Viele Dienstleister – vor allem Rechenzentrumbetreiber, Cloud Provider und IT-Service Provider aller Art möchten sicherstellen und auch ihren Mandanten nachweisen, dass sie effektive Kontrollen und Sicherheitsmaßnahmen für die Erbringung ihrer Dienstleistungen installiert haben.   

Auf der anderen Seite suchen die Kunden von Dienstleistungsunternehmen den richtigen Partner für die Auslagerung von Geschäftsprozessen. Dabei spielt es eine immer wichtigere Rolle, wie effektiv und verlässlich die internen Kontrollen zur Gewährleistung einer hochverfügbaren und sicheren Datenverarbeitung der Dienstleister sind.   

Die Erfüllung mancher gesetzlichen Anforderungen (z.B. bei den Jahresabschlussprüfungen) wird durch die Auslagerung von Dienstleistungen oftmals mit auf den Dienstleister übertragen, z.B. wenn die Verarbeitung von rechnungslegungsrelevanten Daten outgesourct wird. Die „Verantwortung“ gegenüber dem Gesetzgeber bleibt dabei aber immer beim Unternehmen, das die Dienstleistung auslagert. 

Seit einiger Zeit ist auf dem Markt eine zunehmende Nachfrage nach so genannten SOC-Reports bzw. -Zertifizierungen als Nachweis über das Kontrollsystem des Dienstleisters zu beobachten.
Was bringt ein SOC-Report bzw. eine SOC-Zertifizierung? Was ist der Unterschied zwischen SOC 1, SOC 2 und SOC 3 und daraus resultierend, welcher SOC-Report ist für wen sinnvoll? 

SOC steht für engl. „System and Organization Controls“ und stellt in den Varianten SOC 1, SOC 2 und SOC 3 Prüfungs- und Berichtsstandards des AICPA dar („American Institute of Certified Public Accountants“, zu deutsch „Amerikanisches Institut für Wirtschaftsprüfer“). SOC-Berichte richten sich an Unternehmen, die die Verlässlichkeit ihrer Dienstleistungen sowie die Sicherheit der für den Kunden verarbeiteten Daten durch eine Wirtschaftsprüfer-Testat nachweisen wollen. 

SOC 1® — Internal Control over Financial Reporting (ICFR)

Der SOC 1 Standard wurde speziell für die Überprüfung derjenigen Kontrollen bei den Dienstleistern konzipiert, die für die Finanzberichterstattung des Dienstleistungsnehmers relevant sind. Die Auditoren bzw. Wirtschaftsprüfer des Dienstleistungsnehmers nehmen im Rahmen der Prüfung für einen SOC 1-Bericht i.d.R. eine Risikobewertung vor und erstellen mit dem SOC 1-Bericht einen Prüfungsnachweis über die Kontrollen des Dienstleisters.  

Für den SOC 1 Bericht gibt es zwei Berichts-Typen: 

Typ 1

Bericht über die Eignung des Aufbaus und der Angemessenheit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele zu einem bestimmten Zeitpunkt 

Typ 2

Bericht über die Wirksamkeit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele während eines bestimmten Zeitraums (üblicherweise 6 Monate oder 1 Jahr). 

SOC 2® – Trust Services Criteria

Der SOC 2-Bericht wurde konzipiert für die Überprüfung der Kontrollen bzgl. Sicherheit (security), Verfügbarkeit (availability), Integrität (processing integrity) der Systeme, die der Dienstleister für die Verarbeitung der Daten der Dienstleistungsnehmer verwendet, sowie der Kontrollen zu Datenschutz und Vertraulichkeit (privacy of the information) der verarbeiteten Daten. 

Die Dienstleister für die ausgelagerten Dienstleistungen agieren dabei praktisch als „Lieferanten“ für ihre Kunden. Die SOC 2-Berichte dienen dazu, zum Risikomanagement des Dienstleistungsnehmers eine adäquate und mit einem angemessenen Detaillierungsgrad versehene Bewertung unter Berücksichtigung des SOC 2 Standards abzugeben. Die Berichte setzen ein angemessenes Maß an Fachkenntnissen und Wissen über die Abläufe, sowie die Art und Weise voraus, wie die Dienstleistungen hergestellt und angeboten werden. Daher ist Anwenderkreis für den SOC 2-Bericht eingeschränkt auf das Management des Dienstleistungsunternehmens, den Dienstleistungsnehmer und seine Wirtschaftsprüfer, aktuelle und potenzielle Geschäftspartner und Revisoren. 

Die zu überprüfenden Kontrollen bei SOC 2 und SOC 3 Berichten werden gegen die so genannten Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy geprüft. 

SOC 2 Berichte können ebenfalls als Typ 1 (Angemessenheit der Kontrollen) oder Typ 2 (Wirksamkeit der Kontrollen über einen bestimmten Zeitraum) erstellt werden. 

SOC 3® – Trust Services Criteria for General Use Report 

Genauso wie bei einem SOC 2 Bericht bezieht sich auch ein SOC 3 Bericht auf die Kontrollen bzgl. Sicherheit, Verfügbarkeit, Integrität sowie Datenschutz/Vertraulichkeit. Die SOC 3 Berichte unterliegen den gleichen Prüfkriterien wie SOC 2 Berichte. Es gibt allerdings einige Unterschiede zwischen SOC 2 und SOC 3: Zum einen sind die SOC 2 Berichte vertraulich und werden nur bestimmten Kunden zur Verfügung gestellt. Die SOC 3 Berichte sind hingegen für die Öffentlichkeit gedacht und stehen in der Regel als Marketing-Instrument auf der Webseite der Unternehmen (der Dienstleister).  

SOC 3 Berichte beinhalten im Gegensatz zu SOC 2 Berichten keine detaillierten Informationen über die internen Prozesse oder Kontrollen des Unternehmens sowie die exakte Art und Weise, wie die Kontrollen getestet wurden oder was das Ergebnis der jeweiligen Tests und Prüfungen im Detail war. Der Bericht ist wesentlich kurzer gefasst und wird i.d.R. in Form eines Whitepapers bereitgestellt. Ein weiterer Unterschied ist, dass ein SOC 3 Bericht nur für einen Berichtszeitraum, also als Typ 2-Bericht erstellt wird. 

