Kategorie: Allgemein

Neues Nextwork-Office: TISAX-zertifiziertes Arbeiten in Open Space, Safe Room und Workshop-Räumen

Nextwork ist seit Juli 2019 am neuen Standort im Münchner Museumsquartier. Ebenso frisch ist das Office TISAX-zertifiziert. Auf den ca. 400 Splitlevel-Quadratmetern haben die Sicherheits- und IT-Berater sich selbst eine Ideallösung gebaut: Als Beispiel dafür, dass sich eine moderne, offene Arbeitskultur mit den Anforderungen von Datenschutz und Informationssicherheit verbinden lässt.

New Work oder „Wie, Ihr habt keinen Serverraum mehr?“

Leitmotiv für das neue, moderne Office sind New Work-Prinzipien: offene Atmosphäre im Open Space mit großen Fenstern und Blick in den Alten Botanischen Garten. Flexible Arbeitsplätze für alle Besprechungssituationen, kein Chefbüro, Clean Desk, papierloses Büro und Workshop-Räume für das Academy-Programm. Einen Serverraum wird der aufmerksame Betrachter vergeblich suchen – die IT- und Sicherheitsberater von Nextwork greifen ausschließlich auf Cloud-Dienste zurück. „In der ursprünglichen Planung des Vermieters waren vierzig Bodentanks und eine strukturierte Cat.7-Verkabelung mit 48 Netzwerkdosen vorgesehen. Die haben wir alle rausgeschmissen, da wir ausschließlich kabellos (Telefon und Netzwerk) arbeiten“, erzählt Marco Peters, Gründer und Geschäftsführer von Nextwork.

Proof of Concept: TISAX Geheimfreigabe

Direkt nach dem Einzug hat Nextwork den TISAX-Ritterschlag erhalten: die Geheimfreigabe, das höchste Level an Schutz für Informationen. Für die Berater war es ein wertvoller Selbstversuch und eine Frage der Glaubwürdigkeit, nach über 50 erfolgreich abgeschlossenen Projekten den Zertifizierungsprozess noch einmal selbst zu durchlaufen. Die mustergültige Umsetzung des Zonenkonzepts mit Sichtschutz, Schallschutz, Zutrittsschutz, Zonenabsicherung, Besuchermanagement, Raumüberwachung, Brandschutz und Einbruchschutz ist der Beweis, dass es für viele Probleme, die Unternehmen haben und die oft mit der Kultur „clashen“, eine gute Lösung gibt. „Jetzt können wir unseren Kunden und Workshop-Teilnehmern best practice zeigen – in unserem eigenen Office, sozusagen als TISAX-Showroom“, freut sich Marco Peters. Neben dem Label „Info Very High“ hat Nextwork zwei weitere Freigabelabel erhalten. TISAX und die erzielten Prüfergebnisse sind nicht für die breite Öffentlichkeit bestimmt. Unternehmen, die bei ENX registriert sind, können die Details der AL3-Prüfung von Nextwork im ENX-Portal einsehen.

Zu vermieten: TISAX kompatibles Co-Working im Nextwork Safe Room 

Die Erfahrungen aus diesem Prozess zahlen auf das sowieso schon breite Erfahrungsrepertoire der Berater ein: „Wir haben in unserer Arbeit in den letzten Jahren einen Paradigmenwechsel vollzogen. Heute ist alles was wir tun „safe & secure“. Egal, ob IT-Infrastrukturen, Prozesse oder bauliche Themen.“ Aus diesem Ansatz ist dann auch eine neue Idee entstanden: im neuen Office vermietet Nextwork ab sofort Deutschlands ersten Safe Room nach VDA ISA als Projektbüro für Kunden, die für Geheimprojekte keinen eigenen Geheimraum (Hoch-Risiko-Zone) haben. „Einige unserer Kunden können oder wollen die hohen technischen und baulichen Anforderungen nicht umsetzen. Meist geht es auch nur um kurze Spitzen in einem Projekt, an denen die Informationen geheim sind. Für diese Zeiträume können Kunden nun einen Safe Room bei uns mieten.“

Gewusst wie: Schulungen, Seminare und Workshops vor Ort 

Wissensvermittlung ist ein ganz zentraler Aspekt für Nextwork, nicht nur bei der Ausbildung von Informationssicherheitsbeauftragten. „Hilfe zur Selbsthilfe” ist das Credo der Sicherheits- und IT-Berater: „Datenschutz und Informationssicherheit sind längst fester Bestandteil unseres Alltags – sie wirken sich auf jeden Einzelnen und auf die ganze Unternehmenskultur aus. Deshalb kann man die Themen nie komplett outsourcen. In unseren Schulungen vermitteln wir, so leichtfüßig und unterhaltsam wie möglich, wesentliche Zusammenhänge und praktische Tipps für das daily business. „Damit unsere Kunden auch ohne uns handlungsfähig bleiben und nicht wegen jeder Frage zu uns kommen müssen” erklärt Marco Peters. Zusätzlich zur Online Academy, in der virtuelle Schulungen jederzeit von überall aus verfügbar sind, haben die Berater von Nextwork dafür jetzt auch großzügige Workshopräume in der echten Welt – und freuen sich darauf, Kunden für Präsenzschulungen ins eigene Office einladen zu können.

Mehr Infos:
Link zu NEXTWORK
Link zum ENX-Portal

»The Cloud Diaries« – Unser Umzug in die Cloud.
#3: Es ist soweit: Wir sind drin.

Gastbeitrag von Finn Nickelsen

Der Praxisbericht über den Umzug und unseren Alltag in der Cloud.


