Die Handelsregisterverordnung (HRV) wurde zum 23.12.2022 durch das Bundesjustizministerium angepasst. Das Ziel ist, personenbezogenen Daten im digitalen Handelsregister einen besseren Schutz zu geben.

Bisher ließen sich seit dem 01.08.2022 sämtliche Einträge im Handels-, Genossenschafts-, Partnerschafts- und Vereinsregister per Webformular abrufen. Damit waren Dokumente zugänglich, die oft sensible persönliche Daten wie Adresse, Geburtsdaten, Bankverbindung oder auch Unterschriften enthielten. Diese Lücke im Datenschutz entstand durch eine Gesetzesänderung zur Umsetzung der EU-Digitalisierungsrichtlinie. Betreiber des Handelsregisterportals sind die einzelnen Bundesländer und das ist der einzige Bereich, in dem das Bundesjustizministerium selbst als Verordnungsgeber tätig werden kann.

Kritik der Datenschützer am Schutz der Informationen in dem Online-Verzeichnis führte zu Änderungen in der Handelsregisterverordnung. § 9 HRV beinhaltet jetzt, dass nur Unterlagen aufgenommen werden, die aufgrund besonderer Rechtsvorschriften zwingend einzureichen seien, also beispielsweise keine Ausweiskopien. Gleichzeitig wird klargestellt, dass Erbscheine, Erbverträge, öffentliche Testamente und andere nach § 12 Abs. 1 Satz 5 HGB hinterlegte Urkunden nicht in das Register aufgenommen werden sollen. Ebenfalls wurde in dem neuen Absatz 7 § 9 HRV die Möglichkeit des Austausches von Dokumenten geregelt. Damit kann der Betroffene ein neues Dokument ohne die fraglichen Inhalte einreichen und geben das alte Dokument austauschen.

Fazit: Der Prozess ist noch nicht abgeschlossen. Das Bundesministerium der Justiz, die Justizbehörden der Länder und die Bundesnotarkammer arbeiten weiterführend daran, technische Lösungen zur datenschutzrechtlichen Bearbeitung von bereits eingestellten Daten zu finden.

Foto: istockphoto/fotogestoeber

DNK Kriterien: Strategie, Prozessmanagement, Umwelt und Gesellschaft

Als eines der ersten IT-Beratungsunternehmen erhielt iAP das Siegel des Deutscher Nachhaltigkeitskodex (DNK).

Wir haben uns ganz bewusst für dieses Siegel entschieden!

Der DNK unterstützt den Aufbau einer Nachhaltigkeitsstrategie und bietet einen Einstieg in die Nachhaltigkeitsberichterstattung. Die regelmäßige Berichterstattung macht die Entwicklung im Thema Nachhaltigkeit des Unternehmens im Zeitverlauf sichtbar. Um den DNK zu erfüllen, haben wir in der Datenbank eine Erklärung zu zwanzig DNK-Kriterien und den ergänzenden nichtfinanziellen Leistungsindikatoren erstellt. Kriterien sind u.a. Strategie, Regeln, Wesentlichkeit, Ziele, Menschenrechte.

Wir berichten im DNK nach dem “comply-or-explain”-Prinzip zu allen Kriterien und den dazugehörigen Aspekten und Leistungsindikatoren. 

Innerhalb der Berichterstattung nach den Kriterien ist uns besonders wichtig, unsere Entwicklung in Bezug auf Nachhaltigkeit aufzuzeigen. Wir haben uns für das Leistungsindikatoren-Set nach GRI (Global Reporting Initiative) entschieden. Die Zusatzoption, mithilfe des DNK nach dem CSR-Richtlinie-Umsetzungsgesetz (CSR-RUG), im Sinne der EU-Taxonomie und/oder dem Nationalen Aktionsplan (NAP) Wirtschaft und Menschenrechte zu berichten, haben wir bisher noch nicht gewählt und planen dies in einer nächsten Stufe der Berichterstattung im Jahr 2023 für das Berichtsjahr 2022. 

Wie stellte sich die Einführung der Nachhaltigkeitskriterien und die Berichterstattung für uns in der Praxis dar?

Stakeholder Analyse – Wesentlichkeitsanalyse – Workshops

Die Berichterstattung erfolgte über die Bereiche Strategie, Prozessmanagement, Umwelt und Gesellschaft. In einer Analyse der Interessensgruppen im Unternehmen und außerhalb der iAP haben wir die wichtigsten Kontaktpunkte in einer Stakeholder Analyse identifiziert. Mit einer anschließenden Wesentlichkeitsanalyse wurden die Themen ermittelt und bewertet, die für diese Kontaktgruppen von wesentlicher Bedeutung sind.  

In Workshops haben wir die wesentlichen Aspekte begutachtet, welche in unserer Geschäftstätigkeit Auswirkungen auf die Umwelt haben und welche wesentlichen Aspekte der Umwelt Auswirkungen auf unsere Geschäftstätigkeit haben.
Es galt, die positiven wie negativen Wirkungen zu qualifizieren und quantifizieren, um diese Erkenntnisse dann in die Geschäftsprozesse einfließen zu lassen.
Konkret haben wir zum Beispiel im Vertriebsprozess die Form der Kommunikation und Anbahnung der Geschäftsbeziehungen deutlich verändert und Anforderungen auch an potenzielle Auftraggeber formuliert. Dies beinhaltet sowohl die Kommunikation und Besprechung via Internet-Video-Konferenzen als auch den Arbeitseinsatz über flexible Arbeitszeiten mit einem Remote-Anteil der Auftragsdurchführung von mindestens 75%. 

Um dem Nachhaltigkeitsmanagement eine effektive Stoßrichtung zu geben, haben wir unseren Fokus auf die Lösung vermeintlich drängender Probleme gelegt. Dafür musste im Vorfeld geklärt werden, welche Unternehmensaktivitäten mit wichtigen ökologischen und/oder sozialen Problemen verknüpft sind oder auf diese einwirken. Hier arbeiteten wir zum Thema “Verbrauch natürlicher Ressourcen” sowohl unserer Mitarbeiter als auch in Bezug auf die eingesetzten IT-Ressourcen.  

Aber auch von außen wirken ökologische wie gesellschaftliche Herausforderungen auf das Geschäftsmodell unseres Unternehmens. Hier haben wir z.B. die zunehmenden Risiken aus der politischen und sicherheitspolitischen Entwicklung beständig im Blick und schärfen unsere Beratungsprodukte bei Bedarf. 

Wie sind wir vorgegangen?

Für die Entwicklung einer erfolgreichen Nachhaltigkeitsstrategie ist es unabdingbar, Stakeholder innerhalb und außerhalb des Unternehmens zu identifizieren und deren Interessen sowie Einflussmöglichkeiten auf den Nachhaltigkeitsprozess des Unternehmens zu analysieren.  

