Deutsche Bundesbank, BMF TIBER-DE macht deutsches Finanzsystem sicherer/ IT-Sicherheit, MaRisk BAIT, Cyber-Sicherheit


Ihr Account ist nicht für das Rechtsmonitoring freigeschaltet


Um die Rechtsmonitoring-Funktionalitäten nutzen zu können, müssen Sie erst einen Zugang erwerben!


Wenn Sie einen Probemonat erwerben möchten schicken Sie uns eine E-Mail mit dem Betreff: "Probemonat Rechts- und Regulatorikmonitoring" an info@fc-heidelberg.de

BaFin-Tech 2019-Veranstaltung, IT-Aufsicht bei Banken/ Risikomanagement, Digitalisierung


Ihr Account ist nicht für das Rechtsmonitoring freigeschaltet


Um die Rechtsmonitoring-Funktionalitäten nutzen zu können, müssen Sie erst einen Zugang erwerben!


Wenn Sie einen Probemonat erwerben möchten schicken Sie uns eine E-Mail mit dem Betreff: "Probemonat Rechts- und Regulatorikmonitoring" an info@fc-heidelberg.de

Wie KI die Kommunikation verändert

Gabriele Horcher, Kommunikations-Wissenschaftlerin, Vortragsrednerin, Buchautorin und geschäftsführende Gesellschafterin der Kommunikationsagentur Möller Horcher

Ein Endverbraucher muss sich nicht erst über seine Kommunikationsstrategie klar werden, bevor er Künstliche Intelligenz zu seinem Vorteil einsetzt. Er probiert die neuen kostenfreien Tools von GAFA & Co. aus. Mit Google Duplex gibt es in den USA bereits einen digitalen Assistenten, der Termine beim Friseur vereinbart oder im Restaurant einen Tisch reserviert. Viele Unternehmen haben in Sachen KI deutlichen Nachholbedarf. Höchste Zeit, das zu ändern.

Technologien wie Text-Mining erleichtern es Verbrauchern, nach Informationen zu recherchieren, die sie interessieren. Wenn sie Google News nutzen, surfen sie nicht mehr auf einzelnen Medien- oder Unternehmensseiten. Die Zielgruppe wird derart verwöhnt, dass sie selbst viel weniger recherchiert. Für Unternehmen und Medienhäuser bedeutet das: Es wird immer schwieriger, die Aufmerksamkeit der Zielgruppe auf die eigenen Botschaften zu lenken.

SEMINARTIPP

Prozess- & Datenorientierte Schutzbedarfsanalyse, 04.11.2019, Wiesbaden.

 

Nicht nur Endverbraucher profitieren von KI, sondern auch Einkaufsabteilungen. Sie achten bei der Lieferantenauswahl auf weitaus mehr als passende Produktspezifikationen. War früher lediglich die Bilanz des Zulieferers wichtig, recherchieren und bewerten inzwischen KIs die gesamten Rahmenbedingungen: das Umweltbewusstsein des Zulieferers, seine Haltung zu Menschenrechten, politischen Themen und Sicherheitsaspekten sowie Führungsstil.

Verändertes Kauf- und Verkaufsverhalten

Durch das Internet hat sich das Kaufverhalten schon einmal grundlegend geändert. In den vergangenen 20 Jahren haben viele Unternehmen Marktanteile und Umsätze eingebüßt. Sie sind noch heute überrascht, dass ihre bisherigen Strategien nicht mehr funktionieren. Sie erkennen nicht, dass das Internet die Basis für eine nie zuvor gekannte Markttransparenz schafft. Die ehemals markentreue Zielgruppe hat heute eine viel größere Auswahl und andere Informations- sowie Recherchemöglichkeiten. Darum ist eine tendenzielle Wechselwilligkeit an die Stelle alter Markenbindungen getreten. Unternehmen haben es verpasst, die Social Media und Bewertungsportale im Auge zu behalten und dort aktiv zu sein. Sie haben geglaubt, es aussitzen zu können, als GAFA & Co. die Auffindbarkeit ihrer Web-Präsenzen und -Informationen beschnitten haben. Sie haben weder die Technologie Internet noch das Verhalten ihrer Zielgruppe ausreichend analysiert. Und sie haben nicht rechtzeitig auf das geänderte Kaufverhalten reagiert. Angesichts des nächsten Paradigmenwechsels durch KI darf dies kein zweites Mal passieren.

Herausforderungen im Umgang mit KI

Um sich auf das veränderte Kaufverhalten einstellen zu können, sollten Unternehmen es kontinuierlich beobachten – und dieses Wissen mit den neuen strategischen und technologischen Möglichkeiten kombinieren. Denn es kommen gleich zwei Herausforderungen auf die Kommunikatoren in Sales, Service, Marketing und Unternehmenskommunikation zu: Einerseits müssen sie sich mit eigenen KI-Szenarien beschäftigen. Andererseits sollten sie erforschen, welche Informationsbedürfnisse bestehen und welche Anwendungen ihre Zielgruppe bereits jetzt nutzt oder in absehbarer Zukunft einsetzen wird. Zu wissen, wonach eine Lieferanten- oder eine Endverbraucher-KI sucht und wie sie das Ergebnis bewertet, ist der erste Schritt. Setzen sich Unternehmen damit nicht auseinander, kann die großartigste KI-unterstützte Kampagne vollkommen ins Leere laufen.

KI in der Kommunikation

Künstliche Intelligenz verändert die Art und Weise, wie Unternehmen in ihrer Kommunikation arbeiten: Digitale, sprachgesteuerte Assistenten helfen, schneller an relevante Informationen zu kommen, Dinge zu bestellen oder Fotos zu bearbeiten. Es gibt Funktionen wie Sprache-zu-Text und vice versa. Auch Übersetzungen ganzer Word- und Power-Point-Dateien, von Gesprächen sowie die automatisierte Bilderkennung und Texterstellung sind möglich. Wiederkehrende Prozesse zu automatisieren, spart viel Zeit und verbessert den Durchsatz und den Outcome enorm.

BUCHTIPP

Janßen/Plate/Riediger (Hrsg.), Digitalisierung im Dokumentenmanagement, 2017.

 

KI beschleunigt nicht nur repetitive Arbeitsabläufe, sondern bringt ganz neue Erkenntnisse. Die unterschiedlichsten Aspekte lassen sich analysieren: das Verhalten in Social Media, Stimmmuster, Gesichtsausdrücke oder auch Körpersignale wie Herz- und Atemfrequenz. Algorithmen können heute herausfinden, was eine Person in einem bestimmten Moment will, wie sie sich dabei fühlt oder generell tickt. Mit diesem Wissen lassen sich die spezifische Ansprache und das Angebotsportfolio verändern.

Ferne Zukunft war gestern

Zukünftig wird die KI-Nutzung auf Anbieter- und Käufer-Seite nicht nur die Art und Weise, wie wir in Sales, Service, Marketing und Kommunikation arbeiten, verändern, sondern auch einen Teil der Kommunikation komplett revolutionieren. Warum? Weil in Zukunft KIs auf der Anbieterseite mit KIs auf der Nachfrageseite kommunizieren werden. Sie benötigen dafür kein Chichi, keine schöne Website. KIs lassen sie sich in ihrer Entscheidung nicht von psychologischen Effekten beeinflussen. Sie brauchen Daten, Zahlen und Fakten in einer Tiefe, Breite und Geschwindigkeit, wie wir sie als Menschen nicht bieten können. Die Voraussetzung für eine reibungslose Kommunikation zwischen KIs ist hierbei, dass aktuelle und relevante Daten verfügbar und zugänglich sind.

Dass dadurch ein Kanal überflüssig wird, ist unwahrscheinlich. Die letzten Jahrzehnte haben gezeigt, dass Kanäle und Technologien zeitweise an Bedeutung verlieren, aber nie ganz verschwinden. Aktuell und für die nächsten zehn Jahre heißt die Monsterwelle Digitalisierung, Automatisierung und Künstliche Intelligenz. Die Komplexität nimmt dadurch aber nicht ab, sondern zu. Ein Grund mehr, sich durch KI Hilfe zu holen.

FILMTIPP

Der digitale Nachlass.

