Kategorie: Blog

Über Weihnachtskarten, X-Mas E-Mails und die Frage, ob die DSGVO der Grinch ist, der die Weihnachtswünsche stiehlt

29. November 2018
von Marco Peters

Während wir bis Weihnachten immer weniger Tage zu zählen haben, erreicht uns eine Frage jetzt alle paar Tage: “Dürfen wir unseren Kunden eigentlich noch Weihnachtspost schicken?” Verständlich, denn immerhin feiern wir 2018 das erste Fest mit der DSGVO und geschärftem Bewusstsein für das Thema Datenschutz.

Damit Sie wissen, wo Sie Ihren kreativen Ideen freien Lauf lassen dürfen oder wo Sie sich die Mühe gleich sparen können, beantworte ich aus meiner Sicht* die wichtigsten Fragen zum Thema.

 

X-Mas Wünsche per Mail:
Braucht das Christkind ein Double-Opt-In?

Ganz klare Antwort: Ja! Das Christkind, also in diesem Fall Sie, brauchen tatsächlich ein Double-Opt-In. Dem Kunden ungefragt per E-Mail Weihnachtswünsche zu schicken ist unzulässig. Denn eine gut gemeinte E-Mail mit einem blinkenden Tannenbaum wird in der Regel nichts mit dem konkreten Auftrag zu tun haben, den Sie von Ihrem Kunden erhalten haben. Ausnahme von der Regel: der Kunde hat explizit seine Einwilligung dazu gegeben, dass Sie ihm ein frohes Fest wünschen dürfen. Sollten Sie zum vermutlich eher kleinen Kreis derer Gehören, die eine solche Einwilligung haben, mailen Sie los! Für alle anderen gilt: machen Sie sich keine Mühe mit netten Formulierungen und löschen Sie Ihren aktuellen Weihnachts-Verteiler. Weihnachtswünsche auf elektronischem Weg sind ein ganz klares No-Go!

Exkurs zum Grinch:
DSGVO, UWG oder ePrivacy-Richtlinie – Wer verbietet uns denn jetzt eigentlich das leichtsinnige Wünschen?

Im Sinne der Richtigkeit sei an dieser Stelle noch kurz angemerkt:  Alle sprechen gerade nur über die DSGVO. Klar, immerhin ist sie gerade der große Begriff rund um das Thema Datenschutz, den alle auf dem Schirm haben. Beim “unverlangten Versand einer E-Mail” ist die korrekte Rechtsnorm allerdings gar nicht die EU-DSGVO, sondern §7 UWG, mit den Vorgaben der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG – kurz: ePrivacy-Richtlinie. Aber das nur am Rande.

“Hoho”, live und direkt ins Ohr:
Sind Weihnachtsgrüße per Telefon erlaubt?

Um es auch hier kurz zu halten: Nein. Einfach zum Hörer zu greifen und den Kunden zum Thema Weihnachten anzurufen, ist überhaupt keine gute Idee. So eine Aktion fällt bereits in den Bereich Telefonwerbung und ist grundsätzlich unzulässig. Ausnahmen:  Der Angerufene hat bereits vorher explizit eine Einwilligung zu dieser Art von Werbung gegeben. Oder Sie haben ein ausgesprochen freundschaftliches Verhältnis zu diesem speziellen Kunden, dessen Nummer sie da wählen. In letzterem Fall geht ein Weihnachtsanruf sicher auch in Ordnung.  

Und wie sieht es mit echtem Papier und Geschenken auf dem guten alten Postweg aus?

Hier habe ich endlich gute Nachrichten: wer seinen Kunden eine Weihnachtskarte oder auch ein Geschenk per Post schicken will, bewegt sich auf recht stabilem Eis. Ausnahme: Wenn der Empfänger schon mal deutlich gemacht hat, dass er bitte überhaupt keine Weihnachtsgrüße aus dem Briefkasten fischen und auch keinen Kurier mit überdimensional großen Kalendern, Fresskörben und Ähnlichem empfangen möchte, sollten Sie das unbedingt in Ihrem Weihnachts-Verteiler berücksichtigen. Ansonsten könnte es berechtigten Ärger geben.

Fazit:
Die E-Mail-Postfächer müssen leer und die Telefone still bleiben. Aber den klassischen Briefkästen steht vermutlich die aufregendste Zeit des Jahres bevor

Beginnen Sie also ruhig, Karten zu entwerfen, Briefumschläge und Präsente auszusuchen – so lange Sie auf E-Mails und Anrufe verzichten und Ihre Weihnachtsgrüße an niemanden schicken, der einen expliziten Widerspruch gegen den Erhalt von Werbesendungen eingelegt hat, dürfen sie sich austoben. Viel Spaß beim rechtschaffenen Schenken und gesetzestreuen Wünschen!

*Informationen aus diesem Artikel basieren auf meiner persönlichen Recherche und Erfahrung. Sie dienen lediglich Informationszwecken und stellen keine Rechtsberatung dar. Sie können insbesondere keine individuelle rechtliche Beratung ersetzen, welche die Besonderheiten des Einzelfalles berücksichtigt.

Quick Guide DSGVO und TISAX: „don’t panic and get certified“

28. November 2018
von Marco Peters

“Seit rund zwei Jahren beschäftige ich mich täglich mit TISAX und der DSGVO. Ich reise quer durch Deutschland, spreche mit großen und kleinen Kunden, leite Schulungen und halte Vorträge zu den Themen Datenschutz und Informationssicherheit. Mein Quick Guide soll jedem, den Einstieg ins Thema erleichtern – und einen Überblick über die wichtigsten Fragen, Hürden und To Dos bieten.”

 

don’t panic and get certified
Quick Guide DSGVO und TISAX.


Erfahrungen aus 50 Projekten mit 100% Erfolgsquote.
Veröffentlicht: 28.11.2018, Verlag: BoD, Norderstedt
ISBN: 9783748181934 (Erhältlich überall wo es Bücher gibt)

 

 

Warum dieser Quick Guide?

Mein Quick Guide soll jedem, der sich mit der DSGVO und / oder TISAX beschäftigt, den Einstieg ins Thema erleichtern – und einen Überblick über die wichtigsten Fragen, Hürden und To Dos bieten.

Für wen ist dieser Quick Guide gedacht?

Kurz gesagt: Für alle, die konkret wissen wollen, wie sie ihr Unternehmen für die DSGVO und / oder TISAX fit machen. Für Unternehmen mit einem bis hin zu 10.000 Mitarbeitenden – denn die DSGVO betrifft alle.

Für die Menschen in diesen Unternehmen. Darunter CEOs, Vorstände, IT- und Personalchefs, Projektleiter sowie Kundenverantwortliche. Sie sind die Entscheider und Vertreter des Themas Datenschutz- und Informationssicherheit.

Für alle, die für die Automobilbranche arbeiten: Zum Beispiel Motorenentwickler, Ingenieurbüros, KfZ-Klimatechniker, Filmproduktionen, Event- und Kreativagenturen, Prototypenbauer und -tester oder Stahlbauunternehmen.

Für alle, die in ihrer Branche einen gemeinsamen Standard definieren wollen. Denn hat man einmal ein TISAX Zertifikat, ist man in puncto Datenschutz und Informationssicherheit ganz grundsätzlich gut aufgestellt.

Wo kann ich den Quick Guide kaufen?

Wer meinen Quick Guide bestellen möchte, findet ihn natürlich bei Amazon & Co. Aber ich würde mich noch mehr freuen, wenn ihr das Buch bei eurem lokalen Buchhandel bestellt. Das könnt ihr via genialokal.de auch online tun.

