DNK Nachhaltigkeitssiegel für iAP

DNK Kriterien: Strategie, Prozessmanagement, Umwelt und Gesellschaft

Als eines der ersten IT-Beratungsunternehmen erhielt iAP das Siegel des Deutscher Nachhaltigkeitskodex (DNK).

Wir haben uns ganz bewusst für dieses Siegel entschieden!

Der DNK unterstützt den Aufbau einer Nachhaltigkeitsstrategie und bietet einen Einstieg in die Nachhaltigkeitsberichterstattung. Die regelmäßige Berichterstattung macht die Entwicklung im Thema Nachhaltigkeit des Unternehmens im Zeitverlauf sichtbar. Um den DNK zu erfüllen, haben wir in der Datenbank eine Erklärung zu zwanzig DNK-Kriterien und den ergänzenden nichtfinanziellen Leistungsindikatoren erstellt. Kriterien sind u.a. Strategie, Regeln, Wesentlichkeit, Ziele, Menschenrechte.

Wir berichten im DNK nach dem “comply-or-explain”-Prinzip zu allen Kriterien und den dazugehörigen Aspekten und Leistungsindikatoren. 

Innerhalb der Berichterstattung nach den Kriterien ist uns besonders wichtig, unsere Entwicklung in Bezug auf Nachhaltigkeit aufzuzeigen. Wir haben uns für das Leistungsindikatoren-Set nach GRI (Global Reporting Initiative) entschieden. Die Zusatzoption, mithilfe des DNK nach dem CSR-Richtlinie-Umsetzungsgesetz (CSR-RUG), im Sinne der EU-Taxonomie und/oder dem Nationalen Aktionsplan (NAP) Wirtschaft und Menschenrechte zu berichten, haben wir bisher noch nicht gewählt und planen dies in einer nächsten Stufe der Berichterstattung im Jahr 2023 für das Berichtsjahr 2022. 

Wie stellte sich die Einführung der Nachhaltigkeitskriterien und die Berichterstattung für uns in der Praxis dar?

Stakeholder Analyse – Wesentlichkeitsanalyse – Workshops

Die Berichterstattung erfolgte über die Bereiche Strategie, Prozessmanagement, Umwelt und Gesellschaft. In einer Analyse der Interessensgruppen im Unternehmen und außerhalb der iAP haben wir die wichtigsten Kontaktpunkte in einer Stakeholder Analyse identifiziert. Mit einer anschließenden Wesentlichkeitsanalyse wurden die Themen ermittelt und bewertet, die für diese Kontaktgruppen von wesentlicher Bedeutung sind.  

In Workshops haben wir die wesentlichen Aspekte begutachtet, welche in unserer Geschäftstätigkeit Auswirkungen auf die Umwelt haben und welche wesentlichen Aspekte der Umwelt Auswirkungen auf unsere Geschäftstätigkeit haben.
Es galt, die positiven wie negativen Wirkungen zu qualifizieren und quantifizieren, um diese Erkenntnisse dann in die Geschäftsprozesse einfließen zu lassen.
Konkret haben wir zum Beispiel im Vertriebsprozess die Form der Kommunikation und Anbahnung der Geschäftsbeziehungen deutlich verändert und Anforderungen auch an potenzielle Auftraggeber formuliert. Dies beinhaltet sowohl die Kommunikation und Besprechung via Internet-Video-Konferenzen als auch den Arbeitseinsatz über flexible Arbeitszeiten mit einem Remote-Anteil der Auftragsdurchführung von mindestens 75%. 

Um dem Nachhaltigkeitsmanagement eine effektive Stoßrichtung zu geben, haben wir unseren Fokus auf die Lösung vermeintlich drängender Probleme gelegt. Dafür musste im Vorfeld geklärt werden, welche Unternehmensaktivitäten mit wichtigen ökologischen und/oder sozialen Problemen verknüpft sind oder auf diese einwirken. Hier arbeiteten wir zum Thema “Verbrauch natürlicher Ressourcen” sowohl unserer Mitarbeiter als auch in Bezug auf die eingesetzten IT-Ressourcen.  

Aber auch von außen wirken ökologische wie gesellschaftliche Herausforderungen auf das Geschäftsmodell unseres Unternehmens. Hier haben wir z.B. die zunehmenden Risiken aus der politischen und sicherheitspolitischen Entwicklung beständig im Blick und schärfen unsere Beratungsprodukte bei Bedarf. 

Wie sind wir vorgegangen?

Für die Entwicklung einer erfolgreichen Nachhaltigkeitsstrategie ist es unabdingbar, Stakeholder innerhalb und außerhalb des Unternehmens zu identifizieren und deren Interessen sowie Einflussmöglichkeiten auf den Nachhaltigkeitsprozess des Unternehmens zu analysieren.  

Die internen Stakeholder der iAP waren schnell identifiziert und das Engagement am Nachhaltigkeitsprozess in Umfragen und Diskussionen qualifiziert.  

Für die Erhebung der externen Stakeholder war es wichtig, im Vorfeld zu analysieren, wie das Unternehmen in die Gesellschaft eingebettet ist und welche Besonderheiten sich daraus ergeben. Daher erfragte der erste Aspekt in der Checkliste “Besonderheiten des Umfelds”, wie etwa die Bedeutung unseres Unternehmens als Arbeitgeber in der Region, ökonomische Verflechtungen, ökologische Besonderheiten (Gewässer, Naturschutzgebiete usw.) in direkter Nachbarschaft oder auch ökologische und soziale Themen, mit denen unsere Branche häufig in den Medien verknüpft wird. Es entstand eine Liste mit Personen, Unternehmen, Ämtern und Verbänden. Im Dialog mit den wichtigsten Stakeholdern wurden deren Erwartungen und Einflussmöglichkeiten erörtert und festgehalten.  

Was machen wir mit den Ergebnissen aus der Stakeholder- und Wesentlichkeitsanalyse?

Wesentlichkeitsmatrix als Grundlage der Nachhaltigkeitsstrategie

Im folgenden Schritt konnten wir dann mit der Wesentlichkeitsanalyse auf diese Betrachtung des Umfelds aufbauen. Die folgenden 4 Aspekte des DNK haben uns geholfen, hier präziser zu arbeiten:  

Aspekt 1: 
Beschreiben Sie die ökologischen, sozioökonomischen und politischen Besonderheiten des Umfelds, in denen Ihr Unternehmen tätig ist. 

Aspekt 2: 
Beschreiben Sie, welche wesentlichen Nachhaltigkeitsthemen durch Ihre Geschäftstätigkeit beeinflusst werden. Stellen Sie sowohl die positiven als auch die negativen Auswirkungen dar (Inside-out-Perspektive). 

