreichen Systemen (u.a. SAP HCM) zählen zu seinen Schwerpunkten.

Unsere Referenten im Bereich Datenschutz

Empfohlene Seminarfolge – Datenschutz

Dat

ensc

hutz

DSGVEU-Datenschutz-

Grunderverordnung

DSMADatenschutzmanagement

161

DSAVAuftragsverarbeitung

nach DS-GVO163162

DSIMInformations- und

Meldepflichten nach DS-GVO

DSRBRechte der Betroffenen

nach DS-GVO

DSFADatenschutz-Folgen-

abschätzung nach DS-GVO

DSVÜDatenschutzkonforme

Videoüberwachung168167

160

164

DSABVorbereitung auf Kontrollen

durch die Datenschutz- Aufsichtsbehörde

DSFGDatenschutz im

Gesundheitswesen170

DSFBDatenschutz im

Bankwesen171

169

DSVVVerzeichnis von

Verarbeitungstätigkeiten nach DS-GVO

Branchenspezifisch

Praxis Seminare

Grundlagen

FKDS„Hamburger

Datenschutztage“170

Konferenz

155


WWW.BOORBERG.DE

DatenschutzrechtKommentarBundesdatenschutzgesetz – Europäische Datenschutz-Grundverordnung – Datenschutz-gesetze der Länder – Bereichsspezifischer Datenschutz

von Dr. jur. Lutz Bergmann, Regierungsdirek-tor a.D., Dipl.-Verwaltungswirt (FH) Roland Möhrle und Professor Dr. jur. Armin Herb, Rechtsanwalt

Loseblattwerk, etwa 3660 Seiten, € 96,– einschl. 3 Ordnern und CD-ROM; ca. 2 Ergän-zungslieferungen/Jahr

ISBN 978-3-415-00616-4

Alles Wichtige zum Datenschutz.

Schwerpunkt des Standardwerkes ist die voll-ständige Kommentierung des Bundesdaten-schutzgesetzes (BDSG). Abgedruckt und zum Teil erläutert sind auch die Länderdaten-schutzgesetze sowie wichtige Regelungen des bereichsspezifi schen Datenschutzes. Auch die EU-DS-GVO ist ausführlich aufbereitet.

Der seit über 35 Jahren bewährte Kommentar bietet allen – ob im privaten oder öffentlichen Bereich tätigen – Datenschützern:

� alle Änderungen des BDSG vollständig kom-mentiert

� praxisgerechte Kommentierung des BDSG unter Berücksichtigung neuer Entwicklungen (z.B. Cloud Computing) mit Checklisten, Übersichten und Schaubildern

� Text des Bundesmeldegesetzes

� alle Landesdatenschutzgesetze sowie das LDSG BW mit Anmerkungen

� Multimedia und Datenschutz

� Datenschutzgesetze der Kirchen

� Datenschutzvorschriften aus allen Büchern des SGB mit Erläuterungen

� EU-Datenschutz-Grundverordnung mit einer systematischen Einführung und einer Synopse BDSG – EU-DS-GVO sowie den wichtigsten Kommentierungen der EU-DS-GVO (z. B. Art. 1, 3, 30, 31, 32 und 51) mit Formularen für die Praxis

� Arbeitshilfen und Sachregister auf CD-ROM

� Text zum neuen Bundesdatenschutzgesetz (»BDSG 2018«) sowie die Tabelle mit Zuord-nung des BDSG 2018 zu den jeweiligen Arti-keln der EU-DS-GVO

4 Wochen unverbindlich testen!

Datenschutz_2017_(neutrale Version).indd 1 04.09.2017 16:23:17

Ich brauche ein Wunder – genau jetzt!

Einen Monat bevor die Datenschutz-Grundverordnung gilt heißt es:

„Ansetzen zum Endspurt!“

Was muss noch umgesetzt werden? Welche Fallstricke gilt es zu umgehen?

Treffen Sie auf den 6. Hamburger Datenschutztagen Kolleginnen, Kollegen und

Experten, und nutzen Sie diese Plattform um über Risiken und Chancen des

neuen Rechts zu diskutieren.

Die Vorträge bieten Ihnen eine gute Mischung aus Theorie und Praxis. Referen-

ten sind u.a. die Landesbeauftragte für Datenschutz Schleswig-Holstein Marit

Hansen, Herr Dr. Robert Selk und Tim Wybitul.

Hören Sie an zwei Tagen spannende Vorträge, nehmen Sie an interessanten

Diskussionen teil, und genießen Sie die entspannte Atmosphäre auf unserer

Abendveranstaltung am Donnerstag.

Neugierig geworden?

Alle Informationen, wie Themen, Veranstaltungsort, Kosten etc. werden unter

www.ibs-schreiber.de/fkds laufend aktualisiert. Bei weiteren Fragen stehen wir

Ihnen unter [email protected] selbstverständlich gerne zur Verfügung.

6. Hamburger Datenschutztage19.-20.04.2018


Pre-Seminar: 18.04.2018

Konferenz: 19. - 20.04.2018

157

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


158

Dat

ensc

hutz

Die EU-Datenschutz-Grundverordnung (DS-GVO) ist bereits im Mai 2016 in Kraft getreten und gilt in jedem Mitgliedstaat der EU ab dem 25. Mai 2018 unmittelbar. Die Neuerungen aus dieser Verordnung müssen damit bis zum Mai 2018 umgesetzt werden.

Der Beseitigung von Schwachstellen kommt nach der Geltung der Verordnung eine noch größere Bedeutung zu, da der Strafrahmen für Datenschutz-verstöße deutlich höher ist als bisher.

Mit der EU-Datenschutz-Grundverordnung wird ein über Jahre andauernder Änderungsprozess eingeleitet. Das (nicht unumstrittene) Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG-EU) des deutschen Gesetzgebers wird ebenfalls ab Mai 2018 gelten und unter anderem eine Neufassung des BDSG enthalten.

Die neuen Anforderungen an die betriebliche Organisation, die veränderte Ausgestaltung der Betroffenenrechte, die Datenschutz-Folgen- abschätzung und die weiteren Neuerungen werden in diesem Seminar praxisbezogen erklärt und deren Umsetzung erörtert.

