Kategorie: tisax

Don’t panic: Auf höchster Sicherheitsstufe arbeiten – im Nextwork Safe Room.

Zwischen Münchner Museumsquartier und Altem Botanischem Garten haben wir diesen Sommer unser neues Office eröffnet. Aber nicht nur für uns allein: In unseren Workshop-Spaces sind Gäste, Kunden und AcademyTeilnehmer herzlich willkommen. Wer temporär einen Arbeitsraum mit höchster Sicherheitsstufe braucht, kann jetzt außerdem einen unserer nach VDA ISA zertifizierten „Safe Rooms” anmieten. 

Absolut machbar – aber nicht ohne: Geheimfreigabe

Ja, eine TISAX-Zertifizierung bedeutet Arbeit. Aber in der Regel lassen sich sämtliche Maßnahmen aus dem VDA-ISA-Anforderungskatalog in jedem Büro umsetzen – wie man an unserem eigenen Office sehen kann. Man kann es sogar so umsetzen, dass man auch nach erfolgreicher Zertifizierung noch gern ins Office geht. Trotzdem stimmt es auch, dass eine „Geheim”-Freigabe zur Sicherheits-Kür gehört – und vor allem für Unternehmen sinnvoll ist, die regelmäßig an Projekten mit höchster Sicherheitsstufe arbeiten. Was aber passiert, wenn ich normalerweise auf der Sicherheitsstufe „vertraulich” arbeite und nur für ein kurzfristiges Teilprojekt die Stufe „geheim” erfüllen muss? Oder wenn mein Unternehmen nur aus einem fünfköpfigen Team besteht, das über drei Monate an einem als geheim eingestuftem Projekt arbeiten möchte? Für eine temporäre Zusammenarbeit alles umzukrempeln, Wände einzureißen, Sicherheitstüren einzubauen oder ein getrenntes Netzwerk einzurichten, steht da in keinem Verhältnis. 

Sorgenfrei am Geheimprojekt arbeiten: im Nextwork Safe Room 

Weil wir in unserem Datenschutz- und Informationssicherheitsalltag solchen Fällen immer wieder begegnet sind, entstand die Idee für einen Nextwork Safe Room: Dabei handelt es sich um Räume in unserem eigenen Office, die den Vorgaben des VDA ISA für einen „sehr hohen Schutzbedarf” entsprechen – und die von externen Projektteams jederzeit temporär angemietet werden können.

Weil wir in unserer Nextwork Safe & Secure Approach konsequent sind, ist alles, was wir tun, auf Datenschutz und Informationssicherheit ausgelegt. Für die Safe Rooms bei uns in der Sophienstraße 20 bedeutet das zum einen physische Sicherheit: Alle Bestimmungen rund um Sicht-, Schall-, Zutritt-, Brand- oder Einbruchschutz sind für die höchsten Sicherheitsanforderungen erfüllt. Aber natürlich haben wir auch in Sachen IT ein wasserfestes Konzept, das den Anforderungen für geheime Projekte entspricht.  Für ein Team, das sich bei uns einmietet, bedeutet das: Wer unsere Safe Rooms nutzt und sich an ein paar Spielregeln hält, dem stehen die Türen zu geheimen Projekten quer durch die Automobilindustrie offen.

München, Hamburg, Hannover: Herzlich willkommen externe Teams! 

Wer möchte, der kann: Wir vermieten unsere Safe Rooms an Münchner Unternehmen, die für die Geheimhaltungsstufe „geheim” zertifiziert sind und zeitweise ein externes Projektbüro brauchen. Aber auch Projektteams aus anderen Regionen Deutschlands sind gern gesehen: Wir teilen unseren Office Space jederzeit mit Unternehmen, die hier bei uns keinen eigenen Standort haben, auf die aber ein Projekt in München wartet. 

Nextwork Builders: für alle, die selbst bauen wollen

Abschließend sei angemerkt: Wer doch regelmäßig an Projekten mit höchster Sicherheitsstufe arbeitet, aber noch keinen Ansprechpartner hat, der sich mit dem Bau des entsprechenden Projektbüros auskennt, der kann sich ebenfalls an uns wenden. Denn wir haben das Know-how, um richtig zu beraten – sowie eigene Handwerker, die besprochene Maßnahmen direkt vor Ort umsetzen können. 

Klingt interessant? Dann meldet euch für weitere Informationen.

Neues Nextwork-Office: Zertifiziertes Arbeiten in Open Space, Safe Room und Workshop-Räumen

Nextwork ist seit Juli 2019 am neuen Standort im Münchner Museumsquartier. Ebenso frisch gibt es für das Office ein TISAX®-Prüfergebnis. Auf den ca. 400 Splitlevel-Quadratmetern haben die Sicherheits- und IT-Berater sich selbst eine Ideallösung gebaut: Als Beispiel dafür, dass sich eine moderne, offene Arbeitskultur mit den Anforderungen von Datenschutz und Informationssicherheit verbinden lässt.

New Work oder „Wie, Ihr habt keinen Serverraum mehr?“

Leitmotiv für das neue, moderne Office sind New Work-Prinzipien: offene Atmosphäre im Open Space mit großen Fenstern und Blick in den Alten Botanischen Garten. Flexible Arbeitsplätze für alle Besprechungssituationen, kein Chefbüro, Clean Desk, papierloses Büro und Workshop-Räume für das Academy-Programm. Einen Serverraum wird der aufmerksame Betrachter vergeblich suchen – die IT- und Sicherheitsberater von Nextwork greifen ausschließlich auf Cloud-Dienste zurück. „In der ursprünglichen Planung des Vermieters waren vierzig Bodentanks und eine strukturierte Cat.7-Verkabelung mit 48 Netzwerkdosen vorgesehen. Die haben wir alle rausgeschmissen, da wir ausschließlich kabellos (Telefon und Netzwerk) arbeiten“, erzählt Marco Peters, Gründer und Geschäftsführer von Nextwork.