Fazit

Wenn rechnungslegungsrelevante bzw. finanzkritische Daten und Verarbeitungsprozesse ausgelagert werden, sollten Unternehmen bei ihren künftigen Dienstleistern nach einem SOC 1 Bericht fragen, z.B. wenn Unternehmen ihre E-Commerce-Aktivitäten auslagern möchten. 

Wenn ein Unternehmen, z.B. die Verarbeitung seiner sensiblen Kundendaten an einen externen Dienstleister auslagern möchte (Cloud/RZ), kommt für den betreffenden IT-Dienstleister der SOC 2-Bericht in Frage. Der Dienstleistungsnehmer möchte mit seiner Anfrage nach einem solchen Bericht sicherstellen, dass der Dienstleister wirksame Mechanismen (Kontrollen) installiert hat, die die Daten seiner Kunden vor fremdem Zugriff schützen und die Hochverfügbarkeit der IT-Umgebung des Dienstleisters sicherstellen. 

Nach einem SOC 3 Bericht fragen die Kunden der Dienstleister i.d.R. nicht. Die Dienstleister stellen den SOC 3 Bericht der Öffentlichkeit selbst zur Verfügung und transportieren damit eine zertifizierte Sicherheit ihrer Dienstleistungen, ohne zu viele Details kommunizieren zu müssen. 

Der Einsatz von Tochterunternehmen von US-amerikanischen Cloud-Anbietern ist per se nicht rechtswidrig im Sinne der DSGVO. 

Das OLG Karlsruhe präsentierte seine aktuelle Entscheidung zum Datenschutz kontroversen Einsatz von US- Cloud- Dienstleistern. 

Der Hintergrund zur Entscheidung 

ist ein Beschluss der von Vergabekammer Baden-Württemberg vom 13. Juli 2022 (Az. 23/22), welcher den Einsatz von Infrastrukturdiensten europäischer Tochterunternehmen, die US-amerikanischen Cloud-Anbietern zugehörig sind, thematisiert. Es wurde begründet, dass mit der damit verbundene Datenübermittlung in Drittländer außerhalb des Europäischen Wirtschaftsraums, ein Risiko eines Zugriffs durch U.S.-Behörden einhergeht. In diesem Fall betraf der Beschluss ein Vergabeverfahren für eine IT-Lösung im Krankenhaus- und Pflegebereich, bei der Hosting-Leistungen eines europäischen Cloud-Anbieters mit US amerikanischer Konzernmutter zum Einsatz kommen sollten. Die Datenspeicherung sollte ausschließlich auf Servern in Deutschland erfolgen. Die Vergabekammer führte in Ihrer Entscheidung aus, dass die Nutzung der Hosting-Infrastruktur, unabhängig von deren Sitz in der EU und des Umstands, dass die Datenspeicherung ausschließlich auf Servern in Deutschland erfolgen solle, ein „latentes Risiko“ des Zugriffs sowohl durch staatliche als auch private Stellen in den USA bestehe. Bereits ein solches latentes Risiko reiche aus, um eine nach Art. 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland anzunehmen. Ob und wie naheliegend ein Zugriff ist, sei für die Bewertung nicht relevant. 

Der Einsatz von Cloud Anbietern mit Hosting Leistungen ist für viele Unternehmen Realität und eine Abwahl dieser undenkbar. Der Beschluss der Vergabekammer löste große Unsicherheiten aus und wurde durch Datenschutzbehörden heiß diskutiert (Stellungnahme des LfDI v. 15.8.22). Gegen den Beschluss wurde Beschwerde beim OLG Karlsruhe eingelegt. 

Die Entscheidung zum Einsatz von Cloud – Anbietern aus den USA

der Karlsruher Richter wurde nach nur 8 Wochen getroffen. Am 07. September 2022 wurde die Beschlussfassung der Vergabekammer Baden-Württemberg aufgehoben (Az. 15 Verg 8/22).  

Wörtlich führt der Senat dazu aus: 

„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.”
(Rn. 50, OLG Karlsruhe, Beschluss vom 07.09.2022 - 15 Verg 8/22) 

Damit vertritt das OLG Karlsruhe die Meinung, das bei Nachprüfung einer Vergabeentscheidung zunächst davon auszugehen ist, dass ein Anbieter seine vertraglichen Zusagen erfüllen wird. Erst bei konkreten Zweifeln an der Erfüllbarkeit des Leistungsversprechens muss der öffentliche Auftraggeber ergänzende Informationen einholen und diese prüfen. Im vorliegenden Fall hatte der Dienstleister vertragliche Zusicherungen gemacht, dass Daten ausschließlich an die betreffende luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden. Die Beschlussfassung der Vergabekammer wurde entsprechend aufgehoben und der Nachprüfungsantrag zurückgewiesen. 

Die Bedeutung beim Einsatz von US-Clouds,

wie Google, Amazon, Microsoft & Co ist groß, denn es wird keine pauschale Einschätzung zur DSGVO-Konformität getroffen. Damit wird Klarheit zum Einsatz von Tochterunternehmen der US-amerikanischen Cloud-Anbietern geschaffen.  

Ergänzend möchten wir darauf hinweisen, dass die Entscheidung des OLG Karlsruhe nicht als allgemeine Erlaubnis zum Einsatz von US-Dienstleistern gesehen werden sollte. Die vorliegenden Rahmenbedingungen des Auftragsverarbeiters müssen im Transfer Impact Assessment (Artikel zum Thema TIA) aufgenommen werden und in die Datenübertragungsbewertung einfließen. 

Das wird nicht die letzte Entscheidung zu diesem Thema sein, denn nach der Schrems- II- Entscheidung des EuGH vom Juli 2020 verhandeln die EU und die USA um ein Nachfolgeabkommen für den EU-US-Privacy Shield.  