Die internen Stakeholder der iAP waren schnell identifiziert und das Engagement am Nachhaltigkeitsprozess in Umfragen und Diskussionen qualifiziert.  

Für die Erhebung der externen Stakeholder war es wichtig, im Vorfeld zu analysieren, wie das Unternehmen in die Gesellschaft eingebettet ist und welche Besonderheiten sich daraus ergeben. Daher erfragte der erste Aspekt in der Checkliste “Besonderheiten des Umfelds”, wie etwa die Bedeutung unseres Unternehmens als Arbeitgeber in der Region, ökonomische Verflechtungen, ökologische Besonderheiten (Gewässer, Naturschutzgebiete usw.) in direkter Nachbarschaft oder auch ökologische und soziale Themen, mit denen unsere Branche häufig in den Medien verknüpft wird. Es entstand eine Liste mit Personen, Unternehmen, Ämtern und Verbänden. Im Dialog mit den wichtigsten Stakeholdern wurden deren Erwartungen und Einflussmöglichkeiten erörtert und festgehalten.  

Was machen wir mit den Ergebnissen aus der Stakeholder- und Wesentlichkeitsanalyse?

Wesentlichkeitsmatrix als Grundlage der Nachhaltigkeitsstrategie

Im folgenden Schritt konnten wir dann mit der Wesentlichkeitsanalyse auf diese Betrachtung des Umfelds aufbauen. Die folgenden 4 Aspekte des DNK haben uns geholfen, hier präziser zu arbeiten:  

Aspekt 1: 
Beschreiben Sie die ökologischen, sozioökonomischen und politischen Besonderheiten des Umfelds, in denen Ihr Unternehmen tätig ist. 

Aspekt 2: 
Beschreiben Sie, welche wesentlichen Nachhaltigkeitsthemen durch Ihre Geschäftstätigkeit beeinflusst werden. Stellen Sie sowohl die positiven als auch die negativen Auswirkungen dar (Inside-out-Perspektive). 

Aspekt 3: 
Beschreiben Sie, welche wesentlichen Nachhaltigkeitsthemen auf Ihre Geschäftstätigkeit einwirken. Stellen Sie sowohl die positiven als auch die negativen Auswirkungen dar (Outside-in-Perspektive). 

Aspekt 4: 
Erläutern Sie, welche Chancen und Risiken sich für Ihr Unternehmen aus dem Umgang mit den beschriebenen Nachhaltigkeitsthemen ergeben. Nennen Sie Schlussfolgerungen, die Sie daraus für Ihr Nachhaltigkeitsmanagement ableiten. 

Unsere erarbeiteten Nachhaltigkeitsthemen zu diesen Aspekten haben wir in einer Wesentlichkeitsmatrix nach der Höhe ihrer Relevanz für die iAP und ihrer Stakeholder abgetragen. Diese Matrix bildet eine Grundlage der Nachhaltigkeitsstrategie und der Berichterstattung zur Nachhaltigkeit.  

Zu unseren wichtigsten Nachhaltigkeitsthemen gehören

  • Reduzierung unseres CO2-Fußabdruckes 
  • Gesundheit und Wohlergehen unserer Mitarbeiter 
  • Gesellschaftliches Engagement 

Wie setzen wir das um?

Die erarbeiteten wesentlichen Aspekte und Maßnahmen sind Bestandteil der Jahresstrategie. 

Um diese umzusetzen, übernehmen wir diese quartalsweise in unsere OKRs (Objective key results). Jeder Mitarbeiter wählt mindestens ein Nachhaltigkeitsziel für seine persönlichen OKRs, weitere Nachhaltigkeitsziele werden in den OKRs auf Unternehmensebene festgehalten.

Bei den monatlichen Validierungen besprechen wir die Leistungsindikatoren, insbesondere unsere Werte und Grundsätze, aber auch Standards und Verhaltensnormen. Uns ist sehr daran gelegen, unsere Nachhaltigkeitsziele aus der Jahresstrategie im Auge zu behalten. Mit dem Fokus auf die Leistungsindikatoren Werte und Grundsätze setzen wir auf eine gute Gemeinschaft und einen Geschäftsverbund.

Das alles ist ein lebendiger und sich ständig verändernder Prozess, bei dem wir uns als iAP-Team weiterentwickeln und wachsen. Wir fragen uns regelmäßig: Was können wir besser machen?  

Diese Maßnahmen zahlen auf die von uns erarbeiteten Nachhaltigkeitsziele ein:

  • Für Dienstreisen und die Fahrt ins Büro nutzen wir öffentliche Verkehrsmittel und Fahrräder. 
  • Unterstützung eines Kollegen bei  der Neuanschaffung eines Fahrrades. 
  • Wir arbeiten Mobil, allen Mitarbeitern ist es freigestellt, ob sie im Homeoffice oder im Büro arbeiten.
  • Unsere Mitarbeiter arbeiten mit flexiblen Arbietszeitmodellen.
  • Im Rahmen der betrieblichen Gesundheitsförderung haben wir für unsere Mitarbeiter ein wöchentlich stattfindendes sportliches Angebot entwickelt.
  • Wir fördern einen gemeinnützigen Verein in unserem Heimatbezirk Lichtenberg.  

Im nächsten Nachhaltigkeitsbericht für das Berichtsjahr 2022 werden wir ganz sicher über Erfolge berichten können. 

Unseren ersten Nachhaltigkeitsbericht können Sie auf der Seite des DNK einsehen: Deutscher Nachhaltigkeitskodex – Datenbank (deutscher-nachhaltigkeitskodex.de) 

Wie iAP Ihnen bei der Verfolgung Ihrer Nachhaltigkeitsziele helfen kann? Lesen Sie hier: Leistungen > Nachhaltigkeit & ESG

Das Hinweisgeberschutzgesetz als nationales Gesetz zur EU-Whistleblower-Richtlinie ist kurz vor dem Beschluss durch die Regierungskoalition. Die Umsetzung in Deutsches Recht hätte bereits bis 17.12.2021 erfolgen müssen, daher wurde die EU Ende Januar 2022 aktiv und hat ein förmliches Vertragsverletzungsverfahren gegen Deutschland und 22 weitere EU Mitgliedsstaaten eingeleitet. Das neue Hinweisgeberschutzgesetz (HinSchG) wird begleitet von notwendigen Anpassungen bestehender gesetzlicher Regelungen. 

Das Ziel des Gesetzes ist der Schutz der hinweisgebenden Personen und weiterer von einer Meldung betroffenen Personen zu stärken und abzusichern, dass ihnen keine Benachteiligung droht. Die Voraussetzungen für den Schutz der hinweisenden Person sind den §§ 35 ff HinSchG-E (Entwurfsfassung) abgebildet. Der Schutz besteht allerdings nicht, wenn vorsätzlich oder grob fahrlässig unrichtige Informationen weitergegeben. 

