0
0
was successfully added to your cart.


17.30.15

Ihr Hybrid aus Beratung und Zertifizierung

wir integrieren Organisation in EDV

Slider

Aktuelle Beiträge – siehe unten

Sie haben Fragen?
Nehmen Sie jetzt mit
uns Kontakt auf!

Jetzt kontaktieren
Link: Alle Beiträge
Link: Tägliche Re-Post auf Facebook
Link: Aktuelle Veranstaltungen
Okt 20
0

Pessimismus als Erfolgsfaktor

By | Allgemein, Startseite

Zufrieden sind wir, wenn unsere Erwartungen übertroffen werden

Der folgende Artikel basiert auf der Annahme, dass diese These richtig ist.

Im Nachgang zur letzten Bundestagswahl habe ich einen Beitrag im Radio gehört, der sich damit auseinandergesetzt hat, dass bei gleicher erreichter %-Zahl die eine Partei mit dem Ergebnis zufrieden ist und die andere nicht. Soweit für uns alle klar.

Das kann man mit der Überlegung kombinieren, dass Fußball-Fans auch mit einer Niederlage zufrieden sein können. Wahrscheinlich ist das, wenn der eigene Verein als Außenseiter in die Partie gegangen ist.

Ergänzen lässt sich das noch durch die persönlichen Erfahrungen. Wer immer vom schlechtesten ausgeht, wird selten enttäuscht.

Für Unternehmen ist aber viel wichtiger die Umkehrung.

„Wir“ sind immer weniger in der Lage mit Enttäuschungen umzugehen. Das ist im Privaten als auch im Geschäftlichen von Relevanz. Enttäuschte Mitarbeiter sind nicht so leistungsfähig, bei enttäuschten Kunden ist die Bereitschaft zu wechseln deutlich höher.

Deshalb hier eine „gewagte“ These: Wenn die Erwartungen so gestaltet sind, dass sie in der Umsetzung übertroffen werden, führt das zu einer hohen Zufriedenheit.

FAZIT: Man sollte …

  • Kunden zu einem möglichst frühen Zeitpunkt Ziele kommunizieren, die unterhalb des „Real-Case“ liegen,
  • Personal immer knapp überfordern und dann loben,
  • Lieferanten und Partner mit „Best-Case“ und „Worst-Case“ informieren,
  • sich eine „Vision“ für die Richtung, realistische „Ziele“ als Vorgabe und ein „Worst-Case-Szenario“ für die Erwartungen setzen.
Jul 30
0

Weiterleitung von Strom – EEG-Umlagepflichten

By | Allgemein, Startseite

Achtung: Messen ist seit 01.01.2021 Pflicht

Wenn Sie Strom an Dritte weiterleiten, sind sie verpflichtet diesen zu messen. Sie werden mit der Weiterleitung automatisch zum Versorger.

Die Befreiung von der EEG-Umlage wird immer im Vorfeld beantragt, deshalb wird es am 01.01.2022 spannend. Dann müssen Sie das „Messen“ spätestens umgesetzt haben.

Hier einige interessante Links

Bundesnetzagentur Formen der Stromversorgung nach EEG-Umlagepflichten

Bundesnetzagentur – Leitfaden zum Messen und Schätzen bei EEG-Umlagepflichten

DIHK – Weiterleitung von Strom auf dem Betriebsgelände

Als erstes müssen Sie prüfen ob Sie Strom weiterleiten. Dann ist die Frage, ob Sie unter der Bagatell-Grenze liegen (Leitfaden DIHK).

Beim einrichten der Messstellen wenden Sie sich am besten an Ihren Betriebselektriker.

FAZIT: Sofort prüfen, für viele ist der potenzielle Schaden beträchtlich.

Jul 29
0

Herzlichen Glückwunsch

By | Allgemein, Startseite

Eduard Trippel holt Judo-Silber bei Olympia

Gestern hat Eduard Trippel bis 90 kg die Silber-Medaille bei Olympia geholt. Wenn man gesehen hat, wie er sich über die Teilnahme am Finale gefreut hat und wie er dann gekämpft hat > höchsten Respekt.

Jul 05
0

Vernichtung Datenträger – DIN 66399

By | Allgemein, Startseite

Das Vernichten von Datenträgern ist eine der meist noch nicht geschlossenen Lücken in der IT-Sicherheit.

Immer wieder tauchen Beispiele auf, in denen Informationen auf dem Markt zum Verkaf angeboten werden. Link.

Variante 1: Zufall – Auf einem gekauften Gebrauchtgerät sind vertrauliche Daten. Die Bedeutung kann sehr hoch sein, dass jemand hieraus versucht Kapital zu schlagen ist in der Wahrscheinlichkeit eher gering.

Variante 2: Gezielt – Jemand beobachtet Ihr Unternehmen (extern oder intern) und wartet auf eine Gelegenheit. Jetzt steigt die Wahrscheinlichkeit einer Erpressung enorm an.

Beide Varianten sollten so schwer wie möglich gemacht werden. Dass man eine Übersicht über die Geräte braucht ist wahrscheinlich klar.

Für die „sichere“ Entsorgung gibt es die Normen-Reihe DIN 66399. Diese behandelt zum einen die Inhalte und zum anderen den Prozess der Datenträgervernichtung.

Sicherheit ist Dauerthema, das immer Gefahr läuft einzuschlafen. Nutzen Sie unbedingt hier Audits zur Überwachung der Wirksamkeit. Planen Sie diese Audits und überprüfen Sie jährlich die Systematik, den Anwendungsbereich und den Inhalt.

Sollten Sie hierzu Fragen haben, kontaktieren Sie uns.

Fazit

Achtung, und vergessen Sie die Kopierer nicht

Jul 05
0

Neue Norm für Ausbildungsstätten – ISO 21001 ersetzt ISO 29990

By | Allgemein, Startseite

Die Norm für die Ausbildungsstätten wurde überarbeitet. Sie ist jetzt in der für die meisten geltenden Management-Normen Gliederung.

Für die Ausbildungsstätten bedeutet diese Änderung eine Veränderung ihrer Dokumentation und eine Umstellung der Zertifizierung. Ausbildungsträger, die noch andere Normen, wie z.B. die ISO 27001 haben, können jetzt die Managementsysteme einfacher zusammenführen.

Fazit

Auch bei den Ausbildungsstätten hat jetzt die Zeit der integrierten Systeme begonnen.

Mai 27
0

Schweiz-EU Vertrag geplatzt – Auswirkung DSGVO

By | Allgemein, Startseite

Der Rahmenvertrag, der die langfristige Zusaammenarbeit zwischen der EU und der Schweiz regeln sollte wird von der Schweiz nicht gezeichnet. Link

Direkte Auswirkungen auf die Einstufung der Schweiz als „Dritt-Land“ im Sinne der DSGVO sehe ich nicht.

Die Schweiz hat ihr Datenschutzrecht erst September 2020 weiter an die EU angeglichen. Link Damit wird die Stellung als „sicheres Drittland“ weiter gestärkt.

Langfristig ist aber schon eine Tendez erkennbar, die auf eine Isolierung der EU im Thema DSGVO hinausläuft. Die derzeitigen Entwicklungen zeigen die Spannungen zwischen dem „Schutz der Betroffenen-Daten“ und der internationalen Entwicklung zur Vernetzung und automatisierten Auswertung der Informationen.

Solange die EU als Markt interessant bleibt, die großen „Player“ sitzen meist ausserhalb, könnten wir mit dem bestehenden Modell fortfahren. Die internationale Vernetzung, gerade mit der Corona-Pandemie, geht aber in die andere Richtung. Link

Allerdings darf man nicht ausser acht lassen, dass eine Abschottung von vertraulichen Informationen innerhalb der EU sicher einfacher möglich ist, als ausserhalb. Z.B. ist die Nutzung von Video-Konferenz-Systemen durchaus DSGVO-konform möglich – die tatsächliche Abschottung von vertraulichen Informationen aber schwer vorstellbar.

Fazit

Langfristig kann es sinnvoll sein, die Datenhaltung innerhalb der EU zu konzentrieren.

Mai 12
0

Die Bedrohung kommt in der Realität an – VDA QMC Automotive Sys Conference 2021

By | Allgemein, Startseite

Das beherrschende Thema auf der diesjährigen VDA QMC Automotive Sys Conference ist die Cyber Security. Und hier die Absicherung sowohl des Fahrzeugs, als auch der gesamten Lieferkette und zwar über den gesamten Lebenszyklus.

Spannend ist das aus verschiedenen Gründen:

  1. Der Gesetzgeber wird aktiv
  • US-Kongress, EU, China, Japan bringen Gesetze auf den Weg
  • Ab Mitte 2022 sind in der EU für neue Fahrzeuge bereits Regelungen geplant, die ab Juli 2024 auf ältere Fahrzeuge ausgedehnt werden sollen.
  1. Eine Vielzahl von Normen sind entstanden
  • TISAX (bereits länger etabliert, basiert auf der ISO 27001)
  • ISO/SAE 21434 (Managementsysteme zum Schutz von Fahrzeugen)
  • A-SPICE (Programmierung)
  • UN R155 (Managementsystem zum Schutz von Fahrzeugen – CSMS)
  • UN R156 (Software-Update Managementsystem – SUMS)
  • ISO/DPAS 5112 (Richtlinie für die Auditierung von Cybersecurity Engineering)
  1. Die Sicherheit muss bei den Lieferanten und Dienstleistern durchgesetzt werden, sonst ist sie wirkungslos.
  2. Viele Zulieferer sind nicht nur im „Automobil“ unterwegs und die Standards sind schon zum Eigenschutz auch sinnvoll.
  3. Die Bedrohung für den Kern der Unternehmen wird mit jedem Tag größer (MS Exchange, Öl-Pipelines, …).
  4. Der Trend zum Homeoffice und zu Office 365 verstärkt die Abhängigkeit von den IT-Systemen immer weiter.

Aktueller Stand:

  1. Die Kluft zwischen den OEM bzw. der Groß-Industrie und den kleineren Unternehmen wird immer größer. Während die einen sich in der Tiefe mit den Themen auseinandersetzen und Standards definieren, haben die anderen nicht mal die absoluten Grundlagen (z.B. eine Liste der Anwender)
  2. Die ISO-Management-Systeme werden häufig nicht gelebt. Definition des Anwendungsbereichs, Risiko-Betrachtung und Verantwortlichkeiten sind nicht gepflegt.
  3. Die Anwender gewöhnen sich im privaten Umfeld an immer niedrigere Sicherheitsstandards (automatisches Klicken bei jeder Gelegenheit).

Fazit:

  1. ALLE müssen aufpassen; Cyber-Security muss auditiert werden und so aufgebaut sein, dass man revisionieren (z.B. muss man die Rechte der Benutzer einfach überblicken können)
  2. Nur umgesetzte Maßnahmen sind wirksam; Pläne schützen nicht, deshalb einfach anfangen. Die ISO 27001 ist ein super einfacher Einstieg (TISAX = super Checkliste).
  3. Wo möglich, Vorgaben machen. Die Umsetzung von Anforderungen in Vorgaben stellt viele Unternehmen vor Probleme.
  4. Den Menschen nicht vergessen; Ziel > Bewusstsein > Wissen; Privacy by Design ist besser.
Apr 21
0

Apotheken – Impfstoff-Versorgung

By | Allgemein, Startseite

Den Apotheken kommt bei der Impfstoffversorgung über die Hausärzte eine zentrale Bedeutung zu. Die Vorgaben bezüglich der Qualifikation der MitarbeiterInnen, Umgang mit den Impfstoffen und Dokumentation sind streng.

Generell gilt:

Die Hausärzte werden über die Apotheken mit Impfstoffen versorgt.

In der ersten Phase wird nur der Impfstoff von Biontech/Pfizer über die Hausärzte geimpft.

Nur PTA dürfen den Impfstoff handhaben.

Das führt in der Apotheke zu folgenden Aufgaben:

  • Prüfung der Umsetzung der impfstoffbezogenen Vorgaben.
  • Besprechung der Vorgehensweise mit den Betroffenen und Verantwortlichen.
  • Umsetzen der notwendigen Maßnahmen (Umgang und Dokumentation).
  • Schulung aller Mitarbeiter
  •     Überprüfung und Korrektur

Dokumentation

  • Ergänzen in Funktionsmatrix
  • Dokumentation der Schulung über Umgang mit Impfstoff
  • Anpassen der Vakzin-Abläufe
  • Führen der Aufzeichnungen (Temperatur, Annahmeprotokoll, …)

Das Ergänzungsmodul steht zur Verfügung. (für Verbundsmitglieder kostenlos)

Wir haben die Dokumentation so aufgebaut, dass der Ablauf bei „neu hinzukommenden“ Vakzinen nur ergänzt werden muss. Es sind keine neuen Dokumentationen notwendig.

Apr 07
0

Microsoft TEAMS – Verunsicherung

By | Allgemein, Startseite

Der Landesdatenschutzbeauftragte von Hessen hat am 31.03.2021 mitgeteilt, dass am 31.07.2021 die Duldung für Nutzung von Video-Konferenz-Systemen in Schulen abläuft. Link

Das hat auch bei Teilen von Unternehmen zu Verunsicherungen geführt. Im Folgenden hier eine Einordnung aus unserer Sicht.

Selbstverständlich kann diese Entscheidung auch Auswirkungen auf Unternehmen haben. Aber, es gibt keine bundeseinheitliche Sichtweise des Themas. Das wird schon aus der gegenteiligen Position in Rheinland-Pfalz sichtbar. Dort wurde die Duldung bis 2022 verlängert. Link

Interessant ist auch die Stellungnahme von Microsoft Link. In dem Beitrag hebt Microsoft stark auf dem Nutzen von MS TEAMS für die Organisation ab.

Insgesamt ist die Situation komplexer. Es geht eigentlich gar nicht um die Videokonferenzen, sondern um Microsoft 365.

Die Ausgangslage ist für die meisten Unternehmen, dass man an Microsoft 365 nicht mehr vorbeikommt.

  • Kleinstunternehmen nutzen häufig, schon aus Kosten- und Aufwandsgründen, die Cloud-Lösungen.
  • Kleinere Unternehmen haben oft Dienstleister, bei denen sie gehostet sind und von denen sie betreut werden. Auch dort ist meist MS im Einsatz.
  • Mittlere Unternehmen mit eigener IT-Abteilung haben noch ihre eigenen Server, doch die Grenzen verschwimmen. Die Zusammenarbeit mit Partnern (Kunden und Dienstleister) wird immer enger.

Generell ist eine effiziente Nutzung von Web-Shops und Homeoffice ohne Microsoft selten möglich.

Von Seiten des Datenschutzes und auch aus Sicht der Informationssicherheit muss man sich schon genau überlegen, wo man welche Daten wie speichert.

Zur Nutzung von Microsoft 365 gibt es als Einstieg gute Hilfestellungen, u.a. auch vom L-DSB in Hessen. Link

Sie als Verantwortlicher sind verpflichtet, dass Betroffenen-Daten in die USA abfließen. Die Deutschland-Cloud reicht nicht aus, da ein Zugriff durch staatlich Stellen in den USA immer noch möglich ist.

Fazit

Video-Konferenzen: Die Teilnehmer müssen sich der DSGVO-Problematik bewusst sein und freiwillig teilnehmen. Ein Ansatz kann die entsprechende Information in der Signatur der Einladung sein.

Microsoft 365: Das Thema bleibt schwierig. Wichtig ist die bewusste Entscheidung unter Berücksichtigung von Nutzen und Gefahr.

Mrz 16
0

Datenlücke – Microsoft Exchange Server

By | Allgemein, Startseite

Anfang März wurde eine Lücke im E-Mail-Server von Microsoft bekannt. Hier wurde durch die Kombination von verschiedenen schon sehr lange bestehenden Lücken in die Server eingedrungen.

Viele tausend deutsche Server sind betroffen.

Fragen Sie bei Ihrem IT-Leiter bzw. bei Ihrem IT-Dienstleister nach.

Lassen Sie sich den Status bestätigen und dokumentieren Sie das Ergebnis.

Wichtig für Sie ist, wenn personenbezogene Daten betroffen sind, ist ein DATA-BREACH zu melden. Der DATA-BREACH ist innerhalb von 72 Stunden nach Bekanntwerden zu melden.

Link zum BSI

Sollten Sie von uns im Datenschutz betreut werden, beachten Sie unsere Informationen.

Es gibt bei den verschiedenen Landes-Datenschutzbeauftragten unterschiedliche Auffassungen zum Umgang mit dieser Art von Angriffen.

Gemeinsam ist: Wenn Betroffenendaten abgeflossen sind > Meldung

Variante: Verschiedene L-DSB fordern eine Meldung schon beim Eindringen in die Server.

Wir stoßen immer noch auf Unternehmen, die jetzt erst von den Dienstleistern über die Kontaminierung der Systeme informiert werden.

Fazit

Achtung, Thema prüfen.

Link zu "Allen Beiträgen"