Schlagwort: tisax

Das war erst der Anfang: Jetzt kommen Informationssicherheit für den Film – und ePrivacy in Kalifornien

2018 brachte die Datenschutzgrundverordnung, 2019 den neuen Standard für Informationssicherheit der deutschen Automobilindustrie: TISAX®. Wer glaubt, dass das alles gewesen sei, der irrt. 2020 nämlich, geht es direkt so weiter. Das nächste große Ding ist die Zertifizierung für die US-Film- und Fernsehindustrie – und wie üblich tarnt sich auch diese mit einer harmlosen Abkürzung: TPN (Trusted Partner Network). Wer jetzt noch denkt, nur die sicherheitsversessenen Deutschen würden sich mit Datenschutzthemen herumschlagen, irrt ebenfalls: Zum 01. Januar 2020 ist mit dem California Consumer Privacy Act (CCPA) in Kalifornien eine neue ePrivacy-Verordnung in Kraft getreten. 

Spätestens jetzt wird das große Muster deutlich erkennbar: DSGVO und TISAX waren keine Eintagsfliegen, einmalige Ausrutscher oder nerviger Bürokratiekram, der es Unternehmen schwer macht, den man aber irgendwann von der Liste streichen kann. Vielmehr ist das die Digitalisierung, die langsam ihr wahres Gesicht zeigt: Sie macht Dinge transparenter – aber eben auch überwachbar und überprüfbar. Das betrifft nicht nur Geldströme und Gesichtserkennung, sondern eben auch Strukturen und Prozesse in Unternehmen. Mein Rat lautet also: Wer sich bisher noch irgendwie davor drücken konnte, sollte spätestens jetzt anfangen, Maßnahmen zu Datenschutz und Informationssicherheit zu ergreifen. Denn diese Themen kann man weder „aussitzen“, noch werden sie irgendwann einfach „weggehen“.

Security made in Germany 

Man liest es dieser Tage an jeder Ecke: Deutschlands Wirtschaft geht den Bach runter – und Schuld soll auch die DSGVO sein. Sie mache Prozesse umständlich und lege damit unsere Unternehmen lahm. Gegen Länder wie China, die im Umgang mit Datenschutz und Informationssicherheit nicht als die strengsten gelten, hätten wir keine Chance. Ähnlich sieht das auch Serien-Entrepreneur und jahrelanger „Die Höhle der Löwen“-Investor Frank Thelen. 

Ich empfehle sein Buch „Frank Thelen – Die Autobiografie: Startup-DNA – Hinfallen, aufstehen, die Welt verändern“ gerne, denn Frank Thelen stärkt den Unternehmergeist in diesem Land. Aber in diesem Punkt bin ich nicht seiner Meinung: Ich glaube, dass wir in Deutschland durch die EU-Richtlinie ein Bewusstsein für das Thema Datenschutz entwickelt haben – wir nehmen den Datenschutz ernst und haben bereits viele Erfahrungen in der Umsetzung gesammelt. Dadurch hat Deutschland jetzt die Chance, im Bereich Datenschutz und Informationssicherheit zum Vorreiter zu werden – ein Gütesiegel ähnlich dem Schweizer Bankgeheimnis. Endlich wieder ein neuer, heißer Wachstumsmarkt „made in Germany“.

Innovation durch Business-Frühjahrsputz

In unserer Grundlagen-Schulung „Foundation VDA ISA/TISAX“ vermitteln wir den Teilnehmern die wichtigsten Aspekte der Informationssicherheit. Wir beobachten dabei, dass in der öffentlichen Wahrnehmung vor allem die Vertraulichkeit im Vordergrund steht. Dabei wurde ihr von den TISAX-Machern ein natürlicher Gegenspieler an die Seite gestellt: die Verfügbarkeit. Wer sich nur auf die Vertraulichkeit konzentriert und alle Zugänge mit einer 12-Faktor-Authentifizierung verschlüsselt, vernachlässigt die Verfügbarkeit. Die Folge: Das Team wird Schwierigkeiten haben, überhaupt noch zu arbeiten. Wenn aber Vertraulichkeit und Verfügbarkeit sich die Waage halten, wird das eigene Unternehmen nicht langsamer. Nur sicherer. 

Das ist aber noch nicht alles. Wer erst einmal die eigene Bockigkeit ob des von außen aufoktroyierten Compliance-Audits überwunden hat, kann das Ganze als Chance betrachten, das gesamte Unternehmen mit Fokus auf die Prozesse zu durchleuchten und fit fürs Digitalzeitalter zu machen. Das ist wie mit dem Frühjahrsputz oder bei einem Umzug, wenn man einmal durch alle Schränke durchgeht, Sachen aussortiert, die man nicht mehr braucht, und die Ordnungssysteme auf Vordermann bringt. Dieses tolle Ritual gibt es leider nur in Privathaushalten, nicht in Unternehmen. Dabei setzt es Potenziale frei, fördert Innovation und hilft, sich auf das Wesentliche zu konzentrieren: Man glaubt kaum, wie viel gewachsenes Chaos, Behelfslösungen, Improvisation und Kesselflickerei es in Unternehmen gibt. Genau die sind es, die das Unternehmen langsam und unproduktiv machen – und nicht der Datenschutz.

Wir sind nicht die Einzigen, sondern die Ersten: CCPA und TPN are coming 

Doch unabhängig davon, wie man den Umgang mit DSGVO und TISAX hierzulande bewertet, ist eines klar: Deutschland und die EU sind nicht die Einzigen, die sich mit diesen Themen beschäftigen. Wir waren eine ganze Zeit lang einfach nur die Ersten. 2020 setzte Kalifornien mit dem CCPA, dem „California Consumer Privacy Act“, gerade einen Verbraucherschutz um, der mit der ePrivacy-Verordnung vergleichbar und die in der EU sogar bisher gescheitert ist. (Allerdings nur bisher: Die ePrivacy-Verordnung (ePVO) ist nicht vom Tisch und kommt schätzungsweise 2021.) 

Das, was TISAX für die Automobilindustrie ist, ist TPN ab sofort für die US-Film- und Fernsehindustrie: Die „Trusted Partner Network“-Zertifizierung bestätigt die Sicherheit von Auftragnehmern, die für Auftraggeber wie Netflix arbeiten wollen. TPN ist dabei keine Zukunftsmusik: Wir bei Nextwork haben auf Basis unserer vielen Erfahrungen mit TISAX einen TPN-Anforderungskatalog entwickelt und unterstützen Kunden aktuell schon bei den ersten TPN-Zertifizierungen. 

Don’t panic: Wer anfängt, dem gelingt jedes Datenschutz- und Informationssicherheits-„Upgrade“ 

Wer jetzt denkt, dass ein Tsunami an Zertifizierungen auf uns zurollt, den kann ich beruhigen. Die gute Nachricht ist: Hat man einmal ein Datenschutz- oder Informationsmanagementsystem angelegt, ist es halb so wild, das „Upgrade“ zu einer komplexeren Zertifizierung zu schaffen. Denn die Anforderungen rund um Datenschutz und Informationssicherheit haben immer auch Gemeinsamkeiten. Wer von Null auf den TPN-Standard kommen möchte, wird es schwer haben. Denn TPN fordert noch mehr Maßnahmen als TISAX. Wer aber schon Maßnahmen rund um die DSGVO ergriffen hat, für den ist es schon viel leichter, sich etwa auf ein TISAX-Audit vorzubereiten. Und wer schon TISAX gemeistert hat, wird es nicht so schwer haben, sich beispielsweise auch für TPN zu zertifizieren. 

