Kategorie: Blog

»The Cloud Diaries« – Unser Umzug in die Cloud.
#1: Blick hinter die Buzzwords

19. Juli 2018
von Finn Nickelsen

Neue Blogreihe
Gastbeitrag von Finn Nickelsen

Im Herzen sind wir ITler. Die Technologie, mit der wir zu tun haben, hat keine 30 Jahre auf dem Buckel, wenn man sich mal die Themen Personal Computer, Netzwerke und Server ansieht. Unser zweites Steckenpferd, Datenschutz und Informationssicherheit, weist keine zwei Jahre Erfahrungswerte auf. Das heißt: Wir sind daran gewöhnt, dass der Umgang mit den Dingen, mit denen wir zu tun haben, oft erst noch erfunden werden muss, bevor er sich in der Unternehmenskultur festsetzt. Und wisst ihr, was das auch bedeutet? Wir haben eine ziemlich niedrige Hemmschwelle, Neues auszuprobieren. Weil es unserer Auftrag ist, uns ständig weiterzuentwickeln. »Continuous improvement« ist bei uns eingebaut.

Ein ziemlich großer Improvement-Schritt steht bei uns derzeit auf der Agenda: Aus den Erfahrungswerten unserer TISAX- und DSGVO-Projekte heraus, in denen wir uns auch viel mit Workflows beschäftigen, überlegen wir zurzeit, komplett in die Cloud zu ziehen. Wenn man so einen Gedanken heute im Freundeskreis oder geschäftlichen Netzwerk raushaut (»Wir überlegen, mit unserem Unternehmen komplett in die Cloud zu ziehen«), kann man damit echt Eindruck schinden. Auf jeden Fall sind die Kollegen beeindruckt; stellt man sich doch als jemand dar, der im Sturm der Digitalisierung als Cloud-Kapitän den Kurs klar vor Augen hat. Aber wie so oft in Zeiten, in denen alle mit Buzzwords um sich schmeißen, könnte man ja auch schüchtern fragen: Was heißt das eigentlich, in die Cloud ziehen?

Sicher sind noch nicht alle Fragen zur Cloud geklärt – und wie immer muss jedes Unternehmen für sich beantworten, inwiefern die Cloud Sinn macht. Das ist oft ein langer Weg, der mit einem langen Entscheidungsprozess einhergeht. Da wir aus unserer Projektarbeit wissen, dass es vielen Unternehmen genauso geht, wollen wir unseren Entscheidungs- und Umsetzungsprozess mit euch in unserer neuen Blog-Reihe »The Cloud Diaries: Unser Umzug in die Cloud.« Uns geht es dabei unter anderem um folgende Fragen: Was sind eigentlich die relevanten Parameter für die Entscheidung für einen Umzug in die Cloud? Welche Bereiche des Unternehmens betrifft das? Welche Anbieter kommen in Frage? Wie geht das zusammen mit Datenschutz und Informationssicherheit? Gibt es da nicht sogar moralische Bedenken? Wie geht man ein solches Projekt an? Wie läuft es in der Umsetzung? Was für Auswirkungen hat das auf unsere Workflows? Was ist die optimale Lösung für unser Unternehmen? Wir freuen uns, wenn ihr unser Projekt verfolgt, und natürlich auch, wenn ihr uns von euren Themen und Erfahrungen berichtet.

Einige Statistiken und Begriffsklärungen zu Cloud Computing

 

»Cloud Computing« oder »Cloud Services« sind die Buzzwords, die seit ca. 2011 durch die Innovationsforen, durchs Netz und die Tech-Messen geistern. Langsam scheint das Thema im unternehmerischen Alltag angekommen zu sein. Laut einer aktuellen Bitkom-Studie nutzten 2017 bereits 65 Prozent der Unternehmen aller Größenordnungen (20 bis über 2000 Mitarbeiter) Cloud Computing. Was aber heißt das eigentlich, »Cloud Computing«? Welche Services können überhaupt in die Cloud verlagert werden? Auch darüber gibt die Studie Auskunft: Die oben erwähnten Unternehmen, die auf Cloud Computing setzen, nutzen zu 49 Prozent Softwareanwendungen, zu 47 Prozent Datenspeicherung oder Rechenleistung, zu 28 Prozent spezielle Entwicklertools oder Betriebssysteme, zu 23 Prozent Geschäftsprozesse und zu 46 Prozent Bürosoftware als wichtigste Anwendungen in der Public Cloud. Danach folgen Sicherheitslösungen, Groupware und Collaboration.

Ein weiteres wichtiges Unterscheidungskriterium ist das zwischen Private Cloud und Public Cloud. Die Fragen hier sind: Wo liegen die Daten – und wie viel Service ist mit dabei?

In der gemanagten Private Cloud mietet man sich typischerweise von einem Anbieter einfach nur Serverkapazitäten. Das kann zum Beispiel ein Rechenzentrum in eurer Stadt sein, in dem ihr ein oder mehrere Höheneinheiten in einem Serverschrank anmietet. Wie ihr diese nutzt, bleibt euch selbst überlassen. Der Anbieter sorgt nur für Kühlung, Strom und Internet – gegen eine monatliche Miete, die je nach »Serverquadratmeter« im drei- oder vierstelligen Bereich liegt. Die Infrastruktur auf diesem Server baut ihr euch selbst, ganz individuell; ihr genießt die höhere Sicherheit, da ihr den Benutzerkreis einschränkt. Außerdem braucht ihr bei euch im Office noch Hardware: einen Server, z. B. eine Kerioinstallation, und einen Router. Wir hatten zum Beispiel die letzten Jahre unseren Mailserver auf eine Private Cloud ausgelagert.

Eine Public Cloud ist sozusagen das »Rundum-sorglos-Paket“. Ihr holt euch Speicherplatz und die Anwendungen als Service in der Cloud mit dazu (SAAS, Software as a Service) und euer Cloud-Anbieter kümmert sich um alles andere. Es gibt kostengünstige und flexible Abomodelle, die ihr jederzeit an eure betriebliche Auslastung anpassen könnt. Habt ihr zum Beispiel nach einer Spitzenauslastung fünf Leute weniger, bucht ihr die Lizenzen um fünf herunter und zahlt auch weniger.

Eben weil es so flexibel, kostengünstig und einfach ist, gibt es einen Trend hin zur Public Cloud: Laut der oben schon erwähnten Umfrage setzten im abgelaufenen Jahr 44 Prozent der Unternehmen, die Cloud Computing nutzen, Private Cloud Computing ein. Auch gibt es einen Trend bei Private Clouds, ihren Betrieb an externe Dienstleister auszulagern. Nur noch 13 Prozent der befragten Firmen gaben an, die Cloud vollständig in eigener Regie zu betreiben – eine Halbierung innerhalb von vier Jahren. Im anhaltenden Aufschwung zeigte sich außerdem die Public Cloud, deren Einsatz 29 Prozent der Unternehmen meldeten – eine Verdoppelung seit 2014.

 

Dieser erste Beitrag sollte die wichtigsten Begriffe klären und einen Blick darauf werfen, wo das Thema heute in deutschen Unternehmen eigentlich steht. Im Blogbeitrag #2 geht es los mit der eigentlichen Ausgangssituation bei nextwork. Im dritten Blogbeitrag stellen wir euch dann die wichtigsten Anbieter vor und tauchen im vierten Blogbeitrag tiefer ein und stellen euch einen Case über den Anbieter unserer Wahl vor.

 

Viel Spaß – und danke für eure Anmerkungen und Kommentare!

 

Hört auf zu sortieren! Über Horter, Sortierer und sonstige Denkfehler bei der E-Mail-Archivierung

16. Mai 2018
von André Willich

Gastbeitrag von André Willich

Eigentlich traurig, was aus unserer E-Mail geworden ist. Die ehemalige Revolution der Bürokommunikation ist heute ein chronisch verstopfter Kanal, überflutet von cc-Mails, automatisierten System-E-Mails, Newslettern und Spam. Die Symptome sind: Kollegen sitzen im Meeting und keiner hört zu, weil alle hektisch ihre ungelesenen E-Mails checken. Leute kommen aus dem Urlaub und haben 300 ungelesene Nachrichten. Wir kommen dann ins Spiel, wenn es schief geht: Überlaufende Inbox, langsame E-Mail-Programme, langsame Server. Datenbanken, die in die Knie gehen; kaputte Suchindizes; aufgeblasene Postfächer von 20 bis 100 Gigabyte, deren Wiederherstellung im Schadensfall einen ganzen Tag kostet. Mailbox full!