Aspekt 3: 
Beschreiben Sie, welche wesentlichen Nachhaltigkeitsthemen auf Ihre Geschäftstätigkeit einwirken. Stellen Sie sowohl die positiven als auch die negativen Auswirkungen dar (Outside-in-Perspektive). 

Aspekt 4: 
Erläutern Sie, welche Chancen und Risiken sich für Ihr Unternehmen aus dem Umgang mit den beschriebenen Nachhaltigkeitsthemen ergeben. Nennen Sie Schlussfolgerungen, die Sie daraus für Ihr Nachhaltigkeitsmanagement ableiten. 

Unsere erarbeiteten Nachhaltigkeitsthemen zu diesen Aspekten haben wir in einer Wesentlichkeitsmatrix nach der Höhe ihrer Relevanz für die iAP und ihrer Stakeholder abgetragen. Diese Matrix bildet eine Grundlage der Nachhaltigkeitsstrategie und der Berichterstattung zur Nachhaltigkeit.  

Zu unseren wichtigsten Nachhaltigkeitsthemen gehören

  • Reduzierung unseres CO2-Fußabdruckes 
  • Gesundheit und Wohlergehen unserer Mitarbeiter 
  • Gesellschaftliches Engagement 

Wie setzen wir das um?

Die erarbeiteten wesentlichen Aspekte und Maßnahmen sind Bestandteil der Jahresstrategie. 

Um diese umzusetzen, übernehmen wir diese quartalsweise in unsere OKRs (Objective key results). Jeder Mitarbeiter wählt mindestens ein Nachhaltigkeitsziel für seine persönlichen OKRs, weitere Nachhaltigkeitsziele werden in den OKRs auf Unternehmensebene festgehalten.

Bei den monatlichen Validierungen besprechen wir die Leistungsindikatoren, insbesondere unsere Werte und Grundsätze, aber auch Standards und Verhaltensnormen. Uns ist sehr daran gelegen, unsere Nachhaltigkeitsziele aus der Jahresstrategie im Auge zu behalten. Mit dem Fokus auf die Leistungsindikatoren Werte und Grundsätze setzen wir auf eine gute Gemeinschaft und einen Geschäftsverbund.

Das alles ist ein lebendiger und sich ständig verändernder Prozess, bei dem wir uns als iAP-Team weiterentwickeln und wachsen. Wir fragen uns regelmäßig: Was können wir besser machen?  

Diese Maßnahmen zahlen auf die von uns erarbeiteten Nachhaltigkeitsziele ein:

  • Für Dienstreisen und die Fahrt ins Büro nutzen wir öffentliche Verkehrsmittel und Fahrräder. 
  • Unterstützung eines Kollegen bei  der Neuanschaffung eines Fahrrades. 
  • Wir arbeiten Mobil, allen Mitarbeitern ist es freigestellt, ob sie im Homeoffice oder im Büro arbeiten.
  • Unsere Mitarbeiter arbeiten mit flexiblen Arbietszeitmodellen.
  • Im Rahmen der betrieblichen Gesundheitsförderung haben wir für unsere Mitarbeiter ein wöchentlich stattfindendes sportliches Angebot entwickelt.
  • Wir fördern einen gemeinnützigen Verein in unserem Heimatbezirk Lichtenberg.  

Im nächsten Nachhaltigkeitsbericht für das Berichtsjahr 2022 werden wir ganz sicher über Erfolge berichten können. 

Unseren ersten Nachhaltigkeitsbericht können Sie auf der Seite des DNK einsehen: Deutscher Nachhaltigkeitskodex – Datenbank (deutscher-nachhaltigkeitskodex.de) 

Wie iAP Ihnen bei der Verfolgung Ihrer Nachhaltigkeitsziele helfen kann? Lesen Sie hier: Leistungen > Nachhaltigkeit & ESG

/von

DSGVO: Neue Entscheidung zum Einsatz von Cloud-Anbietern aus den USA

Der Einsatz von Tochterunternehmen von US-amerikanischen Cloud-Anbietern ist per se nicht rechtswidrig im Sinne der DSGVO. 

Das OLG Karlsruhe präsentierte seine aktuelle Entscheidung zum Datenschutz kontroversen Einsatz von US- Cloud- Dienstleistern. 

Der Hintergrund zur Entscheidung 

ist ein Beschluss der von Vergabekammer Baden-Württemberg vom 13. Juli 2022 (Az. 23/22), welcher den Einsatz von Infrastrukturdiensten europäischer Tochterunternehmen, die US-amerikanischen Cloud-Anbietern zugehörig sind, thematisiert. Es wurde begründet, dass mit der damit verbundene Datenübermittlung in Drittländer außerhalb des Europäischen Wirtschaftsraums, ein Risiko eines Zugriffs durch U.S.-Behörden einhergeht. In diesem Fall betraf der Beschluss ein Vergabeverfahren für eine IT-Lösung im Krankenhaus- und Pflegebereich, bei der Hosting-Leistungen eines europäischen Cloud-Anbieters mit US amerikanischer Konzernmutter zum Einsatz kommen sollten. Die Datenspeicherung sollte ausschließlich auf Servern in Deutschland erfolgen. Die Vergabekammer führte in Ihrer Entscheidung aus, dass die Nutzung der Hosting-Infrastruktur, unabhängig von deren Sitz in der EU und des Umstands, dass die Datenspeicherung ausschließlich auf Servern in Deutschland erfolgen solle, ein „latentes Risiko“ des Zugriffs sowohl durch staatliche als auch private Stellen in den USA bestehe. Bereits ein solches latentes Risiko reiche aus, um eine nach Art. 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland anzunehmen. Ob und wie naheliegend ein Zugriff ist, sei für die Bewertung nicht relevant. 

Der Einsatz von Cloud Anbietern mit Hosting Leistungen ist für viele Unternehmen Realität und eine Abwahl dieser undenkbar. Der Beschluss der Vergabekammer löste große Unsicherheiten aus und wurde durch Datenschutzbehörden heiß diskutiert (Stellungnahme des LfDI v. 15.8.22). Gegen den Beschluss wurde Beschwerde beim OLG Karlsruhe eingelegt. 

Die Entscheidung zum Einsatz von Cloud – Anbietern aus den USA

der Karlsruher Richter wurde nach nur 8 Wochen getroffen. Am 07. September 2022 wurde die Beschlussfassung der Vergabekammer Baden-Württemberg aufgehoben (Az. 15 Verg 8/22).  