Proof of Concept: Die Geheimfreigabe

Direkt nach dem Einzug hat Nextwork den Sicherheits-Ritterschlag erhalten: die Geheimfreigabe, das höchste Level an Schutz für Informationen. Für die Berater war es ein wertvoller Selbstversuch und eine Frage der Glaubwürdigkeit, nach über 50 erfolgreich abgeschlossenen Projekten den Zertifizierungsprozess noch einmal selbst zu durchlaufen. Die mustergültige Umsetzung des Zonenkonzepts mit Sichtschutz, Schallschutz, Zutrittsschutz, Zonenabsicherung, Besuchermanagement, Raumüberwachung, Brandschutz und Einbruchschutz ist der Beweis, dass es für viele Probleme, die Unternehmen haben und die oft mit der Kultur „clashen“, eine gute Lösung gibt. „Jetzt können wir unseren Kunden und Workshop-Teilnehmern best practice zeigen – in unserem eigenen Office, sozusagen als Zertifizierungs-Showroom“, freut sich Marco Peters. TISAX und die erzielten Prüfergebnisse sind nicht für die breite Öffentlichkeit bestimmt. Unternehmen, die bei ENX registriert sind, können die Details der AL3-Prüfung von Nextwork im ENX-Portal einsehen.

Zu vermieten: TISAX kompatibles Co-Working im Nextwork Safe Room 

Die Erfahrungen aus diesem Prozess zahlen auf das sowieso schon breite Erfahrungsrepertoire der Berater ein: „Wir haben in unserer Arbeit in den letzten Jahren einen Paradigmenwechsel vollzogen. Heute ist alles was wir tun „Safe & Secure“. Egal, ob IT-Infrastrukturen, Prozesse oder bauliche Themen.“ Aus diesem Ansatz ist dann auch eine neue Idee entstanden: im neuen Office vermietet Nextwork ab sofort Deutschlands ersten Safe Room nach VDA ISA als Projektbüro für Kunden, die für Geheimprojekte keinen eigenen Geheimraum (Hoch-Risiko-Zone) haben. „Einige unserer Kunden können oder wollen die hohen technischen und baulichen Anforderungen nicht umsetzen. Meist geht es auch nur um kurze Spitzen in einem Projekt, an denen die Informationen geheim sind. Für diese Zeiträume können Kunden nun einen Safe Room bei uns mieten.“ Unternehmen die einen Nextwork Safe Room mieten, haben dadurch optimale physische Sicherheit.
„Wenn unsere »Safe Room«-Mieter eine Zertifizierung (ISO27001, TISAX, o.ä.) angehen möchten, haben sie für die Räume die besten Voraussetzungen. Unsere Mieter müssen sich somit für ihre TISAX-Prüfung keine großen baulichen Maßnahmen überlegen, sondern können die vorhandenen Maßnahmen übernehmen.“

Gewusst wie: Schulungen, Seminare und Workshops vor Ort 

Wissensvermittlung ist ein ganz zentraler Aspekt für Nextwork, nicht nur bei der Ausbildung von Informationssicherheitsbeauftragten. „Hilfe zur Selbsthilfe” ist das Credo der Sicherheits- und IT-Berater: „Datenschutz und Informationssicherheit sind längst fester Bestandteil unseres Alltags – sie wirken sich auf jeden Einzelnen und auf die ganze Unternehmenskultur aus. Deshalb kann man die Themen nie komplett outsourcen. In unseren Schulungen vermitteln wir, so leichtfüßig und unterhaltsam wie möglich, wesentliche Zusammenhänge und praktische Tipps für das daily business. „Damit unsere Kunden auch ohne uns handlungsfähig bleiben und nicht wegen jeder Frage zu uns kommen müssen” erklärt Marco Peters. Zusätzlich zur Online Academy, in der virtuelle Schulungen jederzeit von überall aus verfügbar sind, haben die Berater von Nextwork dafür jetzt auch großzügige Workshopräume in der echten Welt – und freuen sich darauf, Kunden für Präsenzschulungen ins eigene Office einladen zu können.

Mehr Infos:
Link zu NEXTWORK
Link zum ENX-Portal

Schulungsplattform »nextwork academy« rund um DSGVO und TISAX ist online

Mit eigenen Publikationen und Workshops zu Datenschutz und Informationssicherheit hat nextwork bereits eigene Formate zum Wissensaustausch etabliert. 2019 setzt das Unternehmen einen neuen Meilenstein – und teilt sein Experten-Kowhow ab sofort auf academy.nextwork.de: einer eigenen Schulungsplattform rund um DSGVO, ISO 27001 und TISAX. Für alle, die sich selbst informieren oder ihre Mitarbeitenden unkompliziert schulen wollen.

Datenschutz und Informationssicherheit gehören jetzt zum Alltag – und funktionieren nur, wenn sie in die Unternehmenskultur integriert werden.

„Datenschutz und Informationssicherheit sind keine Projekte, die ein Unternehmen irgendwann abschließen kann“, sagt Marco Peters, Gründer und Geschäftsführer von nextwork. „Diese Themen gehören ab jetzt zum Alltag jedes Unternehmens und werden auch nicht mehr verschwinden. Erfolgreich meistern kann man Datenschutz und Informationssicherheit nur, wenn sie langfristig in die Unternehmenskultur implementiert und von allen Mitarbeitenden gelebt werden.“ Nach mehreren Jahren als externe Informationssicherheitsbeauftragte für mittelständische Unternehmen und Konzerne in ganz Deutschland wissen die Experten von nextwork genau, wovon sie sprechen. Deshalb wissen sie auch: hat ein Unternehmen Maßnahmen zur DSGVO umgesetzt oder eine TISAX-Zertifizierung erhalten, ist ein wichtiges Etappenziel erreicht. Damit ist die Arbeit aber nicht getan, denn nun geht es darum, die Richtlinien im Alltag umzusetzen und dauerhaft einzuhalten. Dafür müssen alle Mitarbeitenden ins Boot geholt werden – und zwar nicht nur moralisch, sondern auch inhaltlich. Und genau hier kommen die Schulungen ins Spiel.