Grundlagen • Übergangszeit • Auswirkung auf andere Gesetze • Neufassung des BDSG • Definitionen und Grundprinzipien der DS-GVO

Die neuen Anforderungen • Rechtmäßigkeit der Verarbeitung • Rechte der Betroffenen • Datenschutzbeauftragter • Auftragsdatenverarbeitung • Technisch-organisatorische Maßnahmen • Meldepflicht • Verzeichnis von Verarbeitungstätigkeiten • Datenschutz-Folgenabschätzung • Datenschutzverstöße / Bußgeldvorschriften • Internationaler Datenverkehr

Umsetzung im Unternehmen • Betriebliche Organisation • Personalbereich – Beschäftigtendatenschutz • Marketing – Werbung • Videoüberwachung

Seminarcode DSGV Anmeldung DSGV • Fax: +49 40 696985-31 • [email protected]

Kosten865,- € zzgl. MwSt.inkl. Mittagessen, Geträn-ke und Seminarunterlagen (Print & Download)



Methoden Vortrag, Diskussion, Beispiele am Rechner/Beamer

r 01.02. – 02.02.2018

r 01.03. – 02.03.2018

r 07.05. – 08.05.2018

EU-Datenschutz-Grundverordnung 13 CPE

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


159

Dat

ensc

hutz

Seminarcode DSGV Anmeldung DSGV • Fax: +49 40 696985-31 • [email protected]

Die Anforderungen aus der kommenden Daten-schutz-Grundverordnung (DS-GVO) sind umfang-reich und komplex. Die Implementierung eines umfangreichen Datenschutzmanagements ist von zentraler Bedeutung. Eine Möglichkeit, die rechtli-chen Vorgaben praxisgerecht umzusetzen, ist die Betrachtung des Datenschutzes als Prozess.

Sämtliche Soll-Vorgaben werden dabei Punkt für Punkt oder gemeinsam als Einzelmaßnahme defi-niert und Schritt-für-Schritt sowie parallel abgearbei-tet. Die Maßnahmen lassen sich auf diese Weise auch fortlaufend betreiben oder regelmäßig wieder-holen.

In diesem Seminar zeigen wir Ihnen die Möglich-keiten, Datenschutzmaßnahmen als Prozess zu definieren und die individuellen Anforderungen an Ihr Datenschutzmanagement zu ermitteln. Sie ler-nen kurz-, mittel- und langfristige sowie begleitende Maßnahmen des Datenschutzes kennen.

Anhand vordefinierter Prozessbeschreibungen kön-nen zahlreiche Anforderungen, wie Wahrung der Betroffenenrechte, Auftragsverarbeitung, technische und organisatorische Maßnahmen, Melde- und In-formationspflichten, Verzeichnis der Verarbeitungs-tätigkeiten und Rechenschaftspflichten erfüllt wer-den.

Grundlagen• Datenschutzmanagement und –organisation• Datenschutz als Prozess• Rechtsvorschriften

Datenschutzmanagement• Rechtliche Vorgaben als Soll definieren• Verantwortlichkeiten definieren• Einzelmaßnahmen festlegen und priorisieren• kurzfristige Maßnahmen (sofort)• mittelfristige Maßnahmen (zeitnah)• langfristige Maßnahmen (umfassend)• begleitende Maßnahmen (wiederkehrend)

Einzelmaßnahmen• Zulässigkeit der Datenverarbeitung• Bestellung eines Datenschutzbeauftragten• Melde- und Informationspflichten• Verzeichnis der Verarbeitungstätigkeiten• Auftragsverarbeitung• technische und organisatorische Maßnahmen• Löschkonzept• Datenschutz-Folgenabschätzung• Rechte der Betroffenen

Hilfsmittel• Prozessbeschreibungen• Muster und Prüflisten

Anmeldung DSMA • Fax: +49 40 696985-31 • [email protected] Seminarcode DSMA

Kosten865,- € zzgl. MwSt. inkl. Mittagessen, Getränke und Seminarunterlagen (Print & Download)



MethodenVortrag, Diskussion, Beispiele am Rechner/Be-amer, Praxisbeispiele

r 22.03. – 23.03.2018

EU-Datenschutz-Grundverordnung Datenschutzmanagement 13 CPE

NEU

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


160

Dat

ensc

hutz

Praxis-SeminarVerzeichnis von Verarbeitungstätigkeiten nach DS-GVO

Mit der Datenschutz-Grundverordnung (DS-GVO) kommen umfangreiche Rechenschaftspflichten auf Verantwortliche der Datenverarbeitung zu. Das Verzeichnis der Verarbeitungstätigkeiten – bisher als Verfahrensverzeichnis bekannt – wird zukünftig nicht mehr nur ein „unbeschriebenes Blatt“ sein, sondern tatsächlich geführt werden müssen. Hinzu kommt die Pflicht für Auftragsverarbeiter ein eigenes Verzeichnis zu führen.

Sie erhalten einen Überblick über die gesetzlichen Anforderungen und die Pflichten für Verantwortliche und Auftragsverarbeiter. Anhand praktischer Verarbeitungssituationen erstellen wir exemplarisch die entsprechenden Verzeichnisse. Dabei werden auch die technischen und organisatorischen Maßnahmen sowie die Festlegung von Löschfristen berücksichtigt.

Ziel des Seminars ist die Identifikation und Einteilung der Verarbeitungstätigkeiten im Unternehmen sowie die selbstständige Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten als Verantwortlicher sowie als Auftragsverarbeiter.

Die erworbenen Vorkenntnisse können im Praxis-Seminar „Auftragsverarbeitung nach DS-GVO“ hilfreich umgesetzt werden.

Grundlagen • Übergangszeit • Auswirkung auf andere Gesetze • Neufassung des BDSG • Definitionen und Grundprinzipien der DS-GVO

Die neuen Anforderungen • Rechtmäßigkeit der Verarbeitung • Rechte der Betroffenen • Datenschutzbeauftragter • Auftragsdatenverarbeitung • Technisch-organisatorische Maßnahmen • Meldepflicht • Verzeichnis von Verarbeitungstätigkeiten • Datenschutz-Folgenabschätzung • Datenschutzverstöße / Bußgeldvorschriften • Internationaler Datenverkehr

Umsetzung im Unternehmen • Betriebliche Organisation • Personalbereich – Beschäftigtendatenschutz • Marketing – Werbung • Videoüberwachung

Seminarcode DSVV Anmeldung DSVV • Fax: +49 40 696985-31 • [email protected]

r 14.05.2018


Dauer: 1 Tag1. Tag: 09:00 – 16:00 Uhr



7 CPE

NEU

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


161

Dat

ensc

hutz

Praxis-SeminarVerzeichnis von Verarbeitungstätigkeiten nach DS-GVO

Seminarcode DSVV Anmeldung DSVV • Fax: +49 40 696985-31 • [email protected]

Werden personenbezogene Daten im Auftrag des Verantwortlichen oder mehrerer gemeinsamer Verantwortlicher verarbeitet, sind die besonderen Anforderungen aus der Datenschutz-Grundverord-nung (DS-GVO) einzuhalten.