Im ersten Teil unserer »Cloud-Diaries« haben wir einen »Blick hinter die Buzzwords« geworfen. Im zweiten haben wir verraten, »Warum wir den Status quo hinterfragt haben« und dass die Meisten von uns, oft auch nicht wissentlich, schon längst in der Cloud wohnen. Heute berichten wir über unsere eigenen Erfahrungen.
Ihr wollt wissen, welches System das richtige ist? Wie man den Umzug in die Cloud in der Praxis durchführt? Oder wie man Datenschutz- und Informationssicherheit im Arbeitsalltag umsetzt? Dann lest hier weiter.

Ok, lasst uns umziehen. Aber: Wohin jetzt eigentlich genau?


Sobald die Entscheidung für den Umzug in die Cloud gefallen ist, stellt sich die Frage, welche „Wolke“ wohl die richtige ist. Bei genauerer Betrachtung stellt sich die Frage dann aber doch nur bedingt: Denn wer die Cloud professionell nutzen will und eine gute Business Lösung sucht, hat im Wesentlichen die Wahl zwischen Microsoft und Google. Wir haben uns für die Google Cloud entschieden. Vor allem, weil es für uns wichtig ist, jederzeit die Kalender der Kolleginnen und Kollegen auf den iOS-Geräten einsehen zu können. Das ist mit der Cloud-Computing-Software G Suite problemlos möglich.

Kann der Server weg? Gibt es uns jetzt wirklich nur noch virtuell?


Die Frage aller Fragen, wenn es an den Umzug in die Cloud geht. Und »Jein« lautet die Antwort. Der E-Mail Server verschwindet in jedem Fall komplett in der Cloud. Ansonsten gilt: Unternehmen, wie zum Beispiel Kanzleien oder Beratungsunternehmen, deren Daten vor allem auf Text basieren und die entsprechend mit überschaubarem Datenvolumen arbeiten, können getrost auf einen physischen Server verzichten und sich komplett virtuell einrichten.

Neben der Google Cloud raten wir in puncto Backup zudem immer zu einer zusätzlichen Sicherung, die aber auch eine Cloud-Lösung sein kann.

Unternehmen wie etwa Agenturen, die mit großen Bild- und Videodateien arbeiten, werden auch weiterhin einen physischen File-Server brauchen. Denn obwohl die Cloud theoretisch genügend Speicherplatz bietet, ist ein Arbeiten mit annehmbaren Ladezeiten derzeit technisch noch nicht möglich (zumindest nicht bei uns in Deutschland).

Ob es noch einen physischen Server gibt oder nicht – eins steht fest: Die tägliche Zusammenarbeit mit Kollegen in Teilzeit oder auf Reisen sowie das Sharen von Dokumenten mit Freelancern und Kunden in anderen Städten wird durch den Umzug in die Cloud in jedem Fall leichter.

Die Stunde der Wahrheit: Wie ziehen wir denn jetzt ganz konkret um? Und welche Daten nehmen wir mit?


Wir haben vor dem Umzug erst einmal eine Testversion genutzt, um mit dem System warmzuwerden. Dann haben wir ordentlich ausgemistet. Und dann einen Kaltstart hingelegt.

Das ist auch unsere Empfehlung. Je weniger Daten umgezogen werden müssen, desto einfacher. Davon abgesehen: Es müssen sowieso nicht so viele Daten umgezogen werden. Die E-Mails befinden sich ohnehin im E-Mail Archiv. Und die Kalender werden neu befüllt.

Und wie steht es mit Datenschutz und Informationssicherheit? Geht das in der Cloud überhaupt?


Für sensible und verschlüsselte Daten nutzen wir ergänzend zur Google Cloud eine eigene nextcloud. Diese wird in Deutschland gehostet und von uns selbst verwaltet.

Solch eine Lösung empfehlen wir auch unseren Kunden. Ansonsten gilt: alle Unterlagen, die keine sensiblen Daten oder Informationen enthalten, können bedenkenlos in der Google Suite gespeichert werden: etwa Blanko-Vorlagen aller Art.

Darüber hinaus gelten in der Cloud keine anderen Regeln, als die, die man kennt: Dokumente sollten im Tagesgeschäft anonymisiert werden. Statt echter Kundennamen nutzt ihr zum Beispiel Kürzel oder Codenamen. Zusätzlich müssen Dokumente mit schützenswerten Inhalten immer verschlüsselt werden.

Wie gesagt: Die Frage, welche Inhalte geschützt werden müssen oder wie gut die Idee ist, eine unverschlüsselte Datei per E-Mail oder WeTransfer zu verschicken – das sind Fragen, die sich auch jenseits der Cloud stellen. Und die jeder für sich im Einzelfall abwägen muss. Im Zweifel einfach diesen vertraglichen Bedingungen, die ihr mit dem Kunden vereinbart hat, abgleichen.

Hand auf’s Herz: Lohnt sich der ganze Kraftakt? Unser Fazit: Auf jeden Fall.


Für uns war der Umzug in die Cloud die richtige Entscheidung. Wir sind oft auf Reisen. Wir arbeiten von München und von unterwegs aus. Wir besuchen Kunden und Partner in ganz Deutschland. Jederzeit auf alle Dokumente zugreifen zu können, die man gerade braucht, ist eine enorme Erleichterung.

Zugleich ist das eine Verbesserung für unseren Workflow: Statt vieler Insellösungen, wie wir sie vorher verwendet haben, bietet die G Suite alle Tools, die man braucht – und das über EINE Benutzeroberfläche und mit EINEM Passwort.