Mehr zum Thema Datenschutz erfahren Sie hier: Leistungen > Datenschutz

Die Ausrichtung auf Sustainable IT im Unternehmen rückt aufgrund der Energie- und Ressourcenintensität bei Herstellung und Betrieb immer mehr in den Fokus.

Aufgrund des gesellschaftlichen Wandels sowie der sich verschärfenden Regulierung und Gesetzesvorgaben zum Thema Nachhaltigkeit richten immer mehr Unternehmen ihre Geschäftsaktivitäten auf nachhaltige Geschäftsprozesse aus und schaffen Transparenz durch entsprechende Nachhaltigkeitsberichte. Im Fokus stehen dabei – insbesondere auch aufgrund der Vorgaben zur Nachhaltigkeit der Lieferkette – zuallererst die Kerngeschäftsprozesse der Unternehmen.

Das Thema Nachhaltigkeit der Unternehmens-IT bzw. Sustainable IT ist dabei typischerweise eher nicht auf der Agenda der priorisierte Nachhaltigkeitsaktivitäten zu finden, was insbesondere der Komplexität der Umstellung sowie den damit verbundenen hohen Umstellungskosten und den Bedenken im Hinblick auf den reibungslosen IT-Betrieb während der Umstellung geschuldet ist. Zudem wird der Beitrag der Unternehmens-IT zur Steigerung der Nachhaltigkeit von vielen Unternehmen nicht als besonders signifikant wahrgenommen.

Dennoch kann sich die Umstellung auf Nachhaltigkeit der Unternehmens-IT für Unternehmen jeder Größe auszahlen, denn neben der Verbesserung des eigenen Images und der Wahrnehmung bei Kunden und in der Öffentlichkeit lassen sich auch Liquiditätsvorteile, erhöhter Flexibilität sowie handfeste Einsparungen realisieren.

In welchen Bereichen lässt sich Nachhaltigkeit in der Unternehmens-IT umsetzen?

Unternehmensverantwortung und Governance

Die Verankerung des Themas Nachhaltigkeit in der DNA eines Unternehmens legt die Grundlage für die entsprechende Ausrichtung auf Sustainable IT. Hierfür müssen von der Unternehmensleitung eine auf Nachhaltigkeit ausgerichtete Gesamtstrategie formuliert werden, entsprechende Vorgaben und Richtlinien für den IT-Bereich definiert und Governance-Strukturen eingerichtet werden.

Von besonderer Relevanz sind dabei die folgenden Punkte:

  • Erstellung einer Nachhaltigkeits-Richtlinie für Sustainable IT
  • Erstellung einer Green-IT Strategie
  • Commitment der Geschäftsleitung durch Bereitstellung der personellen und finanziellen Ressourcen zur Umsetzung von Sustainable IT
  • Durchleuchtung der Lieferanten im IT-Bereich auf Nachhaltigkeit
  • Verbesserung der Mitarbeiter-Awareness zum Thema Nachhaltigkeit

IT-Architektur und Systemdesign

Ausgerichtete an der Unternehmensstrategie zum Thema Nachhaltigkeit leitet sich die nachhaltige IT-Strategie und davon das Maßnahmenprogramm zur Umsetzung ab.

Mögliche Maßnahmen im Hinblick auf die übergreifende IT-Architektur sowie die Ausgestaltung des Designs von Komponenten und Anwendungen sind unter anderen:

  • Anpassung der IT-Kapazitäten an den tatsächlichen Bedarf durch Verlagerung des IT-Betriebs in die Cloud
  • Fokus auf Standardisierung der IT-Komponenten und Nutzung von Open Source Software
  • Nutzung von Automatisierungspotenzialen zur Effizienzsteigerung

Nachhaltige Beschaffung

Die nachhaltige Beschaffung von IT-Komponenten nimmt aufgrund des hohen Verbrauchs von seltenen Metallen und dem hohen Energieeinsatz bei der Herstellung eine wichtige Rolle ein.

Hierbei sollte insbesondere auf folgende Aspekte geachtet werden:

  • Beschaffung von IT-Komponenten mit verifizierbaren Nachhaltigkeits-Siegeln
  • Nutzung von pre-owned bzw. refurbished Hardware statt Neu-Ware
  • Nutzung von Open Source-Hardware, wie z.B. aus dem Open Compute Project

Nachhaltiger IT-Betrieb

Beim Betrieb der IT-Umgebung steht die effiziente und nachhaltige Nutzung von Energie im Vordergrund. Dabei sollte darauf geachtet werden, dass die dafür erforderliche Elektrizität durch erneuerbare Energien erzeugt wird und die IT-Systeme nur dann laufen, wenn Sie tatsächlich benötigt werden. Insbesondere bei Betreibern von Rechenzentren spielt auch die effiziente Nutzung der anfallenden Wärme durch den Serverbetrieb eine immer wichtigere Rolle.

Folgende Punkte sollten für den nachhaltigen IT-Betrieb betrachtet werden:

  • Nutzung von Green Energy im gesamten Unternehmen
  • Auswahl von nachhaltig operierenden RZ-Dienstleistern
  • Einrichtung von Standby bei Nichtnutzung von IT-Komponenten (Auto off-Funktion)
  • Verlängerung der Nutzungsdauer durch Senkung der Austausch-Häufigkeit

Refurbishment und nachhaltige Entsorgung

Sofern die Entscheidung für den Austausch von IT-Komponenten getroffen wurde, sollten im Hinblick auf die Nachhaltigkeit bei der Beendigung des Life Cycles im Unternehmen folgende Punkte berücksichtigt werden:

  • Wenn möglich – Übergabe von alter Hardware an einen Refurbishment-Dienstleister statt Entsorgung
  • Sofern erforderlich – Entsorgung von Elektroabfall bei Entsorgern mit Nachhaltigkeits-Siegel

Wie jedes Projekt erfordert die Umsetzung von Sustainable IT eine detaillierte Bestandsaufnahme der Ist-Situation, eine Festlegung des konkreten Ziel-Zustands und ein abgeleitetes Programm zur Umsetzung, unterfüttert mit geeigneten Einzelmaßnahmen, deren Umsetzung über ein nachhaltiges Projektmanagement überwacht und nachgesteuert werden sollte.