Wie kann ich mich zu TISAX fortbilden?

Mein Beratungsunternehmen nextwork bietet ab Januar 2019 Seminare und Workshops zu TISAX in mehreren deutschen Städten an. Jeder Workshop-Teilnehmer erhält nach erfolgreicher Prüfung ein Teilnahmezertifikat.
Mehr Informationen zu den TISAX-Workshops gibt es unter:
www.nextwork.de/tisax-workshops

 

Mehr Infos zu TISAX-Beratung finden Sie unter www.nextwork.de/tisax

»The Cloud Diaries« – Unser Umzug in die Cloud.
#2: Warum wir den Status quo hinterfragt haben.

6. November 2018
von Finn Nickelsen

Gastbeitrag von Finn Nickelsen

»Das haben wir schon immer so gemacht« – Der Mensch als Gewohnheitstier.


Ganz traditionell haben auch wir unsere Infrastruktur von Anfang an inhouse bei uns aufgebaut (das war der Standard, früher hatte man halt seinen Server bei sich): Datenserver, Mailarchiv und Mailserver  – das hatten wir alles bei uns im Büro stehen. Im Grunde genommen war das Usus im letzten Jahrzehnt; die meisten unserer Kunden bestanden ebenfalls auf dieses Prinzip. Außerdem gab es wohl noch einen psychologischen Nebeneffekt: Ein Kunde meinte zum Beispiel, er will immer seine Daten bei sich haben. Um notfalls in der Lage zu sein, sie im Starnberger See zu versenken… Wir sind immer misstrauisch, wenn man über etwas sagt, »das haben wir schon immer so gemacht«. Dann ist es nämlich höchste Zeit, das zu hinterfragen!

New work: Arbeit und Zusammenarbeit passieren überall und in Echtzeit


Die große Frage ist doch: Wie passt die Idee der festen Server und festen Orte noch zu unserer Realität? Denn auch, wenn viele Unternehmen es noch nicht so ganz wahrhaben wollen und auf alte Strukturen beharren (von festen Anwesenheitszeiten bis zu Dateien, die tatsächlich physisch vor Ort z.B. von einem Freelancer abgeholt werden müssen…): die Art, wie wir arbeiten, hat sich verändert.  

Früher war die Arbeit innerhalb von Teams sowie im Dienstleister-Auftraggeber-Verhältnis stark getrennt. Heute wächst im Zeichen von Co-Creation und Collaboration alles zusammen. Oft arbeiten wir auch beim Kunden teamübergreifend: Das bedeutet z.B, dass wir immer alle Unterlagen, sprich kundenspezifische Dokumente, dabei haben müssen; natürlich immer die aktuelle Version, online aber auch offline.

Gleichzeitig ist das Büro längst nicht mehr die heilige Denkzentrale, wo alles entschieden und erarbeitet wird. Vieles passiert längst ganz selbstverständlich im Homeoffice, im Zug, im Cafe oder angemieteten Workshop-Räumen jenseits des eigentliches Unternehmenssitzes. Überhaupt sitzen auch Kunde und Experte immer häufiger nicht mal in derselben Stadt. Anstatt einfach “den Dienstleister von nebenan” zu wählen, sucht man gerade bei den immer komplexeren werdenden Themen kritisch aus und wählt den Partner, der am besten zu den eigenen Bedürfnissen passt – ob der seine offizielle Adresse dann in Hamburg, Berlin oder Köln hat, während man selbst in München sitzt, ist zweitrangig.

Überraschung: Du bist schon lange in der Cloud.


Abgesehen davon, dass die Cloud also besser in unsere Zeit passt, weil sie die flexible Arbeitsweise unterstützt, die wir brauchen, stellt sich allerdings auch die Frage: Wie ist eigentlich der Status quo? Nutzen wir die Cloud erst, wenn wir wirklich gezielt dorthin “umgezogen” sind? Oder sind wir am Ende längst Teil der Datenwolke, ohne, dass wir es so richtig bemerkt hätten? Die Antwort: Ja. Wenn wir genau hinsehen, sind wir alle längst mittendrin.

In der Praxis wollen uns das die Leute oft nicht glauben. Wenn wir dann aber zum Beispiel bei unseren Datenschutzprojekten anfangen, das Verarbeitungsverzeichnis zu erstellen, wundern sie sich, wieviele Anwendungen und Systeme heute schon in der Cloud sind: Projektmanagementsysteme (TeamWork), Agentursoftware (Easyjob), Zeiterfassung (Mite), Urlaub (Absence), Buchhaltung (DATEV), Online-Banking, Bewerbermanagement (z.B. Softgarden), Personalmanagement (Personio), Besucherbuch (Proxyclick), Mailserver (Google oder Microsoft oder deine alte gmx-E-Mail-Adresse), Telefonanlage (NFON), CRM (salesforce), Aufgabenplanung (Trello), Newsletter (CleverReach), Cloud-Speicher (Dropbox oder Tresorit), Adressverwaltung (iCloud), Grafikanwendungen (Adobe Creative Cloud), Virenschutz (Bit Defender), MDM (JAMF), Datentransfer und FTP-Server (Wetransfer, OwnCloud)… Wie viele dieser Systeme kommen Ihnen beim Lesen wohl auch vertraut vor?

Fazit: Worauf also eigentlich warten?


Zum einen ist also Zeit, höchste Zeit, die eigene Denkweise und somit auch die eigene Unternehmenskultur zu hinterfragen und anzupacken: denn Collaboration, Co-Creation und Cloud bedingen sich gegenseitig. Zum anderen: Hat man erst einmal realisiert, dass man mit einem Bein ohnehin schon in der Cloud steht, sollte man sich ernsthaft überlegen, ob es nicht Sinn macht, wirklich komplett dorthin umzuziehen.

 

 

Vergesst Eure Passwörter! Das Ausdenken, Merken und Verwalten übernimmt jetzt der Passwort Manager

12. Oktober 2018
von André Willich

Gastbeitrag von André Willich

Wie die meisten Dinge, hat auch die Sache mit den Passwörtern ganz harmlos angefangen. Früher hatte man ein Passwort, das man sich selbst aussuchen durfte. Entsprechend wählte man etwas, was man sich leicht merken konnte, zum Beispiel Omas Geburtstag oder den Namen von Familien-Dackel Waldi – und im Großen und Ganzen war die Welt damit in Ordnung.

Wie so viele Dinge, ist das Thema mit zunehmender Digitalisierung der Arbeitswelt aber immer komplexer geworden. Um Zugänge, Daten und Informationen zu schützen, reichte ein Passwort plötzlich nicht mehr aus, schon gar keine simple Zahlen- oder Buchstabenfolge. (Wobei an dieser Stelle gesagt sei: 1111 war schon immer ein schlechtes Passwort. Genauso wie Kennwörter auf Post-its am Rechner und unter der Tastatur noch nie eine gute Idee waren). Und spätestens seit DSGVO und TISAX ist außerdem fest verregelt, dass Passwörter sich permanent verändern müssen.

Aber nicht nur im Business-Leben, auch privat hat das Thema Passwort Überhand genommen – immerhin tun wir immer mehr Dinge im Internet, die wir früher persönlich erledigt haben. Einkaufen, Banking, Fernsehen oder Dating: jeder Dienst und jedes einzelne Portal verlangt nach einer eigenen Registrierung und nach einem eigenen Passwort.

Rechnet man alles zusammen, kommt man heute leicht auf 50-100 Passwörter pro Kopf. Aber: Wie soll man sich in diesem Passwort-Labyrinth überhaupt noch zurecht finden? Und: Wofür jetzt eigentlich nochmal der ganze Aufwand?