Ob fünf oder 50 000 Mitarbeitende: Mit Online-Schulungen erreicht man alle. Auch an unterschiedlichen Standorten gleichzeitig.

In der Praxis stehen Geschäftsführung sowie Datenschutz- und Informationsbeauftragte früher oder später vor der Herausforderung, alle ihre Mitarbeitenden schulen zu müssen. „Bei einem Unternehmen mit zwanzig Mitarbeitern mag die Organisation noch recht einfach sein – in einem Unternehmen mit einhundert Menschen wird es schon schwierig”, so Philipp Brändl, Berater für Informationssicherheit bei nextwork. „Auch die Fluktuation spielt eine Rolle: Jedes Mal, wenn neue Mitarbeitende ins Unternehmen eintreten, müssen auch diese
von Grund auf informiert werden. Weder wir noch unsere Kunden können diesen großen Bedarf durch Präsenzschulungen abdecken.“ Als lösungsorientiertes Unternehmen mit Wurzeln in der IT war dem Team von nextwork schnell klar, dass eine Online-Schulungsplattform der richtige Weg ist. Genauso schnell fanden die Experten aber auch heraus: Eine fertige Lösung, die ihrer eigenen Arbeitsweise entspricht, gab es dafür nicht. Also baute sich nextwork kurzerhand selbst eine Academy.

Die nextwork academy: nutzerfreundlich aufgebaut, erklärt und visualisiert

„Viele Schulungsmöglichkeiten, die man derzeit auf dem Markt findet, sind sehr komplex, kostenintensiv und visuell nicht so aufbereitet, wie wir und unsere Kunden uns das vorstellen“, so Marco Peters. „Was die nextwork academy auszeichnet, ist, dass sie komplett aus der Nutzerperspektive gedacht ist.“ Entsprechend ist jede Schulung so aufgebaut, dass sowohl Einsteiger als auch Verantwortliche die Themen verstehen – und dann vor allem auch in der Praxis umsetzen können. Zu der Leichtfüßigkeit, mit der die Videos daherkommen, tragen nicht nur viele intern entwickelte Grafiken bei, sondern auch eine authentische Tonspur, bei der auch mal ein Schmunzeln erlaubt ist. Datenschutz und Informationssicherheit sind auf den ersten Blick keine extrem attraktiven Themen. Mit der nextwork academy machen sie aber trotzdem Spaß – ein bisschen zumindest.

Mehr Infos bei nextwork:
www.nextwork.de/academy

»Cool trotz Zertifizierung«: Wie man Zertifizierungen aller Art richtig angeht »must see«

Gerade habe ich einen Talk entdeckt, der sich mit einer Sorge beschäftigt, die auch wir gut von unseren Kunden kennen, nämlich: Was macht man als agiles Unternehmen, wenn man sich plötzlich mit Datenschutz, Informationssicherheit, ISO 27001 oder TISAX-Normen auseinandersetzen muss? Droht das Ende der Selbstbestimmung? Ein Leben a la René Goscinny und Albert Uderzo, »Haus, das Verrückte macht«, auf der endlosen Suche nach Passierschein A 38?

Hans Schmill, Mitglied der Geschäftsführung der abat AG, ist der lebende Beweis, dass es so nicht sein muss. In seinem Talk auf dem intrinsify pathfinder festival 2018 erzählt er, wie man Richtlinien leben und in die Unternehmenskultur integrieren kann – ohne eigene Überzeugungen wie »Vertrauen statt Normen« und »Richtlinien statt Regeln« komplett an den Nagel zu hängen. Und er beschreibt, wie man die eigene Souveränität aufrecht erhält, indem man eigene Prozesse erarbeitet und internes Wissen zum Thema aufbaut.

Also nicht warten, sondern direkt hier anschauen:
https://www.youtube.com/watch?v=pjvJaGZWVJo

 

 

BU: Datenschutz kann sogar ganz hübsch sein: Sieht aus wie eine Nachspeise, sind in Wirklichkeit aber gewissenhaft geschredderte Daten

After Work Talk am 08.11.2019: Schneller Einstieg zu TISAX-Zertifizierungen

»Dieser Talk bietet einen leichtfüßigen Einstieg ins Thema TISAX® – und einen Überblick über die wichtigsten Fragen, Hürden und To Dos.« Marco Peters

Für wen ist dieser Vortrag gedacht?

Für Macher, die das Paragraphen-Korsett sprengen und das Thema verstehen wollen.
Für Visionäre, die erkannt haben, dass sie mit sicheren Prozessen ihr Unternehmen zukunftsfähig machen können.
Für IT-Verantwortliche, die ihrem Fachwissen eine neuen Kontext und ihrer Argumentation eine neue Schlagkraft verleihen wollen.
Für Personaler, die das ungute Bauchgefühl loswerden und Klarheit haben wollen, ob ihre Prozesse sicher sind.
Für Geschäftsführer oder Einkäufer, die verstehen wollen, warum das alles so viel kostet.

Der Vortragsort

TISAX ganz anschaulich: Unser Office verfügt über eine Geheimfreigabe, das höchste Level an Schutz für Informationen. Besucher unseres Workshops können sich also in diesen Vortrag nicht nur theoretisch über das Thema TISAX informieren; Sie können sich auch vor Ort anschauen, wie man heute ein Zonenkonzept mit Sichtschutz, Schallschutz, Zutrittsschutz, Zonenabsicherung, Besuchermanagement, Raumüberwachung, Brandschutz und Einbruchschutz mustergültig umsetzt – als Beispiel dafür, dass sich eine moderne, offene Arbeitskultur mit den Anforderungen von Datenschutz und Informationssicherheit verbinden lässt.