Der Auftragsverarbeiter handelt dabei grund-sätz-lich nicht in eigener Verantwortung, sondern strikt auf Weisung des Verantwortlichen. Unterschied-liche Fallkonstellationen sind zu berücksichtigen: die Verarbeitung erfolgt auf Systemen des Verant-wortlichen, Daten werden an Auftragsverarbeiter übermittelt oder in Drittländern außerhalb der EU verarbeitet.

In diesem Praxis-Seminar zeigen wir die rechtlichen Anforderungen an die Auftragsverarbeitung auf und führen exemplarisch anhand eines Planspiels die Konzeptionierung und Beauftragung einer Auftrags-verarbeitung durch.

Dabei werden insbesondere die Auswahl des Dienstleisters, die Erfüllung der formellen Anforde-rungen sowie die Erfassung im Verzeichnis der Ver-arbeitungstätigkeiten für den Verantwortlichen sowie für den Auftragsverarbeiter berücksichtigt.

Hilfreich sind Vorkenntnisse zum Verzeichnis der Verarbeitungstätigkeiten, die auch in unserem Kom-bi-Seminar zur Verfügung gestellt werden.

Rechtliche Anforderungen• Unterschiedliche Fallkonstellationen• Abgrenzung Auftragsverarbeitung / Übermittlung• Rechtsgrundlagen DS-GVO• Formelle Anforderungen • Hinreichende Garantien• Unterauftragnehmer

Auswahl des Dienstleisters• Hinreichende Garan tien• Technische und organisatorische Maßnahmen• Verarbeitungen außerhalb der EU

Umfang der Vereinbarung• Inhaltliche Anforderungen• Formelle Anforderungen• Weisungsbefugnis

Pflichten• Verzeichnis der Verarbeitungstätigkeiten für Verantwortliche und Auftragsverarbeiter• Regelmäßige Kontrollen beim Dienstleister

Hilfsmittel• Checkliste zur Auswahl des Dienstleisters• Muster-Vereinbarung• Muster für technische und organisatorische Maßnahmen

Anmeldung DSAV • Fax: +49 40 696985-31 • [email protected] Seminarcode DSAV

r 15.05.2018

7 CPEPraxis-Seminar Auftragsverarbeitung nach DS-GVO


Dauer: 1 Tag1. Tag: 09:00 – 16:00 Uhr



NEU

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


162

Dat

ensc

hutz

Praxis-Seminar: Informations- und Meldepflichten nach DS-GVO

Transparenz ist einer der wichtigsten Grundsätze der Datenschutz-Grundverordnung. Die Informations- pflichten gegenüber den Betroffenen finden dabei an mehreren Stellen Berücksichtigung.

Zunächst haben Betroffene das Recht auf Information, in Abhängigkeit davon, bei wem die Daten erhoben wurden. Prozesse zur Gewährleistung dieser und weiterer Rechte müssen geplant und umgesetzt sein.

Bei Verletzungen des Schutzes personenbezogener Daten haben Verantwortliche die Pflicht diese Verletzung zu identifizieren, das Risiko zu bewerten und den Vorfall zu dokumentieren. Ist ein Risiko für die Betroffenen zu erwarten besteht muss die Verletzung an die Datenschutz-Aufsichtsbehörde gemeldet werden. Liegt ein voraussichtliches hohes Risiko für die Betroffenen vor, müssen diese darüber hinaus in Form einer Benachrichtigung informiert werden.

Dieses Seminar behandelt die Konzeptionierung und Umsetzung der erforderlichen Prozesse zur Erkennung und Behandlung von Datenschutzverletzungen (data breach detection) sowie die Meldung an die Aufsichts-behörde (data breach notification) und die Benach-richtigung der Betroffenen. Ergänzend bieten wir das Praxis-Seminar „Rechte der Betroffenen“ an.

Grundlagen • Datenschutz-Grundverordnung • Nationale Vorschriften • Transparenz der Datenverarbeitung • Rechte der Betroffenen • Pflichten der Verantwortlichen und Auftrags- verarbeiter

Informationspflichten • Datenerhebung beim Betroffenen • Datenerhebung nicht beim Betroffenen • Benachrichtigung bei Datenschutzverletzungen

Meldepflichten • Identifikation von Datenschutzverletzungen (data breach detection) • Meldepflichten der Auftragsverarbeiter • Beurteilung der Datenschutzverletzung (data breach risk demonstration) • Dokumentationspflichten (data breach documentation) • Meldung an die Aufsichtsbehörde (data breach notification)

Hilfsmittel • Matrix zur Meldepflicht • Muster Informationen an Betroffene • Musterprozess Meldepflichten

Seminarcode DSIM Anmeldung DSIM • Fax: +49 40 696985-31 • [email protected]

r 20.06.2018


Dauer: 1 Tag1. Tag: 09:00 – 16:00 Uhr



7 CPE

NEU

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


163

Dat

ensc

hutz

Praxis-Seminar: Informations- und Meldepflichten nach DS-GVO

Seminarcode DSIM Anmeldung DSIM • Fax: +49 40 696985-31 • [email protected]

Transparenz ist einer der wichtigsten Grundsätze der Datenschutz-Grundverordnung. Dies wird durch die Rechte der Betroffenen besonders zum Ausdruck gebracht.

Neben den bisher bekannten Rechten auf Aus-kunft, Berichtigung und Einschränkung der Verarbeitung (bisher: Sperrung) kommen neue bzw. geänderte Rechte hinzu, die für Verantwortliche eine klare Herausforderung darstellen.

Das Recht auf Löschung („Recht auf Verges-senwerden“) zielt nicht nur auf die Speicherung personenbezogener Daten im Internet ab, sondern bringt zahlreiche Anforderungen an die Löschung von Daten in Systemen und Prozessen mit sich.Das Recht auf Datenübertragbarkeit verlangt eine umfangreiche Planung für die Ausgabe personen-bezogener Daten im maschinenlesbaren Format und ist in der Umsetzung deutlich komplexer als die Gewährleistung anderer Rechte.