Um die Relevanz für Cyber-Security in Hotels zu verdeutlichen, erfolgt zunächst eine grundsätzliche Betrachtung. Hotels gibt es in unterschiedlichen Größen und Ausstattungen. Oft bieten sie Beherbergung für über tausend Gäste und ein umfangreiches Serviceangebot. Eine große Anzahl von Mitarbeitern ist verantwortlich für die entsprechende Dienstleistungserbringung. Die jährlichen Umsätze liegen schnell im zwei- bzw. dreistelligen Millionenbereich, wodurch viele Hotels zu den Großbetrieben gehören.

Die Digitalisierung hat auch in Hotels Einzug gehalten. Dabei werden Prozesse effizienter gestaltet und Personal eingespart. Grundsätzlich ist ein Hotel aufgebaut wie jedes andere Unternehmen. Es besteht aus operativen Systemen, welche die Wertschöpfungskette abbilden. Diese werden durch Planungs- und Kontrollsysteme gesteuert. Für den reibungslosen Betrieb tauschen alle Systeme ihre Informationen in digitaler Form vertikal sowie horizontal über die Hoteldateninfrastruktur, deren Schnittstellen und gemeinsam genutzten Datenbanken aus.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!, IT Sicherheit, iAP

Cyber-physische Systeme und Cyber-Attacken​

Designer und Architekten haben seit jeher versucht der Hotelkundschaft besonderen Komfort unter Zuhilfenahme von neuen Technologien zu bereiten. Dazu zählt heutzutage, neben anderen, die zunehmende automatisierte Ausstattung der Hotelgebäudetechnik mit smarten Cyber-Physischen Systemen, auch, um z.B. Zugänge zu Stockwerken, Garagen, Zimmern und Aufzügen, Tagungsräumen, Restaurants sowie Wellness-Bereichen zu kontrollieren bzw. berührungslos freizugeben oder zu sperren.

Das hoteleigene Netzwerk muss neben internen zusätzlich unterschiedliche Arten externer Schnittstellen vorhalten, z.B. für die Kommunikation und den Datenaustausch mit Lieferanten, Logistikpartnern, Reisebüros und Privatkunden. Der Grad der Digitalisierung und Vernetzung schreitet also auch in Hotels unaufhaltsam voran. Allerdings wächst damit ebenfalls die Bedrohungslandschaft, welche vermehrte Angriffsfläche für Cyber-Attacken bietet, und somit neue Herausforderungen für die Gewährleistung der Sicherheit des Hotels und seiner Gäste entstehen.

Sensible Daten und Info-Displays

Jedes Hotel hält nicht nur eigene, sondern auch vertrauliche sowie sensible Daten seiner Gäste, Mitarbeiter und Geschäftspartner vor. Dazu gehören z.B. persönliche Informationen (Name, Anschrift, Nationalität, Geburtsdatum, KFZ-Kennzeichen), Kreditkarteninformationen, Firmennamen und Zahlungskonditionen. Die Gäste können umfangreiche Dienstleistungen über das WLAN, die hoteleigene App, oder interaktive Terminals bzw. Info-Displays buchen sowie bezahlen. Hotels waren für gewisse Kriminelle schon immer ein Tummelplatz, um sich durch verschiedenste Art und Weise am Hotel und seinen Gästen zu bereichern.

Die Schwerpunkte und der Umfang von Sicherheitsmaßnahmen verschieben sich im Zeitalter der Digitalisierung enorm, denn durch sie ergeben sich auch neue Möglichkeiten für kriminelle Handlungen. Ransomware-Angriffe auf Hoteldatenbanken und IT-Anwendungen, DDOS und Bot-Net-Angriffe auf die IT-Infrastruktur, Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware z.B. durch Gäste und interne oder externe Mitarbeiter, Infektionen mit Schadsoftware über das Internet oder Intranet, Einbruch über Fernwartungszugänge der Gebäudeautomatisierung, menschliches Fehlverhalten oder Sabotage, Identitäts- und Kreditkartendatendiebstahl sind nur einige der neuen immateriellen Szenarien.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!,, Internet-Security, iAP

Die Schadensfolgen von Cyber-Attacken können für jedes Hotel schnell existenzgefährdend werden und sind deshalb unbedingt unter Kontrolle zu halten.

  • Der Verlust von Performance und Verfügbarkeit der Dienstleistungsprozesse,
  • der Verlust von Vertraulichkeit durch Abfluss sensibler Gästedaten,
  • mangelhafte Integrität durch Datenverlust oder Manipulation,
  • das Fehlen von Authentizität durch gefälschte Quellnachweise,
  • physische Schäden bzw. Zerstörung der Hotelanlagen,
  • das Auslösen von Safety-Prozeduren,
  • die Bereinigung und Systemwiederherstellung nach Attacken und
  • der Verlust der Hotelreputation

sind nur wenige Beispiele möglicher Auswirkungen von Primär- und Folgeangriffen. Zum Schutz vor Sicherheitsvorfällen empfiehlt sich eine strukturierte und organisierte Herangehensweise z.B. durch den Aufbau eines Informationssicherheitsmanagementsystems. Mit entsprechenden technischen und organisatorischen, als auch rechtlichen Konzepten wird die Hotelsicherheit analysiert, proaktiv gefestigt und damit Resilienz erzeugt.