Irgendwie wissen alle, dass es nicht so weitergehen kann. Höchste Zeit, sich Gedanken zu machen, wie man mit dieser Situation umgeht. Ich persönlich denke, es liegt in der Verantwortung eines jeden Unternehmers oder Geschäftsführers, diesen Kanal weitestgehend offen zu halten; er ist die Hauptschlagader der externen, aber auch der internen Kommunikation. In diesem Blogbeitrag soll es deshalb auch um Denkmuster und Gewohnheiten rund um die E-Mail und die damit verbundenen Ordnungssysteme gehen.

Unser Denkansatz: E-Mail-Archivierung


Unser Denkansatz, den wir predigen, um der permanenten E-Mail-Überflutung Herr zu werden, heißt: Gib auf, selbst E-Mails zu sortieren. Das kann ein Automatismus für Dich erledigen: die automatische E-Mail-Archivierung. Das Prinzip ist gleichsam simpel wie genial: Alle E-Mails werden nach einem festgelegten Zeitraum aus Deinem Postfach gelöscht, verbleiben aber automatisch in Deinem E-Mail-Archiv. Für Dich bedeutet das: Du arbeitest im E-Mail-Client, allerdings nur mit einem Teil Deiner E-Mails. Egal ob auf Smartphone, Tablet oder Laptop – Du hast ab sofort eine kleine »Handtasche« mit Deinen aktuellen E-Mails dabei. Das sorgt für Übersichtlichkeit, die Datenbank ist superschnell und im Fall der Fälle lassen sich die alten E-Mails schnell wieder auffinden: In einem webbasierten E-Mail-Archiv.

Wir haben das automatisierte E-Mail-Archiv bereits in zahlreichen Unternehmen erfolgreich umgesetzt und 97% unserer Kunden zufriedengestellt. Kein Wunder, denn daraus entstehen für Unternehmen und Mitarbeiter zahlreiche Vorteile:

  • Alle E-Mails werden dauerhaft und zentral gesichert
  • Rechtlichen Anforderungen an die E-Mail-Aufbewahrung wird Rechnung getragen
  • Die Produktivität des gesamten Teams nimmt zu
  • Die Performance des E-Mail-Servers steigt
  • Die Anwender haben jederzeit Zugriff auf Ihren E-Mail-Bestand

Darf ich vorstellen? Der Horter


Man glaubt trotz all dieser Vorteile nicht, wie viele Widerstände es gegen E-Mail-Archivierung gibt und wie emotional manche Menschen bei diesem Thema reagieren. Den Typus, der sich am meisten dagegen sträubt, nenne ich hier mal den »Horter«. Es gibt diese Spezies in mannigfaltiger Varianz und in jeder Agentur! Sie heißen Holger, Jürgen, Bernd. Oder in der weiblichen Version Andrea oder Sarah. Der Horter zeichnet sich dadurch aus, dass er alles aufhebt, jede Mail einzeln bearbeitet, einzelne E-Mails löscht, viele Newsletter abonniert hat und: ein ausgefuchstes System benutzt – E-Mails in Hunderte von Unterordnern zu sortieren – auf das er sehr stolz ist. Meist ist er schon lange im Unternehmen, seine E-Mails betrachtet er als externe Festplatte zu seinem Gehirn, das die gesamte Unternehmenshistorie widerspiegelt. Er ist das absolute Gewohnheitstier. Er behauptet von sich, JEDE E-Mail in Sekundenbruchteilen zu finden. In E-Mail-Archiv-Schulungen leistet er erbitterten Widerstand, löchert den Kursleiter mit Dutzenden kritischen Fragen und überhaupt stellt er das ganze System in Frage.

Ich bin jetzt gemein und vielleicht übertreibe ich auch ein bisschen. Aber im Grunde genommen steckt in uns allen ein bisschen »Horter«. Erinnert Euch, wo wir alle herkommen: Wir können gar nichts dafür, denn es liegt in unserer Natur. Wir sind alle analoge Menschen, denen die Logik der digitalen Welt manchmal widerspricht. Und wir haben noch ein Problem: Es fällt uns extrem schwer, uns von Gewohnheiten und Denkstrukturen zu lösen. Egal ob es um Essen, Beziehungen oder E-Mails geht. Mit den stärksten Vorurteilen und Denkfehlern möchte ich hier aufräumen.

»Die wollen mir meine E-Mails wegnehmen!«


Nein, das will keiner. Die E-Mail, die in Deinem Postfach steckt, wird nur nach einem von Dir festgelegten Zeitraum automatisch gelöscht, verbleibt aber im Archiv. Denn E-Mail-Archivierung bedeutet nichts anderes, als dass das Spiegelbild Deiner E-Mails auf Deinem Rechner wegfällt. Das Original ist weiterhin im Archiv vorhanden – und auch für Dich verfügbar.

Wie sieht das technisch aus?

»Meine E-Mails liegen dann irgendwo, wo ich nicht hinkomme?«


Nein, sie sind nur einen Klick weiter. Alle E-Mails Deines Unternehmens liegen ab dem Zeitpunkt ihres Eintreffens in Deinem Postfach auch im Archiv. Aus deinem E-Mail-Postfach und vom E-Mail-Server werden Sie dann nach einem selbstgewählten Zeitpunkt X gelöscht – im Archiv sind sie aber weiterhin auffindbar. Der Clou: Dein E-Mail-Dienst, z.B. Outlook, bleibt schlank und leicht, der E-Mail-Server wird entlastet, auf deine E-Mails hast du aber weiterhin Zugriff.

»Und wie komme ich jetzt an die archivierten E-Mails?«


Super easy. Einfach über Deinen Browser. Mit deinen persönlichen Zugangsdaten kannst du dich jederzeit in das Archiv einloggen und alle Deine E-Mails sehen. Auch die, die nach dem Zeitpunkt X gelöscht wurden. Bei Outlook für Windows ist der Zugriff dank eines Plugins sogar noch einfacher: Hier gibt es einen E-Mailstore-Button. Sobald Du diesen anklickst, kommst Du sofort in Dein E-Mail-Archiv – ganz ohne Outlook verlassen zu müssen.

»Wie finde ich alte E-Mails in meinem Archiv?«


Das ist das Beste an der ganzen Sache: Die Suche im Archiv ist deutlich mächtiger als die Deines E-Mail-Programms. Du kannst nach Betreff, Textinhalt, Anhängen, Absender, Zeiträumen u.v.m. suchen. Und falls Du gerne mit Ordnerstrukturen arbeitest, gibt es ebenfalls gute Nachrichten: Diese bleiben im Archiv erhalten.

»Ich brauche alle meine E-Mails ständig verfügbar!«


Ist das wirklich so? Jede E-Mail wird meist tagesaktuell im Projektgeschäft genutzt; generell schätze ich die Halbwertszeit der meisten E-Mails auf ca. zwei Wochen. Das bedeutet im Umkehrschluss, dass die meisten ihr E-Mail-Archiv nur in Ausnahmefällen benötigen. Das merke ich immer daran, wenn meine Kunden mich nach ihrem Login fragen. Weil sie ihn so selten brauchen.

»Da finde ich doch nix. Ich sortier meine E-Mails lieber in Ordner.«


Oh Gott, ein Sortierer 😉 Seit Jahren versuchen wir, den Leuten auszureden, ihre E-Mails in Ordner zu sortieren. E-Mail-Archivierung ist ein Tool, das eigens dafür gemacht ist, eine E-Mail zu finden, mit besseren Filtern als jedes E-Mail-Programm. Dass Du trotzdem sortierst, ist eine typisch menschliche Verhaltensweise, die aus der realen Welt in die virtuelle übertragen wird (schließlich hat man früher auch Papier in Leitz-Ordner geheftet). Aber die digitale Welt macht allein aufgrund der Datenmengen solche analogen Verhaltensweisen überflüssig. Es würde doch auch niemand auf die Idee kommen, Google-Ergebnisse in Ordner zu sortieren, man googelt eben einfach, und zwar alles Wissen der Welt!

Fazit: E-Mail ist ein Kreislauf


Was das Thema E-Mail betrifft, tendieren die meisten, auch Geschäftsführer und Unternehmer, zur Froschperspektive. Eigentlich klar, sind doch alle »Betroffene«. Ich appelliere, bei diesem Thema das große Ganze im Blick zu haben und eine Vogelperspektive einzunehmen. E-Mail im Unternehmen ist ein Kreislauf, der in Gang gehalten werden muss. Wenn Kanäle verstopfen oder der Staudamm zu brechen droht, braucht er eben einen Überlauf. Klappt doch auch in der Badewanne 😉

Zwei Welten: Coworking und Datenschutz

15. Dezember 2017
von Marco Peters

„In unserem globalen Netzwerk von Arbeitsbereichen stehen persönliche Zusammenarbeit, gegenseitige Inspiration und Großzügigkeit an erster Stelle“, heißt es bei wework, einer der größten globalen Coworking-Anbieter (die dieses Jahr übrigens rund 4,4 Milliarden US-Dollar an Venture-Capital eingesammelt haben). Keine Frage, Coworking ist ein superheißer Trend. Alleine in Berlin gibt es weit über 100 Angebote dieser Art.

