Autor: Stefan Lorenz

Stefan Lorenz ist der Geschäftsführer der OSYSCON GmbH und seit mehr als 5 Jahren im IT-Sicherheitsumfeld und dem IT-Service tätig.
21 Mrz 2018

Sicherheitshinweis: Anrufe von angeblichen Vodafone Mitarbeitern

Heute erreichte uns ein Anruf von einem angeblichen Vodafone-Mitarbeiter. Angeblich werden aktuell kürzlich erhaltene Gutschriften und Handys überprüft da der Kunde eventuell eine Gutschrift noch nicht erhalten hat. Ohne größere Umschweife wurde nach dem Kundenpasswort gefragt. Der Anruf kam von einer Vodafone-Nummer, es fehlte jedoch das übliche Hintergrundgeräusch aus dem Call-Center. Da wir aktuell keine Geschäftsbeziehungen mit Vodafone unterhalten konnte auch kein Passwort herausgegeben werden. Es handelt sich dabei jedoch um eine Betrugsmasche um an die Kundenkennwörter von aktuellen Vodafone-Kunden zu kommen und sich damit gegenüber Vodafone als Kunde auszuweisen.

Welcher Schaden kann entstehen?

Mit dem Kundenkennwort hat der Angreifer nun verschiedene Möglichkeiten. Grundsätzlich kann der Angreifer alles machen was der Kunde sonst auch kann, allerdings ist nicht alles davon praktikable oder attraktiv.

Erstens kann der bestehende Vertrag verlängert oder verändert werden. Daraus zieht der Angreifer noch keinen wirtschaftlichen Vorteil deshalb ist dies als recht unwahrscheinlich anzusehen. Er kann aber auch ein neues subventioniertes Handy bestellen und sich an eine Packstation schicken lassen. Die Kosten würden dem Kunden in Rechnung gestellt werden. Packstationen können relativ leicht anonym genutzt werden, wie dieser Heise-Artikel zeigt. Ein neues iPhoneX ist eine lukrative Beute.

Zweitens kann durch den Angreifer die SIM gesperrt werden und eine neue Karte verschickt werden. Bemerkt man dies nicht direkt könnten damit alle SMS, also auch TAN für Banküberweisungen, Bestätigungen für Zugänge und weitere Dienste empfangen werden. Der Angreifer kann so die Identität des Kunden übernehmen und weitere Angriffe ausführen oder die Identität für illegale Zwecke nutzen.

Update:

Ein derartiges Beispiel findet sich hier. Dort wurden SMS TAN für Überweisungen genutzt.

Drittens kann ein neuer Vertrag abgeschlossen werden, diese SIM-Karte könnte der Angreifer zum Beispiel nutzen um kostenpflichtige Premium-Dienste anzurufen, Geld per SMS verschicken oder auch als anonymen Internetzugang nutzen. Der neue Vertrag wird auch noch einmal per Mail bestätigt, allerdings besteht immerhin die theoretische Möglichkeit das die Benachrichtigung den Kunden nicht erreicht bzw. dieser sie ignoriert. Der neue Vertrag fällt dann erst bei der nächsten Rechnung auf und kann bis dahin genutzt werden.

Was sollte ich tun wenn ich mein Kennwort herausgegeben habe?

Das ist der einfache Teil, hat man einmal Verdacht geschöpft reicht es das Kundenkennwort zu ändern und das Kundenkonto online auf Änderungen zu überprüfen. Bei Änderungen sollte man sich direkt mit Vodafone in Verbindung setzen um die Änderung rückgängig zu machen.

Auch wenn man das Kennwort nicht herausgegeben hat sollte man den Vodafone-Support kontaktieren und eine Randnotiz zu dem Betrugsversuch hinterlegen lassen. Damit kann der Vodafone-Mitarbeiter bei Änderungsversuchen nachfragen und die Vertragsänderung oder Handybestellung noch einmal verifizieren lassen.

Schwieriger ist es den Angriff überhaupt zu erkennen. Mitarbeiter von Vodafone rufen häufiger an, die Nummern wechseln ebenso häufig. Hier helfen nur Nachfragen und ein gesundes Misstrauen ob der Anruf überhaupt gerechtfertigt ist weil man noch eine Gutschrift oder ein neues Handy erwartet.

16 Jan 2018

Was ist ein Business Continuity Management?

Es gibt viele und sehr elaborierte Erklärungsansätze für das, was ein Business Continuity Management (BCM) ist und warum ein Unternehmen sich ein solches leisten sollte.

Aber sind wir mal ehrlich, im Grunde ist es ganz einfach und kann auf eine Formel gebracht werden:

Ein BCM ist ein Managementsystem, das Unternehmen dabei hilft die, Geschäftstätigkeit auch im Angesicht von Notfällen und Krisen – wenngleich leistungsgemindert – aufrechtzuerhalten. Somit trägt ein BCM direkt zur Wertschöpfung bei.

Die Notwendigkeit eines BCM ergibt sich aus der Tatsache, dass die Geschäftstätigkeit – und damit die Wertschöpfung – ständig durch interne und externe Faktoren negativ beeinflusst wird.
Von Letzteren gibt es viele! Seien es Gesetzesverschärfungen – Datenschutz gem. DS-GVO ist für 2018 nur das prominenteste Beispiel -, Naturgewalten, dolose Handlungen, Marken- und Produktpiraterie, Spionage.

All diese Faktoren gilt es im Blick zu haben und geeignete Vorkehrungen zu treffen, damit Ihre Wertschöpfung nicht bzw. nicht nachhaltig gestört wird.

Business Continuity, aber wie?

Aber wie soll das konkret funktionieren, fragen Sie sich jetzt? Vielleicht denken Sie auch, dass ist ja gar nicht möglich. Ich kann mich doch gar nicht gegen alles schützen! Was kostet denn das? Außerdem muss ich doch Risiken eingehen, ansonsten verdiene ich kein Geld! Ich kann mich doch nicht in einer Festung verschanzen! Betreffen mich die Risiken überhaupt? Bisher ist doch noch nie was passiert.

Sie haben natürlich vollkommen Recht damit, dass Sie Risiken eingehen müssen und sich nicht verschanzen können, wenn Sie erfolgreich sein wollen. Aber so ganz ohne Plan B, also wie ein Förster – so eine militärische Weisheit – auf das Gefechtsfeld gehen, sollte man auch nicht gleich, oder?

Schlau wäre es einen Mittelweg zwischen Verschanzen und Schutzlosigkeit zu wählen und sich zu fragen:

Wie schaffe ich es erfolgreich zu sein, notwendige Risiken einzugehen und mich trotzdem angemessen zu schützen?

Bei der Beantwortung dieser Frage kann Ihnen ein BCM behilflich sein. Einem BCM liegt ein ganzheitlicher und integrativer Ansatz zugrunde.
Der BCM-Scope umfasst sämtliche Themen, die zu einem Erliegen der Geschäftstätigkeit führen können.
Am deutlichsten wird dieser Ansatz in der sogenannten ÖNORM (Österreichischer BCM-Standard) ausgeführt. Dort wird das BCM als Business Continuity und Corporate Security Management apostrophiert. Denn im Grunde geht es beim BCM ja darum, einen Zustand der Sicherheit für das Unternehmen zu erreichen.

Letztendlich und nicht zuletzt aufgrund dessen, ist ein BCM also mehr als nur eine reine Blaulicht-Organisation (reaktive Notfallmanagement), nämlich ein Integratives Sicherheitsmanagementsystem (Vgl. hierzu: https://www.osyscon.de/category/sicherheitsmanagement/).

Der Umfang und die inhaltliche Ausgestaltung sowie die Integration vorhandener Sicherheitsdisziplinen richtet sich nach Ihrer Geschäftstätigkeit und Branche sowie Ihres Risikoappetits.

BCM-Methode

Da ein BCM zum Ziel hat, Ihre Unternehmung kontinuierlich abzusichern, können Sie ein BCM auch nicht kaufen! Ein BCMS muss im Unternehmen Implementiert und die Methoden und Verfahren etabliert und kontinuierlich aktualisiert, angepasst und weiterentwickelt werden. Kurzum: ein BCM muss im Unternehmen gelebt werden. Dieser Prozess wird als BCM-Lebenszyklus oder BCM-Regelkreis bezeichnet.

Dieser unterteilt sich in sechs Arbeitspakete bzw. -schritte:

  1. Unternehmensweite BCM-Zieldefinition
  2. Analyse der Geschäftstätigkeit: also die Ermittlung (zeit-)kritischer Geschäftsprozesse anhand eines einheitlichen Bewertungsmaßstab inklusive benötigter Ressourcen (Business Impact Analyse) und die Risikoanalyse (RIA)
  3. Entwicklung von Kontinuitätsstrategien: Entwicklung und Festlegung spezifischer Strategieoptionen und konkreter Maßnahmen bzgl. relevanter Ausfallszenarien
  4. Entwicklung und Implementierung von Notfallplänen: Geschäftsfortführungspläne, Wiederherstellungspläne, Wiederanlaufpläne; Notfall- und Krisenstab (Aufbau- und Ablauforganisation inkl. Rollen & Verantwortlichkeiten)
  5. Überprüfung und Validierung des BCMS: Koordinierte Durchführung von Übungen, Tests, Audits und Reviews (intern/extern) sowie Self-Assessments (Vgl. u.a: http://notfall-uebungen.de)
  6. Etablierung des BCMS als Kernbestandteil der Unternehmenskultur: Schaffung von Motivation und Awareness sowie Sensibilisierung von Führungskräften und Mitarbeiter , aber auch von Geschäftspartnern und externen Dienstleistern

BCM in der Praxis – Anspruch und Wirklichkeit

Jetzt werden Sie sich vielleicht fragen, wenn ich die oben genannten Aktivitäten alle durchführe, und das nicht nur einmal, sondern ständig, was hat das mit Angemessenheit zu tun? Das produziert doch nur Kosten und ist sowieso nur ein Bürokratischer-Tiger!

Auch hier muss ich Ihnen – leider – insofern recht geben als die Gefahr, dass der Bürokratische-Tiger oft sogar noch ein zahnloser ist und nur Geld verschlingt, tatsächlich gegeben ist. Das hat aber ursächlich nichts mit dem BCM an sich zu tun, sondern mit dessen Umsetzung.

In der Praxis kommt allzuoft die Planungsphase zu kurz. Das führt im schlimmsten Fall dazu, dass Aktivitäten redundant durchgeführt, Synergien nicht genutzt, der Arbeitsschutz oder vorbeugende Brandschutz nicht integriert werden; die obligatorische Dokumentenprüfung unvollständig ist, der Betriebsrat, der Datenschützer, die IT und andere relevante Stakeholder nicht integriert wurden; last but not least aber auch daran, dass unrealistische Ziele gesteckt wurden.

Die Folgerung kann also nicht sein, dass ein BCM nur Kosten und Papier produziert und deshalb Unsinn ist, sondern dass bei der Entscheidung für ein BCM der Schwerpunkt auf der Planungsphase liegen muss.
Jede sinnvolle Planung ist mit Fakten untermauert, diese gilt es als erstes zu ermitteln. Was habe ich schon, was machen wir bereits wie in Punkto Sicherheit, wer ist dafür verantwortlich, warum machen wir das eigentlich und wozu etc.

Nur auf Basis einer ordentlichen Lagefeststellung können Sie auch eine angemessene und relevante Lagebeurteilung durchführen, die strategische Ausrichtung des BCMS bestimmen und schließlich konzertiert, koordiniert und planvoll in den BCM-Lebenszyklus einsteigen.

Dann werden Sie auch merken, dass ein BCM kein zahnloser Bürokratie-Tiger zu sein braucht und Ihr eingesetztes Personal nicht durch sinnloses Laufen im Hamsterrad die Kostenspirale nach oben treibt, sondern seine Arbeitskraft sinnvoll in Ihren BCM-Lebenszyklus investiert und dadurch kontinuierlich Ihre Geschäftstätigkeit sichert und somit einen Beitrag zur Wertschöpfung leistet.

Was wir für Sie tun können?

Wenn Sie Fragen haben oder eine Beratung in Anspruch nehmen wollen, dann kontaktieren Sie uns.

Unsere Berater sind Spezialisten für Sicherheitsmanagement und blicken auf langjährige Erfahrungen in der militärischen Sicherheit und der aktiven Arbeit in entsprechenden Sicherheitsorganisationen sowie der Unternehmensberatung über Branchengrenzen hinaus auf strategischer, taktischer und operativer Ebene.

08 Jan 2018

Sicherheitsmanagement

Was ist Sicherheitsmanagement?

Wer sich mit dem Thema Sicherheitsmanagement auseinandersetzt stellt schnell fest, dass es offensichtlich unterschiedliche Sicherheiten in einem Unternehmen gibt: das IT-Sicherheitsmanagement, das Informationssicherheitsmanagement, die physische Sicherheit, die Arbeitssicherheit, die Standortsicherheit, die Rechtssicherheit und funktional betrachtet kommen weitere hinzu wie das Risikomanagement, das Notfall- und Krisenmanagement, das Business Continuity Management (BCM), das Datenschutzmanagement und im weitesten Sinn auch das Qualitätsmanagement, es sichert schließlich die Qualität der Produkte oder der Dienstleistung.

Aber sind das wirklich verschiedene Sicherheiten? Was ist Sicherheit überhaupt und wozu brauche ich ein Sicherheitsmanagement?

Sicherheit ist definiert als ein Zustand, der frei von unvertretbaren Risiken ist oder als gefahrenfrei angesehen wird. Der Begriff geht zurück auf das lateinische Wort securitas bzw. securus, das soviel bedeutet wie: sorglos . Es setzt sich zusammen aus sed “ohne“ und cura (Für-)Sorge.

Management stammt ebenfalls aus dem Lateinischen und ist eine Komposition aus dem Wort manus „Hand“ und agere „führen“: „an der Hand führen“ also. Es umfasst jede zielgerichtete und nach ökonomischen Prinzipien ausgerichtete menschliche Handlungsweise der Leitung.

Qua Definition gibt es also keine verschiedenen Sicherheiten im Unternehmen, sondern nur eine Sicherheit. Diese ist ein Zustand, der entweder frei von unvertretbaren Risiken ist oder als gefahrenfrei betrachtet wird; ein Zustand, den es durch zielgerichtete und an ökonomischen Prinzipien ausgerichtete Handlungen herzustellen bzw. kontinuierlich aufrechtzuerhalten gilt.

Sicherheit aus einer Hand

Betrachten wir die Auflistung der unterschiedlichen Sicherheiten bzw. der verschiedenen Sicherheitsmanagementsysteme, die eingangs aufgezählt wurden, so kann konstatiert werden, das Unternehmen mit unterschiedlichen Managementsystem daran arbeiten, einen Zustand von Sicherheit herzustellen respektive aufrechtzuerhalten.