Wörtlich führt der Senat dazu aus: 

„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.”
(Rn. 50, OLG Karlsruhe, Beschluss vom 07.09.2022 - 15 Verg 8/22) 

Damit vertritt das OLG Karlsruhe die Meinung, das bei Nachprüfung einer Vergabeentscheidung zunächst davon auszugehen ist, dass ein Anbieter seine vertraglichen Zusagen erfüllen wird. Erst bei konkreten Zweifeln an der Erfüllbarkeit des Leistungsversprechens muss der öffentliche Auftraggeber ergänzende Informationen einholen und diese prüfen. Im vorliegenden Fall hatte der Dienstleister vertragliche Zusicherungen gemacht, dass Daten ausschließlich an die betreffende luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden. Die Beschlussfassung der Vergabekammer wurde entsprechend aufgehoben und der Nachprüfungsantrag zurückgewiesen. 

Die Bedeutung beim Einsatz von US-Clouds,

wie Google, Amazon, Microsoft & Co ist groß, denn es wird keine pauschale Einschätzung zur DSGVO-Konformität getroffen. Damit wird Klarheit zum Einsatz von Tochterunternehmen der US-amerikanischen Cloud-Anbietern geschaffen.  

Ergänzend möchten wir darauf hinweisen, dass die Entscheidung des OLG Karlsruhe nicht als allgemeine Erlaubnis zum Einsatz von US-Dienstleistern gesehen werden sollte. Die vorliegenden Rahmenbedingungen des Auftragsverarbeiters müssen im Transfer Impact Assessment (Artikel zum Thema TIA) aufgenommen werden und in die Datenübertragungsbewertung einfließen. 

Das wird nicht die letzte Entscheidung zu diesem Thema sein, denn nach der Schrems- II- Entscheidung des EuGH vom Juli 2020 verhandeln die EU und die USA um ein Nachfolgeabkommen für den EU-US-Privacy Shield.  

Mehr zum Thema Datenschutz erfahren Sie hier: Leistungen > Datenschutz

/von

Sustainable IT – 5 Themenfelder für Nachhaltigkeit im IT-Bereich

Die Ausrichtung auf Sustainable IT im Unternehmen rückt aufgrund der Energie- und Ressourcenintensität bei Herstellung und Betrieb immer mehr in den Fokus.

Aufgrund des gesellschaftlichen Wandels sowie der sich verschärfenden Regulierung und Gesetzesvorgaben zum Thema Nachhaltigkeit richten immer mehr Unternehmen ihre Geschäftsaktivitäten auf nachhaltige Geschäftsprozesse aus und schaffen Transparenz durch entsprechende Nachhaltigkeitsberichte. Im Fokus stehen dabei – insbesondere auch aufgrund der Vorgaben zur Nachhaltigkeit der Lieferkette – zuallererst die Kerngeschäftsprozesse der Unternehmen.

Das Thema Nachhaltigkeit der Unternehmens-IT bzw. Sustainable IT ist dabei typischerweise eher nicht auf der Agenda der priorisierte Nachhaltigkeitsaktivitäten zu finden, was insbesondere der Komplexität der Umstellung sowie den damit verbundenen hohen Umstellungskosten und den Bedenken im Hinblick auf den reibungslosen IT-Betrieb während der Umstellung geschuldet ist. Zudem wird der Beitrag der Unternehmens-IT zur Steigerung der Nachhaltigkeit von vielen Unternehmen nicht als besonders signifikant wahrgenommen.

Dennoch kann sich die Umstellung auf Nachhaltigkeit der Unternehmens-IT für Unternehmen jeder Größe auszahlen, denn neben der Verbesserung des eigenen Images und der Wahrnehmung bei Kunden und in der Öffentlichkeit lassen sich auch Liquiditätsvorteile, erhöhter Flexibilität sowie handfeste Einsparungen realisieren.

In welchen Bereichen lässt sich Nachhaltigkeit in der Unternehmens-IT umsetzen?

Unternehmensverantwortung und Governance

Die Verankerung des Themas Nachhaltigkeit in der DNA eines Unternehmens legt die Grundlage für die entsprechende Ausrichtung auf Sustainable IT. Hierfür müssen von der Unternehmensleitung eine auf Nachhaltigkeit ausgerichtete Gesamtstrategie formuliert werden, entsprechende Vorgaben und Richtlinien für den IT-Bereich definiert und Governance-Strukturen eingerichtet werden.

Von besonderer Relevanz sind dabei die folgenden Punkte:

  • Erstellung einer Nachhaltigkeits-Richtlinie für Sustainable IT
  • Erstellung einer Green-IT Strategie
  • Commitment der Geschäftsleitung durch Bereitstellung der personellen und finanziellen Ressourcen zur Umsetzung von Sustainable IT
  • Durchleuchtung der Lieferanten im IT-Bereich auf Nachhaltigkeit
  • Verbesserung der Mitarbeiter-Awareness zum Thema Nachhaltigkeit

IT-Architektur und Systemdesign

Ausgerichtete an der Unternehmensstrategie zum Thema Nachhaltigkeit leitet sich die nachhaltige IT-Strategie und davon das Maßnahmenprogramm zur Umsetzung ab.

Mögliche Maßnahmen im Hinblick auf die übergreifende IT-Architektur sowie die Ausgestaltung des Designs von Komponenten und Anwendungen sind unter anderen:

  • Anpassung der IT-Kapazitäten an den tatsächlichen Bedarf durch Verlagerung des IT-Betriebs in die Cloud
  • Fokus auf Standardisierung der IT-Komponenten und Nutzung von Open Source Software
  • Nutzung von Automatisierungspotenzialen zur Effizienzsteigerung

Nachhaltige Beschaffung

Die nachhaltige Beschaffung von IT-Komponenten nimmt aufgrund des hohen Verbrauchs von seltenen Metallen und dem hohen Energieeinsatz bei der Herstellung eine wichtige Rolle ein.

Hierbei sollte insbesondere auf folgende Aspekte geachtet werden:

  • Beschaffung von IT-Komponenten mit verifizierbaren Nachhaltigkeits-Siegeln
  • Nutzung von pre-owned bzw. refurbished Hardware statt Neu-Ware
  • Nutzung von Open Source-Hardware, wie z.B. aus dem Open Compute Project

Nachhaltiger IT-Betrieb

Beim Betrieb der IT-Umgebung steht die effiziente und nachhaltige Nutzung von Energie im Vordergrund. Dabei sollte darauf geachtet werden, dass die dafür erforderliche Elektrizität durch erneuerbare Energien erzeugt wird und die IT-Systeme nur dann laufen, wenn Sie tatsächlich benötigt werden. Insbesondere bei Betreibern von Rechenzentren spielt auch die effiziente Nutzung der anfallenden Wärme durch den Serverbetrieb eine immer wichtigere Rolle.