Der Trend geht über das reine Geschäftsmodell „Anbieten von Coworking-Space“ hinaus. Heute ist bei jedem modernen Bürobauprojekt Coworking bereits Standard. Es werden Flächen eingeplant, die ausgewiesenermaßen an Externe vermietet werden können. Ein prominentes Beispiel ist der neue Kreativcampus des Axel-Springer-Verlags in Berlin Mitte (Rem Kolhaas, Fertigstellung 2020): Hier umfasst die Planung CoworkingSpaces.

Auch Kreativagenturen werden zu Coworking-Space-Anbietern: Sie vermieten flexible Flächen an freie Projektteams und Freelancer unter. Am 19. Oktober 2017 verkündete Serviceplan hierzu den Launch eines Coworking-Angebots zusammen mit einer Hotelgruppe: RUBY und die Serviceplan Gruppe starten mit einem ersten gemeinsamen Coworking Space ein Joint Venture. Der Hotspot für kreatives, agiles und innovatives Arbeiten wird im Dezember 2017 eröffnet.

Schöne neue Welt des Coworkings

CoworkingSpaces kommen den „Grundbedürfnissen“ von Kreativen nach: schnelles Internet, 24-Stunden-Zugang, fette Drucker und Cappuccino aus der Siebträgermaschine. Aber sind Coworking-Spaces nicht noch mehr?

Vielleicht sind Coworking-Spaces heute das, was Agenturen in den 90er Jahren waren: Orte des unkomplizierten kreativen Austauschs, wo sich Creative Class, Hipster und Digitale Nomaden die Hand geben, immer ein mega angesagtes Projekt am Start. Wer einmal in einem Coworking-Space gearbeitet hat, weiß, dass hier andere Werte als in der gewöhnlichen, veralteten Arbeitswelt gelten: Kollaboration statt Silo-Denke, Flexibilität statt starre Struktur, Inspiration statt Hierarchien. Coworking ist nicht nur ein Trend, sondern ein Paradigmenwechsel in der Art und Weise, wie Menschen in Zukunft zusammenarbeiten.

Aber – Entschuldigung, dass ich jetzt der Spielverderber sein muss – wie ist das vereinbar mit den immer strenger werdenden Auflagen für Datenschutz und Informationssicherheit?

Der Gegentrend: TISAX und Datenschutz

In immer mehr Branchen wird von Unternehmen verlangt, eine Zertifizierung für die Erfüllung bestimmter Kriterien der Informationssicherheit einzuholen. Das betrifft etwa Agenturen und Zulieferer, die für die Automobilindustrie arbeiten. Sie brauchen ab 2018 ein TISAX-Zertifikat, ein von der Automobilindustrie definierter Standard für Informationssicherheit, um für Kunden wie VW oder BMW arbeiten zu dürfen. Ebenso relevant ist die Einhaltung der EU-Datenschutz-Grundverordnung, die den „Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ (Art. 1 Abs. 2 DSGVO) zum Ziel hat.

Das Problem mit dem Datenschutz in Coworking-Spaces

Betrachtet man das Arbeiten unter Einhaltung der Informationssicherheits- und Datenschutzrichtlinien im Vergleich zur kreativen Arbeit in einem Coworking-Space, wird schnell ersichtlich: Hier sind zwei gegensätzliche Kräfte am Werk. Denn offensichtlich kann man Informationssicherheit und Datenschutz in der freigeistigen Welt der Coworking-Spaces nur schwer gerecht werden.

In Unternehmen, die mit sensiblen Daten umgehen, werden die Mitarbeiter zum Thema Datenschutz geschult. Es gibt einen Standard, zu dem sich das Unternehmen verpflichtet hat, und Richtlinien, die Orientierung und Handlungsanweisungen geben. Für dessen Einhaltung werden auch die Voraussetzungen im Büro geschaffen. Doch was, wenn Mitarbeiter auch im Homeoffice oder in einem Coworking-Space arbeiten dürfen? Oder wenn man mit Freelancern zusammenarbeitet, die regelmäßig im Coworking-Space sitzen?

In den offenen Räumen eines Coworking-Spaces laufen stets andere Coworker um die Schreibtische herum und holen sich Kaffee. Es herrscht eine Atmosphäre des lockeren Austauschs. Man guckt ganz automatisch auch mal auf den Bildschirm des Sitznachbarn und sieht Kalender, E-Mails oder vertrauliche Dokumente. Sie werden ja auch offen auf dem Bildschirm angezeigt. In Gesprächen fallen die Namen der Kunden und Ansprechpartner – oder sogar Details aus einem Projekt, das einer Vertraulichkeitsvereinbarung unterliegt. Man geht zum Drucker und sieht die Dokumente eines anderen Coworkers im Druckerfach liegen. Oder man wirft einen Blick in den Mülleimer und sieht Ausdrucke mit sensiblen Daten, die jeder lesen kann.

All diese Szenarien sind in Coworking-Spaces Alltag. Sie zeigen: Datenschutz und Informationssicherheit sind im Coworking-Space noch nicht angekommen. Coworking-Spaces sind sozusagen eine „Grauzone“ der Informationssicherheit. Oder einfach ein gigantisches, potenzielles Datenloch.

Wie können sich Coworker richtig verhalten?

Um das nochmal zu betonen: Ich spreche hier von solchen Projekten, für die ein Coworker eine Geheimhaltung (NDA) unterschrieben hat. Der Auftraggeber hat ihn somit in die Pflicht genommen, bestimmte Auflagen einzuhalten. Falls diese nicht präsent sind, sollte man im Zweifel nochmal nachschauen. In den meisten NDAs stehen mittlerweile ziemlich strenge Auflagen drin, z. B. E-Mail-Verschlüsselung, Passwort-Politik oder Einschränkungen bzgl. Datenaustauschtools (z. B. kein WeTransfer). Als professioneller Coworker muss man sich des Themas bewusst sein und sich ggf. neue Verhaltensweisen angewöhnen.

Lösung für Coworker: Lass dir die entsprechende Richtlinie deines Auftraggebers zeigen. Meist heißt sie Richtlinie zur EDV-Nutzung, Informationssicherheitsrichtlinie oder Betriebsrichtlinie. Jede moderne, gut gemachte Richtlinie regelt beispielsweise auch mobiles Arbeiten: Wie telefoniere ich richtig am Flughafen oder im Zug? Wie arbeite ich im Flieger am Laptop? Was muss ich im Homeoffice beachten? Wie verwalte ich Passwörter? Wenn man diese Richtlinien einhält, kann man überall arbeiten, auch im Coworking-Space.

Wie können sich Unternehmen richtig verhalten?

Unternehmen müssen auf jeden Fall eine Richtlinie haben. Diese muss umfassend gedacht und gemacht sein. Idealerweise ist sie den sich ständig ändernden Realitäten der Arbeitswelt einen Schritt voraus. Eine moderne Informationssicherheitsrichtlinie regelt beispielsweise den immer wichtiger werdenden Themenbereich mobiles Arbeiten“.

Das reicht aber noch nicht aus, denn eine Richtlinie, die alles umfasst, aber von niemandem gelebt wird, hilft auch nicht weiter. Mein Ansatz hierbei ist vor allem: Das angestrebte Sicherheitsniveau kann nur dann erreicht werden, wenn man den Mitarbeitern praktische Werkzeuge und Handlungsbeispiele gibt, mit denen sie Richtlinien auch im Alltag umsetzen können

Lösung für Unternehmen: Ganz wichtig ist, dass diese Richtlinien eben nicht nur feste, sondern auch freie Mitarbeiter einhalten müssen (es reicht nicht, letzteren nur einen NDA hinzulegen). Das Thema Mobiles Arbeiten“ – und hier eben auch „Arbeiten im Coworking-Space“ – sollte praktikabel in die Richtlinie integriert werden.

So können denn auch diese beiden scheinbar unvereinbaren Kräfte, die unsere Arbeitswelt verändern, – Coworking und Datenschutz – friedlich miteinande coexistieren.

 

TISAX®: 4 Gründe, warum es besser ist als ISO 27001

10. Juli 2017
von Marco Peters

Unternehmen mit Automobilmarken im Portfolio kennen das: Um für Kunden wie Audi, BMW oderVW arbeiten zu können, müssen sie seit 2014 in regelmäßigen Abständen nachweisen, dass sie den Informationssicherheitsstandards der Kunden gerecht werden. Ein notwendiges Übel, das für eine erfolgreiche Zusammenarbeit jedoch nicht vermeidbar war. Dass darunter auf Dauer das Tagesgeschäft leidet, musste hingenommen werden. Doch nun scheint eine Lösung für das Problem der immer wiederkehrenden Audits gefunden: Seit Anfang 2017 gibt es mit TISAX eine neue Form der Kontrolle. Eine gute Nachricht – und das gleich aus mehreren Gründen.