Dieses Seminar beschäftigt sich mit der Implemen-tierung eines Rechtemanagements für die Wahrung der Rechte der Betroffenen und versetzt die Teil-nehmer anhand von konkreten Praxisbeispielen in die Lage, den Anforderungen der DS-GVO gerecht zu werden.

Grundlagen• Transparenz der Datenverarbeitung• Pflichten der Verantwortlichen• Datenschutz-Grundverordnung• Nationale Ergänzungsvorschriften

Rechte der Betroffenen• Auskunft• Berichtigung• Löschung („Vergessenwerden“)• Einschränkung der Verarbeitung• Datenübertragbarkeit• Widerspruch• Automatisierte Einzelfallentscheidung

Prozesse gestalten• Rechtemanagement• Wahrung der Rechte planen• Konzept zur Umsetzung der Rechte• Prozessbeschreibung• Umgang mit besonderen Fallkonstellationen• Beteiligung der zuständigen Fachbereiche• Datenverarbeitung im Auftrag• Dokumentation und Kontrolle

Hilfsmittel• Checklisten und Muster• Prozessbeschreibung• Transparenzkonzept

Anmeldung DSRB • Fax: +49 40 696985-31 • [email protected] Seminarcode DSRB

r 21.06.2018

Praxis-Seminar: Rechte der Betroffenen nach DS-GVO 7 CPE


Dauer: 1 Tag1. Tag: 09:00 – 16:00 Uhr



NEU


Unterstützung bei der Umsetzung der EU-Datenschutz-Grundverordnung Wir begleiten Sie von der Voranalyse, durch alle Phasen des Customizing, bis zum finalen Löschprozess – mit uns decken Sie den gesamten Lebenszyklus von Daten ab.

Technische Beratung und UnterstützungWir decken datenschutzrechtliche Fragen, als auch die technische Beratung ab.

Technische Implementierung von Löschkonzepten in SAP HCM Wir setzen die konzeptionellen Vorgaben eines Löschkonzeptes technisch in IhremSAP HCM System um. Gern beraten wir Sie bei zeitabhängigen Komponenten der Berechtigungssystematik zur Umsetzung der Sperrung von personenbezogenen Daten.

Was wir Ihnen zum Thema anbieten:

Löschen und SperrenDatenschutzkonformer Umgang mit personenbezogenen Daten

Unsere Kompetenzen

EU-Datenschutz-Grundverordnung

üWebinareüSeminar

üProjekte üBeratung

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


165

Dat

ensc

hutz

Die Verarbeitung personenbezogener Daten kann je nach Zweck, Umfang und Ausgestaltung unterschiedlich hohe Risiken für die Betroffenen mit sich bringen. Die Datenschutz-Grundverordnung (DS-GVO) sieht daher für Verarbeitungstätigkeiten, die ein hohes Risiko erwarten lassen, die Durchfüh-rung einer Risikoanalyse vor.

Diese Datenschutz-Folgenabschätzung (data protection impact assesment) ist ähnelt der bisher bekannten Vorabkontrolle nach dem alten BDSG. Auf diese Weise soll sichergestellt werden, dass die Intensität der Eingriffe in die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten ausreichend Rechnung getragen wird.

Die Datenschutz-Aufsichtsbehörden haben eine Liste von Verarbeitungstätigkeiten veröffentlicht, für die eine Datenschutz-Folgenabschätzung zwingend notwendig ist.

In diesem Seminar zeigen wir Ihnen Möglichkei-ten einer praxisgerechten Datenschutz-Folgenab- schätzung anhand einer konkreten Verarbei-tungstätigkeit (Videoüberwachung). Die Praxis- Seminare „Datenschutzkonforme Videoüberwa-chung“ und „Vorbereitung auf Kontrollen durch die Aufsichtsbehörde“ ergänzen dieses Seminar hilfreich.

Grundlagen• Rechtliche Rahmenbedingungen• Verarbeitungstätigkeiten• Risikoanalyse• Whitelist für die Erforderlichkeit einer Datenschutz-Folgenabschätzung

Vorbereitung• Planung von Verarbeitungstätigkeiten• Einbindung des Datenschutzbeauftragten• Beratung durch die Aufsichtsbehörde

Durchführung• Fachliche Risikoanalyse und Festlegung der Verantwortlichkeiten• Befragung der Betroffenen

Ergebnis• Auswertung der Risikoanalyse• Einschätzung der Intensität• Konsultation der Aufsichtsbehörde• Abhilfemaßnahmen• Dokumentation

Hilfsmittel• Matrix für die Risikoanalyse• Leitfaden zur Durchführung einer Datenschutz-Folgenabschätzung• Muster und Checklisten

Anmeldung DSFA • Fax: +49 40 696985-31 • [email protected] Seminarcode DSFA

r 23.08.2018

r 22.10.2018

Praxis-Seminar: Datenschutz-Folgenabschätzung nach DS-GVO 7 CPE


Dauer: 1 Tag1. Tag: 09:00 – 16:00 Uhr



NEU

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


166

Dat

ensc

hutz

Praxis-Seminar: Datenschutzkonforme Videoüberwachung

Die Datenschutz-Grundverordnung (DS-GVO) enthält keine explizite Rechtsgrundlage zur Videoüber- wachung. Für Verantwortliche in Deutschland sind jedoch das neue Bundesdatenschutzgesetz (BDSG) sowie arbeitsrechtliche Vorschriften für die Videoüberwachung zu beachten.

Darüber hinaus sind weitere Anforderungen aus der DS-GVO, wie z.B. die Datenschutz-Folgen- abschätzung oder die Erfassung im Verzeichnis der Verarbeitungstätigkeiten zu berücksichtigen.

In diesem Praxis-Seminar zeigen wir die Möglichkeiten rechtskonformer Videoüberwachung auf und demonstrieren anhand von praktischen Beispielen die Umsetzung in öffentlich zugänglichen Räumen sowie in Bereichen mit Mitarbeiterüberwachung auf.

