was successfully added to your cart.


17.30.15

Ihr Hybrid aus Beratung und Zertifizierung

wir integrieren Organisation in EDV

Slider

Aktuelle Beiträge – siehe unten

Sie haben Fragen?
Nehmen Sie jetzt mit
uns Kontakt auf!

Jetzt kontaktieren

Weiterleitung von Strom – EEG-Umlagepflichten

By | Allgemein, Startseite

Achtung: Messen ist seit 01.01.2021 Pflicht

Wenn Sie Strom an Dritte weiterleiten, sind sie verpflichtet diesen zu messen. Sie werden mit der Weiterleitung automatisch zum Versorger.

Die Befreiung von der EEG-Umlage wird immer im Vorfeld beantragt, deshalb wird es am 01.01.2022 spannend. Dann müssen Sie das „Messen“ spätestens umgesetzt haben.

Hier einige interessante Links

Bundesnetzagentur Formen der Stromversorgung nach EEG-Umlagepflichten

Bundesnetzagentur – Leitfaden zum Messen und Schätzen bei EEG-Umlagepflichten

DIHK – Weiterleitung von Strom auf dem Betriebsgelände

Als erstes müssen Sie prüfen ob Sie Strom weiterleiten. Dann ist die Frage, ob Sie unter der Bagatell-Grenze liegen (Leitfaden DIHK).

Beim einrichten der Messstellen wenden Sie sich am besten an Ihren Betriebselektriker.

FAZIT: Sofort prüfen, für viele ist der potenzielle Schaden beträchtlich.

Herzlichen Glückwunsch

By | Allgemein, Startseite

Eduard Trippel holt Judo-Silber bei Olympia

Gestern hat Eduard Trippel bis 90 kg die Silber-Medaille bei Olympia geholt. Wenn man gesehen hat, wie er sich über die Teilnahme am Finale gefreut hat und wie er dann gekämpft hat > höchsten Respekt.

Vernichtung Datenträger – DIN 66399

By | Allgemein, Startseite

Das Vernichten von Datenträgern ist eine der meist noch nicht geschlossenen Lücken in der IT-Sicherheit.

Immer wieder tauchen Beispiele auf, in denen Informationen auf dem Markt zum Verkaf angeboten werden. Link.

Variante 1: Zufall – Auf einem gekauften Gebrauchtgerät sind vertrauliche Daten. Die Bedeutung kann sehr hoch sein, dass jemand hieraus versucht Kapital zu schlagen ist in der Wahrscheinlichkeit eher gering.

Variante 2: Gezielt – Jemand beobachtet Ihr Unternehmen (extern oder intern) und wartet auf eine Gelegenheit. Jetzt steigt die Wahrscheinlichkeit einer Erpressung enorm an.

Beide Varianten sollten so schwer wie möglich gemacht werden. Dass man eine Übersicht über die Geräte braucht ist wahrscheinlich klar.

Für die „sichere“ Entsorgung gibt es die Normen-Reihe DIN 66399. Diese behandelt zum einen die Inhalte und zum anderen den Prozess der Datenträgervernichtung.

Sicherheit ist Dauerthema, das immer Gefahr läuft einzuschlafen. Nutzen Sie unbedingt hier Audits zur Überwachung der Wirksamkeit. Planen Sie diese Audits und überprüfen Sie jährlich die Systematik, den Anwendungsbereich und den Inhalt.

Sollten Sie hierzu Fragen haben, kontaktieren Sie uns.

Fazit

Achtung, und vergessen Sie die Kopierer nicht

Neue Norm für Ausbildungsstätten – ISO 21001 ersetzt ISO 29990

By | Allgemein, Startseite

Die Norm für die Ausbildungsstätten wurde überarbeitet. Sie ist jetzt in der für die meisten geltenden Management-Normen Gliederung.

Für die Ausbildungsstätten bedeutet diese Änderung eine Veränderung ihrer Dokumentation und eine Umstellung der Zertifizierung. Ausbildungsträger, die noch andere Normen, wie z.B. die ISO 27001 haben, können jetzt die Managementsysteme einfacher zusammenführen.

