Rat­ge­ber: Da­ten­si­cher­heit

Mar­co Pe­ters spürt ty­pi­sche Da­ten­lö­cher in Agen­tu­ren auf

PAGE - - Inhalt - Mar­co Pe­ters bringt ger­ne Ord­nung in chao­ti­sche Struk­tu­ren – frü­her als He­ad of IT in ei­ner der größ­ten Krea­ti­vagen­tu­ren Deutsch­lands, heu­te als Grün­der und ge­schäfts­füh­ren­der Ge­sell­schaf­ter in sei­nem Un­ter­neh­men So­lu­ti­on­bar in München. ↗ www.so­lu­ti­on­bar.

● Krea­ti­vi­tät und Da­ten­si­cher­heit – das sind zwei Be­grif­fe, die nicht be­son­ders oft mit­ein­an­der as­so­zi­iert wer­den. Krea­ti­vi­tät, das ist Ide­en-ping­pong oh­ne Ein­schrän­kun­gen, den Ge­dan­ken frei­en Lauf las­sen, her­um­spin­nen und Neu­es er­schaf­fen. Da­ten­si­cher­heit hin­ge­gen klingt so ziem­lich nach dem Ge­gen­teil. Wenn hier von Krea­ti­vagen­tu­ren die Re­de ist, sind kei­nes­falls nur die gro­ßen Netz­werkagen­tu­ren ge­meint. Das »Rück­grat der Agen­tur­bran­che« ist die Mit­tel­schicht – und gera­de die­se kann durch ho­he Scha­den­er­satz­zah­lun­gen im Fal­le ei­nes Da­ten­ver­lusts in er­heb­li­che fi­nan­zi­el­le Schief­la­ge ge­ra­ten.

Den­noch hat das The­ma Da­ten­si­cher­heit in den letz­ten Jah­ren kaum ei­nen Krea­ti­ven hin­ter dem Ofen her­vor­ge­lockt. Doch lang­sam wen­den die Auf­trag­ge­ber das Blatt – denn die­se prü­fen Agen­tu­ren mit­tels Au­dit. Bei die­sem Ver­fah­ren wird be­gut­ach­tet, ob Pro­zes­se und Da­ten­si­cher­heit in der Krea­ti­vagen­tur den An­for­de­run­gen der »In­dus­tri­e­norm« ent­spre­chen. Frü­her reich­te ei­ne Un­ter­schrift im Ver­trag. Heu­te, in Zei­ten zu­neh­men­der Cy­ber­kri­mi­na­li­tät, las­sen Auf­trag­ge­ber die Ein­hal­tung ih­rer ge­stell­ten An­for­de­run­gen von ex­ter­nen It-di­enst­leis­tern über­prü­fen.

Spä­tes­tens jetzt müs­sen auch die Krea­ti­ven ein­se­hen, dass an pro­fes­sio­nel­len It-struk­tu­ren kein Weg mehr vor­bei­führt. Vie­le glau­ben, dass das The­ma In­for­ma­ti­ons­si­cher­heit bei ih­nen schon »ir­gend­wie passt«. Doch ich wet­te, dass die meis­ten Agen­tu­ren min­des­tens drei der fol­gen­den sie­ben Da­ten­lö­cher drin­gend stop­fen müss­ten. Die pas­sen­den Tipps – de­ren Um­set­zung üb­ri­gens nicht viel kos­tet – lie­fern wir Ih­nen je­weils di­rekt da­zu.