Der gesamte Prozess der Videoüberwachung – von der Planung bis zur Umsetzung – wird für jeden Teilnehmer individuell durchlaufen und anhand des jeweils gewünschten Szenarios umgesetzt. Dabei werden sowohl die Rechte der Betroffenen als auch die Grundsätze für die Verarbeitung personenbezogener Daten berücksichtigt. Hilfreich sind Vorkenntnisse zur Datenschutz-Folgenabschätzung sowie zum Verzeichnis der Verarbeitungstätigkeiten.

Rechtliche Anforderungen • Datenschutz-Grundverordnung • Nationale Rechtsvorschriften (z.B. BDSG) • Arbeitsrechtliche Anforderungen • Betriebsvereinbarungen Planung • Individuelle Szenarien • Beteiligung der Arbeitnehmervertretung • Datenschutz-Folgenabschätzung • Sicherheitskonzept • Rechte der Betroffenen • Technische und organisatorische Maßnahmen • Auftragsverarbeitung Umsetzung • Löschprozess • Beweissicherung • Übermittlung an Behörden • Datenschutz-Aufsichtsbehörden Hilfsmittel • Checkliste • Planspiel • Muster-Betriebsvereinbarung • Muster-Datenschutz-Folgenabschätzung

Seminarcode DSVÜ Anmeldung DSVÜ • Fax: +49 40 696985-31 • [email protected]

r 23.10.2018

r 08.11.2018


Dauer: 1 Tag1. Tag: 09:00 – 16:00 Uhr



7 CPE

NEU

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


167

Dat

ensc

hutz

Praxis-Seminar: Datenschutzkonforme Videoüberwachung

Seminarcode DSVÜ Anmeldung DSVÜ • Fax: +49 40 696985-31 • [email protected]

Jeder Mitgliedsstaat der Europäischen Union hat eine oder mehrere unabhängige Behörden für den Datenschutz, die vorrangig für die Überwachung der Anwendung der Datenschutz-Grundverordnung (DS-GVO) zuständig sind und somit die Grundrech-te und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten schützen sollen.

Um die Aufgaben erfüllen zu können, sind die Auf-sichtsbehörden u.a. befugt, Untersuchungen in Form von Datenschutzprüfungen durchzuführen. Verantwortliche und Auftragsverarbeiter sind ver-pflichtet, alle Informationen bereitzustellen und Zugang zu allen personenbezogenen Daten und In-formationen zu gewähren, die für die Untersuchung erforderlich sind. Dies gilt auch für den Zugang zu den Geschäftsräumen, einschließlich sämtlicher Da-tenverarbeitungsanlagen.

Wir zeigen Ihnen, wie Sie zeitnah sämtliche Prozes-se der Datenverarbeitung nachvollziehen und das Verzeichnis der Verarbeitungstätigkeiten sowie alle relevanten Dokumentationen nachweisen können.

Vorkenntnisse aus den Praxis-Seminaren „Datenschutz-Folgenabschätzung nach DS-GVO“ und „Datenschutzkonforme Videoüberwachung“ können auf Kontrollen durch die Aufsichtsbehörden unmittelbar angewendet werden.

Grundlagen• Rechtsvorschriften zu den Datenschutz- Aufsichtsbehörden in der Datenschutz-Grundver- ordnung und nationalen Rechtsvorschriften• Zuständigkeit• Aufgaben• Befugnisse

Kontrollen• Schriftliche Anforderungen• Vor-Ort-Prüfung• Zugang zu Geschäftsräumen, Datenverarbei- tungsanlagen und Informationen• Einbindung des Datenschutzbeauftragten

Nachweispflichten• Durchführung von Datenschutz- Folgenabschätzungen• Verzeichnis der Verarbeitungstätigkeiten• Gezielte Dokumentation• Überprüfung von Zertifizierungen

Zusammenarbeit• Beratung durch die Aufsichtsbehörde• Genehmigungsverfahren für Vertragsklauseln und verbindliche interne Vorschriften

Hilfsmittel• Muster und Checklisten zur Vorbereitung auf Kontrollen

Anmeldung DSAB • Fax: +49 40 696985-31 • [email protected] Seminarcode DSAB

r 24.08..2018

r 09.11.2018

Praxis-Seminar: Vorbereitung auf Kontrollen durch die Datenschutz-Aufsichtsbehörde 7 CPE


Dauer: 1 Tag1. Tag: 09:00 – 16:00 Uhr



NEU

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


168

Dat

ensc

hutz

Datenschutz im Gesundheitswesen

Die Verarbeitung personenbezogener Daten im Gesundheitswesen stellt höchste Ansprüche an Verant-wortliche und Auftragsverarbeiter. Sämtliche Anforde-rungen der Datenschutz-Grundverordnung (DS-GVO) sowie nationaler Datenschutz- und Strafvorschriften müssen abgedeckt werden.

Gegenstand der Verarbeitungen sind fast aussch- ließlich besondere Kategorien personenbezogener Daten, sodass die Bedingungen für die Einwilligung sowohl von Erwachsenen als auch von Kindern eine wichtige Rolle spielen.

In diesem Seminar erhalten Sie einen tieferen Einblick in den Datenschutz im Gesundheitswesen. Die Anforderungen an die betriebliche Organisation, die Wahrung der Betroffenenrechte, die Datenschutz- Folgenabschätzung und das Verzeichnis der Verarbeitungstätigkeiten werden branchenspezifisch dargestellt.

Darüber hinaus werden erforderliche technische und organisatorische Maßnahmen sowie Besonderheiten bei der Auftragsverarbeitung berücksichtigt.

Als hilfreiche Unterstützung erhalten Sie Mustervorlagen sowie Prüf- und Checklisten, speziell für den Einsatz im Gesundheitswesen.