All zu oft kommt es dabei vor, dass sich abgeschottete Silos in Unternehmen herausbilden oder herausgebildet haben, in den grundsätzlich gleiche und/oder ähnliche Tätigkeiten mit derselben Zielsetzung durchgeführt werden. Aufgrund unterschiedliche Bewertungsmaßstäbe, die in den unterschiedlichen Managementsystemen angewendet werden, erhält die Unternehmensleitung oft divergierende Ergebnisse. Am Ende des Tages ist man also trotz viel Aufwand nicht schlauer als zuvor. Haben wir nun den erstrebten Zustand, nämlich Sicherheit, erreicht?

Beim Militär gibt es eine Führungs-Devise: Greife niemals mit gespreizten Fingern an, sondern mit der geballten Faust.

Auch wenn diese Devise im ersten Moment martialisch klingt, bedient sie sich eines prägnanten und passenden Bildes für die Situation im unternehmerischen Sicherheitsmanagement.

Die offene Hand mit ihren gespreizten Fingern steht für die einzelnen Sicherheitsmanagement-Disziplinen. Sie weisen an ihren Kuppen die maximale Entfernung zueinander auf, obwohl sie alle zur selben Hand gehören. In diesem Zustand spätestens verfehlt die Hand ihre Schutzfunktion. Ein schützender Schlag, ohne sich die Finger zu brechen, ist so, so gut wie unmöglich.

Zwar stehen bei der Faust auch die Finger für die einzelnen Sicherheitsmanagementsysteme, an deren Kuppen sich der jeweiligen Owner befindet. Im Gegensatz zur gespreizten Hand, verschmelzen die Finger funktional, unter Beibehaltung ihrer Prädestination, zur schützenden Faust, die nun aber jederzeit einen schützenden Schlag ausführen kann, ohne sich die Finger zu brechen. Sicherheit aus einer Hand also.

Integratives Sicherheitsmanagement

Der Gedanke, Sicherheit aus einer Hand, findet sich normativ bereits in wichtigen Standards des Sicherheitsmanagements, den sogenannten ISO Normen, die nach der High Level Struktur nach Annex SL aufgebaut sind.

Gemein ist ihnen, dass sie sich – legt man den P-D-C-A Zyklus zugrunde – konzeptionell nur in der DO-Phase (Betrieb) voneinander unterscheiden. Alle weiteren Phasen sind strukturell gleich aufgebaut.

Ein Sicherheitsmanagementsystem muss immer auf den Kontext des Unternehmens passgenau zugeschnitten werden, dazu wird das Kommitment des Vorstandes bzw. der Unternehmensleitung, eine zielorientierte Planung sowie ein angemessener Support benötigt (Plan).

Gerade heutzutage muss die Performance des Sicherheitsmanagementsystems kontinuierlich überwacht, gemessen und bewertet werden. Wenn man so will, einen Abgleich des SOLL-IST Zustandes (Check).

Schließlich muss das gemessene gap, also die Nichtkonformität, durch Korrekturmaßnahmen kontinuierlich verbessert werden (Act).

Ein Integratives Sicherheitsmanagementsystems greift diesen Gedanken der High Level Struktur auf. Statt mit gespreizten Fingern den Risiken zu begegnen, werden die Synergien in den Phasen Plan, Check und Act genutzt. Ein Verantwortlicher für das Thema Sicherheit wird inauguriert (Bsp. der Sicherheitsmanager oder der Risikomanager), dessen Aufgabe darin besteht,

  • den Zustand Sicherheit für das Unternehmen in Zusammenarbeit mit der Unternehmensleitung anhand der strategischen Ausrichtung zu definieren,
  • dessen Umsetzung zu planen und auszugestalten, die Sicherheitsdisziplinen mit angemessenen Ressourcen im ökonomischen Sinn zu unterstützen, um den Betrieb der Sicherheitsdisziplinen zu gewährleisten,
  • über die Umsetzung zu wachen, sie zu messen und zu bewerten
  • und last – but not least – den kontinuierliche Verbesserungsprozess zu initiieren und aufrechtzuerhalten.

Und was sind die Vorteil des Sicherheitsmanagements aus einer Hand?

Die Vorteile des Integrativen Sicherheitsmanagements aus einer Hand sind,

  1. dass alle Aktivitäten mit der Zielrichtung Sicherheit herzustellen und aufrechtzuerhalten unter einer Verantwortlichkeit gebündelt werden und das Management Review vereinheitlicht wird,
  2. dass alle Aktivitäten der Sicherheitsdisziplinen auf ein Ziel orientiert werden und einheitliche Bewertungsmaßstäbe für die Messung und Bewertung der Performance etabliert werden,
  3. dass Synergien genutzt und Redundanzen vermieden werden und dadurch Kosteneinsparungen realisiert werden können.

Haben wir Ihr Interesse geweckt? Dann vereinbaren Sie einen unverbindlichen Beratungstermin oder geben Sie uns Ihr Feedback auf: www.osyscon.de/blog/

31 Okt 2017

Notfallübungen, aber wie?

Unternehmen betreiben viel Aufwand, um ein Notfall- und Krisenmanagement bzw. ein Business Continuity Management System zu implementiert. Hauptziel dabei ist, Notfälle und Krisen möglichst präventiv zu verhindern. Falls sie dennoch auftreten, diese möglichst zügig mit der eigens hierfür aufgebauten Notfall- und Krisenorganisation zu bewältigen.

Doch ist Ihre Notfall- und Krisenorganisation schon soweit? Sind Ihre Funktionsträger bereits ausreichend aus- bzw. weitergebildet worden? Funktioniert die Organisation und die entwickelten Pläne in einem Notfall oder einer Krise? Wurden alle relevanten Notfall- und Krisenszenarien bedacht? Funktioniert Ihre Alarmierung?

Diese Fragen sollten Sie nicht erst während eines Notfalls oder einer Krise beantworten, denn der schlechteste Zeitpunkt sein Notfall- und Krisenmanagement und seine Notfallplanungen zu testen, ist der Notfall- oder die Krise selbst!

Warum sollte ich Notfallübungen durchführen?

Notfallübungen sind integraler Bestandteil eines Notfall- und Krisenmanagements bzw. Business Continuity Managementsystems (BCMS). Sie dienen einerseits der kontinuierlichen Verbesserung der Notfallplanung und der Überprüfung der Effektivität und Angemessenheit der vorhandenen Notfall- und Krisenorganisation. Andererseits sind Notfallübungen das einzige Instrument, um die Funktionsweise Ihres Notfall- und Krisenmanagements sicherzustellen, praktische Erfahrungen und Routine in der Notfall- und Krisenbewältigung zu erlangen und last – but not least – die Funktionsfähigkeit Ihrer Notfall- und Krisenvorsorge gegenüber Aufsichtsbehörden, Geschäftspartnern und Kunden nachzuweisen.

Wie übe ich den Notfall oder die Krise?

Im Prinzip ist eine Notfall- und Krisenübung eine einfache Sache. Sie entwickeln ein Übungsszenario inklusive eines Drehbuches mit Lageeinspielungen anhand Ihres Notfallhandbuches, alarmieren Ihre Notfall- und Krisenorganisation und lassen diese den Übungsfall abarbeiten. Parallel Prüfen Sie, ob alle relevanten Tätigkeiten zweckmäßig durchgeführt wurden und dokumentieren Ihre Ergebnisse. Anschließend erstellen Sie einen Bericht und entwickeln Empfehlungen, wie erkannte Mängel behoben werden können.

Und in der Praxis?

In der Praxis sieht es grundsätzlich nicht anders aus als in der Theorie wie oben beschrieben, nur viel komplexer.

Sie brauchen vor allen Dingen Zeit, Personal und Kreativität. Wenngleich Letzteres bei Ihnen vorhanden ist, wie sieht es aber mit der Zeit aus oder dem Personal? Wann soll ich eine Übung planen, wer kann mir dabei helfen?

Glaubt mir die Geschäftsleitung, wenn ich ihr sage, dass wir unbedingt die Alarmierung verbessern, die Szenarien anpassen oder gar neue Notfallpläne erstellen müssen?

Welche Übungsart ist die richtige? Welche gibt es überhaupt und wann ist welche am zweckmäßigsten? Muss ich vorher eine theoretische Ausbildung machen oder lass ich das weg?

Kontaktieren Sie uns und lassen Sie sich unverbindlich beraten. Schreiben Sie uns, welche Schwierigkeiten Sie haben und vor welchen Herausforderungen Sie stehen. Wir können Ihnen sicherlich weiterhelfen.

Was wir außerdem für Sie tun können

  • Durchführung eines Business Continuity Trainings als Planspiel
  • Auswertung der Ergebnisse des BC-Trainings und erstellen eines Übungsberichts inkl. Handlungsempfehlungen
  • Beratung zu Notfall- und Kisenstabsübungen
  • Erstellung Ihres mittel- und langfristigen Übungsplans
  • Erstellung von Übungskonzeptionen und Übungsdrehbüchern
  • Erstellung eines Übungsberichts inkl. Handlungsempfehlungen

Kontaktieren Sie uns wenn Sie weitere Fragen zur Durchführung von Übungen haben oder Ihre Übungen von uns als Service durchführen lassen wollen.

26 Okt 2017

Business Continuity Training

Die Berliner Polizei hat Anfang Oktober den Ernstfall geprobt: einen Biowaffen-Anschlag. Dazu gehörte die Festnahme der Terroristen, die Versorgung von Opfern, die Spurensicherung und der Schutz vor gefährlichen Erregern, wie die Berliner Morgenpost im Untertitel schrieb.

An der Übung waren die Berliner Polizei, das Bundeskriminalamt (BKA), die Bundespolizei (BP), Mediziner des Robert-Koch-Instituts und Ärzte der Uniklinik Charité und Feuerwehrleute beteiligt. Hinzukamen 300 Statisten und 80 Beobachter aus dem In- und Ausland.

Ziel der Übung war es, die Einsatzpläne zur Gefahrenabwehr zum Schutz der Gesundheit der Bevölkerung und zur Verfolgung von Terroristen zu erproben.

Was in den Zeitungen bisher nicht erzählt wurde ist, dass hinter den Kulissen die eigentliche Herausforderung geübt wurde: Die Planung und Koordination verschiedener Einsatz- und Rettungskräfte in dem Führungsstab bzw. den Führungsstäben.

Stabsarbeit in Notfall- & Krisenstäben

Die Stabsarbeit in Notfall- und Krisenstäben findet in den Medien in der Regel nur wenig Beachtung. Hier wird nicht geschossen, es knallt nicht und bis an die Zähne bewaffnete Einsatzkräfte wird man hier in der Regel auch nicht finden. Dennoch läuft ohne einen funktionierenden Führungsstab nichts!

Doch was macht ein Führungsstab eigentlich? Und was können Unternehmen von der Stabsarbeit in Führungsstäben von Einsatz- und Rettungskräften für ihre eigene Notfall- und Krisenorganisation lernen?

Zur planmäßigen und koordinierten Notfall- und Krisenbewältigung wird ein Notfall- bzw. Krisenstab benötigt, der die Grundlagen der Stabsarbeit beherrscht.

Grundlagen der Stabsarbeit

Kern der Notfall- und Krisenstabsarbeit ist der Führungsprozess. Der Führungsprozess setzt sich aus den Phasen Lagefeststellung, Lagebeurteilung, der Befehlsgebung – im zivilen Bereich dem Geben von Anweisungen – sowie der Kontrolle zusammen.

Allgemeine Darstellung des Führungsprozesses

Der Führungsprozess ist eine Methode den Mitarbeitern und Führungskräften in Notfall- und Krisenstäben hilft,

  • chaotische und unübersichtliche Situationen sowie komplexe Lagen zu analysieren und zu verstehen
  • Gegenmaßnahmen und Möglichkeiten eigenen Handelns auf Grundlage des aktuellen Lagebildes und der Notfallpläne zu entwickeln
  • der untergeordneten Führungsebene gezielte Anweisungen zu erteilen
  • die Umsetzung der erteilten Anweisungen zu überwachen sowie
  • der übergeordneten Führungsebene jeder Zeit ein strukturiertes Lagebriefing über den aktuellen Sachstand zu geben.

Stabsarbeit ist erlernbar

Bei der Durchführung von verschiedenen Übungen kam in der Auswertung oft die Frage auf, „was können wir denn machen, um die Informationsflut handhabbar zu machen? Ich wusste irgendwann gar nicht mehr, was bereits getan wurde und was ich noch zu erledigen hatte.“

Wenngleich der Führungsprozess kein Allheilmittel ist und nicht alle Probleme lösen kann, so kann er tatsächlich bei der Bewältigung unübersichtlicher und komplexer Lagen helfen, weil die zugrundeliegende Methode dem Notfall- und Krisenstab ein Instrument an die Hand gibt, das Chaos in Bahnen zu leiten. Vergleichbar mit einem Kompass, der es dem Steuermann ermöglicht auch im Sturm, bei meterhohen Wellen, eingeschränkter Sicht, trotz rollendem Schiffe, seinen Kurs zu halten.

Durch die Methode wird die Fähigkeit des Führungsstabes, auch unbekannte und nicht geplante Szenarien kontrolliert zu bearbeiten, stark erhöht. Die erlernten Fähigkeiten können von Mitarbeitern, unabhängig von der konkreten Situation, angewendet werden und geben so Handlungssicherheit und reduzieren den Stresspegel der Mitarbeiter deutlich.

Erlernbar ist die Methodik des Führungsprozesses als Kern der Stabsarbeit am besten durch einen gesunden Mix aus theoretischer und praktische Ausbildung, also durch Übungen.

Da die meisten Unternehmen aber keine Zeit oder nicht ausreichend Ressourcen haben, sich wie in dem oben genannten Beispiel der Antiterrorübung auf sämtliche Szenarien intensiv vorzubereiten, haben wir als OSYSCON GmbH ein Planspiel für Notfall- und Krisenstäbe entwickelt: Business Continuity Training (BC-Training).

Ziel des BC-Trainings ist es, Sie in der Methodik des Führungsprozesses als Kern der Stabsarbeit auszubilden, um Sie zu befähigen, Notfälle planmäßig und koordiniert zu bewältigen und eine Eskalation zur Krise zu verhindern.

Wenn sie mehr über unser BC-Training erfahren wollen können sie nach Angabe ihrer Email-Adresse das entsprechende Whitepaper herunterladen.

Ja, ich interessiere mich für das kostenlose Whitepaper.

Was wir außerdem für Sie tun können

  • Durchführung eines Business Continuity Trainings als Planspiel
  • Auswertung der Ergebnisse des BC-Trainings und Erstellen eines Übungsberichts inkl. Handlungsempfehlungen
  • Beratung zu Notfall- und Krisenstabsübungen
  • Aufbau eines BCM-Systems nach internationalen Standards
  • Erstellung Ihres mittel- und langfristigen Übungsplans
  • Erstellung von Übungskonzeptionen und Übungsdrehbüchern

 

Kontaktieren Sie uns, wenn Sie weitere Fragen zur Durchführung von Übungen haben oder Ihre Übungen von uns als Service durchführen lassen wollen.

 

22 Okt 2017

Wie ein SIEM ihre Datenschutzmaßnahmen unterstützen kann

In der, ab Mai 2018 gültigen, EU-Datenschutzgrundverordnung wird sehr viel mehr Wert auf technische Systeme zur Umsetzung der Anforderungen gelegt als im bisherigen Datenschutz. Das Unternehmen muss Datenschutzverstöße aktiv erkennen und innerhalb von 72h an die Aufsichtsbehörde melden können. Grundsätzlich müssen die Verarbeitungstätigkeiten zumindest aber regelmäßig auf ihre Sicherheit hin überprüft werden.

Artikel 32 DSGVO – Sicherheit in der Verarbeitung fordert dazu:

Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Dies stellt den Datenschutzbeauftragten vor zeitliche und organisatorische Herausforderungen. Der Datenschutzbeauftragte könnte diese Forderung nun umsetzen indem er regelmäßig persönliche Überprüfungen durchführt, manuell Protokolle auswertet oder die Verantwortlichen befragt. Oder er setzt ein SIEM ein, dass ihm schnell und auf Knopfdruck die relevanten Informationen anzeigt.

Ein SIEM ist ein Security Information und Event Management System. Ein solches System erfasst mögliche Sicherheitsprobleme und Vorfälle im unternehmenseigenen Netz und löst danach einen Alarm aus. Ein Administrator prüft diesen Alarm und verwirft ihn entweder oder leitet Gegenmaßnahmen ein.

Das ist allerdings nur das Ergebnis einer ganzen Kette von Sicherheitsinformationen die gesammelt wird und die Sicherheitsbeauftragte oder die Datenschutzbeauftragte bei ihrer täglichen Arbeit unterstützen. Grundsätzlich erhalten diese damit einen Gesamtüberblick über die Sicherheitslage in ihrem Netzwerk, können Angriffe nachvollziehen und potentielle Schwachstellen frühzeitig erkennen und beheben. Die Funktionsweise soll nun einmal kurz dargestellt werden.

Funktionweise eines SIEM

Ein SIEM besteht meist aus einer zentralen Instanz, dem Server, dieser führt die gesammelten Informationen zusammen und stellt sie übersichtlich dar. Daneben gibt es mehrere Sensoren die Daten sammeln und an den Server weiterleiten sowie externe Informationsquellen.

Als Sensoren dienen die zu überwachenden Systeme selbst oder entsprechende zusätzliche kleinere Installationen. Die überwachten Systeme liefern Protokolldaten und Zustandsdaten an das SIEM und werden ihrerseits regelmäßig auf Schwachstellen gescannt. Das Einsammeln der Protokolldaten kann dabei auch ein weiterer Server übernehmen und damit das SIEM entlasten. Zuästzlich bekommt das SIEM noch Informationen von einem eventuell vorhandenem Intrusion Detection System, das Einbrüche ins Netz erkennt und meldet.

Die gesammelten Daten werden nun aggregiert und gegen Alarmierungsregeln geprüft. Außerdem werden externe Quellen, die sogenannte Threat Intelligence, angezapft. Dazu gehören zum Beispiel Listen mit bekannten Malware-Servern, bekannte Phishing-Server und weitere Sicherheitsinformationen. Erfüllen die Daten die Alarmierungsregeln, wird ein Alarm ausgelöst.

Aber auch wenn kein Alarm ausgelöst wird, bietet das SIEM einen umfassenden Überblick über den Zustand des Netzwerkes. Alle Netzwerkgeräte werden erfasst und inventarisiert. Die Protokolldaten werden erhoben und grafisch ausgewertet. Erkannte Schwachstellen nach ihrer Kritikalität geordnet und angezeigt. Die Wirkung von Sicherheitsmaßnahmen wird direkt messbar und problematische Konfigurationsfehler werden aufgezeigt.

Die gesammelten Informationen können dann in vorgefertigte Compliance-Berichte nach PCI-DSS oder ISO 27001 übernommen werden und erleichtern Audits und die regelmäßige Berichterstattung.

Datenschutzrechtliche Bedenken

Als Datenschützer hört man die Worte „Überwachung“ und „Auswertung“ grundsätzlich nicht gerne. Tatsächlich gibt es hier auch ein Spannungsfeld zwischen der Sicherheit des Netzes und den personenbezogenen Daten der Mitarbeiter. Deshalb muss der Datenschützer die Einführung eines solchen Systems genau abwägen.

Für das System spricht der umfassende Überblick, die schnelle Erkennung von Sicherheitslücken und die Alarmierung. Dagegen steht die Erfassung von Protokolldaten von einer Vielzahl von Systemen und Anwenderaktivitäten. Als Datenschützer sollten sie hier auf eine Minimierung der erfassten personenbezogenen Daten, ein sorgfältig ausgearbeitetes Berechtigungskonzept und ein Löschkonzept für die Protokolldaten achten.

Lösungen und Kosten

Wie bei jeder technischen Lösung gibt es eine große Bandbreite von Anbietern für SIEM-Systeme mit unterschiedlichem Leistungsumfang und den damit verbundenen Kosten. Auch unterscheiden sich die Preismodelle sehr stark voneinander. Entweder wird anhand der installierten Systeme, dem Datenvolumen der Protokolle oder der Anzahl der überwachten Systeme abgerechnet.

Gartner hat in seiner Marktanalyse für SIEM Tools (Security Information and Eventmanagement 2017 ) die folgenden drei Gewinner ausgemacht:

LogRhytm

Geeignet vor allem für sehr große Unternehmen mit einer großen Menge an Endpunkten und Daten sowie dem entsprechenden Personal. LogRhytm selbst schweigt sich über den Preis aus, vereinzelt wird aber ein Preis von 32.000$ plus 20% jährlicher Wartung und Tests genannt. Dabei wird jedoch keine Grundlage für die Berechnung genannt.

logpoint

Ein europäisches Unternehmen mit einem Sitz in Deutschland. Als Datenschützer lässt schon einmal darauf hoffen, dass die datenschutzrechtlichen Vorgaben der DSGVO mit berücksichtigt werden. Grundsätzlich auch eher für sehr große Unternehmen geeignet, hier wird nach Anzahl der überwachten Systeme abgerechnet.

Splunk

Splunk ist sowohl für sehr kleine als auch für sehr große Unternehmen geeignet. Dazwischen liegt aber eine ziemlich große Lücke. Das liegt vor Allem am Abrechnungsmodell. Splunk rechnet nach Volumen der Protokolle in GB ab. Bis 500MB pro Tag kann es kostenlos genutzt werden. Danach fallen je nach Variante unterschiedliche Kosten an.

Es gibt die Möglichkeit Splunk als Software-as-a-Service aus der Cloud zu beziehen, in diesem Fall werden bis 5GB Protokolldaten 186$ monatlich fällig. Diese Variante sollte aber rein aus Datenschutzgründen schon nicht berücksichtigt werden. Die gesamten Protokolldaten des eigenen Unternehmens landen so bei einem Cloud-Anbieter.

Bei einer Vor-Ort-Installation sind zu den Server- und Administrationskosten zwischen 2070$ /Jahr/GB für 1 GB Daten täglich und 690$/Jahr/ pro GB ab einem Volumen von 100GB Daten täglich fällig. (Preismodell)

Dafür bietet es eine Vielzahl an Integrationen, eine schnelle Auswertung und eine schnelle Weiterentwicklung ohne zusätzliche Kosten.

Neben den drei Testsiegern ist aber vor allem Alienvault hervorzuheben.