Folgende Punkte sollten für den nachhaltigen IT-Betrieb betrachtet werden:

  • Nutzung von Green Energy im gesamten Unternehmen
  • Auswahl von nachhaltig operierenden RZ-Dienstleistern
  • Einrichtung von Standby bei Nichtnutzung von IT-Komponenten (Auto off-Funktion)
  • Verlängerung der Nutzungsdauer durch Senkung der Austausch-Häufigkeit

Refurbishment und nachhaltige Entsorgung

Sofern die Entscheidung für den Austausch von IT-Komponenten getroffen wurde, sollten im Hinblick auf die Nachhaltigkeit bei der Beendigung des Life Cycles im Unternehmen folgende Punkte berücksichtigt werden:

  • Wenn möglich – Übergabe von alter Hardware an einen Refurbishment-Dienstleister statt Entsorgung
  • Sofern erforderlich – Entsorgung von Elektroabfall bei Entsorgern mit Nachhaltigkeits-Siegel

Wie jedes Projekt erfordert die Umsetzung von Sustainable IT eine detaillierte Bestandsaufnahme der Ist-Situation, eine Festlegung des konkreten Ziel-Zustands und ein abgeleitetes Programm zur Umsetzung, unterfüttert mit geeigneten Einzelmaßnahmen, deren Umsetzung über ein nachhaltiges Projektmanagement überwacht und nachgesteuert werden sollte.

 

Foto: Adobe Stock/j-mel

/von

Cyber-Security im Hotel ist Chefsache!

Um die Relevanz für Cyber-Security in Hotels zu verdeutlichen, erfolgt zunächst eine grundsätzliche Betrachtung. Hotels gibt es in unterschiedlichen Größen und Ausstattungen. Oft bieten sie Beherbergung für über tausend Gäste und ein umfangreiches Serviceangebot. Eine große Anzahl von Mitarbeitern ist verantwortlich für die entsprechende Dienstleistungserbringung. Die jährlichen Umsätze liegen schnell im zwei- bzw. dreistelligen Millionenbereich, wodurch viele Hotels zu den Großbetrieben gehören.

Die Digitalisierung hat auch in Hotels Einzug gehalten. Dabei werden Prozesse effizienter gestaltet und Personal eingespart. Grundsätzlich ist ein Hotel aufgebaut wie jedes andere Unternehmen. Es besteht aus operativen Systemen, welche die Wertschöpfungskette abbilden. Diese werden durch Planungs- und Kontrollsysteme gesteuert. Für den reibungslosen Betrieb tauschen alle Systeme ihre Informationen in digitaler Form vertikal sowie horizontal über die Hoteldateninfrastruktur, deren Schnittstellen und gemeinsam genutzten Datenbanken aus.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!, IT Sicherheit, iAP

Cyber-physische Systeme und Cyber-Attacken​

Designer und Architekten haben seit jeher versucht der Hotelkundschaft besonderen Komfort unter Zuhilfenahme von neuen Technologien zu bereiten. Dazu zählt heutzutage, neben anderen, die zunehmende automatisierte Ausstattung der Hotelgebäudetechnik mit smarten Cyber-Physischen Systemen, auch, um z.B. Zugänge zu Stockwerken, Garagen, Zimmern und Aufzügen, Tagungsräumen, Restaurants sowie Wellness-Bereichen zu kontrollieren bzw. berührungslos freizugeben oder zu sperren.

Das hoteleigene Netzwerk muss neben internen zusätzlich unterschiedliche Arten externer Schnittstellen vorhalten, z.B. für die Kommunikation und den Datenaustausch mit Lieferanten, Logistikpartnern, Reisebüros und Privatkunden. Der Grad der Digitalisierung und Vernetzung schreitet also auch in Hotels unaufhaltsam voran. Allerdings wächst damit ebenfalls die Bedrohungslandschaft, welche vermehrte Angriffsfläche für Cyber-Attacken bietet, und somit neue Herausforderungen für die Gewährleistung der Sicherheit des Hotels und seiner Gäste entstehen.

Sensible Daten und Info-Displays

Jedes Hotel hält nicht nur eigene, sondern auch vertrauliche sowie sensible Daten seiner Gäste, Mitarbeiter und Geschäftspartner vor. Dazu gehören z.B. persönliche Informationen (Name, Anschrift, Nationalität, Geburtsdatum, KFZ-Kennzeichen), Kreditkarteninformationen, Firmennamen und Zahlungskonditionen. Die Gäste können umfangreiche Dienstleistungen über das WLAN, die hoteleigene App, oder interaktive Terminals bzw. Info-Displays buchen sowie bezahlen. Hotels waren für gewisse Kriminelle schon immer ein Tummelplatz, um sich durch verschiedenste Art und Weise am Hotel und seinen Gästen zu bereichern.

Die Schwerpunkte und der Umfang von Sicherheitsmaßnahmen verschieben sich im Zeitalter der Digitalisierung enorm, denn durch sie ergeben sich auch neue Möglichkeiten für kriminelle Handlungen. Ransomware-Angriffe auf Hoteldatenbanken und IT-Anwendungen, DDOS und Bot-Net-Angriffe auf die IT-Infrastruktur, Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware z.B. durch Gäste und interne oder externe Mitarbeiter, Infektionen mit Schadsoftware über das Internet oder Intranet, Einbruch über Fernwartungszugänge der Gebäudeautomatisierung, menschliches Fehlverhalten oder Sabotage, Identitäts- und Kreditkartendatendiebstahl sind nur einige der neuen immateriellen Szenarien.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!,, Internet-Security, iAP

Die Schadensfolgen von Cyber-Attacken können für jedes Hotel schnell existenzgefährdend werden und sind deshalb unbedingt unter Kontrolle zu halten.

  • Der Verlust von Performance und Verfügbarkeit der Dienstleistungsprozesse,
  • der Verlust von Vertraulichkeit durch Abfluss sensibler Gästedaten,
  • mangelhafte Integrität durch Datenverlust oder Manipulation,
  • das Fehlen von Authentizität durch gefälschte Quellnachweise,
  • physische Schäden bzw. Zerstörung der Hotelanlagen,
  • das Auslösen von Safety-Prozeduren,
  • die Bereinigung und Systemwiederherstellung nach Attacken und
  • der Verlust der Hotelreputation

sind nur wenige Beispiele möglicher Auswirkungen von Primär- und Folgeangriffen. Zum Schutz vor Sicherheitsvorfällen empfiehlt sich eine strukturierte und organisierte Herangehensweise z.B. durch den Aufbau eines Informationssicherheitsmanagementsystems. Mit entsprechenden technischen und organisatorischen, als auch rechtlichen Konzepten wird die Hotelsicherheit analysiert, proaktiv gefestigt und damit Resilienz erzeugt.