Digitalisierung und Herausforderungen

Wie andere Unternehmen, haben auch Hotels im Zuge der Digitalisierung mit den Herausforderungen zu kämpfen ihre sicherheitsstrategischen Ziele sowie Sicherheitsprozesse praktisch anwendbar zu definieren bzw. zu gestalten, um Cyber-Angriffe von innen und außen zu vermeiden. Es besteht bei den verantwortlichen Mitarbeitern ein unzureichendes Bewusstsein über die möglichen Angreifer, ihre Angriffsarten, Ziele und damit verbundene Risiken. Meistens mangelt es an Klarheit für die gewünschte Baseline durch insuffizientes Verständnis über den Reifegrad der Ist- und Soll-Zustände. Die Strukturanalyse inklusive der Aufnahme und Beschreibung der IT-Assets ist oft bereits unzureichend.

Unternehmens- und Bedrohungsdaten werden dürftig prozess- und risikobezogen erfasst sowie bewertet, mit der Folge, das organisatorische sowie technische Sicherheitsmaßnahmen nicht an die tatsächlichen Bedürfnisse des Hotels angepasst werden können und damit niemals ein angemessenes Schutzniveau besteht. Budget sowie fähiges bzw. erfahrenes Personal wird in allen Ebenen benötigt, auch um die Auswahl, Integration und Anwendung passender Sicherheitswerkzeuge effizient zu realisieren und somit unnötige Kosten zu vermeiden.

iAP – Independent Consulting + Audit Professionals GmbH bietet externe IT-Prüfungen und Zertifizierungen sowie Beratung mit umfassender Expertise an. Das Portfolio der iAP deckt die Bereiche des Governance Risk & Compliance Management, der IT-Security & Resilienz, IT-Beratung & Data  , Nachhaltigkeit & ESG sowie Datenschutz nach der DSGVO vollumfänglich ab.

 

 

Fotos: iStock.com/da-vooda,  iStock.com/anyaberkut, iStock.com/Tijana Simic

Gesetzliche Maßnahmen wie das Infektionsschutzgesetz machten es notwendig, im Rahmen der Corona Pandemie personenbezogene Daten wie etwa Zutrittskontrollen nach der 3G-Regelung oder auch bei Mitarbeitern den Impfstatus zu erfassen.

Diese gesetzliche Schutzmaßnahme ist ausgelaufen und daher gilt die Aufbewahrung dieser erfassten Daten als sogenannte Vorratsdatenspeicherung.

Bei erfassten Impfdaten oder Kopien der Impfausweise handelt es sich außerdem um sensible Gesundheitsdaten, die besonders schützenswert behandelt werden müssen. Die dauerhafte Aufbewahrung hat keine Rechtsgrundlage mehr und für eine eventuelle spätere Nutzung bei einer neuen Pandemie z. B. im Winter 2022/23 wären sie veraltet.

Die niedersächsische Landesdatenschutzbeauftragte Barbara Thiel fordert federführend alle Unternehmen und Behörden auf, personenbezogenen Daten, die im Zusammenhang mit der Coronapandemie erfasst wurden, jetzt zu löschen. Es ist zu erwarten, dass andere Landesdatenschutzbehörden sich ähnlich dazu positionieren und Sanktionen bei nicht Beachtung androhen.

Prüfen Sie ihre erfassten Daten und löschen Sie alle, die einen Bezug zu Regelungen im Rahmen der Coronapandemie haben. (Hier gilt der Slogan: Weniger ist mehr!)

Vor dem Hintergrund der stetig zunehmenden Gefahren durch Cyberangriffe stehen Unternehmen und Organisationen vor folgenden Fragen:

  • Ist mein Unternehmen ausreichend gegen Cyberangriffe abgesichert?
  • Welche nicht bekannten Lücken und Schwachstellen schlummern in der Unternehmens-IT und gefährden meine Geschäftsprozesse oder stellen ein signifikantes Risiko für mein Unternehmen dar?
  • Wie kann ich die Informationssicherheit in meinem Unternehmen möglichst ohne zusätzliche Kosten erhöhen und auf den Stand der Technik bringen?

Gerade mittelständische und kleinere Unternehmen (KMU) haben oft aufgrund geringer personeller IT-Kapazitäten, fehlender Expertise für IT-Security und begrenzten Budgets Schwierigkeiten, das Thema ganzheitlich anzugehen und die Informationssicherheit durchgängig auf ein angemessenes Schutzniveau zu bringen.

Die Auslagerung von Teilen oder aller wesentlichen Aufgaben für Informationssicherheit an einen externen Spezialisten – ein sogenanntes Security Operation Center (SOC) oder Cyber Defense Center (CDC) – bietet hier einen Lösungsansatz, der flexibel an die Anforderungen jedes Unternehmens angepasst werden kann.

Ein SOC/CDC ist dabei ein auf Informationssicherheit spezialisierter Dienstleister, der an die IT des Unternehmens angebunden ist und als eine Art Sicherheitsleitstelle große Teile oder auch nur selektiv bestimmte Security-Services übernimmt, die normalerweise durch die IT-Abteilung im Unternehmen abgedeckt werden müssten:

  • Sicherheitsbezogene Überwachung der Unternehmens-IT
  • Proaktive Adressierung von Bedrohungslagen durch Threat Intelligence
  • Erkennung und Beseitigung von Schwachstellen in den IT-Systemen und -Prozessen
  • Erkennung und Alarmierung bei Cyber-Angriffen
  • Abwehrmaßnahmen und Schadenbegrenzung
  • Kundenbezogene Unterstützung und Reporting zu Sicherheitsthemen

In den Räumlichkeiten des SOC/CDC-Dienstleister arbeiten dafür im 24×7 Betrieb hochspezialisierte Experten für Cybersecurity, u.a. Security Architekten, Analysten, Forensiker, die wie in einem Kommandostand in realtime auf Bildschirmen sämtliche sicherheitsbezogene Informationen angezeigt bekommen und bei Auffälligkeiten sofort reagieren können.  Die Arbeitsweise ist dabei durch optimale und integrierte Toolunterstützung, hohen Automatisierungsgrad der Analysen als auch durch die optimale Teamstruktur und Kommunikation des SOC-Teams gekennzeichnet.