4 Vorteile von TISAX

 

  1. TISAX schlägt ISO 27001 und stichproben-Audits nach VDA Information Security Assessment (ISA)

    Viele Unternehmen mussten auf Wunsch ihrer Kunden bereits eine Auditierung über sich ergehen und sich stichprobenartig nach VDA Information Security Assessment (ISA) überprüfen lassen – mit oder ohne ISO-Zertifikat. Das wird sich nun ändern: Ab 2018 wird es für Automotive-Auftragnehmer nur noch eine einzige TISAX-Prüfung geben.

    Die weniger gute Nachricht dabei: TISAX prüft nicht mehr nur stichpunktartig, sondern alles im Detail.

    Die gute Nachricht: TISAX definiert erstmals einen gemeinsamen Nenner, der sämtliche Anforderungen aus dem VDA Information Security Assessment beinhaltet.

  2. Mit TISAX sind Unternehmen unabhängig in der Kundenakquise

    Unternehmen erreichen neue Kunden meist über Referenzen bzw. ihr Portfolio. Doch was passiert, wenn es die Informationssicherheitsauflagen sind, die plötzlich darüber entscheiden, ob eine neue Kundenbeziehung aufgebaut werden kann?

    Hier leistet TISAX einen entscheidenden Beitrag – denn mit der Zertifizierung wurde ein Standard geschaffen, der von allen VDA-Mitgliedern (z. B. Audi, BMW, Volkswagen und Mercedes-Benz) anerkannt wird. Ein Kundenwechsel ist somit unkomplizierter möglich – beispielsweise wenn ein Unternehmen nach Jahren von BMW zu Audi wechselt. Dank TISAX muss man in solch einem Fall keinen neuen Maßnahmenkatalog erfüllen. Zum Vergleich: Mit der bisher stichprobenartigen VDA-ISA-Überprüfung kam bei einem Kundenwechsel erst einmal ein mehrmonatiges ISMS-Projekt zu, bevor sie überhaupt anfangen konnte, für den neuen Kunden zu arbeiten!

  3. Mit TISAX kommen Unternehmen schneller an den Auftrag

    Dass TISAX wirklich für alle Unternehmen, die für die großen Automobilhersteller arbeiten, Pflicht wird, ist bereits jetzt erkennbar. BMW hat bereits im Februar 2017 TISAX in seinen Einkaufsbedingungen hinterlegt. Branchen-Insider sind sich einig: Ab 2018 wird TISAX bei allen Automobilherstellern zwingende Voraussetzung für die Zusammenarbeit.

    Auch wenn TISAX Pflicht wird und zunächst als notwendiges Übel erscheint: Inhabern des Zertifikats werden die zusätzlichen Audits durch die einzelnen Automobilhersteller erspart bleiben. Auch wird der Freigabeprozess bis zur endgültigen Zusammenarbeit beschleunigt. Denn: Bei einer infrage kommenden Zusammenarbeit sprechen die Unternehmen üblicherweise mit dem Einkauf des Automobilherstellers. Bisher musste danach ein zeit- und kostenintensives Audit stattfinden. Mit TISAX hat man dagegen von Beginn an einen zuverlässigen Nachweis für den Einkauf – und erhält so eine schnellere Freigabe.

  4. TISAX ist das perfekte Qualitätssiegel gegenüber Industriekunden

    Aktuell ist TISAX ausschließlich für die Automobilbranche relevant. Doch die Chancen stehen gut, dass auch weitere Großkunden wie z. B. Telekom, Siemens, Lufthansa oder Allianz das Qualitätssiegel bei der Wahl ihrer Partner berücksichtigen werden.
    Denn auch deren Einkauf überprüft beim Screening, welche Zertifizierungen mit Blick auf die Informationssicherheit bei potenziellen Agenturpartnern vorhanden sind.

    Eine TISAX-Zertifizierung ist hier das beste Aushängeschild, um dem potenziellen Neukunden zu signalisieren, dass der Auftragsvergabe, zumindest was die Informationssicherheit angeht, nichts im Wege steht. Wer schnell ist, hat hier also einen echten Wettbewerbsvorteil.

Der richtige Zeitpunkt ist 2017: Das Zeitfenster für die Abkürzung zu TISAX 2018

Manchmal scheint Abwarten bei Neuerungen wie der TISAX-Zertifizierung die richtige Taktik. Doch diesmal nicht. Unternehmen sollten genau jetzt handeln! Warum? Die TISAX-Pflicht kommt 2018 – mit Sicherheit. Alle Unternehmen, die dieses Jahr noch ein VDA-ISA-Audit bestehen, bekommen das TISAX-Zertifikat mit Sternchen (sozusagen das kleine Zertifikat).

Wer das kleine bekommt, hat es später leichter, das große Zertifikat zu erhalten. Das ist mit weniger Aufwand und weniger Kosten verbunden. Noch mal ein Vergleich: Alleine das Vor-Ort-Audit findet bei der stichprobenartigen VDA-ISA-Prüfung im Regelfall an einem Tag statt. Die kommende Zertifizierung wird dagegen mehrere Tage in Anspruch nehmen.

Mit einem TISAX-Zertifikat überholen Unternehmen die Wettbewerber, die bisher mit ihrem ISO-27001-Zertifikat punkten konnten! Ich kann Geschäftsführern daher nur empfehlen, noch dieses Jahr ein ISMS einzuführen und sich dem VDA-ISA-Audit zu unterziehen. Als TISAX-Zertifikatsinhaber der ersten Stunde kann man 2018 dann entspannt entgegenblicken.

 

 


Meine Blogreihe zum Thema Audit und Informationssicherheit:
Wer hat Angst vorm Audit? (Teil 2)

nextwork: Der nächste Schritt in ein neues Zeitalter

30. Mai 2017
von Marco Peters

Früher war der „ITler“ der Nerd im Serverraum, hat Rechner für Mitarbeiter aufgesetzt, sich um E-Mail und Internet gekümmert und ein Backup eingerichtet. Heute muss jeder Prozess in die Logik der IT übersetzt werden. Dies betrifft zum einen die administrativen Prozesse (z. B. Zeiterfassung, Angebots- und Rechnungswesen, Ressourcenplanung und Projektsteuerung), aber auch die kreativen Prozesse in Kreativagenturen – also Tools, die Designer in der Kreation, in der Teamarbeit und in der Datenablage verwenden.

Gleichzeitig ist es durch die fortschreitende Digitalisierung viel wichtiger geworden, Daten zu schützen. Für Agenturen bedeutet dies, dass ihre Auftraggeber zunehmend hohe Standards bezüglich der Datensicherheit in Form von ISO-Zertifizierungen und Auflagen im Datenschutz einfordern. In diesem Fall müssen alle Agenturprozesse, administrative wie kreative, überprüft und ggf. weiterentwickelt werden.

Was neu ist: nextwork berät Agenturen bei der Digitalisierung und Absicherung ihrer Prozesse

Um Agenturen in diesen neuen Aufgabenbereichen besser beraten zu können, haben wir „nextwork“ gelauncht. Wir beraten Kreativagenturen bei der Digitalisierung ihrer administrativen und kreativen Prozesse, entwickeln zukunftsorientierte IT-Infrastrukturen und sorgen für Datensicherheit. Typische nextwork-Beratungsprojekte sind z. B.:

  • Auswahl und Einführung von Agentursoftware, Recruiting-Tools etc.
  • Konzeption von komplett neuen IT-Infrastrukturen, z. B. für Neugründungen, Umzüge, Rundumerneuerung
  • Beratung bei der Digitalisierung aller kreativen und administrativen Agenturprozesse
  • Projektleitung bei einer ISMS-Auditierung oder Durchführung von internen Audits
  • Laufende Betreuung als Datenschutz- und Informationssicherheitsbeauftragter
  • Workshops und Schulungen für Mitarbeiter

 

Mehr zu Nextwork: www.nextwork.de

Mein Fachartikel über »häufige Datenlöcher in Kreativagenturen – und was man dagegen tun kann« in der PAGE 05.2017

29. März 2017
von Marco Peters

Datensicherheit ist nicht sexy – aber notwendig. Marco Peters von Solutionbar über häufige Datenlöcher in Kreativagenturen – und was man dagegen tun kann.

Kreativität und Datensicherheit – das sind zwei Be­griffe, die nicht besonders oft miteinander assoziiert werden. Kreativität, das ist Ideen-Pingpong ohne Ein­schränkungen, den Gedanken freien Lauf lassen, herumspinnen und Neues erschaffen. Daten­sicherheit hingegen klingt so ziemlich nach dem Ge­genteil. Wenn hier von Kreativagenturen die Rede ist, sind keinesfalls nur die großen Netzwerkagentu­ren gemeint.