54321? Meins! – Schwache Passwörter kann man sich gleich sparen

Passwörter entschlüsseln kann heute sogar ein iPhone – und für einen wesentlich leistungsstärkeren Computer ist es erst recht kein Hexenwerk. Jedes Passwort ist knackbar: Im Prinzip muss der Rechner “nur” so lange alle möglichen Buchstaben-, Zeichen- und Zahlenkombinationen durchprobieren, bis er den gewünschten Code entschlüsselt hat. Sogenannte Rainbow Tables – Datenstrukturen, die ursprünglich für die Wiederherstellung von Passwörtern innerhalb der IT-Forensik entwickelt wurden – machen dem Computer die schnelle und speichereffiziente Suche sogar noch leichter. Weshalb Rainbow Tables auch gern von Passwort-Crackern verwendet werden.

Komplexität schützt – Geheime Technologien und private Daten

Im Umkehrschluss heißt das: je komplexer das Passwort, desto sicherer ist es –  denn desto länger braucht der Rechner, um alle möglichen Kombinationen durch zu testen. Konkretes Beispiel: Jemand, der Firmengeheimnisse oder auch private Bankdaten, Flugmeilen etc. stehlen will, wird abwägen, ob er den Rechner drei Tage oder drei Jahre rechnen lässt, um an die gewünschte Information zu kommen. Angesichts von drei Jahren werden die meisten Hacker vermutlich das Handtuch werfen.

Gummibaer!2018 – Ist das jetzt ein starkes Passwort?

Ganz grundsätzlich gilt: Ein sicheres Passwort besteht aus mindestens 12 Zeichen, enthält Buchstaben in Groß- und Kleinschreibung, Zahlen und Sonderzeichen. Gummibaer!2018 ist in jedem Fall ein besseres Passwort als Gummibaer alleine. Das beste Passwort besteht allerdings aus einer rein zufälligen Zahlenfolge, also etwa xT34$”4g812ß. Nun ist es nicht besonders inspirierend, sich solche Kennwörter  auszudenken – und so gut wie unmöglich, sie sich zu merken. Und hier kommt der Passwort Manager ins Spiel.

Kommt nur, ihr Passwörter! – Der Passwort Manager ist der Herr der Codes  

Ein Passwort Manager ist ein Programm, das automatisch sichere Passwörter generiert und speichert. Für jedes einzelne Nutzerkonto – von SAP über wordpress bis LinkedIn –  erstellt der Passwort Manager ein jeweils sicheres Kennwort, das er sich dauerhaft merkt. Somit entkommt man der Krux, sich immer wieder selbst zahllose kryptische Codes auszudenken. Und kommt auch nicht in die Versuchung, sich die komplizierten Kennwörter doch heimlich aufzuschreiben.

Notizen, PINs, Accounts – Der Passwort Manager kann nicht nur Codes

Der Passwort Manager hat aber noch weitere Talente. Zum Beispiel kann er zwischen Einzel- und Gruppen-Accounts unterscheiden. Man kann also Zugänge für einzelne Mitarbeiter schaffen, aber z.B. auch Projekt-Accounts anlegen, die nur für bestimmte Personen freigeschaltet sind.  

Ähnliches gilt übrigens auch für Zuhause: mit einem Familien-Account können alle Familienmitglieder den Passwort Manager nutzen, ohne dass die Halbstarken die gleichen Zugriffsrechte auf Amazon, Foodora oder Netflix haben wie die Eltern.

Und noch einen Vorteil hat der Passwort Manager: er merkt sich nicht nur Passwörter. Auch sichere Notizen, Kontonummern, Kreditkartendaten, PINs, Reisepass- oder Führerscheinnummer können hinterlegt werden und sind somit nicht nur sicher gespeichert, sondern jederzeit und von jedem Ort der Welt abrufbar.

Den richtigen finden – Welcher Passwort Manager macht den besten Job?

Natürlich gibt es inzwischen unterschiedliche Anbieter auf dem Markt. Besonders empfehlenswert sind 1Password und Enpass.

1Password ist der Platzhirsch unter den Passwort Managern. Das Programm ist leicht verständlich und bietet im monatlichen Mini-Abo ein sehr nutzerfreundliches Gesamtpaket an.

Für alle, die etwas technikaffiner sind, ist Enpass eine gute Alternative – ein etwas neueres Programm, das als Desktop-Version kostenlos und für die Nutzung auf dem Smartphone bereits gegen eine übersichtliche Einmalzahlung zu haben ist.

Back to the roots – Der Passwort Manager und die gute alte Zeit

Der Manager erledigt also die ganze Kennwort-Arbeit. Und bringt uns damit zurück in die gute alte Zeit: nämlich die des einen einzigen Passworts. Denn für den Passwort Manager braucht man ein Master-Keyword. Das sollte man sich sehr gut merken oder im Tresor einschließen. Um alles andere muss man sich dann aber keine Gedanken mehr machen.

 

Das Fazit: Zwei Jahre DSGVO & TISAX

18. September 2018
von Marco Peters

Die größten Irrtümer – und wie man sie lösen kann

Datenschutz und Informationssicherheit. Beides Themen, die schon allein vom Wort her nach viel Arbeit und wenig Freude klingen – und für die sich daher kaum einer freiwillig interessiert. Dazu dann die reellen Anforderungen und die inhaltliche Komplexität, die im ersten Moment verwirren und verunsichern können. Aber Tatsache ist: niemand kommt mehr daran vorbei. Welche Erfahrungen gibt es mittlerweile aus DSGVO- und TISAX-Projekten? Welche Irrtümer und Fehler passieren oft? Und welchen Nutzen kann ich als Unternehmen daraus ziehen? Nach zwei Jahren intensiver Zusammenarbeit mit kleinen und großen Kunden in unterschiedlichen Branchen quer durch Deutschland ziehen wir ein erstes Fazit.

Was sind das eigentlich für Kunden?
Und in welcher Situation rufen sie bei uns an?

»Der Einkauf von unserem Automobilkunden fordert jetzt TISAX« oder »Unser Auftraggeber hat uns drei verschiedene Datenschutz-Fragebögen geschickt« – in dieser konkreten Situation kommen unsere Kunden auf uns zu, und oft ist auch schon Druck auf dem Kessel. Mittlerweile betrifft es quer durch die Bank alle Unternehmen und Branchen. Besonders auch für das Thema TISAX gilt: Wer mit der Automobilbranche zu tun hat, kann inzwischen täglich mit einem Aufruf zum Audit rechnen. Das Spektrum umfasst in unseren Projekten Motorenentwickler, Ingenieurbüros, KfZ-Klimatechniker, Event- und Kreativagenturen, Prototypenbauer und -tester sowie Stahlbau-Unternehmen. Auch alle Unternehmensgrößen sind dabei, von 10 bis mehreren Tausend Mitarbeitern ist alles dabei. TISAX und DSGVO betrifft alle, und alle müssen für sich die Frage beantworten, wo sie stehen, wie sie die Auflagen erfüllen und in die Unternehmenskultur integrieren können.

Was sind die fünf größten Irrtümer – und was die Lösung?

Mittlerweile gibt es viele Erfahrungswerte auf Seiten der Unternehmen. Dennoch ist es erstaunlich, wie viele Irrtümer und Fehleinschätzungen sich zu den Themen TISAX und DSGVO hartnäckig halten. Hier die beliebtesten fünf – und erst danach unser Lösungsansatz.  