Daher mein Rat: Unbedingt anfangen. Besonders, wenn man mit dem eigenen Unternehmen auch international unterwegs ist. Denn: Die Bestimmungen werden nicht weniger werden. 

Abschließend aber noch ein echter Lichtblick für alle, die jetzt erst loslegen: In der Pionier- und Anfangsphase mussten die Unternehmen, und auch wir, noch viel lernen und ausprobieren, was die Umsetzungsmöglichkeiten rund um Datenschutz und Informationssicherheit angeht. Jetzt aber gibt es Prozesse und Systeme, die schon erprobt sind – und bei denen aus den Fehlern der Pioniere gelernt wurde.

Don’t panic: Auf höchster Sicherheitsstufe arbeiten – im Nextwork Safe Room.

Zwischen Münchner Museumsquartier und Altem Botanischem Garten haben wir diesen Sommer unser neues Office eröffnet. Aber nicht nur für uns allein: In unseren Workshop-Spaces sind Gäste, Kunden und AcademyTeilnehmer herzlich willkommen. Wer temporär einen Arbeitsraum mit höchster Sicherheitsstufe braucht, kann jetzt außerdem einen unserer nach VDA ISA zertifizierten „Safe Rooms” anmieten. 

Absolut machbar – aber nicht ohne: Geheimfreigabe

Ja, eine TISAX-Zertifizierung bedeutet Arbeit. Aber in der Regel lassen sich sämtliche Maßnahmen aus dem VDA-ISA-Anforderungskatalog in jedem Büro umsetzen – wie man an unserem eigenen Office sehen kann. Man kann es sogar so umsetzen, dass man auch nach erfolgreicher Zertifizierung noch gern ins Office geht. Trotzdem stimmt es auch, dass eine „Geheim”-Freigabe zur Sicherheits-Kür gehört – und vor allem für Unternehmen sinnvoll ist, die regelmäßig an Projekten mit höchster Sicherheitsstufe arbeiten. Was aber passiert, wenn ich normalerweise auf der Sicherheitsstufe „vertraulich” arbeite und nur für ein kurzfristiges Teilprojekt die Stufe „geheim” erfüllen muss? Oder wenn mein Unternehmen nur aus einem fünfköpfigen Team besteht, das über drei Monate an einem als geheim eingestuftem Projekt arbeiten möchte? Für eine temporäre Zusammenarbeit alles umzukrempeln, Wände einzureißen, Sicherheitstüren einzubauen oder ein getrenntes Netzwerk einzurichten, steht da in keinem Verhältnis. 

Sorgenfrei am Geheimprojekt arbeiten: im Nextwork Safe Room 

Weil wir in unserem Datenschutz- und Informationssicherheitsalltag solchen Fällen immer wieder begegnet sind, entstand die Idee für einen Nextwork Safe Room: Dabei handelt es sich um Räume in unserem eigenen Office, die den Vorgaben des VDA ISA für einen „sehr hohen Schutzbedarf” entsprechen – und die von externen Projektteams jederzeit temporär angemietet werden können.

Weil wir in unserer Nextwork Safe & Secure Approach konsequent sind, ist alles, was wir tun, auf Datenschutz und Informationssicherheit ausgelegt. Für die Safe Rooms bei uns in der Sophienstraße 20 bedeutet das zum einen physische Sicherheit: Alle Bestimmungen rund um Sicht-, Schall-, Zutritt-, Brand- oder Einbruchschutz sind für die höchsten Sicherheitsanforderungen erfüllt. Aber natürlich haben wir auch in Sachen IT ein wasserfestes Konzept, das den Anforderungen für geheime Projekte entspricht.  Für ein Team, das sich bei uns einmietet, bedeutet das: Wer unsere Safe Rooms nutzt und sich an ein paar Spielregeln hält, dem stehen die Türen zu geheimen Projekten quer durch die Automobilindustrie offen.

München, Hamburg, Hannover: Herzlich willkommen externe Teams! 

Wer möchte, der kann: Wir vermieten unsere Safe Rooms an Münchner Unternehmen, die für die Geheimhaltungsstufe „geheim” zertifiziert sind und zeitweise ein externes Projektbüro brauchen. Aber auch Projektteams aus anderen Regionen Deutschlands sind gern gesehen: Wir teilen unseren Office Space jederzeit mit Unternehmen, die hier bei uns keinen eigenen Standort haben, auf die aber ein Projekt in München wartet. 

Nextwork Builders: für alle, die selbst bauen wollen

Abschließend sei angemerkt: Wer doch regelmäßig an Projekten mit höchster Sicherheitsstufe arbeitet, aber noch keinen Ansprechpartner hat, der sich mit dem Bau des entsprechenden Projektbüros auskennt, der kann sich ebenfalls an uns wenden. Denn wir haben das Know-how, um richtig zu beraten – sowie eigene Handwerker, die besprochene Maßnahmen direkt vor Ort umsetzen können. 

Klingt interessant? Dann meldet euch für weitere Informationen.

Design your Security: über Kreativität und Sicherheit in Agenturen (PAGE Online)

Ein Freigeist, der die Welt neu erfinden will, begeistert sich naturgemäß wenig für Regeln. Das ist wohl auch der Grund, warum Agenturen und Kreativunternehmen die Themen Datenschutz und Informationssicherheit als Einschränkung ihrer kreativen Freiheit empfinden. Was hier hilft, ist der Blick über einzelne Richtlinien hinaus auf das Big Picture: Denn Kreativität und Sicherheit müssen sich nicht ausschließen – wenn man DSGVO und TISAX dazu nutzt, um kreative Prozesse neu zu gestalten und aus dem eigenen Unternehmen einen sicheren Denkraum zu machen.

(Dieser Artikel erschien zuerst auf PAGE Online)

Höchste Zeit aufzuräumen: vom Wilden Westen zurück zur Privacy

Schutz der eigenen Privatsphäre und sensibler Kundendaten: Das sind eigentlich Dinge, die sinnvoll klingen. Zudem weiß jeder Kreative nur zu gut, dass Ideen zarte Pflänzchen sind, die man beschützen muss. Wie kommt es dann, dass sich gerade Kreative und Designer oft gegen die Regeln rund um Datenschutz und Informationssicherheit sträuben? Gegenfrage: Muss man denn warten, bis etwas wirklich Schlimmes passiert?