Abschließend gibt es noch eine ganz frische Anekdote: Kürzlich mussten wir wegen Umbauarbeiten zwei Tage komplett ohne Internet arbeiten – waren aber trotzdem voll arbeitsfähig. Wie das möglich war? Jeder konnte mit seinem Smartphone einen Hotspot öffnen. Über diese Internetzugangspunkte war dann ein Zugriff auf alle Dokumente in der Cloud möglich. Wären wir zu diesem Zeitpunkt nicht schon in der Cloud gewesen, hätte das so nicht funktioniert.

Schulungsplattform »nextwork academy« rund um DSGVO und TISAX ist online

Mit eigenen Publikationen und Workshops zu Datenschutz und Informationssicherheit hat nextwork bereits eigene Formate zum Wissensaustausch etabliert. 2019 setzt das Unternehmen einen neuen Meilenstein – und teilt sein Experten-Kowhow ab sofort auf academy.nextwork.de: einer eigenen Schulungsplattform rund um DSGVO, ISO 27001 und TISAX. Für alle, die sich selbst informieren oder ihre Mitarbeitenden unkompliziert schulen wollen.

Datenschutz und Informationssicherheit gehören jetzt zum Alltag – und funktionieren nur, wenn sie in die Unternehmenskultur integriert werden.

„Datenschutz und Informationssicherheit sind keine Projekte, die ein Unternehmen irgendwann abschließen kann“, sagt Marco Peters, Gründer und Geschäftsführer von nextwork. „Diese Themen gehören ab jetzt zum Alltag jedes Unternehmens und werden auch nicht mehr verschwinden. Erfolgreich meistern kann man Datenschutz und Informationssicherheit nur, wenn sie langfristig in die Unternehmenskultur implementiert und von allen Mitarbeitenden gelebt werden.“ Nach mehreren Jahren als externe Informationssicherheitsbeauftragte für mittelständische Unternehmen und Konzerne in ganz Deutschland wissen die Experten von nextwork genau, wovon sie sprechen. Deshalb wissen sie auch: hat ein Unternehmen Maßnahmen zur DSGVO umgesetzt oder eine TISAX-Zertifizierung erhalten, ist ein wichtiges Etappenziel erreicht. Damit ist die Arbeit aber nicht getan, denn nun geht es darum, die Richtlinien im Alltag umzusetzen und dauerhaft einzuhalten. Dafür müssen alle Mitarbeitenden ins Boot geholt werden – und zwar nicht nur moralisch, sondern auch inhaltlich. Und genau hier kommen die Schulungen ins Spiel.

Ob fünf oder 50 000 Mitarbeitende: Mit Online-Schulungen erreicht man alle. Auch an unterschiedlichen Standorten gleichzeitig.

In der Praxis stehen Geschäftsführung sowie Datenschutz- und Informationsbeauftragte früher oder später vor der Herausforderung, alle ihre Mitarbeitenden schulen zu müssen. „Bei einem Unternehmen mit zwanzig Mitarbeitern mag die Organisation noch recht einfach sein – in einem Unternehmen mit einhundert Menschen wird es schon schwierig”, so Philipp Brändl, Berater für Informationssicherheit bei nextwork. „Auch die Fluktuation spielt eine Rolle: Jedes Mal, wenn neue Mitarbeitende ins Unternehmen eintreten, müssen auch diese
von Grund auf informiert werden. Weder wir noch unsere Kunden können diesen großen Bedarf durch Präsenzschulungen abdecken.“ Als lösungsorientiertes Unternehmen mit Wurzeln in der IT war dem Team von nextwork schnell klar, dass eine Online-Schulungsplattform der richtige Weg ist. Genauso schnell fanden die Experten aber auch heraus: Eine fertige Lösung, die ihrer eigenen Arbeitsweise entspricht, gab es dafür nicht. Also baute sich nextwork kurzerhand selbst eine Academy.

Die nextwork academy: nutzerfreundlich aufgebaut, erklärt und visualisiert

„Viele Schulungsmöglichkeiten, die man derzeit auf dem Markt findet, sind sehr komplex, kostenintensiv und visuell nicht so aufbereitet, wie wir und unsere Kunden uns das vorstellen“, so Marco Peters. „Was die nextwork academy auszeichnet, ist, dass sie komplett aus der Nutzerperspektive gedacht ist.“ Entsprechend ist jede Schulung so aufgebaut, dass sowohl Einsteiger als auch Verantwortliche die Themen verstehen – und dann vor allem auch in der Praxis umsetzen können. Zu der Leichtfüßigkeit, mit der die Videos daherkommen, tragen nicht nur viele intern entwickelte Grafiken bei, sondern auch eine authentische Tonspur, bei der auch mal ein Schmunzeln erlaubt ist. Datenschutz und Informationssicherheit sind auf den ersten Blick keine extrem attraktiven Themen. Mit der nextwork academy machen sie aber trotzdem Spaß – ein bisschen zumindest.

Mehr Infos bei nextwork:
www.nextwork.de/academy

»Cool trotz Zertifizierung«: Wie man Zertifizierungen aller Art richtig angeht »must see«

Gerade habe ich einen Talk entdeckt, der sich mit einer Sorge beschäftigt, die auch wir gut von unseren Kunden kennen, nämlich: Was macht man als agiles Unternehmen, wenn man sich plötzlich mit Datenschutz, Informationssicherheit, ISO 27001 oder TISAX-Normen auseinandersetzen muss? Droht das Ende der Selbstbestimmung? Ein Leben a la René Goscinny und Albert Uderzo, »Haus, das Verrückte macht«, auf der endlosen Suche nach Passierschein A 38?