  1. Es ist KEIN IT-Projekt

In 90% aller Fälle landen diese Themen beim IT-Chef. Dort ist das Thema allerdings ganz falsch aufgehängt. Das wird auch der IT-Chef merken, nachdem er sich die Anforderungen eines TISAX-Audits angeschaut hat. Er wird das Thema nicht lösen können. Informationssicherheit und Datenschutz betreffen jeden Bereichs des Unternehmens: die Geschäftsführung, Human Resources, die Legal Abteilung, Controlling und jeden einzelnen Mitarbeiter.

Lösung: Das Thema ist von Anfang an ein Chef-Thema und ist nur in der Geschäftsführung richtig aufgehängt. Um ihn herum baut ihr eine Task-Force auf, ein internes Team, das sich dauerhaft um die Aufgaben kümmert.

 

  1. Man kann es nicht outsourcen

Das Unternehmen kann diese Aufgabe nicht komplett an ein externes Unternehmen übertragen, das sich »damit auskennt« und sich »um alles kümmert«, nach dem Motto, »Macht, dass wir TISAX haben.« Es passiert jedoch nichtdestotrotz, vor allem, weil die Verantwortlichen am liebsten nichts mit der Sache zu tun haben wollen und schlicht und ergreifend genug anderes zu tun haben. Dies wird nicht funktionieren, denn TISAX und DSGVO haben zu viel mit den internen Prozessen zu tun.

Lösung: Statt das Thema »über den Zaun« zu einem externen Profi zu werfen, sucht die enge Zusammenarbeit und Verzahnung Eures Unternehmen mit einem spezialisierten externen Profi, sozusagen eine »innen-außen«-Kooperation.  

 

  1. Nein, eine Firewall reicht nicht

»Wir haben jetzt dieses Angebot für eine neue Firewall eingeholt – das wird das Thema ja dann lösen, oder?« (Originalzitat). Ähm – nein. Wir haben noch keine Firewall gesehen, die technische, organisatorische und bauliche Maßnahmen umsetzt – und dann auch noch die Mitarbeiter schult.

Lösung: Siehe 1.

 

  1. Ein Audit ist keine GAP-Analyse

Vor dem ersten Audit keine GAP Analyse zu machen, ist ein bisschen so, als würde ein Restaurant das Gesundheitsamt anrufen, ohne vorher die Küche zu putzen.

Lösung: Wenn ihr zusätzliche Prüfungsschleifen (und Kosten) vermeiden wollt, solltet ihr euch zuerst einen Überblick über den aktuellen Stand der eigenen Sicherheitsstandards verschaffen – mittels einer Gap-Analyse. So könnt ihr im Vorfeld schon Maßnahmen ergreifen, um die Anforderungen von TISAX und DSGVO zu erfüllen.

 

  1. Es ist nicht mal eben gemacht und es ist nie zu Ende

Ok, geschafft. Audit bestanden. Aber das größte Problem kommt zum Schluss. Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern sich nachweisbar verbessert werden – und das wird regelmäßig geprüft. Wenn man bei der viel härteren Re-Zertifizierung, in der Regel nach drei Jahren, keine Prüfprotokolle, Auditberichte und Dokumentation nachweisen kann, fällt man durch und verliert die Zertifizierung.

Lösung: Die interne, feste Taskforce kümmert sich gemeinsam mit dem ISB (Informationssicherheitsbeauftragten) und dem DSB (Datenschutzbeauftragten) ab sofort dauerhaft um das Thema, nicht, um es zu verwalten, sondern es weiter zu entwickeln.

Mehr Infos zu TISAX:

https://www.marcopeters.de/tisax/
https://www.nextwork.de/tisax

»The Cloud Diaries« – Unser Umzug in die Cloud.
#1: Blick hinter die Buzzwords

19. Juli 2018
von Finn Nickelsen

Neue Blogreihe
Gastbeitrag von Finn Nickelsen

Im Herzen sind wir ITler. Die Technologie, mit der wir zu tun haben, hat keine 30 Jahre auf dem Buckel, wenn man sich mal die Themen Personal Computer, Netzwerke und Server ansieht. Unser zweites Steckenpferd, Datenschutz und Informationssicherheit, weist keine zwei Jahre Erfahrungswerte auf. Das heißt: Wir sind daran gewöhnt, dass der Umgang mit den Dingen, mit denen wir zu tun haben, oft erst noch erfunden werden muss, bevor er sich in der Unternehmenskultur festsetzt. Und wisst ihr, was das auch bedeutet? Wir haben eine ziemlich niedrige Hemmschwelle, Neues auszuprobieren. Weil es unserer Auftrag ist, uns ständig weiterzuentwickeln. »Continuous improvement« ist bei uns eingebaut.

Ein ziemlich großer Improvement-Schritt steht bei uns derzeit auf der Agenda: Aus den Erfahrungswerten unserer TISAX- und DSGVO-Projekte heraus, in denen wir uns auch viel mit Workflows beschäftigen, überlegen wir zurzeit, komplett in die Cloud zu ziehen. Wenn man so einen Gedanken heute im Freundeskreis oder geschäftlichen Netzwerk raushaut (»Wir überlegen, mit unserem Unternehmen komplett in die Cloud zu ziehen«), kann man damit echt Eindruck schinden. Auf jeden Fall sind die Kollegen beeindruckt; stellt man sich doch als jemand dar, der im Sturm der Digitalisierung als Cloud-Kapitän den Kurs klar vor Augen hat. Aber wie so oft in Zeiten, in denen alle mit Buzzwords um sich schmeißen, könnte man ja auch schüchtern fragen: Was heißt das eigentlich, in die Cloud ziehen?

Sicher sind noch nicht alle Fragen zur Cloud geklärt – und wie immer muss jedes Unternehmen für sich beantworten, inwiefern die Cloud Sinn macht. Das ist oft ein langer Weg, der mit einem langen Entscheidungsprozess einhergeht. Da wir aus unserer Projektarbeit wissen, dass es vielen Unternehmen genauso geht, wollen wir unseren Entscheidungs- und Umsetzungsprozess mit euch in unserer neuen Blog-Reihe »The Cloud Diaries: Unser Umzug in die Cloud.« Uns geht es dabei unter anderem um folgende Fragen: Was sind eigentlich die relevanten Parameter für die Entscheidung für einen Umzug in die Cloud? Welche Bereiche des Unternehmens betrifft das? Welche Anbieter kommen in Frage? Wie geht das zusammen mit Datenschutz und Informationssicherheit? Gibt es da nicht sogar moralische Bedenken? Wie geht man ein solches Projekt an? Wie läuft es in der Umsetzung? Was für Auswirkungen hat das auf unsere Workflows? Was ist die optimale Lösung für unser Unternehmen? Wir freuen uns, wenn ihr unser Projekt verfolgt, und natürlich auch, wenn ihr uns von euren Themen und Erfahrungen berichtet.

Einige Statistiken und Begriffsklärungen zu Cloud Computing

 

»Cloud Computing« oder »Cloud Services« sind die Buzzwords, die seit ca. 2011 durch die Innovationsforen, durchs Netz und die Tech-Messen geistern. Langsam scheint das Thema im unternehmerischen Alltag angekommen zu sein. Laut einer aktuellen Bitkom-Studie nutzten 2017 bereits 65 Prozent der Unternehmen aller Größenordnungen (20 bis über 2000 Mitarbeiter) Cloud Computing. Was aber heißt das eigentlich, »Cloud Computing«? Welche Services können überhaupt in die Cloud verlagert werden? Auch darüber gibt die Studie Auskunft: Die oben erwähnten Unternehmen, die auf Cloud Computing setzen, nutzen zu 49 Prozent Softwareanwendungen, zu 47 Prozent Datenspeicherung oder Rechenleistung, zu 28 Prozent spezielle Entwicklertools oder Betriebssysteme, zu 23 Prozent Geschäftsprozesse und zu 46 Prozent Bürosoftware als wichtigste Anwendungen in der Public Cloud. Danach folgen Sicherheitslösungen, Groupware und Collaboration.