1. Tat­ort Fest­plat­te

Der Prä­sen­ta­ti­ons­ter­min beim Kun­den war er­folg­reich, und der Pro­jekt­ma­na­ger nimmt ein Ta­xi zur nächs­ten Be­spre­chung. Erst dort be­merkt er, dass er sei­nen Lap­top im Wa­gen ver­ges­sen hat. Der Su­per­gau! Nicht nur die Hard­ware ist weg, auch al­le sen­si­blen Da­ten könn­ten in frem­de Hän­de ge­lan­gen. Je­mand mit bö­sen Ab­sich­ten könn­te je­der­zeit ex­ter­ne Fest­plat­ten an den Rech­ner hän­gen und ge­zielt Da­ten klau­en. Der Log-in beim Rech­ner­start schützt da­vor nicht. Bei den ei­ge­nen Da­ten ist das nur är­ger­lich. Bei Kun­den­da­ten dro­hen für die Nicht­ein­hal­tung von Ge­heim­hal­tungs­er­klä­run­gen, so­ge­nann­ten Non-dis­clo­sure Agree­ments (NDA), nicht sel­ten ho­he Ver­trags­stra­fen. Da­von ab­ge­se­hen stellt der Ver­lust von Kun­den­da­ten ei­nen Ver­stoß ge­gen das Bun­des­da­ten­schutz­ge­setz dar. Die Lö­sung: Al­le Fest­plat­ten las­sen sich mit Soft­ware­lö­sun­gen ver­schlüs­seln. Bei App­le- Com­pu­tern ist ei­ne Fest­plat­ten­ver­schlüs­se­lung im Be­triebs­sys­tem in­te­griert. Das funk­tio­niert hier mit ei­nem Klick und dem Log-in-kenn­wort: Man muss nur die vor- in­stal­lier­te Fest­plat­ten­ver­schlüs­se­lung Fi­lev­ault in den Si­cher­heits­ein­stel­lun­gen ak­ti­vie­ren. Da­für be­nö­tigt man we­der Tech­nik-know-how, noch muss man die teils kom­pli­zier­ten Ver­schlüs­se­lungs­tech­ni­ken ver­ste­hen. Nur ei­nes soll­te auf kei­nen Fall pas­sie­ren: Wird das Log-in-kenn­wort ver­ges­sen, gibt es kei­ne Mög­lich­keit, die Fest­plat­te je­mals wie­der zu ent­schlüs­seln. Auch der Aus­bau der Fest­plat­te, der Tar­get-mo­dus, ein Ad­min-kenn­wort oder Ähn­li­ches kön­nen hier nicht mehr hel­fen – ver­schlüs­selt ist ver­schlüs­selt.

2. Tat­ort E-mail

Der über­aus hilfs­be­rei­te Ta­xi­fah­rer hat den Lap­top zu sei­nem Be­sit­zer zu­rück­ge­bracht. Glück ge­habt! Jetzt muss die­ser die Prä­sen­ta­ti­on vom Vor­mit­tag an den Kun­den sen­den. Da­zu schreibt er ei­ne E-mail und fügt die Prä­sen­ta­ti­on mit den ver­trau­li­chen In­for­ma­tio­nen als An­hang an. Ein Mo­ment der Unacht­sam­keit, ein Ver­tip­per – und schon ist die E-mail an ei­nen an­de­ren Kontakt raus­ge­gan­gen. Al­le sen­si­blen Da­ten, in­no­va­ti­ven Ide­en und Pro­jekt­de­tails lie­gen nun bei ei­ner pro­jekt­frem­den Per­son. Wenn man den Emp­fän­ger nicht zu­fäl­lig sehr gut kennt und den Faux­pas im Nach­hin­ein durch ei­nen An­ruf und an­schlie­ßen­des Lö­schen gera­de bie­gen kann, hat man ein Pro­blem.