In der letzten Dekade hat sich die Welt sehr verändert. In puncto Big Data herrschte quasi Wilder Westen. Zumindest bis die großen Datenskandale kamen, siehe etwa Facebook 2018. Schlechter Umgang mit Informationen ist jedoch nicht nur ein Problem großer Konzerne. Jeder Einzelne von uns ist eine potenzielle wandelnde Sicherheitslücke, wie unzählige Stories aus dem echten Leben beweisen. Ein Beispiel: Ein Teamleiter erzählt einem Kumpel im Biergarten brühwarm Details über das neueste Geheimprojekt – mit der Folge, dass die Agentur das Mandat verliert, weil der Auftraggeber dummerweise unerkannt am Nebentisch saß.
Mein Fazit: Ich glaube, dass uns allen gehörig das Bewusstsein für Privacy abhandengekommen ist. Wir, als Gesellschaft, als Unternehmen und Privatmenschen, müssen den Umgang mit Daten und Informationen von Grund auf neu lernen – und einsehen, dass diese Themen uns alle angehen. Und zwar sowohl privat als auch im Business – und dort über alle Bereiche hinweg.

Die EU-Datenschutz-Grundverordnung und TISAX, der Standard für Informationssicherheit in der Automobilindustrie, sind erste Gegenmaßnahmen, um diesem Wildwuchs Einhalt zu bieten. Aber genauso kollidieren sie nun oft mit dem ebenso großen Wildwuchs in den Unternehmensstrukturen. Die Gegenmaßnahmen sind echte Querschläger-Themen und treffen im wahrsten Sinne des Wortes jeden Bereich eines Unternehmens: ob HR, Legal, Einkauf, IT oder Gebäudemanagement; von der Führungsebene über das Senior-Level, bis hin zum Praktikanten oder externen Freelancer.

Endlich richtig aufräumen: Systematisierung = Sicherheit

Kreative haben jetzt die Chance, endlich richtig aufzuräumen. Denn immer mehr Vorgaben (DSGVOCSRSOXTISAXISO 14001ISO 27001 usw.) zwingen das Management zu einem Schritt, der im Tagesgeschäft sonst nur ein guter Vorsatz bleibt: nämlich alle Strukturen und Prozesse im eigenen Unternehmen einmal gründlich zu durchleuchten und zu hinterfragen. Ich finde es erstaunlich, wie viel trotz hohem Kostendruck und Volatilität im Projektgeschäft immer noch improvisiert wird. Da steht mal wieder ein Riesenprojekt vor der Tür, die Agentur hat nicht die Kapazitäten, um die Spitzenauslastung abzufedern – und im Teamleiter-Meeting wird in die Runde gefragt, ob »wer jemanden kennt«. Es ginge schneller und wäre effektiver, eine Datenbank mit Top-Freelancern zu pflegen, die mit ihrer Expertise einen echten Mehrwert für das Projekt darstellen.

Es geht nicht in erster Linie nur um Sicherheit, es geht um Strukturen. Wenn du ein Managementsystem hast, machst du Dinge kontrollierbar – und damit schließt du auch Sicherheitslücken.

Jetzt magst du denken: »O. K., aber was hat das denn mit Sicherheit zu tun?« Doch das ist genau der Knackpunkt. Es geht nicht in erster Linie nur um Sicherheit, es geht um Strukturen. Wenn du ein Managementsystem hast, machst du Dinge kontrollierbar – und damit schließt du auch Sicherheitslücken. Hand aufs Herz: Weißt du, wie viele Freelancer gerade für deine Agentur arbeiten und wer von ihnen ein NDA unterschrieben hat?

Mehr Raum für echte und effektive Kreativität

Spielwiese war gestern, jetzt ist es Zeit für Agenturen, Strukturen in ihre Prozesse zu bringen. Und weißt du was? Das schränkt deine Kreativität gar nicht ein. Denk an das Beispiel mit den Freelancern: Womit willst du deine Zeit verbringen? Händeringend Freelancer zu suchen – oder direkt mit einem neuen Team im neuen Projekt Vollgas geben?

Was kann man also konkret tun?

Wenn nicht sowieso schon eine Aufforderung zum Audit der Einkaufsabteilung deines Kunden ins Haus geflattert ist, solltest du dir ernsthaft die Frage stellen, ob ein proaktiver Audit dein Unternehmen nicht meilenweit voranbringen könnte. Was ist deine Zielsetzung? Ist der Audit in deinem Wettbewerbsumfeld ein USP? Oder ist er eine Chance, endlich aufzuräumen und dein Unternehmen zum Beispiel fit für die Übergabe zu machen? In der Infobox unten siehst du einen Überblick über die wichtigsten Zertifizierungen. Weil auch der Bund und die Länder diese Chancen für Unternehmen erkannt haben, gibt es übrigens für diese Art von Projekten Förderprogramme, zum Beispiel go-digital des Bundesministeriums für Wirtschaft und Energie oder den Digitalbonus Bayern des Freistaat Bayern. Auch ein Gespräch mit Experten kann einen ersten Überblick verschaffen. Weil wir wissen, dass Unternehmer bisweilen Schwierigkeiten haben, in ihrem Tagesgeschäft einen Einstieg in dieses Thema unterzubringen, haben wir genau dafür After-Work-Talks sowie schnelle Foundation-Workshops entwickelt, die wir regelmäßig veranstalten.

Wer kann helfen?

Wir bei Nextwork haben aus den bisherigen fast 100 Projekten, die wir erfolgreich begleitet haben, einen Maßnahmenkatalog erstellt, mit dem wir einfach und effektiv auf TISAX umrüsten. Dank dieses Know-hows können wir in den meisten Fällen auch den Auditierungsprozess beschleunigen. www.nextwork.de

Übersicht aktueller Leitlinien, Gesetze und Zertifizierungen

CSR: »Corporate Social Responsibility« ist die Verantwortung von Unternehmen für ihre Auswirkungen auf die Gesellschaft. Konkret geht es beispielsweise um faire Geschäftspraktiken, mitarbeiterorientierte Personalpolitik, sparsamen Einsatz von natürlichen Ressourcen, Schutz von Klima und Umwelt, ernst gemeintes Engagement vor Ort und Verantwortung auch in der Lieferkette.

DSGVO: Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union. Sie regelt die Verarbeitung personenbezogener Daten.

ISO 14001: Die internationale Umweltmanagementnorm ist ein zertifizierbares Managementsystem für Klima- und Umweltschutz.

SOX: Der »Sarbanes-Oxley Act« ist ein US-Bundesgesetz, das die Verlässlichkeit der Berichterstattung von Unternehmen verbessern soll, die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen.

ISO 270001: Die internationale Norm ISO 27001 ist ein zertifizierbares Managementsystem für Informationssicherheit.

TISAX: Das »Trusted Information Security Assessment Exchange« ist ein von der Automobilindustrie definierter Standard für Informationssicherheit. Eine große Zahl von Automobilherstellern und Zulieferern der deutschen Automobilindustrie verlangen von immer mehr Geschäftspartnern eine TISAX-Zertifizierung.


Schulungsplattform »nextwork academy« rund um DSGVO und TISAX ist online

Mit eigenen Publikationen und Workshops zu Datenschutz und Informationssicherheit hat nextwork bereits eigene Formate zum Wissensaustausch etabliert. 2019 setzt das Unternehmen einen neuen Meilenstein – und teilt sein Experten-Kowhow ab sofort auf academy.nextwork.de: einer eigenen Schulungsplattform rund um DSGVO, ISO 27001 und TISAX. Für alle, die sich selbst informieren oder ihre Mitarbeitenden unkompliziert schulen wollen.