Ein weiteres wichtiges Unterscheidungskriterium ist das zwischen Private Cloud und Public Cloud. Die Fragen hier sind: Wo liegen die Daten – und wie viel Service ist mit dabei?

In der gemanagten Private Cloud mietet man sich typischerweise von einem Anbieter einfach nur Serverkapazitäten. Das kann zum Beispiel ein Rechenzentrum in eurer Stadt sein, in dem ihr ein oder mehrere Höheneinheiten in einem Serverschrank anmietet. Wie ihr diese nutzt, bleibt euch selbst überlassen. Der Anbieter sorgt nur für Kühlung, Strom und Internet – gegen eine monatliche Miete, die je nach »Serverquadratmeter« im drei- oder vierstelligen Bereich liegt. Die Infrastruktur auf diesem Server baut ihr euch selbst, ganz individuell; ihr genießt die höhere Sicherheit, da ihr den Benutzerkreis einschränkt. Außerdem braucht ihr bei euch im Office noch Hardware: einen Server, z. B. eine Kerioinstallation, und einen Router. Wir hatten zum Beispiel die letzten Jahre unseren Mailserver auf eine Private Cloud ausgelagert.

Eine Public Cloud ist sozusagen das »Rundum-sorglos-Paket“. Ihr holt euch Speicherplatz und die Anwendungen als Service in der Cloud mit dazu (SAAS, Software as a Service) und euer Cloud-Anbieter kümmert sich um alles andere. Es gibt kostengünstige und flexible Abomodelle, die ihr jederzeit an eure betriebliche Auslastung anpassen könnt. Habt ihr zum Beispiel nach einer Spitzenauslastung fünf Leute weniger, bucht ihr die Lizenzen um fünf herunter und zahlt auch weniger.

Eben weil es so flexibel, kostengünstig und einfach ist, gibt es einen Trend hin zur Public Cloud: Laut der oben schon erwähnten Umfrage setzten im abgelaufenen Jahr 44 Prozent der Unternehmen, die Cloud Computing nutzen, Private Cloud Computing ein. Auch gibt es einen Trend bei Private Clouds, ihren Betrieb an externe Dienstleister auszulagern. Nur noch 13 Prozent der befragten Firmen gaben an, die Cloud vollständig in eigener Regie zu betreiben – eine Halbierung innerhalb von vier Jahren. Im anhaltenden Aufschwung zeigte sich außerdem die Public Cloud, deren Einsatz 29 Prozent der Unternehmen meldeten – eine Verdoppelung seit 2014.

 

Dieser erste Beitrag sollte die wichtigsten Begriffe klären und einen Blick darauf werfen, wo das Thema heute in deutschen Unternehmen eigentlich steht. Im Blogbeitrag #2 geht es los mit der eigentlichen Ausgangssituation bei nextwork. Im dritten Blogbeitrag stellen wir euch dann die wichtigsten Anbieter vor und tauchen im vierten Blogbeitrag tiefer ein und stellen euch einen Case über den Anbieter unserer Wahl vor.

 

Viel Spaß – und danke für eure Anmerkungen und Kommentare!

 

Hört auf zu sortieren! Über Horter, Sortierer und sonstige Denkfehler bei der E-Mail-Archivierung

16. Mai 2018
von André Willich

Gastbeitrag von André Willich

Eigentlich traurig, was aus unserer E-Mail geworden ist. Die ehemalige Revolution der Bürokommunikation ist heute ein chronisch verstopfter Kanal, überflutet von cc-Mails, automatisierten System-E-Mails, Newslettern und Spam. Die Symptome sind: Kollegen sitzen im Meeting und keiner hört zu, weil alle hektisch ihre ungelesenen E-Mails checken. Leute kommen aus dem Urlaub und haben 300 ungelesene Nachrichten. Wir kommen dann ins Spiel, wenn es schief geht: Überlaufende Inbox, langsame E-Mail-Programme, langsame Server. Datenbanken, die in die Knie gehen; kaputte Suchindizes; aufgeblasene Postfächer von 20 bis 100 Gigabyte, deren Wiederherstellung im Schadensfall einen ganzen Tag kostet. Mailbox full!

Irgendwie wissen alle, dass es nicht so weitergehen kann. Höchste Zeit, sich Gedanken zu machen, wie man mit dieser Situation umgeht. Ich persönlich denke, es liegt in der Verantwortung eines jeden Unternehmers oder Geschäftsführers, diesen Kanal weitestgehend offen zu halten; er ist die Hauptschlagader der externen, aber auch der internen Kommunikation. In diesem Blogbeitrag soll es deshalb auch um Denkmuster und Gewohnheiten rund um die E-Mail und die damit verbundenen Ordnungssysteme gehen.

Unser Denkansatz: E-Mail-Archivierung


Unser Denkansatz, den wir predigen, um der permanenten E-Mail-Überflutung Herr zu werden, heißt: Gib auf, selbst E-Mails zu sortieren. Das kann ein Automatismus für Dich erledigen: die automatische E-Mail-Archivierung. Das Prinzip ist gleichsam simpel wie genial: Alle E-Mails werden nach einem festgelegten Zeitraum aus Deinem Postfach gelöscht, verbleiben aber automatisch in Deinem E-Mail-Archiv. Für Dich bedeutet das: Du arbeitest im E-Mail-Client, allerdings nur mit einem Teil Deiner E-Mails. Egal ob auf Smartphone, Tablet oder Laptop – Du hast ab sofort eine kleine »Handtasche« mit Deinen aktuellen E-Mails dabei. Das sorgt für Übersichtlichkeit, die Datenbank ist superschnell und im Fall der Fälle lassen sich die alten E-Mails schnell wieder auffinden: In einem webbasierten E-Mail-Archiv.

Wir haben das automatisierte E-Mail-Archiv bereits in zahlreichen Unternehmen erfolgreich umgesetzt und 97% unserer Kunden zufriedengestellt. Kein Wunder, denn daraus entstehen für Unternehmen und Mitarbeiter zahlreiche Vorteile:

  • Alle E-Mails werden dauerhaft und zentral gesichert
  • Rechtlichen Anforderungen an die E-Mail-Aufbewahrung wird Rechnung getragen
  • Die Produktivität des gesamten Teams nimmt zu
  • Die Performance des E-Mail-Servers steigt
  • Die Anwender haben jederzeit Zugriff auf Ihren E-Mail-Bestand

Darf ich vorstellen? Der Horter


Man glaubt trotz all dieser Vorteile nicht, wie viele Widerstände es gegen E-Mail-Archivierung gibt und wie emotional manche Menschen bei diesem Thema reagieren. Den Typus, der sich am meisten dagegen sträubt, nenne ich hier mal den »Horter«. Es gibt diese Spezies in mannigfaltiger Varianz und in jeder Agentur! Sie heißen Holger, Jürgen, Bernd. Oder in der weiblichen Version Andrea oder Sarah. Der Horter zeichnet sich dadurch aus, dass er alles aufhebt, jede Mail einzeln bearbeitet, einzelne E-Mails löscht, viele Newsletter abonniert hat und: ein ausgefuchstes System benutzt – E-Mails in Hunderte von Unterordnern zu sortieren – auf das er sehr stolz ist. Meist ist er schon lange im Unternehmen, seine E-Mails betrachtet er als externe Festplatte zu seinem Gehirn, das die gesamte Unternehmenshistorie widerspiegelt. Er ist das absolute Gewohnheitstier. Er behauptet von sich, JEDE E-Mail in Sekundenbruchteilen zu finden. In E-Mail-Archiv-Schulungen leistet er erbitterten Widerstand, löchert den Kursleiter mit Dutzenden kritischen Fragen und überhaupt stellt er das ganze System in Frage.