Zur Anmeldung (kostenfrei) via XING-Events

Quick Guide DSGVO und TISAX: „don’t panic and get certified“

“Seit rund zwei Jahren beschäftige ich mich täglich mit TISAX und der DSGVO. Ich reise quer durch Deutschland, spreche mit großen und kleinen Kunden, leite Schulungen und halte Vorträge zu den Themen Datenschutz und Informationssicherheit. Mein Quick Guide soll jedem, den Einstieg ins Thema erleichtern – und einen Überblick über die wichtigsten Fragen, Hürden und To Dos bieten.”


 

don’t panic and get certified
Quick Guide DSGVO und TISAX.


Erfahrungen aus 50 Projekten mit 100% Erfolgsquote.
Veröffentlicht: 28.11.2018, Verlag: BoD, Norderstedt
ISBN: 9783748181934 (Erhältlich überall wo es Bücher gibt)

 

 


Warum dieser Quick Guide?

Mein Quick Guide soll jedem, der sich mit der DSGVO und / oder TISAX beschäftigt, den Einstieg ins Thema erleichtern – und einen Überblick über die wichtigsten Fragen, Hürden und To Dos bieten.

Für wen ist dieser Quick Guide gedacht?

Kurz gesagt: Für alle, die konkret wissen wollen, wie sie ihr Unternehmen für die DSGVO und / oder TISAX fit machen. Für Unternehmen mit einem bis hin zu 10.000 Mitarbeitenden – denn die DSGVO betrifft alle.

Für die Menschen in diesen Unternehmen. Darunter CEOs, Vorstände, IT- und Personalchefs, Projektleiter sowie Kundenverantwortliche. Sie sind die Entscheider und Vertreter des Themas Datenschutz- und Informationssicherheit.

Für alle, die für die Automobilbranche arbeiten: Zum Beispiel Motorenentwickler, Ingenieurbüros, KfZ-Klimatechniker, Filmproduktionen, Event- und Kreativagenturen, Prototypenbauer und -tester oder Stahlbauunternehmen.

Für alle, die in ihrer Branche einen gemeinsamen Standard definieren wollen. Denn hat man einmal ein TISAX Zertifikat, ist man in puncto Datenschutz und Informationssicherheit ganz grundsätzlich gut aufgestellt.

Wo kann ich den Quick Guide kaufen?

Wer meinen Quick Guide bestellen möchte, findet ihn natürlich bei Amazon & Co. Aber ich würde mich noch mehr freuen, wenn ihr das Buch bei eurem lokalen Buchhandel bestellt. Das könnt ihr via genialokal.de auch online tun.

Wie kann ich mich zu TISAX fortbilden?

Mein Beratungsunternehmen nextwork bietet ab Januar 2019 Seminare und Workshops zu TISAX in mehreren deutschen Städten an. Jeder Workshop-Teilnehmer erhält nach erfolgreicher Prüfung ein Teilnahmezertifikat.
Mehr Informationen zu den TISAX-Workshops gibt es unter:
www.nextwork.de/tisax-workshops

 


Mehr Infos zu TISAX-Beratung finden Sie unter www.nextwork.de/tisax

Vergesst Eure Passwörter! Das Ausdenken, Merken und Verwalten übernimmt jetzt der Passwort Manager

Gastbeitrag von André Willich

Wie die meisten Dinge, hat auch die Sache mit den Passwörtern ganz harmlos angefangen. Früher hatte man ein Passwort, das man sich selbst aussuchen durfte. Entsprechend wählte man etwas, was man sich leicht merken konnte, zum Beispiel Omas Geburtstag oder den Namen von Familien-Dackel Waldi – und im Großen und Ganzen war die Welt damit in Ordnung.

Wie so viele Dinge, ist das Thema mit zunehmender Digitalisierung der Arbeitswelt aber immer komplexer geworden. Um Zugänge, Daten und Informationen zu schützen, reichte ein Passwort plötzlich nicht mehr aus, schon gar keine simple Zahlen- oder Buchstabenfolge. (Wobei an dieser Stelle gesagt sei: 1111 war schon immer ein schlechtes Passwort. Genauso wie Kennwörter auf Post-its am Rechner und unter der Tastatur noch nie eine gute Idee waren). Und spätestens seit DSGVO und TISAX ist außerdem fest verregelt, dass Passwörter sich permanent verändern müssen.

Aber nicht nur im Business-Leben, auch privat hat das Thema Passwort Überhand genommen – immerhin tun wir immer mehr Dinge im Internet, die wir früher persönlich erledigt haben. Einkaufen, Banking, Fernsehen oder Dating: jeder Dienst und jedes einzelne Portal verlangt nach einer eigenen Registrierung und nach einem eigenen Passwort.

Rechnet man alles zusammen, kommt man heute leicht auf 50-100 Passwörter pro Kopf. Aber: Wie soll man sich in diesem Passwort-Labyrinth überhaupt noch zurecht finden? Und: Wofür jetzt eigentlich nochmal der ganze Aufwand?

54321? Meins! – Schwache Passwörter kann man sich gleich sparen

Passwörter entschlüsseln kann heute sogar ein iPhone – und für einen wesentlich leistungsstärkeren Computer ist es erst recht kein Hexenwerk. Jedes Passwort ist knackbar: Im Prinzip muss der Rechner “nur” so lange alle möglichen Buchstaben-, Zeichen- und Zahlenkombinationen durchprobieren, bis er den gewünschten Code entschlüsselt hat. Sogenannte Rainbow Tables – Datenstrukturen, die ursprünglich für die Wiederherstellung von Passwörtern innerhalb der IT-Forensik entwickelt wurden – machen dem Computer die schnelle und speichereffiziente Suche sogar noch leichter. Weshalb Rainbow Tables auch gern von Passwort-Crackern verwendet werden.