Datenschutz und Informationssicherheit gehören jetzt zum Alltag – und funktionieren nur, wenn sie in die Unternehmenskultur integriert werden.

„Datenschutz und Informationssicherheit sind keine Projekte, die ein Unternehmen irgendwann abschließen kann“, sagt Marco Peters, Gründer und Geschäftsführer von nextwork. „Diese Themen gehören ab jetzt zum Alltag jedes Unternehmens und werden auch nicht mehr verschwinden. Erfolgreich meistern kann man Datenschutz und Informationssicherheit nur, wenn sie langfristig in die Unternehmenskultur implementiert und von allen Mitarbeitenden gelebt werden.“ Nach mehreren Jahren als externe Informationssicherheitsbeauftragte für mittelständische Unternehmen und Konzerne in ganz Deutschland wissen die Experten von nextwork genau, wovon sie sprechen. Deshalb wissen sie auch: hat ein Unternehmen Maßnahmen zur DSGVO umgesetzt oder eine TISAX-Zertifizierung erhalten, ist ein wichtiges Etappenziel erreicht. Damit ist die Arbeit aber nicht getan, denn nun geht es darum, die Richtlinien im Alltag umzusetzen und dauerhaft einzuhalten. Dafür müssen alle Mitarbeitenden ins Boot geholt werden – und zwar nicht nur moralisch, sondern auch inhaltlich. Und genau hier kommen die Schulungen ins Spiel.

Ob fünf oder 50 000 Mitarbeitende: Mit Online-Schulungen erreicht man alle. Auch an unterschiedlichen Standorten gleichzeitig.

In der Praxis stehen Geschäftsführung sowie Datenschutz- und Informationsbeauftragte früher oder später vor der Herausforderung, alle ihre Mitarbeitenden schulen zu müssen. „Bei einem Unternehmen mit zwanzig Mitarbeitern mag die Organisation noch recht einfach sein – in einem Unternehmen mit einhundert Menschen wird es schon schwierig”, so Philipp Brändl, Berater für Informationssicherheit bei nextwork. „Auch die Fluktuation spielt eine Rolle: Jedes Mal, wenn neue Mitarbeitende ins Unternehmen eintreten, müssen auch diese
von Grund auf informiert werden. Weder wir noch unsere Kunden können diesen großen Bedarf durch Präsenzschulungen abdecken.“ Als lösungsorientiertes Unternehmen mit Wurzeln in der IT war dem Team von nextwork schnell klar, dass eine Online-Schulungsplattform der richtige Weg ist. Genauso schnell fanden die Experten aber auch heraus: Eine fertige Lösung, die ihrer eigenen Arbeitsweise entspricht, gab es dafür nicht. Also baute sich nextwork kurzerhand selbst eine Academy.

Die nextwork academy: nutzerfreundlich aufgebaut, erklärt und visualisiert

„Viele Schulungsmöglichkeiten, die man derzeit auf dem Markt findet, sind sehr komplex, kostenintensiv und visuell nicht so aufbereitet, wie wir und unsere Kunden uns das vorstellen“, so Marco Peters. „Was die nextwork academy auszeichnet, ist, dass sie komplett aus der Nutzerperspektive gedacht ist.“ Entsprechend ist jede Schulung so aufgebaut, dass sowohl Einsteiger als auch Verantwortliche die Themen verstehen – und dann vor allem auch in der Praxis umsetzen können. Zu der Leichtfüßigkeit, mit der die Videos daherkommen, tragen nicht nur viele intern entwickelte Grafiken bei, sondern auch eine authentische Tonspur, bei der auch mal ein Schmunzeln erlaubt ist. Datenschutz und Informationssicherheit sind auf den ersten Blick keine extrem attraktiven Themen. Mit der nextwork academy machen sie aber trotzdem Spaß – ein bisschen zumindest.

Mehr Infos bei nextwork:
www.nextwork.de/academy

After Work Talk am 08.11.2019: Schneller Einstieg zu TISAX-Zertifizierungen

»Dieser Talk bietet einen leichtfüßigen Einstieg ins Thema TISAX® – und einen Überblick über die wichtigsten Fragen, Hürden und To Dos.« Marco Peters

Für wen ist dieser Vortrag gedacht?

Für Macher, die das Paragraphen-Korsett sprengen und das Thema verstehen wollen.
Für Visionäre, die erkannt haben, dass sie mit sicheren Prozessen ihr Unternehmen zukunftsfähig machen können.
Für IT-Verantwortliche, die ihrem Fachwissen eine neuen Kontext und ihrer Argumentation eine neue Schlagkraft verleihen wollen.
Für Personaler, die das ungute Bauchgefühl loswerden und Klarheit haben wollen, ob ihre Prozesse sicher sind.
Für Geschäftsführer oder Einkäufer, die verstehen wollen, warum das alles so viel kostet.

Der Vortragsort

TISAX ganz anschaulich: Unser Office verfügt über eine Geheimfreigabe, das höchste Level an Schutz für Informationen. Besucher unseres Workshops können sich also in diesen Vortrag nicht nur theoretisch über das Thema TISAX informieren; Sie können sich auch vor Ort anschauen, wie man heute ein Zonenkonzept mit Sichtschutz, Schallschutz, Zutrittsschutz, Zonenabsicherung, Besuchermanagement, Raumüberwachung, Brandschutz und Einbruchschutz mustergültig umsetzt – als Beispiel dafür, dass sich eine moderne, offene Arbeitskultur mit den Anforderungen von Datenschutz und Informationssicherheit verbinden lässt.

Zur Anmeldung (kostenfrei) via XING-Events

Quick Guide DSGVO und TISAX: „don’t panic and get certified“

“Seit rund zwei Jahren beschäftige ich mich täglich mit TISAX und der DSGVO. Ich reise quer durch Deutschland, spreche mit großen und kleinen Kunden, leite Schulungen und halte Vorträge zu den Themen Datenschutz und Informationssicherheit. Mein Quick Guide soll jedem, den Einstieg ins Thema erleichtern – und einen Überblick über die wichtigsten Fragen, Hürden und To Dos bieten.”


 

don’t panic and get certified
Quick Guide DSGVO und TISAX.


Erfahrungen aus 50 Projekten mit 100% Erfolgsquote.
Veröffentlicht: 28.11.2018, Verlag: BoD, Norderstedt
ISBN: 9783748181934 (Erhältlich überall wo es Bücher gibt)

 

 


Warum dieser Quick Guide?

Mein Quick Guide soll jedem, der sich mit der DSGVO und / oder TISAX beschäftigt, den Einstieg ins Thema erleichtern – und einen Überblick über die wichtigsten Fragen, Hürden und To Dos bieten.

Für wen ist dieser Quick Guide gedacht?

Kurz gesagt: Für alle, die konkret wissen wollen, wie sie ihr Unternehmen für die DSGVO und / oder TISAX fit machen. Für Unternehmen mit einem bis hin zu 10.000 Mitarbeitenden – denn die DSGVO betrifft alle.