Grundlagen • Definitionen und Grundprinzipien der DS-GVO • Nationale Rechtsvorschriften im Gesundheitswesen

Anforderungen • Rechtmäßigkeit der Verarbeitung • Rechte der Betroffenen • Datenschutzbeauftragter • Auftragsdatenverarbeitung • Technische und organisatorische Maßnahmen • Meldepflichten • Verzeichnis von Verarbeitungstätigkeiten • Datenschutz-Folgenabschätzung • Datenschutzverstöße / Bußgeldvorschriften

Umsetzung • Betriebliche Organisation • Personalbereich – Beschäftigtendatenschutz • Informationspflichten gegenüber Patienten • Datenübermittlung an Dritte • Einbindung von Auftragsverarbeitern

Seminarcode DSFG Anmeldung DSFG • Fax: +49 40 696985-31 • [email protected]

r 10.12.2018


Dauer: 1 Tag1. Tag: 09:00 – 16:00 Uhr



7 CPE

NEU

Name, Vorname:

E-Mail:

Firma:

Abteilung:

Termine 2018:

Straße:

PLZ/Ort:

Telefon:




Anreise:

Datum, Ort


Abreise:

Unterschrift


169

Dat

ensc

hutz

Datenschutz im Gesundheitswesen

Seminarcode DSFG Anmeldung DSFG • Fax: +49 40 696985-31 • [email protected]

Als vorrangige Rechtsvorschrift für die Verarbeitung personenbezogener Daten gilt seit dem 25. Mai 2018 die Datenschutz-Grundverordnung (DS-GVO). Anders als bisher üblich verdrängen speziellere nationale Gesetze, insbesondere im Bankwesen diese EU-Verordnung nicht. Lediglich im Rahmen der Öffnungsklauseln können diese Normen die DS-GVO ergänzen.

Ein effektives und umfangreiches Datenschutz- management ist für Finanzinstitute von zentraler Bedeutung, um die betriebliche Organisation, die Anforderungen an Compliance-Vorgaben sowie die Zulässigkeit der Datenverarbeitung, insbesondere auf Basis der Einwilligung zu gewährleisten.

Darüber hinaus sind durch den Einsatz neuer Techniken und die Umsetzung der zweiten Zahlungsdiensterichtlinie (Payment Service Directive II - PSD II) im Januar 2017 auch die Anforderungen an technische und organisatorische Maßnahmen gestiegen.

In diesem Seminar behandeln wir die Grundsätze der Datenverarbeitung nach DS-GVO, abgestimmt auf die Besonderheiten im Bankwesen. Als Teilnehmer erhalten Sie einen Überblick über die rechtlichen Rahmenbedingungen sowie die Möglichkeiten eines hilfreichen Datenschutzmanagements.

Grundlagen• Grundsätze bei der Verarbeitung personenbezogener Daten• Datenschutz-Grundverordnung• Nationale Rechtsvorschriften

Besondere Anforderungen im Bankwesen• Rechtsgrundlagen für die Verarbeitung personenbezogener Daten• Einwilligung von Kindern• Compliance-Vorgaben• Internationaler Datentransfer• Rechenschaftspflichten• Technische und organisatorische Maßnahmen• Datenübermittlung bzw. Zugriff für Konto- informationsdienste und Zahlungsauslösedienste• Bedeutung der Wesentlichkeit für die Auftragsverarbeitung• Vertragsmanagement im Bereich der Auftragsverarbeitung• Verschwiegenheitsverpflichtung

Hilfsmittel• Musterverträge, Checklisten und Ausfüllhilfen für Auftragsverarbeitung, technische und organisatorische Maßnahmen und Verzeichnis der Verarbeitungstätigkeiten und weitere Datenschutzthemen

Anmeldung DSFB • Fax: +49 40 696985-31 • [email protected] Seminarcode DSFB

r 11.12.2018

Datenschutz im Bankwesen 7 CPE


Dauer: 1 Tag1. Tag: 09:00 – 16:00 Uhr



NEU

SAP-Sicherheit I/2018 II/2018 ( RuleSet Update Service for SAP Access Control 02.02.2018 28.09.2018 ( Sperren und Löschen von personenbezogenen Daten im SAP HCM - Grundlagen 03.03.2018 07.09.2018 ( Sperren und Löschen von personenbezogenen Daten im SAP HCM II - Vertiefung 18.05.2018 23.11.2018 ( SAP HANA Security 02.03.2018 17.09.2018 ( Mit „SAP Enterprise Threat Detection“ Hackern auf der Spur 12.03.2018 14.11.2018 ( Berechtigungsbedarfsanalyse in SAP Berechtigungsprojekten:

Vorgehen, Werkzeuge, Inhalte 22.01.2018 19.10.2018 ( SAP Cloud Security 20.06.2018 31.10.2018 ( CheckAud: Effiziente Abbildung eines IKS für SAP Berechtigungen 14.03.2018 29.08.2018 ( CheckAud: Migration zu SAP S/4HANA-Berechtigungen 13.06.2018 28.11.2018 ( CheckAud: Einsatzszenarien und Funktionsumfang 13.04.2018 20.07.2018

19.10.2018

IT-Sicherheit ( Schwachstellen bei Webapplikationen 19.04.2018 25.10.2018 ( Methoden und Vorgehensweisen bei Penetrationstests 17.05.2018 16.11.2018

Data Science ( Big Data 19.01.2018 14.09.2018 ( Stichprobenverfahren Teil I: Einführung 23.02.2018 08.10.2018 ( Stichprobenverfahren Teil II: Mathematisch-statische Verfahren 02.03.2018 19.10.2018 ( Die Technik des tabellenorientierten Prüfens in SAP-Systemen 09.03.2018 07.11.2018 ( Informationen zur CASAP-Zertifizierung 20.04.2018 26.10.2018 ( Benford Ziffernanalyse 3.0 27.04.2018 03.12.2018

Webinare 2018

Weitere Informationen und die Termine finden Sie unter: www.ibs-schreiber.de/webinare/


Gern führen wir unsere Seminare auch als Inhouseseminar in Ihrem Haus oder als Individualseminar für Ihr Unternehmen in unserem Schulungs-center in Hamburg durch.

Ihre Vorteile ( Thema und Schwerpunkt der Seminare werden individuell auf Ihre Bedürfnisse zugeschnitten

( Speziell bei Inhouseseminaren: Schulung anhand einer konkreten Prüfung

( Sie erhalten ein kostengünstiges Angebot zu einem pauschalen Festpreis

( Zeitpunkt, Ort, und Dauer können Sie bestimmen

Klar zum Check-In? Lassen Sie sich ein individuelles Angebot erstellen!

Seminarmanagement

Telefon: +49 40 69 69 85 - 10

E-Mail: [email protected]

Inhouse- und Individualseminare

IBS Schreiber GmbH • Zirkusweg 1 • 20359 HamburgFon: +49 40 69 69 85-10 • www.ibs-schreiber.de • [email protected] 171

Von unseren drei Partnerhotels aus erreichen Sie unser IBS-Seminarzentrum innerhalb von 3 Gehminuten. Unsere IBS-Sonderkon-ditionen erhalten Sie nur bei direkter Buchung über uns. Schicken Sie hierzu einfach Ihre Buchungsdaten (Anreise, Abreise, EZ / DZ, Raucher / Nichtraucher) an [email protected]. Wir freuen uns auf Ihren Besuch!