Komplexität schützt – Geheime Technologien und private Daten

Im Umkehrschluss heißt das: je komplexer das Passwort, desto sicherer ist es –  denn desto länger braucht der Rechner, um alle möglichen Kombinationen durch zu testen. Konkretes Beispiel: Jemand, der Firmengeheimnisse oder auch private Bankdaten, Flugmeilen etc. stehlen will, wird abwägen, ob er den Rechner drei Tage oder drei Jahre rechnen lässt, um an die gewünschte Information zu kommen. Angesichts von drei Jahren werden die meisten Hacker vermutlich das Handtuch werfen.

Gummibaer!2018 – Ist das jetzt ein starkes Passwort?

Ganz grundsätzlich gilt: Ein sicheres Passwort besteht aus mindestens 12 Zeichen, enthält Buchstaben in Groß- und Kleinschreibung, Zahlen und Sonderzeichen. Gummibaer!2018 ist in jedem Fall ein besseres Passwort als Gummibaer alleine. Das beste Passwort besteht allerdings aus einer rein zufälligen Zahlenfolge, also etwa xT34$”4g812ß. Nun ist es nicht besonders inspirierend, sich solche Kennwörter  auszudenken – und so gut wie unmöglich, sie sich zu merken. Und hier kommt der Passwort Manager ins Spiel.

Kommt nur, ihr Passwörter! – Der Passwort Manager ist der Herr der Codes  

Ein Passwort Manager ist ein Programm, das automatisch sichere Passwörter generiert und speichert. Für jedes einzelne Nutzerkonto – von SAP über wordpress bis LinkedIn –  erstellt der Passwort Manager ein jeweils sicheres Kennwort, das er sich dauerhaft merkt. Somit entkommt man der Krux, sich immer wieder selbst zahllose kryptische Codes auszudenken. Und kommt auch nicht in die Versuchung, sich die komplizierten Kennwörter doch heimlich aufzuschreiben.

Notizen, PINs, Accounts – Der Passwort Manager kann nicht nur Codes

Der Passwort Manager hat aber noch weitere Talente. Zum Beispiel kann er zwischen Einzel- und Gruppen-Accounts unterscheiden. Man kann also Zugänge für einzelne Mitarbeiter schaffen, aber z.B. auch Projekt-Accounts anlegen, die nur für bestimmte Personen freigeschaltet sind.  

Ähnliches gilt übrigens auch für Zuhause: mit einem Familien-Account können alle Familienmitglieder den Passwort Manager nutzen, ohne dass die Halbstarken die gleichen Zugriffsrechte auf Amazon, Foodora oder Netflix haben wie die Eltern.

Und noch einen Vorteil hat der Passwort Manager: er merkt sich nicht nur Passwörter. Auch sichere Notizen, Kontonummern, Kreditkartendaten, PINs, Reisepass- oder Führerscheinnummer können hinterlegt werden und sind somit nicht nur sicher gespeichert, sondern jederzeit und von jedem Ort der Welt abrufbar.

Den richtigen finden – Welcher Passwort Manager macht den besten Job?

Natürlich gibt es inzwischen unterschiedliche Anbieter auf dem Markt. Besonders empfehlenswert sind 1Password und Enpass.

1Password ist der Platzhirsch unter den Passwort Managern. Das Programm ist leicht verständlich und bietet im monatlichen Mini-Abo ein sehr nutzerfreundliches Gesamtpaket an.

Für alle, die etwas technikaffiner sind, ist Enpass eine gute Alternative – ein etwas neueres Programm, das als Desktop-Version kostenlos und für die Nutzung auf dem Smartphone bereits gegen eine übersichtliche Einmalzahlung zu haben ist.

Back to the roots – Der Passwort Manager und die gute alte Zeit

Der Manager erledigt also die ganze Kennwort-Arbeit. Und bringt uns damit zurück in die gute alte Zeit: nämlich die des einen einzigen Passworts. Denn für den Passwort Manager braucht man ein Master-Keyword. Das sollte man sich sehr gut merken oder im Tresor einschließen. Um alles andere muss man sich dann aber keine Gedanken mehr machen.

 

Das Fazit: Zwei Jahre DSGVO & TISAX

Die größten Irrtümer – und wie man sie lösen kann

Datenschutz und Informationssicherheit. Beides Themen, die schon allein vom Wort her nach viel Arbeit und wenig Freude klingen – und für die sich daher kaum einer freiwillig interessiert. Dazu dann die reellen Anforderungen und die inhaltliche Komplexität, die im ersten Moment verwirren und verunsichern können. Aber Tatsache ist: niemand kommt mehr daran vorbei. Welche Erfahrungen gibt es mittlerweile aus DSGVO- und TISAX-Projekten? Welche Irrtümer und Fehler passieren oft? Und welchen Nutzen kann ich als Unternehmen daraus ziehen? Nach zwei Jahren intensiver Zusammenarbeit mit kleinen und großen Kunden in unterschiedlichen Branchen quer durch Deutschland ziehen wir ein erstes Fazit.

Was sind das eigentlich für Kunden?
Und in welcher Situation rufen sie bei uns an?

»Der Einkauf von unserem Automobilkunden fordert jetzt TISAX« oder »Unser Auftraggeber hat uns drei verschiedene Datenschutz-Fragebögen geschickt« – in dieser konkreten Situation kommen unsere Kunden auf uns zu, und oft ist auch schon Druck auf dem Kessel. Mittlerweile betrifft es quer durch die Bank alle Unternehmen und Branchen. Besonders auch für das Thema TISAX gilt: Wer mit der Automobilbranche zu tun hat, kann inzwischen täglich mit einem Aufruf zum Audit rechnen. Das Spektrum umfasst in unseren Projekten Motorenentwickler, Ingenieurbüros, KfZ-Klimatechniker, Event- und Kreativagenturen, Prototypenbauer und -tester sowie Stahlbau-Unternehmen. Auch alle Unternehmensgrößen sind dabei, von 10 bis mehreren Tausend Mitarbeitern ist alles dabei. TISAX und DSGVO betrifft alle, und alle müssen für sich die Frage beantworten, wo sie stehen, wie sie die Auflagen erfüllen und in die Unternehmenskultur integrieren können.