Digitalisierung und Herausforderungen

Wie andere Unternehmen, haben auch Hotels im Zuge der Digitalisierung mit den Herausforderungen zu kämpfen ihre sicherheitsstrategischen Ziele sowie Sicherheitsprozesse praktisch anwendbar zu definieren bzw. zu gestalten, um Cyber-Angriffe von innen und außen zu vermeiden. Es besteht bei den verantwortlichen Mitarbeitern ein unzureichendes Bewusstsein über die möglichen Angreifer, ihre Angriffsarten, Ziele und damit verbundene Risiken. Meistens mangelt es an Klarheit für die gewünschte Baseline durch insuffizientes Verständnis über den Reifegrad der Ist- und Soll-Zustände. Die Strukturanalyse inklusive der Aufnahme und Beschreibung der IT-Assets ist oft bereits unzureichend.

Unternehmens- und Bedrohungsdaten werden dürftig prozess- und risikobezogen erfasst sowie bewertet, mit der Folge, das organisatorische sowie technische Sicherheitsmaßnahmen nicht an die tatsächlichen Bedürfnisse des Hotels angepasst werden können und damit niemals ein angemessenes Schutzniveau besteht. Budget sowie fähiges bzw. erfahrenes Personal wird in allen Ebenen benötigt, auch um die Auswahl, Integration und Anwendung passender Sicherheitswerkzeuge effizient zu realisieren und somit unnötige Kosten zu vermeiden.

iAP – Independent Consulting + Audit Professionals GmbH bietet externe IT-Prüfungen und Zertifizierungen sowie Beratung mit umfassender Expertise an. Das Portfolio der iAP deckt die Bereiche des Governance Risk & Compliance Management, der IT-Security & Resilienz, IT-Beratung & Data  , Nachhaltigkeit & ESG sowie Datenschutz nach der DSGVO vollumfänglich ab.

 

 

Fotos: iStock.com/da-vooda,  iStock.com/anyaberkut, iStock.com/Tijana Simic

/von

Corona-Daten – Der richtige Umgang nach Ende der Maßnahmen

Gesetzliche Maßnahmen wie das Infektionsschutzgesetz machten es notwendig, im Rahmen der Corona Pandemie personenbezogene Daten wie etwa Zutrittskontrollen nach der 3G-Regelung oder auch bei Mitarbeitern den Impfstatus zu erfassen.

Diese gesetzliche Schutzmaßnahme ist ausgelaufen und daher gilt die Aufbewahrung dieser erfassten Daten als sogenannte Vorratsdatenspeicherung.

Bei erfassten Impfdaten oder Kopien der Impfausweise handelt es sich außerdem um sensible Gesundheitsdaten, die besonders schützenswert behandelt werden müssen. Die dauerhafte Aufbewahrung hat keine Rechtsgrundlage mehr und für eine eventuelle spätere Nutzung bei einer neuen Pandemie z. B. im Winter 2022/23 wären sie veraltet.

Die niedersächsische Landesdatenschutzbeauftragte Barbara Thiel fordert federführend alle Unternehmen und Behörden auf, personenbezogenen Daten, die im Zusammenhang mit der Coronapandemie erfasst wurden, jetzt zu löschen. Es ist zu erwarten, dass andere Landesdatenschutzbehörden sich ähnlich dazu positionieren und Sanktionen bei nicht Beachtung androhen.

Prüfen Sie ihre erfassten Daten und löschen Sie alle, die einen Bezug zu Regelungen im Rahmen der Coronapandemie haben. (Hier gilt der Slogan: Weniger ist mehr!)

/von

Security Operation Center (SOC) – Maßgeschneiderte Cybersecurity-Lösungen für den Mittelstand

Die stetig wachsende Bedrohung durch Cyberangriffe erfordert eine gezielte und gut durchdachte Herangehensweise an die Informationssicherheit in Unternehmen. In diesem Kontext stehen Organisationen und Geschäftsführer vor folgenden wichtigen Fragen:

  1. Ist unsere Organisation hinreichend gegen die zunehmende Bedrohung von Cyberangriffen abgesichert?

    Angesichts der sich ständig weiterentwickelnden Angriffsmethoden müssen Unternehmen sicherstellen, dass sie über wirksame Abwehrmaßnahmen und Sicherheitsvorkehrungen verfügen, um sich vor Cyberangriffen zu schützen.

  2. Sind uns unbekannte Schwachstellen in unserer IT-Infrastruktur bewusst, die unsere Geschäftsprozesse gefährden könnten oder ein erhebliches Risiko für unser Unternehmen darstellen?

    Oftmals sind Unternehmen sich nicht bewusst, dass ihre IT-Systeme Schwachstellen aufweisen, die von Angreifern ausgenutzt werden könnten. Identifikation und Behebung dieser Schwachstellen sind entscheidend.

  3. Wie können wir die Informationssicherheit in unserer Organisation auf den aktuellen Stand der Technik bringen, ohne zusätzliche Kosten zu verursachen?

    Die Aktualisierung und Verbesserung der Informationssicherheit erfordert Ressourcen, aber Unternehmen sind bestrebt, dies kosteneffizient zu tun, um ihr Budget nicht zu überdehnen.

Herausforderungen für KMU und mittelständische Unternehmen (KMU)

Kleinere und mittelständische Unternehmen stehen bei der Informationssicherheit oft vor besonderen Herausforderungen. Diese Unternehmen haben in der Regel nicht die personellen Kapazitäten, um die erforderlichen Sicherheitsmaßnahmen intern durchzuführen, und verfügen möglicherweise nicht über die notwendige Expertise im Bereich IT-Sicherheit. Darüber hinaus sind ihre Budgets häufig begrenzt.

Die Lösung: Security Operation Center (SOC) und Cyber Defense Center (CDC)

Ein erfolgversprechender Lösungsansatz besteht in der Auslagerung von Aufgaben im Bereich Informationssicherheit an spezialisierte externe Dienstleister. Hier kommen Security Operation Center (SOC) und Cyber Defense Center (CDC) ins Spiel.

Ein SOC/CDC ist ein auf Informationssicherheit spezialisierter Dienstleister, der in die IT-Infrastruktur des Unternehmens integriert ist und eine Art Sicherheitsleitstelle darstellt. Es bietet eine breite Palette von Sicherheitsdiensten, die normalerweise von der internen IT-Abteilung wahrgenommen würden:

  • Überwachung der IT-Sicherheit: Ein SOC/CDC überwacht kontinuierlich die IT-Infrastruktur des Unternehmens auf Anzeichen von Bedrohungen.
  • Proaktive Bedrohungsbewertung durch Threat Intelligence: Mithilfe von Bedrohungsdaten und -analysen bewertet ein SOC/CDC proaktiv potenzielle Risiken.
  • Identifizierung und Beseitigung von Schwachstellen: Schwachstellen in IT-Systemen und -Prozessen werden identifiziert und behoben.
  • Erkennung und Meldung von Cyberangriffen: Ein SOC/CDC erkennt und meldet Cyberangriffe und unterstützt bei der Einleitung von Gegenmaßnahmen.
  • Abwehrmaßnahmen und Schadensbegrenzung: Im Falle eines Angriffs werden sofortige Abwehrmaßnahmen ergriffen, um den Schaden zu minimieren.
  • Kundenspezifische Unterstützung und Sicherheitsberichterstattung: Der Dienstleister bietet maßgeschneiderte Unterstützung und erstellt Sicherheitsberichte für das Unternehmen.