Hans Schmill, Mitglied der Geschäftsführung der abat AG, ist der lebende Beweis, dass es so nicht sein muss. In seinem Talk auf dem intrinsify pathfinder festival 2018 erzählt er, wie man Richtlinien leben und in die Unternehmenskultur integrieren kann – ohne eigene Überzeugungen wie »Vertrauen statt Normen« und »Richtlinien statt Regeln« komplett an den Nagel zu hängen. Und er beschreibt, wie man die eigene Souveränität aufrecht erhält, indem man eigene Prozesse erarbeitet und internes Wissen zum Thema aufbaut.

Also nicht warten, sondern direkt hier anschauen:
https://www.youtube.com/watch?v=pjvJaGZWVJo

 

 

BU: Datenschutz kann sogar ganz hübsch sein: Sieht aus wie eine Nachspeise, sind in Wirklichkeit aber gewissenhaft geschredderte Daten

Experteninterview auf Süddeutsche.de: „236 ungelesene E-Mails”

Sie sind überall und es werden täglich mehr: Ob Kundennachricht, Newsletter, Lehrer-E-Mail, oder Kinoreservierung – längst läuft in unserem Berufs- und Privatleben alles über E-Mails. (Per Post kommt heute höchstens noch die Wahlbenachrichtigung; und wann zuletzt jemand ein Fax geschickt hat, weiß wohl kaum noch irgendwer.)

Weglaufen bringt nichts. E-Mails sind schneller.

Umso dringlicher ist die Frage: Wie bleiben wir die Herren unserer überquellenden Postfächer? Wie behalten wir Wichtiges im Auge, lassen uns aber nicht vom endlosen Strom eingehender Nachrichten verrückt machen? Macht es Sinn zu sortieren? (Meine Meinung: niemals!) Oder wie behalten wir sonst den Überblick?

Als Geschäftsführer, Privatmensch und Vater, der täglich dutzende E-Mails bekommt, beschäftige ich mich permanent mit diesem Thema und schreibe auch immer wieder hier im Blog sowie in meinen Büchern darüber.

Mein Experteninterview auf Süddeutsche.de findest du hier:
https://www.sueddeutsche.de/karriere/emails-inbox-posteingang-loeschen-1.4328434

Stop being a Smartphone-Addict! Mein Plädoyer für weniger Bildschirmzeit.

Manch einer wundert sich jetzt vielleicht, dass jemand, der von seinen beruflichen Wurzeln her ITler und im Herzen ein Technik-Freak ist, weniger Bildschirmzeit für eine gute Sache hält. Ich kann dazu nur sagen: als Ehemann, Familienvater und überhaupt als Mensch habe ich mich tatsächlich gefreut, als Apple den Screentime-Manager vorgestellt hat. Endlich mal ein Tool, das hilft, die ganze Daddelei der Kids zu organisieren. Und: wir alle sehen mal schwarz auf weiß, was wir da eigentlich treiben mit unserer Lebenszeit.

 

Jetzt ist sie da, die Bildschirmzeit-Wahrheit. Schwarz auf Weiß.

Bis jetzt konnten wir uns irgendwie noch einreden, dass es doch alles halb so wild ist mit der eigenen Smartphone-Sucht. Oder das wir die meiste Zeit nur “wichtige” Dinge, zum Beispiel Arbeit, damit erledigen. Mit dem iOS 12 hat Apple dieses Jahr etwas auf den Markt gebracht, das aus der Hand eines Smartphone Herstellers überrascht: nämlich “Screentime”: ein Tool, mit dem man die eigene Bildschirmzeit verwalten kann. Es gibt etwa App-Limits, Nicht-stören-Bedienelemente und vor allem wird – schön grafisch – die Dauer angezeigt, die man am Smartphone verbracht hat. Und auch, wie man sie genau verbracht hat: in Prozent kann man sehen, wieviel Zeit man anteilig zum Beispiel in Lesen oder in Social Media investiert hat.

Apple hat also ein Tool erfunden, mit dem wir uns ab sofort jeden Tag selbst erschrecken können. Positiv ist aber zu bemerken, dass die Marke damit die Mitverantwortung für ein Thema übernimmt, das wir alle nur zu gut kennen und das sich seit Beginn der Smartphone Ära immer mehr zum gesellschaftlichen Problem ausgewachsen hat: nämlich der automatische Griff zum Smartphone–  in jeder Lebenslage.

Die Keynote von Apple zu diesem Thema ist übrigens wirklich spannend, man kann sie hier ansehen (Bildschirmzeit ab Minute 47): https://www.apple.com/de/apple-events/june-2018/

 

Wollen wir 33 Tage Lebenszeit an unser Smartphone opfern?

Morgens geht es bei den meisten ja schon los: “Presto” oder irgendeinen anderer Klingelton ertönt neben dem Kopfkissen. In diesem Moment nimmt man das Smartphone zum ersten Mal in die Hand – und legt es ab dann nicht mehr wirklich weg. Mails checken im Bad beim Zähneputzen, Nachrichten lesen in der Küche beim Kaffee, dann freisprech-telefonieren im Auto. Den Tag über bleibt das Smartphone jederzeit griffbereit und wird in jedem Moment gezückt, in dem auch nur der leiseste Anflug von Langeweile droht: beim Warten auf die S-Bahn, im Wartezimmer beim Arzt, im Café, wenn das Gegenüber gerade nicht da – oder sogar, wenn es da ist:

Ich beobachte sogar im Freundeskreis, dass der ein oder andere eine Art “Zucken” entwickelt hat und selbst während einer Unterhaltung ohne besonderen Grund aufs Smartphone schaut – ja zum Teil sogar kurz E-Mails oder Facebook checkt.