Das »Rückgrat der Agenturbranche« ist die Mittelschicht – und gerade diese kann durch hohe Scha­denersatzzahlungen im Falle eines Datenverlusts in erhebliche finanzielle Schieflage geraten…

Hier gibt es den kompletten Artikel
Online: http://page-online.de/tools-technik/sichern-sie-ihre-daten/#
Oder im Heft Ausgabe 05.2017

 

 

Datenschutz ist nervig und macht unproduktiv

15. März 2017
von Marco Peters

Hand aufs Herz: Lesen Sie in Ihrer Freizeit auch gern mal das Bundesdatenschutzgesetz (BDSG)? Und ändern Sie alle 90 Tage Ihr Passwort?

Ich vermute stark, dass Sie auf beide Fragen mit „Nein“ antworten. Das ist auch kein Wunder. Denn nichts ist so nervig und nichts macht so unproduktiv wie die Einhaltung von Datenschutzvorgaben. Das muss allerdings nicht sein.

107 Seiten Juristendeutsch oder: Wie bitte?

Ein Bekannter sprach mich neulich bei einem Feierabendgetränk auf das Thema Datenschutz an. Er hatte gerade den Arbeitsvertrag in einem neuen Unternehmen unterschrieben. Neben dem Vertrag lagen 107 (hundertsieben) DIN A4-Blätter mit Richtlinien parat, die ebenfalls sein Kürzel benötigten. Er zeigte mir den Stapel mit den Worten: „Du kennst dich damit doch aus. Was habe ich da eigentlich unterschrieben?” Ich blätterte die Seiten durch, von denen 90 Prozent englische Schriftsätze enthielten, der Rest war Juristendeutsch. Ganz klar: Hier ging es um den Datenschutz, Verschwiegenheitsrichtlinien, Sicherheitsthemen. Auch klar: Kein Mensch ohne juristische Ausbildung (und ohne juristische Kenntnisse in englischer Sprache) konnte das, was dort geschrieben stand, verstehen.

Die Folge daraus erfordert keine hohe Mathematik: Mitarbeiter, die nicht verstehen bzw. nicht nachvollziehen können, worum es in diesen Schriftstücken geht, werden nicht umsetzen können, was man von ihnen verlangt. Die Vorgaben werden dann nicht eingehalten oder auch bewusst umgangen, es herrscht Unsicherheit – und wenn der hilfesuchende Blick zum Kollegen führt, hat dieser im Zweifel auch keine Ahnung.

Das Ergebnis: Alles das, was gesetzlich vorgeschrieben und wichtig ist – und wofür Sie vielleicht extra einen Datenschutzberater beauftragt haben – wird in Ihrem Unternehmen nicht gelebt. Oder noch schlimmer: Es kostet zusätzlich Effizienz und Produktivität.

Wieso, weshalb, warum – nur wer’s versteht, setzt es um

Auch meine Mitarbeiter müssen bei Vertragsunterzeichnung Datenschutzrichtlinien gegenzeichnen. Der Unterschied: Was andere auf 107 Seiten formulieren, passt bei mir auf eine Doppelseite. Ich habe mich mit einem guten Texter hingesetzt und das wichtigste, was das Gesetz will, auf zwei Seiten verständlich formuliert. Ich bin deshalb sicher, dass alle verstanden haben, warum die Punkte, die dort aufgelistet sind, umgesetzt werden müssen.

Mein Tipp für Sie: Tun Sie es mir nach. Vermeiden Sie dabei zusätzlich Formulierungen, die einschränken. Eröffnen Sie stattdessen Möglichkeiten. Sagen Sie also nicht: „Es dürfen keine E-Mails mit Anhängen über fünf Megabyte versendet werden.“ Die bessere Alternative: „Wenn Sie E-Mails mit Anhängen unter fünf Megabyte versenden möchten, nutzen Sie die E-Mail-Software. Alle größeren Anhänge können Sie mit ownCloud (ein Beispiel) übertragen.“

Was passiert, wenn Sie negativ formulieren und keine Lösungswege anbieten? Ganz einfach: Ihre Mitarbeiter suchen sich Wege, große Datenmengen „irgendwie“ zu übertragen – zum Beispiel über ungesicherte Dateien auf USB-Sticks oder sie installieren sich Software von Anbietern wie Dropbox. In diesem Fall – Sie ahnen es schon – wird wieder gegen das Datenschutzgesetz verstoßen. Denn Dropbox ist ein in den USA ansässiges Unternehmen – und die USA wurden vom Datenschutz als „unsicheres Drittland“ eingestuft. Allein die Angabe der E-Mail-Adresse des Empfängers, die zum Versand benötigt wird, ist verboten. Unbedenkliche Lösungen, die genutzt werden können sind ownCloud und tresorit. Stellen Sie Ihren Mitarbeitern solche Lösungen zur Nutzung zur Verfügung, dann müssen diese sich nicht selbst „Lösungen“ suchen, die am Ende keine sind.

Nach dem Verständnis kommt die Durchführbarkeit

Die Verständlichkeit von Richtlinien ist allerdings auch noch nicht das Ende der Fahnenstange. Wenn Ihre Mitarbeiter Sicherheitsrichtlinien umgehen (müssen), um Ihre Arbeit effizient (oder überhaupt) ausführen zu können, dann haben Sie das Thema noch nicht zu Ende gedacht.

Ein Beispiel: In einem mir bekannten Unternehmen werden die Mitarbeiter alle 90 Tage aufgefordert, Ihre Passwörter zu ändern. Andernfalls können sie nicht weiter auf die Systeme zugreifen. Ein Mitarbeiter hat sich nun eine ganz clevere Lösung ausgedacht, um sich nicht ständig neue Passwörter merken zu müssen: Er umging das System, indem er zwar seine Passwörter brav neu aufsetzte, aber gleich darauf wieder zurückänderte. Das System und auch der Chef denken, alles sei gut – in Wahrheit aber wird gegen das Datenschutzgesetz verstoßen.

Die tollste Richtlinie bringt also überhaupt nichts, wenn Ihre Mitarbeiter sie nicht einhalten. Damit sie das aber tun, brauchen sie neben dem Verständnis für die Inhalte auch eines für die Gründe der einzelnen Maßnahmen – und zusätzlich Möglichkeiten, ihre Arbeit trotz Datenschutzeinschränkungen erledigen zu können. Was die Passwort-Geschichte angeht: Dem Mitarbeiter wäre mit einem Passwort-Manager sehr geholfen. Ich kann die Software 1Password empfehlen. Keiner Ihrer Mitarbeiter muss sich damit je wieder ein betriebliches Passwort merken. Die regelmäßigen Änderungen werden sie also nicht mehr stören.

Wenn Sie jetzt noch einen lockeren Workshop veranstalten mit einer Runde Pizza für alle und zum Nachtisch ein Gespräch darüber, warum Passwortsicherheit so wichtig ist, werden Sie mit diesem Thema keine Probleme mehr haben. Mehr noch: Ihre Mitarbeiter werden es leben.

Nach der Datenschutzrichtlinie ist vor dem Datenschutz

Wenn Sie eine Datenschutzrichtlinie haben, sind Sie vielen Unternehmen einen Schritt voraus. Denn von allen Unternehmen, die an der Studie „Netz- und Informationssicherheit in Unternehmen 2010“ teilgenommen haben, trifft dies auf zwei Drittel schon mal nicht zu.

Die Erstellung von Richtlinien ist trotzdem immer nur der erste Schritt. Mit dem Engagement eines Datenschutzberaters und dem Einsammeln von Unterschriften auf seitenweise verklausulierten Texten ist es nicht getan. Datenschutz muss verstanden werden und umsetzbar sein, nur dann kann er gelebt werden. Laut „Clearswift Insider Threat Index (CITI) – German Edition 2015“ stellen Mitarbeiter eines der größten Sicherheitsrisiken für Unternehmen dar – einfach aus dem Grund, dass zwei Drittel aller internen Sicherheitsvorfälle zufällig oder unbeabsichtigt geschehen (65 %) und ein großer Mangel an Bewusstsein um Datensicherheitsprobleme herrscht (58 %).

Denken Sie also nie vordergründig an Paragraphen und Gesetze, sondern rücken Sie Ihre Mitarbeiter in den Vordergrund aller Maßnahmen. Holen Sie sie ordentlich ab, nicht nur juristisch. Dann erreichen Sie das Datenschutz-Niveau, das Sie erreichen möchten – und das auch von immer mehr Auftraggebern gefordert und überprüft wird.

