Tag: IT-Compliance

IT-Risiken optimal zu managen ist Voraussetzung für nachhaltigen Geschäftserfolg
• IT-Risikomanagement wird immer wichtiger
• Unternehmen haben Investitionen in IT bereits erhöht
• Viele Firmen wollen IT-Ausgaben weiter steigern
• Volatile Märkte und technische Innovationen erhö-hen Risiken in der Informationstechnologie
• IT-Programme werden meist erst dann geprüft oder erneuert, wenn ernsthafte Schäden bereits entstanden sind
• Komplexität in der IT potenziert Risiken
Berlin, 26. Januar 2012. Das Risikomanagement für ihre IT zu optimie-ren, wird für Unternehmen zu einem immer wichtigeren Faktor für den geschäftlichen Erfolg: Zwar haben die Unternehmen die Investitionen in ihre IT weltweit im Vergleich zum Vorjahr um 7,1 Prozent auf aktuell 3,6 Billionen US-Dollar erhöht, wie das IT-Forschungs- und Beratungsunter-nehmen Gartner herausgefunden hat, jedoch reichen diese Aufwendun-gen häufig trotzdem noch nicht aus. Denn angesichts der sich immer schneller wandelnden Marktsituation und den daraus resultierenden Herausforderungen wie Preisdruck, Kostensenkung oder neue Techno-logien steigen die Risiken in Bezug auf die IT der Unternehmen immer weiter, schreibt die Beratungsgesellschaft Ernst & Young GmbH in ihrer aktuellen Veröffentlichung „Building confidence in IT programs: Facilitating success through program risk management“.

Investitionen in die IT eines Unternehmens haben in den meisten Firmen eine hohe Priorität: In Europa, Amerika und im Nahen Osten stehen IT-Investitionen an erster beziehungsweise zweiter Stelle der Prioritätenliste. In der IT-Landschaft entstehen ständig neue Risiken. Die Gründe für ein Versagen der IT können deshalb vielfältig sein, so der aktuelle Report von Ernst & Young. Durch die Entstehung neuer IT-Landschaften werden auch die IT-Programme immer komplexer: Und gleichzeitig steigt das Risiko des Scheiterns. „Es besteht eine direkte Verbindung zwischen Programmkomplexität und Risiko. Daraus folgt ein gezielterer Steuerungsbedarf seitens des Unternehmens. Entsprechend muss auch das Risikomanagement des Unternehmens verbessert werden.
Nur Unternehmen, die ihr IT-Risikomanagement optimieren, schaffen die Voraussetzung für nachhaltigen Geschäftserfolg, so der Ernst & Young-Report. Ein IT Program Risk Management hilft dabei, die unternehmerische Wettbewerbsfähigkeit zu fördern und die Kosteneffizienz zu steigern. Dadurch wird unter den Mitarbeitern eines Unternehmens Vertrauen in die verschiedenen Elemente der IT geschaffen und der Grundstein für eine erfolgreiche Unterstützung des Managements gelegt.

Konkret nennt der Ernst & Young-Report drei Ansatzpunkte, um das IT-Risikomanagement zu optimieren: erstens der Rückgriff auf erfahrene Risikomanager und einen Risiko-Ausschuss, zweitens die Aufwertung der Rolle von interner Revision, Compliance und Enterprise Risk Management und drittens die Hinzuziehung eines externen unabhängigen Dienstleisters mit umfassender Expertise im Program Risk Management. Erfolgsfaktoren sind darüber hinaus eine professionelle Kommunikation, ein transparentes, präzises Reporting und eine risikobasierte Analyse anhand der gängigen Kriterien für die Bewertung von IT-Programmen.

Die Veröffentlichung „Building confidence in IT programs: Facilitating success through program risk management” finden Sie hier.

Ingenieurbüro und sein IT-Dienstleister zahlen 60.000 Euro für Raubkopien auf Firmenrechnern. Das Ingenieurbüro argumentierte, sich bei der ordnungsgemäßen Lizenzierung ganz auf seinen Dienstleister verlassen zu haben. Das ebrichtet das Compliance-Magazin.
Ein Ingenieurbüro aus Rheinland-Pfalz hat erfolglos versucht, die Haftung für unlizenzierte Software auf seinen Arbeitsplätzen an seinen IT-Dienstleister auszulagern. Nach langem Rechtsstreit zahlte das inhabergeführte Unternehmen nun 45.000 Euro Schadensersatz an die Business Software Alliance und ihre Mitglieder. Der Dienstleister, der dubiose Lizenzen über eBay bezogen und die Software auf den Computern des Ingenieurbüros installiert hatte, zahlte weitere 15.000 Euro. Zusätzlich wurde er deswegen in einem Strafverfahren zu einer hohen Geldstrafe verurteilt.

Ins Rollen gekommen war der Fall durch zwei „Whistleblower“, die über die unlauteren Praktiken des Ingenieurbüros und des IT-Dienstleisters informiert hatten. Das Ingenieurbüro war bereits 2006 durch den Hinweis ins Visier der Ermittlungen geraten. Sowohl gegen den Inhaber des Ingenieurbüros als auch den IT-Dienstleister wurde Strafanzeige erstattet. Die polizeiliche Durchsuchung erst bei dem Ingenieurbüro und später auch in den Geschäftsräumen des IT-Dienstleisters brachte unlizenzierte Software der BSA-Mitglieder Adobe, Autodesk und Microsoft auf 22 Arbeitsplätzen zutage. Der beschuldigte IT-Fachmann wurde nach einem umfassenden Geständnis zu einer Strafe in Höhe von 90 Tagessätzen zu 35 Euro verurteilt. Weiterhin wurden das Ingenieurbüro und der IT-Dienstleister von Adobe, Autodesk und Microsoft in einem Zivilgerichtsverfahren auf Unterlassung und Schadensersatz verklagt und verpflichteten sich schließlich zur gemeinsamen Zahlung von insgesamt 60.000 Euro Schadenersatz.

Das Ingenieurbüro argumentierte, sich bei der ordnungsgemäßen Lizenzierung ganz auf seinen Dienstleister verlassen zu haben. Die ungewöhnlich billigen Preise, die er für die Lizenzen berechnete, habe man als Teil des Geschäftsmodells verstanden, das in erster Linie auf Services beruhte. Im Verfahren wurde jedoch schnell klar, dass die Geschäftsleitung genau wusste, dass der IT-Dienstleister auf den Computern des Ingenieurbüros unlizenzierte Software installiert hatte. Mit der Verurteilung zu der Geldstrafe und seinem Anteil am Schadensersatz wurde auch der IT-Dienstleister empfindlich getroffen.

Die AuthentiDate International AG hat ein aktuelles, umfangreiches White Paper zu den rechtlichen Rahmenbedingungen beim elektronischen Rechnungsaustausch in Europa herausgegeben.

Das White Paper erläutert einfach und verständlich die aktuelle rechtliche Situation und listet übersichtlich die jeweiligen nationalen Anforderungen an den Versand und Empfang elektronischer Rechnungen in allen EU-Ländern auf. Zusätzlich werden die spezifischen, nationalen Anforderungen an die elektronische Archivierung für alle Länder skizziert.

Jeder Leser, auch ohne besondere Vorkenntnisse, erhält mit dem White Paper einen einfachen Leitfaden zur Umsetzung der elektronischen Rechnungsstellung und Archivierung und kann so landesspezifische Anforderungen beim internationalen Rechnungsaustausch schnell und pragmatisch umsetzen. So werden auch z.B. spezielle Compliance Vorgaben, wie die Verwendung qualifizierter Zeitstempel für elektronische Rechnungen in Italien und Ungarn, dargestellt.

Umfangreich erläutert wird auch inwieweit die einzelnen europäischen Länder bereits die neue EU-Richtlinie 2010/45/EU zum elektronischen Rechnungsversand in landesspezifische Gesetze umgesetzt haben. In Deutschland geschah dies bereits mit dem kürzlich verabschiedeten Steuervereinfachungsgesetz.

Unternehmen, die weltweit elektronische Rechnungen austauschen, können auf Anfrage auch entsprechende Informationen zu Ländern außerhalb Europas erhalten. In diesen wird ebenfalls auf landesspezifische Anforderungen eingegangen, so z.B. den elektronischen Rechnungsversand in Israel, Schweiz und Lateinamerika.

Das White Paper mit einer Übersicht der rechtlichen Situation in der Europäischen Union ist als kostenfreie Version mit Übersicht der Anforderungen in allen EU-Ländern und einem Landes-Detailbeispiel kostenlos unter www.authentidate.de und www.signamus.de verfügbar. Die Version mit Übersicht und Details für alle EU Länder kann über das in der kostenfreien Version enthaltene Bestellformular angefordert werden.

Auf XING empfehlenBeitrag auf XING empfehlen

Datenschutz und IT-Sicherheit sind bei großen Unternehmen Compliance-Risiko Nummer 3, gleich hinter Korruption und Bestechung durch eigene Mitarbeiter, wie eine KPMG-Studie zeigt. Datenschutz und IT-Sicherheit zählen aus Sicht der größten deutschen Unternehmen zu den drei wichtigsten Compliance-Risiken überhaupt. Das geht aus der „Compliance Benchmark Studie 2011“ der KPMG hervor, für die DAX30-Unternehmen und einige weitere große Firmen befragt wurden.
„Vor dem Hintergrund jüngster Datenschutzskandale und informationstechnologischer Entwicklungen wie Cloud Computing erlangt der Schutz sensibler Daten bei den Unternehmen wachsende Bedeutung“, heißt es in der Erhebung unter 36 Unternehmen, von denen 24 antworteten.
17 der befragten Firmen gaben an, dass in ihrem Hause Datenschutz und IT-Sicherheit ein Compliance-Risiko darstellt. Das ist der zweithöchste Wert hinter Korruption und Bestechung durch eigene Mitarbeiter. Auf einer Relevanzskala zwischen 1 und 5 bewerteten die Unternehmen die IT-basierten Risiken im Mittel mit 3,3. Somit sind diese das drittwichtigste Problem nach Kartellrechtsverstößen mit 4,2 und Korruption mit 4,1.
In deutschen Großunternehmen ist die Einhaltung von Gesetzen und internen Richtlinien inzwischen Chefsache: Fast die Hälfte (45 Prozent) hat ein eigenes Vorstandsressort „Compliance“ eingerichtet oder die Zuständigkeit direkt dem Vorstandschef zugeordnet. 46 Prozent haben einen Chief Compliance Officer (CCO); bei Firmen mit mehr als 100.000 Mitarbeitern ist das sogar bei zwei Dritteln der Fall. Ebenfalls 46 Prozent haben bereits eine konzernweite Compliance-Abteilung mit mehr als 20 Vollzeitstellen.
Für alle Unternehmen heißt Compliance die Erfüllung gesetzlicher Vorgaben. Und für eine große Mehrheit (83 Prozent) gehört auch die Befolgung interner Richtlinien dazu. Aber nur für 17 Prozent der Befragten beinhaltet der Compliance-Begriff auch Ethik, Moral oder nachhaltiges Wirtschaften.
Zwar sind 83 Prozent davon überzeugt, dass ein funktionierendes Compliance-Management Schadensfälle vermeiden und Haftungsrisiken verringern kann. „Aber nur die Hälfte überprüft regelmäßig, ob ihr Compliance Management-System auch tatsächlich effektiv ist. Das reicht nicht“, warnt KPMG-Partner Oliver Engels.
Trotz der immer größeren Bedeutung des Compliance-Managements herrscht in der IT-Unterstützung dieser Anstrengung selbst in den Großunternehmen noch jede Menge Nachholbedarf. Die Hälfte der Befragten nutzt neben gängigen Office-Anwendungen wie Excel oder Word kein spezifisches IT-Tool für diesen Bereich.
Lediglich 17 Prozent verfügen über ein integratives IT-Tool, das weitere Corporate Governance-Elemente wie zum Beispiel Risikomanagement umfasst. Nur ein Drittel greift auf ein spezifisches Compliance-Tool zurück.
„Obwohl die Dokumentation von Compliance Maßnahmen ein entscheidendes Element eines Compliance Management-Systems darstellt und bei der Beweisführung vor Gericht erheblichen Einfluss haben kann, spielt der Einsatz von IT-Tools nach wie vor nur eine untergeordnete Rolle“, kommentiert KPMG.
„Grund dafür ist oftmals die mangelnde Kenntnis über die Möglichkeiten, die eine entsprechende Software bieten kann“, so die Berater weiter. „Aber auch die Angst vor hohen IT-Kosten und erheblichem Zeitaufwand für die Befüllung und Pflege eines solchen Tool spielen eine entscheidende Rolle.“
Zur Aufdeckung von Verstößen führen oft anonyme Hinweise aus dem Unternehmen oder von Geschäftspartnern. Inzwischen haben laut KPMG-Studie 71 Prozent der Unternehmen eine Telefonhotline und 58 Prozent ein E-Mail-Postfach zur Sammlung dieser Hinweise eingerichtet. 88 Prozent finden diese Instrumente hilfreich oder sogar sehr hilfreich.
„Wenn durch solche Hinweisgebersysteme auch nur ein einziger Regelverstoß aufgedeckt oder gar verhindert werden kann, hat sich das Ganze schon gelohnt“, so KPMG-Partner Engels. „Einen hundertprozentigen Schutz kann und wird es allerdings nicht geben.“
Mitarbeiter, die gegen gesetzliche oder unternehmensinterne Regeln verstoßen, müssen mit harten Sanktionen rechnen. 92 Prozent der Unternehmen ziehen in solchen Fällen arbeitsrechtliche Konsequenzen, jeweils 79 Prozent stellen Strafanzeige oder erheben Schadenersatzansprüche.

Auf XING empfehlenBeitrag auf XING empfehlen

Die Gesichtserkennungsfunktion von Facebook ist eine Ansichtssache. Die einen mögen und nutzen sie gerne, andere wiederum sehen dies als datenschutzrechtlichen Verstoß.
Aus diesem Grund hat Hamburgs Datenschutzbeauftragter Johannes Caspar Facebook vorgeworfen, sie würden ihre Nutzer irreführen und fordert, die biometrischen Daten zu löschen.
Zwei Monate nach der Einführung dieser Funktion, die eigentlich nie komplett deaktiviert werden, sondern nur vor der Öffentlichkeit verborgen werden kann, behauptet Caspar, es entstehe dabei eine riesige Datenbank mit persönlichen Nutzerdaten, die gegen das deutsche Datenschutzrecht verstoße. Die einzige Möglichkeit, die Gesichtserkennung komplett zu umgehen, ist das soziale Netzwerk gar nicht zu benutzen.
Weiterhin wirft Caspar dem Unternehmen vor, der Nutzer besäße vorab keine Möglichkeit der Einwilligung oder Verweigerung des Dienstes. Deshalb sollte Facebook die Gesichtserkennung entweder entfernen oder verändern.
Facebook verteidigt seinen neuen Dienst und weist jegliche Vorwürfe von sich. Ihrer Meinung nach gäbe es keine rechtlichen Verstöße und ihre Nutzer würden die Gesichtserkennungsfunktion schätzen.

Viele Unternehmen erlauben ihren Mitarbeitern die Mitnahme und Nutzung privater mobiler Geräte. Der dadurch erhoffte Produktivitätsgewinn hat jedoch auch seine Tücken. Je mobiler die Belegschaft, desto schwieriger die Aufgabe der IT-Abteilung.

Mobiles Business braucht klare Regeln, wenn die Sicherheit nicht zu kurz kommen soll: Wer soll Zugang zum Intranet, zu webfähigen Anwendungen, zu sensiblen Dokumenten, Firmen-Messaging oder zu selbst entwickelten Applikationen erhalten? Wie steht es dabei um die Sicherheit von Daten und Informationen? Die IT-Abteilungen können sich über mangelnde Herausforderungen nicht beklagen: Sie müssen nicht nur Mittel und Wege für einen praktikablen allgemeinen Zugriff auf eine Unzahl von Applikationen finden, sondern auch die Vielzahl an unterschiedlichen Mobiltelefonen der Mitarbeiter in den Griff bekommen.

Smartphones haben sich inzwischen zu leistungsfähigen, multi-funktionalen Mini-Computern entwickelt – jedoch zu Computern mit zwei Gesichtern: Einerseits können Mitarbeiter alle wichtigen IT-Funktionen und -Tools nutzen, ohne physisch im Unternehmen anwesend zu sein. Andererseits werden Smartphones in der Regel auch privat eingesetzt und enthalten dementsprechend eine Fülle privater Daten und Accounts – selbst wenn sie vom Unternehmen gestellt werden. Die rapide Entwicklung in der Mobilfunktechnologie birgt gewaltige Chancen für das Geschäftsleben: Smarte Unternehmen können schneller und effizienter arbeiten, besser auf Kundenwünsche eingehen und damit die Ergebnisse sowohl Top-Line als auch Bottom-Line optimieren.

Wie aber können es die IT-Beauftragten schaffen, die unterschiedlichen Mobiltelefone zu unterstützen, ohne die verschiedenen »Personalisierungs« -Funktionen zu beschneiden, die sie für ihre Besitzer so wertvoll machen – und dabei dennoch die Sicherheit der Unternehmensdaten und die erforderliche Compliance gewährleisten? Mitarbeiter empfangen, bearbeiten und versenden E-Mails auf ihren privaten Accounts und unterminieren damit – oft einfach aus Unachtsamkeit oder sogar nur um Zeit zu sparen – die Unternehmens-Policy. Oder sie sorgen durch den Download von Kollaborations-Tools dafür, dass unternehmensinterne Dokumente im Internet abgelegt werden.Und schließlich kann ein Smartphone auch einmal verloren gehen oder gestohlen werden. Der erste Schritt hin zu mehr Datensicherheit bei Nutzung privater mobiler Endgeräte ist die Erkenntnis, dass es in den einzelnen Unternehmen bereits jetzt dutzende, hunderte oder gar tausende von Mitarbeitern geben kann, die die (auch) mit privaten Geräten arbeiten. Ganz besonders trifft das auf Unternehmen mit einem webbasierten Zugang zur firmeneigenen E-Mail zu, zum Beispiel mit Outlook Web Access oder Lotus iNotes. Gleiches gilt für Unternehmen, die eine Installation von herunterladbaren Applikationen auf Laptops oder Desktops zulassen. Der inzwischen allgegenwärtige mobile Browser ermöglicht einen Zugang von privaten Geräten zur Unternehmens-E-Mail oder anderen vergleichbaren Anwendungen. Dasselbe trifft auf herunterladbare Produktivitäts-Apps wie Dropbox zu, mit denen die Nutzer Dokumente von ihrem Desktop- oder Laptop zu Cloud-basierten Repository, und von dort mit ihren mobilen Geräten synchronisieren könnten.

Der zweite Schritt ist die Beantwortung der Frage, ob es klare Bestimmungen und Policies gibt oder diese zumindest in Vorbereitung sind. Wenn nicht, ist genau hier der dringendste Ansatzpunkt. Wer diese Herausforderungen allerdings meistert, profitiert jedoch in vielfacher Hinsicht: Ein bedarfsgerechtes Management privater Smartphones im Unternehmen kann die Produktivität der Mitarbeiter deutlich erhöhen, einen schnelleren und besseren Kundendialog unterstützen und sogar die Kosten senken.

Auf XING empfehlenBeitrag auf XING empfehlen

Cloud Computing ist in der Geschäftswelt angekommen. Auch Compliance-Fragen sind nur noch scheinbar eine Hürde. Aber damit sich Wolken und Regeln nicht ausschließen, ist eine richtige Planung unabdingbar. Mit dem Konfliktfeld Cloud & Compliance befasst sich ein Beitrag in der Computerwoche.

Cloud Computing schwingt sich in den kommenden Jahren zum Top-Thema der IT-Industrie auf. Viele Firme sind jedoch zurückhaltend. Die Anwendungen, die derzeit am häufigsten in die Cloud wandern, sind für die Unternehmen eher unkritisch. Dazu zählen E-Mail und Kalender, Collaboration-Lösungen, Backoffice-Applikationen und Customer Relationship Management (CRM). Unternehmenskritische Anwendungen dagegen betreiben die meisten Firmen nach wie vor bevorzugt auf der eigenen IT-Infrastruktur.

Dieser Zurückhaltung liegen Bedenken um die Sicherheit der Daten, schwammige, oft ungeklärte Compliance- und Haftungsfragen sowie Sorgen um die Ausfallsicherheit hinsichtlich der Infrastruktur des Cloud-Providers zugrunde. Dass diese Zweifel berechtigt sind, bestätigt der jüngste Störfall im Amazon-Rechenzentrum1.

Ralf Schneider, CIO der Allianz Versicherung, gibt an, wo der Knackpunkt bei den Cloud-Services für sein Unternehmen liegt: „Wir wollen unsere zentralen Anwendungen, vor allem aber unsere Daten selbst unter Kontrolle behalten“, formulierte er kürzlich in einem Interview mit der Computerwoche.

Zwar schließen sich das Arbeiten über die Cloud und das gleichzeitige Einhalten von Compliance-Vorgaben nicht per definitionem aus, allerdings gewinnen manche Compliance-Aspekte in der Cloud doch wesentlich an Bedeutung. Sollen Anwendungen und Daten in der Cloud gespeichert werden, muss daher genau überprüft werden, ob diese Speicherung nach den zugrunde liegenden Lizenzverträgen und den anwendbaren Datenschutzregelungen zulässig ist.

Dreh- und Angelpunkt für ein rechtlich abgesichertes Cloud-Szenario ist ein dedizierter Anforderungskatalog an den Cloud-Provider sowie wasserdichte Serviceverträge. Konkrete Leistungsbestandteile sollten in Einzelverträgen definiert sein, die neben dem Service Level Agreement weitere rechtliche Regelungen wie Gewährleistung und Haftung, Vertragslaufzeit, Kündigungsmöglichkeiten oder Vertraulichkeitsverpflichtungen enthalten sollte. So lässt sich auf der Ebene des Einzelvertrages die Compliance-Vorgabe für einen bestimmten Service prüfen und bei Schlechtleistung oder Nichterfüllung lassen sich entsprechende Maßnahmen in die Wege leiten.

Auf XING empfehlenBeitrag auf XING empfehlen

Gut 77% der in den USA, Großbritannien, Frankreich, Deutschland und Japan befragten Organisationen waren im vergangenen Jahr von Datenverlust betroffen – in Deutschland allein bestätigten sogar 83% der Unternehmen, in 2010 den Verlust von Informationen erfahren zu haben. Das ist das Ergebnis einer Studie von Check Point Software Technologies Ltd. und dem Marktforschungsunternehmen Ponemon Institute.
Am stärksten betroffen, so die in Deutschland Befragten, seien Kundeninformationen (52%), gefolgt von generischen Verbraucherdaten (51%), anderem, geistigem Eigentum wie z. B. Source Code (29%), Mitarbeiterdaten (28%) und Geschäftsplänen bzw. –strategien (20%). Mit der zunehmenden Nutzung von Web 2.0-Applikationen und der wachsenden Zahl mobiler Endgeräte, die auf das Netzwerk zugreifen, sehen sich die Organisationen bei der Durchsetzung von Datensicherheit, IT Governance sowie Risiko- und Compliance-Vorschriften mit hohen Anforderungen konfrontiert.
Die Hauptursache für das Verlorengehen von Daten lag nach Angaben der befragten IT-Sicherheitsexperten im Verlust bzw. Diebstahl von IT-Equipment, gefolgt von Netzwerkattacken, ungesicherten, mobilen Endgeräten, Web 2.0- und File Sharing-Anwendungen und schließlich im versehentlichen Versenden von Emails an den falschen Empfänger. Erstaunlich: Die befragten IT-Complianceverantwortlichen glauben, dass im Durchschnitt rund 49% ihrer Mitarbeiter wenig bis überhaupt kein Bewusstsein für IT-Compliance haben. In Deutschland liegt der Anteil der nicht aufgeklärten bzw. nicht sensibilisierten Angestellten bei immer noch 34% – für die Unternehmen Anlass genug, die Bewusstseinsentwicklung der Mitarbeiter stärker in den Fokus ihrer Sicherheitsstrategien zu rücken, zumal es meist der Mensch ist, der an der Security-Front der Organisation in der ersten Reihe steht.
Eine gute Nachricht ist dabei immerhin, dass der Großteil der Vorfälle offenbar ohne Absicht passiert. Es gibt also Aufklärungsbedarf. Weitere Informationen und Zugriff auf den vollständigen Report erhalten Sie hier.

Auf XING empfehlenBeitrag auf XING empfehlen

Datenklau
Deutsche Unternehmen gehen immer noch zu nachlässig mit den Themen Compliance, IT-Sicherheit und Datenmissbrauch durch die eigenen Mitarbeiter um. Zu diesem Ergebnis kommt eine neue Studie des Softwareuntertnehmens Kroll Ontrack und der Anwaltskanzlei CMS Hasche Sigle, die insbesondere den Datenklau durch eigene Mitarbeiter untersuchte. Danach kontrollieren mehr als 75 Prozent der Unternehmen nicht regelmäßig, ob die internen Regeln auch eingehalten werden.

Compliance-Programme, gibt es nicht einmal in der Hälfte der Unternehmen, 52 Prozent der befragten Unternehmen haben bisher noch keine Compliance-Programme etabliert. 46 Prozent der Unternehmen haben jedenfalls keinen Compliance-Beauftragten, der ein solches Programm – so vorhanden – auch überwacht.«Die Gefahr, Opfer von Computerkriminalität zu werden, ist für Unternehmen durchaus real», so Reinhold Kern, Director Computer Forensics bei Kroll Ontrack.

Erstaunlich ist, dass zwar 87 Prozent der befragten Unternehmen angaben, Regelungen zum Umgang mit Internet und E-Mail aufgestellt zu haben, bemerkenswerterweise die große Mehrheit der Unternehmen (77 Prozent) aber nicht kontrolliert, ob die aufgestellten Regeln auch wirklich eingehalten werden.
Für den Fall, dass Mitarbeiter sich tatsächlich illegal verhalten, sind die befragten Unternehmen ebenfalls schlecht vorbereitet: Eine «Whistleblowing-Hotline», gibt es nur in 37 Prozent der Unternehmen. Einen Notfallplan oder eine Eskalationsrichtlinie bei Verdacht auf illegale Handlungen hat weniger als die Hälfte der Unternehmen eingerichtet, nämlich nur 44 Prozent.

Zusammenfassend stellt die Studie erhebliche Lücken beim Schutz vor Datenmissbrauch fest. Unternehmen unterschätzen die Risiken aus der privaten Internetnutzung, der Möglichkeit zum Datendiebstahl oder dem einfachen Zugriff der Mitarbeiter auf Unternehmensnetzwerke. Um das Unternehmen effektiv gegen diese Risiken zu schützen, sollten Unternehmen eine Reihe von Maßnahmen ergreifen. An erster Stelle stehen laut Studie dabei Richtlinien und Betriebsvereinbarungen für Internetnutzung und den Umgang mit sensiblen Daten – und vor allem deren regelmäßige Kontrolle. Zudem sollten sich Unternehmen auch mit Compliance stärker auseinandersetzen. Ein Compliance-Programm müsse dabei jeweils auf die sensiblen Bereiche des Unternehmens zugeschnitten sein. Die genaue Kenntnis der technischen und juristischen Voraussetzungen helfe Unternehmen dann entscheidend bei der Umsetzung effektiver Maßnahmen.

Auf XING empfehlenBeitrag auf XING empfehlen

Nachdem bekannt wurde, dass Iphones und andere Apple-Geräte Geodaten speichern und damit zumindest theoretisch die Erstellung von Bewegungsprofilen der Nutzer ermöglichen, hat der US-Computerkonzern Apple nun reagiert und eine Software-Aktualisierung – sozusagen ein „Bewegungsdaten-Downgrade“ – freigegeben. Dieser Schritt kam bei dem für seine restriktive Kommunikationspraxis bekannten Konzern nicht ganz freiwillig: Angesichts drohender Sammelklagen in den USA musste Apple einräumen, dass seine Mobiltelefone Daten über den Standort erfassen und auch unverschlüsselt auf das zugehörige Computersystem iTunes übertragen.
Zugleich bestritt das Unternehmen aber, die Daten seiner Kunden auszuspähen. Apple war in die Kritik geraten, nachdem das „Wall Street Journal“ berichtet hatte, seine Apparate würden Ortsdaten auch dann aufzeichnen, wenn der Nutzer diese Funktion explizit abschaltet.
Apple erklärte, die Aufenthaltsorte würden lediglich anonymisiert und verschlüsselt an das Unternehmen übertragen – ohne jedoch den Zweck dieser Datensammlung aufzuklären.
Auf XING empfehlenBeitrag auf XING empfehlen


Kontakt

Wir freuen uns über Ihre Nachricht. Ein Mandatsverhältnis kommt hierdurch noch nicht zustande.

Name
Email
Message

Ja! Ihre Nachricht wurde versandt.
Eingabefehler! Etwas scheint mit Ihren Einträgen nicht zu stimmen.
Impressum

©Rechtsanwaltskanzlei Niko Härig