Abends, wenn es ins Bett geht, schließt sich der Kreis: das Teil liegt wieder direkt nebendran auf dem Nachttisch. Studien belegen, dass Smartphone-Nutzer inzwischen auf 33 Tage – also mehr als einen Monat! – reine Smartphone-Zeit im Jahr kommen. Erschreckend, oder? Wollen wir so wirklich unsere Lebenszeit verbringen?  

 

Wasser predigen und Wein trinken – die Sache mit den Kids

Dabei fängt das Ganze schon im zarten Alter an: Bei jedem, der heute Kinder hat, ist die Frage, wann, was und wieviel mit dem Smartphone gemacht werden darf, ein never ending Drama. Hier ist das Screentime Tool mal eine echte Hilfe – denn bisher war man als Elternteil komplett auf sich allein gestellt mit dem Thema “Daddeln zeitlich eingrenzen”.

Gleichzeitig muss man sich aber auch mal die Frage stellen: warum nerven die Kids so damit? Von wem haben die das eigentlich? Man würde ja gern sagen, dass die kleinen Smartphone-Zombies sich das schlechte Verhalten nur bei Fremden abgeschaut haben. Wenn man aber mal ehrlich ist: auch hier fällt der Apfel meist nicht weit vom Stamm.

 

Wer ist hier jetzt eigentlich erwachsen? Krisen in der Smartphone-Verbot-Zone

Um die Screentime-Sache also mal gezielt in den Griff zu bekommen, haben wir bei uns zuhause inzwischen Smartphone-Verbot-Zonen eingeführt: den Esstisch und das Bett. Das gilt für alle: uns und unsere Kinder, deren und unsere Freunde. Und wir hatten fest damit gerechnet, dass die Kids als erste auf die Barrikaden gehen. Aber weit gefehlt: die Erwachsenen haben tatsächlich das größere Problem damit.

Üblicherweise verbringen wir die meiste Zeit mit unseren Freunden in einer Smartphone-Verbot-Zone: dem Esstisch. Das ist bei uns zuhause der Mittelpunkt. Pro Besuch gibt es schon mal eine „Ausnahme“ vom Verbot, weil einer „kurz was zeigen” möchte. Vor allem gibt aber jedes Mal viele klare Verstöße: nämlich wenn wir wieder einen dabei erwischen, wie er schnell (am besten noch heimlich unter’m Tisch) WhatsApp checkt. Wenn man mal ganz ehrlich ist: eigentlich schafft keiner unserer „erwachsenen Freunde“ diese einfache Regelung mit der Smartphone-freien Zone einzuhalten.

 

Fazit: Jetzt anfangen mit der Entwöhnung und den Vorsatz in 2019 mitnehmen

Leute, Hand auf’s Herz: wir alle haben irgendwie ein Problem mit der Smartphone-Obsession. Dass sogar Apple als Hersteller selbst einschreitet und ein Tool wie Screentime entwickelt, spricht Bände, was das Ausmaß des Problems angeht. Vielleicht ist jetzt gerade die Weihnachtszeit ein guter Moment, um mal in sich zu gehen und ganz ernsthaft den Vorsatz anzugehen, 2019 ein Leben zu führen, dass nicht nur vom Smartphone abhängt. In diesem Sinne: eine schöne Zeit und einen guten Rutsch ins neue Jahr!

 

Über Weihnachtskarten, X-Mas E-Mails und die Frage, ob die DSGVO der Grinch ist, der die Weihnachtswünsche stiehlt

Während wir bis Weihnachten immer weniger Tage zu zählen haben, erreicht uns eine Frage jetzt alle paar Tage: “Dürfen wir unseren Kunden eigentlich noch Weihnachtspost schicken?” Verständlich, denn immerhin feiern wir 2018 das erste Fest mit der DSGVO und geschärftem Bewusstsein für das Thema Datenschutz.

Damit Sie wissen, wo Sie Ihren kreativen Ideen freien Lauf lassen dürfen oder wo Sie sich die Mühe gleich sparen können, beantworte ich aus meiner Sicht* die wichtigsten Fragen zum Thema.

 

X-Mas Wünsche per Mail:
Braucht das Christkind ein Double-Opt-In?

Ganz klare Antwort: Ja! Das Christkind, also in diesem Fall Sie, brauchen tatsächlich ein Double-Opt-In. Dem Kunden ungefragt per E-Mail Weihnachtswünsche zu schicken ist unzulässig. Denn eine gut gemeinte E-Mail mit einem blinkenden Tannenbaum wird in der Regel nichts mit dem konkreten Auftrag zu tun haben, den Sie von Ihrem Kunden erhalten haben. Ausnahme von der Regel: der Kunde hat explizit seine Einwilligung dazu gegeben, dass Sie ihm ein frohes Fest wünschen dürfen. Sollten Sie zum vermutlich eher kleinen Kreis derer Gehören, die eine solche Einwilligung haben, mailen Sie los! Für alle anderen gilt: machen Sie sich keine Mühe mit netten Formulierungen und löschen Sie Ihren aktuellen Weihnachts-Verteiler. Weihnachtswünsche auf elektronischem Weg sind ein ganz klares No-Go!

Exkurs zum Grinch:
DSGVO, UWG oder ePrivacy-Richtlinie – Wer verbietet uns denn jetzt eigentlich das leichtsinnige Wünschen?