Was sind die fünf größten Irrtümer – und was die Lösung?

Mittlerweile gibt es viele Erfahrungswerte auf Seiten der Unternehmen. Dennoch ist es erstaunlich, wie viele Irrtümer und Fehleinschätzungen sich zu den Themen TISAX und DSGVO hartnäckig halten. Hier die beliebtesten fünf – und erst danach unser Lösungsansatz.  

  1. Es ist KEIN IT-Projekt

In 90% aller Fälle landen diese Themen beim IT-Chef. Dort ist das Thema allerdings ganz falsch aufgehängt. Das wird auch der IT-Chef merken, nachdem er sich die Anforderungen eines TISAX-Audits angeschaut hat. Er wird das Thema nicht lösen können. Informationssicherheit und Datenschutz betreffen jeden Bereichs des Unternehmens: die Geschäftsführung, Human Resources, die Legal Abteilung, Controlling und jeden einzelnen Mitarbeiter.

Lösung: Das Thema ist von Anfang an ein Chef-Thema und ist nur in der Geschäftsführung richtig aufgehängt. Um ihn herum baut ihr eine Task-Force auf, ein internes Team, das sich dauerhaft um die Aufgaben kümmert.

 

  1. Man kann es nicht outsourcen

Das Unternehmen kann diese Aufgabe nicht komplett an ein externes Unternehmen übertragen, das sich »damit auskennt« und sich »um alles kümmert«, nach dem Motto, »Macht, dass wir TISAX haben.« Es passiert jedoch nichtdestotrotz, vor allem, weil die Verantwortlichen am liebsten nichts mit der Sache zu tun haben wollen und schlicht und ergreifend genug anderes zu tun haben. Dies wird nicht funktionieren, denn TISAX und DSGVO haben zu viel mit den internen Prozessen zu tun.

Lösung: Statt das Thema »über den Zaun« zu einem externen Profi zu werfen, sucht die enge Zusammenarbeit und Verzahnung Eures Unternehmen mit einem spezialisierten externen Profi, sozusagen eine »innen-außen«-Kooperation.  

 

  1. Nein, eine Firewall reicht nicht

»Wir haben jetzt dieses Angebot für eine neue Firewall eingeholt – das wird das Thema ja dann lösen, oder?« (Originalzitat). Ähm – nein. Wir haben noch keine Firewall gesehen, die technische, organisatorische und bauliche Maßnahmen umsetzt – und dann auch noch die Mitarbeiter schult.

Lösung: Siehe 1.

 

  1. Ein Audit ist keine GAP-Analyse

Vor dem ersten Audit keine GAP Analyse zu machen, ist ein bisschen so, als würde ein Restaurant das Gesundheitsamt anrufen, ohne vorher die Küche zu putzen.

Lösung: Wenn ihr zusätzliche Prüfungsschleifen (und Kosten) vermeiden wollt, solltet ihr euch zuerst einen Überblick über den aktuellen Stand der eigenen Sicherheitsstandards verschaffen – mittels einer Gap-Analyse. So könnt ihr im Vorfeld schon Maßnahmen ergreifen, um die Anforderungen von TISAX und DSGVO zu erfüllen.

 

  1. Es ist nicht mal eben gemacht und es ist nie zu Ende

Ok, geschafft. Audit bestanden. Aber das größte Problem kommt zum Schluss. Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern sich nachweisbar verbessert werden – und das wird regelmäßig geprüft. Wenn man bei der viel härteren Re-Zertifizierung, in der Regel nach drei Jahren, keine Prüfprotokolle, Auditberichte und Dokumentation nachweisen kann, fällt man durch und verliert die Zertifizierung.

Lösung: Die interne, feste Taskforce kümmert sich gemeinsam mit dem ISB (Informationssicherheitsbeauftragten) und dem DSB (Datenschutzbeauftragten) ab sofort dauerhaft um das Thema, nicht, um es zu verwalten, sondern es weiter zu entwickeln.

Mehr Infos zu TISAX:

https://www.marcopeters.de/tisax/
https://www.nextwork.de/tisax

TISAX | Wie Unternehmen eine Zertifizierung erhalten

tisax

Was ist TISAX überhaupt?

Immer mehr Unternehmen, die für Kunden aus der Automobilindustrie arbeiten, brauchen  eine TISAX-Zertifizierung bzw. TISAX-Freigabe. TISAX ist der neue, von der Automobilindustrie definierte, Standard für Informationssicherheit. Die Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) haben einen eigenen Katalog erstellt, der von der internationalen Industrie-Norm ISO27001 abgeleitet und an die Anforderungen der Automobil-Welt angepasst wurde

Wer kann helfen?

Wir bei nextwork haben aus den bisherigen 50+ Projekten, die wir erfolgreich begleitet haben, einen Maßnahmenkatalog erstellt mit dem wir einfach und effektiv auf TISAX umrüsten. Dank dieses Know-hows können wir in den meisten Fällen auch den Auditierungsprozess beschleunigen.

Warum treten Unternehmen an uns heran?

Wir weisen unsere Kunden bereits seit Anfang 2017 darauf hin, dass das Thema TISAX® relevant wird. Nur wenige möchten von den neu auferlegten Regelungen nicht überrumpelt werden und haben bereits vorbereitende Maßnahmen getroffen, indem sie ein ISMS einführen. Die meisten melden sich allerdings erst bei uns, wenn die Einkaufsabteilung ihres Kunden die Aufforderung zum Audit auf den Tisch legt. Klar ist in diesem Fall schon richtig Druck auf dem Kessel. Oft erleben Unternehmen so eine Situation zum ersten Mal. Dann ist die Unsicherheit groß und es gibt eine Menge Klärungsbedarf – und viel zu tun..

