Fokusthemen

ORGANISATIONALE RESILIENZ.INFORMATIONSSICHERHEIT.MEHR

Unser Fokus im August 2023

Industrie 4.0 braucht Sicherheit

Die Verschmelzung von IT und OT revolutioniert die Industrie. Moderne Technologien und Konzepte wie Machine Learning, Analytics und Predictive Maintenance bilden die Basis für Wertschöpfung und neue Geschäfts­modelle. Dazu werden in der smarten Fabrik immense Datenmengen erhoben, analysiert und geteilt. Alles ist vernetzt und es entsteht hohe Interkonnektivität, aber auch zuneh­mende Komplexität. Was dabei oft nicht ausreichend berücksichtigt wird: Die Sicher­heit. Dabei ist sie in smarten Fabriken unabdingbar. Denn zunehmende Vernetzung und Offenheit öffnen gleichzeitig neue Angriffsvektoren.

Während die Digitalisierung in der Industrie rasant voranschreitet, besteht eine Diskrepanz in Bezug auf die Sicherheit von Infrastrukturen, Informationen und Prozessen. Die Entwicklung weg von in sich geschlossenen hin zu offenen Systemen bringt neue Einfallstore mit sich. Ein weiterer Grund: In der digitalisierten und vernetzten Fabrik werden zahlreiche neuartige Technologien und Lösungen eingesetzt, die noch nicht umfassend erprobt sind.

Industrie 4.0 erfordert daher eine ganzheitliche Sicherheitsstrategie.

Unabdingbar sind neben der technischen Sicherheit auch ausgereifte, praxis­taugliche Konzepte und Standards. Es gilt, ein übergreifendes Mana­gementkonzept zur risikoorientierten Steuerung der Informations­sicherheitsmaß­nahmen umzusetzen.

Dieses ganzheitliches Sicherheitskonzept muss ermöglichen, sowohl die Informationssicher­heit als auch weitere zusammenwirkende Aufgaben wie Notfallmanage­ment, Service- und Prozessmanagement u.a. ganzheitlich zu betrachten. Durch die integrative Be­trachtung wird aufgedeckt, an welchen Stellen die Verknüpfung der verschiedenen Teildisziplinen Schwierigkeiten bereitet. Instrumente wie eine Control Data Base und ein zentrales Information Risk Repository gewährleisten kontinuierlich einen sehr diffe­renzierten Überblick zu den gesamten Prozessen, Rollen, Erforder­nissen, Überschnei­dungen und Projektprioritäten. Auf dieser Basis können auf die Unternehmenssituation angepasste Konzepte für organisationale Resilienz definiert und ausgeprägt werden.

Unser Fokus im Mai 2023

Künstliche Intelligenz - die Büchse der Pandora?

Die Künstliche Intelligenz (KI) bietet eine Vielzahl an Chancen, um den Menschen in vielen Bereichen des täglichen Lebens und bei der Arbeit zu unterstützen und zu entlasten. Allerdings birgt die Technologie auch Risiken, die oft übersehen werden. CARMAO, Spezialist für Organisationale Resilienz, stellt die Frage: Wurde mit der Entwicklung der künstlichen Intelligenz die Büchse der Pandora geöffnet?

Ein zentrales Problem der KI ist die Frage der Kontrolle. Die meisten heutigen KI-Systeme sind so konzipiert, dass sie selbstständig lernen und Entscheidungen treffen können, ohne dass menschliche Intervention erforderlich ist. Dies kann zu unerwünschten Ergebnissen führen, wenn das KI-System Entscheidungen fällt, die nicht im Interesse der Menschen sind. Ein Beispiel dafür ist das sogenannte „algorithmische Bias“. Hier geht es um algorithmische Vorurteile, die zu unfairen oder benachteiligenden Behandlungen von Personen aufgrund von Ethnie, Einkommen, Geschlecht oder Ähnlichem führen können – beispielsweise in Bewerbungsverfahren.

Ein weiteres Risiko der Künstlichen Intelligenz ist, dass sich Cyberkriminelle Schwachstellen in Algorithmen zunutze machen und Daten manipulieren, um bösartige Handlungen vorzunehmen. KI-Systeme, wie beispielsweise Chat GPT, könnten für kriminelle Zwecke eingesetzt werden, zum Beispiel, um Benutzerdaten zu stehlen bzw. zu löschen. Auch Datenschutzverletzungen sind vorprogrammiert: KI-Systeme erfordern große Mengen an Daten, um zu funktionieren, was bedeutet, dass sie möglicherweise auch auf sensible Informationen zugreifen können. Zudem geben die Programme in der Regel keine Quelle an, was es erschwert, die Ergebnisse zu validieren und zu Falschaussagen mit rechtlichen Konsequenzen führen kann. 

Je mehr KI-Programme eingesetzt werden, desto mehr greifen sie in die Lebenswirklichkeit der Menschen ein. Die Programme sammeln immer mehr Daten und können damit Nutzerprofile erstellen, die Informationen über deren Verhaltensweisen, Vorlieben und Interessen enthalten. Diese Informationen lassen sich von Unternehmen, Regierungen oder anderen Dritten einsetzen, um gezielte Werbung, Überwachung oder andere Zwecke zu betreiben.

Es ist wichtig, die Risiken der Künstlichen Intelligenz ernst zu nehmen und sicherzustellen, dass KI-Systeme sicher und ethisch einwandfrei sind. Es muss gewährleistet werden, dass die Vorgaben der DSGVO rechtskonform umgesetzt werden. Zudem muss die Verarbeitung personenbezogener Daten so gestaltet sein, dass nur Befugte auf Daten, IT-Systeme und Prozesse zugreifen können und diese nicht verfälscht werden können“, sagt Ulrich Heun, Geschäftsführer bei CARMAO.

Verantwortung übernehmen – dann ist KI eine große Chance

„KI ist noch lange nicht am Leistungsgipfel angekommen. Sie wird einige Bereiche des Lebens und Arbeitens revolutionieren und Menschen entlasten. Sowohl Politik und Wirtschaft als auch die Gesellschaft sind jedoch gefordert, einen verantwortungsvollen Umgang mit der Künstlichen Intelligenz zu fördern. Es gilt, sicherzustellen, dass die Chancen der Technologie für die Gesellschaft genutzt werden können, ohne dabei die Risiken aus den Augen zu verlieren“, erklärt Ulrich Heun.

Unser Fokus im April 2023

Mit Weiterbildung dem Fachkräftemangel begegnen

In Zeiten des Fachkräftemangels nimmt die Qualifikation von Fach- und Führungskräften einen immer größeren Stellenwert ein. Mehr und mehr Unternehmen und Organisationen gehen dazu über, in den eigenen Reihen Fachleute auszubilden oder Mitarbeitende für neue Skills weiterzubilden und so ihren Bedarf zu decken. Aus diesem Grund haben wir unseren bisherigen Geschäftsbereich „Qualifications“ zu einer vollwertigen Akademie mit dem Schwerpunkt „Organisationale Resilienz“ weiterentwickelt.

Viele Unternehmen finden nicht genügend Fachkräfte, da die deutsche Wirtschaft unter einem strukturellen Problem leidet. Dazu kommt, dass die Zahl der Arbeitskräfte in Folge des demographischen Wandels abnimmt. Durch die rasant voranschreitende Digitalisierung entstehen außerdem zahlreiche neue Berufsbilder und diese wollen abgebildet werden. Ein probates Mittel gegen den Fachkräftemangel ist die Qualifizierung von Mitarbeitenden. Viele Arbeitskräfte streben danach, sich stetig weiterzuentwickeln. Dies können Unternehmen für sich nutzen, indem sie ihren Mitarbeitenden Weiterbildungen ermöglichen.

„Eine resiliente Organisation kann nur eine lernende Organisation sein. Dafür ist es wichtig, auch die Potenziale und Bedürfnisse der eigenen Belegschaft zu sehen. Denn ein erkanntes Talent kann gut intern für eine spezielle vakante Position weitergebildet werden. Mitarbeitende, die im Unternehmen ausgebildet werden, können für mehr organisationale Resilienz, Wirtschaftlichkeit und nachhaltigen Erfolg sorgen“, erklärt unser Geschäftsführer Ulrich Heun.

Academy als Antwort auf den Fachkräftemangel

Bisher haben wir  Unternehmen im Rahmen der „CARMAO Qualifications“ unterstützt – unter anderem bei der Erstellung eines Masterplans für die Entwicklung von Fach- und Führungskräften zur Übernahme von Verantwortung in Themenbereichen wie Informationssicherheit, Business Continuity, IT-Service Management und IT-Service Continuity Management, Compliance sowie Datenschutz. Mit der „Academy for Organizational Resilience“ wird dieser Bereich nun weiter ausgebaut.

Die bisherigen organisatorischen und thematischen Schwerpunkte bleiben in der Academy erhalten. Sie bietet damit ein breites Spektrum an Kursen und Personen-Zertifizierungen in Verbindung mit den notwendigen Soft Skills für Führung und Kommunikation. 

Im Bereich Personen-Zertifizierungen arbeiten wir wie gewohnt vorrangig mit der PECB zusammen. Der kanadische Anbieter für Personen-Zertifizierungen ist insbesondere auf den Bereich ISO-Managementsystemnormen spezialisiert.

Lernen in der Akademie oder im Unternehmen

Jedes Seminar der Academy ist auch als individualisiertes Inhouse-Angebot buchbar. Ulrich Heun sagt: „Alle Dozenten der Academy for Organizational Resilience bringen eine breite Erfahrung aus diversen Projekten als Beratende ein und gewährleisten eine praxisnahe Ausbildung. So lässt sich über die theoretischen Grundlagen hinaus ein hoher Praxisbezug als Mehrwert schaffen. Darüber hinaus basieren die Kurse auf einer modernen methodischen Grundlage, die bestmögliche Lernergebnisse gewährleistet. Da die Academy offen für neue Partner ist, können wir unser Angebot kontinuierlich erweitern.“

Neben der Kompetenzvermittlung zu spezifischen Themen werden in der Academy auch berufs- bzw. aufgabenspezifische Curricula bereitgestellt, mit der Mitarbeitende gezielt auf die Aufgaben als Informationssicherheitsbeauftragte, Business Continuity Manager oder Datenschutzbeauftragte vorbereitet werden können.

Die „Academy for Organizational Resilience“ wird zudem verstärkt Konferenzen ausrichten. So findet am 14. Juni der „2. IT-Grundschutz-Tag“ in Limburg an der Lahn statt. Weitere Schwerpunkte bilden die zweimal jährlich stattfindende „CARMAO Datenschutz Conference (CDC)“, die Know-how-Transfer zum Thema Datenschutzmanagement aus der Praxis für die Praxis bietet, sowie das neue „CARMAO Resilience Summit“ im Frühjahr 2024. Er soll ein Forum für alle werden, die ihr Unternehmen zukunftssicher machen wollen. In Keynote, Vorträgen und Diskussionen wird ausgelotet, wie sich Unternehmen und Organisationen auf zukünftige Herausforderungen vorbereiten können.

Unser Fokus im März 2023

Erfassung von Verarbeitungstätigkeiten ist essenziell für den Datenschutz

Was viele Unternehmen nicht wissen: Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten im Sinne des Datenschutzes ist keine Kür, sondern Pflicht. Verantwortliche für die Verarbeitung personenbezogener Daten, einschließlich Drittanbieter wie Cloud-Service-Provider, Marketingagenturen und Datenanalytik-Unternehmen, müssen Verarbeitungstätigkeiten festhalten und dokumentieren. Doch es gibt Ausnahmen von der Regel. Die Verarbeitungstätigkeiten an sich sind als wesentliche Vorgabe der DSGVO fest definiert, aber das Verzeichnis muss beständig angepasst und überwacht werden. Wir geben einen Überblick, wer Auskunft geben muss und worüber.

„Das Verzeichnis von Verarbeitungstätigkeiten ist Artikel 30 der DSGVO und verpflichtend. Das ist vielen nicht bekannt. Das VVT ist eine wichtige Maßnahme zur Gewährleistung des Datenschutzes und der Wahrung der Rechte der betroffenen Personen. Unternehmen müssen sicherstellen, dass die Daten, die sie sammeln, verwenden und speichern, geschützt und sicher sind. Doch es gibt auch Ausnahmefälle“, erklärt unser Geschäftsführer Ulrich Heun.

Unternehmen mit weniger als 250 Mitarbeitenden, die keine komplexen Datenverarbeitungstätigkeiten ausführen, müssen im Prinzip kein VVT führen. Hierbei gibt es jedoch auch Abweichungen. Denn grundsätzlich sind auch kleinere Unternehmen verpflichtet, den geltenden Datenschutzgesetzen zu entsprechen und personenbezogene Daten angemessen zu schützen. In bestimmten Fällen, wie z. B. bei der Verarbeitung sensibler personenbezogener Daten, kann es also trotzdem erforderlich sein, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Denn in fast jedem Unternehmen werden Personalakten geführt, Kundendatenbanken verwaltet oder Newsletter versandt. Somit werden personenbezogene Daten verarbeitet, für die eine Verpflichtung zur Erfassung im Sinne des VVT besteht.

Mehr Sicherheit, weniger Risiko – durch besseren Einblick in die Prozesse

Das Verzeichnis von Verarbeitungstätigkeiten ist das Kernstück einer jeden Datenschutzdokumentation und gibt Auskunft darüber, welche Verarbeitungsvorgänge im Unternehmen stattfinden. Zudem ergibt sich ein Überblick über die Prozesse und ob diese noch zeitgemäß sind oder angepasst werden müssen. Durch die Dokumentation von Verarbeitungstätigkeiten kann das Unternehmen sicherstellen, dass es den geltenden Datenschutzgesetzen entspricht und dass personenbezogene Daten angemessen geschützt werden. Außerdem kann die Überwachung dabei helfen, Datenschutzrisiken zu identifizieren und zu minimieren.

„Erst durch ein akkurates Verzeichnis von Verarbeitungstätigkeiten ist es möglich, die in einem Unternehmen stattfindenden Verarbeitungsvorgänge zu überschauen, zu kontrollieren, auf ihre Zulässigkeit hin zu überprüfen und damit alle verbundenen Risiken zu bewerten. So lässt sich Handlungsbedarf erkennen und in angemessener Art umsetzen“, sagt Ulrich Heun.

Datenschutz einfach und praktisch umsetzen

Auf der CARMAO Datenschutz Conference am 25.4.2023 erfahren Sie, wie Sie Datenschutz in Ihrer Organisation ganz praktisch und einfach umsetzen können. An konkreten Beispielen, in kurzen Workshop-Sessions und praxisnahen Vorträgen beleuchten die CARMAO-Experten, wie Verantwortliche den Überblick über die vielfältigen Aufgaben im Bereich der Verarbeitungstätigkeiten behalten. 