Zum Schluss muss ich als Experte zugeben: Ja, Sie haben Recht. Das Thema Datenschutz ist nervig und macht unproduktiv. Aber nur, wenn es nicht richtig umgesetzt wird. Gerade kleinere Unternehmen, die ca. 90 Prozent der Unternehmerlandschaft in Deutschland ausmachen, haben es hier schwer. Doch gehen Sie es an und bringen Sie es einmal durchdacht hinter sich. Wenn dann im Sommer 2018 die neue (und in vielen Punkten strengere) EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft treten wird, die eine umfassende Neuordnung des gesamten Datenschutzes in Europa mit sich bringt, sind Sie auf der sicheren Seite.

 

»CODING FOR CREATIVE KIDS«: 60 KINDER PROGRAMMIEREN ROBOTER

13. März 2017
von Marco Peters

Wie kriegt man eine Horde von 3 x 20 Kindern im Durchschnittsalter von 10 Jahren dazu, sich fast 2 Stunden auf eine Sache zu konzentrieren?

Ganz einfach: Man gebe ihnen einen Roboter, ein iPad und eine knifflige Aufgabe. Diese lautet zum Beispiel: »Sag dem Roboter, dass er einen halben Meter geradeausfahren, einen Kegel umschmeißen, dann eine 90°-Drehung ausführen usw soll, bis er ein Spielfeld von sechs Kegeln abgeräumt hat und vor Freude ein Lied pfeift (unter dem begeisterten Applaus aller Kinder und Eltern, die am Schluss zusammen das Ergebnis anschauen).

In einer ehemaligen Fabrikhalle in Obersendling fand dieses Jahr erstmals ein Event statt, das es so bislang noch nicht im MCBW-Programm gegeben hat: ein Roboter-Programmierkurs, initiiert von der »Solutionbar« und durchgeführt vom »Roberta«-Team. Die Kids saßen überall in kleinen Zweierteams verstreut, während sie auf iPads und Laptops ihre Dash- und Mindstorms-Roboter programmierten. Wer nicht gerade auf die kleinen bunten Kästchen starrte, mit denen man dem Roboter auf dem Screen alle Einzelbefehle wie Bauklötze aneinanderreiht, konnte in der großen Halle rumflitzen oder eine Runde kickern. Viele kamen so zum ersten Mal mit dem Programmieren in Berührung, am Ende der Session hatte aber jedes Kind ein echtes Erfolgserlebnis.

»Die Kids steigen heute leider vor allem als Konsumenten in die digitalen Medien ein“, erklärt Marco Peters, Geschäftsführer der Solutionbar und Vater zweier Schulkinder, die Idee hinter dem Event. „Wir wollen den Kids einen kreativen Blick eröffnen. Wie daddeln, whatsappen und minecraften hinter den Kulissen funktioniert. Da gibt’s nur eins: unsere Kids müssen Programmieren lernen!“ Er freut sich sehr, dass die Idee so gut angekommen ist und das Team viel positives Feedback von allen Teilnehmern erhalten hat.

Auf der Suche nach der richtigen Agentursoftware (Teil 5, Finale)

3. März 2017
von Marco Peters

Es ist jetzt fast genau ein Jahr her, da startete ich mit der Blogreihe zum ThemaAuf der Suche nach der richtigen Agentursoftware”. Die Idee für dieses Thema kam mir durch ein Projekt. Eine Kunde von mir eine Agentur mit rund 50 Mitarbeitern suchte nach einer Software, mit der sich die Prozesse in ihrem Hause abbilden, Zeiten erfassen und Projekte managen lassen sollten. Im Zuge meiner Recherchen stellte ich schnell fest: Das Thema ist brandheiß. Denn viele Agenturen sind in der schwierigen Situation, zwar eine breite Auswahl an ERP- und CRM-Systemen vorfinden zu können, die speziellen Agentur-Bedürfnisse kommen bei den klassischen Standardlösungen aber oft zu kurz.

Ursprünglich wollte ich im fünften und letzten Teil 5 der Serie erläutern, wie sich die gefundene Agentursoftware bei unserem Kunden wirklich schlägt und wie die Anwender mit der Lösung zurechtkommen. Doch seit Teil 4 ist viel passiert. Ich habe mehrere Agenturen bei der Suche nach einer passenden Software und deren Einführung begleitet und stellte fest: Bei jeder Agentur fing meine Suche wieder bei null an. Woran das liegt? Vor allem an den Ausgangssituationen, die von Agentur zu Agentur anders sind. Einige Agenturen hatten beispielsweise überhaupt noch nie mit einer Agentursoftware gearbeitet (einer meiner Kunden schrieb seine Rechnung lange Zeit ausschließlich mit InDesign). Bei anderen wiederum gab es bereits eine Software – die Agenturen mussten jedoch feststellen, dass diese den aktuellen Anforderungen nicht mehr gerecht wurde.

Den fünften Teil dieser Blogreihe möcht ich nun dazu nutzen, meine Erfahrungen aus den letzten Monaten zusammenzufassen und ein Fazit aus den gesammelten Erlebnissen mit meinen Agenturkunden zu ziehen. Zugleich möchte ich jedem Agenturinhaber die Angst vor dem Wechsel zu einer neuen Software nehmen. Denn Folgendes konnte ich bei jeder Zusammenarbeit feststellen: Die Umstellung lohnt sich für eine Agentur immer!

Die beliebtesten Agentursoftwares

Eines vorneweg: Es gibt nicht DIE Software, mit der jede Agentur richtig fährt. Schließlich sehen die Prozesse in jedem kreativen Haus anders aus. Auch die Anwender ticken immer unterschiedlich. Dennoch möchte ich Ihnen die Top 3 der Agentursoftwares meiner Kunden nicht vorenthalten. Diese Lösungen sind nicht automatisch die besten, kamen aber bei meinen Kunden besonders gut an.

TEAMBOX, PROAD und QuoJob das sind die drei Software-Lösungen, für die sich die meisten meiner Kunden entschieden haben. Jedes dieser Systeme hat seine Vor- und Nachteile. Das eine ist besonders benutzerfreundlich, das andere hat mehr Funktionen, das nächste glänzt durch eine besondere Individualisierbarkeit. Dennoch: Auch, wenn diese Top 3 besonders gut angekommen ist, kann für Ihre Agentur auch eine andere Software die beste Lösung sein.

Jede Agentur ist anders

Wie anfangs erwähnt, gibt es bei Agenturen verschiedenste Ausgangssituationen. Auf der einen Seite stehen Agenturen, die ihre Prozesse bereits digitalisiert haben. In den letzten Monaten konnte ich feststellen, dass diesen Kandidaten die Umstellung auf eine neue Lösung meist leichtfällt.  

Auf der anderen Seite gibt es die Agenturen, die noch gar keine Software zur Abbildung ihrer Prozesse nutzen. Diese behelfen sich z. B. mit Excel-Listen, handschriftlichen Stundendokumentationen und Rechnungsvorlagen aus InDesign oder Word. Solche Agenturen tun sich mit der Umstellung meist schwerer und doch ist das Fazit jedes Mal das Gleiche. Nach einer gelungenen Software-Implementierung höre ich in zehn von zehn Fällen den Satz: „Warum haben wir das nicht schon früher gemacht?”

Eine vernünftige Software-Recherche und -Umstellung ist mit viel Arbeit verbunden – das steht außer Frage. Doch ich garantiere Ihnen: Die Arbeit lohnt sich! Mit folgendem Beispiel möchte ich diese Behauptung für Sie untermauern:

Bessere Kontrolle und entspannte Nerven durch systematische Zeiterfassung

Besonders mit dem Thema Zeiterfassung haben viele Agenturen zu kämpfen. Die Mitarbeiter empfinden das Nachtragen ihrer abgeleisteten Stunden als lästig. Dabei kann es so einfach sein.

Einer meiner Kunden hat sich für ein Jobmanagement-Tool entschieden. Sobald ein Auftrag reinkommt, wird dieser per Klick an die zuständige Abteilung weitergeleitet und einem Mitarbeiter zur Bearbeitung zugeteilt. Dieser sieht sofort, wie viele Stunden in welchen Kalenderwochen für diesen Auftrag eingeplant sind. Wenn der Mitarbeiter am Ende jedes Arbeitstages seine Stunden auf die zugehörige Projektnummer bucht, sind alle sofort informiert (Projektmanager, Vorgesetzte usw.). Beim nächsten Login weiß der Mitarbeiter sofort, wie viel Zeit er schon für den Job verbraucht hat bzw. wie viel Zeit ihm zur weiteren Bearbeitung zur Verfügung steht.