Wie sieht grob die Vorgehensweise aus?

Als erstes gehen wir eine Gap-Analyse an, stellen also den Status quo dar. Im Abgleich mit dem TISAX-Anforderungskatalog (VDA ISA) wissen wir so sehr schnell, auf welchem Stand das Unternehmen ist – und was im nächsten Schritt zu tun ist. Auf dieser Basis starten wir mit der ersten Phase der Umsetzungsmaßnahmen, bis das Audit stattfindet. Beim Audit selbst erfasst der Zertifizierungs-Auditor den Status quo und erstellt eine Liste der noch zu ergreifenden Maßnahmen. Auf dieser Basis beraten wir das Unternehmen dann in der zweiten Phase der Umsetzung. Am Ende stehen Freigabe und *Zertifikat.

Wie fangen wir an?

Mit einem Kick-off. Wir besprechen mit der Geschäftsführung die Ausgangslage. Sprich: Wann der Audittermin ansteht, welches Timing vorgegeben ist – und daraus abgeleitet, welche Vorgehensweise sich ergibt.

Wie lange dauert das?

Normalerweise geht man bei der Implementierung eines ISMS von einem halben Jahr Laufzeit aus, da in den meisten Unternehmen der Status quo bei nahezu Null steht. Oft muss es jedoch schneller gehen: Der Fachbereich des Kunden kann solange nicht beauftragen, bis dem Einkauf eine TISAX-Freigabe vorliegt! Umso wichtiger ist es jetzt, auf einen Berater zurückzugreifen, der auf TISAX spezialisiert ist.

Wie hoch ist der Aufwand für die Einführung?

(Bei Unternehmen mit ca. 10 bis 99 Mitarbeitern)
ca. 10 – 30 externe Beratertage
ca. 20 – 60 interne Personentage (ISB, IT, HR)
ca. 3 – 8 Monate Umsetzungszeit

Wie hoch ist der Aufwand für den Betrieb?

(Bei Unternehmen mit ca. 10 bis 99 Mitarbeitern)
ca. 1 – 2 Personentage pro Monat für den ISB (intern oder extern)
ca. 2 – 4 Personentage pro Monat für das DST (intern)

Welche Unternehmensbereiche betrifft TISAX?

In den meisten Fällen landet das Thema reflexartig auf dem Tisch des IT-Chefs. Dabei betrifft TISAX alle Prozesse und Abläufe. Zu 75% Prozent geht es also gar nicht um IT. Vielmehr geht es um Fragen wie: Wie läuft das On- und Offboarding (Schlüsselübergabe, Zugriffsberechtigungen, Einarbeitung in die Prozesse)? Wie wird mit Externen, also Lieferanten, Dienstleistern und Freelancern, umgegangen (Geheimhaltungen, Datenschutz-Verträge, Daten-Austausch)? Gibt es Notfallpläne für Wasser- und Gebäudeschäden sowie Stromausfälle??

Wer sollte involviert werden?

TISAX ist Chefsache, also ein Thema für die Geschäftsführung. Da TISAX alle Prozesse und Abläufe im Unternehmen betrifft, müssen auch alle Fachbereichsleiter mit an den Tisch: HR, Legal, Projektleitung, IT und Office Management. Die Projektleitung für die Vorbereitung des Audits machen wir; in enger Zusammenarbeit mit euch. Wir sind also auf eurer Seite.

Wer prüft und stellt das Zertifikat aus?

Das Zertifizierungsaudit selbst führt dann ein externer Auditor durch, der separat und unabhängig beauftragt wird. Auf dem Internetauftritt der ENX (www.enx.com) finden sie eine Liste aller akkreditierten TISAX-Prüfdienstleister. Achtung: Es gibt kaum noch Termine für die nächsten sechs Monate um einen Prüfdienstleister für ein Zertifizierungsaudit zu bekommen. 

Mehr Infos zu TISAX bei nextwork:

https://www.nextwork.de/tisax

»The Cloud Diaries« – Unser Umzug in die Cloud.
#1: Blick hinter die Buzzwords

Neue Blogreihe
Gastbeitrag von Finn Nickelsen

Im Herzen sind wir ITler. Die Technologie, mit der wir zu tun haben, hat keine 30 Jahre auf dem Buckel, wenn man sich mal die Themen Personal Computer, Netzwerke und Server ansieht. Unser zweites Steckenpferd, Datenschutz und Informationssicherheit, weist keine zwei Jahre Erfahrungswerte auf. Das heißt: Wir sind daran gewöhnt, dass der Umgang mit den Dingen, mit denen wir zu tun haben, oft erst noch erfunden werden muss, bevor er sich in der Unternehmenskultur festsetzt. Und wisst ihr, was das auch bedeutet? Wir haben eine ziemlich niedrige Hemmschwelle, Neues auszuprobieren. Weil es unserer Auftrag ist, uns ständig weiterzuentwickeln. »Continuous improvement« ist bei uns eingebaut.

Ein ziemlich großer Improvement-Schritt steht bei uns derzeit auf der Agenda: Aus den Erfahrungswerten unserer TISAX- und DSGVO-Projekte heraus, in denen wir uns auch viel mit Workflows beschäftigen, überlegen wir zurzeit, komplett in die Cloud zu ziehen. Wenn man so einen Gedanken heute im Freundeskreis oder geschäftlichen Netzwerk raushaut (»Wir überlegen, mit unserem Unternehmen komplett in die Cloud zu ziehen«), kann man damit echt Eindruck schinden. Auf jeden Fall sind die Kollegen beeindruckt; stellt man sich doch als jemand dar, der im Sturm der Digitalisierung als Cloud-Kapitän den Kurs klar vor Augen hat. Aber wie so oft in Zeiten, in denen alle mit Buzzwords um sich schmeißen, könnte man ja auch schüchtern fragen: Was heißt das eigentlich, in die Cloud ziehen?