Welche Verstöße gegen geltende Vorschriften und Rechtsnormen umfasst das HinSchG? 

  • Arbeitsschutz, 
  • Gesundheitsschutz, 
  • Mindestlohngesetz, 
  • Arbeitnehmerüberlassungsgesetz, 
  • Betriebsverfassungsgesetz, 
  • Regelungen zur Bekämpfung der Geldwäsche, 
  • Produktsicherheitsvorgaben, 
  • Vorgaben Gefahrgutbeförderung, 
  • Vorgaben zu Umwelt- und Strahlenschutz, 
  • Standards zu Arzneimittel und Medizinprodukten, 
  • Verbraucherschutz, 
  • Datenschutz, 
  • Informationssicherheit, 
  • Vergaberecht, 
  • GoBD Regelungen. 

sowie jegliche Verstöße gegen Strafvorschriften des deutschen Rechts. 

Wer ist zur Umsetzung des HinSchG verpflichtet? 

Der Gesetzgeber möchte ein weitreichendes und einheitliches Schutzniveau erreichen und hat daher den Umfang der Unternehmen weit ausgedehnt. Diese sind: 

  • juristische Personen des Privatrechts wie der eingetragene Verein, die eingetragene Genossenschaft, die Aktiengesellschaft, die Kommanditgesellschaft auf Aktien, die Gesellschaft mit beschränkter Haftung und Stiftungen des Privatrechts, 
  • juristischen Personen des öffentlichen Rechts, insbesondere Gebietskörperschaften, Personalkörperschaften sowie Verbandskörperschaften auf Bundes- und Landesebene, 
  • rechtsfähige Personengesellschaften und sonstige rechtsfähige Personenvereinigungen, 
  • Anstalten, wie die Landesrundfunkanstalten, 
  • öffentlich-rechtliche Stiftungen, 
  • die evangelische und katholische Kirche mit ihren Kirchengemeinden, 
  • sonstige gemäß Artikel 140 GG, Artikel 137 Absatz 5 der Weimarer Reichsverfassung als Körperschaften des öffentlichen Rechts oder nach entsprechenden Bestimmungen des Landesrechts anerkannte oder als Vereine des BGB konstituierte Kirchen und   sonstige Religionsgemeinschaften.

Wo kann die hinweisgebende Person seine Meldung platzieren? 

Die hinweisgebende Person kann frei wählen, ob sie sich an eine „interne Meldestelle“ des Unternehmens oder an eine „externe Meldestelle“ der Behörden wendet. 

Im Referentenentwurf des HinSchG sind verpflichtende Regelungen für die Bereitstellung einer internen Meldestelle festgelegt: 

  • für Beschäftigungsgeber mit mehr als 250 Mitarbeiter sofort nach Inkrafttreten des Gesetzes,  
  • für Beschäftigungsgeber mit mehr als 50 Mitarbeiter (und bis 249 Mitarbeiter) ab dem 17.12.2023. Diese können gemäß § 14 Abs. 2 HinSchG-E eine „gemeinsame Meldestelle“ betreiben oder auch einem „Dritten“ mit der Aufgabe betreuen (§ 15 HinSchG-E). Zu beachten ist das der sog. „Dritte“ bei der Ausübung der Tätigkeit unabhängig ist und das Vertraulichkeitsgebot beachtet.  
  • für Gemeinden und Gemeindeverbände richtet sich die Pflicht zur Einrichtung interner Meldestellen nach dem jeweiligen Landesrecht, da dem Bund insoweit infolge des 

„Durchgriffsverbots“ eine unmittelbare Aufgabenübertragung an Gemeinden und Gemeindeverbände verwehrt ist. Im jeweiligen Landesrecht kann vorgesehen werden, dass Gemeinden und Gemeindeverbände mit weniger als 10 000 Einwohnern von der Pflicht zur Einrichtung interner Meldestellen ausgenommen werden. Hier werden also zeitnah noch Landesgesetze der Bundesländer zu erlassen sein.  

Wie kann die hinweisgebende Person ihre Meldung abgeben? 

Meldekanäle für mündliche oder schriftliche Meldungen sind wie folgt zu gestalten: 

  • Einrichtung einer telefonischen Hotline, 
  • Einrichtung eines IT-gestützten Hinweisgebertools, 
  • Persönliche / physische Zusammenkunft, bei anonymen Hinweisen eher schwierig umzusetzen. 

In dem bisher vorliegenden Gesetzesentwurf ist keine Verpflichtung enthalten, dass Meldekanäle anonyme Meldungen ermöglichen müssen. 

Die Umsetzung der neuen gesetzlichen Regelungen ist verpflichtend, da sonst eine Schadensersatzforderung oder auch Bußgeldforderung auf Grund einer Ordnungswidrigkeit entstehen kann. 

Die deutschen Datenschutzbehörden haben als Umsetzungshilfe eine Orientierungshilfe veröffentlicht. „Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“ Da die Meldung von Verstößen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen beinhaltet, bedarf es im Einzelfall einer Datenschutz-Folgenabschätzung. 

Das ein umfangreiches Beschwerdemanagement in jedem Unternehmen etabliert sein sollte, unterstreicht auch das bereits gültige Lieferkettensorgfaltspflichtengesetz(LkSG) § 8. Dieses definiert entsprechend der Unternehmensgröße eine verpflichtende Umsetzung im Rahmen eines Beschwerdeverfahrens. 

Prüfen Sie schon jetzt, wie Sie in Ihrem Unternehmen das deutsche Hinweisgeberschutzgesetz umsetzten können oder in Ihr bestehendes Beschwerdemanagement integrieren können. Bei Suche nach einer IT-gestützten Lösung können wir Sie kompetent und unabhängig unterstützen. 

Bild: istockphoto/oxinoxi

Viele Dienstleister – vor allem Rechenzentrumbetreiber, Cloud Provider und IT-Service Provider aller Art möchten sicherstellen und auch ihren Mandanten nachweisen, dass sie effektive Kontrollen und Sicherheitsmaßnahmen für die Erbringung ihrer Dienstleistungen installiert haben.   

Auf der anderen Seite suchen die Kunden von Dienstleistungsunternehmen den richtigen Partner für die Auslagerung von Geschäftsprozessen. Dabei spielt es eine immer wichtigere Rolle, wie effektiv und verlässlich die internen Kontrollen zur Gewährleistung einer hochverfügbaren und sicheren Datenverarbeitung der Dienstleister sind.   