Alienvault bietet mit OSSIM einen kostengünstigen Einstieg auf OpenSource-Basis, dafür muss der Anwender aber auf Support bei der Einrichtung und auf die Zentrale Protokollverwaltung verzichten. Abgesehen davon, bietet es aber die wesentlichen Funktionen eines SIEM wie Schwachstellenanalyse, Inventarisierung, Einbruchserkennung und Alarmierung.

Für kleinere und mittlere Unternehmen, die ihre Netzwerke überwachen wollen und Datenschützer die einen guten Überblick haben wollen, bietet sich diese Lösung zumindest als Einstieg in die Welt des Security Information and Event Management an. Der notorisch überlastete Admin wird es Ihnen danken, wenn seine Arbeit im Bereich Sicherheit sichtbar und messbar wird.

Mit einem SIEM wird die zentrale Grundforderungen im Artikel 32 der DSGVO zwar nicht komplett erfüllt, man kommt dem Ziel aber schon sehr nahe. Der Datenschutzbeauftragte bekommt so einen umfassenden und übersichtlichen Einblick in die Netzwerklandschaft ohne sich mit vielen technischen Details oder Einzellösungen zu beschäftigen.

Wenn Sie Hilfe bei der Auswahl eines geeigneten SIEM oder bei der Installation und Einrichtung von OSSIM benötigen, sprechen sie uns an.

09 Okt 2017

Grundschutz für WordPress

WordPress ist als Content Management System mit 25% unangefochtener Marktführer. Gerade bei kleineren Unternehmen wird dieses CMS aufgrund seiner Bekanntheit gern eingesetzt. Viele Dienstleister setzen ebenfalls auf dieses System, oft ist den Auftraggebern gar nicht mal so klar welches System eingesetzt wird und dieses entsprechend auch abzusichern ist. Ist ja „nur“ die Webseite, was kann mir da schon passieren.

Auch eine einfache Webseite, die nur als bloße Unternehmensrepräsentanz im Web steht, kann von einem Angreifer schnell zu bösartigen Zwecken genutzt werden. Die meisten davon sind unsichtbar und richten sich nicht einmal gegen Ihr Unternehmen selbst, sondern nutzen es nur als Plattform für Angriffe auf die Nutzer, also Ihre Kunden.

Mit Zugang zur Webseite können zum Beispiel unsichtbare Links im Inhalt platziert werden, die Besucher bei Besuch der Seite mit Malware infizieren oder pornographische Inhalte anzeigen. Formulare können genutzt werden um Spam zu versenden oder  wiederum Trojaner mit der Adresse Ihres Unternehmens als Absender. Außerdem ist es mehr als ärgerlich, wenn die mühsam aufgebaute Webseite durch einen Angriff zerstört wird und kein Backup vorhanden ist.

WordPress kann alles und noch viel mehr. Dementsprechend komplex ist das System auch und bietet entsprechende Angriffspunkte. Sie als Betreiber sollten die Webseite dementsprechend auch gegen Angriffe schützen. Wird die Webseite durch einen Dienstleister betrieben ist eine Auftragskontrolle unerlässlich.

Grundschutz

Ein paar wenige Maßnahmen reichen schon um einen gewissen Grundschutz bei der eigenen Seite herzustellen. Mit den folgenden Maßnahmen ist die Seite zumindest gegen die grundlegenden Bedrohungen geschützt.

Backups

Backups bilden die Grundlage der Absicherung, hier kann ein Plugin wie BackWPup helfen. Die freie Variante reicht für eine Basisabsicherung aus. Da eine Infektion nicht immer direkt erkannt wird, ist es sinnvoll mehrere Backups verteilt zu speichern.

Hier hilft die 3-2-1-Regel, von jedem Datenbestand sollten mindestens drei Kopien auf zwei verschiedenen Medien und eine davon extern gespeichert werden. Die Sicherung sollte dann täglich erfolgen und mindestens 10 Tage zurück reichen. Außerdem ist es sinnvoll ein wöchentliches Backup der letzten 10 Wochen aufzuheben.

Einmal aller 6 Monate sollte ein Wiederherstellungstest durchgeführt werden um sicherzugehen, das dass Backup auch wirklich funktioniert.

Updates

Eine weitere wichtige Komponente sind regelmäßige Updates. Die Kernkomponenten werden mittlerweile automatisch aktualisiert, bei den Plugins und Themes ist dies noch manuell durchzuführen. Dies sollte aber mindestens einmal wöchentlich geschehen. Bekannte Fehler und Verwundbarkeiten werden in der WordPress-Verwundbarkeitsdatenbank geführt, tauchen sie dort auf sind die Fehler auch allen Angreifern bekannt und werden dementsprechend häufig ausgenutzt.

Gerade im Bereich der Plugins ist Aktualität entscheidend, oft basieren Plugins wiederum auf Komponenten von Dritten und haben direkten Zugriff auf die Kernfunktionen. Plugins die nicht mehr aktualisiert werden sollten, auch wenn sie noch funktionieren, durch aktuellere ersetzt werden.

Firewall für WordPress

Als  dritte Komponente sollte grundsätzlich eine Web-Application-Firewall installiert werden. Diese überwacht die Zugriffe auf die Webseite und blockt potentielle Angreifer wenn bestimmte Muster erkannt werden. In diesem Bereich hat sich Wordfence etabliert auch, wenn es noch nicht auf Deutsch verfügbar ist.

Wordfence bietet mehrere Funktionen um die Webseite gegen Angriffe abzusichern. Der Administrator wird zum Beispiel über veraltete Plugins benachrichtigt, Änderungen an den WordPress-Dateien werden erkannt, beim Login von Benutzern  mit administrativen Rechten wird per Mail benachrichtigt usw. Außerdem werden IP-Adressen bei zu vielen Login-Versuchen oder Scan-Versuchen gesperrt.

Mit der Installation von Wordfence wird auch das Problem der Updates automatisiert und der Seitenbetreiber wird zumindest auf die Entfernung von Plugins aus dem WordPress-Verzeichnis hingewiesen.

Die anfängliche Konfiguration ist nicht trivial, aber mit einer laufenden Installation hat man einen guten Überblick über die Angriffe auf die eigene Seite und wird über potentielle Gefahren schnell informiert.

Weitere Maßnahmen

Neben den ausführlich erklärten Maßnahmen gibt es noch natürlich noch viele weitere Best-Practices um eine WordPress-Instanz abzusichern. Dazu gehören unter anderem:

  • das Standard-Admin-Konto deaktivieren und durch ein eigenes ersetzen
  • Sichere Passwörter verwenden (kann man nicht oft genug sagen)
  • Getrennte Accounts für die Beiträge und die Administration verwenden
  • Rechte der Benutzer auf das mindestmögliche Maß beschränken (Erweiterte Benutzerverwaltung mit Members)
  • 2-Faktor-Authentifizierung nutzen (Plugin)

Darüber hinaus gibt es natürlich noch viele weitere Möglichkeiten, einige davon werden wir in weiteren Artikeln gesondert vorstellen.

Möchten Sie ihre Webseite auf Verwundbarkeiten und Fehler überprüfen lassen kontaktieren Sie uns unter 04292 5625 6840  oder über unser Kontaktformular  

06 Okt 2017

Notfall- und Krisenübungen richtig durchführen

Der schlechteste Zeitpunkt den Notfall oder die Krise zu üben, ist der Notfall bzw. die Krise selbst. Auch wenn das allen klar ist, werden Notfallübungen dort, wo sie nicht explizit durch den Gesetzgeber gefordert sind und deren Durchführung überwacht wird, oft fahrlässig behandelt oder lediglich Evakuierungsübungen durchgeführt. Der Ablauf folgt dem Motto: Alle Mann von Bord, Frauen und Kinder zuerst. Doch Notfall- und Krisenübungen können mehr leisten. Die Erfahrung zeigt, dass Unternehmen, die Notfall- und Krisenübungen regelmäßig durchführen, einen Notfall oder eine Krise besser überstehen, schneller in den Normalbetrieb zurückkehren, Menschenleben schützen und die finanziellen Schäden begrenzen.