In einem SOC/CDC arbeiten rund um die Uhr hochspezialisierte Cybersecurity-Experten, darunter Security-Architekten, Analysten und Forensiker. Diese Experten überwachen in Echtzeit sicherheitsrelevante Informationen und reagieren unverzüglich auf Anomalien. Die Arbeitsweise zeichnet sich durch den Einsatz von optimierten Tools, eine hohe Automatisierung der Analysen und eine effiziente Teamstruktur aus.

Maßgeschneiderte Sicherheitslösungen

Je nach den spezifischen Anforderungen eines Unternehmens können verschiedene Service-Modelle für die Zusammenarbeit mit einem SOC/CDC definiert werden. Dies ermöglicht eine flexible Auslagerung von Sicherheitsaufgaben, die auf die individuellen Anforderungen des Unternehmens zugeschnitten sind. Die Vorteile der Nutzung eines SOC/CDC liegen auf der Hand:

  • Schnelle und effektive Reaktion: Automatisierung und Fachexperten ermöglichen eine schnelle Reaktion auf Bedrohungen.
  • Schutz vor aktuellen Bedrohungen: Durch den Zugang zu Threat Intelligence sind Unternehmen immer auf dem neuesten Stand.
  • Kontinuierliche Dokumentation und Nachverfolgbarkeit: Alle Sicherheitsmaßnahmen und Ereignisse werden dokumentiert und können nachverfolgt werden.
  • Kein Aufbau interner IT-Sicherheitskapazitäten erforderlich: Die Auslagerung an einen SOC/CDC eliminiert den Bedarf an zusätzlichen internen Ressourcen.
  • Ganzheitliche Sicherheitslösungen: Ein SOC/CDC kann maßgeschneiderte Sicherheitslösungen anbieten, die auf die spezifischen Anforderungen eines Unternehmens zugeschnitten sind.
  • Nachweis der Einhaltung gesetzlicher Vorgaben und Compliance: Die Zusammenarbeit mit einem SOC/CDC stellt sicher, dass alle gesetzlichen Anforderungen und Compliance-Vorschriften erfüllt sind.

Eine optimale Lösung für KMU und mittelständische Unternehmen (KMU)

Die Auslagerung von IT-Sicherheitsaufgaben an einen externen Dienstleister bietet kleinen Unternehmen und KMU die Möglichkeit, ein hohes Sicherheitsniveau auf dem aktuellen Stand der Technik zu erreichen, ohne zusätzliches Personal oder Expertise intern aufbauen zu müssen. Dies ermöglicht diesen Unternehmen, sich auf ihr Kerngeschäft zu konzentrieren, während ihre IT-Sicherheit in den kompetenten Händen eines SOC/CDC liegt.

/von

Cybersicherheit und Unternehmenskomplexität

Für manche Unternehmen sind höhere Investitionen in die Cybersicherheit möglicherweise nur ein Tropfen auf den heißen Stein. Das liegt oft daran, dass die Strukturen der Organisation zu komplex sind, um sie adäquat absichern zu können. Diese Komplexität der Strukturen entsteht oftmals erst im Laufe der Zeit. Gründe dafür sind z.B. Wachstum, Fusionen, Übernahmen und vor allem aber die Einführung neuer Technologien. Damit einhergehend kommt die Verzahnung von Compliance und Governance oft zu kurz.

Ein weiterer Punkt ist das Risikoniveau im Unternehmen, das durch Komplexität entsteht, z.B. durch komplexe Multi-Vendor-Umgebungen wie Cloud, neuartige technologische Lösungen oder Interoperabilität und Dateninfrastruktur.

Eine Vereinfachung oder Verschlankung von Datenstrukturen und Prozessen sind allein schon eine große Herausforderung. Komplexität führt zu Trägheit, da Entscheidungsträger eine Transformation aufschieben oder Schwierigkeiten haben, eine Dringlichkeit zu erkennen und Priorisierung vorzunehmen, obwohl den Unternehmen bewusst ist, dass Komplexität in den Prozessen auch Schwachstellen schafft. Diese Schwachstellen können von Ransomware und anderen Bedrohungstools ausgenutzt werden.

Die Folgen betrieblicher Komplexität sind neben finanziellen Verlusten, Datenschutzverletzungen und erfolgreiche Cyber-Angriffe (die auch wiederum Reputationsverluste bedeuten können). Es besteht das Risiko einer fehlenden Cyber-Resilienz (also einer mangelnden betriebliche Belastbarkeit), sich nach einem Cyberangriff oder einem Technologiefehler zu erholen. Unternehmen sind dann unfähig, schnell und angemessen zu agieren, um am Markt weiterhin bestehen zu können.

Komplexität wird also gerne ausgenutzt und sind bevorzugte Ziele von Cyber-Angriffen. Die Kunst besteht darin, die Risiken zu identifizieren, zu priorisieren und entsprechend mit wirksamen Maßnahmen zu begegnen. Insbesondere auch, wenn die diese Cybersicherheitsrisiken durch verbundene Unternehmen (Dienstleister und Lieferanten) entstehen. Hier muss man besonders auf die Schnittstellen schauen, welche Angriffsziele darstellen können. Drittanbieter (Third-Parties) sind alle Organisationen oder Personen, zu denen eine Geschäftsbeziehung besteht. Hier besteht sowohl ein Informations- als auch Datenabtausch und damit auch Risiken bei Schnittstellen die gezielt angegriffen werden können. Hier sollte auch auf eine Harmonisierung der Betrachtung von Third-Parties im Unternehmen erfolgen, damit nicht jede Abteilung eine eigene Vorgehensweise hat. Eine Synchronisierung der Sicherheitsmaßnahmen und damit eine ganzheitliche Betrachtung der Lieferkette und Third-Party Management sind unumgänglich, um eine höhere Cybersicherheit zu erreichen.