Die Erfüllung mancher gesetzlichen Anforderungen (z.B. bei den Jahresabschlussprüfungen) wird durch die Auslagerung von Dienstleistungen oftmals mit auf den Dienstleister übertragen, z.B. wenn die Verarbeitung von rechnungslegungsrelevanten Daten outgesourct wird. Die „Verantwortung“ gegenüber dem Gesetzgeber bleibt dabei aber immer beim Unternehmen, das die Dienstleistung auslagert. 

Seit einiger Zeit ist auf dem Markt eine zunehmende Nachfrage nach so genannten SOC-Reports bzw. -Zertifizierungen als Nachweis über das Kontrollsystem des Dienstleisters zu beobachten.
Was bringt ein SOC-Report bzw. eine SOC-Zertifizierung? Was ist der Unterschied zwischen SOC 1, SOC 2 und SOC 3 und daraus resultierend, welcher SOC-Report ist für wen sinnvoll? 

SOC steht für engl. „System and Organization Controls“ und stellt in den Varianten SOC 1, SOC 2 und SOC 3 Prüfungs- und Berichtsstandards des AICPA dar („American Institute of Certified Public Accountants“, zu deutsch „Amerikanisches Institut für Wirtschaftsprüfer“). SOC-Berichte richten sich an Unternehmen, die die Verlässlichkeit ihrer Dienstleistungen sowie die Sicherheit der für den Kunden verarbeiteten Daten durch eine Wirtschaftsprüfer-Testat nachweisen wollen. 

SOC 1® — Internal Control over Financial Reporting (ICFR)

Der SOC 1 Standard wurde speziell für die Überprüfung derjenigen Kontrollen bei den Dienstleistern konzipiert, die für die Finanzberichterstattung des Dienstleistungsnehmers relevant sind. Die Auditoren bzw. Wirtschaftsprüfer des Dienstleistungsnehmers nehmen im Rahmen der Prüfung für einen SOC 1-Bericht i.d.R. eine Risikobewertung vor und erstellen mit dem SOC 1-Bericht einen Prüfungsnachweis über die Kontrollen des Dienstleisters.  

Für den SOC 1 Bericht gibt es zwei Berichts-Typen: 

Typ 1

Bericht über die Eignung des Aufbaus und der Angemessenheit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele zu einem bestimmten Zeitpunkt 

Typ 2

Bericht über die Wirksamkeit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele während eines bestimmten Zeitraums (üblicherweise 6 Monate oder 1 Jahr). 

SOC 2® – Trust Services Criteria

Der SOC 2-Bericht wurde konzipiert für die Überprüfung der Kontrollen bzgl. Sicherheit (security), Verfügbarkeit (availability), Integrität (processing integrity) der Systeme, die der Dienstleister für die Verarbeitung der Daten der Dienstleistungsnehmer verwendet, sowie der Kontrollen zu Datenschutz und Vertraulichkeit (privacy of the information) der verarbeiteten Daten. 

Die Dienstleister für die ausgelagerten Dienstleistungen agieren dabei praktisch als „Lieferanten“ für ihre Kunden. Die SOC 2-Berichte dienen dazu, zum Risikomanagement des Dienstleistungsnehmers eine adäquate und mit einem angemessenen Detaillierungsgrad versehene Bewertung unter Berücksichtigung des SOC 2 Standards abzugeben. Die Berichte setzen ein angemessenes Maß an Fachkenntnissen und Wissen über die Abläufe, sowie die Art und Weise voraus, wie die Dienstleistungen hergestellt und angeboten werden. Daher ist Anwenderkreis für den SOC 2-Bericht eingeschränkt auf das Management des Dienstleistungsunternehmens, den Dienstleistungsnehmer und seine Wirtschaftsprüfer, aktuelle und potenzielle Geschäftspartner und Revisoren. 

Die zu überprüfenden Kontrollen bei SOC 2 und SOC 3 Berichten werden gegen die so genannten Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy geprüft. 

SOC 2 Berichte können ebenfalls als Typ 1 (Angemessenheit der Kontrollen) oder Typ 2 (Wirksamkeit der Kontrollen über einen bestimmten Zeitraum) erstellt werden. 

SOC 3® – Trust Services Criteria for General Use Report 

Genauso wie bei einem SOC 2 Bericht bezieht sich auch ein SOC 3 Bericht auf die Kontrollen bzgl. Sicherheit, Verfügbarkeit, Integrität sowie Datenschutz/Vertraulichkeit. Die SOC 3 Berichte unterliegen den gleichen Prüfkriterien wie SOC 2 Berichte. Es gibt allerdings einige Unterschiede zwischen SOC 2 und SOC 3: Zum einen sind die SOC 2 Berichte vertraulich und werden nur bestimmten Kunden zur Verfügung gestellt. Die SOC 3 Berichte sind hingegen für die Öffentlichkeit gedacht und stehen in der Regel als Marketing-Instrument auf der Webseite der Unternehmen (der Dienstleister).  

SOC 3 Berichte beinhalten im Gegensatz zu SOC 2 Berichten keine detaillierten Informationen über die internen Prozesse oder Kontrollen des Unternehmens sowie die exakte Art und Weise, wie die Kontrollen getestet wurden oder was das Ergebnis der jeweiligen Tests und Prüfungen im Detail war. Der Bericht ist wesentlich kurzer gefasst und wird i.d.R. in Form eines Whitepapers bereitgestellt. Ein weiterer Unterschied ist, dass ein SOC 3 Bericht nur für einen Berichtszeitraum, also als Typ 2-Bericht erstellt wird. 

Fazit

Wenn rechnungslegungsrelevante bzw. finanzkritische Daten und Verarbeitungsprozesse ausgelagert werden, sollten Unternehmen bei ihren künftigen Dienstleistern nach einem SOC 1 Bericht fragen, z.B. wenn Unternehmen ihre E-Commerce-Aktivitäten auslagern möchten. 

Wenn ein Unternehmen, z.B. die Verarbeitung seiner sensiblen Kundendaten an einen externen Dienstleister auslagern möchte (Cloud/RZ), kommt für den betreffenden IT-Dienstleister der SOC 2-Bericht in Frage. Der Dienstleistungsnehmer möchte mit seiner Anfrage nach einem solchen Bericht sicherstellen, dass der Dienstleister wirksame Mechanismen (Kontrollen) installiert hat, die die Daten seiner Kunden vor fremdem Zugriff schützen und die Hochverfügbarkeit der IT-Umgebung des Dienstleisters sicherstellen. 

Nach einem SOC 3 Bericht fragen die Kunden der Dienstleister i.d.R. nicht. Die Dienstleister stellen den SOC 3 Bericht der Öffentlichkeit selbst zur Verfügung und transportieren damit eine zertifizierte Sicherheit ihrer Dienstleistungen, ohne zu viele Details kommunizieren zu müssen. 