Sicher sind noch nicht alle Fragen zur Cloud geklärt – und wie immer muss jedes Unternehmen für sich beantworten, inwiefern die Cloud Sinn macht. Das ist oft ein langer Weg, der mit einem langen Entscheidungsprozess einhergeht. Da wir aus unserer Projektarbeit wissen, dass es vielen Unternehmen genauso geht, wollen wir unseren Entscheidungs- und Umsetzungsprozess mit euch in unserer neuen Blog-Reihe »The Cloud Diaries: Unser Umzug in die Cloud.« Uns geht es dabei unter anderem um folgende Fragen: Was sind eigentlich die relevanten Parameter für die Entscheidung für einen Umzug in die Cloud? Welche Bereiche des Unternehmens betrifft das? Welche Anbieter kommen in Frage? Wie geht das zusammen mit Datenschutz und Informationssicherheit? Gibt es da nicht sogar moralische Bedenken? Wie geht man ein solches Projekt an? Wie läuft es in der Umsetzung? Was für Auswirkungen hat das auf unsere Workflows? Was ist die optimale Lösung für unser Unternehmen? Wir freuen uns, wenn ihr unser Projekt verfolgt, und natürlich auch, wenn ihr uns von euren Themen und Erfahrungen berichtet.

Einige Statistiken und Begriffsklärungen zu Cloud Computing

 

»Cloud Computing« oder »Cloud Services« sind die Buzzwords, die seit ca. 2011 durch die Innovationsforen, durchs Netz und die Tech-Messen geistern. Langsam scheint das Thema im unternehmerischen Alltag angekommen zu sein. Laut einer aktuellen Bitkom-Studie nutzten 2017 bereits 65 Prozent der Unternehmen aller Größenordnungen (20 bis über 2000 Mitarbeiter) Cloud Computing. Was aber heißt das eigentlich, »Cloud Computing«? Welche Services können überhaupt in die Cloud verlagert werden? Auch darüber gibt die Studie Auskunft: Die oben erwähnten Unternehmen, die auf Cloud Computing setzen, nutzen zu 49 Prozent Softwareanwendungen, zu 47 Prozent Datenspeicherung oder Rechenleistung, zu 28 Prozent spezielle Entwicklertools oder Betriebssysteme, zu 23 Prozent Geschäftsprozesse und zu 46 Prozent Bürosoftware als wichtigste Anwendungen in der Public Cloud. Danach folgen Sicherheitslösungen, Groupware und Collaboration.

Ein weiteres wichtiges Unterscheidungskriterium ist das zwischen Private Cloud und Public Cloud. Die Fragen hier sind: Wo liegen die Daten – und wie viel Service ist mit dabei?

In der gemanagten Private Cloud mietet man sich typischerweise von einem Anbieter einfach nur Serverkapazitäten. Das kann zum Beispiel ein Rechenzentrum in eurer Stadt sein, in dem ihr ein oder mehrere Höheneinheiten in einem Serverschrank anmietet. Wie ihr diese nutzt, bleibt euch selbst überlassen. Der Anbieter sorgt nur für Kühlung, Strom und Internet – gegen eine monatliche Miete, die je nach »Serverquadratmeter« im drei- oder vierstelligen Bereich liegt. Die Infrastruktur auf diesem Server baut ihr euch selbst, ganz individuell; ihr genießt die höhere Sicherheit, da ihr den Benutzerkreis einschränkt. Außerdem braucht ihr bei euch im Office noch Hardware: einen Server, z. B. eine Kerioinstallation, und einen Router. Wir hatten zum Beispiel die letzten Jahre unseren Mailserver auf eine Private Cloud ausgelagert.

Eine Public Cloud ist sozusagen das »Rundum-sorglos-Paket“. Ihr holt euch Speicherplatz und die Anwendungen als Service in der Cloud mit dazu (SAAS, Software as a Service) und euer Cloud-Anbieter kümmert sich um alles andere. Es gibt kostengünstige und flexible Abomodelle, die ihr jederzeit an eure betriebliche Auslastung anpassen könnt. Habt ihr zum Beispiel nach einer Spitzenauslastung fünf Leute weniger, bucht ihr die Lizenzen um fünf herunter und zahlt auch weniger.

Eben weil es so flexibel, kostengünstig und einfach ist, gibt es einen Trend hin zur Public Cloud: Laut der oben schon erwähnten Umfrage setzten im abgelaufenen Jahr 44 Prozent der Unternehmen, die Cloud Computing nutzen, Private Cloud Computing ein. Auch gibt es einen Trend bei Private Clouds, ihren Betrieb an externe Dienstleister auszulagern. Nur noch 13 Prozent der befragten Firmen gaben an, die Cloud vollständig in eigener Regie zu betreiben – eine Halbierung innerhalb von vier Jahren. Im anhaltenden Aufschwung zeigte sich außerdem die Public Cloud, deren Einsatz 29 Prozent der Unternehmen meldeten – eine Verdoppelung seit 2014.

 

Dieser erste Beitrag sollte die wichtigsten Begriffe klären und einen Blick darauf werfen, wo das Thema heute in deutschen Unternehmen eigentlich steht. Im Blogbeitrag #2 geht es los mit der eigentlichen Ausgangssituation bei nextwork. Im dritten Blogbeitrag stellen wir euch dann die wichtigsten Anbieter vor und tauchen im vierten Blogbeitrag tiefer ein und stellen euch einen Case über den Anbieter unserer Wahl vor.

 

Viel Spaß – und danke für eure Anmerkungen und Kommentare!