 

 

Kommunikation wird menschlicher

Die Befürchtung, Kommunikation verliere ihren Human Touch, ist zum Glück unbegründet. Durch den Einsatz von Technologie wird Kommunikation menschlicher. Was wir als typisch menschlich empfinden, ist eine Kommunikation mit individuellem Charakter – eine echte One-to-One-Kommunikation. Sie ist direkt, relevant, verständlich, vertrauensvoll und persönlich. Tatsächlich ist KI in der Lage, diese Kriterien zu erfüllen. Als erster Chatbot der Geschichte gilt Eliza – eine virtuelle Psychotherapeutin, die Joseph Weizenbaum schon 1966 programmierte. Maschinen haben bei einer individuellen Interaktion sogar Vorteile: Sie können nicht nur unser Verhalten, Mimik, Stimme und Körpersignale interpretieren, in ihre Kommunikation fließen zudem keine eigenen Befindlichkeiten ein. Ein Chatbot kennt keine schlechten Tage.

Jetzt handeln

Unternehmen müssen agieren. Verantwortungsbewusste Unternehmer sollten ihre Marketing-, Vertriebs-, Service- und Kommunikationsabteilungen jetzt dazu befähigen, an der Zukunft ihrer Kommunikation zu arbeiten. Für die Wettbewerbssituation von Unternehmen ist es entscheidend, ihr Verkaufsverhalten dem geänderten Einkaufsverhalten ihrer Zielgruppe anzupassen – und dieser Änderung im Idealfall zuvorzukommen. Branchenverbände sowie Messe- und Kongressveranstalter bieten häufig Vorträge und Workshops zu den diversen Trendthemen an. Auch Inhouse-Workshops und externe Berater sind sinnvoll.

Einen Schritt voraus sein

Wenn Unternehmen in ihrer Kommunikation mit Automatisierung und KI experimentieren, trainieren sie ihre Zukunftsfähigkeit. Für die Recherche nach passenden Tools empfiehlt es sich, einen Mitarbeiter aus der Kommunikationsabteilung zu beauftragen, der technologieaffin ist und gut Englisch spricht. Viele deutsche Anbieter von KI-Technologien versuchen, ihre internationale Bedeutung nach außen zu tragen, indem Sie ihre Informationen nur auf Englisch anbieten. Viele Technologieanbieter offerieren kostenfreie Probe-Accounts und unterstützen Anwender beim Experimentieren. Der Wandel der Unternehmenskommunikation ist allgegenwärtig. Um im Wettbewerb der Zukunft zu bestehen, ist es unerlässlich, sich jetzt mit den Möglichkeiten von Künstlicher Intelligenz auseinanderzusetzen, schon damit die Bemühungen einer Einkaufs-KI nicht ins Leere laufen.

PRAXISTIPPS

  • Kostenfreie Probe-Accounts nutzen, um mit KI in der Kommunikation zu experimentieren.
  • Fachlich versierte Mitarbeiter ins Boot holen, die technikaffin sind und Englisch sprechen.
  • Vorträge und Workshops zu KI-Themen besuchen.

 

Beitragsnummer: 83556

 

IT-Security ganzheitlich gedacht

Cornelia Luther, PR-Managerin/Kommunikation, Heidelberg iT Management GmbH & Co. KG

Die umfassende Absicherung der IT-Systeme bleibt im Hinblick auf die digitale Transformation und die immer raffinierteren Cyber-Attacken weiterhin eine große Herausforderung für IT-Abteilungen. Standard-Security-Lösungen sind zwar in nahezu allen Unternehmen vorhanden, ganzheitliche IT-Security auf Basis eines zentralen Konzeptes für Informationssicherheit wird dagegen noch zu selten umgesetzt.

Die IDC-Studie „IT-Security-Trends in Deutschland 2018“ zeigte eine angespannte IT-Sicherheitslage in deutschen Unternehmen: 67 % der befragten Unternehmen gaben an, in den letzten 24 Monaten mit Sicherheitsvorfällen konfrontiert worden zu sein. Primär betroffen waren PCs und Notebooks mit 34 %, Netzwerkhardware mit 31 % sowie Smartphones und Tablets mit insgesamt 30 %. Befragt wurden 230 IT-Entscheider aus Organisationen mit mehr als 20 Mitarbeitern.

Die größten Sicherheitsrisiken entstehen somit durch Fehlverhalten und schwach ausgeprägtes IT-Sicherheitsbewusstsein seitens der Endanwender, mangelhaft gesicherte Endgeräte, gezielte Angriffe durch Malware, Phishing und anderer Social-Engineering-Techniken sowie die weitreichende Vernetzung von Geräten und Anwendungen.

SEMINARTIPPS

IT-Sicherheit Kompakt, 24.09.2019, Frankfurt/M.

Informationssicherheit & Datenschutz – Prozesse effizient gestalten, 05.12.2019, Frankfurt/M.

Proaktiv handeln

Angesichts dieser IT-Risikolage sind Unternehmen gut beraten, IT-Sicherheit proaktiv, strategisch und ganzheitlich anzugehen. Für die Erarbeitung und Umsetzung eines zentralen Konzeptes für Informationssicherheit, das alle Komponenten, Lösungen und Prozesse umfasst, empfiehlt sich die Zusammenarbeit mit qualifizierten Sicherheitsexperten eines externen IT-Dienstleisters.

Die folgenden Empfehlungen geben Impulse, wie eine höhere IT-Sicherheit in Unternehmen erzielt werden kann und so die Aufrechterhaltung des Geschäftsbetriebes gestärkt wird:

Transparenz schaffen

In einem ersten Schritt sollte die Schutz-, Abwehr- und Wiederherstellungsfähigkeit des Unternehmens auf den Prüfstand gestellt werden. Dafür ist eine umfassende Bestandsaufnahme aller eingesetzten Security-Lösungen notwendig. Einzubeziehen sind alle Geschäftsbereiche, auch Fachbereiche, deren IT-Ressourcen außerhalb der zentralen IT verwaltet werden. Ebenso alle Endgeräte, einschließlich Drucker und Multifunktionsgeräte, denn es gilt: Jede IP-Adresse ist ein potenzielles Angriffsziel.

Strategisch planen

IT-Security-Lösungen und -Services kommen nur innerhalb eines umfassenden IT-Sicherheitskonzeptes vollständig zum Tragen. Bei der Gestaltung eines zentralen Konzeptes hat sich die Orientierung an den Empfehlungen relevanter IT-Security-Best-Practice und IT-Sicherheits-Frameworks, z. B. BSI oder den NIST-Kategorien Identifizieren-Absichern-Aufdecken-Reagieren-Wiederherstellen, bewährt. Auch zahlt es ich aus, strategisch in IT-Security-Lösungen wie Back-up- und Recovery-Lösungen zu investieren, um die Auswirkungen eventueller Cyber-Attacken im Vorfeld zu entschärfen.

Integrieren und automatisieren

Zeitgemäße Security-Konzepte sollten nicht komplex, sondern klar und übersichtlich sein. Dies gelingt durch die Integration von etablierten Basisschutz- und Standard-Security-Lösungen wie Anti-Malware, Spamabwehr, Firewalls etc. und neuen Lösungen. Für eine End-to-End-Security-Architektur ist auch die Integration von Security-Lösungen eines oder unterschiedlicher Anbieter sowie das Zusammenspiel zwischen verschiedenen Lösungskomponenten erforderlich.

Die umfassende Automatisierung von Security-Prozessen ist ein weiteres Kernelement wirkungsvoller IT-Sicherheitskonzepte. Automatisierungstools für Grundelemente der IT-Sicherheit schützen vor Risiken wie Fehlkonfigurationen einer Lösung, die manuelle Tätigkeiten, etwa das Patchen von Systemen, das Aufsetzen von Servern oder das Konfigurieren von Firewalls mit sich bringen können.

Unified-Endpoint-Management (UEM)

Die Kenntnis aller Ressourcen und deren Abhängigkeiten sind maßgeblich für eine ganzheitliche und sichere Verwaltung der IT-Umgebung. Eine moderne UEM-Lösung unterstützt die IT-Administration dabei, ein Höchstmaß an IT-Sicherheit einzuführen und aufrechtzuerhalten. Beispiel Patchmanagement: Die schnelle, flächendeckende und automatisierte Update-Verteilung im Unternehmensnetz hat höchste Priorität. Schließlich reicht die Sicherheitslücke auf einem einzelnen Rechner in der IT-Umgebung aus, um die Sicherheit des Netzwerks und wertvolle Unternehmensdaten zu gefährden. Im Idealfall beinhaltet eine moderne UEM-Lösung, wie z. B. die baramundi Management Suite (bMS), ein automatisiertes Patchmanagement, das neben Microsoft-Patches auch Programm-Updates für populäre Anwendungen wie Adobe Reader, Java oder Mozilla Firefox verteilen kann.