Empire Riverside HotelBernhard-Nocht-Straße 9720359 Hamburg

IBS-SonderkonditionenEinzelzimmer inkl. Frühstück 118,00 €Doppelzimmer inkl. Frühstück 129,00 €

Tel: +49 40 31 11 9-0 www.empire-riverside.de

Hotel Hafen HamburgSeewartenstraße 920459 Hamburg


Tel: +49 40 31 11 3-0www.hotel-hamburg.de

Unsere Partnerhotels

ARCOTEL OnyxReeperbahn 120359 Hamburg


Tel: +49 40 209 409-0www.arcotelhotels.com


Mit der Bahn:

Vom Hauptbahnhof: U-Bahn 3 (gelbe Linie) Richtung Barmbek bis zur Station “St. Pauli“. Sie verlassen den Bahnhof in Richtung Reeperbahn und sehen das große Glasgebäude hinter dem Operettenhaus.

oder:

S-Bahn 1 (grüne Linie) Richtung Wedel oder die S-Bahn 3 (lila Linie) Richtung Pinneberg bis zur Station „Landungsbrücken“. Sie verlassen den Bahnhof in Richtung Landungsbrücken und sehen das große Glasgebäude hinter dem Hotel Hafen Hamburg (auf der Anhöhe). Sie gelangen über eine Trep-pe zu unserem Gebäude.

Vom Flughafen: Steigen Sie in die S-Bahn-Linie 1 (grüne Linie) in Richtung Altona/Wedel. Fahren Sie bis zur Station „Landungsbrücken“. Sie verlassen den Bahnhof in Richtung Landungsbrücken und sehen das große Glasgebäude hinter dem Hotel Hafen Hamburg (auf der Anhöhe). Sie gelangen über eine Treppe zu unserem Gebäude.

IBS Schreiber GmbH International Business Services for auditing and consulting Zirkusweg 1 20359 Hamburg

Telefon: +49 40 69 69 85-0 www.ibs-schreiber.de

Anfahrt



Gegründet am 01. Juli 1979 als Ingenieurbüro Schreiber stellt sich das Unternehmen heute als IBS Schreiber GmbH – International Business Services for auditing and consulting – dar und steht für vier Geschäftsbereiche:

Prüfseminare und FachkonferenzenIm IBS-Schulungscenter in Hamburg werden über 100 Seminarthemen in diversen Kategorien angeboten. Durch ihre praktische Prüftätigkeit gewährleisten die IBS-Referenten Kompetenz, Aktualität und Praxisorientierung in den IBS-Seminaren. Auf diversen Fachkonferenzen stellt IBS Ihnen aktuelle Entwicklungen und Probleme, die für die „Sicherheit und Prüfung“ relevant sind, mit anerkannten Experten zur Diskussion.

Prüfung und Beratung

Langjährige Praxiserfahrung zeichnen die IBS-Prüfer und IBS-Berater aus. Dies beweist sich neben zahlreichen Stammkunden, die vom IBS betreut werden, auch in zahlreichen Veröffentlichungen wie z.B.:• OPSAP: Ordnungsmäßigkeit und Prüfung von SAP-Systemen• zahlreiche IBS-Prüfmanuals• Beiträge im Fachjournal PRev - Revisionspraxis

Data Science

Die Daten eines Unternehmens sind ein wichtiges Fundament für eine erfolgreiche Geschäftstätigkeit. Aus ihnen lassen sich risikorelevante Faktoren wie die Qualität der Geschäftsprozesse, die Wirksamkeit des IKS sowie die Durchführung von dolosen Handlungen herauslesen. Hierfür werden Methoden und Techniken der Datenanalyse eingesetzt. Aus den Ergebnissen können geeignete Maßnahmen zur Risikoreduzierung abgeleitet werden.

Aufgrund der zunehmenden Bedeutung der Datenanalyse im Prüfungswesen bietet IBS zu diesem Thema folgendes Dienstleistungsportfolio an:• Prüfung und Beratung • ein umfassendes Seminarprogramm im eigenen modernen Schulungscenter mit entsprechenden IT-Systemen• die jährliche Fachkonferenz „Data Science“

GRC-Software CheckAud® for SAP Systems

CheckAud® for SAP Systems wurde mit der Zielrichtung entwickelt, Berechtigungskonzepte in SAP Systemen transparent, leicht prüfbar und kontrollierbar zu machen.

CheckAud® for SAP Systems sorgt dafür, dass • Berechtigungsprüfungen zu Komplettprüfungen werden – Stichprobenprüfungen genügen den Anforderungen nicht!• Prüfungen nicht oberflächlich bleiben. Know-how und Leitfäden im Tool verschaffen der Systemprüfung die notwendige

Tiefe.• ein internes Kontrollsystem für SAP Berechtigungen mit geringem Aufwand implementiert werden kann.

Datenschutz-Dienstleister — Schwesterfirma IBS data protection

Als Anerkannte Prüfstelle Datenschutz des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gewährleistet IBS Fachkompetenz und Unabhängigkeit • als externer Datenschutzbeauftragter und • als Datenschutzgutachter für das europäische Datenschutzgütesiegel.

Wie sicher sind Sie?

Unsere Referenzen bilden sich in jeder Branche bei namhaften Unternehmen ab.

Weitere Informationen erhalten Sie unter: www.ibs-schreiber.de.

IBS – seit über 38 Jahren


IBS – seit über 38 Jahren

Anmeldung

Ihre Anmeldung muss schriftlich erfolgen. Benutzen Sie hierzu das jeweilige Anmeldeformular der Seminare. Gerne können Sie sich auch über unseren Internetauftritt www.ibs-schreiber.de oder per E-Mail ([email protected]) anmelden. Geben Sie uns bitte in jedem Fall den Namen des Teilnehmers, die vollständige Firmen- bzw. Rechnungsanschrift mit Telefon- und Faxnummer und Mail-Adresse an. Die Seminargebühren sind bis Veranstaltungsbeginn in voller Höhe zu entrichten.