Im Sinne der Richtigkeit sei an dieser Stelle noch kurz angemerkt:  Alle sprechen gerade nur über die DSGVO. Klar, immerhin ist sie gerade der große Begriff rund um das Thema Datenschutz, den alle auf dem Schirm haben. Beim “unverlangten Versand einer E-Mail” ist die korrekte Rechtsnorm allerdings gar nicht die EU-DSGVO, sondern §7 UWG, mit den Vorgaben der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG – kurz: ePrivacy-Richtlinie. Aber das nur am Rande.

“Hoho”, live und direkt ins Ohr:
Sind Weihnachtsgrüße per Telefon erlaubt?

Um es auch hier kurz zu halten: Nein. Einfach zum Hörer zu greifen und den Kunden zum Thema Weihnachten anzurufen, ist überhaupt keine gute Idee. So eine Aktion fällt bereits in den Bereich Telefonwerbung und ist grundsätzlich unzulässig. Ausnahmen:  Der Angerufene hat bereits vorher explizit eine Einwilligung zu dieser Art von Werbung gegeben. Oder Sie haben ein ausgesprochen freundschaftliches Verhältnis zu diesem speziellen Kunden, dessen Nummer sie da wählen. In letzterem Fall geht ein Weihnachtsanruf sicher auch in Ordnung.  

Und wie sieht es mit echtem Papier und Geschenken auf dem guten alten Postweg aus?

Hier habe ich endlich gute Nachrichten: wer seinen Kunden eine Weihnachtskarte oder auch ein Geschenk per Post schicken will, bewegt sich auf recht stabilem Eis. Ausnahme: Wenn der Empfänger schon mal deutlich gemacht hat, dass er bitte überhaupt keine Weihnachtsgrüße aus dem Briefkasten fischen und auch keinen Kurier mit überdimensional großen Kalendern, Fresskörben und Ähnlichem empfangen möchte, sollten Sie das unbedingt in Ihrem Weihnachts-Verteiler berücksichtigen. Ansonsten könnte es berechtigten Ärger geben.

Fazit:
Die E-Mail-Postfächer müssen leer und die Telefone still bleiben. Aber den klassischen Briefkästen steht vermutlich die aufregendste Zeit des Jahres bevor

Beginnen Sie also ruhig, Karten zu entwerfen, Briefumschläge und Präsente auszusuchen – so lange Sie auf E-Mails und Anrufe verzichten und Ihre Weihnachtsgrüße an niemanden schicken, der einen expliziten Widerspruch gegen den Erhalt von Werbesendungen eingelegt hat, dürfen sie sich austoben. Viel Spaß beim rechtschaffenen Schenken und gesetzestreuen Wünschen!

*Informationen aus diesem Artikel basieren auf meiner persönlichen Recherche und Erfahrung. Sie dienen lediglich Informationszwecken und stellen keine Rechtsberatung dar. Sie können insbesondere keine individuelle rechtliche Beratung ersetzen, welche die Besonderheiten des Einzelfalles berücksichtigt.

»The Cloud Diaries« – Unser Umzug in die Cloud.
#2: Warum wir den Status quo hinterfragt haben.

Gastbeitrag von Finn Nickelsen

»Das haben wir schon immer so gemacht« – Der Mensch als Gewohnheitstier.


Ganz traditionell haben auch wir unsere Infrastruktur von Anfang an inhouse bei uns aufgebaut (das war der Standard, früher hatte man halt seinen Server bei sich): Datenserver, Mailarchiv und Mailserver  – das hatten wir alles bei uns im Büro stehen. Im Grunde genommen war das Usus im letzten Jahrzehnt; die meisten unserer Kunden bestanden ebenfalls auf dieses Prinzip. Außerdem gab es wohl noch einen psychologischen Nebeneffekt: Ein Kunde meinte zum Beispiel, er will immer seine Daten bei sich haben. Um notfalls in der Lage zu sein, sie im Starnberger See zu versenken… Wir sind immer misstrauisch, wenn man über etwas sagt, »das haben wir schon immer so gemacht«. Dann ist es nämlich höchste Zeit, das zu hinterfragen!

New work: Arbeit und Zusammenarbeit passieren überall und in Echtzeit


Die große Frage ist doch: Wie passt die Idee der festen Server und festen Orte noch zu unserer Realität? Denn auch, wenn viele Unternehmen es noch nicht so ganz wahrhaben wollen und auf alte Strukturen beharren (von festen Anwesenheitszeiten bis zu Dateien, die tatsächlich physisch vor Ort z.B. von einem Freelancer abgeholt werden müssen…): die Art, wie wir arbeiten, hat sich verändert.  

Früher war die Arbeit innerhalb von Teams sowie im Dienstleister-Auftraggeber-Verhältnis stark getrennt. Heute wächst im Zeichen von Co-Creation und Collaboration alles zusammen. Oft arbeiten wir auch beim Kunden teamübergreifend: Das bedeutet z.B, dass wir immer alle Unterlagen, sprich kundenspezifische Dokumente, dabei haben müssen; natürlich immer die aktuelle Version, online aber auch offline.

Gleichzeitig ist das Büro längst nicht mehr die heilige Denkzentrale, wo alles entschieden und erarbeitet wird. Vieles passiert längst ganz selbstverständlich im Homeoffice, im Zug, im Cafe oder angemieteten Workshop-Räumen jenseits des eigentliches Unternehmenssitzes. Überhaupt sitzen auch Kunde und Experte immer häufiger nicht mal in derselben Stadt. Anstatt einfach “den Dienstleister von nebenan” zu wählen, sucht man gerade bei den immer komplexeren werdenden Themen kritisch aus und wählt den Partner, der am besten zu den eigenen Bedürfnissen passt – ob der seine offizielle Adresse dann in Hamburg, Berlin oder Köln hat, während man selbst in München sitzt, ist zweitrangig.