Für die Menschen in diesen Unternehmen. Darunter CEOs, Vorstände, IT- und Personalchefs, Projektleiter sowie Kundenverantwortliche. Sie sind die Entscheider und Vertreter des Themas Datenschutz- und Informationssicherheit.

Für alle, die für die Automobilbranche arbeiten: Zum Beispiel Motorenentwickler, Ingenieurbüros, KfZ-Klimatechniker, Filmproduktionen, Event- und Kreativagenturen, Prototypenbauer und -tester oder Stahlbauunternehmen.

Für alle, die in ihrer Branche einen gemeinsamen Standard definieren wollen. Denn hat man einmal ein TISAX Zertifikat, ist man in puncto Datenschutz und Informationssicherheit ganz grundsätzlich gut aufgestellt.

Wo kann ich den Quick Guide kaufen?

Wer meinen Quick Guide bestellen möchte, findet ihn natürlich bei Amazon & Co. Aber ich würde mich noch mehr freuen, wenn ihr das Buch bei eurem lokalen Buchhandel bestellt. Das könnt ihr via genialokal.de auch online tun.

Wie kann ich mich zu TISAX fortbilden?

Mein Beratungsunternehmen nextwork bietet ab Januar 2019 Seminare und Workshops zu TISAX in mehreren deutschen Städten an. Jeder Workshop-Teilnehmer erhält nach erfolgreicher Prüfung ein Teilnahmezertifikat.
Mehr Informationen zu den TISAX-Workshops gibt es unter:
www.nextwork.de/tisax-workshops

 


Mehr Infos zu TISAX-Beratung finden Sie unter www.nextwork.de/tisax

Vergesst Eure Passwörter! Das Ausdenken, Merken und Verwalten übernimmt jetzt der Passwort Manager

Gastbeitrag von André Willich

Wie die meisten Dinge, hat auch die Sache mit den Passwörtern ganz harmlos angefangen. Früher hatte man ein Passwort, das man sich selbst aussuchen durfte. Entsprechend wählte man etwas, was man sich leicht merken konnte, zum Beispiel Omas Geburtstag oder den Namen von Familien-Dackel Waldi – und im Großen und Ganzen war die Welt damit in Ordnung.

Wie so viele Dinge, ist das Thema mit zunehmender Digitalisierung der Arbeitswelt aber immer komplexer geworden. Um Zugänge, Daten und Informationen zu schützen, reichte ein Passwort plötzlich nicht mehr aus, schon gar keine simple Zahlen- oder Buchstabenfolge. (Wobei an dieser Stelle gesagt sei: 1111 war schon immer ein schlechtes Passwort. Genauso wie Kennwörter auf Post-its am Rechner und unter der Tastatur noch nie eine gute Idee waren). Und spätestens seit DSGVO und TISAX ist außerdem fest verregelt, dass Passwörter sich permanent verändern müssen.

Aber nicht nur im Business-Leben, auch privat hat das Thema Passwort Überhand genommen – immerhin tun wir immer mehr Dinge im Internet, die wir früher persönlich erledigt haben. Einkaufen, Banking, Fernsehen oder Dating: jeder Dienst und jedes einzelne Portal verlangt nach einer eigenen Registrierung und nach einem eigenen Passwort.

Rechnet man alles zusammen, kommt man heute leicht auf 50-100 Passwörter pro Kopf. Aber: Wie soll man sich in diesem Passwort-Labyrinth überhaupt noch zurecht finden? Und: Wofür jetzt eigentlich nochmal der ganze Aufwand?

54321? Meins! – Schwache Passwörter kann man sich gleich sparen

Passwörter entschlüsseln kann heute sogar ein iPhone – und für einen wesentlich leistungsstärkeren Computer ist es erst recht kein Hexenwerk. Jedes Passwort ist knackbar: Im Prinzip muss der Rechner “nur” so lange alle möglichen Buchstaben-, Zeichen- und Zahlenkombinationen durchprobieren, bis er den gewünschten Code entschlüsselt hat. Sogenannte Rainbow Tables – Datenstrukturen, die ursprünglich für die Wiederherstellung von Passwörtern innerhalb der IT-Forensik entwickelt wurden – machen dem Computer die schnelle und speichereffiziente Suche sogar noch leichter. Weshalb Rainbow Tables auch gern von Passwort-Crackern verwendet werden.

Komplexität schützt – Geheime Technologien und private Daten

Im Umkehrschluss heißt das: je komplexer das Passwort, desto sicherer ist es –  denn desto länger braucht der Rechner, um alle möglichen Kombinationen durch zu testen. Konkretes Beispiel: Jemand, der Firmengeheimnisse oder auch private Bankdaten, Flugmeilen etc. stehlen will, wird abwägen, ob er den Rechner drei Tage oder drei Jahre rechnen lässt, um an die gewünschte Information zu kommen. Angesichts von drei Jahren werden die meisten Hacker vermutlich das Handtuch werfen.

Gummibaer!2018 – Ist das jetzt ein starkes Passwort?

Ganz grundsätzlich gilt: Ein sicheres Passwort besteht aus mindestens 12 Zeichen, enthält Buchstaben in Groß- und Kleinschreibung, Zahlen und Sonderzeichen. Gummibaer!2018 ist in jedem Fall ein besseres Passwort als Gummibaer alleine. Das beste Passwort besteht allerdings aus einer rein zufälligen Zahlenfolge, also etwa xT34$”4g812ß. Nun ist es nicht besonders inspirierend, sich solche Kennwörter  auszudenken – und so gut wie unmöglich, sie sich zu merken. Und hier kommt der Passwort Manager ins Spiel.

Kommt nur, ihr Passwörter! – Der Passwort Manager ist der Herr der Codes  

Ein Passwort Manager ist ein Programm, das automatisch sichere Passwörter generiert und speichert. Für jedes einzelne Nutzerkonto – von SAP über wordpress bis LinkedIn –  erstellt der Passwort Manager ein jeweils sicheres Kennwort, das er sich dauerhaft merkt. Somit entkommt man der Krux, sich immer wieder selbst zahllose kryptische Codes auszudenken. Und kommt auch nicht in die Versuchung, sich die komplizierten Kennwörter doch heimlich aufzuschreiben.

Notizen, PINs, Accounts – Der Passwort Manager kann nicht nur Codes

Der Passwort Manager hat aber noch weitere Talente. Zum Beispiel kann er zwischen Einzel- und Gruppen-Accounts unterscheiden. Man kann also Zugänge für einzelne Mitarbeiter schaffen, aber z.B. auch Projekt-Accounts anlegen, die nur für bestimmte Personen freigeschaltet sind.  

Ähnliches gilt übrigens auch für Zuhause: mit einem Familien-Account können alle Familienmitglieder den Passwort Manager nutzen, ohne dass die Halbstarken die gleichen Zugriffsrechte auf Amazon, Foodora oder Netflix haben wie die Eltern.

Und noch einen Vorteil hat der Passwort Manager: er merkt sich nicht nur Passwörter. Auch sichere Notizen, Kontonummern, Kreditkartendaten, PINs, Reisepass- oder Führerscheinnummer können hinterlegt werden und sind somit nicht nur sicher gespeichert, sondern jederzeit und von jedem Ort der Welt abrufbar.