Der Vorteil des Jobmanagement-Tools liegt auf der Hand: Die Kontrolle über aufgewendete Arbeitszeiten ist viel genauer. Sollte einmal festgestellt werden, dass ein Auftrag viel mehr Zeit verbraucht, als ursprünglich geplant, kann das Projektmanagement noch rechtzeitig einlenken. Damit wird das wohl größte Problem von Agenturen gelöst. Denn wird der Zeitrahmen aufgrund einer schlechten oder gar fehlenden Zeiterfassungslösung gesprengt, lässt sich mit dem Kunden nicht mehr nachverhandeln. Machen dagegen alle Mitarbeiter ihre Zeiterfassung zeitnah, spart man sich eine Menge Nerven – und auch die Mitarbeiter sind viel glücklicher.

 

So gelingt die Suche nach der passenden Agentursoftware

Die Taskforce

„So geht es nicht weiter, wir brauchen eine vernünftige Agentursoftware!” Wenn Sie diesen Entschluss fassen, sollten Sie zuerst eine Taskforce im Unternehmen aufstellen, die sich um das Projekt Neue Agentursoftware kümmert – und zwar komplett: von der Recherche bis zur Umsetzung.

Diese Taskforce sollte sich aus Mitarbeitern verschiedener Abteilungen zusammensetzen. Dazu gehören Personaler, die Finance-Abteilung, das Projektmanagement und der Designchef. Ganz wichtig und allen voran: die Geschäftsführung.

Im Idealfall holen Sie sich einen Digitalisierungsexperten ins Team. Im Idealfall haben Sie sogar schon jemanden, der sich bereits früher um die Einführung verschiedener Tools gekümmert hat (wie Zeiterfassung, Urlaubsplanung, Bewerbermanagement oder Ressourcenplanung). Dieser Digitalisierungsprofi kann als externer Berater fungieren. Haben Sie in Ihrem Unternehmen bereits einen Profi, der die Prozesse kennt und weiß, was das Unternehmen wirklich braucht? Dann nutzen Sie diese Wissensressource.

Ganz wichtig: Vertrauen Sie auf das Konzept der Taskforce. Viele machen den Fehler und setzen ausschließlich einen Projektmanager auf das Thema an. Doch geht es bei einer Agentursoftware um viel mehr als reines Projektmanagement. Jede Abteilung hat ein Mitspracherecht.

Die Anforderungsliste

In Teil 2 dieser Blogreihe habe ich eine Anforderungsliste zum Download bereitgestellt. Dieses Dokument ist recht umfangreich, ist dadurch aber ein toller Leitfaden, um sich bewusst zu werden, was eigentlich benötigt wird. Ihre Taskforce sollte sich diese Liste in Ruhe vornehmen und entscheiden, welche Funktionen wirklich gebraucht werden und welche Tools für Ihre Bedürfnisse irrelevant sind.

Auf Basis der Anforderungsliste kann die Taskforce nun verschiedenste Agentursoftware-Lösungen vergleichen und überprüfen, ob diese den Anforderungen gerecht werden. Ist bei einem Punkt auf der Liste nicht klar, ob die Lösung diese Funktion bereithält, kontaktieren Sie einfach den Anbieter. Dieser hilft mit Sicherheit gerne weiter.

Die Präsentation und Probe aufs Exempel

Ist die Liste einmal ausgefüllt und mit den in Frage kommenden Anbietern abgeglichen, geht es ans Eingemachte: Laden Sie Ihre Favoriten zu einer Software-Präsentation in Ihr Unternehmen ein. So haben Sie die Chance, jede einzelne Software ausführlich kennenzulernen und die Experten mit Fragen zu löchern.

Im Rahmen einer jeden Präsentation werden Sie schnell bemerken, ob die jeweilige Software (und auch das Team dahinter) zu Ihrer Agentur passt. Häufig stellt sich bei solch einer Präsentation auch heraus, dass eine vermeintlich fehlende Funktion doch existiert oder eine elegante Alternativlösung zur Abbildung des Prozesses gefunden werden kann.

Haben Sie nach den Präsentationen bereits Ihren Favoriten gefunden: Herzlichen Glückwunsch! Falls das nicht der Fall ist und Sie noch zwischen zwei oder drei Lösungen schwanken, ist das kein Grund, den Kopf in den Sand zu stecken. Seriöse Software-Hersteller bieten meist eine kostenfreie Testphase an, in der Sie die Software auf Herz und Nieren testen können. Danach wissen Sie ganz sicher, welche Ihr persönlicher Sieger ist.

Keine Angst haben einfach machen!

Ich kann es nicht oft genug betonen: Nehmen Sie das Projekt Agentursoftware ernst und kümmern Sie sich kontinuierlich darum. Das Projekt sollte niemals liegen bleiben.

Ich kenne das von verschiedenen Agenturen nur zu gut: Ein paar Monate lang wird das Thema Agentursoftware vergessen. Wird dann aber immer deutlicher, dass auf eine neue Agentursoftware nicht mehr verzichtet werden kann, ist es ein echter Kraftakt, wieder an vorher gesammelte Erkenntnisse anzuknüpfen. Daher mein Tipp: Vereinbaren Sie innerhalb der Taskforce einen monatlichen Jour fixe. Bei diesem Meeting verteilen Sie alle anfallenden Aufgaben an die einzelnen Teammitglieder. Beim folgenden Jour fixe werden die Lösungen dann besprochen.

Ja, es stimmt: Die Suche nach der richtigen Agentursoftware ist zeit- und arbeitsintensiv. Aber glauben Sie mir: Mit der passenden Lösung werden die Prozesse in Ihrer Agentur so viel besser, dass auch Ihre Mitarbeiter glücklicher werden. Und keine Angst: Sie bekommen das hin. Ich garantiere Ihnen: Wenn Sie ein zuverlässiges Team auf das Projekt ansetzen, sich kontinuierlich um das Thema kümmern und sich nicht blindlings für eine beliebte Lösung (wie aus der obigen Top 3) entscheiden, werden Sie rückblickend sagen, dass es das alles wert war.

 

Falls Sie auf der Suche nach einer passenden Agentursoftware für Ihr Unternehmen sind und nicht weiterkommen, unterstütze ich Sie gerne bei Ihrem Projekt. Das gilt auch für jeden Prozess, den es in Ihrem Hause zu digitalisieren gilt.

 

Wer hat Angst vorm Audit? (Teil 2)

29. Juli 2016
von Marco Peters

In den letzten Wochen und Monaten habe ich einige Audits begleitet. Es ist spannend, zu beobachten, wie dieses Thema immer mehr an Fahrt gewinnt. Das ist besonders bei solchen Kunden der Fall, die sich bisher nicht so intensiv mit dem Thema Informationssicherheit beschäftigt haben – weil sie es auch nie zwingend mussten. 

Ein Beispiel sind Agenturen. Von den Kreativhäusern erreichen uns immer mehr Anfragen wie diese: „Bei uns steht ein Audit an und wir wissen nicht, was nun zu tun ist.“ 

Diese vermehrt auftretenden Anfragen kommen nicht von ungefähr. Immer mehr Agenturen werden durch ihre Auftraggeber in Form eines „Lieferanten-Audits“ auf ihre Eignung überprüft – insbesondere solche, die für deutsche Automobilhersteller arbeiten. Denn gerade bei technischen Entwicklungen wird höchster Wert auf Informationssicherheit und Geheimhaltung gelegt.

Deshalb mein Tipp für jede Agentur, die mit diesen oder ähnlichen Kunden zu tun hat: Setzen Sie sich mit dem Thema Informationssicherheit auseinander! Wenn Sie dies getan haben, empfehle ich noch einen weiteren Schritt: Kümmern Sie sich um ein Information Security Management System (ISMS).

Fragen über Fragen

Ich kann mir vorstellen, dass Ihnen nun folgende Fragen unter den Nägeln brennen:

  1. Was ist denn ein ISMS?
  2. Was muss man bei der Implementierung eines ISMS berücksichtigen?
  3. Wann reicht ein „Mini-ISMS“ aus?
  4. Und was hat das alles mit dem VDA-Fragebogen aus Teil 1 zu tun?

Ein Audit – mehr als eine Unterschrift

Im ersten Teil dieser Blogreihe habe ich bereits erklärt, was ein Audit überhaupt ist. Noch einmal in der Kurzfassung: 

Ein Audit ist ein Verfahren, bei dem die unternehmensinternen Prozesse mit Blick auf die Informationssicherheit untersucht werden.

Ich habe im ersten Teil außerdem darauf hingewiesen, dass es bis vor wenigen Jahren ausreichte, seinen Kunden die Einhaltung von Sicherheitsrichtlinien durch eine Unterschrift zu bestätigen. 

Doch seit rund zwei Jahren sieht das anders aus: In Deutschland gibt es bereits Automobilhersteller, die von ihren Partnerfirmen, also natürlich auch von ihren Agenturen, ab einer Umsatzhöhe von einer Millionen Euro die ISO-27001-Zertifizierung fordern (oder zumindest ein ISMS, das den geforderten Standards gerecht wird – dazu aber später mehr). 