Ich bin jetzt gemein und vielleicht übertreibe ich auch ein bisschen. Aber im Grunde genommen steckt in uns allen ein bisschen »Horter«. Erinnert Euch, wo wir alle herkommen: Wir können gar nichts dafür, denn es liegt in unserer Natur. Wir sind alle analoge Menschen, denen die Logik der digitalen Welt manchmal widerspricht. Und wir haben noch ein Problem: Es fällt uns extrem schwer, uns von Gewohnheiten und Denkstrukturen zu lösen. Egal ob es um Essen, Beziehungen oder E-Mails geht. Mit den stärksten Vorurteilen und Denkfehlern möchte ich hier aufräumen.

»Die wollen mir meine E-Mails wegnehmen!«


Nein, das will keiner. Die E-Mail, die in Deinem Postfach steckt, wird nur nach einem von Dir festgelegten Zeitraum automatisch gelöscht, verbleibt aber im Archiv. Denn E-Mail-Archivierung bedeutet nichts anderes, als dass das Spiegelbild Deiner E-Mails auf Deinem Rechner wegfällt. Das Original ist weiterhin im Archiv vorhanden – und auch für Dich verfügbar.

Wie sieht das technisch aus?

»Meine E-Mails liegen dann irgendwo, wo ich nicht hinkomme?«


Nein, sie sind nur einen Klick weiter. Alle E-Mails Deines Unternehmens liegen ab dem Zeitpunkt ihres Eintreffens in Deinem Postfach auch im Archiv. Aus deinem E-Mail-Postfach und vom E-Mail-Server werden Sie dann nach einem selbstgewählten Zeitpunkt X gelöscht – im Archiv sind sie aber weiterhin auffindbar. Der Clou: Dein E-Mail-Dienst, z.B. Outlook, bleibt schlank und leicht, der E-Mail-Server wird entlastet, auf deine E-Mails hast du aber weiterhin Zugriff.

»Und wie komme ich jetzt an die archivierten E-Mails?«


Super easy. Einfach über Deinen Browser. Mit deinen persönlichen Zugangsdaten kannst du dich jederzeit in das Archiv einloggen und alle Deine E-Mails sehen. Auch die, die nach dem Zeitpunkt X gelöscht wurden. Bei Outlook für Windows ist der Zugriff dank eines Plugins sogar noch einfacher: Hier gibt es einen E-Mailstore-Button. Sobald Du diesen anklickst, kommst Du sofort in Dein E-Mail-Archiv – ganz ohne Outlook verlassen zu müssen.

»Wie finde ich alte E-Mails in meinem Archiv?«


Das ist das Beste an der ganzen Sache: Die Suche im Archiv ist deutlich mächtiger als die Deines E-Mail-Programms. Du kannst nach Betreff, Textinhalt, Anhängen, Absender, Zeiträumen u.v.m. suchen. Und falls Du gerne mit Ordnerstrukturen arbeitest, gibt es ebenfalls gute Nachrichten: Diese bleiben im Archiv erhalten.

»Ich brauche alle meine E-Mails ständig verfügbar!«


Ist das wirklich so? Jede E-Mail wird meist tagesaktuell im Projektgeschäft genutzt; generell schätze ich die Halbwertszeit der meisten E-Mails auf ca. zwei Wochen. Das bedeutet im Umkehrschluss, dass die meisten ihr E-Mail-Archiv nur in Ausnahmefällen benötigen. Das merke ich immer daran, wenn meine Kunden mich nach ihrem Login fragen. Weil sie ihn so selten brauchen.

»Da finde ich doch nix. Ich sortier meine E-Mails lieber in Ordner.«


Oh Gott, ein Sortierer 😉 Seit Jahren versuchen wir, den Leuten auszureden, ihre E-Mails in Ordner zu sortieren. E-Mail-Archivierung ist ein Tool, das eigens dafür gemacht ist, eine E-Mail zu finden, mit besseren Filtern als jedes E-Mail-Programm. Dass Du trotzdem sortierst, ist eine typisch menschliche Verhaltensweise, die aus der realen Welt in die virtuelle übertragen wird (schließlich hat man früher auch Papier in Leitz-Ordner geheftet). Aber die digitale Welt macht allein aufgrund der Datenmengen solche analogen Verhaltensweisen überflüssig. Es würde doch auch niemand auf die Idee kommen, Google-Ergebnisse in Ordner zu sortieren, man googelt eben einfach, und zwar alles Wissen der Welt!

Fazit: E-Mail ist ein Kreislauf


Was das Thema E-Mail betrifft, tendieren die meisten, auch Geschäftsführer und Unternehmer, zur Froschperspektive. Eigentlich klar, sind doch alle »Betroffene«. Ich appelliere, bei diesem Thema das große Ganze im Blick zu haben und eine Vogelperspektive einzunehmen. E-Mail im Unternehmen ist ein Kreislauf, der in Gang gehalten werden muss. Wenn Kanäle verstopfen oder der Staudamm zu brechen droht, braucht er eben einen Überlauf. Klappt doch auch in der Badewanne 😉

Zwei Welten: Coworking und Datenschutz

15. Dezember 2017
von Marco Peters

„In unserem globalen Netzwerk von Arbeitsbereichen stehen persönliche Zusammenarbeit, gegenseitige Inspiration und Großzügigkeit an erster Stelle“, heißt es bei wework, einer der größten globalen Coworking-Anbieter (die dieses Jahr übrigens rund 4,4 Milliarden US-Dollar an Venture-Capital eingesammelt haben). Keine Frage, Coworking ist ein superheißer Trend. Alleine in Berlin gibt es weit über 100 Angebote dieser Art.

Der Trend geht über das reine Geschäftsmodell „Anbieten von Coworking-Space“ hinaus. Heute ist bei jedem modernen Bürobauprojekt Coworking bereits Standard. Es werden Flächen eingeplant, die ausgewiesenermaßen an Externe vermietet werden können. Ein prominentes Beispiel ist der neue Kreativcampus des Axel-Springer-Verlags in Berlin Mitte (Rem Kolhaas, Fertigstellung 2020): Hier umfasst die Planung CoworkingSpaces.

Auch Kreativagenturen werden zu Coworking-Space-Anbietern: Sie vermieten flexible Flächen an freie Projektteams und Freelancer unter. Am 19. Oktober 2017 verkündete Serviceplan hierzu den Launch eines Coworking-Angebots zusammen mit einer Hotelgruppe: RUBY und die Serviceplan Gruppe starten mit einem ersten gemeinsamen Coworking Space ein Joint Venture. Der Hotspot für kreatives, agiles und innovatives Arbeiten wird im Dezember 2017 eröffnet.

Schöne neue Welt des Coworkings

CoworkingSpaces kommen den „Grundbedürfnissen“ von Kreativen nach: schnelles Internet, 24-Stunden-Zugang, fette Drucker und Cappuccino aus der Siebträgermaschine. Aber sind Coworking-Spaces nicht noch mehr?