Überraschung: Du bist schon lange in der Cloud.


Abgesehen davon, dass die Cloud also besser in unsere Zeit passt, weil sie die flexible Arbeitsweise unterstützt, die wir brauchen, stellt sich allerdings auch die Frage: Wie ist eigentlich der Status quo? Nutzen wir die Cloud erst, wenn wir wirklich gezielt dorthin “umgezogen” sind? Oder sind wir am Ende längst Teil der Datenwolke, ohne, dass wir es so richtig bemerkt hätten? Die Antwort: Ja. Wenn wir genau hinsehen, sind wir alle längst mittendrin.

In der Praxis wollen uns das die Leute oft nicht glauben. Wenn wir dann aber zum Beispiel bei unseren Datenschutzprojekten anfangen, das Verarbeitungsverzeichnis zu erstellen, wundern sie sich, wieviele Anwendungen und Systeme heute schon in der Cloud sind: Projektmanagementsysteme (TeamWork), Agentursoftware (Easyjob), Zeiterfassung (Mite), Urlaub (Absence), Buchhaltung (DATEV), Online-Banking, Bewerbermanagement (z.B. Softgarden), Personalmanagement (Personio), Besucherbuch (Proxyclick), Mailserver (Google oder Microsoft oder deine alte gmx-E-Mail-Adresse), Telefonanlage (NFON), CRM (salesforce), Aufgabenplanung (Trello), Newsletter (CleverReach), Cloud-Speicher (Dropbox oder Tresorit), Adressverwaltung (iCloud), Grafikanwendungen (Adobe Creative Cloud), Virenschutz (Bit Defender), MDM (JAMF), Datentransfer und FTP-Server (Wetransfer, OwnCloud)… Wie viele dieser Systeme kommen Ihnen beim Lesen wohl auch vertraut vor?

Fazit: Worauf also eigentlich warten?


Zum einen ist also Zeit, höchste Zeit, die eigene Denkweise und somit auch die eigene Unternehmenskultur zu hinterfragen und anzupacken: denn Collaboration, Co-Creation und Cloud bedingen sich gegenseitig. Zum anderen: Hat man erst einmal realisiert, dass man mit einem Bein ohnehin schon in der Cloud steht, sollte man sich ernsthaft überlegen, ob es nicht Sinn macht, wirklich komplett dorthin umzuziehen.

 

 

TISAX | Wie Unternehmen eine Zertifizierung erhalten

tisax

Was ist TISAX überhaupt?

Immer mehr Unternehmen, die für Kunden aus der Automobilindustrie arbeiten, brauchen  eine TISAX-Zertifizierung bzw. TISAX-Freigabe. TISAX ist der neue, von der Automobilindustrie definierte, Standard für Informationssicherheit. Die Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) haben einen eigenen Katalog erstellt, der von der internationalen Industrie-Norm ISO27001 abgeleitet und an die Anforderungen der Automobil-Welt angepasst wurde.

Wer kann helfen?

Wir bei nextwork haben aus den bisherigen 50+ Projekten, die wir erfolgreich begleitet haben, einen Maßnahmenkatalog erstellt mit dem wir einfach und effektiv auf TISAX umrüsten. Dank dieses Know-hows können wir in den meisten Fällen auch den Auditierungsprozess beschleunigen.

Warum treten Unternehmen an uns heran?

Wir weisen unsere Kunden bereits seit Anfang 2017 darauf hin, dass das Thema TISAX® relevant wird. Nur wenige möchten von den neu auferlegten Regelungen nicht überrumpelt werden und haben bereits vorbereitende Maßnahmen getroffen, indem sie ein ISMS einführen. Die meisten melden sich allerdings erst bei uns, wenn die Einkaufsabteilung ihres Kunden die Aufforderung zum Audit auf den Tisch legt. Klar ist in diesem Fall schon richtig Druck auf dem Kessel. Oft erleben Unternehmen so eine Situation zum ersten Mal. Dann ist die Unsicherheit groß und es gibt eine Menge Klärungsbedarf – und viel zu tun..

Wie sieht grob die Vorgehensweise aus?

Als erstes gehen wir eine Gap-Analyse an, stellen also den Status quo dar. Im Abgleich mit dem TISAX-Anforderungskatalog (VDA ISA) wissen wir so sehr schnell, auf welchem Stand das Unternehmen ist – und was im nächsten Schritt zu tun ist. Auf dieser Basis starten wir mit der ersten Phase der Umsetzungsmaßnahmen, bis das Audit stattfindet. Beim Audit selbst erfasst der Zertifizierungs-Auditor den Status quo und erstellt eine Liste der noch zu ergreifenden Maßnahmen. Auf dieser Basis beraten wir das Unternehmen dann in der zweiten Phase der Umsetzung. Am Ende stehen Freigabe und *Zertifikat.

Wie fangen wir an?

Mit einem Kick-off. Wir besprechen mit der Geschäftsführung die Ausgangslage. Sprich: Wann der Audittermin ansteht, welches Timing vorgegeben ist – und daraus abgeleitet, welche Vorgehensweise sich ergibt.

Wie lange dauert das?

Normalerweise geht man bei der Implementierung eines ISMS von einem halben Jahr Laufzeit aus, da in den meisten Unternehmen der Status quo bei nahezu Null steht. Oft muss es jedoch schneller gehen: Der Fachbereich des Kunden kann solange nicht beauftragen, bis dem Einkauf eine TISAX-Freigabe vorliegt! Umso wichtiger ist es jetzt, auf einen Berater zurückzugreifen, der auf TISAX spezialisiert ist.