Zu­dem ist ein Ver­tip­per in Ei­le nicht der ein­zi­ge Fall­strick. Bei der E-mail-kom­mu­ni­ka­ti­on kann ei­ne Men­ge schief­ge­hen: E-mails wer­den au­to­ma­tisch wei­ter­ge­lei­tet, weil der Emp­fän­ger im Ur­laub ist, die Au­to­fill-funk­ti­on des E-mail-pro­gramms setzt ei­nen fal­schen Emp­fän­ger ein, ein Adress­buch­ein­trag wur­de feh­ler­haft an­ge­legt und so wei­ter. Auch die ei­ge­ne Un­kon­zen­triert­heit kann gro­be Feh­ler ver­ur­sa­chen, et­wa wenn man in ei­ner in­ter­nen Mail, in der es um ei­nen Kun­den geht, den Kun­den ver­se­hent­lich selbst als Emp­fän­ger an­gibt. Die Lö­sung: Die ein­fachs­te Mög­lich­keit ist, E-mailAn­hän­ge zu ver­schlüs­seln. Da­zu spei­chert man die Da­tei als PDF und wählt wäh­rend­des­sen die Op­ti­on »Ver­schlüs­seln«. Lan­det ei­ne E-mail mit ei­nem der­art ge­si­cher­ten An­hang dann bei ei­nem fal­schen Emp­fän­ger, kann die­ser über­haupt nichts da­mit an­fan­gen. Wich­tig ist hier­bei na­tür­lich, dass das Pass­wort zur Da­tei nie­mals in der­sel­ben E-mail mit­ge­sen­det wer­den darf. Dann wä­re die gan­ze Ak­ti­on hin­fäl­lig. Am bes­ten, man schickt das zu­ge­hö­ri­ge Pass­wort über ei­nen an­de­ren Ka­nal, et­wa per SMS.

3. Tat­ort Dru­cker

Den Lap­top im Ta­xi lie­gen ge­las­sen, den fal­schen EMail-emp­fän­ger ge­wählt – wirk­lich kein gu­ter Tag. Doch am Ar­beits­platz lau­ern wei­te­re Si­cher­heits­fal­len. Dies­mal geht es um die Bud­get- und Res­sour­cen­pla­nung ei­nes Pro­jekts. Wäh­rend die sen­sib-

Der Ver­lust von Kun­den­da­ten stellt ei­nen Ver­stoß ge­gen das Bun­des­da­ten­schutz­ge­setz dar.

len Da­ten an den Agen­tur­dru­cker ge­sen­det wer­den, kommt ein wich­ti­ger An­ruf – und schon sind die Aus­dru­cke ver­ges­sen. Die­se lie­gen jetzt für je­den Mit­ar­bei­ter frei zu­gäng­lich in der Pa­pier­aus­ga­be des Dru­ckers. Nicht aus­zu­den­ken, was pas­sie­ren kann, wenn die Pla­nung in fal­sche Hän­de ge­rät.

Vor­sicht ge­bo­ten ist zu­dem beim Scan­nen von Ori­gi­nal­do­ku­men­ten. Gro­ße Dru­cker spei­chern ge­scann­te For­mu­la­re auf der in­ter­nen Fest­plat­te. Das be­deu­tet: Zu­letzt ge­druck­te Do­ku­men­te könn­ten er­neut aus­ge­druckt wer­den. Wird der Dru­cker al­so wei­ter­ge­ge­ben (zum Bei­spiel bei ei­ner Fir­men­über­nah­me) oder zu­rück an die Lea­sing­fir­ma ge­lie­fert, sind die zu­letzt ge­druck­ten Auf­trä­ge wei­ter­hin ab­ruf­bar – Glei­ches kann für Fo­to­ko­pi­en gel­ten.

Ei­ne wei­te­re eben­so un­si­che­re Funk­ti­on bei Dru­ckern: ge­scann­te Do­ku­men­te di­rekt als E­mail ver­sen­den. Da wird der Dru­cker zum E­mail­cli­ent, der al­le Scans un­ver­schlüs­selt ver­sen­det und oft auch zen­tral spei­chert. Ist die­se Funk­ti­on ak­ti­viert, kön­nen Ha­cker das aus­nut­zen. Die Lö­sung: Bei Druck­auf­trä­gen soll­te man in den Druck­ein­stel­lun­gen im­mer die Op­ti­on »ge­schütz­te Aus­ga­be« wäh­len. Das führt da­zu, dass nicht nur die Da­tei erst dann aus­ge­druckt wird, wenn der be­tref­fen­de Mit­ar­bei­ter sei­ne PIN am Dru­cker ein­ge­ge­ben hat, auch die Druck­da­tei wird nicht im Dru­cker ge­spei­chert. Die Ein­stel­lung für »ge­schütz­te Aus­ga­be« fin­det sich in der Re­gel in den dru­cker­spe­zi­fi­schen Ein­stel­lun­gen, wo bei­spiels­wei­se auch das Pa­pier­for­mat ein­ge­stellt wird.