Komplexität von Strukturen und Prozessen können somit für die Cybersicherheit eine Falle sein. Monitoring cybersicherheitsrelevanter Events sind ein wichtiger Bestandteil, um das Cybersicheitsrisiko zu minimieren, Angriffe frühzeitig zu erkennen und mit erprobten Krisenplänen entgegenzutreten.

/von

Cyberangriffe beim Mittelstand

Cyber-Risiken stellen KMU (Kleine Mittelständische Unternehmen) vor eine große Herausforderung. Die Auswirkungen nehmen zu. Für die Geschäftsführung muss diese Tatsache als ein Risiko mit höchster Priorität angesehen werden.

Ransomware-Angriffe, bei denen Unternehmen von ihren Computersystemen „lahmgelegt“ werden, haben dramatisch zugenommen und sich im ersten Halbjahr 2021 fast verdoppelt, während das durchschnittliche Lösegeld, um aus dem Dilemma zu entkommen, um 82 % gestiegen ist.  Weltweit werden Unternehmen jeder Größe und Art von kriminellen Ransomware angegriffen. Diese Angriffe führen oft zum Stillstand des Geschäftsbetriebs. Die Wiederherstellung braucht Zeit, wird teuer, führt zu Imageverlust und kann den Geschäftsbetrieb stören oder gar aufhalten.

Beispielsweise musste JBS, das weltweit größte Fleischverarbeitungsunternehmen, ein Lösegeld in Höhe von 11 Millionen US-Dollar zahlen, um wieder Zugriff auf seine Daten und Systeme zu erhalten. Ransomware führte beim norwegischen Energietechnologieunternehmen Volue zu Stilllegungen von Wasser- und Wasseraufbereitungsanlagen, von denen 85 % der norwegischen Bevölkerung betroffen waren. Transnet, ein südafrikanische Hafenbetreiber, war ebenfalls von Ransomware betroffen, was zu Störungen und Verzögerungen in einem der wichtigsten Häfen Südafrikas führte. In Deutschland führten Angriffe auf Krankenhäuser zu Netzwerkproblemen und tagelangen Ausfällen an der Uni-Klinik Düsseldorf oder im Klinikum Neuss. In Krankenhäuser der USA sollen in den ersten sechs Monaten 2021 Netzwerke aufgrund von Ransomware getrennt worden sein – entweder durch eigene Maßnahmen, um eine Sicherheitsverletzung zu vermeiden, oder weil sie durch eine schwere Malware-Infektion dazu gezwungen wurden.

Das Problem bei KMU ist, im Gegensatz zu großen Unternehmen, dass sie keine Abteilungen für Cybersicherheit verfügen. Demnach reagieren sie oftmals erst nach einem Angriff, was für viele mittelständische Unternehmen das Geschäft einfach lahmlegen kann.

Ein besonders besorgniserregender Trend ist, dass Kriminelle Cyberangriffe derart Gestalt annehmen, was früher staatlichen Akteuren vorbehalten war. Dies kommt vor allem bei sogenannten „Supply Chain Angriffen“ vor, welche die Lieferkette betreffen. Dabei werden unbekannten Fehler in der Technologie von Unternehmen ausgenutzt, die Kunden des Unternehmens infizieren und traditionelle Abwehrmaßnahmen wie Antivirensoftware dabei umgehen.

Cyber Technologien werden von Staaten ausgenutzt, um hauptsächlich Wirtschaftsspionage und Diebstahl von geistigem Eigentum zu betreiben. Die Cyberoperationen der Staaten hat sich seit 2017 verdoppelt, wobei ein Drittel dieser Angriffe offenbar auf Unternehmen abzielen. Eines der bekanntesten Beispiele aus jüngster Zeit war der russische Angriff auf das US-amerikanische Technologieunternehmen SolarWinds, das Sicherheitslücken in vertrauenswürdigen Technologieprodukten ausgenutzt hat.

Der Mittelstand ist der Motor unserer Gesellschaft und leider auch der wunde Punkt. Umso wichtiger ist, dass die Geschäftsführung das Risiko erkennt und ein gutes Verständnis dafür entwickelt, was er schützen muss und wie viel Risiko er eingehen möchte.

Wichtig für die Einschätzung ist eine unabhängige Bewertung des Cyber-Risikoprofils und der Wirksamkeit der aktuellen Cyber-Sicherheitsvorkehrungen im Unternehmen. Auf dieser Grundlage sollten KMU in ein Cyber-Verbesserungsprogramm investieren und sicherstellen, dass sie Zugang zu den benötigten Cyber-Kompetenzen haben, einschließlich unabhängiger Expertenberatung durch Dritte.

Wie sieht die Zukunft für Cyber-​​Sicherheit im Mittelstand aus? Der Mittelstand, insbesondere Wachstumsunternehmen, werden bei ihrer Expansion potenziell reale Angriffsziele. KMU müssen in Sachen Cyber-Sicherheit mehr Engagement zeigen, um die Herausforderungen effektiv und zeitnah zu bewältigen. Das Risiko Management System (RMS) mit all seinen Prozessen muss neu überdacht und implementiert werden. Die Verankerung einer Sicherheitskultur im Unternehmen ist der beste Schutz vor Cyberbedrohungen und diese muss von oben, Top-Down vorgelebt werden.

/von

Projektbegleitende Prüfung – mehr Sicherheit und Transparenz im Projekt

Unternehmens-IT im stetigen Wandel

Getrieben durch den technologischen Wandel und unternehmerisches Wachstum besteht für viele Unternehmen die Notwendigkeit, ihre IT-Landschaft und Applikationsumgebung an die neuen Gegebenheiten anzupassen. Solche Anpassungen beinhalten fast immer die Veränderung der zugrunde liegenden Geschäftsprozesse als auch die Einführung neuer Technologien, sei es die Ablösung von Altsystemen oder die Entwicklung/Einführung neuer Software und Anwendungen (wie z.B. ein ERP-System), die Auslagerung der IT-Infrastruktur in die Cloud oder aber die Einführung komplexere Themen wie Blockchain-Technologie oder Künstliche Intelligenz.

Die Änderung bestehender oder die Einführung neuer IT-Systeme ist jedoch stets mit erheblichen Herausforderungen verbunden. Dies gilt sowohl im Kleinen als auch im Großen und ist z.T. unabhängig von der Art des jeweiligen Projekts, wobei die Risiken insbesondere bei mittleren und Großprojekten aufgrund ihrer gesteigerten Komplexität zunehmen.

Herausforderungen bei IT-Projekten

Die Herausforderungen bei der Durchführung von IT-Projekten bestehen dabei zuallererst aus den typischen Projektrisiken wie Termin-, Budgetüberschreitungen und Qualitätsrisiken. Jedoch kommen auch weitere Risiken hinzu wie z.B.