Je nach konkreter Anforderungslage eines Kunden können verschiedene Service-Modelle der Zusammenarbeit definiert werden, die es ermöglichen, nur bestimmte Teile, oder nahezu alle Sicherheitsleistungen an den SOC/CDC-Dienstleister auszulagern. Die Vorteile der Nutzung eines SOC/CDC liegen dabei klar auf der Hand:

  • Schnelle und wirksame Reaktion durch Automatisierung und Einsatz von Spezialisten
  • Schutz gegen die aktuelle Bedrohungslage
  • Kontinuierliche Dokumentation und Nachvollziehbarkeit
  • Kein Aufbau von internem Personal erforderlich
  • Ganzheitliches Absicherungskonzept und maßgeschneiderte Lösungen möglich je nach Kundenanforderungen
  • Nachweisbare Einhaltung der gesetzlichen Vorgaben und Compliance

Insbesondere für kleinere Unternehmen und Mittelständler (KMU) eröffnet die Auslagerung wesentlicher Leistungen für IT-Sicherheit an einen externen Spezialisten die Möglichkeit zur Erreichung eines hohen Schutzniveaus und IT-Security nach Stand der Technik. Durch die unterschiedlichen Servicemodelle und großer Flexibilität können die Leistungen eines SOC-Dienstleisters ideal auf die Kundenanforderungen zugeschnitten werden. Ein Aufbau zusätzlicher interner Ressourcen bzw. Experten für Informationssicherheit ist in der Regel nicht erforderlich.

Für manche Unternehmen sind höhere Investitionen in die Cybersicherheit möglicherweise nur ein Tropfen auf den heißen Stein. Das liegt oft daran, dass die Strukturen der Organisation zu komplex sind, um sie adäquat absichern zu können. Diese Komplexität der Strukturen entsteht oftmals erst im Laufe der Zeit. Gründe dafür sind z.B. Wachstum, Fusionen, Übernahmen und vor allem aber die Einführung neuer Technologien. Damit einhergehend kommt die Verzahnung von Compliance und Governance oft zu kurz.

Ein weiterer Punkt ist das Risikoniveau im Unternehmen, das durch Komplexität entsteht, z.B. durch komplexe Multi-Vendor-Umgebungen wie Cloud, neuartige technologische Lösungen oder Interoperabilität und Dateninfrastruktur.

Eine Vereinfachung oder Verschlankung von Datenstrukturen und Prozessen sind allein schon eine große Herausforderung. Komplexität führt zu Trägheit, da Entscheidungsträger eine Transformation aufschieben oder Schwierigkeiten haben, eine Dringlichkeit zu erkennen und Priorisierung vorzunehmen, obwohl den Unternehmen bewusst ist, dass Komplexität in den Prozessen auch Schwachstellen schafft. Diese Schwachstellen können von Ransomware und anderen Bedrohungstools ausgenutzt werden.

Die Folgen betrieblicher Komplexität sind neben finanziellen Verlusten, Datenschutzverletzungen und erfolgreiche Cyber-Angriffe (die auch wiederum Reputationsverluste bedeuten können). Es besteht das Risiko einer fehlenden Cyber-Resilienz (also einer mangelnden betriebliche Belastbarkeit), sich nach einem Cyberangriff oder einem Technologiefehler zu erholen. Unternehmen sind dann unfähig, schnell und angemessen zu agieren, um am Markt weiterhin bestehen zu können.

Komplexität wird also gerne ausgenutzt und sind bevorzugte Ziele von Cyber-Angriffen. Die Kunst besteht darin, die Risiken zu identifizieren, zu priorisieren und entsprechend mit wirksamen Maßnahmen zu begegnen. Insbesondere auch, wenn die diese Cybersicherheitsrisiken durch verbundene Unternehmen (Dienstleister und Lieferanten) entstehen. Hier muss man besonders auf die Schnittstellen schauen, welche Angriffsziele darstellen können. Drittanbieter (Third-Parties) sind alle Organisationen oder Personen, zu denen eine Geschäftsbeziehung besteht. Hier besteht sowohl ein Informations- als auch Datenabtausch und damit auch Risiken bei Schnittstellen die gezielt angegriffen werden können. Hier sollte auch auf eine Harmonisierung der Betrachtung von Third-Parties im Unternehmen erfolgen, damit nicht jede Abteilung eine eigene Vorgehensweise hat. Eine Synchronisierung der Sicherheitsmaßnahmen und damit eine ganzheitliche Betrachtung der Lieferkette und Third-Party Management sind unumgänglich, um eine höhere Cybersicherheit zu erreichen.

Komplexität von Strukturen und Prozessen können somit für die Cybersicherheit eine Falle sein. Monitoring cybersicherheitsrelevanter Events sind ein wichtiger Bestandteil, um das Cybersicheitsrisiko zu minimieren, Angriffe frühzeitig zu erkennen und mit erprobten Krisenplänen entgegenzutreten.

Cyber-Risiken stellen KMU (Kleine Mittelständische Unternehmen) vor eine große Herausforderung. Die Auswirkungen nehmen zu. Für die Geschäftsführung muss diese Tatsache als ein Risiko mit höchster Priorität angesehen werden.

Ransomware-Angriffe, bei denen Unternehmen von ihren Computersystemen „lahmgelegt“ werden, haben dramatisch zugenommen und sich im ersten Halbjahr 2021 fast verdoppelt, während das durchschnittliche Lösegeld, um aus dem Dilemma zu entkommen, um 82 % gestiegen ist.  Weltweit werden Unternehmen jeder Größe und Art von kriminellen Ransomware angegriffen. Diese Angriffe führen oft zum Stillstand des Geschäftsbetriebs. Die Wiederherstellung braucht Zeit, wird teuer, führt zu Imageverlust und kann den Geschäftsbetrieb stören oder gar aufhalten.