Üben übt aber nicht nur, sondern bietet auch einen messbaren Mehrwert für Ihr Unternehmen. Durch Übungen können, die in Ihrem Unternehmen etablierten Notfallplanungen und -verfahren, unter „Laborbedingungen“ trainiert, Erfahrung und Handlungssicherheit bei den Mitgliedern der Notfall- und Krisenorganisation aufgebaut und das Notfall- und Krisenmanagement auf seine Effektivität, Funktionalität und Angemessenheit überprüft werden. Der Zusammenhang, dass „Üben übt und Sie dann besser sind, als würden Sie es nicht tun, ist einleuchtend und klar, da es unserem menschlichen Erfahrungshorizont entspricht.Der Knackpunkt bei Notfall- und Krisenübungen ist also nicht das „Warum“, sondern das „Wie“, also die konkrete Übungsdurchführung.

Die Übungsdurchführung folgt dabei einem definierten Prozess mit vier Prozessschritten:

Planung und Konzeption

Notfall- und Krisenübung müssen geplant werden. Es gilt Übungsziele zu definieren, die geeignete Übungsart und ein Notfall- bzw. Krisenszenario auszuwählen, ein Übungskonzept und das Übungsdrehbuch zu erstellen. Die Grundlage für die Übungsplanung und -konzeption ist Ihr Notfall- und Krisenmanagement sowie der Erfahrungsstand der Notfall- und Krisenstabsorganisation.

Hiervon werden die Übungsziele, der Übungsumfang und die Übungsart abgeleitet. Dabei reichen die Übungsziele von der Überprüfung der Alarmierung bis hin zur Bewältigung von komplexen Lagen. Letztere sind handlungsbasierte Übungsarten, die grundsätzlich einen größeren Aufwand bedeuten als die diskussionsbasierten Übungsarten wie die Planbesprechung beispielsweise.

Schulung der Notfall- und Krisenorganisation

Die Erfahrung zeigt, dass Sie gut beraten sind, wenn Sie bei der Übungsplanung auch die Schulung der Mitglieder Ihrer Notfall- und Krisenorganisation einplanen, um das benötigte Know How zu den Grundlagen der Notfall- und Krisenstabsarbeit zu vermitteln, auszubauen und zu festigen. Ein Grundsatz der Erwachsenenbildung lautet, dass Sie nur prüfen können, was auch ausgebildet wurde.

In Bezug auf die Stabsarbeit in Notfall- und Krisenstäben bedeutet das: geben Sie Ihren Mitarbeitern die Chance sich mit dem Thema Notfall- und Krisenmanagement und den Aufgaben und Herausforderungen der Notfall- und Krisenstabsarbeit vertraut zu machen. Nehmen Sie Ihren Mitarbeitern die Angst vor dem Scheitern.

Übungsdurchführung

Die Übungsdurchführung ist im Prinzip nur noch die Umsetzung des Übungskonzeptes anhand des Übungsdrehbuches, also die planmäßige Bewältigung des Übungsszenarios. Eine der beliebtesten Übungsarten ist die Stabsrahmenübung, weil mit ihr alle Schwierigkeitsgrade, vom Einfachen zum Schweren, abgedeckt werden können. Des Weiteren bietet sie die Möglichkeit, innerhalb der Übung die Eskalationsstufen von der einfachen Störung, über den Notfall bis hin zur Krise zu simulieren und somit eine Evaluation der Notfall- und Krisenstabsarbeit von A bis Z zu ermöglichen.

In der Praxis läuft die Übung so ab, dass der Notfall- bzw. Krisenstab alarmiert wird, seinen Notfall- und Krisenstabsraum bezieht, die Arbeitsbereitschaft herstellt und mit der Bewältigung des Szenarios beginnt. Lageeinspielungen sowie interne und externe Ansprechpartner werden durch die sogenannte Reaktionsgruppe übernommen, die sich aus der Übungsleitung und Rollenspieler zusammensetzt. Ziel dieses Aufbaus ist, dass ausschließlich der Notfall- und Krisenstab realistisch beübt wird und nicht Ihr ganzes Unternehmen. Das reduziert Aufwand und Kosten.

Dabei kommt es auf eine realistische Szenariodarstellung und Erfahrung bei der Lageeinspielung an. Durch das situationsgerechte Einspielen der Lagen wird der Stress für den Krisenstab anhand seiner Fähigkeiten gesteuert, ist der Krisenstab erfahren und eingespielt werden mehrere Vorfälle gleichzeitig eingespielt, ein neuer, unerfahrener Krisenstab wird erst einmal langsam herangeführt.

Übungsauswertung und Erstellung des Übungsberichts

Die Übungsauswertung basiert auf den Übungsdokumentationen, die während der Übung angefertigt werden. Sie setzt sich zusammen aus der Dokumentation der Übungsbeobachter und -leitung sowie der Sofortauswertung, die direkt im Anschluss an die Übung mit den Übungsteilnehmern durchgeführt wird. Dadurch können die Teilnehmer direkt Verbesserungspotential erkennen und umsetzen.

Die Ergebnisse werden im Übungsbericht anhand der Übungsziele konsolidiert, die praktische Notfall- und Krisenbewältigung bewertet und Handlungsempfehlungen für die kontinuierliche Verbesserung des Notfall- und Krisenmanagements erarbeitet. Optimal ist dann noch ein Review der Übungsdurchführung an sich, damit auch diese kontinuierlich verbessert wird.

Was wir für Sie tun können

  • Erstellung Ihres mittel- und langfristigen Übungsplans
  • Erstellung des Übungskonzeptes und Übungsdrehbuchs
  • Unternehmensspezifische Schulungen Ihres Notfall- und Krisenstabes in der Stabsarbeit in Notfall- und Krisenstäben
  • Übungsdurchführungen von der Planbesprechung über die Stabsrahmenübung bis hin zur Vollübung
  • Übungsevaluation und -auswertung
  • Erstellung des Übungsberichts inkl. Reifegradbestimmung und Maßnahmenempfehlungen

 

Kontaktieren Sie uns wenn Sie weitere Fragen zur Durchführung von Übungen haben oder Ihre Übungen von uns als Service durchführen lassen wollen.

06 Okt 2017

Aktualisierte Vereinbarungen zur Auftragsverarbeitung bei der Datev

Die Datenschutzgrundverordnung (DSGVO) wirft so langsam ihre Schatten voraus und auch größere Unternehmen passen ihre Vereinbarungen und Formulare an die neue Gesetzgebung an. Dies gilt auch für die Auftragsverarbeitung von personenbezogenen Daten. Daraus entsteht auch für die Nutzer der entsprechenden Dienstleistungen Handlungsbedarf.

Was bedeutet Auftragsverarbeitung?

Die DATEV eG verarbeitet im Auftrag ihrer Kunden und Mitglieder besonders schutzwürdige personenbezogene Daten, zum Beispiel bei der Lohnabrechnung  die Religionszugehörigkeit, Krankenkassendaten und weitere sensible Daten. Damit diese Daten weiter verarbeitet werden können muss das Vertragsverhältnis zwischen dem Auftragsverarbeiter und dem Auftraggeber neu geordnet werden.