Den richtigen finden – Welcher Passwort Manager macht den besten Job?

Natürlich gibt es inzwischen unterschiedliche Anbieter auf dem Markt. Besonders empfehlenswert sind 1Password und Enpass.

1Password ist der Platzhirsch unter den Passwort Managern. Das Programm ist leicht verständlich und bietet im monatlichen Mini-Abo ein sehr nutzerfreundliches Gesamtpaket an.

Für alle, die etwas technikaffiner sind, ist Enpass eine gute Alternative – ein etwas neueres Programm, das als Desktop-Version kostenlos und für die Nutzung auf dem Smartphone bereits gegen eine übersichtliche Einmalzahlung zu haben ist.

Back to the roots – Der Passwort Manager und die gute alte Zeit

Der Manager erledigt also die ganze Kennwort-Arbeit. Und bringt uns damit zurück in die gute alte Zeit: nämlich die des einen einzigen Passworts. Denn für den Passwort Manager braucht man ein Master-Keyword. Das sollte man sich sehr gut merken oder im Tresor einschließen. Um alles andere muss man sich dann aber keine Gedanken mehr machen.

 

Das Fazit: Zwei Jahre DSGVO & TISAX

Die größten Irrtümer – und wie man sie lösen kann

Datenschutz und Informationssicherheit. Beides Themen, die schon allein vom Wort her nach viel Arbeit und wenig Freude klingen – und für die sich daher kaum einer freiwillig interessiert. Dazu dann die reellen Anforderungen und die inhaltliche Komplexität, die im ersten Moment verwirren und verunsichern können. Aber Tatsache ist: niemand kommt mehr daran vorbei. Welche Erfahrungen gibt es mittlerweile aus DSGVO- und TISAX-Projekten? Welche Irrtümer und Fehler passieren oft? Und welchen Nutzen kann ich als Unternehmen daraus ziehen? Nach zwei Jahren intensiver Zusammenarbeit mit kleinen und großen Kunden in unterschiedlichen Branchen quer durch Deutschland ziehen wir ein erstes Fazit.

Was sind das eigentlich für Kunden?
Und in welcher Situation rufen sie bei uns an?

»Der Einkauf von unserem Automobilkunden fordert jetzt TISAX« oder »Unser Auftraggeber hat uns drei verschiedene Datenschutz-Fragebögen geschickt« – in dieser konkreten Situation kommen unsere Kunden auf uns zu, und oft ist auch schon Druck auf dem Kessel. Mittlerweile betrifft es quer durch die Bank alle Unternehmen und Branchen. Besonders auch für das Thema TISAX gilt: Wer mit der Automobilbranche zu tun hat, kann inzwischen täglich mit einem Aufruf zum Audit rechnen. Das Spektrum umfasst in unseren Projekten Motorenentwickler, Ingenieurbüros, KfZ-Klimatechniker, Event- und Kreativagenturen, Prototypenbauer und -tester sowie Stahlbau-Unternehmen. Auch alle Unternehmensgrößen sind dabei, von 10 bis mehreren Tausend Mitarbeitern ist alles dabei. TISAX und DSGVO betrifft alle, und alle müssen für sich die Frage beantworten, wo sie stehen, wie sie die Auflagen erfüllen und in die Unternehmenskultur integrieren können.

Was sind die fünf größten Irrtümer – und was die Lösung?

Mittlerweile gibt es viele Erfahrungswerte auf Seiten der Unternehmen. Dennoch ist es erstaunlich, wie viele Irrtümer und Fehleinschätzungen sich zu den Themen TISAX und DSGVO hartnäckig halten. Hier die beliebtesten fünf – und erst danach unser Lösungsansatz.  

  1. Es ist KEIN IT-Projekt

In 90% aller Fälle landen diese Themen beim IT-Chef. Dort ist das Thema allerdings ganz falsch aufgehängt. Das wird auch der IT-Chef merken, nachdem er sich die Anforderungen eines TISAX-Audits angeschaut hat. Er wird das Thema nicht lösen können. Informationssicherheit und Datenschutz betreffen jeden Bereichs des Unternehmens: die Geschäftsführung, Human Resources, die Legal Abteilung, Controlling und jeden einzelnen Mitarbeiter.

Lösung: Das Thema ist von Anfang an ein Chef-Thema und ist nur in der Geschäftsführung richtig aufgehängt. Um ihn herum baut ihr eine Task-Force auf, ein internes Team, das sich dauerhaft um die Aufgaben kümmert.

 

  1. Man kann es nicht outsourcen

Das Unternehmen kann diese Aufgabe nicht komplett an ein externes Unternehmen übertragen, das sich »damit auskennt« und sich »um alles kümmert«, nach dem Motto, »Macht, dass wir TISAX haben.« Es passiert jedoch nichtdestotrotz, vor allem, weil die Verantwortlichen am liebsten nichts mit der Sache zu tun haben wollen und schlicht und ergreifend genug anderes zu tun haben. Dies wird nicht funktionieren, denn TISAX und DSGVO haben zu viel mit den internen Prozessen zu tun.

Lösung: Statt das Thema »über den Zaun« zu einem externen Profi zu werfen, sucht die enge Zusammenarbeit und Verzahnung Eures Unternehmen mit einem spezialisierten externen Profi, sozusagen eine »innen-außen«-Kooperation.  

 

  1. Nein, eine Firewall reicht nicht

»Wir haben jetzt dieses Angebot für eine neue Firewall eingeholt – das wird das Thema ja dann lösen, oder?« (Originalzitat). Ähm – nein. Wir haben noch keine Firewall gesehen, die technische, organisatorische und bauliche Maßnahmen umsetzt – und dann auch noch die Mitarbeiter schult.

Lösung: Siehe 1.

 

  1. Ein Audit ist keine GAP-Analyse

Vor dem ersten Audit keine GAP Analyse zu machen, ist ein bisschen so, als würde ein Restaurant das Gesundheitsamt anrufen, ohne vorher die Küche zu putzen.

Lösung: Wenn ihr zusätzliche Prüfungsschleifen (und Kosten) vermeiden wollt, solltet ihr euch zuerst einen Überblick über den aktuellen Stand der eigenen Sicherheitsstandards verschaffen – mittels einer Gap-Analyse. So könnt ihr im Vorfeld schon Maßnahmen ergreifen, um die Anforderungen von TISAX und DSGVO zu erfüllen.

 

  1. Es ist nicht mal eben gemacht und es ist nie zu Ende

Ok, geschafft. Audit bestanden. Aber das größte Problem kommt zum Schluss. Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern sich nachweisbar verbessert werden – und das wird regelmäßig geprüft. Wenn man bei der viel härteren Re-Zertifizierung, in der Regel nach drei Jahren, keine Prüfprotokolle, Auditberichte und Dokumentation nachweisen kann, fällt man durch und verliert die Zertifizierung.

Lösung: Die interne, feste Taskforce kümmert sich gemeinsam mit dem ISB (Informationssicherheitsbeauftragten) und dem DSB (Datenschutzbeauftragten) ab sofort dauerhaft um das Thema, nicht, um es zu verwalten, sondern es weiter zu entwickeln.