  • Risiko von Fehlentwicklungen und Nichterfüllung von Anforderungen
  • Lücken bei der Informationssicherheit und fehlende oder ungeeignete Kontrollen
  • Migrations-Risiken

Des Weiteren bestehen bei der Einführung neuer Prozesse und Technologien in der Regel fast immer Unsicherheiten über die regulatorischen und gesetzlichen Anforderungen, woraus sich entsprechende Compliance-Risiken ergeben.

Möglichkeiten der Risiko-Mitigation auf Basis IDW PS 850

Zur Adressierung dieser Risiken sind eine Vielzahl projektbezogener Maßnahmen möglich. Angefangen von klassischen Projektmanagement-Aktivitäten wie der Auswahl einer geeigneten Projektmethodik, ordentlicher Projektplanung und Steuerung sowie Ressourcen-Ausstattung, einem sauberen Anforderungs- und Qualitätsmanagement, bis hin zu einem angemessenen Testing und der formalen Projektabnahme.

Darüber hinaus gibt es aber auch die Möglichkeit, Projektrisiken durch das Hinzuziehen einer externen, neutralen Instanz zu minimieren, die das Projekt punktuell für die Abnahme von bestimmten Projektmeilensteinen oder aber über die gesamte Projektdauer bis hin zur Endabnahme prüfend begleitet.

Die Etablierung einer solchen projektbegleitenden Prüfung durch eine externe und neutrale Instanz bietet dabei folgende Chancen:

  • Frühzeitige Absicherung der Berücksichtigung aller Anforderungen im Pflichtenheft
    • Compliance-Anforderungen
    • Einhaltung relevanter Ordnungsmäßigkeitsanforderungen (u.a. Bilanzkontinuität)
    • Security by Design
    • Angemessene IT-Kontrollen
    • Abdeckung von Anforderungen für zukünftige Prüfungen
  • Neutrale unabhängige Einschätzung zum Projektstatus (Liefergegenstände und Meilensteine)
  • Neutrale unabhängige Einschätzung zu Risiken und Maßnahmen bei der Projektumsetzung
  • Zusätzliche Qualitätssicherung
  • Gesamt-Abnahme des Projekts durch unabhängige externe Instanz

Das Vorgehen für eine solche projektbegleitende Prüfung richtet sich dabei an dem vom Institut der Wirtschaftsprüfer ausgegebenen Prüfungsstandard IDW PS 850 aus. Dieser Standard beinhaltet wichtige Vorgaben für die Prüfung über den gesamten Projektlebenszyklus:

  • Projektplanung und Projektorganisation
  • Systemdesign, Entwicklung und Testphasen
  • Datenmigration
  • Rollout und Produktivsetzung

Darüber hinaus macht der PS 850 auch Vorgaben zur Verwertung von Untersuchungen oder Prüfergebnissen Dritter sowie zur Dokumentation und Berichterstattung.

Fazit

Die frühzeitige Einbeziehung eines externen unabhängigen Experten gewährleistet die Einhaltung der Ordnungsmäßigkeitsanforderungen und Bilanzkontinuität, fungiert als neutrale Instanz für Qualitätssicherung und Risiko-Monitoring und kann ggf. sogar als Institution für die Abnahme des Gesamtprojekts dienen.

Die externe prüferische Instanz kann dabei auf Erfahrungen aus ähnlich gelagerten Projekten zurückgreifen, wertvolle Hinweise und Empfehlungen bei der Projektumsetzung liefern und dadurch den Gesamt-Projekterfolg maßgeblich unterstützen.

/von

Workation ist der neue digitale Trend

Homeoffice ist seit Covid-19 der politische Lösungsansatz, um die Ausbreitung durch social-distance am Arbeitsplatz zu mi­ni­mie­ren. In der Vergangenheit war es undenkbar und negativ behaftet aus dem Homeoffice zu arbeiten. Dies liegt daran, dass der Arbeitgeber kaum Vertrauen in die Mitarbeiter:in setzt. Selbstdisziplin ist hier nämlich ein Muss genauso wie die Trennung von Arbeit und Privatleben. Es ist festzustellen, dass nach der Corona-Pandemie deutlich mehr Menschen mobil arbeiten können als zuvor und wollen dies auch so beibehalten. In Großraumbüros will nach Corona fast niemand mehr zurück. New Work oder Workation heißt das neue Schlagwort. Man konnte feststellen, dass die Produktiv- und Arbeitsleistung aus dem Homeoffice nicht nachgelassen hat, weshalb viele Unternehmen offener zu diesem Thema stehen.

Das zunehmende Interesse von Remote work lässt auch die Versuchung wachsen, das Homeoffice ins Ausland zu verlegen. Für einen möglichen Aufenthalt greifen jedoch bestimmte Regelungen und es bedarf einer schriftlichen Zustimmung des Arbeitgebers. Innerhalb der EU ist Remote work am unkompliziertesten. Grund dafür ist, dass wir keinen Aufenthaltstitel und Arbeitserlaubnis benötigen. Ausgenommen hiervon sind Drittstaaten wie beispielsweise das Vereinigte Königreich. Damit So­zi­al­ver­sich­erungs­bei­trä­ge nicht doppelt berechnet werden, ist eine A1 Bescheinigung notwendig. Mit einer A1 Bescheinigung weist ein Angestellte:r nach, dass er/sie während einer Dienstreise ins europäische Ausland über das Heimatland sozialversichert sind. Diese Be­schei­ni­gung gilt innerhalb der EU, des Europäischen Wirtschaftsraums (EWR) und der Schweiz. Es besteht jedoch eine so­zial­ver­sicherungs­tech­nische Heraus­for­derung und Risiko für das Arbeiten aus dem Ausland. Der Arbeitgeber muss sich hierbei mit den Sozialver­sicherungsvorschriften des anderen Landes vertraut machen und die Registrierungs-, Melde- und Bei­trags­pflich­ten korrekt und fristgerecht umsetzen. Es drohen Sanktionen seitens der zuständigen Behörden, sollten die So­zial­ver­sich­erungs­bei­trä­ge zum falschen So­zial­ver­sich­erungs­sys­tem geleistet werden.

Damit das mobile Arbeiten im Ausland rechtlich ordnungsgemäß geregelt werden kann, sollte gemeinsam mit der Per­so­nal­ab­tei­lung eine vorausschauende Planung erstellt und entsprechende Regelungen, festgehalten in einer Zu­satz­ver­ein­ba­rung, getroffen werden. Bei eventuellen Bedenken, dass die Produktivität oder Erreichbarkeit des Mitarbeiters im Ausland leidet, können Sie eine Art Testlauf vereinbaren.

Für Selbständige trifft dies nicht zu, da Selbständige freier in der Auswahl Ihres Arbeitsplatzes sind.

/von