Der Auftraggeber ist die verantwortliche Stelle und muss dementsprechend sicherstellen das der Auftragsverarbeiter auch alle notwendigen Maßnahmen zum Schutz dieser Daten trifft. Das realistische Risiko einer Datenpanne bei der Datev selbst ist zwar als gering einzuschätzen, unabhängig davon fehlt aber die rechtliche Grundlage für die Datenverarbeitung ohne den Vertrag.

Wer ist betroffen?

Betroffen sind alle Kunden der DATEV eG welche personenbezogen Daten an diese übermitteln, unabhängig von der Größe des Auftraggebers. Dazu zählen u.a. die Nutzer der Lösungen wie DATEV Unternehmen Online oder sonstiger DATEV-Dienste aus der Cloud.

Dies gilt auch für Steuerberater, die das Angebot der DATEV zur Leistungserbringung nutzen. Aus datenschutzrechtlicher Sicht ist die DATEV ein Dienstleister der mit der Verarbeitung von personenbezogenen durch den StB beauftragt wird.

Der Steuerberater selbst muss dabei aber bisher keinen AV-Vertrag mit seinen Mandanten abschließen, da die Steuerberatung als „Funktionsübertragung“ gilt und er bereits durch berufsrechtliche Vorschriften zur Verschwiegenheit verpflichtet ist. Details finden sich dazu in diesem, bei der DATEV verlinkten, Artikel.

Was muss getan werden?

Bis zum 24.05.2018 muss der aktualisierte AV-Vertrag mit der DATEV abgeschlossen sein.

Dies kann bequem auf der DATEV-Seite selbst getan werden, Nutzer mit den entsprechenden Zugängen bekommen sogar bereits vorausgefüllte Verträge nach dem Login präsentiert.

Hier geht es zur entsprechenden Seite.

Wenn Sie weiterführende Informationen wünschen, sprechen Sie uns an (Kontaktformular)oder informieren sich über unser Angebot im Bereich Datenschutzmanagement.

 

18 Sep 2017
SCM

Sicherheit in der Lieferkette

Der Angriff auf das beliebte Tuningprogramm CC Cleaner in der letzten Woche hat einmal mehr die Notwendigkeit einer sicheren Lieferkette deutlich gemacht. In den Bauprozess der Software wurde eine Malware eingeschleust, die dann über die Standard-Update-Prozesse ihren Weg auf die Rechner der Kunden gefunden hat. Besonders bitter ist daran, dass es einen Antiviren-Hersteller getroffen hat. Damit wurde das Vertrauen in den Hersteller in einem sensiblen Punkt erschüttert.

Unternehmen sind in vielerlei Hinsicht von ihren Lieferanten abhängig. Dies gilt besonders in sicherheitskritischen Bereichen. Auch in den meisten Managementsystemen findet die Lieferantensicherheit ihren Platz und die ISO hat dem eine ganze Normenreihe (ISO 28000) gewidmet. Unternehmen, die Sicherheitskritische Dienstleistungen beziehen, sind deshalb auch auf Überprüfungen ihrer Lieferanten angewiesen.

Dazu bieten die einzelnen Managementsysteme unterschiedliche Mittel und Methoden an, die wir hier einmal kurz vorstellen wollen.

Der Lieferantenaudit

Ein probates und zugleich sehr aufwendiges Mittel ist, die kritischen Lieferanten zu ermitteln und selbst auf die Einhaltung von Sicherheitsanforderungen hin zu überprüfen. Dazu fährt ein Mitarbeiter zum Lieferanten und geht einen standardisierten Fragebogen durch, schreibt einen Auditbericht und aktualisiert die Lieferantenbewertungen. Diese Audits müssen vertraglich vorher vereinbart werden und nicht jeder Lieferant wird darüber erfreut sein, dass ein Kundenmitarbeiter Einsicht in interne Prozesse erhält.

Externe Zertifizierungen

Aus den genannten Gründen, zeitlicher und organisatorischer Aufwand, werden gern externe Zertifizierungen herangezogen. Dabei kann der Lieferant die Einhaltung der Sicherheits- oder Qualitätsanforderungen durch eine dritte Stelle, einen akkreditierten Zertifizierer, nachweisen. Aufgrund der Beliebtheit tummeln sich auch entsprechend viele schwarze Schafe auf dem Markt für Zertifizierungen. Dementsprechend sollte das vorgelegte Zertifikat auch von einer, bei der DAkkS, akkreditierten Stelle ausgestellt sein. Die Validität des Zertifikats lässt sich so auf der Webseite der DAkkS überprüfen und die Einhaltung von Standards beim Zertifizierer ist damit sichergestellt.

Zertifikate sollten auch direkt bei Vertragsabschluss vorgelegt werden können. Nicht selten kommt es in der Praxis aber vor, dass Lieferanten, vor allem aus dem Ausland, bei Vertragsabschluss das Vorhandensein von Zertifizierungen bestätigen, das Zertifikat aber nicht vorlegen können. Hier helfen Checklisten für die Aufnahme von Lieferanten und ein klar definierter Prozess um spätere Probleme zu vermeiden.

Regelmäßige Lieferantenbewertungen

Die einfachste Art Lieferanten regelmäßig zu überprüfen ist die Selbstauskunft. In einer Checkliste werden Lieferanten mit besonderen Sicherheitsanforderungen gelistet und jährlich mit einem standardisierten Fragebogen zur Einhaltung der Anforderungen befragt. Diese Befragung bietet grundsätzlich noch keine höhere Sicherheit, die Angaben darin werden in den seltensten Fällen negativ für den Lieferanten ausfallen. Die Auswertung kann aber Aufschluss auf Lieferanten geben, welche die Sicherheitsanforderungen nicht so genau nehmen und bei denen ein Audit oder ein Lieferantenwechsel angebracht sein könnte.

Integriertes Lieferantenmanagement

Ein strukturiertes Lieferantenmanagement bietet über die Einhaltung von Sicherheitsforderungen hinaus zusätzliche betriebswirtschaftliche Vorteile. Mit dem Blick auf das Gesamtunternehmen in einem integrierten Risikomanagement, werden die Lieferanten zuerst in einer ABC-Analyse nach ihrem Anteil am Gesamtumsatz des Unternehmens eingeteilt und dann mit einem Punktesystem weiter klassifiziert. Steht Qualitätsmanagement im Vordergrund wird das Vorhandensein eines QM höher gewichtet, im Business Continuity Management die Sicherstellung der Verfügbarkeit, im Datenschutz die Implementierung von technisch-organisatorischen Maßnahmen zum Schutz der persönlichen Daten. Stehen mehrere Lieferanten für die gleiche Leistung zur Auswahl, kann so anhand objektiver Kriterien derjenige ausgewählt werden, der die Anforderungen des Unternehmens aus Sicht des Risikomanagements am Besten erfüllt. Der Entscheidungsträger hat somit eine gute Grundlage für die Auswahl des Lieferanten.

Durch die Integration aller Anforderungen werden redundante Prozesse vermieden und eine ganzheitliche Risikobetrachtung ermöglicht.

Unsere Leistungen

Wenn Sie mehr über ein integriertes Lieferantenmanagement und seine Vorteile für Ihr Unternehmen erfahren möchten, sprechen sie uns an.

Wir bieten folgende Leistungen:

  • Aufbau einer Bewertungsmatrix für Ihre Lieferanten
  • Durchführung der Audits bei Lieferanten
  • Integration der Sicherheitsanforderungen in Ihr Supply-Chain-Management

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um Ihnen das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung Ihrer Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen