Posts mit dem Label Risikomanagement werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Risikomanagement werden angezeigt. Alle Posts anzeigen

Dienstag, 26. Juli 2022

Corona-Maßnahmen und Risikomanagement

Corona-Maßnahmen und Risikomanagement - Wie passt das zusammen?

Aktuell findet gefühlt alles statt, was während der von Bund und Land vorgeschriebenen Corona-Maßnahmen nicht stattfinden durfte: Jeden Tag erhält man neue Einladungen zu Open Airs, Festivals, Konzerten, Firmenveranstaltungen, Privatgeburtstagen, Hochzeiten, etc. Und fast überall gelten keinerlei Corona-Maßnahmen mehr. Ist das aus Risikosicht vernünftig?

Fazit zu 20 Jahren yourIT - THE FÄST

Viele von Ihnen haben es mitbekommen: Auch wir hatten vergangenes Wochenende Grund zum Feiern: yourIT feierte mit Kunden, Interessenten, Lieferanten, Partnern, Mitarbeitern und Kind und Kegel 20 Jahre yourIT.

THE FÄST war klasse! Es hat einfach alles gepasst.

20 Jahre yourIT - THE FÄST - Nachlese für Teilnehmer und die es nicht geschafft haben
20 Jahre yourIT - THE FÄST - Nachlese

Während der Vorbereitungen sind wir irgendwann auf das Thema Corona-Maßnahmen gestoßen...

Dienstag, 15. Februar 2022

Versionierung und die (Un)ordnung der Welt oder: Wann sind die Regelung eines Dokuments anwendbar?

Versionierung und die (Un)ordnung der Welt oder: Wann sind die Regelung eines Dokuments anwendbar? 

Die wichtigste Teildisziplin des Variantenmanagement von Regelungsdokumenten: Versionierung 

Versionierung von Dokumenten
Versionierung von Dokumneten


Im letzten Blogbeitrag haben wir uns mit unterschiedlichen Arten von Dokumenten beschäftigt und dargelegt, wie diese in einer hierarchischen Struktur ineinandergreifen. Ziel war es, die einzelne Regelungsbereiche und Regelungstiefen zu bestimmen und voneinander abzugrenzen. 

Mittwoch, 3. November 2021

BLACKOUT - Unsere Buchempfehlung fürs Corona-HomeOffice 2021

BLACKOUT - der Roman von Marc Elsberg - empfiehlt sich als nützliche Lektüre fürs Corona-HomeOffice - nicht nur für Geschäftsführer und IT-Leiter.


Seit 1,5 Jahren arbeiten Mitarbeiter häufiger von zu Hause als aus dem Büro. Sie auch? Dann nutzen Sie die eingesparte Fahrtzeit doch für eine interessante Lektüre, die sich mit dem Thema IT-Security beschäftigt und viel mit Ihrem Beruf als Geschäftsführer, IT-Leiter / Administrator oder Datenschutzbeauftragter zu tun hat: Entscheiden Sie sich jetzt für den Roman BLACKOUT - Morgen ist es zu spät.


Buchempfehlung BLACKOUT
Empfohlene Urlaubslektüre von yourIT: Roman BLACKOUT - Morgen ist es zu spät

Der aktuelle Lagebericht 2021 des Bundesamtes für Informationssicherheit (BSI) macht es deutlich: 

Freitag, 31. Juli 2015

yourIT-Tipps zum IT-Sicherheitsgesetz - Was Mittelständler jetzt beachten sollten

Am letzten Wochenende ist nach rund sechsmonatigen parlamentarischen Beratungen das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme in Kraft getreten. Das sogenannte IT-Sicherheitsgesetz (kurz IT-SiG) stellt für Unternehmen "der kritischen Infrastruktur" Mindestanforderungen an die IT-Sicherheit auf. Es enthält z.B. eine Verpflichtung zur Meldung von Datenpannen und Cyber-Attacken. Kleine und mittelständische Unternehmen (KMUs) in diesem Bereich fallen eigentlich durch das Gesetzesraster. Weshalb diese häufig trotzdem betroffen sind, wissen die securITy-Experten von yourIT.


Das IT-Sicherheitsgesetz stellt dabei eine Zusammenfassung von bereits bestehenden Gesetzen dar. Wer darin eine konkrete Festlegung von Maßnahmen erwartet, die Betreiber kritischer Infrastrukturen zur Sicherung ihrer IT umsetzen müssen, kann lange suchen. Auf Grund der Schnelllebigkeit im Bereich IT-Sicherheit wäre dies aber auch nicht zielführend. Das IT-Sicherheitsgesetz stellt aber einen Rahmen dar - der durch noch zu erlassende Rechtsverordnungen und abzustimmende Sicherheitsstandards konkretisiert werden wird.

Ziele des IT-Sicherheitsgesetzes


Ein wichtiges Ziel des IT-Sicherheitsgesetzes ist es, das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu stärken. Die dort künftig zusammenlaufenden Informationen über IT-Angriffe sollen zügig ausgewertet und den Betreibern Kritischer Infrastrukturen zur Verbesserung des Schutzes ihrer Infrastrukturen schnellstmöglich zur Verfügung gestellt werden. Nachdem das IT-Sicherheitsgesetz jetzt inkraft getreten ist, sind die Betreiber Kritischer Infrastrukturen nun zur Erarbeitung und Umsetzung von IT-Mindeststandards in ihrem Bereich verpflichtet.

Definition "Kritische Infrastruktur"


Das IT-Sicherheitsgesetz
Definition "Kritische Infrastruktur" in Sektoren, Branchen und Schutzzielen

Das IT-Sicherheitsgesetz nennt eine "kritischen Infrastruktur" - KRITIS. Dazu zählen speziell Betreiber von Kernkraftwerken und Telekommunikationsunternehmen sowie Unternehmen aus den Branchen Energie- und Wasserversorgung, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Gesundheit und Ernährung / Lebensmittel.

Weshalb sind KMUs vom IT-Sicherheitsgesetz betroffen?


Direkt betroffen vom IT-Sicherheitsgesetz sind Schätzungen zufolge nur etwa 2.000 Betriebe in ganz Deutschland. Kleine und mittelständische Unternehmen - sogenannte KMUs fallen eigentlich durch das Raster der Gesetzgebung. Demnach könnte man meinen, KMU müssten die Anforderungen an die IT-Sicherheit nicht zwingend erfüllen. Davon ist aber nicht auszugehen. Arbeitet z.B. ein KMU als Zulieferer für ein Unternehmen der Kritischen Infrastruktur, das sehr wohl das IT-Sicherheitsgesetz beachten muss, kann das KMU fest damit rechnen, dass der Auftraggeber die Einhaltung gewisser IT-Sicherheits-Standards vom KMU fordert.

Vom IT-Sicherheitsgesetz IT-SiG
Vom IT-Sicherheitsgesetz IT-SiG direkt und indirekt betroffene Unternehmen

"Eine gute Wahl für einen IT-Sicherheitsstandard ist sicherlich die ISO 27001", so Thomas Ströbele, Geschäftsführer der yourIT und Lead Auditor ISO 27001. "Diese Norm ist derzeit der international anerkannteste Standard zum Thema Informationssicherheit."

Auf dem Weg zur ISO 27001 macht es aber oft Sinn, sich "kleinerer" IT-Sicherheitsstandards als Etappenziele zu bedienen. Beispiele hierfür sind ISA+, ISIS12 oder BSI-Grundschutz. Zwischen-Zertifizierungen sind damit einfacher erreichbar. Es stellt sich schneller ein Erfolgserlebnis ein. Die erreichten Ergebnisse lassen sich für die Erreichung der Zertifizierung nach ISO 27001 wiederverwerten.


ISA+, ISIS12, BSI-IT-Grundschutz und ISO 27001
IT-Sicherheits-Standards im Vergleich - ISA+, ISIS12, BSI-IT-Grundschutz und ISO 27001

Kosten der Umsetzung der Vorschriften des IT-Sicherheitsgesetzes für betroffene Unternehmen?


Für die Wirtschaft entsteht bei Betreibern Kritischer Infrastrukturen sowie deren Zulieferern Erfüllungsaufwand für die Einhaltung von IT-Sicherheits-Standards und die Einrichtung und Aufrechterhaltung entsprechender Meldewege.

Dies wird nur dort zu erheblichen Mehrkosten führen, wo bislang noch kein hinreichendes Niveau an IT-Sicherheits-Standards bzw. keine entsprechenden Meldewege etabliert sind. Für diejenigen betroffenen Unternehmen, die sich bereits in der Vergangenheit mit Datenschutz & IT-Sicherheit beschäftigt haben, sind keine steigenden Kosten zu erwarten. Zusätzliche Kosten entstehen für die Betreiber Kritischer Infrastrukturen und deren Zulieferer durch die Durchführung der vorgesehenen IT-Sicherheitsaudits.

Fazit zum IT-Sicherheitsgesetz


Wenn die Umsetzung notwendiger Pflichten auf freiwilliger Basis scheitert, muss der Staat manchmal einschreiten und gesetzliche Regelungen erlassen. Insofern finden sich viele Parallelen zwischen der Einführung des IT-Sicherheitsgesetzes und der Durchsetzung der Gurtpflicht. 1975 verweigerten sich Millionen Menschen dem Lebensretter Sicherheitsgurt. Männer fürchteten um ihre Freiheit, Frauen um ihren Busen. Erst die Einführung der Gurtpflicht mit empfindlichen Strafen ebnete der Vernunft und dem Sicherheitsgurt den Weg zum Lebensretter Nr. 1. Genauso wird das IT-Sicherheitsgesetz den Sicherheits-Muffeln unter den Unternehmen mit Kontrollen und empfindlichen Strafen den richtigen Weg ebnen. Schaut man sich die oben genannten Schutzziele an, profitieren wir alle davon.

“Unternehmen aus den im IT-Sicherheitsgesetz genannten Branchen sollten sich spätestens jetzt mit der Sicherheit ihrer Informationstechnik auseinandersetzen”, empfiehlt Thomas Ströbele. “Nach in Kraft treten der Rechtsverordnung bleibt diesen gerade mal sechs Monate Zeit, eine Kontaktstelle für das BSI zu benennen. Innerhalb von zwei Jahren müssen dann die definierten Mindeststandards umgesetzt werden.”

Wer schon jetzt die Voraussetzungen für ein gesundes und nachhaltiges Management von Informationen schafft, kann den gesetzlichen Neuerungen gelassen entgegensehen. yourIT unterstützt Unternehmen unter anderem mit IT-Schwachstellenanalysen sowie Datenschutz- und IT-Sicherheits-Audits, durch die festgestellt werden kann, inwieweit die Anforderungen der ISO 27001 bereits umgesetzt sind oder welche Maßnahmen noch notwendig sind. Außerdem unterstützt yourIT Unternehmen beim Erreichen der Zertifizierung nach ISO 27001.

Nachdem ich vergangenes Jahr in meinem Urlaub den Roman "BLACKOUT - Morgen ist es zu spät" gelesen habe, kommen mir die genannten Schutzziele vielleicht als besonders schützenswert vor. Beachten Sie unsere Sommeraktion 2015: Zu jedem Termin im August und September 2015 bringen wir ein kostenloses Exemplar des Bestsellers mit.

Buchempfehlung BLACKOUT
Empfohlene Urlaubslektüre von yourIT: Roman BLACKOUT - Morgen ist es zu spät

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.

Best of 2015 - Initiative Mittelstand

Sonntag, 28. Dezember 2014

Vorsicht vor gefälschten Überweisungsträgern - Betrugsversuche aus dem Ausland

Wir möchten Sie hiermit dringend vor einer Betrugsmasche warnen, die gerade um sich greift. Immer öfter werfen Unbekannte Überweisungsträger mit gefälschten Unterschriften bei Banken ein oder senden diese per Post. Manchmal haben sie damit Erfolg. Bei uns von yourIT ging's gerade nochmal gut.


Uns von yourIT war diese Betrugsmasche mit den gefälschten Überweisungsträgern bereits bekannt. Immerhin durften wir erst im Juli 2014 neben Banken und dem LKA vortragen und die IT-Sicht vertreten bei der Veranstaltung "Betrugsversuche aus dem Ausland". Ein Vertreter der regionalen Banken hatte über die Betrugsmasche mit gefälschten Überweisungsträgern berichtet. Er hatte auch darauf hingewiesen, dass sie ihr Risikomanagement darauf ausgerichtet hatten. Die Bankmitarbeiter sind darauf geschult. Wer hätte gedacht, dass jemand versuchen würde, diesen Betrugsversuch kaum 5 Monate später bei uns selbst anzuwenden.

Betrugsversuch aus dem Ausland - gefälschter Überweisungsträger

Wie läuft der Betrugsversuch ab?


Innerhalb von nur 3 Tagen wurden an unsere beiden Girokonten bei unseren Hausbanken 2 Überweisungsträger geschickt. Beide kamen aus Spanien. Beide wollten etwas mehr als 19.000 EUR abbuchen. Wir sprechen hier also von fast 40.000 EUR. Die Unterschriften beider (!) Geschäftsführer auf den Überweisungsträgern sahen täuschend etc. aus.

In beiden Fällen fielen die Überweisungsträger den Bankangestellten nur deshalb auf,
  • weil die Bank unser Unternehmen kennt,
  • weil wir eigentlich nie Überweisungsträger verwenden und
  • weil wir selten bis nie Überweisungen ins Ausland tätigen.
Die Bankvertreter haben daher erstmal bei uns angefragt und um Freigabe gebeten. Da bei uns nur Geschäftsführer Zahlungen freigeben dürfen, konnte dies bei uns selbstverständlich nicht funktionieren.

Wie sieht das bei Ihrem Unternehmen aus?


Sie sollten sich folgende Fragen stellen:
  • Ist Ihr Unternehmen Ihrer Bank ausreichend bekannt?
  • Verwenden Sie noch papierbasierte Überweisungsträger? Ist dies der Bank bekannt?
  • Kommen Überweisungen ins Ausland von Ihrem Konto vor?

Wer haftet bei einem erfolgreichen Überweisungsmissbrauch?


Erst einmal wird gemäß § 675 u BGB (Bürgerliches Gesetzbuch) die Bank haften, denn bei einer vom Kontoinhaber nicht autorisierten Überweisung ist zwischen Kontoinhaber und der Bank kein wirksamer Vertrag zustande gekommen. Kein Wunder also, dass die Bankmitarbeiter gut geschult und das Risikomanagement aktiv sind.

Um Ärger mit der Bank zu vermeiden empfehlen wir allerdings, selbst entsprechende Vorkehrungen zu treffen und die Schadenswahrscheinlichkeit dadurch zu senken.

Wie können Sie diesen Betrugsversuchen mit gefälschten Überweisungsträgern vorbeugen?


Folgende Maßnahmen sollten Sie jetzt ergreifen:
  • Machen Sie Ihre Bank auf die Betrugsmasche aufmerksam (falls noch nicht bekannt).
  • Teilen Sie Ihrer Bank Ihr übliches Überweisungsverhalten mit.
  • Falls möglich: Verzichten Sie komplett auf beleghafte Überweisungen. Oder veranlassen Sie, dass Ihre Bank bei beleghaften Überweisungen immer Rücksprache mit Ihnen hält.
  • Grenzen Sie die Zahl der Länder ein, an die Sie Überweisungen tätigen werden.
Ein weiterer wichtiger Hinweis kommt vom LKA und zielt auf die täuschend echten Unterschriften der yourIT-Geschäftsführer auf den Überweisungsträgern:
  • Veröffentlichen Sie auf keinen Fall Unterschriftsproben der Zeichnungsberechtigten Ihres Unternehmens (Vorstand, Geschäftsführer, Prokuristen, ...). Angebote müssen in der Regel nicht unterschrieben werden. Wer von sich Unterschrifts-Muster gar im Internet veröffentlicht, braucht sich über Betrugsversuche mit gefälschten Überweisungsträgern nachher nicht wundern.
Achtung: Es wurden bereits Fälle bekannt, in denen der Überweisungsträger ein deutsches Girokonto als Empfängerkonto enthielt. Begrenzen Sie Ihr Augenmerk also nicht ausschließlich auf ausländische Konten.

So machen Sie Ihr Unternehmen sicherer


Bereits im Juli haben wir 10 Handlungsempfehlungen verfasst, um Ihr Unternehmen sicherer zu machen. Lesen Sie hier weiter.

Wir hoffen, wir konnten Ihnen mit dieser Information weiterhelfen.

yourIT - securITy in everything we do.



Ihr Thomas Ströbele

Thomas Ströbele