Der Einsatz von Tochterunternehmen von US-amerikanischen Cloud-Anbietern ist per se nicht rechtswidrig im Sinne der DSGVO. 

Das OLG Karlsruhe präsentierte seine aktuelle Entscheidung zum Datenschutz kontroversen Einsatz von US- Cloud- Dienstleistern. 

Der Hintergrund zur Entscheidung 

ist ein Beschluss der von Vergabekammer Baden-Württemberg vom 13. Juli 2022 (Az. 23/22), welcher den Einsatz von Infrastrukturdiensten europäischer Tochterunternehmen, die US-amerikanischen Cloud-Anbietern zugehörig sind, thematisiert. Es wurde begründet, dass mit der damit verbundene Datenübermittlung in Drittländer außerhalb des Europäischen Wirtschaftsraums, ein Risiko eines Zugriffs durch U.S.-Behörden einhergeht. In diesem Fall betraf der Beschluss ein Vergabeverfahren für eine IT-Lösung im Krankenhaus- und Pflegebereich, bei der Hosting-Leistungen eines europäischen Cloud-Anbieters mit US amerikanischer Konzernmutter zum Einsatz kommen sollten. Die Datenspeicherung sollte ausschließlich auf Servern in Deutschland erfolgen. Die Vergabekammer führte in Ihrer Entscheidung aus, dass die Nutzung der Hosting-Infrastruktur, unabhängig von deren Sitz in der EU und des Umstands, dass die Datenspeicherung ausschließlich auf Servern in Deutschland erfolgen solle, ein „latentes Risiko“ des Zugriffs sowohl durch staatliche als auch private Stellen in den USA bestehe. Bereits ein solches latentes Risiko reiche aus, um eine nach Art. 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland anzunehmen. Ob und wie naheliegend ein Zugriff ist, sei für die Bewertung nicht relevant. 

Der Einsatz von Cloud Anbietern mit Hosting Leistungen ist für viele Unternehmen Realität und eine Abwahl dieser undenkbar. Der Beschluss der Vergabekammer löste große Unsicherheiten aus und wurde durch Datenschutzbehörden heiß diskutiert (Stellungnahme des LfDI v. 15.8.22). Gegen den Beschluss wurde Beschwerde beim OLG Karlsruhe eingelegt. 

Die Entscheidung zum Einsatz von Cloud – Anbietern aus den USA

der Karlsruher Richter wurde nach nur 8 Wochen getroffen. Am 07. September 2022 wurde die Beschlussfassung der Vergabekammer Baden-Württemberg aufgehoben (Az. 15 Verg 8/22).  

Wörtlich führt der Senat dazu aus: 

„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.”
(Rn. 50, OLG Karlsruhe, Beschluss vom 07.09.2022 - 15 Verg 8/22) 

Damit vertritt das OLG Karlsruhe die Meinung, das bei Nachprüfung einer Vergabeentscheidung zunächst davon auszugehen ist, dass ein Anbieter seine vertraglichen Zusagen erfüllen wird. Erst bei konkreten Zweifeln an der Erfüllbarkeit des Leistungsversprechens muss der öffentliche Auftraggeber ergänzende Informationen einholen und diese prüfen. Im vorliegenden Fall hatte der Dienstleister vertragliche Zusicherungen gemacht, dass Daten ausschließlich an die betreffende luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden. Die Beschlussfassung der Vergabekammer wurde entsprechend aufgehoben und der Nachprüfungsantrag zurückgewiesen. 

Die Bedeutung beim Einsatz von US-Clouds,

wie Google, Amazon, Microsoft & Co ist groß, denn es wird keine pauschale Einschätzung zur DSGVO-Konformität getroffen. Damit wird Klarheit zum Einsatz von Tochterunternehmen der US-amerikanischen Cloud-Anbietern geschaffen.  

Ergänzend möchten wir darauf hinweisen, dass die Entscheidung des OLG Karlsruhe nicht als allgemeine Erlaubnis zum Einsatz von US-Dienstleistern gesehen werden sollte. Die vorliegenden Rahmenbedingungen des Auftragsverarbeiters müssen im Transfer Impact Assessment (Artikel zum Thema TIA) aufgenommen werden und in die Datenübertragungsbewertung einfließen. 

Das wird nicht die letzte Entscheidung zu diesem Thema sein, denn nach der Schrems- II- Entscheidung des EuGH vom Juli 2020 verhandeln die EU und die USA um ein Nachfolgeabkommen für den EU-US-Privacy Shield.  

Mehr zum Thema Datenschutz erfahren Sie hier: Leistungen > Datenschutz

Die Ausrichtung auf Sustainable IT im Unternehmen rückt aufgrund der Energie- und Ressourcenintensität bei Herstellung und Betrieb immer mehr in den Fokus.

Aufgrund des gesellschaftlichen Wandels sowie der sich verschärfenden Regulierung und Gesetzesvorgaben zum Thema Nachhaltigkeit richten immer mehr Unternehmen ihre Geschäftsaktivitäten auf nachhaltige Geschäftsprozesse aus und schaffen Transparenz durch entsprechende Nachhaltigkeitsberichte. Im Fokus stehen dabei – insbesondere auch aufgrund der Vorgaben zur Nachhaltigkeit der Lieferkette – zuallererst die Kerngeschäftsprozesse der Unternehmen.

Das Thema Nachhaltigkeit der Unternehmens-IT bzw. Sustainable IT ist dabei typischerweise eher nicht auf der Agenda der priorisierte Nachhaltigkeitsaktivitäten zu finden, was insbesondere der Komplexität der Umstellung sowie den damit verbundenen hohen Umstellungskosten und den Bedenken im Hinblick auf den reibungslosen IT-Betrieb während der Umstellung geschuldet ist. Zudem wird der Beitrag der Unternehmens-IT zur Steigerung der Nachhaltigkeit von vielen Unternehmen nicht als besonders signifikant wahrgenommen.

Dennoch kann sich die Umstellung auf Nachhaltigkeit der Unternehmens-IT für Unternehmen jeder Größe auszahlen, denn neben der Verbesserung des eigenen Images und der Wahrnehmung bei Kunden und in der Öffentlichkeit lassen sich auch Liquiditätsvorteile, erhöhter Flexibilität sowie handfeste Einsparungen realisieren.

In welchen Bereichen lässt sich Nachhaltigkeit in der Unternehmens-IT umsetzen?

Unternehmensverantwortung und Governance

Die Verankerung des Themas Nachhaltigkeit in der DNA eines Unternehmens legt die Grundlage für die entsprechende Ausrichtung auf Sustainable IT. Hierfür müssen von der Unternehmensleitung eine auf Nachhaltigkeit ausgerichtete Gesamtstrategie formuliert werden, entsprechende Vorgaben und Richtlinien für den IT-Bereich definiert und Governance-Strukturen eingerichtet werden.

Von besonderer Relevanz sind dabei die folgenden Punkte:

  • Erstellung einer Nachhaltigkeits-Richtlinie für Sustainable IT
  • Erstellung einer Green-IT Strategie
  • Commitment der Geschäftsleitung durch Bereitstellung der personellen und finanziellen Ressourcen zur Umsetzung von Sustainable IT
  • Durchleuchtung der Lieferanten im IT-Bereich auf Nachhaltigkeit
  • Verbesserung der Mitarbeiter-Awareness zum Thema Nachhaltigkeit

IT-Architektur und Systemdesign

Ausgerichtete an der Unternehmensstrategie zum Thema Nachhaltigkeit leitet sich die nachhaltige IT-Strategie und davon das Maßnahmenprogramm zur Umsetzung ab.

Mögliche Maßnahmen im Hinblick auf die übergreifende IT-Architektur sowie die Ausgestaltung des Designs von Komponenten und Anwendungen sind unter anderen:

  • Anpassung der IT-Kapazitäten an den tatsächlichen Bedarf durch Verlagerung des IT-Betriebs in die Cloud
  • Fokus auf Standardisierung der IT-Komponenten und Nutzung von Open Source Software
  • Nutzung von Automatisierungspotenzialen zur Effizienzsteigerung

Nachhaltige Beschaffung

Die nachhaltige Beschaffung von IT-Komponenten nimmt aufgrund des hohen Verbrauchs von seltenen Metallen und dem hohen Energieeinsatz bei der Herstellung eine wichtige Rolle ein.

Hierbei sollte insbesondere auf folgende Aspekte geachtet werden:

  • Beschaffung von IT-Komponenten mit verifizierbaren Nachhaltigkeits-Siegeln
  • Nutzung von pre-owned bzw. refurbished Hardware statt Neu-Ware
  • Nutzung von Open Source-Hardware, wie z.B. aus dem Open Compute Project

Nachhaltiger IT-Betrieb

Beim Betrieb der IT-Umgebung steht die effiziente und nachhaltige Nutzung von Energie im Vordergrund. Dabei sollte darauf geachtet werden, dass die dafür erforderliche Elektrizität durch erneuerbare Energien erzeugt wird und die IT-Systeme nur dann laufen, wenn Sie tatsächlich benötigt werden. Insbesondere bei Betreibern von Rechenzentren spielt auch die effiziente Nutzung der anfallenden Wärme durch den Serverbetrieb eine immer wichtigere Rolle.

Folgende Punkte sollten für den nachhaltigen IT-Betrieb betrachtet werden:

  • Nutzung von Green Energy im gesamten Unternehmen
  • Auswahl von nachhaltig operierenden RZ-Dienstleistern
  • Einrichtung von Standby bei Nichtnutzung von IT-Komponenten (Auto off-Funktion)
  • Verlängerung der Nutzungsdauer durch Senkung der Austausch-Häufigkeit

Refurbishment und nachhaltige Entsorgung

Sofern die Entscheidung für den Austausch von IT-Komponenten getroffen wurde, sollten im Hinblick auf die Nachhaltigkeit bei der Beendigung des Life Cycles im Unternehmen folgende Punkte berücksichtigt werden:

  • Wenn möglich – Übergabe von alter Hardware an einen Refurbishment-Dienstleister statt Entsorgung
  • Sofern erforderlich – Entsorgung von Elektroabfall bei Entsorgern mit Nachhaltigkeits-Siegel

Wie jedes Projekt erfordert die Umsetzung von Sustainable IT eine detaillierte Bestandsaufnahme der Ist-Situation, eine Festlegung des konkreten Ziel-Zustands und ein abgeleitetes Programm zur Umsetzung, unterfüttert mit geeigneten Einzelmaßnahmen, deren Umsetzung über ein nachhaltiges Projektmanagement überwacht und nachgesteuert werden sollte.

Um die Relevanz für Cyber-Security in Hotels zu verdeutlichen, erfolgt zunächst eine grundsätzliche Betrachtung. Hotels gibt es in unterschiedlichen Größen und Ausstattungen. Oft bieten sie Beherbergung für über tausend Gäste und ein umfangreiches Serviceangebot. Eine große Anzahl von Mitarbeitern ist verantwortlich für die entsprechende Dienstleistungserbringung. Die jährlichen Umsätze liegen schnell im zwei- bzw. dreistelligen Millionenbereich, wodurch viele Hotels zu den Großbetrieben gehören.

Die Digitalisierung hat auch in Hotels Einzug gehalten. Dabei werden Prozesse effizienter gestaltet und Personal eingespart. Grundsätzlich ist ein Hotel aufgebaut wie jedes andere Unternehmen. Es besteht aus operativen Systemen, welche die Wertschöpfungskette abbilden. Diese werden durch Planungs- und Kontrollsysteme gesteuert. Für den reibungslosen Betrieb tauschen alle Systeme ihre Informationen in digitaler Form vertikal sowie horizontal über die Hoteldateninfrastruktur, deren Schnittstellen und gemeinsam genutzten Datenbanken aus.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!, IT Sicherheit, iAP

Cyber-physische Systeme und Cyber-Attacken​

Designer und Architekten haben seit jeher versucht der Hotelkundschaft besonderen Komfort unter Zuhilfenahme von neuen Technologien zu bereiten. Dazu zählt heutzutage, neben anderen, die zunehmende automatisierte Ausstattung der Hotelgebäudetechnik mit smarten Cyber-Physischen Systemen, auch, um z.B. Zugänge zu Stockwerken, Garagen, Zimmern und Aufzügen, Tagungsräumen, Restaurants sowie Wellness-Bereichen zu kontrollieren bzw. berührungslos freizugeben oder zu sperren.

Das hoteleigene Netzwerk muss neben internen zusätzlich unterschiedliche Arten externer Schnittstellen vorhalten, z.B. für die Kommunikation und den Datenaustausch mit Lieferanten, Logistikpartnern, Reisebüros und Privatkunden. Der Grad der Digitalisierung und Vernetzung schreitet also auch in Hotels unaufhaltsam voran. Allerdings wächst damit ebenfalls die Bedrohungslandschaft, welche vermehrte Angriffsfläche für Cyber-Attacken bietet, und somit neue Herausforderungen für die Gewährleistung der Sicherheit des Hotels und seiner Gäste entstehen.

Sensible Daten und Info-Displays

Jedes Hotel hält nicht nur eigene, sondern auch vertrauliche sowie sensible Daten seiner Gäste, Mitarbeiter und Geschäftspartner vor. Dazu gehören z.B. persönliche Informationen (Name, Anschrift, Nationalität, Geburtsdatum, KFZ-Kennzeichen), Kreditkarteninformationen, Firmennamen und Zahlungskonditionen. Die Gäste können umfangreiche Dienstleistungen über das WLAN, die hoteleigene App, oder interaktive Terminals bzw. Info-Displays buchen sowie bezahlen. Hotels waren für gewisse Kriminelle schon immer ein Tummelplatz, um sich durch verschiedenste Art und Weise am Hotel und seinen Gästen zu bereichern.

Die Schwerpunkte und der Umfang von Sicherheitsmaßnahmen verschieben sich im Zeitalter der Digitalisierung enorm, denn durch sie ergeben sich auch neue Möglichkeiten für kriminelle Handlungen. Ransomware-Angriffe auf Hoteldatenbanken und IT-Anwendungen, DDOS und Bot-Net-Angriffe auf die IT-Infrastruktur, Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware z.B. durch Gäste und interne oder externe Mitarbeiter, Infektionen mit Schadsoftware über das Internet oder Intranet, Einbruch über Fernwartungszugänge der Gebäudeautomatisierung, menschliches Fehlverhalten oder Sabotage, Identitäts- und Kreditkartendatendiebstahl sind nur einige der neuen immateriellen Szenarien.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!,, Internet-Security, iAP

Die Schadensfolgen von Cyber-Attacken können für jedes Hotel schnell existenzgefährdend werden und sind deshalb unbedingt unter Kontrolle zu halten.

  • Der Verlust von Performance und Verfügbarkeit der Dienstleistungsprozesse,
  • der Verlust von Vertraulichkeit durch Abfluss sensibler Gästedaten,
  • mangelhafte Integrität durch Datenverlust oder Manipulation,
  • das Fehlen von Authentizität durch gefälschte Quellnachweise,
  • physische Schäden bzw. Zerstörung der Hotelanlagen,
  • das Auslösen von Safety-Prozeduren,
  • die Bereinigung und Systemwiederherstellung nach Attacken und
  • der Verlust der Hotelreputation

sind nur wenige Beispiele möglicher Auswirkungen von Primär- und Folgeangriffen. Zum Schutz vor Sicherheitsvorfällen empfiehlt sich eine strukturierte und organisierte Herangehensweise z.B. durch den Aufbau eines Informationssicherheitsmanagementsystems. Mit entsprechenden technischen und organisatorischen, als auch rechtlichen Konzepten wird die Hotelsicherheit analysiert, proaktiv gefestigt und damit Resilienz erzeugt.

Digitalisierung und Herausforderungen

Wie andere Unternehmen, haben auch Hotels im Zuge der Digitalisierung mit den Herausforderungen zu kämpfen ihre sicherheitsstrategischen Ziele sowie Sicherheitsprozesse praktisch anwendbar zu definieren bzw. zu gestalten, um Cyber-Angriffe von innen und außen zu vermeiden. Es besteht bei den verantwortlichen Mitarbeitern ein unzureichendes Bewusstsein über die möglichen Angreifer, ihre Angriffsarten, Ziele und damit verbundene Risiken. Meistens mangelt es an Klarheit für die gewünschte Baseline durch insuffizientes Verständnis über den Reifegrad der Ist- und Soll-Zustände. Die Strukturanalyse inklusive der Aufnahme und Beschreibung der IT-Assets ist oft bereits unzureichend.

Unternehmens- und Bedrohungsdaten werden dürftig prozess- und risikobezogen erfasst sowie bewertet, mit der Folge, das organisatorische sowie technische Sicherheitsmaßnahmen nicht an die tatsächlichen Bedürfnisse des Hotels angepasst werden können und damit niemals ein angemessenes Schutzniveau besteht. Budget sowie fähiges bzw. erfahrenes Personal wird in allen Ebenen benötigt, auch um die Auswahl, Integration und Anwendung passender Sicherheitswerkzeuge effizient zu realisieren und somit unnötige Kosten zu vermeiden.

iAP – Independent Consulting + Audit Professionals GmbH bietet externe IT-Prüfungen und Zertifizierungen sowie Beratung mit umfassender Expertise an. Das Portfolio der iAP deckt die Bereiche des Governance Risk & Compliance Management, der IT-Security & Resilienz, IT-Beratung & Data  , Nachhaltigkeit & ESG sowie Datenschutz nach der DSGVO vollumfänglich ab.

 

 

Fotos: iStock.com/da-vooda,  iStock.com/anyaberkut, iStock.com/Tijana Simic

Gesetzliche Maßnahmen wie das Infektionsschutzgesetz machten es notwendig, im Rahmen der Corona Pandemie personenbezogene Daten wie etwa Zutrittskontrollen nach der 3G-Regelung oder auch bei Mitarbeitern den Impfstatus zu erfassen.

Diese gesetzliche Schutzmaßnahme ist ausgelaufen und daher gilt die Aufbewahrung dieser erfassten Daten als sogenannte Vorratsdatenspeicherung.

Bei erfassten Impfdaten oder Kopien der Impfausweise handelt es sich außerdem um sensible Gesundheitsdaten, die besonders schützenswert behandelt werden müssen. Die dauerhafte Aufbewahrung hat keine Rechtsgrundlage mehr und für eine eventuelle spätere Nutzung bei einer neuen Pandemie z. B. im Winter 2022/23 wären sie veraltet.

Die niedersächsische Landesdatenschutzbeauftragte Barbara Thiel fordert federführend alle Unternehmen und Behörden auf, personenbezogenen Daten, die im Zusammenhang mit der Coronapandemie erfasst wurden, jetzt zu löschen. Es ist zu erwarten, dass andere Landesdatenschutzbehörden sich ähnlich dazu positionieren und Sanktionen bei nicht Beachtung androhen.

Prüfen Sie ihre erfassten Daten und löschen Sie alle, die einen Bezug zu Regelungen im Rahmen der Coronapandemie haben. (Hier gilt der Slogan: Weniger ist mehr!)

Vor dem Hintergrund der stetig zunehmenden Gefahren durch Cyberangriffe stehen Unternehmen und Organisationen vor folgenden Fragen:

  • Ist mein Unternehmen ausreichend gegen Cyberangriffe abgesichert?
  • Welche nicht bekannten Lücken und Schwachstellen schlummern in der Unternehmens-IT und gefährden meine Geschäftsprozesse oder stellen ein signifikantes Risiko für mein Unternehmen dar?
  • Wie kann ich die Informationssicherheit in meinem Unternehmen möglichst ohne zusätzliche Kosten erhöhen und auf den Stand der Technik bringen?

Gerade mittelständische und kleinere Unternehmen (KMU) haben oft aufgrund geringer personeller IT-Kapazitäten, fehlender Expertise für IT-Security und begrenzten Budgets Schwierigkeiten, das Thema ganzheitlich anzugehen und die Informationssicherheit durchgängig auf ein angemessenes Schutzniveau zu bringen.

Die Auslagerung von Teilen oder aller wesentlichen Aufgaben für Informationssicherheit an einen externen Spezialisten – ein sogenanntes Security Operation Center (SOC) oder Cyber Defense Center (CDC) – bietet hier einen Lösungsansatz, der flexibel an die Anforderungen jedes Unternehmens angepasst werden kann.

Ein SOC/CDC ist dabei ein auf Informationssicherheit spezialisierter Dienstleister, der an die IT des Unternehmens angebunden ist und als eine Art Sicherheitsleitstelle große Teile oder auch nur selektiv bestimmte Security-Services übernimmt, die normalerweise durch die IT-Abteilung im Unternehmen abgedeckt werden müssten:

  • Sicherheitsbezogene Überwachung der Unternehmens-IT
  • Proaktive Adressierung von Bedrohungslagen durch Threat Intelligence
  • Erkennung und Beseitigung von Schwachstellen in den IT-Systemen und -Prozessen
  • Erkennung und Alarmierung bei Cyber-Angriffen
  • Abwehrmaßnahmen und Schadenbegrenzung
  • Kundenbezogene Unterstützung und Reporting zu Sicherheitsthemen

In den Räumlichkeiten des SOC/CDC-Dienstleister arbeiten dafür im 24×7 Betrieb hochspezialisierte Experten für Cybersecurity, u.a. Security Architekten, Analysten, Forensiker, die wie in einem Kommandostand in realtime auf Bildschirmen sämtliche sicherheitsbezogene Informationen angezeigt bekommen und bei Auffälligkeiten sofort reagieren können.  Die Arbeitsweise ist dabei durch optimale und integrierte Toolunterstützung, hohen Automatisierungsgrad der Analysen als auch durch die optimale Teamstruktur und Kommunikation des SOC-Teams gekennzeichnet.

Je nach konkreter Anforderungslage eines Kunden können verschiedene Service-Modelle der Zusammenarbeit definiert werden, die es ermöglichen, nur bestimmte Teile, oder nahezu alle Sicherheitsleistungen an den SOC/CDC-Dienstleister auszulagern. Die Vorteile der Nutzung eines SOC/CDC liegen dabei klar auf der Hand:

  • Schnelle und wirksame Reaktion durch Automatisierung und Einsatz von Spezialisten
  • Schutz gegen die aktuelle Bedrohungslage
  • Kontinuierliche Dokumentation und Nachvollziehbarkeit
  • Kein Aufbau von internem Personal erforderlich
  • Ganzheitliches Absicherungskonzept und maßgeschneiderte Lösungen möglich je nach Kundenanforderungen
  • Nachweisbare Einhaltung der gesetzlichen Vorgaben und Compliance

Insbesondere für kleinere Unternehmen und Mittelständler (KMU) eröffnet die Auslagerung wesentlicher Leistungen für IT-Sicherheit an einen externen Spezialisten die Möglichkeit zur Erreichung eines hohen Schutzniveaus und IT-Security nach Stand der Technik. Durch die unterschiedlichen Servicemodelle und großer Flexibilität können die Leistungen eines SOC-Dienstleisters ideal auf die Kundenanforderungen zugeschnitten werden. Ein Aufbau zusätzlicher interner Ressourcen bzw. Experten für Informationssicherheit ist in der Regel nicht erforderlich.

Für manche Unternehmen sind höhere Investitionen in die Cybersicherheit möglicherweise nur ein Tropfen auf den heißen Stein. Das liegt oft daran, dass die Strukturen der Organisation zu komplex sind, um sie adäquat absichern zu können. Diese Komplexität der Strukturen entsteht oftmals erst im Laufe der Zeit. Gründe dafür sind z.B. Wachstum, Fusionen, Übernahmen und vor allem aber die Einführung neuer Technologien. Damit einhergehend kommt die Verzahnung von Compliance und Governance oft zu kurz.

Ein weiterer Punkt ist das Risikoniveau im Unternehmen, das durch Komplexität entsteht, z.B. durch komplexe Multi-Vendor-Umgebungen wie Cloud, neuartige technologische Lösungen oder Interoperabilität und Dateninfrastruktur.

Eine Vereinfachung oder Verschlankung von Datenstrukturen und Prozessen sind allein schon eine große Herausforderung. Komplexität führt zu Trägheit, da Entscheidungsträger eine Transformation aufschieben oder Schwierigkeiten haben, eine Dringlichkeit zu erkennen und Priorisierung vorzunehmen, obwohl den Unternehmen bewusst ist, dass Komplexität in den Prozessen auch Schwachstellen schafft. Diese Schwachstellen können von Ransomware und anderen Bedrohungstools ausgenutzt werden.

Die Folgen betrieblicher Komplexität sind neben finanziellen Verlusten, Datenschutzverletzungen und erfolgreiche Cyber-Angriffe (die auch wiederum Reputationsverluste bedeuten können). Es besteht das Risiko einer fehlenden Cyber-Resilienz (also einer mangelnden betriebliche Belastbarkeit), sich nach einem Cyberangriff oder einem Technologiefehler zu erholen. Unternehmen sind dann unfähig, schnell und angemessen zu agieren, um am Markt weiterhin bestehen zu können.

Komplexität wird also gerne ausgenutzt und sind bevorzugte Ziele von Cyber-Angriffen. Die Kunst besteht darin, die Risiken zu identifizieren, zu priorisieren und entsprechend mit wirksamen Maßnahmen zu begegnen. Insbesondere auch, wenn die diese Cybersicherheitsrisiken durch verbundene Unternehmen (Dienstleister und Lieferanten) entstehen. Hier muss man besonders auf die Schnittstellen schauen, welche Angriffsziele darstellen können. Drittanbieter (Third-Parties) sind alle Organisationen oder Personen, zu denen eine Geschäftsbeziehung besteht. Hier besteht sowohl ein Informations- als auch Datenabtausch und damit auch Risiken bei Schnittstellen die gezielt angegriffen werden können. Hier sollte auch auf eine Harmonisierung der Betrachtung von Third-Parties im Unternehmen erfolgen, damit nicht jede Abteilung eine eigene Vorgehensweise hat. Eine Synchronisierung der Sicherheitsmaßnahmen und damit eine ganzheitliche Betrachtung der Lieferkette und Third-Party Management sind unumgänglich, um eine höhere Cybersicherheit zu erreichen.

Komplexität von Strukturen und Prozessen können somit für die Cybersicherheit eine Falle sein. Monitoring cybersicherheitsrelevanter Events sind ein wichtiger Bestandteil, um das Cybersicheitsrisiko zu minimieren, Angriffe frühzeitig zu erkennen und mit erprobten Krisenplänen entgegenzutreten.