Security-Kultur entwickeln

Allein mit Technik ist ein IT-Sicherheitskonzept nicht wirkungsvoll durchzusetzen. Die IT-Endanwender sind nach wie vor das größte Sicherheitsrisiko für Unternehmen. Sensibilisierungsmaßnahmen und regelmäßige IT-Sicherheitsschulungen für alle betrieblichen Akteure sind daher dringend erforderlich. Unternehmensführung und Fachverantwortliche sind hierbei gleichermaßen gefordert, damit am Ende alle Mitarbeiter die Anforderungen der Informationssicherheit und der IT-Sicherheit aus eigener Erkenntnis bei der Durchführung ihrer täglichen Arbeitsaufgaben beachten.

PRAXISTIPPS

  • Informationssicherheit, IT-Sicherheit und Datenschutz strategisch in einem Gesamtkonzept umsetzen.
  • Alle technologischen Ansätze evaluieren, denn IT-Security reicht über Antiviruslösungen und Firewalls hinaus.
  • Prozesse und Lösungen automatisieren und integrieren. Damit verringert sich die Komplexität der IT und das Risiko manueller Fehler.
  • Regelmäßige Awareness-Maßnahmen im Unternehmen durchführen – über alle Standorte und Hierarchieebenen hinweg bezüglich der Bedeutsamkeit von technischen Sicherheitsmaßnahmen und organisatorischen Vorgaben der Organisation.

 

Beitragsnummer: 83550

 

Quo vadis, Digitalisierung?

 

Markus Braun,
Geschäftsführer ESG GmbH;
IT-Leitung Speedpoint GmbH

Alle sprechen darüber, aber keiner weiß genau was das eigentlich ist: „Digitalisierung“. Es gab vor einigen Jahren einen Fernsehwerbespot, in dem nach dem Sinn gefragt wurde, warum die Firma der Protagonisten denn in dieses „Internet“ und einen Auftritt (Homepage) darin investieren sollte. Die Antwort erstaunt: „Weil es alle machen“. Vergleichbare Phänomene sehe ich seit einigen Jahren bei dem Themenkomplex „Digitalisierung“. Die Evangelisten der Branche sind sich sicher, dass kein Unternehmen, das nicht morgen komplett digitalisiert arbeitet, übermorgen noch existiert. Die Ewiggestrigen verharren im Modus der totalen Verweigerung. Wie findet das Gros der Unternehmen den Weg in die zweifelsohne wichtige und richtige Digitalisierung?

Zurück zum Themenkomplex: Auch wenn ich damit polarisiere, DIE Digitalisierung gibt es nicht. Einige Vordenker und Unternehmen, die sich – basierend meistens auf einer vorhandenen grundsätzlich digitalen Ausrichtung des Portfolios oder des Geschäftskonzeptes – an die Spitze der Digitalisierungsbewegung setzen konnten, werden nicht müde über die vielen Vorteile und das Potential der „Digitalisierung“ zu sprechen. Für diese Unternehmen war der zu gehende Schritt oft klein, die Risiken überschaubar und der erwartete Return sehr hoch. Das jedoch auf alle Unternehmen zu übertragen, wird der Realität nicht gerecht.

 

Von falschen und richtigen Gründen

 Bevor jetzt ein falscher Eindruck entsteht: Ich bin ein großer Fan dieser ominösen „Digitalisierung“. Solange es sich um durchdachte Weiterentwicklung von Prozessen, Geschäftsbereichen, Abteilungen oder der Generierung neuer Produkte oder Absatzstrategien bis hin zum Umbau beziehungsweise der Transformation ganzer Unternehmen dreht. Nicht aber, wenn es lediglich um die Teilnahme am aktuellsten Hype Train geht. Die Umbauarbeiten erfordern ein tiefgreifendes Verständnis der bestehenden Strukturen und den absoluten Willen aller Beteiligten, diesen Kraftakt zum Ziel zu führen und sich auf wirkliche Änderungen einzulassen. Apropos Ziel: Eine möglichst klare Zieldefinition – bei allen sonstigen Projekten der erste unumgängliche Schritt – wird bei der „Digitalisierung“ gern etwas schwammig gehalten. Es wird viel Geld in die Hand genommen, um irgendwie „dabei“ zu sein oder bei der nächsten Branchenumfrage mit Fug und Recht behaupten zu können: „Digitalisierung? Sind wir ganz vorn im Boot“.

Das breite Spektrum an Möglichkeiten, die in dem Themenkomplex „Digitalisierung“ stecken, sollte als das wahrgenommen werden, was es ist: Eine Chance, althergebrachtes zu überdenken, Krusten aufzubrechen und Firmen weiter zu entwickeln. Es gibt (noch) keine Faustformel für die erfolgreiche Digitalisierung von Unternehmen. Aber es gibt mutige Unternehmer, die die Chancen erkennen und als Kapitäne ihr Schiff in Richtung Digitalisierung steuern. Ich bin mir sicher, dass der Mittelstand – nach anfänglichem Zögern – seine Vorreiterrolle auch in puncto „Digitalisierung“ einnehmen wird.

 

Alles wird gut?

Die Arbeitswelt wird digitaler. Soweit der Konsens. Wie sich diese Digitalisierung aber bei den unterschiedlichen Teilnehmern in Wirtschaft, öffentlicher Hand, gesamtgesellschaftlich und im Zusammenspiel der Akteure auswirken wird, lässt sich derzeit nur erahnen.

Wichtig ist eine koordinierende Stelle im Unternehmen, an der alle Informationen zusammenlaufen und die den Überblick behält. Gerade die IT-Verantwortlichen sehen sich einem enormen Digitalisierungsdruck gegenüber, der z. B. durch einen steuernden CDO (Chief Digital Officer) deutlich gemildert werden kann.

Planvolles und zielgerichtetes Handeln ist somit der Schlüssel zum Erfolg. Ist das eine neue Erkenntnis? Nein. Aber: Überstürzter Aktionismus, wie er derzeit des Öfteren durch das Beschwören wahrer Horrorszenarien geschürt wird, ist bei dem dringend notwendigen Einstieg in die Themenwelt der Digitalisierung fehl am Platz.

Praxistipps
  • Oberste Prämisse: Digitalisierung betrifft das Unternehmen als Ganzes.
  • Zielgerichtetes, planvolles Vorgehen ist der Schlüssel zum Erfolg.
  • Identifizieren der individuellen digitalen Chancen.
  • Ein Muss: Entwicklung der eigenen „digitalen Strategie“.
  • Weiterbildung/Ausbildung der Mitarbeiter ist zwingend erforderlich.
  • Externe Berater sind – besonders in der Planungsphase – hilfreich.
  • Neue Position (CDO): unterstützt bei Bestandsaufnahme, Umsetzung und der ständigen Weiterentwicklung.

 

Beitragsnummer: 1123

Tradition trifft auf Digitalisierung

Arbeitswelt 4.0: Herausforderungen, Hemmnisse und Hintergründe

Peter Kleinau,
Geschäftsführender Gesellschafter,
Executive Mediation GmbH, Kommunikationsexperte und Berater für Veränderungsprozess

 

Aktuell befindet sich die Arbeitswelt im Umbruch. Globalisierung, digitaler Wandel und Industrie 4.0 verändern das gesamte Wirtschaftsgefüge – vor allem jedoch die Art und Weise wie Menschen und Organisationen miteinander arbeiten. Bestehende Modelle, Strukturen und Prozesse weichen zunehmend neuen, flexiblen Formaten. Besonders den Mittelstand stellt das vor große Herausforderungen, da es sich meist um gewachsene Unternehmen mit klassischen Rollenbildern von Eigentümern und Managern handelt. Im Rahmen moderner Transformationsprozesse verändern sich jedoch die Organisationsstrukturen, die Gestaltung des Arbeitsplatzes sowie die Interaktion zwischen Führungskräften und Mitarbeitern. Doch Tradition und Digitalisierung schließen sich nicht von vornherein aus. Hier stellt sich keine Entweder-oder-Frage – das Alte oder das Neue –, sondern eher, die nach der Angemessenheit: Welche Veränderungen sind sinnvoll in einer sich ständig verändernden Welt?

 

Neue Arbeit

Intelligente Roboter in der Fabrik, neue Jobprofile, smarte Kommunikations- und Informationstechnologien im Büro, 3D-Druck, soziale Netzwerke, Cloud-Computing und Big Data gehören zu den Markenzeichen der sogenannten vierten industriellen Revolution. Grundlegende und treibende Kraft dieser Entwicklung ist neben dem technologischen Fortschritt die immer stärkere Vernetzung von Dienstleistungen, Produkten und Prozessen über das Internet. Anders als früher sind so nicht mehr nur Systeme innerhalb eines Unternehmens miteinander verknüpft, sondern auch entlang der gesamten Wertschöpfungskette. Maschinen tauschen untereinander Informationen aus, um sich selbstständig zu organisieren oder Abläufe zu koordinieren. Dadurch ändert sich das Verhältnis von Mensch und Maschine grundlegend. In Folge dessen entwickelt sich die klassische Arbeiterschaft immer mehr zu Entscheidungsträgern und Wissensarbeitern, die beispielsweise die Produktion überwachen, programmieren und steuern. In allen Bereichen gibt es einen steigenden Bedarf an Fachkräften. Im Kontext von Arbeit 4.0 steigt die Bedeutung von kontinuierlicher persönlicher Weitentwicklung sowie der Anpassungsfähigkeit an neue Anforderungen und Rahmenbedingungen – und das nicht nur in der IT-Branche. Längst ist der digitale Wandel in allen Branchen angekommen. So auch im produzierenden Gewerbe, im Handel oder im industriellen Sektor. Neue Kommunikations– und Informationstechnologien ermöglichen es Beschäftigten, Arbeitszeiten und -orte flexibel zu gestalten. Der klassische „nine-to-five“-Job könnte zum Auslaufmodell werden. Für viele Menschen wecken diese Vorstellungen allerdings nicht nur positive Assoziationen. Eine immer schnellere Automatisierung schürt besonders bei Menschen mit niedriger oder mittlerer Bildung Ängste vor einer digitalen Übernahme, vor Arbeitslosigkeit und Armut. Sie wissen nicht, wie sie sich auf bevorstehende Umbrüche vorbereiten sollen und viele Betriebe bieten zu wenig Raum für zusätzliche Fort- oder Weiterbildung. Hier sind die Unternehmen und vor allem die Führungsetage gefragt, den Qualifikationsbedarf nicht nur zu erkennen, sondern auch die Möglichkeiten zu schaffen diese nachhaltig in der Organisation zu verankern.

 

Digitalisierung im Mittelstand

In kleinen und mittelständischen Betrieben sind Agilität und Flexibilität längst keine neuen Themen. Im Gegenteil: Besonders innovative Technologien kommen hier häufig schneller zum Einsatz als in großen Konzernen. Allerdings stellen Geschwindigkeit und Umfang des Wandels besonders Mittelständler mit tradierten Strukturen und nachhaltigen Werten vor neue Herausforderungen. Zwar glauben viele Betriebe grundsätzlich an diese neue Dynamik, da sie als Wachstumschance und Wettbewerbsvorteil erkannt wurde. Einige agieren jedoch zu langsam. Bei anderen zeigt sich eine inhaltliche Überforderung wegen der enormen Komplexität und Mehrdeutigkeit des Themas Digitalisierung. Fehlende zeitliche oder finanzielle Ressourcen spielen dabei ebenso eine Rolle wie die Abwesenheit einer funktionierenden digitalen Strategie, bei der Menschen im Mittelpunkt stehen.

 

Von Anfang an auf der richtigen Spur

Fest steht: Digitalisierung funktioniert nicht im Hauruckverfahren. Es handelt sich um einen zeitintensiven Prozess, bei dem Technologien, Mitarbeiter und Organisation hinterfragt, entwickelt und aneinander angepasst werden müssen. Daher gilt es, sich frühzeitig mit Strategien und möglichen Folgen des digitalen Wandels auseinanderzusetzen. Um die Unternehmenskultur aktiv zu gestalten, sollte in erster Linie der Austausch auf allen Ebenen und die Verbesserung von Informationsflüssen gefördert werden. Denn digitale Transformationsprozesse betreffen niemals nur die IT-Abteilung oder ein Digitalisierungsgremium. Hier sind die oberste Führungsetage und das mittlere Management in der Verantwortung. Als treibende Kraft müssen sie sich engagieren, Sicherheit ausstrahlen, konsequent den gegebenen Handlungsrahmen und alte Prozesse neu denken. Ein zentraler Punkt ist, eine Unternehmenskultur zu etablieren, die Freiräume schafft und Querdenken fördert. Ganz gleich, ob Manager oder Mitarbeiter, alle Abteilungen sollten darin ermutigt werden, den Status Quo zu hinterfragen und Neues auszuprobieren. Dazu gehört auch, bestehende Abläufe, Geschäftsmodelle oder Strategien auf den Prüfstand zu stellen. Entsprechend wichtig ist es, dass sich Entscheider und Personal Zeit nehmen und grundsätzliche Fragen klären. Was bedeutet Digitalisierung für uns? Was kommt auf die Abteilung, das Team und jeden Einzelnen zu? Wie laufen die bestehenden Prozesse ab? Erst, wenn hier klare Antworten gefunden sind, kann eine kohärente Strategie für alle Bereiche des Unternehmens entwickelt werden. Außerdem gilt es, Interessen und spezielle Fähigkeiten der Mitarbeiter zu berücksichtigen und damit Motivation und Begeisterung für die digitale Strategie sinnvoll zu fördern. Dafür existiert allerdings längst nicht in jeder Firma ein Bewusstsein. Impulse durch externe Trainer können helfen innerhalb des Unternehmens ein gemeinsames Verständnis für Digitalisierung zu entwickeln und Transformationsprozesse effektiv begleiten. Ob in Workshops, Seminaren oder individuellen Coachings: Diese Experten geben als neutrale Dritte gezielt Anreize, um die Anforderungen des digitalen Wandels zu reflektieren, mögliche Barrieren abzubauen und erkannte Herausforderungen zu meistern. Denn erst, wenn bestehende Hemmnisse im Hinblick auf Strategie, Struktur oder Prozessabläufe bekannt sind, können individuelle auf das Unternehmen und den Markt zugeschnittene Wege hin zur Arbeit 4.0 gefunden werden.

 

Praxistipps
  • Sprechen Sie mit Ihren Mitarbeitern bevor grundlegende Veränderungen angestoßen werden – holen Sie sie ab und beziehen Sie sie mit in den Prozess ein.
  • Beobachten Sie den gestiegenen Fachkräfte- und Qualifikationsbedarf und reagieren Sie mit frühzeitiger Ausrichtung der Personalbeschaffungs- und Personalentwicklungsprozesse auf die neuen Anforderungen.
  • Entwickeln Sie eine passende digitale Strategie entsprechend Ihrer Tätigkeit und den Menschen Ihres Unternehmens und planen Sie ausreichende und feste Kapazitäten für die Umsetzung ein.
  • Digitalisierung ist Chefsache – Führungsebene und mittleres Management sind für das Projekt entscheidend und sollten in die Verantwortung.

 

Beitragsnummer: 1090

Datenschutz und Informationssicherheit im Gesundheitswesen

Jäschke (Hrsg.): Datenschutz und Informationssicherheit im Gesundheitswesen, Untertitel: Grundlagen Konzepte Umsetzung. Medizinisch Wissenschaftliche Verlagsgesellschaft, Deutschland, 2018. 430 S., 84,95 €.

 

Die EUDSGVO bleibt weiterhin in aller Munde. Nachdem in Europa bereits erste Bußgelder ausgesprochen wurden kündigten auch die ersten deutschen Behörden Bußgelder an. In einem der prominentesten Fälle der Anwendung der EU-DSGVO wurde ein bemerkenswert hohes Bußgeld gegen ein regionales portugiesisches Krankenhaus verhängt.

Eben dieser Branche widmet sich die zweite und überarbeitete Auflage des Buches von Herausgeber Prof. Dr. Thomas Jäschke. Entsprechend der Vielzahl von Verarbeitungen sensibler Daten, personenbezogene Daten besonderer Kategorie, haben der Datenschutz sowie die Informationssicherheit im Gesundheitswesen einen besonders hohen Stellenwert. Um diesem nachzukommen, vereint das Buch die Ausführungen unterschiedlicher Experten und Praktiker und setzt die Vorschriften der DSGVO, dem BDSGneu, dem SGB und weiteren relevanten Normen ins Verhältnis.