Beispielsweise musste JBS, das weltweit größte Fleischverarbeitungsunternehmen, ein Lösegeld in Höhe von 11 Millionen US-Dollar zahlen, um wieder Zugriff auf seine Daten und Systeme zu erhalten. Ransomware führte beim norwegischen Energietechnologieunternehmen Volue zu Stilllegungen von Wasser- und Wasseraufbereitungsanlagen, von denen 85 % der norwegischen Bevölkerung betroffen waren. Transnet, ein südafrikanische Hafenbetreiber, war ebenfalls von Ransomware betroffen, was zu Störungen und Verzögerungen in einem der wichtigsten Häfen Südafrikas führte. In Deutschland führten Angriffe auf Krankenhäuser zu Netzwerkproblemen und tagelangen Ausfällen an der Uni-Klinik Düsseldorf oder im Klinikum Neuss. In Krankenhäuser der USA sollen in den ersten sechs Monaten 2021 Netzwerke aufgrund von Ransomware getrennt worden sein – entweder durch eigene Maßnahmen, um eine Sicherheitsverletzung zu vermeiden, oder weil sie durch eine schwere Malware-Infektion dazu gezwungen wurden.

Das Problem bei KMU ist, im Gegensatz zu großen Unternehmen, dass sie keine Abteilungen für Cybersicherheit verfügen. Demnach reagieren sie oftmals erst nach einem Angriff, was für viele mittelständische Unternehmen das Geschäft einfach lahmlegen kann.

Ein besonders besorgniserregender Trend ist, dass Kriminelle Cyberangriffe derart Gestalt annehmen, was früher staatlichen Akteuren vorbehalten war. Dies kommt vor allem bei sogenannten „Supply Chain Angriffen“ vor, welche die Lieferkette betreffen. Dabei werden unbekannten Fehler in der Technologie von Unternehmen ausgenutzt, die Kunden des Unternehmens infizieren und traditionelle Abwehrmaßnahmen wie Antivirensoftware dabei umgehen.

Cyber Technologien werden von Staaten ausgenutzt, um hauptsächlich Wirtschaftsspionage und Diebstahl von geistigem Eigentum zu betreiben. Die Cyberoperationen der Staaten hat sich seit 2017 verdoppelt, wobei ein Drittel dieser Angriffe offenbar auf Unternehmen abzielen. Eines der bekanntesten Beispiele aus jüngster Zeit war der russische Angriff auf das US-amerikanische Technologieunternehmen SolarWinds, das Sicherheitslücken in vertrauenswürdigen Technologieprodukten ausgenutzt hat.

Der Mittelstand ist der Motor unserer Gesellschaft und leider auch der wunde Punkt. Umso wichtiger ist, dass die Geschäftsführung das Risiko erkennt und ein gutes Verständnis dafür entwickelt, was er schützen muss und wie viel Risiko er eingehen möchte.

Wichtig für die Einschätzung ist eine unabhängige Bewertung des Cyber-Risikoprofils und der Wirksamkeit der aktuellen Cyber-Sicherheitsvorkehrungen im Unternehmen. Auf dieser Grundlage sollten KMU in ein Cyber-Verbesserungsprogramm investieren und sicherstellen, dass sie Zugang zu den benötigten Cyber-Kompetenzen haben, einschließlich unabhängiger Expertenberatung durch Dritte.

Wie sieht die Zukunft für Cyber-​​Sicherheit im Mittelstand aus? Der Mittelstand, insbesondere Wachstumsunternehmen, werden bei ihrer Expansion potenziell reale Angriffsziele. KMU müssen in Sachen Cyber-Sicherheit mehr Engagement zeigen, um die Herausforderungen effektiv und zeitnah zu bewältigen. Das Risiko Management System (RMS) mit all seinen Prozessen muss neu überdacht und implementiert werden. Die Verankerung einer Sicherheitskultur im Unternehmen ist der beste Schutz vor Cyberbedrohungen und diese muss von oben, Top-Down vorgelebt werden.

Unternehmens-IT im stetigen Wandel

Getrieben durch den technologischen Wandel und unternehmerisches Wachstum besteht für viele Unternehmen die Notwendigkeit, ihre IT-Landschaft und Applikationsumgebung an die neuen Gegebenheiten anzupassen. Solche Anpassungen beinhalten fast immer die Veränderung der zugrunde liegenden Geschäftsprozesse als auch die Einführung neuer Technologien, sei es die Ablösung von Altsystemen oder die Entwicklung/Einführung neuer Software und Anwendungen (wie z.B. ein ERP-System), die Auslagerung der IT-Infrastruktur in die Cloud oder aber die Einführung komplexere Themen wie Blockchain-Technologie oder Künstliche Intelligenz.

Die Änderung bestehender oder die Einführung neuer IT-Systeme ist jedoch stets mit erheblichen Herausforderungen verbunden. Dies gilt sowohl im Kleinen als auch im Großen und ist z.T. unabhängig von der Art des jeweiligen Projekts, wobei die Risiken insbesondere bei mittleren und Großprojekten aufgrund ihrer gesteigerten Komplexität zunehmen.

Herausforderungen bei IT-Projekten

Die Herausforderungen bei der Durchführung von IT-Projekten bestehen dabei zuallererst aus den typischen Projektrisiken wie Termin-, Budgetüberschreitungen und Qualitätsrisiken. Jedoch kommen auch weitere Risiken hinzu wie z.B.

  • Risiko von Fehlentwicklungen und Nichterfüllung von Anforderungen
  • Lücken bei der Informationssicherheit und fehlende oder ungeeignete Kontrollen
  • Migrations-Risiken

Des Weiteren bestehen bei der Einführung neuer Prozesse und Technologien in der Regel fast immer Unsicherheiten über die regulatorischen und gesetzlichen Anforderungen, woraus sich entsprechende Compliance-Risiken ergeben.

Möglichkeiten der Risiko-Mitigation auf Basis IDW PS 850

Zur Adressierung dieser Risiken sind eine Vielzahl projektbezogener Maßnahmen möglich. Angefangen von klassischen Projektmanagement-Aktivitäten wie der Auswahl einer geeigneten Projektmethodik, ordentlicher Projektplanung und Steuerung sowie Ressourcen-Ausstattung, einem sauberen Anforderungs- und Qualitätsmanagement, bis hin zu einem angemessenen Testing und der formalen Projektabnahme.

Darüber hinaus gibt es aber auch die Möglichkeit, Projektrisiken durch das Hinzuziehen einer externen, neutralen Instanz zu minimieren, die das Projekt punktuell für die Abnahme von bestimmten Projektmeilensteinen oder aber über die gesamte Projektdauer bis hin zur Endabnahme prüfend begleitet.

Die Etablierung einer solchen projektbegleitenden Prüfung durch eine externe und neutrale Instanz bietet dabei folgende Chancen:

  • Frühzeitige Absicherung der Berücksichtigung aller Anforderungen im Pflichtenheft
    • Compliance-Anforderungen
    • Einhaltung relevanter Ordnungsmäßigkeitsanforderungen (u.a. Bilanzkontinuität)
    • Security by Design
    • Angemessene IT-Kontrollen
    • Abdeckung von Anforderungen für zukünftige Prüfungen
  • Neutrale unabhängige Einschätzung zum Projektstatus (Liefergegenstände und Meilensteine)
  • Neutrale unabhängige Einschätzung zu Risiken und Maßnahmen bei der Projektumsetzung
  • Zusätzliche Qualitätssicherung
  • Gesamt-Abnahme des Projekts durch unabhängige externe Instanz

Das Vorgehen für eine solche projektbegleitende Prüfung richtet sich dabei an dem vom Institut der Wirtschaftsprüfer ausgegebenen Prüfungsstandard IDW PS 850 aus. Dieser Standard beinhaltet wichtige Vorgaben für die Prüfung über den gesamten Projektlebenszyklus:

  • Projektplanung und Projektorganisation
  • Systemdesign, Entwicklung und Testphasen
  • Datenmigration
  • Rollout und Produktivsetzung

Darüber hinaus macht der PS 850 auch Vorgaben zur Verwertung von Untersuchungen oder Prüfergebnissen Dritter sowie zur Dokumentation und Berichterstattung.

Fazit

Die frühzeitige Einbeziehung eines externen unabhängigen Experten gewährleistet die Einhaltung der Ordnungsmäßigkeitsanforderungen und Bilanzkontinuität, fungiert als neutrale Instanz für Qualitätssicherung und Risiko-Monitoring und kann ggf. sogar als Institution für die Abnahme des Gesamtprojekts dienen.

Die externe prüferische Instanz kann dabei auf Erfahrungen aus ähnlich gelagerten Projekten zurückgreifen, wertvolle Hinweise und Empfehlungen bei der Projektumsetzung liefern und dadurch den Gesamt-Projekterfolg maßgeblich unterstützen.

Homeoffice ist seit Covid-19 der politische Lösungsansatz, um die Ausbreitung durch social-distance am Arbeitsplatz zu mi­ni­mie­ren. In der Vergangenheit war es undenkbar und negativ behaftet aus dem Homeoffice zu arbeiten. Dies liegt daran, dass der Arbeitgeber kaum Vertrauen in die Mitarbeiter:in setzt. Selbstdisziplin ist hier nämlich ein Muss genauso wie die Trennung von Arbeit und Privatleben. Es ist festzustellen, dass nach der Corona-Pandemie deutlich mehr Menschen mobil arbeiten können als zuvor und wollen dies auch so beibehalten. In Großraumbüros will nach Corona fast niemand mehr zurück. New Work oder Workation heißt das neue Schlagwort. Man konnte feststellen, dass die Produktiv- und Arbeitsleistung aus dem Homeoffice nicht nachgelassen hat, weshalb viele Unternehmen offener zu diesem Thema stehen.

Das zunehmende Interesse von Remote work lässt auch die Versuchung wachsen, das Homeoffice ins Ausland zu verlegen. Für einen möglichen Aufenthalt greifen jedoch bestimmte Regelungen und es bedarf einer schriftlichen Zustimmung des Arbeitgebers. Innerhalb der EU ist Remote work am unkompliziertesten. Grund dafür ist, dass wir keinen Aufenthaltstitel und Arbeitserlaubnis benötigen. Ausgenommen hiervon sind Drittstaaten wie beispielsweise das Vereinigte Königreich. Damit So­zi­al­ver­sich­erungs­bei­trä­ge nicht doppelt berechnet werden, ist eine A1 Bescheinigung notwendig. Mit einer A1 Bescheinigung weist ein Angestellte:r nach, dass er/sie während einer Dienstreise ins europäische Ausland über das Heimatland sozialversichert sind. Diese Be­schei­ni­gung gilt innerhalb der EU, des Europäischen Wirtschaftsraums (EWR) und der Schweiz. Es besteht jedoch eine so­zial­ver­sicherungs­tech­nische Heraus­for­derung und Risiko für das Arbeiten aus dem Ausland. Der Arbeitgeber muss sich hierbei mit den Sozialver­sicherungsvorschriften des anderen Landes vertraut machen und die Registrierungs-, Melde- und Bei­trags­pflich­ten korrekt und fristgerecht umsetzen. Es drohen Sanktionen seitens der zuständigen Behörden, sollten die So­zial­ver­sich­erungs­bei­trä­ge zum falschen So­zial­ver­sich­erungs­sys­tem geleistet werden.

Damit das mobile Arbeiten im Ausland rechtlich ordnungsgemäß geregelt werden kann, sollte gemeinsam mit der Per­so­nal­ab­tei­lung eine vorausschauende Planung erstellt und entsprechende Regelungen, festgehalten in einer Zu­satz­ver­ein­ba­rung, getroffen werden. Bei eventuellen Bedenken, dass die Produktivität oder Erreichbarkeit des Mitarbeiters im Ausland leidet, können Sie eine Art Testlauf vereinbaren.

Für Selbständige trifft dies nicht zu, da Selbständige freier in der Auswahl Ihres Arbeitsplatzes sind.