Beim Scan­nen soll­ten die Funk­tio­nen »Scan2mail« und »Scan2fol­der« nie­mals für ver­trau­li­che Do­ku­men­te ver­wen­det wer­den. Viel bes­ser ist hier ein Do­ku­men­ten­scan­ner, den man via USB an den Rech­ner an­schlie­ßen kann. Des Wei­te­ren soll­te man stets auf ei­ne ak­tu­el­le Dru­cker­soft­ware ach­ten, um Si­cher­heits­lü­cken aus­zu­schlie­ßen.

4. Tat­ort Smart­pho­ne

Im Agen­turall­tag pas­siert es im­mer wie­der: Man ver­legt sein Smart­pho­ne oder lässt es im Kon­fe­renz­raum lie­gen, weil schon bald das nächs­te Mee­ting be­ginnt. Oder man ver­gisst das gu­te Stück nach ei­nem Ter­min. Wer das Han­dy fin­det, drückt dann meist in­tui­tiv die Po­wer­tas­te. Ist kein Sperr­code ak­ti­viert, lässt sich über den Postein­gang schnell her­aus­fin­den, wem das Smart­pho­ne ge­hört.

Fin­det ein Kol­le­ge das Smart­pho­ne, ist das halb so schlimm. Ist es ein Agen­tur­kun­de, wird auch er den Be­sit­zer des Smart­pho­nes aus­fin­dig ma­chen wol­len. Un­güns­tig, wenn dann in­ter­ne E­mails – viel­leicht so­gar zum lau­fen­den Pro­jekt – sicht­bar wer­den. Al­so: Sper­re ak­ti­vie­ren! Doch Ach­tung: Das ei­ge­ne Ge­burts­da­tum bie­tet kei­nen aus­rei­chen­den Schutz. Die Lö­sung: Nur si­che­re PINS und Co­de­sper­ren auf sämt­li­chen be­ruf­lich ge­nutz­ten Ge­rä­ten bie­ten ech­ten Schutz vor frem­den Zu­grif­fen. Der Co­de soll­te mög­lichst sinn­frei sein und nicht mit dem Be­sit­zer in Ver­bin­dung ge­bracht wer­den kön­nen. Au­ßer­dem soll­te sich die Sper­re nach kur­zer Zeit oh­ne Nut­zung von selbst ak­ti­vie­ren.

Wer noch si­che­rer sein möch­te, kann al­le in­stal­lier­ten Apps auf Zu­griffs­rech­te über­prü­fen. Denn vie­le Apps kön­nen zum Bei­spiel stan­dard­mä­ßig auf die Kon­tak­te zu­grei­fen. Wer weiß schon genau, was die Be­trei­ber mit die­sen Da­ten ma­chen dür­fen? Des­halb soll­te man Apps nur aus of­fi­zi­el­len Sto­res her­un­ter­la­den, wo sie vor­her auf Si­cher­heit ge­prüft wer­den.