Dennoch werden gleichsam Fachfremde und -neulinge sowie rechtlich weitestgehend unerfahrene Leser behutsam an die Grundlagen des Datenschutzes und der Informationssicherheit herangeführt, so dass das Werk auch Einsteigern als erste Lektüre durchaus zu empfehlen ist. Dazu bietet das Buch für diverse Problemstellungen aus dem Gesundheitsbereich konkrete Lösungsvorschläge direkt aus der Praxis und füllt die Theorie so mit Leben.

Diese Praxishinweise setzen sich z. B. auch mit den aktuellen technologischen Entwicklungen im Gesundheitswesen auseinander und helfen den Themen CloudComputing, electronic Health und mobilen Health-Anwendungen adäquat zu begegnen.

Jonas Kierdorf, Bereichsleiter MiCo, Finanz Colloquium Heidelberg

Beitragsnummer: 1064

So sicher wie Fort Knox?

Mehr als nur Asset Protection: So können Unternehmen Vermögens-werte dauerhaft sichern

Markus Weidenauer, Sicherheitsexperte und geschäftsführender Gesellschafter der SecCon Group GmbH

 

Mit wachsendem Vermögen wächst auch die Verantwortung. Risiken wie falsche unternehmerische Entscheidungen, fehlgeschlagene Finanzierungen oder Haftungszugriffe von Gläubigern können schwerwiegende Folgen für ein Unternehmen und seine Shareholder haben. Darüber hinaus lauern weitere Gefahren wie Industriespionage, Erpressung, CyberAngriffe, Diebstahl sowie Entführungen auf Dienstreisen. Sie können im Schadenfall den Betrieb in Mitleidenschaft ziehen und letztendlich auch die Vermögenswerte erheblich mindern. Häufig vernachlässigt eine klassische Asset Protection jedoch besonders diese Bereiche. Sicherheitsexperte und geschäftsführender Gesellschafter der SecCon Group GmbH Markus Weidenauer klärt im Interview mit der FCH MiCo-News auf.

Wo sehen Sie insbesondere in den Bereichen Informationssicherheit und Objektsicherheit aktuell die größten Risiken? Gibt es besonders gefährdete Bereiche oder Branchen?

In der Regel haben sich vor allem große Konzerne den gestiegenen Sicherheitsanforderungen bereits vor Jahren angepasst und Strukturen implementiert, die eine Abteilung für Konzernsicherheit mit Personenschutz und entsprechendem Krisenmanagement einschließen. In vielen mittelständischen Unternehmen sieht das jedoch ganz anders aus. Ihnen ist oftmals gar nicht bewusst, dass auch konkurrierende Firmen oder sogar Staaten Interesse an ihren Produkten, Patenten und ihrem Know-how zeigen. Zwar sind kleine und mittlere Betriebe für Themen wie Produktmanipulation oder Sabotage sensibilisiert, in den seltensten Fällen berücksichtigen Führungskräfte dabei aber den internationalen Bezug. Ohnehin hat im Mittelstand das Thema Sicherheit einen schweren Stand. Und so bleiben bestimmte Deliktfelder wie Wirtschaftsspionage, Informationsabfluss oder Entführung rein abstrakte Bedrohungsszenarien. Dabei kann im Prinzip jede Branche Opfer derartiger Angriffe werden. E-Commerce-Firmen, Versicherungen und Finanzinstitute sind genauso beliebte Ziele wie Maschinenbauer oder Handwerksbetriebe im produzierenden Sektor.

 

Was verbirgt sich hinter dem Begriff Corporate Security?

Früher mögen hohe Mauern, Stacheldraht und ein wachsamer Pförtner ausreichend gewesen sein, um ein Unternehmen zu sichern. Im Zuge der Globalisierung und in Zeiten von Web 2.0 genügt das allerdings nicht mehr. Denn sowohl die Angriffsmöglichkeiten als auch die Sicherheitsanforderungen haben sich in den letzten Jahren exponentiell vervielfältigt. Entsprechend musste sich auch die Corporate Security weiterentwickeln, um Firmen-Know-how und Mitarbeiter zu schützen. So verfolgt Unternehmenssicherheit heute einen ganzheitlichen Ansatz, in dessen Zentrum ein angepasstes Sicherheitskonzept steht. Das bedeutet neben der Analyse und Bewertung relevanter Bedrohungen und Risiken auch die Implementierung präventiver Maßnahmen sowie eines Krisenplans. Die verschaffte Klarheit über effiziente, strukturierte Handlungsweisen gewährleistet auch in Ausnahmesituationen die Fortführung der Geschäfte. Entscheidend hierbei ist jedoch, sich für Sicherheitsexperten mit entsprechenden fachlichen sowie sozialen Kompetenzen zu entscheiden.

Sie sprechen davon, Risiken zu eliminieren, worüber sich jeder Risk Manager/Geschäftsführer freut, aber ist das in der Informationssicherheit überhaupt möglich?

Aufgrund der technisch weit fortgeschrittenen Entwicklungen gibt es viele Möglichkeiten, um an sensible Daten zu kommen und den Geschäftsbetrieb auszukundschaften. Dabei kann modernste Technik und beinahe jedes System zum Angriffsziel werden. DDoS-Attacken, die den Unternehmensserver überlasten, Lauschattacken auf Geschäftsräume oder sogenanntes Social Engineering, bei dem Daten aus dem persönlichen Umfeld des Opfers abgeschöpft werden, bilden dabei längst keine Seltenheit. Damit Firmengeheimnisse nicht einfach im Papierkorb landen, benötigen Unternehmen ein ganzheitliches Informationsschutzkonzept, das neben der Klassifizierung vertraulicher Unterlagen und Daten auch Punkte zu deren Handhabung, Aufbewahrung und Entsorgung regelt. In der Praxis zeigt sich darüber hinaus immer wieder, dass vor allem der Mensch ein großer Schwachpunkt im Informationsschutz bleibt. Hier gilt es, das Personal in speziellen Awareness-Trainings zu sensibilisieren und bestimmte Verhaltensregeln, beispielsweise für den Umgang mit Passwörtern oder USB-Sticks, aufzustellen. Die konkrete Umsetzung von effektiven Schutzmaßnahmen erfordert also Erfahrung und Fingerspitzengefühl auf verschiedenen Ebenen. Auch wenn alle Maßnahmen optimal ineinandergreifen, kann der Ernstfall selbstverständlich nie ganz ausgeschlossen werden, doch das Risiko ist deutlich reduziert.

Wie gehen Sie vor, wenn Sie von einem Mittelständler mit 500 Mitarbeitern aus dem produzierenden Gewerbe beauftragt werden, eine Schwachstellenanalyse vorzunehmen?

Hierfür haben wir eine einheitliche Vorgehensweise. Neben der Größe eines Unternehmens sind vor allem der Standort sowie die Art und Tätigkeit des Betriebs entscheidend, denn daraus lassen sich bereits Risiken ableiten. Werden beispielsweise Lebensmittel verarbeitet, sind andere Schutzziele zu definieren als bei einem Hersteller für Thermotechnik. Zu Beginn eines jeden Konzeptes steht die genaue Analyse vorhandener Strukturen und Prozesse, um zunächst mögliche organisatorische Schwachstellen aufzudecken: Was ist das Kerngeschäft? Welche Unternehmensbereiche benötigen besonderen Schutz? Wie erfolgen der Umgang mit wichtigen Daten und ihre Weitergabe? Welche Zugangskriterien gibt es für sensible Unternehmensbereiche? Und so weiter. Die Analyseergebnisse dienen dann als Grundlage zur Erstellung eines individuellen Sicherheitskonzeptes.

 

Nach Ermittlung und Umsetzung des Sicherheitskonzeptes – wie sieht die laufende Betreuung aus? Empfehlen Sie Überprüfungszyklen, um das Konzept aktuell zu halten?

Hier gibt es keine allgemeingültige Regelung. Je nachdem, welche Sicherheitsmaßnahmen das Kerngeschäft erfordert, gestalten sich auch die Überprüfungszyklen ganz unterschiedlich. Ist beispielsweise Brandschutz erforderlich oder Informationssicherheit gefragt? Grundsätzlich sollte ein implementiertes Sicherheitskonzept die identifizierten Risiken eines Unternehmens minimieren. Mit Veränderungen von Unternehmensstrukturen verändern sich aber auch die Unternehmensrisiken. Daher sollte auch die Überprüfung und Anpassung entsprechender Maßnahmen erfolgen. Das heißt, Corporate Security gestaltet sich als fortlaufender Prozess, in dem immer ein Schritt vorausgedacht werden muss. Eine Orientierung an der definierten Sicherheits-Policy eines Unternehmens ist dabei obligatorisch. Um im Ernstfall schnell zu reagieren und Schaden abzuwenden, ist in jedem Fall ein präventives Notfall- und Krisenmanagement erforderlich.

 

Welche Tätigkeiten eines Unternehmens oder welche Sicherheitsvorfälle innerhalb einer Unternehmung machen externe Unterstützung unabdingbar?

In Sicherheitsfragen empfiehlt es sich, stets Experten zurate zu ziehen. Denn sie sind auf die Analyse von Gefahrenquellen, das Aufdecken von Schwachstellen und die Entwicklung von individuellen Sicherheitskonzepten sowie Notfallplänen spezialisiert. Nur in den wenigsten Fällen sind diese in kleinen und mittelständischen Unternehmen vorhanden. Auch dort, wo es Sicherheitsbeauftragte oder eine zuständige Abteilung im Betrieb gibt, empfiehlt sich der Kontakt zu externen Beratern. Denn für eine Corporate Security, die die Sicherheit aller Unternehmensfelder abdecken soll, ist Expertise in jedem Fachgebiet gefragt. Diese Leistung kann eine Person nicht allein erbringen, zumindest nicht in dem erforderlichen Umfang.

Haben Sie Tipps oder eine Hilfestellung für Verantwortliche, wie sie sich der Corporate Security und insbesondere den Bereichen Informationsschutz und Objektsicherheit nähern sollten?

Mein Tipp lautet: Verantwortliche sollten sich frühzeitig an Spezialisten wenden. Häufig werden sie erst durch negative Vorfälle auf Sicherheitsrisiken im Unternehmen aufmerksam. Am Anfang steht also meistens die Frage: Gab es schon einmal Sicherheitsvorfälle wie Industriespionage, Cyber-Angriffe, Einbrüche oder Ähnliches im Unternehmen? Oftmals treten bei einem ersten Screening auch Übergriffe zutage, die bis dahin unbemerkt geblieben sind. Falls sich in der Vergangenheit Krisen ereigneten, gilt es, Ursachenforschung zu betreiben, um die Schwachstellen im System aufzudecken. Damit einher geht eine umfangreiche Bestandsaufnahme vorhandener Strukturen, die alle Bereiche rund um das Kerngeschäft fokussiert. Dieser Prozess kann bereits durch externe Sicherheitsberater begleitet werden. Spätestens bei der Implementierung individueller Schutzmaßnahmen in allen sensiblen Bereichen empfiehlt es sich, auf geschulte Experten mit fachlicher Expertise zurückzugreifen.

 

Beitragsnummer: 1062

Vertraulichkeit, Integrität und Verfügbarkeit

Schutzziele der Informationssicherheit

Eric Weis, IT Sicherheitsexperte, BRANDMAUER IT GmbH

 

Sicher haben Sie schon von den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit gehört. Diese Schutzziele geben Aufschluss darüber, wie weit ein System Informationssicherheit erreicht hat. Indem Ihre Systeme und damit auch Ihre Daten diese Schutzziele erfüllen, sind sie gegen Angriffe und Einwirkung geschützt. Weiterhin gibt es neben Vertraulichkeit, Integrität und Verfügbarkeit noch die Schutzziele Authentizität, Zurechenbarkeit und Verbindlichkeit, die bei erweiterter Betrachtung relevant sein können.

 

Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit

1. Vertraulichkeit:

Unter Vertraulichkeit versteht man, dass Daten nur von den Personen eingesehen werden dürfen, die dazu auch berechtigt sind. Will man Daten vertraulich behandeln, muss klar festgelegt sein, wer in welcher Art und Weise Zugriff auf diese Daten hat. Doch man muss noch einen weiteren Aspekt beachten, den viele gerne vergessen!

Zur Vertraulichkeit von Daten gehört auch, dass diese bei der Übertragung nicht von unautorisierten Personen gelesen werden! Das heißt, es muss dafür gesorgt sein, dass die Daten bei einer Übertragung in geeigneter Weise verschlüsselt werden.

Ein gutes Beispiel aus der Praxis stellt hier vor allem Ihr E-Mail-Verkehr dar. Vermutlich umfasst dieser wöchentlich mehrere tausend E-Mails. Darunter befinden sich mit Sicherheit Informationen, die vertraulich zu behandeln sind. Aber können Sie auch garantieren, dass diese Informationen nur die Augen erreichen, für die sie bestimmt sind? Ihr E-Mail-Verkehr muss verschlüsselt sein! Andernfalls können Sie die Vertraulichkeit Ihrer Daten, die per E-Mail versendet wurden, nicht mehr garantieren!

Und hier noch ein weniger technisches Beispiel: Auch Räumlichkeiten, in denen vertrauliche Datenbestände wie. z. B. die Lohnbuchhaltung verarbeitet oder gelagert werden, müssen entsprechend gesichert sein. Wenn solche Räume frei zugänglich sind, kann man die Vertraulichkeit der dort befindlichen Daten vergessen!

 

2. Integrität

Viele verwechseln Integrität mit Vertraulichkeit. Integrität bedeutet allerdings, dass es nicht möglich sein darf, Daten unerkannt bzw. unbemerkt zu ändern. Es geht hierbei also nur um die Nachvollziehbarkeit von Datenänderungen, wohingegen bei Vertraulichkeit der Fokus auf der Berechtigung liegt.

Ein kleines Beispiel aus dem Unternehmensalltag: Es existiert ein Datenbestand, auf den über eine Applikation zugegriffen werden kann. Oftmals werden aus Kostengründen nur wenige Lizenzen gekauft. Dann sind auch nur wenige Benutzerkonten mit Passwort vorhanden, die anschließend von mehreren Personen benutzt werden (gerne „Shared User Accounts“ genannt). Offensichtlich ist die Integrität dieser Daten nun nicht mehr gegeben, da Datenänderungen von mehreren Personen, die jedoch dieselbe digitale Identität benutzen, vorgenommen werden können. Mit solchen „Shared User Accounts“ zerstören Sie ganz leicht die Integrität von Datenbeständen, weshalb Sie diese Accounts schnellstmöglich eliminieren sollten! Wenn dies nicht ohne weiteres möglich ist, sollten Sie wenigstens entsprechende Dokumentationspflichten für Datenänderungen einführen.

Nehmen wir einmal Forschungs- und Entwicklungsdaten. Wenn die Integrität solcher Daten zerstört ist, weil eine winzige Änderung unerkannt vorgenommen wurde, können Sie sämtlichen Daten nicht mehr trauen! Man muss niemandem erklären, dass dies eine Katastrophe wäre.

 

3. Verfügbarkeit:

Die Verfügbarkeit eines Systems beschreibt ganz einfach die Zeit, in der das System funktioniert. Im Sinne der Schutzziele geht es hier selbstverständlich darum, die Verfügbarkeit möglichst hoch zu halten. Anders gesagt: Es gilt, das Risiko von Systemausfällen zu minimieren!

Sie sollten sich also einen Überblick über die im Unternehmen vorhandenen Systeme und damit auch Datenbestände verschaffen. Anschließend müssen Sie analysieren, welche Systeme und Datenbestände unbedingt notwendig sind, damit die Arbeitsabläufe im Unternehmen funktionieren können. Diese sollten Sie entsprechend gegen Ausfälle schützen! Eine Art Risikoanalyse, in der man Ausfallwahrscheinlichkeit, Ausfallzeit und Schadenspotenzial auflistet ist hierbei zu empfehlen. Zudem sollte die Geschäftsleitung bzw. eine Fachabteilung festlegen, welche Ausfallzeiten jeweils tolerierbar sind. Diese können nämlich von Unternehmen zu Unternehmen variieren. Beispielsweise kann es durchaus sein, dass der Ausfall des Mailservers für einen Tag verkraftbar ist; in anderen Unternehmen ist das der Super-GAU.