Fazit

Auch bei den Ausbildungsstätten hat jetzt die Zeit der integrierten Systeme begonnen.

Schweiz-EU Vertrag geplatzt – Auswirkung DSGVO

By | Allgemein, Startseite

Der Rahmenvertrag, der die langfristige Zusaammenarbeit zwischen der EU und der Schweiz regeln sollte wird von der Schweiz nicht gezeichnet. Link

Direkte Auswirkungen auf die Einstufung der Schweiz als „Dritt-Land“ im Sinne der DSGVO sehe ich nicht.

Die Schweiz hat ihr Datenschutzrecht erst September 2020 weiter an die EU angeglichen. Link Damit wird die Stellung als „sicheres Drittland“ weiter gestärkt.

Langfristig ist aber schon eine Tendez erkennbar, die auf eine Isolierung der EU im Thema DSGVO hinausläuft. Die derzeitigen Entwicklungen zeigen die Spannungen zwischen dem „Schutz der Betroffenen-Daten“ und der internationalen Entwicklung zur Vernetzung und automatisierten Auswertung der Informationen.

Solange die EU als Markt interessant bleibt, die großen „Player“ sitzen meist ausserhalb, könnten wir mit dem bestehenden Modell fortfahren. Die internationale Vernetzung, gerade mit der Corona-Pandemie, geht aber in die andere Richtung. Link

Allerdings darf man nicht ausser acht lassen, dass eine Abschottung von vertraulichen Informationen innerhalb der EU sicher einfacher möglich ist, als ausserhalb. Z.B. ist die Nutzung von Video-Konferenz-Systemen durchaus DSGVO-konform möglich – die tatsächliche Abschottung von vertraulichen Informationen aber schwer vorstellbar.

Fazit

Langfristig kann es sinnvoll sein, die Datenhaltung innerhalb der EU zu konzentrieren.

Die Bedrohung kommt in der Realität an – VDA QMC Automotive Sys Conference 2021

By | Allgemein, Startseite

Das beherrschende Thema auf der diesjährigen VDA QMC Automotive Sys Conference ist die Cyber Security. Und hier die Absicherung sowohl des Fahrzeugs, als auch der gesamten Lieferkette und zwar über den gesamten Lebenszyklus.

Spannend ist das aus verschiedenen Gründen:

  1. Der Gesetzgeber wird aktiv
  • US-Kongress, EU, China, Japan bringen Gesetze auf den Weg
  • Ab Mitte 2022 sind in der EU für neue Fahrzeuge bereits Regelungen geplant, die ab Juli 2024 auf ältere Fahrzeuge ausgedehnt werden sollen.
  1. Eine Vielzahl von Normen sind entstanden
  • TISAX (bereits länger etabliert, basiert auf der ISO 27001)
  • ISO/SAE 21434 (Managementsysteme zum Schutz von Fahrzeugen)
  • A-SPICE (Programmierung)
  • UN R155 (Managementsystem zum Schutz von Fahrzeugen – CSMS)
  • UN R156 (Software-Update Managementsystem – SUMS)
  • ISO/DPAS 5112 (Richtlinie für die Auditierung von Cybersecurity Engineering)
  1. Die Sicherheit muss bei den Lieferanten und Dienstleistern durchgesetzt werden, sonst ist sie wirkungslos.
  2. Viele Zulieferer sind nicht nur im „Automobil“ unterwegs und die Standards sind schon zum Eigenschutz auch sinnvoll.
  3. Die Bedrohung für den Kern der Unternehmen wird mit jedem Tag größer (MS Exchange, Öl-Pipelines, …).
  4. Der Trend zum Homeoffice und zu Office 365 verstärkt die Abhängigkeit von den IT-Systemen immer weiter.

Aktueller Stand:

  1. Die Kluft zwischen den OEM bzw. der Groß-Industrie und den kleineren Unternehmen wird immer größer. Während die einen sich in der Tiefe mit den Themen auseinandersetzen und Standards definieren, haben die anderen nicht mal die absoluten Grundlagen (z.B. eine Liste der Anwender)
  2. Die ISO-Management-Systeme werden häufig nicht gelebt. Definition des Anwendungsbereichs, Risiko-Betrachtung und Verantwortlichkeiten sind nicht gepflegt.
  3. Die Anwender gewöhnen sich im privaten Umfeld an immer niedrigere Sicherheitsstandards (automatisches Klicken bei jeder Gelegenheit).

Fazit:

  1. ALLE müssen aufpassen; Cyber-Security muss auditiert werden und so aufgebaut sein, dass man revisionieren (z.B. muss man die Rechte der Benutzer einfach überblicken können)
  2. Nur umgesetzte Maßnahmen sind wirksam; Pläne schützen nicht, deshalb einfach anfangen. Die ISO 27001 ist ein super einfacher Einstieg (TISAX = super Checkliste).
  3. Wo möglich, Vorgaben machen. Die Umsetzung von Anforderungen in Vorgaben stellt viele Unternehmen vor Probleme.
  4. Den Menschen nicht vergessen; Ziel > Bewusstsein > Wissen; Privacy by Design ist besser.

Apotheken – Impfstoff-Versorgung

By | Allgemein, Startseite

Den Apotheken kommt bei der Impfstoffversorgung über die Hausärzte eine zentrale Bedeutung zu. Die Vorgaben bezüglich der Qualifikation der MitarbeiterInnen, Umgang mit den Impfstoffen und Dokumentation sind streng.

Generell gilt:

Die Hausärzte werden über die Apotheken mit Impfstoffen versorgt.

In der ersten Phase wird nur der Impfstoff von Biontech/Pfizer über die Hausärzte geimpft.

Nur PTA dürfen den Impfstoff handhaben.

Das führt in der Apotheke zu folgenden Aufgaben:

  • Prüfung der Umsetzung der impfstoffbezogenen Vorgaben.
  • Besprechung der Vorgehensweise mit den Betroffenen und Verantwortlichen.
  • Umsetzen der notwendigen Maßnahmen (Umgang und Dokumentation).
  • Schulung aller Mitarbeiter
  •     Überprüfung und Korrektur

Dokumentation

  • Ergänzen in Funktionsmatrix
  • Dokumentation der Schulung über Umgang mit Impfstoff
  • Anpassen der Vakzin-Abläufe
  • Führen der Aufzeichnungen (Temperatur, Annahmeprotokoll, …)

Das Ergänzungsmodul steht zur Verfügung. (für Verbundsmitglieder kostenlos)

Wir haben die Dokumentation so aufgebaut, dass der Ablauf bei „neu hinzukommenden“ Vakzinen nur ergänzt werden muss. Es sind keine neuen Dokumentationen notwendig.

Microsoft TEAMS – Verunsicherung

By | Allgemein, Startseite

Der Landesdatenschutzbeauftragte von Hessen hat am 31.03.2021 mitgeteilt, dass am 31.07.2021 die Duldung für Nutzung von Video-Konferenz-Systemen in Schulen abläuft. Link

Das hat auch bei Teilen von Unternehmen zu Verunsicherungen geführt. Im Folgenden hier eine Einordnung aus unserer Sicht.

Selbstverständlich kann diese Entscheidung auch Auswirkungen auf Unternehmen haben. Aber, es gibt keine bundeseinheitliche Sichtweise des Themas. Das wird schon aus der gegenteiligen Position in Rheinland-Pfalz sichtbar. Dort wurde die Duldung bis 2022 verlängert. Link

Interessant ist auch die Stellungnahme von Microsoft Link. In dem Beitrag hebt Microsoft stark auf dem Nutzen von MS TEAMS für die Organisation ab.

Insgesamt ist die Situation komplexer. Es geht eigentlich gar nicht um die Videokonferenzen, sondern um Microsoft 365.