5. Tat­ort Ser­ver

In vie­len Agen­tu­ren kön­nen die meis­ten Mit­ar­bei­ter oh­ne Pro­ble­me auf den Ser­ver zu­grei­fen und ha­ben so even­tu­ell Ein­blick in Pro­jek­te, an de­nen sie nicht ar­bei­ten oder die so­gar ge­heim sind. Selbst bei ein­ge­schränk­ter Ser­ver­frei­ga­be las­sen sich ein­zel­ne Da­ten ab­ru­fen (et­wa un­ver­schlüs­selt ab­ge­leg­te Bild­da­tei­en), wenn ei­nem pro­jekt­frem­den Mit­ar­bei­ter et­wa ver­se­hent­lich die Frei­ga­be er­teilt wur­de. Die Lö­sung: Ge­ne­rell reicht ei­ne Zu­griffs­steue­rung für ei­ne Ser­ver­frei­ga­be »Pro­jekt XY« al­lein nicht aus. Kommt es hier zu Rech­te­pro­ble­men, er­hält ein Mit­ar­bei­ter nicht nur Zu­griff, son­dern kann so­gar al­le Da­tei­en öff­nen und ver­än­dern, so­fern die­se nicht mit ei­nem Pass­wort ge­spei­chert sind. Je­de sen­si­ble Da­tei muss al­so im­mer – egal, wo sie ge­spei­chert ist – mit ei­nem Pass­wort­schutz ver­se­hen sein.

Bei Word, Ex­cel oder Po­wer­point ist das kein Pro­blem. Schwie­rig wird es, wenn De­si­gner mit In­de­sign, Pho­to­shop et ce­te­ra ar­bei­ten und da­bei mit sen­si­blen In­for­ma­tio­nen um­ge­hen. Die­se Da­tei­en las­sen sich nicht mit ei­nem Pass­wort schüt­zen. Hier gibt es zwei Mög­lich­kei­ten: Ent­we­der man nutzt ei­nen Ex­t­ra­ser­ver nur für das Pro­jekt – oder ei­nen ge­schütz­ten Con­tai­ner, der auf dem ei­ge­nen Ser­ver liegt. Auf die­sen kön­nen dann nur am Pro­jekt be­tei­lig­te Mit­ar­bei­ter per Pass­wort zu­grei­fen.

6. Tat­ort Cloud

Die Zeit rennt, denn der Ab­ga­be­ter­min für ein Pro­jekt nä­hert sich dra­ma­tisch. Es hat ewig ge­dau­ert, den zur Auf­ga­be ge­hö­ren­den Image­film zu ren­dern, jetzt muss die­ser auch noch in die Cloud ge­la­den wer­den. Die Uhr tickt. Für das Fi­le­sha­ring über die Cloud wer­den oft An­bie­ter wie Drop­box oder We­trans­fer ge­nutzt. Doch Stopp! Genau wie beim E­mail­ver­kehr gilt hier: Was un­ver­schlüs­selt ver­sen­det wird, kann in fal­sche Hän­de ge­lan­gen. Und das war’s dann! Die Lö­sung: Cloud­ba­sier­te Da­ten­aus­tausch­pro­gram­me kön­nen be­den­ken­los ge­nutzt wer­den, so­fern die Da­tei­en pass­wort­ge­schützt sind und das zu­ge­hö­ri­ge Kenn­wort se­pa­rat ver­schickt wird. Für Agen­tu­ren mit Groß­kun­den ist es al­ler­dings durch­aus sinn­voll, auf Soft­ware für das Spei­chern von Da­ten auf dem ei­ge­nen Ser­ver zu­rück­zu­grei­fen – zum Bei­spiel own­cloud. Hier wer­den au­ßer­dem zwei Flie­gen mit ei­ner Klap­pe ge­schla­gen: Zum ei­nen sind Ser­vices wie Drop­box oder We­trans­fer in den Da­ten­schutz­richt­li­ni­en von Kun­den häu­fig nicht er­laubt be­zie­hungs­wei­se die An­bie­ter so­gar in der Fi­re­

Für das Fi­le­sha­ring über die Cloud gilt genau wie beim E-mailVer­kehr: Was un­ver­schlüs­selt ver­sen­det wird, kann in fal­sche Hän­de ge­lan­gen.

wall des Kun­den ge­sperrt. Si­che­rer ist der ei­ge­ne Ser ver plus Frei­ga­be­er­tei­lung. Selbst­ver­ständ­lich muss auch bei der Frei­ga­be­er­tei­lung auf ent­spre­chen­de Si­cher­heits­vor­keh­run­gen (sie­he »Tat­ort EMail«) ge­ach­tet wer­den.

Zum an­de­ren punk­ten Di­ens­te wie own­cloud in Sa­chen Schnel­lig­keit: Wenn das Da­ten­aus­tausch­sys­tem auf dem ei­ge­nen Ser­ver liegt, ent­fal­len lan­ge Upload­zei­ten und Ab­ga­be­ter­mi­ne las­sen sich deut­lich ent­spann­ter ein­hal­ten. Der Kun­de lädt sich dann ein­fach die ent­spre­chen­den Da­tei­en vom Agen­tur­ser­ver her­un­ter.

7. Tat­ort Zet­tel­wirt­schaft

End­lich Wochenende, das letz­te Mee­ting ist vor­bei, al­le wol­len schnell nach Hau­se. Im Kon­fe­renz­raum ste­hen aber im­mer noch die Ar­beits­ma­te­ria­li­en zum ak­tu­el­len Pro­jekt: Mood­boards, Auf­stel­ler mit Lo­go­ent­wür­fen und Post-it-stra­te­gie­schrit­te an der Wand.

Da liegt nun al­so das neue Lo­go für den Kun­den im glä­ser­nen Mee­tin­g­raum wie auf dem Prä­sen­tier­tel­ler – das gan­ze Wochenende. Be­triebs­frem­de Per­so­nen, die Zu­gang zum Ge­bäu­de ha­ben, kön­nen oh­ne Wei­te­res al­les in Ru­he an­schau­en. Am Mon­tag sind wie­der ei­ni­ge Kun­den­ter­mi­ne in der Agen­tur an­ge­setzt, der ers­te schon um 8:30 Uhr – wenn nie­mand auf­räumt, se­hen auch pro­jekt­frem­de Kun­den die Ent­wür­fe. Noch schlim­mer: Die­sen wird schnell klar, wie hier mit Ge­heim­hal­tung um­ge­gan­gen wird. Die Lö­sung: In Krea­ti­vagen­tu­ren ist nichts sinn­vol­ler als ei­ne Cle­an-desk-po­li­cy. Al­le Mit­ar­bei­ter müs­sen da­für Sor­ge tra­gen, dass die Schreib­ti­sche leer und die Ar­beits­ma­te­ria­li­en un­ter Ver­schluss ge­hal­ten wer­den. Was online ein Pass­wort­schutz leis­tet, pas­siert off­line über ab­ge­schlos­se­ne Schrän­ke oder Räu­me. »Da­ten­müll« wie Aus­dru­cke, die nicht mehr ge­braucht wer­den, kom­men erst in den Schred­der und dann in Si­cher­heits­con­tai­ner.

Fa­zit: Die Mit­ar­bei­ter sind das größ­te Ri­si­ko

Für das Stop­fen von Si­cher­heits­lü­cken in Krea­ti­vagen­tu­ren braucht es kei­nen Fach­mann. Oft­mals sind es klei­ne Din­ge, die wi­der bes­se­res Wis­sen im All­tag ver­nach­läs­sigt wer­den – wie et­wa die Co­de­sper­re im Smart­pho­ne. Je­de Agen­tur soll­te des­halb das The­ma In­for­ma­ti­ons­si­cher­heit ganz oben auf ih­re Agenda set­zen. Mit ein paar Hand­grif­fen ist viel ge­tan, und man ris­kiert we­der Da­ten­klau noch ho­he Ver­trags­stra­fen.