Unser Fokus im Februar 2023

Security Awareness kann spielend einfach sein

IT-Sicherheit in Unternehmen ist nur so gut, wie der Mensch, der die Systeme bedient. Aus diesem Grund zielen immer mehr Angriffsmethoden auf Mitarbeitende ab. Wir zeigen Ihnen, wie die Belegschaft mit Security Awareness-Maßnahmen für gängige Cyber-Gefahren und Sicherheitslücken sensibilisiert werden kann. Am besten funktioniert eine spielerische Methodik, wie in unserem Security Awareness-Programm, das unter anderem Kurse mit Gamification-Ansatz bietet. Gamification macht ein komplexes Themenfeld „greifbar“ und lebendig. Das Lernen gestaltet sich kurzweilig und Inhalte bleiben besser im Gedächtnis.

„Den größten Erfolg zeigt Gamification, wenn der gesamte Lernprozess so angelegt wird, dass er für Lernende Spaß bringt, eine Herausforderung darstellt und Fortschritte ermöglicht. Ein entsprechender E-Learning-Kurs für den Bereich Cyber Security kann eine eigene kleine 3D-Welt bieten, in der Lernende in Interaktion treten und so direkt Einfluss auf die Abläufe des Kurses nehmen können“, erklärt unser Geschäftsführer Ulrich Heun.

Mit interaktiver Story hohen Lerneffekt erzielen

Bei einem E-Learning-Kurs mit Gamification-Ansatz ist alles auf die direkte Beteiligung der Lernenden angelegt. Durch das Anklicken von Navigationspfeilen werden diese durch eine auf das Thema abgestimmte Geschichte geleitet. Sogenannte Branching Choices geben ihnen verschiedene Optionen zur Auswahl, die zu unterschiedlichen Ergebnissen führen. Ein weiteres zentrales Element eines solchen narrativen Kurses sind Konversationen. Dazu zählen Gespräche zwischen Menschen auf dem Bildschirm ebenso wie lautes Denken. Durch musikuntermalte Zwischensequenzen, Voice-Over oder Ambient Noise wird eine lernfördernde Atmosphäre geschaffen.

Ulrich Heun sagt: „Kurze Filmsequenzen führen die Benutzenden durch die Geschichte und kleine Spiele, teils mit Zeitlimits, sorgen für einen hohen Fun-Faktor. Ein Security Awareness-Kurs mit Gamification kann beispielsweise die Gefahren, die mit der Nutzung eines ungeschützten WLANS oder dem Anklicken eines Links in einer E-Mail verbunden sind, anschaulich in eine interaktive Story betten. Die Erfahrung findet realitätsnah statt und demnach ist der Lerneffekt sehr hoch.“

Kurse mit dem Gamification-Prinzip halten oftmals versteckte Inhalte, sogenannte Easter Eggs, bereit. Diese schaffen überraschende Momente und Aha-Effekte. Sie können durch genaues Hinsehen und kreatives Denken entdeckt werden. Ein Handout zum Ausdrucken bietet noch einmal alle wichtigen Informationen in schriftlicher Form. Es kann zum Beispiel in einem virtuellen Bildschirm angeklickt und als pdf heruntergeladen werden. Ein kleines Quiz kann den Kurs abschließen. So werden die zuvor gelernten Inhalte noch besser im Gedächtnis verankert.

CARMAO-Kurse mit Gamification-Ansatz fokussieren Cyber-Gefahren

Die CARMAO GmbH hat ein Security Awareness-Programm im Angebot, das unter anderem auf den Gamification-Ansatz setzt. Die entsprechenden E-Learning-Kurse fokussieren zum Beispiel auf Methoden wie fingierte Phishing-Angriffe; Social Engineering per E-Mail, per Telefon oder vor Ort; fingierte CEO-Fraud; WiFi-Hijacking oder USB-Attack.

„Insbesondere spielerisch angelegte und individuell zugeschnittene Awareness-Kampagnen können das Risiko von Cyber-Angriffen deutlich reduzieren. Denn die Übertragung von spielerischen Elementen und Mechanismen auf nichtspielerische Kontexte beeinflusst das Verhalten der Lernenden positiv. Wissen und Fähigkeiten lassen sich einfacher vermitteln und langfristig festigen“, sagt Ulrich Heun.

Unser Fokus im Dezember 2022

Fachkräftemangel ist Treiber für Managed Services

Längst ist es keine Frage mehr, ob sich ein Unternehmen digitalisiert, sondern wie und wann. Und dazu braucht es Fachkräfte. Viele Berufe sind im Technologie-Sektor so hochspezialisiert, dass die Suche nach Fachkräften insbesondere für kleine und mittelständische Unternehmen der nach der Nadel im Heuhaufen gleicht. Die Schere zwischen „Nachfrage“ und „Angebot“ klafft immer weiter auseinander. Managed Services werden daher immer beliebter. Sie können professionelle und zuverlässige Unterstützung geben, wenn z. B. die eigene IT-Abteilung an ihre Grenzen stößt, es an internen Fachkräften mangelt oder keine Ressourcen gebunden werden sollen.