Mehr Infos zu TISAX:

https://www.marcopeters.de/tisax/
https://www.nextwork.de/tisax

TISAX | Wie Unternehmen eine Zertifizierung erhalten

tisax

Was ist TISAX überhaupt?

Immer mehr Unternehmen, die für Kunden aus der Automobilindustrie arbeiten, brauchen  eine TISAX-Zertifizierung bzw. TISAX-Freigabe. TISAX ist der neue, von der Automobilindustrie definierte, Standard für Informationssicherheit. Die Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) haben einen eigenen Katalog erstellt, der von der internationalen Industrie-Norm ISO27001 abgeleitet und an die Anforderungen der Automobil-Welt angepasst wurde

Wer kann helfen?

Wir bei nextwork haben aus den bisherigen 50+ Projekten, die wir erfolgreich begleitet haben, einen Maßnahmenkatalog erstellt mit dem wir einfach und effektiv auf TISAX umrüsten. Dank dieses Know-hows können wir in den meisten Fällen auch den Auditierungsprozess beschleunigen.

Warum treten Unternehmen an uns heran?

Wir weisen unsere Kunden bereits seit Anfang 2017 darauf hin, dass das Thema TISAX® relevant wird. Nur wenige möchten von den neu auferlegten Regelungen nicht überrumpelt werden und haben bereits vorbereitende Maßnahmen getroffen, indem sie ein ISMS einführen. Die meisten melden sich allerdings erst bei uns, wenn die Einkaufsabteilung ihres Kunden die Aufforderung zum Audit auf den Tisch legt. Klar ist in diesem Fall schon richtig Druck auf dem Kessel. Oft erleben Unternehmen so eine Situation zum ersten Mal. Dann ist die Unsicherheit groß und es gibt eine Menge Klärungsbedarf – und viel zu tun..

Wie sieht grob die Vorgehensweise aus?

Als erstes gehen wir eine Gap-Analyse an, stellen also den Status quo dar. Im Abgleich mit dem TISAX-Anforderungskatalog (VDA ISA) wissen wir so sehr schnell, auf welchem Stand das Unternehmen ist – und was im nächsten Schritt zu tun ist. Auf dieser Basis starten wir mit der ersten Phase der Umsetzungsmaßnahmen, bis das Audit stattfindet. Beim Audit selbst erfasst der Zertifizierungs-Auditor den Status quo und erstellt eine Liste der noch zu ergreifenden Maßnahmen. Auf dieser Basis beraten wir das Unternehmen dann in der zweiten Phase der Umsetzung. Am Ende stehen Freigabe und *Zertifikat.

Wie fangen wir an?

Mit einem Kick-off. Wir besprechen mit der Geschäftsführung die Ausgangslage. Sprich: Wann der Audittermin ansteht, welches Timing vorgegeben ist – und daraus abgeleitet, welche Vorgehensweise sich ergibt.

Wie lange dauert das?

Normalerweise geht man bei der Implementierung eines ISMS von einem halben Jahr Laufzeit aus, da in den meisten Unternehmen der Status quo bei nahezu Null steht. Oft muss es jedoch schneller gehen: Der Fachbereich des Kunden kann solange nicht beauftragen, bis dem Einkauf eine TISAX-Freigabe vorliegt! Umso wichtiger ist es jetzt, auf einen Berater zurückzugreifen, der auf TISAX spezialisiert ist.

Wie hoch ist der Aufwand für die Einführung?

(Bei Unternehmen mit ca. 10 bis 99 Mitarbeitern)
ca. 10 – 30 externe Beratertage
ca. 20 – 60 interne Personentage (ISB, IT, HR)
ca. 3 – 8 Monate Umsetzungszeit

Wie hoch ist der Aufwand für den Betrieb?

(Bei Unternehmen mit ca. 10 bis 99 Mitarbeitern)
ca. 1 – 2 Personentage pro Monat für den ISB (intern oder extern)
ca. 2 – 4 Personentage pro Monat für das DST (intern)

Welche Unternehmensbereiche betrifft TISAX?

In den meisten Fällen landet das Thema reflexartig auf dem Tisch des IT-Chefs. Dabei betrifft TISAX alle Prozesse und Abläufe. Zu 75% Prozent geht es also gar nicht um IT. Vielmehr geht es um Fragen wie: Wie läuft das On- und Offboarding (Schlüsselübergabe, Zugriffsberechtigungen, Einarbeitung in die Prozesse)? Wie wird mit Externen, also Lieferanten, Dienstleistern und Freelancern, umgegangen (Geheimhaltungen, Datenschutz-Verträge, Daten-Austausch)? Gibt es Notfallpläne für Wasser- und Gebäudeschäden sowie Stromausfälle??

Wer sollte involviert werden?

TISAX ist Chefsache, also ein Thema für die Geschäftsführung. Da TISAX alle Prozesse und Abläufe im Unternehmen betrifft, müssen auch alle Fachbereichsleiter mit an den Tisch: HR, Legal, Projektleitung, IT und Office Management. Die Projektleitung für die Vorbereitung des Audits machen wir; in enger Zusammenarbeit mit euch. Wir sind also auf eurer Seite.

Wer prüft und stellt das Zertifikat aus?

Das Zertifizierungsaudit selbst führt dann ein externer Auditor durch, der separat und unabhängig beauftragt wird. Auf dem Internetauftritt der ENX (www.enx.com) finden sie eine Liste aller akkreditierten TISAX-Prüfdienstleister. Achtung: Es gibt kaum noch Termine für die nächsten sechs Monate um einen Prüfdienstleister für ein Zertifizierungsaudit zu bekommen. 

Mehr Infos zu TISAX bei nextwork:

https://www.nextwork.de/tisax

Zwei Welten: Coworking und Datenschutz

„In unserem globalen Netzwerk von Arbeitsbereichen stehen persönliche Zusammenarbeit, gegenseitige Inspiration und Großzügigkeit an erster Stelle“, heißt es bei wework, einer der größten globalen Coworking-Anbieter (die dieses Jahr übrigens rund 4,4 Milliarden US-Dollar an Venture-Capital eingesammelt haben). Keine Frage, Coworking ist ein superheißer Trend. Alleine in Berlin gibt es weit über 100 Angebote dieser Art.

Der Trend geht über das reine Geschäftsmodell „Anbieten von Coworking-Space“ hinaus. Heute ist bei jedem modernen Bürobauprojekt Coworking bereits Standard. Es werden Flächen eingeplant, die ausgewiesenermaßen an Externe vermietet werden können. Ein prominentes Beispiel ist der neue Kreativcampus des Axel-Springer-Verlags in Berlin Mitte (Rem Kolhaas, Fertigstellung 2020): Hier umfasst die Planung CoworkingSpaces.

Auch Kreativagenturen werden zu Coworking-Space-Anbietern: Sie vermieten flexible Flächen an freie Projektteams und Freelancer unter. Am 19. Oktober 2017 verkündete Serviceplan hierzu den Launch eines Coworking-Angebots zusammen mit einer Hotelgruppe: RUBY und die Serviceplan Gruppe starten mit einem ersten gemeinsamen Coworking Space ein Joint Venture. Der Hotspot für kreatives, agiles und innovatives Arbeiten wird im Dezember 2017 eröffnet.

Schöne neue Welt des Coworkings

CoworkingSpaces kommen den „Grundbedürfnissen“ von Kreativen nach: schnelles Internet, 24-Stunden-Zugang, fette Drucker und Cappuccino aus der Siebträgermaschine. Aber sind Coworking-Spaces nicht noch mehr?

Vielleicht sind Coworking-Spaces heute das, was Agenturen in den 90er Jahren waren: Orte des unkomplizierten kreativen Austauschs, wo sich Creative Class, Hipster und Digitale Nomaden die Hand geben, immer ein mega angesagtes Projekt am Start. Wer einmal in einem Coworking-Space gearbeitet hat, weiß, dass hier andere Werte als in der gewöhnlichen, veralteten Arbeitswelt gelten: Kollaboration statt Silo-Denke, Flexibilität statt starre Struktur, Inspiration statt Hierarchien. Coworking ist nicht nur ein Trend, sondern ein Paradigmenwechsel in der Art und Weise, wie Menschen in Zukunft zusammenarbeiten.

Aber – Entschuldigung, dass ich jetzt der Spielverderber sein muss – wie ist das vereinbar mit den immer strenger werdenden Auflagen für Datenschutz und Informationssicherheit?

Der Gegentrend: TISAX und Datenschutz

In immer mehr Branchen wird von Unternehmen verlangt, eine Zertifizierung für die Erfüllung bestimmter Kriterien der Informationssicherheit einzuholen. Das betrifft etwa Agenturen und Zulieferer, die für die Automobilindustrie arbeiten. Sie brauchen ab 2018 ein TISAX-Zertifikat, ein von der Automobilindustrie definierter Standard für Informationssicherheit, um für Kunden wie VW oder BMW arbeiten zu dürfen. Ebenso relevant ist die Einhaltung der EU-Datenschutz-Grundverordnung, die den „Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ (Art. 1 Abs. 2 DSGVO) zum Ziel hat.

Das Problem mit dem Datenschutz in Coworking-Spaces

Betrachtet man das Arbeiten unter Einhaltung der Informationssicherheits- und Datenschutzrichtlinien im Vergleich zur kreativen Arbeit in einem Coworking-Space, wird schnell ersichtlich: Hier sind zwei gegensätzliche Kräfte am Werk. Denn offensichtlich kann man Informationssicherheit und Datenschutz in der freigeistigen Welt der Coworking-Spaces nur schwer gerecht werden.

In Unternehmen, die mit sensiblen Daten umgehen, werden die Mitarbeiter zum Thema Datenschutz geschult. Es gibt einen Standard, zu dem sich das Unternehmen verpflichtet hat, und Richtlinien, die Orientierung und Handlungsanweisungen geben. Für dessen Einhaltung werden auch die Voraussetzungen im Büro geschaffen. Doch was, wenn Mitarbeiter auch im Homeoffice oder in einem Coworking-Space arbeiten dürfen? Oder wenn man mit Freelancern zusammenarbeitet, die regelmäßig im Coworking-Space sitzen?

In den offenen Räumen eines Coworking-Spaces laufen stets andere Coworker um die Schreibtische herum und holen sich Kaffee. Es herrscht eine Atmosphäre des lockeren Austauschs. Man guckt ganz automatisch auch mal auf den Bildschirm des Sitznachbarn und sieht Kalender, E-Mails oder vertrauliche Dokumente. Sie werden ja auch offen auf dem Bildschirm angezeigt. In Gesprächen fallen die Namen der Kunden und Ansprechpartner – oder sogar Details aus einem Projekt, das einer Vertraulichkeitsvereinbarung unterliegt. Man geht zum Drucker und sieht die Dokumente eines anderen Coworkers im Druckerfach liegen. Oder man wirft einen Blick in den Mülleimer und sieht Ausdrucke mit sensiblen Daten, die jeder lesen kann.

All diese Szenarien sind in Coworking-Spaces Alltag. Sie zeigen: Datenschutz und Informationssicherheit sind im Coworking-Space noch nicht angekommen. Coworking-Spaces sind sozusagen eine „Grauzone“ der Informationssicherheit. Oder einfach ein gigantisches, potenzielles Datenloch.

Wie können sich Coworker richtig verhalten?

Um das nochmal zu betonen: Ich spreche hier von solchen Projekten, für die ein Coworker eine Geheimhaltung (NDA) unterschrieben hat. Der Auftraggeber hat ihn somit in die Pflicht genommen, bestimmte Auflagen einzuhalten. Falls diese nicht präsent sind, sollte man im Zweifel nochmal nachschauen. In den meisten NDAs stehen mittlerweile ziemlich strenge Auflagen drin, z. B. E-Mail-Verschlüsselung, Passwort-Politik oder Einschränkungen bzgl. Datenaustauschtools (z. B. kein WeTransfer). Als professioneller Coworker muss man sich des Themas bewusst sein und sich ggf. neue Verhaltensweisen angewöhnen.

Lösung für Coworker: Lass dir die entsprechende Richtlinie deines Auftraggebers zeigen. Meist heißt sie Richtlinie zur EDV-Nutzung, Informationssicherheitsrichtlinie oder Betriebsrichtlinie. Jede moderne, gut gemachte Richtlinie regelt beispielsweise auch mobiles Arbeiten: Wie telefoniere ich richtig am Flughafen oder im Zug? Wie arbeite ich im Flieger am Laptop? Was muss ich im Homeoffice beachten? Wie verwalte ich Passwörter? Wenn man diese Richtlinien einhält, kann man überall arbeiten, auch im Coworking-Space.

Wie können sich Unternehmen richtig verhalten?

Unternehmen müssen auf jeden Fall eine Richtlinie haben. Diese muss umfassend gedacht und gemacht sein. Idealerweise ist sie den sich ständig ändernden Realitäten der Arbeitswelt einen Schritt voraus. Eine moderne Informationssicherheitsrichtlinie regelt beispielsweise den immer wichtiger werdenden Themenbereich mobiles Arbeiten“.

Das reicht aber noch nicht aus, denn eine Richtlinie, die alles umfasst, aber von niemandem gelebt wird, hilft auch nicht weiter. Mein Ansatz hierbei ist vor allem: Das angestrebte Sicherheitsniveau kann nur dann erreicht werden, wenn man den Mitarbeitern praktische Werkzeuge und Handlungsbeispiele gibt, mit denen sie Richtlinien auch im Alltag umsetzen können

Lösung für Unternehmen: Ganz wichtig ist, dass diese Richtlinien eben nicht nur feste, sondern auch freie Mitarbeiter einhalten müssen (es reicht nicht, letzteren nur einen NDA hinzulegen). Das Thema Mobiles Arbeiten“ – und hier eben auch „Arbeiten im Coworking-Space“ – sollte praktikabel in die Richtlinie integriert werden.

So können denn auch diese beiden scheinbar unvereinbaren Kräfte, die unsere Arbeitswelt verändern, – Coworking und Datenschutz – friedlich miteinande coexistieren.