Wie hoch ist der Aufwand für die Einführung?

(Bei Unternehmen mit ca. 10 bis 99 Mitarbeitern)
ca. 10 – 30 externe Beratertage
ca. 20 – 60 interne Personentage (ISB, IT, HR)
ca. 3 – 8 Monate Umsetzungszeit

Wie hoch ist der Aufwand für den Betrieb?

(Bei Unternehmen mit ca. 10 bis 99 Mitarbeitern)
ca. 1 – 2 Personentage pro Monat für den ISB (intern oder extern)
ca. 2 – 4 Personentage pro Monat für das DST (intern)

Welche Unternehmensbereiche betrifft TISAX?

In den meisten Fällen landet das Thema reflexartig auf dem Tisch des IT-Chefs. Dabei betrifft TISAX alle Prozesse und Abläufe. Zu 75% Prozent geht es also gar nicht um IT. Vielmehr geht es um Fragen wie: Wie läuft das On- und Offboarding (Schlüsselübergabe, Zugriffsberechtigungen, Einarbeitung in die Prozesse)? Wie wird mit Externen, also Lieferanten, Dienstleistern und Freelancern, umgegangen (Geheimhaltungen, Datenschutz-Verträge, Daten-Austausch)? Gibt es Notfallpläne für Wasser- und Gebäudeschäden sowie Stromausfälle??

Wer sollte involviert werden?

TISAX ist Chefsache, also ein Thema für die Geschäftsführung. Da TISAX alle Prozesse und Abläufe im Unternehmen betrifft, müssen auch alle Fachbereichsleiter mit an den Tisch: HR, Legal, Projektleitung, IT und Office Management. Die Projektleitung für die Vorbereitung des Audits machen wir; in enger Zusammenarbeit mit euch. Wir sind also auf eurer Seite.

Wer prüft und stellt das Zertifikat aus?

Das Zertifizierungsaudit selbst führt dann ein externer Auditor durch, der separat und unabhängig beauftragt wird. Auf dem Internetauftritt der ENX (www.enx.com) finden sie eine Liste aller akkreditierten TISAX-Prüfdienstleister. Achtung: Es gibt kaum noch Termine für die nächsten sechs Monate um einen Prüfdienstleister für ein Zertifizierungsaudit zu bekommen. 

Mehr Infos zu TISAX bei nextwork:

https://www.nextwork.de/tisax

nextwork baut Geschäftsführung aus

Bei nextwork gibt es Grund zur Freude: Ab dem 1. Juni 2018 vertreten neben Inhaber und Geschäftsführer Marco Peters nun auch André Willich und Finn Nickelsen die nextwork GmbH als Geschäftsführer. Beide sind bereits seit vielen Jahren im Unternehmen.

nextwork setzt damit seine konsequente Entwicklung und das organische Wachstum fort. Der jüngste Geschäftsbereich „Informationssicherheit und Datenschutz“ boomt. Marco Peters hatte seinen dazugehörigen Beratungsansatz bereits seit drei Jahren konsequent entwickelt. „Als im Mai die Datenschutz-Panik durchs Land rollte, waren wir natürlich schon lange in Stellung“, so Peters. „Die Veränderungen, die durch TISAX und DSGVO an die Unternehmen herangetragen werden, sind ein echter Paradigmenwechsel, da sie alle Abteilungen und Abläufe in Kreativunternehmen betreffen.“ Um diese Themen in Zukunft weiter konsequent in der nextwork-Denke zu verzahnen, holt Peters die Leiter der Bereiche, André Willich (IT-Betreuung) und Finn Nickelsen (IT-Infrastruktur), in die Geschäftsführung.

Die Beratungsprojekte im Bereich Datenschutz und Informationssicherheit fußen auf dem langjährigen Know-how von nextwork in der IT-Beratung und dem Aufbau von IT-Infrastrukturen. „Wir entwickeln die IT kontinuierlich im engen Austausch mit unseren Kunden weiter – proaktiv und vorausschauend. Wir sind der Brandschutz, nicht die Feuerwehr“, erklärt André Willich.
IT-Infrastrukturen zukunftsorientiert, datenschutz- und informationssicherheitskonform zu entwickeln und zu betreuen, darin sieht nextwork heute seine Stärke. Finn Nickelsen erklärt die Denkweise: „Heute kann man keine IT-Infrastrukturen mehr entwickeln, ohne Datenschutz und Informationssicherheit mitzudenken, beispielsweise beim Mobile Device Management oder bezüglich der Zwei-Faktor-Authentifizierung. In unseren Projekten lösen wir also nicht mehr nur die individuellen Anforderungen der Kunden, sondern denken Datenschutz und Informationssicherheit automatisch mit.“

Auch von der kulturellen Seite kann nextwork glaubwürdig agieren: Derzeit residiert das Team in einem ehemaligen Club im Münchner Glockenbach-Viertel. Vor allem aber kennen die Berater das Agenturgeschäft seit vielen Jahren und sind seit Anbeginn auf Kreativunternehmen spezialisiert. Sie wissen, dass Kreative oft Schwierigkeiten mit den strengen Auflagen von TISAX und DSGVO haben. Deshalb sehen sie es als ihre Aufgabe an, diese Themen in deren Sprache zu übersetzen, sodass sie auch im Alltag gelebt werden können. Marco Peters fügt hinzu: „Ich bin überzeugt, dass Agenturen diese erstmal nervigen Auflagen als Chance für sich nutzen können, um alle Prozesse im Unternehmen zu durchleuchten – und sicherer und professioneller zu werden.“