Vielleicht sind Coworking-Spaces heute das, was Agenturen in den 90er Jahren waren: Orte des unkomplizierten kreativen Austauschs, wo sich Creative Class, Hipster und Digitale Nomaden die Hand geben, immer ein mega angesagtes Projekt am Start. Wer einmal in einem Coworking-Space gearbeitet hat, weiß, dass hier andere Werte als in der gewöhnlichen, veralteten Arbeitswelt gelten: Kollaboration statt Silo-Denke, Flexibilität statt starre Struktur, Inspiration statt Hierarchien. Coworking ist nicht nur ein Trend, sondern ein Paradigmenwechsel in der Art und Weise, wie Menschen in Zukunft zusammenarbeiten.

Aber – Entschuldigung, dass ich jetzt der Spielverderber sein muss – wie ist das vereinbar mit den immer strenger werdenden Auflagen für Datenschutz und Informationssicherheit?

Der Gegentrend: TISAX und Datenschutz

In immer mehr Branchen wird von Unternehmen verlangt, eine Zertifizierung für die Erfüllung bestimmter Kriterien der Informationssicherheit einzuholen. Das betrifft etwa Agenturen und Zulieferer, die für die Automobilindustrie arbeiten. Sie brauchen ab 2018 ein TISAX-Zertifikat, ein von der Automobilindustrie definierter Standard für Informationssicherheit, um für Kunden wie VW oder BMW arbeiten zu dürfen. Ebenso relevant ist die Einhaltung der EU-Datenschutz-Grundverordnung, die den „Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ (Art. 1 Abs. 2 DSGVO) zum Ziel hat.

Das Problem mit dem Datenschutz in Coworking-Spaces

Betrachtet man das Arbeiten unter Einhaltung der Informationssicherheits- und Datenschutzrichtlinien im Vergleich zur kreativen Arbeit in einem Coworking-Space, wird schnell ersichtlich: Hier sind zwei gegensätzliche Kräfte am Werk. Denn offensichtlich kann man Informationssicherheit und Datenschutz in der freigeistigen Welt der Coworking-Spaces nur schwer gerecht werden.

In Unternehmen, die mit sensiblen Daten umgehen, werden die Mitarbeiter zum Thema Datenschutz geschult. Es gibt einen Standard, zu dem sich das Unternehmen verpflichtet hat, und Richtlinien, die Orientierung und Handlungsanweisungen geben. Für dessen Einhaltung werden auch die Voraussetzungen im Büro geschaffen. Doch was, wenn Mitarbeiter auch im Homeoffice oder in einem Coworking-Space arbeiten dürfen? Oder wenn man mit Freelancern zusammenarbeitet, die regelmäßig im Coworking-Space sitzen?

In den offenen Räumen eines Coworking-Spaces laufen stets andere Coworker um die Schreibtische herum und holen sich Kaffee. Es herrscht eine Atmosphäre des lockeren Austauschs. Man guckt ganz automatisch auch mal auf den Bildschirm des Sitznachbarn und sieht Kalender, E-Mails oder vertrauliche Dokumente. Sie werden ja auch offen auf dem Bildschirm angezeigt. In Gesprächen fallen die Namen der Kunden und Ansprechpartner – oder sogar Details aus einem Projekt, das einer Vertraulichkeitsvereinbarung unterliegt. Man geht zum Drucker und sieht die Dokumente eines anderen Coworkers im Druckerfach liegen. Oder man wirft einen Blick in den Mülleimer und sieht Ausdrucke mit sensiblen Daten, die jeder lesen kann.

All diese Szenarien sind in Coworking-Spaces Alltag. Sie zeigen: Datenschutz und Informationssicherheit sind im Coworking-Space noch nicht angekommen. Coworking-Spaces sind sozusagen eine „Grauzone“ der Informationssicherheit. Oder einfach ein gigantisches, potenzielles Datenloch.

Wie können sich Coworker richtig verhalten?

Um das nochmal zu betonen: Ich spreche hier von solchen Projekten, für die ein Coworker eine Geheimhaltung (NDA) unterschrieben hat. Der Auftraggeber hat ihn somit in die Pflicht genommen, bestimmte Auflagen einzuhalten. Falls diese nicht präsent sind, sollte man im Zweifel nochmal nachschauen. In den meisten NDAs stehen mittlerweile ziemlich strenge Auflagen drin, z. B. E-Mail-Verschlüsselung, Passwort-Politik oder Einschränkungen bzgl. Datenaustauschtools (z. B. kein WeTransfer). Als professioneller Coworker muss man sich des Themas bewusst sein und sich ggf. neue Verhaltensweisen angewöhnen.

Lösung für Coworker: Lass dir die entsprechende Richtlinie deines Auftraggebers zeigen. Meist heißt sie Richtlinie zur EDV-Nutzung, Informationssicherheitsrichtlinie oder Betriebsrichtlinie. Jede moderne, gut gemachte Richtlinie regelt beispielsweise auch mobiles Arbeiten: Wie telefoniere ich richtig am Flughafen oder im Zug? Wie arbeite ich im Flieger am Laptop? Was muss ich im Homeoffice beachten? Wie verwalte ich Passwörter? Wenn man diese Richtlinien einhält, kann man überall arbeiten, auch im Coworking-Space.

Wie können sich Unternehmen richtig verhalten?

Unternehmen müssen auf jeden Fall eine Richtlinie haben. Diese muss umfassend gedacht und gemacht sein. Idealerweise ist sie den sich ständig ändernden Realitäten der Arbeitswelt einen Schritt voraus. Eine moderne Informationssicherheitsrichtlinie regelt beispielsweise den immer wichtiger werdenden Themenbereich mobiles Arbeiten“.

Das reicht aber noch nicht aus, denn eine Richtlinie, die alles umfasst, aber von niemandem gelebt wird, hilft auch nicht weiter. Mein Ansatz hierbei ist vor allem: Das angestrebte Sicherheitsniveau kann nur dann erreicht werden, wenn man den Mitarbeitern praktische Werkzeuge und Handlungsbeispiele gibt, mit denen sie Richtlinien auch im Alltag umsetzen können

Lösung für Unternehmen: Ganz wichtig ist, dass diese Richtlinien eben nicht nur feste, sondern auch freie Mitarbeiter einhalten müssen (es reicht nicht, letzteren nur einen NDA hinzulegen). Das Thema Mobiles Arbeiten“ – und hier eben auch „Arbeiten im Coworking-Space“ – sollte praktikabel in die Richtlinie integriert werden.

So können denn auch diese beiden scheinbar unvereinbaren Kräfte, die unsere Arbeitswelt verändern, – Coworking und Datenschutz – friedlich miteinande coexistieren.

 

TISAX®: 4 Gründe, warum es für viele besser ist als ISO 27001

10. Juli 2017
von Marco Peters
tisax

Unternehmen mit Automobilmarken im Portfolio kennen das: Um für Kunden wie Audi, BMW oder VW arbeiten zu können, müssen sie seit 2014 in regelmäßigen Abständen nachweisen, dass sie den Informationssicherheitsstandards der Kunden gerecht werden. Ein notwendiges Übel, das für eine erfolgreiche Zusammenarbeit jedoch nicht vermeidbar war. Dass darunter auf Dauer das Tagesgeschäft leidet, musste hingenommen werden. Doch nun scheint eine Lösung für das Problem der immer wiederkehrenden Audits gefunden: Seit Anfang 2017 gibt es mit TISAX eine neue Form der Kontrolle. Eine gute Nachricht – und das gleich aus mehreren Gründen.

4 Vorteile von TISAX

 

  1. TISAX schlägt ISO 27001 und stichproben-Audits nach VDA Information Security Assessment (ISA)

    Viele Unternehmen mussten auf Wunsch ihrer Kunden bereits eine Auditierung über sich ergehen und sich stichprobenartig nach VDA Information Security Assessment (ISA) überprüfen lassen – mit oder ohne ISO-Zertifikat. Das wird sich nun ändern: Ab 2018 wird es für Automotive-Auftragnehmer nur noch eine einzige TISAX-Prüfung geben.

    Die weniger gute Nachricht dabei: TISAX prüft nicht mehr nur stichpunktartig, sondern alles im Detail.

    Die gute Nachricht: TISAX definiert erstmals einen gemeinsamen Nenner, der sämtliche Anforderungen aus dem VDA Information Security Assessment beinhaltet.

  2. Mit TISAX sind Unternehmen unabhängig in der Kundenakquise

    Unternehmen erreichen neue Kunden meist über Referenzen bzw. ihr Portfolio. Doch was passiert, wenn es die Informationssicherheitsauflagen sind, die plötzlich darüber entscheiden, ob eine neue Kundenbeziehung aufgebaut werden kann?

    Hier leistet TISAX einen entscheidenden Beitrag – denn mit der Zertifizierung wurde ein Standard geschaffen, der von allen VDA-Mitgliedern (z. B. Audi, BMW, Volkswagen und Mercedes-Benz) anerkannt wird. Ein Kundenwechsel ist somit unkomplizierter möglich – beispielsweise wenn ein Unternehmen nach Jahren von BMW zu Audi wechselt. Dank TISAX muss man in solch einem Fall keinen neuen Maßnahmenkatalog erfüllen. Zum Vergleich: Mit der bisher stichprobenartigen VDA-ISA-Überprüfung kam bei einem Kundenwechsel erst einmal ein mehrmonatiges ISMS-Projekt zu, bevor sie überhaupt anfangen konnte, für den neuen Kunden zu arbeiten!

  3. Mit TISAX kommen Unternehmen schneller an den Auftrag

    Dass TISAX wirklich für alle Unternehmen, die für die großen Automobilhersteller arbeiten, Pflicht wird, ist bereits jetzt erkennbar. BMW hat bereits im Februar 2017 TISAX in seinen Einkaufsbedingungen hinterlegt. Branchen-Insider sind sich einig: Ab 2018 wird TISAX bei allen Automobilherstellern zwingende Voraussetzung für die Zusammenarbeit.

    Auch wenn TISAX Pflicht wird und zunächst als notwendiges Übel erscheint: Inhabern des Zertifikats werden die zusätzlichen Audits durch die einzelnen Automobilhersteller erspart bleiben. Auch wird der Freigabeprozess bis zur endgültigen Zusammenarbeit beschleunigt. Denn: Bei einer infrage kommenden Zusammenarbeit sprechen die Unternehmen üblicherweise mit dem Einkauf des Automobilherstellers. Bisher musste danach ein zeit- und kostenintensives Audit stattfinden. Mit TISAX hat man dagegen von Beginn an einen zuverlässigen Nachweis für den Einkauf – und erhält so eine schnellere Freigabe.

  4. TISAX ist das perfekte Qualitätssiegel gegenüber Industriekunden

    Aktuell ist TISAX ausschließlich für die Automobilbranche relevant. Doch die Chancen stehen gut, dass auch weitere Großkunden wie z. B. Telekom, Siemens, Lufthansa oder Allianz das Qualitätssiegel bei der Wahl ihrer Partner berücksichtigen werden.
    Denn auch deren Einkauf überprüft beim Screening, welche Zertifizierungen mit Blick auf die Informationssicherheit bei potenziellen Agenturpartnern vorhanden sind.

    Eine TISAX-Zertifizierung ist hier das beste Aushängeschild, um dem potenziellen Neukunden zu signalisieren, dass der Auftragsvergabe, zumindest was die Informationssicherheit angeht, nichts im Wege steht. Wer schnell ist, hat hier also einen echten Wettbewerbsvorteil.

Der richtige Zeitpunkt ist 2017: Das Zeitfenster für die Abkürzung zu TISAX 2018

Manchmal scheint Abwarten bei Neuerungen wie der TISAX-Zertifizierung die richtige Taktik. Doch diesmal nicht. Unternehmen sollten genau jetzt handeln! Warum? Die TISAX-Pflicht kommt 2018 – mit Sicherheit. Alle Unternehmen, die dieses Jahr noch ein VDA-ISA-Audit bestehen, bekommen das TISAX-Zertifikat mit Sternchen (sozusagen das kleine Zertifikat).

Wer das kleine bekommt, hat es später leichter, das große Zertifikat zu erhalten. Das ist mit weniger Aufwand und weniger Kosten verbunden. Noch mal ein Vergleich: Alleine das Vor-Ort-Audit findet bei der stichprobenartigen VDA-ISA-Prüfung im Regelfall an einem Tag statt. Die kommende Zertifizierung wird dagegen mehrere Tage in Anspruch nehmen.

Mit einem TISAX-Zertifikat überholen Unternehmen die Wettbewerber, die bisher mit ihrem ISO-27001-Zertifikat punkten konnten! Ich kann Geschäftsführern daher nur empfehlen, noch dieses Jahr ein ISMS einzuführen und sich dem VDA-ISA-Audit zu unterziehen. Als TISAX-Zertifikatsinhaber der ersten Stunde kann man 2018 dann entspannt entgegenblicken.


Mehr Infos zu TISAX finden Sie unter folgenden Links:
nextwork, TISAX-Beratung
TISAX ENX Association

nextwork: Der nächste Schritt in ein neues Zeitalter

30. Mai 2017
von Marco Peters

Früher war der „ITler“ der Nerd im Serverraum, hat Rechner für Mitarbeiter aufgesetzt, sich um E-Mail und Internet gekümmert und ein Backup eingerichtet. Heute muss jeder Prozess in die Logik der IT übersetzt werden. Dies betrifft zum einen die administrativen Prozesse (z. B. Zeiterfassung, Angebots- und Rechnungswesen, Ressourcenplanung und Projektsteuerung), aber auch die kreativen Prozesse in Kreativagenturen – also Tools, die Designer in der Kreation, in der Teamarbeit und in der Datenablage verwenden.

Gleichzeitig ist es durch die fortschreitende Digitalisierung viel wichtiger geworden, Daten zu schützen. Für Agenturen bedeutet dies, dass ihre Auftraggeber zunehmend hohe Standards bezüglich der Datensicherheit in Form von ISO-Zertifizierungen und Auflagen im Datenschutz einfordern. In diesem Fall müssen alle Agenturprozesse, administrative wie kreative, überprüft und ggf. weiterentwickelt werden.

Was neu ist: nextwork berät Agenturen bei der Digitalisierung und Absicherung ihrer Prozesse

Um Agenturen in diesen neuen Aufgabenbereichen besser beraten zu können, haben wir „nextwork“ gelauncht. Wir beraten Kreativagenturen bei der Digitalisierung ihrer administrativen und kreativen Prozesse, entwickeln zukunftsorientierte IT-Infrastrukturen und sorgen für Datensicherheit. Typische nextwork-Beratungsprojekte sind z. B.:

  • Auswahl und Einführung von Agentursoftware, Recruiting-Tools etc.
  • Konzeption von komplett neuen IT-Infrastrukturen, z. B. für Neugründungen, Umzüge, Rundumerneuerung
  • Beratung bei der Digitalisierung aller kreativen und administrativen Agenturprozesse
  • Projektleitung bei einer ISMS-Auditierung oder Durchführung von internen Audits
  • Laufende Betreuung als Datenschutz- und Informationssicherheitsbeauftragter
  • Workshops und Schulungen für Mitarbeiter

 

Mehr zu Nextwork: www.nextwork.de