 

Verbindlichkeit und Zurechenbarkeit

Diese zwei erweiterten Schutzziele lassen sich recht gut anhand des Identitätsmanagements veranschaulichen. Verbindlichkeit bedeutet nämlich, dass es nicht möglich sein darf, ausgeführte Handlungen abzustreiten. Unter Zurechenbarkeit (oder Verantwortlichkeit) versteht man die Übernahme von Verantwortung für Informationswerte. Die beiden Begriffe gehen also Hand in Hand. Zudem hängen diese Eigenschaften an den im Unternehmen vorhandenen Identitäten!

Ihr Identitätsmanagement muss dafür sorgen, dass jeder Mitarbeiter eine eindeutige Identität besitzt, deren Handlungen nachvollziehbar sind. Ein kleines Beispiel: Man kann E-Mails signieren. Diese Signatur gibt im Normalfall eine sichere Auskunft darüber, wer eine E-Mail versendet hat. Die Handlung (das Versenden der E-Mail) ist somit zurechenbar und nachvollziehbar.

Ferner gibt es noch ein weiteres Schutzziel namens Authentizität. Diese beschreibt grundsätzlich recht simpel die Echtheit (bzw. Vertrauenswürdigkeit) von Informationen oder Identitäten. Im Sinne der Informationssicherheit hört man oft den Begriff Authentifizierung. Dies sind lediglich die Überprüfung und der Nachweis der Identität einer Person. Der Vorgang des Nachweises der eigenen Identität nennt sich Authentisierung.

 

Fazit

Sie kennen nun die Schutzziele der Informationssicherheit. Was sollten Sie also aus diesem Beitrag mitnehmen? Sie als Geschäftsführer sollten zuerst Ihr Unternehmen und dessen Datenbestände analysieren. Überprüfen Sie welche Daten für das Überleben des Unternehmens essentiell sind und welche Daten bei Verlust die größten Schäden anrichten. Anschließend ist es Ihre Aufgabe, als Geschäftsführer dafür zu sorgen, dass diese Datenbestände die Schutzziele erreichen! Erarbeiten Sie, eventuell auch in Kooperation mit einem IT-Sicherheitsexperten, geeignete Maßnahmen, mit denen Sie Ihre Datenbestände im Sinne der Informationssicherheit schützen.

 

Praxistipps

Prüfen Sie Ihre Datenbestände mit den folgenden beispielhaften Punkten. Dieser Ausschnitt ist ein guter Überblick über die Prüfkriterien und gibt eine gute Vorstellung davon, was wichtig ist, wenn man die Schutzziele erreichen will.

  • Vertraulichkeit:
  • Dokumentierte Schlüsselausgabe
  • Verschlossene Serverschränke/-räume
  • Passwortkonvention mit komplexem Passwort und mind. 10 Zeichen
  • Zentrale Authentifikation mit Benutzername und Passwort
  • Verschlüsselte Datenträger (z. B. Laptop)
  • Rollenbasiertes Berechtigungskonzept

 

  • Integrität:
  • Verschlüsselung (z. B. VPN, E-Mail etc.)
  • Einsatz von z. B. USB-Datenträgern reglementieren
  • Besonderer Schutz beim physischen Transport von Datenträgern (Backup)

 

  • Verfügbarkeit:
  • Implementiertes Backup & Recoverykonzept
  • Testen der Datenwiederherstellung
  • Ausfallschutz (z. B. USV)
  • dokumentiertes Patch-Management

 

Diese lassen sich von IT-Dienstleistern unabhängig überprüfen und bewerten. Dabei wird der Ist-Zustand Ihrer IT-Sicherheit analysiert und in einem detaillierten Bericht mit eingeschlossenen Maßnahmenempfehlungen verarbeitet. Damit lässt sich die fundierte Annäherung eines Unternehmers samt Unternehmung an ein komplexes aber wichtiges Thema gewährleisten.

Beitragsnummer: 1051

So sind sensible Daten in der Cloud wirksam geschützt

Elmar Eperiesi-Beck,
Gründer und Geschäftsführer,
eperi GmbH*

 

Einen erfolgreichen Angriff auf Unternehmenssysteme und -anwendungen kann keine IT-Sicherheitstechnologie ausschließen. Eine Verschlüsselung von sensiblen Daten verhindert jedoch im schlimmsten Fall, dass gestohlene oder unberechtigt veröffentlichte Informationen verwertet werden können. Vor allem bei der Auslagerung von Anwendungen in die Cloud ist eine Absicherung unerlässlich.

 

Einleitung

Die Auslagerung von Geschäftsprozessen und Informationen in die Cloud ist ein gängiger Weg, um Ressourcen einzusparen und die Produktivität zu gewährleisten. Doch dieser Weg ist für IT- und Fachverantwortliche für den Bereich Datenschutz in der Cloud ein Tanz auf dem Seil ohne Netz. Unternehmen, die neben ihren Daten und Anwendungen auch die IT-Sicherheit komplett in die Hände des Cloud-Betreibers legen und sich auf Service-Level-Agreements verlassen, wiegen sich in falscher Sicherheit. Denn für den Schutz sensibler Daten ist das Unternehmen als Cloud-Nutzer in letzter Konsequenz allein verantwortlich.

Und die Anforderungen werden immer strenger: Die Europäische Datenschutzgrundverordnung (EU-DSGVO) legt verbindlich die rechtlichen Rahmenbedingungen für den Datenschutz und damit die Anforderungen an einen effektiven Datenschutz fest – auch in der Cloud. Bei der Auslagerung von Daten brauchen Organisationen eine finale Verteidigungslinie, die im Ernstfall eines unerlaubten Zugriffs die Verwertung der Daten verhindert.

Verschlüsselung stellt mit Abstand die wirksamste Methode dar, um sensible Daten zu schützen, aber auch eine der am häufigsten missverstandenen. Obwohl zahlreiche Cloud-Diensteanbieter von Haus aus eigene Verschlüsselungslösungen bieten, ist die bittere Wahrheit doch: Jeder mit administrativem Zugriff auf Cloud-Anwendungen besitzt in der Regel auch Zugriff auf die kryptographischen Schlüssel, die zum Entschlüsseln der Daten benötigt werden. Das schließt interne und externe Administratoren mit ein.

 

Korrekte Verschlüsselung überall und jederzeit

Nicht jede Verschlüsselung ist dabei sicher genug. Nur wenn die sensiblen Daten selbst an jedem Speicher- und Verarbeitungsort und zu jedem Zeitpunkt – also „in Use“, „in Transit“ und „at Rest“ – verschlüsselt werden, ist die höchstmögliche Sicherheit gewährleistet. Jeder Ort und jede Anwendung, in der Daten im Klartext zugänglich gemacht werden, stellt eine potentielle Sicherheitslücke dar. Gerade bei Daten, die in der Cloud gespeichert und verarbeitet werden, kommt es daher auf eine durchgängige Verschlüsselung an.

Standardisierte, praxiserprobte Verschlüsselungsverfahren wie AES 256 und RSA 2048 bieten optimale Sicherheit, wenn sie korrekt implementiert werden. Lösungen, die die Standardverschlüsselung verändern, um Informationen in den verschlüsselten Daten zu suchen oder sortieren zu können, lassen sich leicht aushebeln, wenn keine besonderen Vorkehrungen getroffen werden.

 

Keine Einschränkungen der Produktivität

Datenschutz und Datensicherheit muss nicht auf Kosten der Prozesse und Abläufe im Unternehmen gehen. Verschlüsselungsplattformen wie das eperi Gateway unterstützen berechtigte Anwender bei ihrer Arbeit mit den Daten – ohne wichtige Funktionen, wie z. B. das Suchen in den Daten, zu beeinträchtigen.

Bei Datenverschlüsselungen gewährleisten Funktionalitätsemulationen, die nur den berechtigten Anwendern über das Verschlüsselungsgateway bereitstehen, die Arbeit mit Datenbeständen, als ob es keine Verschlüsselung gäbe.

Das gelingt nur durch Nutzung von Pseudonymisierungstechnik, die sowohl Verschlüsselung als auch die Tokenisierung von sensiblen Daten kombiniert. Tokenisierungsverfahren ermöglichen es berechtigten Anwendern, mit Daten zu arbeiten, die nur sie im Klartext sehen. Für alle anderen werden nur Ersatzwerte dargestellt. Zur Tokenisierung der Informationen generiert das Verschlüsselungsgateway für jeden Datensatz typkonforme Werte. So wird gewährleistet, dass Anwendungs-Workflows weiter funktionieren und nur der Ersatzwert in der Cloud gespeichert wird. Für die Datensicherheit ist aber eine sichere Tokenisierung wichtig. Bei älteren Verfahren sind typkonforme Ersatzwerte oft in einer Mapping-Tabelle verzeichnet, welche ein beliebtes Ziel für Hacking-Angriffe ist. Wichtig ist es daher, die Originaldaten vor Eintragung in die Token-Tabelle zu verschlüsseln und damit Verschlüsselung und Tokenisierung zu kombinieren.

 

Verschlüsselung schnell und einfach implementiert

Verschlüsselungslösungen müssen für Sicherheit sorgen, ohne die bestehende IT-Infrastruktur zu verändern und damit die Funktionalität von Anwendungen zu beeinträchtigen. Höhere Flexibilität ist ein wichtiger Entscheidungsgrund, um Daten in die Cloud zu migrieren. Eine schnelle Implementierung spart Geld. Das spielt insbesondere bei der Absicherung von Rechenzentren eine Rolle. Ein Verschlüsselungsgateway, das vor die eigentliche IT-Infrastruktur geschaltet wird und die Verschlüsselung samt Funktionsemulation außerhalb einer zu schützenden Anwendung durchführt, macht es möglich, dass bestehende IT-Infrastrukturen nicht beeinträchtigt werden und die Verschlüsselungslösung schnell implementiert werden kann.

 

Klare Verantwortlichkeiten – insbesondere beim Gang in die Cloud

Das Thema Datenschutz erfordert gerade in der Cloud eine konsequente Regelung und Vergabe der Zugriffsrechte auf Schlüssel und Daten. Die einzig wirklich sichere Lösung: Generierung und Verwaltung der kryptografischen Schlüssel verbleiben ohne Wenn und Aber im eigenen Unternehmen. Sowohl der Anbieter der Verschlüsselungslösung als auch der Cloud-Betreiber oder Administratoren von Rechenzentren haben keinen Zugriff auf die Schlüssel. Der Administrator im Rechenzentrum kann alle notwendigen administrativen Aufgaben wie Kopieren, Verschieben oder das Veranlassen von Backups, Spiegelung oder Migration anhand verschlüsselter Daten durchführen

Auch unternehmensintern sollte der Kreis der Schlüsselverwalter so klein wie möglich sein. Am besten verwalten wenige ausgewählte Sicherheitsadministratoren die kryptografischen Schlüssel. Sie können diese zuteilen und entziehen, ohne je auf Daten im Klartext zugreifen zu können. Für den Datenzugriff hängt der berechtigte Benutzer von der Verwaltung seiner Rechte durch den IT-Administrator ab. Die Rechtevergabe selbst erfolgt in der Cloud-Anwendung, die die Daten verschlüsselt, etwa in Office 365.

Bei solch einer Rollenteilung ist auch von vornherein klar: Anfragen Dritter beim Cloud-Anbieter zur Herausgabe der Schlüssel oder zur Entschlüsselung an externe, z. B. staatliche Stellen, sind zwecklos.

 

Regulatorische Anforderungen erfüllen

Eine gute Verschlüsselungslösung unterstützt Unternehmen auch bei der Erfüllung der immer weiter zunehmenden Anforderungen an Datenschutz und Cybersicherheit.

Richtige Verschlüsselungsimplementierung dokumentiert die Pseudonymisierung und Verschlüsselung personenbezogener Daten, hilft bei der Erfüllung der Forderung nach Auswahl geeigneter Schutztechnologien, nach administrativer Verwaltung des Zugangs sowie nach Zentralisierung des Datenschutzes, wie es beispielsweise die Datenschutzgrundverordnung fordert. Diese grundsätzliche Konformität mit regulatorischen Anforderungen an den Datenschutz, die eine sichere Datenverschlüsselung bietet, wird in der Cloud besonders wichtig, weil hier die IT-Infrastruktur nicht oder nicht in demselben Maße kontrolliert und abgesichert werden kann wie bei einer On-premises-Architektur.

 

Kompetenzen regeln

Gerade bei der Auslagerung von Daten in die Cloud bleibt die Durchsetzung der Gewaltenteilung wichtig. Modelle einer Datentreuhänderschaft, die sowohl den Anbieter einer Anwendung als auch eines Cloud-basierten Rechenzentrums zu einer Gewaltenteilung verpflichten, bieten erste Ansätze für eine transparente Kompetenzverteilung im Dienste des Datenschutzes. Auch hier kommt es auf die strikte Funktionstrennung an: Der Anbieter der Lösung gewährleistet die Funktion der Applikation, der Cloud-Anbieter den Betrieb sowie die Einhaltung der Service-Level-Agreements. Um die maximale Sicherheit zu gewährleisten, muss aber der Zugriff auf Schlüssel, die Möglichkeit zu deren Generierung und damit auf das Lesen von Klartext allein beim Kunden bleiben. Diese Schlüsselkompetenz sollte man in keiner Gewaltenteilung hergeben.

Verschlüsselungslösungen, die hinreichende kryptografische Verfahren mit entsprechender Rechtevergabe und Infrastruktur koppeln und damit die Hoheit über Daten und Schlüssel beim Unternehmen als Cloud-Nutzer selbst belassen, bieten wirksamen Datenschutz. Sie schaffen damit die eingangs erwähnte finale Verteidigungslinie auch für den Fall des unberechtigten Zugriffs, der nie ausgeschlossen werden kann.

 

Praxistipps

Die gängigen Cloud-Anbieter haben längst erkannt, dass die Fragen nach der Datensicherheit und dem Datenschutz für ihre Kunden eine zentrale Rolle beim Gang in die Cloud spielen und bieten eigene Verschlüsselungslösungen an. Das Problem mit solchen Lösungen besteht meistens darin, dass das Schlüsselmanagement ebenso wie die Ver- und Entschlüsselung der Daten innerhalb der Cloud-Anwendung und damit auch im Zugriffsbereich der Administratoren erfolgen. Der vermeintliche Vorteil einer engen Kopplung von Sicherheitslösung und Cloud-Anwendung ist also gleichzeitig ihr größter Nachteil: Die Schlüssel und die zu schützenden Daten befinden sich im Zugriff des Cloud-Anbieters.

Achten Sie deshalb bei der Wahl einer effektiven Verschlüsselungslösung auf folgende Merkmale:

  • Eine gute Verschlüsselungslösung ermöglicht dem Unternehmen als Cloud-Nutzer die alleinige Kontrolle über sämtliche Schlüssel und Verschlüsselungsvorgänge zu behalten. Der Cloud-Anbieter darf zu keinem Zeitpunkt einen Zugriff auf die kryptographischen Schlüssel haben.
  • Zentrale Architektur: Die Einhaltung unternehmensweiter Datenschutz-Richtlinien werden idealerweise an zentraler Stelle geregelt und kontrolliert. Die Verschlüsselungslösung sollte daher in der Lage sein, als zentrale Verschlüsselungsplattform vielfältige Geschäftsanwendungen – ob in der Cloud oder On-promises – einzubinden und dem Unternehmen die Möglichkeit geben, die zu schützenden Daten gezielt auszuwählen.
  • Keine Einschränkung: Verschlüsselung darf nicht zu Lasten der Cloud-Anwender Am besten, sie arbeiten wie gewohnt mit Cloud-Anwendung weiter und bekommen von der Verschlüsselung nichts mit; Alle wichtigen Cloud-Funktionen und -Clients sind ohne Einschränkung weiterhin nutzbar.
  • Open Source: Eine transparente Verschlüsselungslösung lässt sich „in die Karten schauen“. Idealerweise haben unabhängige Dritte überprüft und bestätigt, dass die genutzten Verschlüsselungsverfahren und -techniken korrekt arbeiten und keine Sicherheitslücken oder Hintertüren

 

*Elmar Eperiesi-Beck ist Gründer und Geschäftsführer der eperi GmbH, einem führenden Anbieter von Cloud Data Protection-Lösungen. Seine Karriere begann er als Principal bei IBM Deutschland, wo er große multinationale Projekte in den Bereichen SAP, e-Business und Security leitete. Elmar Eperiesi-Beck gilt als Pionier von Lösungen zum Schutz kritischer Informationen in kommerziellen Internet-Anwendungen. Im Jahr 2003 begann er mit der Entwicklung des eperi Gateways, das die Basis aller eperi Cloud Data Protection-Lösungen darstellt.

Beitragsnummer: 964