Bei al­len Si­cher­heits­fak­to­ren gilt: Den meis­ten Mit­ar­bei­tern fehlt das Be­wusst­sein für das The­ma Da­ten­si­cher­heit. Sie öff­nen E-mail-an­hän­ge von un­be­kann­ten Ab­sen­dern (Stichwort: Schad­soft­ware), ru­fen sen­si­ble Da­ten über Ti­sche hin­weg durch den Raum und ge­hen sorg­los mit Pass­wör­tern um. Die­se wer­den gern in Ka­len­dern oder Adress­bü­chern no­tiert, am Te­le­fon buch­sta­biert – und nicht sel­ten ver­wen­den Mit­ar­bei­ter für al­le An­wen­dun­gen (auch für die pri­va­ten) das­sel­be Pass­wort, das sie nie än- dern. Mit­ar­bei­ter brau­chen des­halb kla­re Li­ni­en, an die es sich zu hal­ten gilt – et­wa Richt­li­ni­en, Vor­ga­ben und da­zu pas­sen­de Schu­lun­gen, die ih­nen das nö­ti­ge Know-how ver­mit­teln.

Re­gel­mä­ßi­ge Si­cher­heits­schu­lun­gen im Mit­ar­bei­ter­kreis, die im­mer wie­der die Acht­sam­keit er­hö­hen, ha­ben sich be­währt. Vie­les kann man nicht oft ge­nug sa­gen. Ab ei­ner ge­wis­sen Agen­tur­grö­ße emp­fiehlt es sich, ei­nen Mit­ar­bei­ter zu be­nen­nen, der ei­ne Fort­bil­dung zum »In­for­ma­ti­ons­si­cher­heits­be­auf­trag­ten« macht und sich dann zen­tral um das The­ma küm­mert, re­gel­mä­ßig Tipps gibt und Schu­lun­gen für Mit­ar­bei­ter an­bie­tet. Steht ein Au­dit an, soll­te zu­sätz­lich Ex­per­ten­hil­fe in An­spruch ge­nom­men wer­den. Hier geht die Über­prü­fung noch ei­nen Schritt wei­ter, und ein Fach­mann nimmt al­le tech­ni­schen Si­cher­heits­vor­keh­run­gen ge­nau­es­tens un­ter die Lu­pe.

Was noch nicht oft vor­kommt – aber in Zu­kunft zu­neh­men wird – ist, dass ein Kun­de ei­nen Auf­trag nur an ei­ne Krea­ti­vagen­tur ver­gibt, so­fern die­se ein Iso-27001-zer­ti­fi­zier­tes In­for­ma­ti­on Se­cu­ri­ty Ma­nage­ment Sys­tem (ISMS) nach­wei­sen kann. Das be­trifft vor al­lem Krea­ti­vagen­tu­ren, die bei­spiels­wei­se für Kun­den aus dem Au­to­mo­ti­ve-be­reich ar­bei­ten. Da die­se For­de­rung aber noch nicht so häu­fig ge­stellt wird, ha­ben wir uns bei So­lu­ti­on­bar die Lö­sung des »MI­NI-ISMS« aus­ge­dacht. Wie bei der Ein­füh­rung ei­nes »rich­ti­gen« ISMS geht es hier­bei um die Er­stel­lung von Richt­li­ni­en, um Si­cher­heits­schu­lun­gen und um Pro­zes­se zur kon­ti­nu­ier­li­chen Ver­bes­se­rung der Si­cher­heits­maß­nah­men. Das MI­NI-ISMS hat bei vie­len Au­dits, die wir be­glei­tet ha­ben, kom­plett aus­ge­reicht – mit dem Vor­teil, dass die Kos­ten bei nur et­wa der Hälf­te ei­nes zer­ti­fi­zier­ten ISMS lie­gen. Soll­te ir­gend­wann dann ei­ne rich­ti­ge ISO-ZER­ti­fi­zie­rung er­for­der­lich sein, kann auf das MI­NI-ISMS auf­ge­baut wer­den. Mar­co Pe­ters (nik)

Wenn nie­mand auf­räumt, se­hen auch pro­jekt­frem­de Kun­den die Ent­wür­fe. Die­sen wird schnell klar, wie hier mit Ge­heim­hal­tung um­ge­gan­gen wird.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.