Das große Problem ist, dass die meisten Auftragnehmer nicht genau wissen, was sie da eigentlich unterschreiben. Während früher also eine bloße Unterschrift als Nachweis für das Vorhandensein einer ISO-Zertifizierung oder eines durchdachten ISMS ausreichte, wird die Einhaltung der Sicherheitsstandards (Maßnahmen) heute direkt beim Auftragnehmer überprüft – im Rahmen eines Audits. Sollte dabei herauskommen, dass die vereinbarten Sicherheitsstandards nicht eingehalten werden, besteht akuter Handlungsbedarf!

ISO und ISMS: Was ist was – und wo ist der Zusammenhang? 

Ganz einfach: Im Rahmen einer ISO-27001-Zertifizierung wird überprüft, ob ein Unternehmen ein ISMS hat, das die ISO-Anforderungen erfüllt. Der Name kann allerdings ganz schön verwirren: Aufgrund des Wörtchens „System“ im Namen denken viele, ein ISMS sei eine schicke Software-Lösung, die sich vollautomatisch um die Einhaltung der ISO-Richtlinien kümmert. Weit gefehlt! Ein ISMS ist vielmehr eine festgeschriebene und gelebte Strategie, die die Informationssicherheit im Unternehmen gewährleisten soll. Also zusammengefasst:

In einem ISMS sind Unternehmensprozesse definiert und Richtlinien festgelegt. Ein ISMS fungiert als Leitfaden für alle Beteiligten. 

Da hängt viel dran – denn ein ISMS muss gemanagt und durch die gesamte Belegschaft, die Chefetage sowie externe Dienstleister gelebt werden. Zudem sollte es einen Informationssicherheitsbeauftragten geben, der sich um das ISMS und dessen Einhaltung kümmert. 

Gesammelt werden die selbst festgelegten Standards in einer sogenannten „Sicherheitsleitlinie“. Wenn Sie das Wort in die Google-Suche eingeben, werden Sie viele Sicherheitsleitlinien finden, die Unternehmen öffentlich gemacht haben. Hier können Sie sich Inspiration holen! 

Nicht immer einfach: ISMS rechtfertigen 

Immer wenn ich das Thema ISO 27001 auf den Tisch bringe, stoße ich nicht gerade auf Begeisterung. Alle denken direkt an IT-Sicherheit – und genau dieses Thema macht den meisten keinen großen Spaß. 

Dabei handelt es sich bei der ISO 27001 überhaupt nicht um ein IT-Sicherheitszertifikat! 

Ein ISMS lässt sich selbst völlig ohne den Einsatz von Computern einführen. Nämlich bei allen Unternehmen, die ausschließlich mit Papier, Ordnern und Tresor arbeiten. So arbeiten zum Beispiel viele Steuerberater oder Richter.

Ein ISMS hat eben nicht immer (und wenn, dann nicht nur) mit IT-Sicherheit zu tun. Hier ist vielmehr festgelegt, wie in einem Unternehmen mit sensiblen Informationen umgegangen werden soll und muss. Ob am PC oder auf Papier – das spielt dabei eine eher untergeordnete Rolle.

Die hohe Kunst bei der Implementierung eines ISMS ist, alle Beteiligten von der Einhaltung der selbst auferlegten Sicherheitsstandards zu überzeugen. Die wichtigste Aufgabe heißt also: alle Mitarbeiter ins Boot holen. 

Tipp: Das geht am besten im Rahmen eines Events. Dem Team muss verdeutlicht werden, was für Ziele in Angriff genommen werden und warum die Einhaltung der Sicherheitsstandards dabei so wichtig ist. Das beste Argument: Die Einhaltung der ISMS-Richtlinien bedeutet Sicherheit – auch beim Kunden. Der vergibt dann gerne einen Auftrag, weil er Vertrauen in die Arbeit der Agentur hat.

Maßnahmenkatalog vs. ISO-Zertifizierung

Warum eine ISO-Zertifizierung Sinn ergibt, habe ich im ersten Teil bereits erklärt. Gerade Agenturen (und andere Dienstleister), die für Automobilkonzerne tätig sind, müssen ISO-zertifiziert sein, um Aufträge zu bekommen. 
ABER: Mit dieser Zertifizierung ist es nicht getan! 

Die Agentur bekommt vom Kunden zusätzlich einen Maßnahmenkatalog vorgelegt. Hierin sind die vom Verband der Automobilindustrie (VDA) festgelegten Maßnahmen verankert. Dazu gehören zum Beispiel:

  1. Die Zwei-Faktor-Authentifizierung für alle Computer
    Das ist der Identitätsnachweis eines Nutzers mittels der Kombination zweier verschiedener Komponenten. In Agenturen kommt dazu meist ein externer USB-Schlüssel zum Einsatz (z. B. der YubiKey).
  2. Verschlüsselte Festplatten
    Alle Rechner und Server müssen verschlüsselt sein.
  3. Verschlüsselung von E-Mails
    E-Mails müssen je nach Klassifizierung („intern“, „vertraulich“, „geheim“) verschlüsselt sein.
  4. Persönliche Passwörter und 90-Tage-Passwort-Änderung
    Jeder Benutzer hat ein eigenes Passwort, das kein anderer wissen oder einsehen darf (auch nicht in einer in Agenturen üblichen Passwortliste). Der Benutzer muss dieses Passwort außerdem alle 90 Tage ändern!

Wenn Sie sich also die Zeit genommen haben, ein ISMS einzuführen und zertifizieren zu lassen (das dauert etwa sechs bis zwölf Monate) und keine Kosten gescheut haben (mit 50 000 bis 100 000 Euro müssen Sie rechnen), dann haben Sie eine tolle Basis für Ihre Unternehmenssicherheit geschaffen. Die drei oben genannten und vom VDA geforderten Maßnahmen müssen dennoch verfolgt werden. Denn ein ISMS ist zwar eine Basis, nicht aber ein automatischer Garant für die Einhaltung der vier genannten Maßnahmen. 

Ein Mini-ISMS tut es auch

Im ersten Teil dieser Blogreihe habe ich Ihnen von dem ISA-Fragebogen berichtet. Mithilfe dieses Fragebogens werden verschiedene Sicherheitsszenarien abgefragt. Diese lassen sich mit einem durchdachten ISMS erfüllen – auch ohne ISO-Zertifizierung. Es muss also nicht immer ein ISO-zertifiziertes ISMS sein. 

Viele unserer Solutionbar-Kunden (zum Beispiel Agenturen), die für Automobilhersteller tätig sind, vertrauen auf ein – wie ich es nenne – „Mini-ISMS“. Diese Kunden haben mit unserer Hilfe Richtlinien erstellt, Sicherheitsschulungen abgehalten, Prozesse zur kontinuierlichen Verbesserung eingeführt und natürlich die vom VDA vorgegebenen Maßnahmen umgesetzt. Allein dadurch gelang es uns, die 0er- und 1er-Bewertungen im ISA-Fragebogen in 3er- und 4er-Bewertungen zu verwandeln (Zur Erinnerung: Die Bewertungsskala reicht von 0 bis 5, wobei 5 die beste Bewertung ist.). Bei den letzten drei Audits, die wir begleiten durften, hat das Mini-ISMS komplett ausgereicht, um die Auftraggeber unserer Kunden zufriedenzustellen. Die Kosten liegen bei etwa der Hälfte eines zertifizierten ISMS.

Das Schöne an einem Mini-ISMS: Es schafft Struktur, Vertrauen und zeigt Kompetenz. Sollte irgendwann eine ISO-Zertifizierung gefordert sein, kann auf die bereits ergriffenen Sicherheitsmaßnahmen aufgebaut werden – es wird also nicht bei Null gestartet. So macht es auch einer unserer Kunden, den wir im letzten Jahr auf ein Mini-ISMS umgestellt haben: Er lässt sich nun auch ISO-zertifizieren.

Die Probe aufs Exempel: Das interne Audit

Durch unser Knowhow und das Fachwissen, das wir im Rahmen der zuletzt begleiteten Audits weiter ausbauen konnten, können wir nicht nur unsere Solutionbar-Kunden, sondern auch Nicht-Kunden noch besser auf bevorstehende Audits vorbereiten. Dazu nutzen wir das Format „internes Audit“. Das ist übrigens Bestandteil eines jeden ISMS. Als Faustregel gilt: 

Mindestens einmal im Jahr sollte ein internes Audit durchgeführt werden.

Ein internes Audit ist die perfekte Vorbereitung auf das „richtige“ Audit mit dem Ziel der Zertifizierung. Steht ein Audit bevor oder wird eine Zertifizierung angestrebt, ist das interne Audit das Mittel der Wahl, um Sicherheitslücken auszumachen und im Anschluss zu beheben.