Rabattierungsmöglichkeiten

Werden in einem Kalenderjahr mehrere Seminare durch ein Unternehmen gebucht, gewähren wir folgende Rabatte auf die Teilneh-mergebühr:

1. Teilnahme in einem Kalenderjahr 0 % Rabatt2. – 4. Teilnahme eines Kalenderjahres 10 % Rabatt5. und folgende Teilnahme eines Kalenderjahres 15 % Rabatt

ISACA- , DIIR- und ISC2-Mitglieder erhalten unter vorheriger Angabe ihrer Mitgliedsnummer 15 % Rabatt auf die Teilnahmegebühr.

Die Mitgliedsnummern müssen bei der Seminaranmeldung bekannt gegeben werden, eine rückwirkende Gutschrift von Rabatten ist nicht möglich.

Eine Kumulierung der Rabattierungen ist nicht möglich! Fachkonferenzen (inkl. Pre-Seminare), sowie Inhouse- und Individualseminare sind von den Rabattierungen ausgeschlossen. Zur CASAP-Zertifizierung wird lediglich die ISACA-Mitgliedschaft berücksichtigt (s.S. 108).

Rücktritt

Stornierung bis zu 4 Wochen vor Seminarbeginn ist kostenfrei. Bis 1 Woche vorher berechnen wir 50 % des Rechnungsendbe-trages. Danach ist die Seminargebühr voll zu bezahlen. Ersatzteilnehmer können selbstverständlich jederzeit benannt werden. Die Stornierung muss schriftlich erfolgen.

Änderungsvorbehalt

Änderungen bei Seminar-Terminen, Seminar-Orten und Referenten behält sich IBS vor.

Absage durch Veranstalter

Muss aus organisatorischen oder krankheitsbedingten Gründen ein Seminar seitens der IBS Schreiber GmbH abgesagt werden, können über gezahlte Schulungsgebühr hinausgehende Ansprüche nicht geltend gemacht werden.

Datenschutz

Die IBS Schreiber GmbH weist Sie gemäß § 33 Abs. 1 Bundesdatenschutzgesetz darauf hin, dass Ihre personenbezogenen Daten gespeichert und im Rahmen der Zweckbestimmung des bestehenden Vertragsverhältnisses verarbeitet werden. Die Zweckbestimmung umfasst insbesondere die Rechnungsstellung. Alle Daten werden vertraulich behandelt. Eine Weitergabe der Daten an Dritte erfolgt nicht. Die IBS Schreiber GmbH wird alle Informationen, Geschäftsvorgänge und Unterlagen, die im Zusammen-hang mit diesem Vertrag entstehen, gegenüber Dritten vertraulich behandeln, es sei denn, sie sind bereits auf andere Weise allgemein bekannt geworden. Diese Pflicht bleibt auch nach Beendigung eines Vertrages bestehen.

Teilnahmebedingungen



Erscheinungsweise: Einmal pro Jahr September / Oktober

Fachliche Leitung: Dipl.-Ing. Ottokar Schreiber

Seminarmanagement Leitung: Susanne Hegeler Zirkusweg 1, 20359 Hamburg Telefon +49 40 696985-10 Telefax +49 40 696985-31 E-Mail: [email protected] www.ibs-schreiber.de

Rechtliche Hinweise: Der Inhalt dieser Seminarbroschüre inklusive aller Beiträge und Abbildungen ist urheberrechtlich geschützt. Jede Vervielfältigung oder Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen wird, bedarf der schriftlichen Zustimmung der IBS Schreiber GmbH. Dies gilt auch für Bearbeitung, Übersetzung, Verfilmung, Digitalisierung und Verarbeitung bzw. Bereitstellung in Datenbanksystemen und elektronischen Medien einschließlich der Verbreitung über das Internet. Die Verwendung von Markennamen und rechtlich geschützten Begriffen auch ohne Kennzeichnung berechtigt nicht zu der Annahme, dass diese Begriffe jedermann zur Verwendung oder Benutzung zur Verfügung stehen.

Erfüllungsort und Gerichtsstand: Hamburg. IBS Schreiber GmbH, Zirkusweg 1, 20359 Hamburg. HRB Hamburg 60790. USt-ID DE179250071. Geschäftsführer: Thomas Tiede, Sebastian Schreiber.

Anzeigen: Fragen Sie bitte nach unseren aktuellen Mediadaten.

Anzeigenleitung: B.A. Christina Pagis, IBS Schreiber GmbH Telefon +49 40 696985-19 E-Mail: [email protected]

Fotografie: IBS-Schreiber, fotolia.de, iStockphoto.com, 123rf.com und shutterstock.com

Druck: DATA 2000 GmbH Linnicher Str. 48 50933 Köln

© Copyright 2018: IBS Schreiber GmbH, Hamburg Alle Rechte vorbehalten

Impressum

Anzeigenverzeichnis

Seite Produkt Firma20 PRev Revisionspraxis RBV Richard Boorberg Verlag31 ESV Erich Schmidt Verlag32 Data Science IBS Schreiber GmbH56 IT-Sicherheit IBS Schreiber GmbH68 <kes> DATAKONTEXT76 CheckIDM for SAP Systems IBS Schreiber GmbH101 Sicherheit von SAP-Systemen IBS Schreiber GmbH108 CASAP ISACA/IBS Schreiber GmbH118 OPSAP RBV Richard Boorberg Verlag142 S@PPORT MarkIT Communication GmbH

Seite Produkt Firma146 SAP S/4HANA Finance SAP AG148 CheckAud for SAP Systems IBS Schreiber GmbH150 SAP PRESS Rheinwerk Verlag GmbH153 Datenschutz & IT-Sicherheit DATAKONTEXT156 Datenschutzrecht (mit EU-DS-GVO) RBV Richard Boorberg Verlag164 SAP ILM IBS Schreiber GmbH172 Empire Riverside Hotel 172 Hotel Hafen Hamburg 172 ARCOTEL Onyx


176

IBS Schreiber GmbHInternational Business Services for Auditing and ConsultingZirkusweg 1 | 20359 HamburgFon: +49 40 69 69 85-0 | Fax: +49 40 69 69 [email protected] | www.ibs-schreiber.de

Documents

Sicherheit und Prüfung in Unternehmen - ibs-schreiber.de · IOPS Prüfen des IT-Outsourcing nach IDW-PS-951 65 ... SPSY Systemprüfung von SAP-Systemen 112 ... Business Intelligence