Die Ausgangslage ist für die meisten Unternehmen, dass man an Microsoft 365 nicht mehr vorbeikommt.

  • Kleinstunternehmen nutzen häufig, schon aus Kosten- und Aufwandsgründen, die Cloud-Lösungen.
  • Kleinere Unternehmen haben oft Dienstleister, bei denen sie gehostet sind und von denen sie betreut werden. Auch dort ist meist MS im Einsatz.
  • Mittlere Unternehmen mit eigener IT-Abteilung haben noch ihre eigenen Server, doch die Grenzen verschwimmen. Die Zusammenarbeit mit Partnern (Kunden und Dienstleister) wird immer enger.

Generell ist eine effiziente Nutzung von Web-Shops und Homeoffice ohne Microsoft selten möglich.

Von Seiten des Datenschutzes und auch aus Sicht der Informationssicherheit muss man sich schon genau überlegen, wo man welche Daten wie speichert.

Zur Nutzung von Microsoft 365 gibt es als Einstieg gute Hilfestellungen, u.a. auch vom L-DSB in Hessen. Link

Sie als Verantwortlicher sind verpflichtet, dass Betroffenen-Daten in die USA abfließen. Die Deutschland-Cloud reicht nicht aus, da ein Zugriff durch staatlich Stellen in den USA immer noch möglich ist.

Fazit

Video-Konferenzen: Die Teilnehmer müssen sich der DSGVO-Problematik bewusst sein und freiwillig teilnehmen. Ein Ansatz kann die entsprechende Information in der Signatur der Einladung sein.

Microsoft 365: Das Thema bleibt schwierig. Wichtig ist die bewusste Entscheidung unter Berücksichtigung von Nutzen und Gefahr.

Datenlücke – Microsoft Exchange Server

By | Allgemein, Startseite

Anfang März wurde eine Lücke im E-Mail-Server von Microsoft bekannt. Hier wurde durch die Kombination von verschiedenen schon sehr lange bestehenden Lücken in die Server eingedrungen.

Viele tausend deutsche Server sind betroffen.

Fragen Sie bei Ihrem IT-Leiter bzw. bei Ihrem IT-Dienstleister nach.

Lassen Sie sich den Status bestätigen und dokumentieren Sie das Ergebnis.

Wichtig für Sie ist, wenn personenbezogene Daten betroffen sind, ist ein DATA-BREACH zu melden. Der DATA-BREACH ist innerhalb von 72 Stunden nach Bekanntwerden zu melden.

Link zum BSI

Sollten Sie von uns im Datenschutz betreut werden, beachten Sie unsere Informationen.

Es gibt bei den verschiedenen Landes-Datenschutzbeauftragten unterschiedliche Auffassungen zum Umgang mit dieser Art von Angriffen.

Gemeinsam ist: Wenn Betroffenendaten abgeflossen sind > Meldung

Variante: Verschiedene L-DSB fordern eine Meldung schon beim Eindringen in die Server.

Wir stoßen immer noch auf Unternehmen, die jetzt erst von den Dienstleistern über die Kontaminierung der Systeme informiert werden.

Fazit

Achtung, Thema prüfen.

Erste Verbundstreffen – digital

By | Allgemein, Startseite

Letzte Woche fanden die ersten Treffen der Verbünde aus dem Gesundheitswesen statt. Vielen Dank für die Teilnahme, alles hat gut geklappt.

Diesmal war das Hauptthema, dass wir den Austausch begonnen haben. Als Fazit kann ich sagen, wir sind sehr zufrieden.

Im Nachgang ist uns wichtig, dass wir Themen und Anregungen erhalten, die wir auf die Tagesordnung für das nächste Treffen setzen können. Hier wir es sicher fachspezifische Themen geben, aber auch z.B. Kurz-Inhalte zum Umgang mit der IT.

Hier noch ein interessanter Link für die Apotheken mit statistischen Zahlen 2020.

https://www.abda.de/aktuelles-und-presse/publikationen/detail/die-apotheke-zahlen-daten-fakten-2019/