„Gemäß einer aktuellen Studie des Digitalverbands Bitkom fehlen derzeit in Deutschland 137.000 IT-Fachkräfte. Stellen bleiben im Schnitt 7 Monate unbesetzt. Insbesondere KMU haben dabei häufig das Nachsehen, denn Konzerne bieten teils bessere Gehaltsstrukturen und Aufstiegschancen. Die Digitalisierung schreitet im Gegenzug immer schneller voran. Gut geschulte Fachkräfte sind elementar, um die digitale Transformation zu vollziehen und die damit einhergehenden zunehmend komplexen Anforderungen zu erfüllen. Wenn Fachpersonal im Unternehmen fehlt, können Managed Services Unterstützung leisten“, erklärt Ulrich Heun, Geschäftsführer der CARMAO GmbH.

Mit Business Continuity Management auf Krisen vorbereitet

Managed Services bezeichnen wiederkehrende Leistungen, deren Art, Umfang und Qualität ein Dienstleister vorab mit seinem Kunden definiert. Diese Services unterscheiden sich vom klassischen Outsourcing, also der umfassenden Auslagerung von Aufgaben. Ein wichtiger Managed Service im Sinne der Organisationalen Resilienz ist das Business Continuity Management (BCM). Es bereitet Unternehmen auf Zwischenfälle bzw. Krisen vor. Dabei setzt es auf Maßnahmen, welche die Fortführung der Unternehmensprozesse im Ernstfall absichern.

Verantwortlich dafür ist der Business Continuity Manager (BC-Manager). Er prüft, an welchen Punkten das Unternehmen verletzlich ist und erarbeitet einen Notfallplan. Der BC-Manager entwickelt das BCM-Programm gemäß den Richtlinien weiter. Damit ist die Widerstandsfähigkeit des Unternehmens gestärkt, und die Betriebsfähigkeit kann in Krisensituationen aufrechterhalten werden.

Wenn einem Unternehmen die Kapazität oder das Know-how fehlt, einen Business Continuity Manager zu installieren, kann ein externer BC-Manager als Service gebucht werden. Dieser kann vielfältige Aufgaben übernehmen, die im Wesentlichen vom Kontext der Organisation, ihren etablierten Prozessen und der Aufgabenverteilung abhängig sind. Die unterschiedlichen Leistungspakete richten sich nach Komplexität und Größe des zu betreuenden BC-Managementsystems.

Zum Aufgabenspektrum zählen in der Regel unter anderem das Konzeptionieren, Implementieren und Optimieren des Business Continuity Managements sowie des Krisenmanagements. Der BC-Manager entwickelt zudem operativ anwendbare Strategien für die Notfallversorgung sowie -bewältigung. Auch für die nachhaltige Umsetzung und Einhaltung der konzernweiten Vorgaben ist er zuständig. Zum Aufgabenfeld kann ebenso die Planung und Umsetzung von allgemeinen Schulungs- und Sensibilisierungsmaßnahmen gehören.

Digitale Transformation, IT-Sicherheit und Organisationale Resilienz erhöhen

„Insbesondere in Zeiten des Fachkräftemangels, der steigenden technischen Anforderungen und immer intelligenteren Angriffsmethoden empfiehlt es sich für Unternehmen, gewisse Funktionen auszulagern. Wir bieten für verschiedene Bereiche spezielle Managed Services an. So können über CARMAO beispielsweise ein externer Business Continuity Manager, Datenschutzbeauftragter und Informationssicherheits-beauftragter gebucht werden. Die Services helfen bei der digitalen Transformation, verbessern die Informationssicherheit und erhöhen die Organisationale Resilienz unserer Kunden“, erklärt Ulrich Heun.

Unser Fokus im Oktober 2022

Wie können kommunale Verwaltungen die Informationssicherheit verbessern und Rechtskonformität wahren?

In Einrichtungen auf kommunaler Ebene ist Compliance essenziell – insbesondere was die Informationssicherheit anbetrifft. Ihre Notwendigkeit wird auch in kleineren kommunalen Verwaltungen zunehmend erkannt. Compliance soll die Einhaltung von Regeln gewährleisten sowie Verstößen vorbeugen oder diese verhindern. Wir zeigen auf, welche Bausteine für Compliance wesentlich sind und wie sich entsprechende Maßnahmen umsetzen lassen.

„Als Bestandteil des gesamten moralischen und ethischen Wertekanons dient Compliance dem Schutz einer Institution. Gerade im öffentlichen Sektor gehört sie nicht zur Kür, sondern zur Pflichtübung. Richtlinien, Leitfäden und Regelwerke müssen in ihrem Sinn erfasst und umgesetzt werden. Kommunen, die sich nicht damit beschäftigen oder die Compliance vernachlässigen, riskieren, sich rechtlich auf Glatteis zu begeben“, erklärt Ulrich Heun, Geschäftsführer der CARMAO GmbH.

Rechtskonformität wahren und Compliance-Beauftragte einsetzen

Im Zuge von Compliance gilt es, Mindeststandards aber auch zahlreiche Regelungen zu beachten. Dazu zählen allgemeine gesetzliche Vorschriften, die auf EU-Ebene gelten oder dem Bundes- oder Landesrecht entspringen. Auch branchenspezifische gesetzliche Regularien sind dabei umzusetzen. Das betrifft neben der öffentlichen Verwaltung unter anderem auch Banken, Versicherungen und die Industrie. Darüber hinaus spielen technische Normen und Standards sowie unternehmensinterne Vorgaben für die Compliance eine wichtige Rolle.

Ulrich Heun sagt: „Da die Compliance-Anforderungen immer komplexer werden, empfiehlt es sich für kommunale Einrichtungen, ein entsprechendes Regelwerk zu etablieren und dazu eventuell fachlichen Rat von Dritten hinzuzuziehen. Dies sorgt für mehr Rechtssicherheit. Des Weiteren empfehlen sich Compliance-Beauftragte. Neben der proaktiven Prüfung von Prozessen, Praktiken und Dokumenten gehört die Schulung von Mitarbeitenden zu deren festem Aufgabengebiet. Bei der öffentlichen Auftragsvergabe z. B. stellen Compliance-Beauftragte sicher, dass die Aufträge rechtskonform vergeben werden.“

Compliance-Management-System als wichtigen Pfeiler installieren

Einen wichtigen Baustein innerhalb des Compliance-Managements stellen Security-Awareness-Lösungen dar. Sie sensibilisieren die Mitarbeitenden und ermöglichen z. B. die Einhaltung interner und externer Normen für die Bereitstellung und Verarbeitung von Informationen. „Durch die Digitalisierung steigt das Risiko von Cyber-Angriffen auch im öffentlichen Sektor. IT-Systeme und Verwaltungsvorgänge können jedoch durch technische und organisatorische Maßnahmen abgesichert werden. Schutzstrategien und Sensibilisierung der Mitarbeitenden erhöhen die Verfügbarkeit, Vertraulichkeit und Integrität von IT-Systemen und Daten“, erklärt Ulrich Heun.

Die Kommunen benötigen darüber hinaus ein nachhaltig funktionierendes Compliance-Management-System (CMS). Ein solches setzt Mindeststandards zur Orientierung und zur Handlungssicherheit. Ein CMS umfasst die Gesamtheit der in einer Organisation eingerichteten Maßnahmen, Strukturen und Prozesse – mit der Maßgabe, Regelkonformität sicherzustellen. Es kann auf bestehenden Informationssicherheits-Management-Systemen aufbauen und diese entsprechend ergänzen.

Unterstützung durch externe Compliance-Spezialisten einholen

Für so manche Kommune können die vielfältigen Compliance-Anforderungen eine Überforderung darstellen. Insbesondere dann, wenn das Aufgabenfeld durch immer neue gesetzliche Regelungen sehr unübersichtlich wird.

Kann eine Kommune nicht auf entsprechende interne Fachkräfte zurückgreifen, ist eine externe Beratung empfehlenswert. Wir unterstützen Unternehmen, Organisationen und kommunale Verwaltungen bei der Einführung und Prüfung von Compliance-Management-Systemen sowie der Verbesserung der Informationssicherheit – unter anderem mit Awareness-Lösungen. Organisationale Widerstandsfähigkeit wird so aufgebaut und die Möglichkeiten der Digitalisierung können sicher und flexibel genutzt werden.

Mehr zu dem Thema erfahren Interessierte am 3. November 2022 auf der „dikomm“ in Essen: Ulrich Heun referiert um 10:20 Uhr zu „Digitale Kommune – aber sicher?!“. www.dikomm.de

Unser Fokus im September 2022

Widerstandsfähig in Krisenzeiten - Der Grundgedanke der Organisationalen Resilienz

Manche Menschen meistern Krisen besser als andere. Sie besitzen eine entscheidende Stärke: Resilienz. Diese generelle Fähigkeit, Krisen, besondere Belastungen und schwierige Lebenssituationen gut zu bewältigen, lässt sich trainieren und stärken. Das gilt auch für Unternehmen und Organisationen. Denn ein starkes „Immunsystem“ kann existenzentscheidend sein. Resiliente Unternehmen sind widerstandsfähiger. Wir zeigen Ihnen, welche Stellhebel hierfür zu betätigen sind.

Unternehmen müssen sich heute schneller denn je auf Veränderungen einstellen. Globalisierung, Digitalisierung, immer kürzere Innovationszyklen und viele weitere Einflussfaktoren fordern eine hohe Dynamik und Flexibilität. Gleichzeitig steigen die Anforderungen an Informationssicherheit, Qualität, Compliance etc. Hinzu kommen Einflüsse wie Naturkatastrophen, Wirtschaftskrisen und vieles mehr. Um in dieser herausfordernden Zeit bestehen zu können, ist es so wichtig wie nie zuvor, die Belastbarkeit der unterschiedlichen Säulen in der Organisation zu stärken“, erklärt unser Geschäftsführer Ulrich Heun.

Maßnah­men zur Organisationalen Resilienz unterstützen die innere Widerstandskraft, das „Immunsystem“. Sie fördern die Fähigkeit eines Unternehmens oder einer Organisat­ion, sich syste­matisch auf aktuelle und künftige negative Einflüsse vorzubereiten und so darauf einzustellen, dass Schäden vermieden werden und die Zukunftsfähigkeit aufrecht­erhalten wird.

Beständigkeit und Flexibilität in einem

Resilienz fördert Stärke und Robustheit, bedeutet aber auch Flexibilität: Nachgeben und dennoch beständig sein – wie ein Baum im Wind. Um mit allen Bestandteilen des Unternehmens so fest verwurzelt zu sein, dass Gegenwind nicht zum Umfallen führt, müssen die dafür relevanten Strukturen und Prozesse entsprechend gestaltet werden. Dies lässt sich durch Managementsysteme unterstützen. Sie berücksichtigen die unterschiedlichen Zweige: Informationssicherheit, Compliance, Business Continuity und Risikomanagement ebenso wie Service-, Qualitäts-, Personal- und Innovations-Management. Das sind die zentralen Elemente, deren Umsetzung und Verästelung zur Organisationalen Resilienz führt.

Ulrich Heun erklärt: „Die organisationale Resilienz hat sehr viele Facetten. Es ist daher erfolgsentscheidend, alle Mitarbeitenden und Geschäftspartner auf sämtlichen Ebenen ins Boot zu holen, um durchgängige Resilienz erzielen zu können. Wenn alle Faktoren gesund und resilient sind, entsteht eine starke Widerstandskraft im Gesamten. Wir bieten daher entsprechende Beratung und Dienstleistungen zur nahtlosen Integration der verschiedenen Teildisziplinen. Dies reicht von der Analyse der Verknüpfungen über die Identifikation von Problemen bis hin zur methodischen Umsetzung.“

Zum Thema Organisationale Resilienz können Interessierte am 15. März 2023 am „CARMAO Resilience Summit” teilnehmen. Keynotes, Impuls-Vorträge, Barcamps und Diskussionen zeigen, wie sich Unternehmen oder Organisationen auf Herausforderungen vorbereiten können sowie sicherer und agiler damit umgehen. 

Mehr Informationen und die Möglichkeit, Vortragsvorschläge einzureichen, unter: https://carmao.zelantic.com/resiliencesummit

Unser Fokus im August 2022

Retter in der Not: Disaster Recovery

Wenn die IT-Infrastruktur eines Unternehmens nach einem Störungs- oder Katastrophenfall in wichtigen Teilen lahmgelegt ist, dann bedarf es schneller Rettung. „Disaster Recovery“ als wichtiger Baustein der Unternehmensresilienz hilft dabei, wieder Zugriff zu erlangen bzw. die Funktionsfähigkeit wiederherzustellen. Als Spezialist für Organisationale Resilienz zeigen wir auf, welche Maßnahmen notwendig sind, um zum Normalzustand zurückzukehren.

Nach einer Naturkatastrophe oder anderen Zwischenfällen wie Cyberangriffen oder Betriebsstörungen ist schnelles Handeln im Sinne einer Disaster Recovery gefragt. Dazu zählen Maßnahmen wie zum Beispiel das Ersetzen nicht mehr verwendbarer Hardware und das „Wiederankurbeln“ von Geschäftsprozessen. Dabei wird zunächst ein Notbetrieb mit den Mindestanforderungen hochgefahren und dann sukzessive die vollständige Wiederherstellung durchgeführt. Die Replikation der Daten bzw. Infrastruktur findet häufig an einem externen Standort statt, der nicht von dem Zwischenfall betroffen ist.

Unser Geschäftsführer Ulrich Heun erklärt: „Den weitreichenden Folgen eines Zwischenfalls kann man vorbeugen. In jedem Betrieb sollte heute ein zuverlässiges Backup Grundvoraussetzung sein. Leider messen immer noch viele Unternehmen dieser essenziellen Maßnahme zur Datensicherung keine hohe Bedeutung bei. Da extreme Wetterereignisse, Pandemien und Cybercrime zunehmen, wird es immer wichtiger, zum einen Daten zu sichern und zum anderen einen Disaster Recovery-Plan aufstellen, um im Ernstfall schnell reagieren zu können.“

Maßnahmen-Plan erstellen und Wirksamkeit testen

Ein Disaster Recovery-Plan legt Maßnahmen, Verfahren und Vorgaben dazu fest, wie in einem Störungs- oder Katastrophenfall zu reagieren ist. Ziel ist es, die Auswirkungen auf das Unternehmen so gut wie möglich zu minimieren. Bestandteil des IT-Notfallplans sind auch Eskalationsstufen, Meldewege und definierte Zuständigkeiten. Ein Disaster Recovery-Test überprüft die Wirksamkeit des Disaster Recovery-Plans. Er zeigt auf, ob bei einem Störfall die verschiedenen Maßnahmen und Verfahren greifen und die Wiederherstellung der IT-Infrastruktur gelingen kann. Regelmäßig durchgeführte Tests halten den Disaster Recovery-Plan aktuell. Darüber hinaus schult er die Mitarbeitenden. Diese sind besser im Bilde, welche Tätigkeiten im Notfall durchzuführen bzw. welche Vorgaben zu erfüllen sind.

Business Impact-Analysen identifizieren kritische Geschäftsprozesse

Für ein Disaster Recovery-Konzept sind Business Impact Analysen (BIA) der wichtigsten Geschäftsprozesse essenziell. Verantwortliche sind so in der Lage, die Reihenfolge für den Wiederanlauf des Betriebs entsprechend der Kritikalität sowie der technischen und organisatorischen Abhängigkeiten im Detail planen. BIA dienen zur Identifikation der kritischen Geschäftsprozesse und Ressourcen. Zudem ermitteln sie Kenngrößen für die Wiederaufnahme nach Unterbrechungen und unterstützen außerdem dabei, wirtschaftliche Prioritäten des Unternehmens leichter zu definieren. Business Impact Analysen werden oft mit Hilfe von Fragebögen und/oder DR-Planungstools vorgenommen. Die Tools bieten unter anderem Funktionen zur leichteren Datenerfassung und -analyse.

„Wir bieten spezielle Konzepte, Beratung und Tools im Sinne einer ganzheitlichen Organisationalen Resilienz. Damit können Organisationen eine starke Prävention zur Notfallvermeidung betreiben. Tritt der Ernstfall dennoch ein, ist ein Disaster Recovery-Konzept ein gutes Rüstzeug, um größere Schäden einzudämmen“, erklärt Ulrich Heun.

Sprechen Sie auch mit unseren Experten für Business Continuity für nähere Informationen.

Unser Fokus im Juli 2022

Warum der Datenschutz beim mobilen Arbeiten mitreisen sollte

Seit Beginn der Corona-Pandemie liegt mobiles Arbeiten stark im Trend. Wie selbstverständlich werden heute von zuhause aus online Team-Meetings abgehalten, unterwegs per Smartphone sensible E-Mails verschickt oder auf dem Laptop im Café neue Anwendungen programmiert. Vielen ist dabei nicht bewusst, dass ihr mobiles Arbeiten nicht datenschutzkonform durchgeführt wird. Die möglichen Folgen: Missbrauch, Manipulation oder der Verlust von Daten.

Wir zeigen auf, wer beim Umgang mit sensiblen Daten in puncto Datenschutz in der Pflicht und wer in der Verantwortung steht.

„Die mobile Arbeit bietet einige Vorteile wie zum Beispiel Flexibilität. Sie erhöht jedoch auch das Risiko, dass datenschutzrechtliche Vorgaben nicht eingehalten werden. Nachlässigkeit kann hier zum Beispiel zum Missbrauch von Berechtigungen, zur Manipulation von Hard- oder Software durch Dritte oder zum Zugriff auf Personal- und Kundendaten durch Unbefugte führen. Sogar der komplette Datenverlust kann eine Folge sein“, erklärt unser Geschäftsführer Ulrich Heun.

Arbeitgeber trägt die Verantwortung für Schäden

Verursacht werden Missbräuche und Schadensfälle oftmals durch die fehlerhafte Nutzung bzw. Administration von Geräten und Systemen oder durch das unbefugte Eindringen in IT-Systeme. Dies kann zu ernsthaften Konsequenzen für das Unternehmen führen. Ulrich Heun sagt: „Obwohl der Arbeitgeber außerhalb des Büros nur beschränkte Kontrollrechte und Einflussmöglichkeiten hat, muss er die Verantwortung übernehmen, wenn es zu Schäden auf Grund mangelnden Datenschutzes kommt.“

Die Datenschutz-Grundverordnung (DSGVO) unterstreicht dies. Gemäß Art. 4 Nr. 7 bleibt der Arbeitgeber immer für die Datenverarbeitung verantwortlich. Ihm gegenüber können damit Schadensersatzansprüche und Bußgelder geltend gemacht werden, wenn der Datenschutz im Home-Office oder mobil nicht ausreichend umgesetzt wurde.

Der Schutz sensibler Daten ist Pflicht des Arbeitnehmers

Auch wenn der Arbeitgeber die Verantwortung trägt, die Mitarbeitenden stehen in der Pflicht, stets alle ihre Tätigkeit betreffenden Richtlinien oder Anweisungen im Umgang mit Daten einzuhalten. Dies gilt besonders für Vorgaben, die die Sicherheit personen-bezogener Daten betreffen.

„Wer mobil arbeitet, muss sensible Daten mit der gleichen Sorgfalt schützen wie im Büro. Daten sollten beispielsweise grundsätzlich nicht auf lokalen Festplatten oder Datenspeichern von Endgeräten gespeichert werden, die nicht im Eigentum oder Besitz des Arbeitgebers stehen“, sagt Ulrich Heun.

Der Arbeitgeber ist demnach angehalten, Hard- und Software bereitzustellen oder zu genehmigen. Ausschließlich diese darf dann von den Mitarbeitenden für die Speicherung von Daten genutzt werden. Beschäftigte, die im Home-Office oder von unterwegs arbeiten, müssen zudem sicherstellen, dass andere Personen keinen Zugang zu den im Zusammenhang mit der Beschäftigung verarbeiteten Daten erhalten. Besteht trotz aller Vorsichtsmaßnahmen ein berechtigter Verdacht, dass die Datensicherheit, insbesondere die Vertraulichkeit von Daten, gefährdet sein kann, so müssen Mitarbeitende dies unverzüglich dem Unternehmen melden.

Sprechen Sie für weitere Informationen unser Datenschutz-Team an: