Monatsarchiv :

September 2020

„Cybervorfälle stehen weltweit an der Spitze als das wichtigste Geschäftsrisiko für Unternehmen“ – ein Interview mit Wolf-Werner Alebrand (2/2) 1024 577 C4B

„Cybervorfälle stehen weltweit an der Spitze als das wichtigste Geschäftsrisiko für Unternehmen“ – ein Interview mit Wolf-Werner Alebrand (2/2)

Im Ranking von Geschäftsrisiken stehen Cybervorfälle erstmals an der Spitze als das wichtigste Geschäftsrisiko für Unternehmen weltweit. Im zweiten Teil unseres Interviews [lesen Sie hier Teil 1] erläutert Wolf-Werner Alebrand, Spezialist für Compliance- und Datenschutz-Management, welche Maßnahmen Firmen zum Schutz vor Cyberattacken treffen müssen und wie detailliert Informationssicherheitskonzepte sein sollten.

Herr Alebrand, mit der Umstellung auf Remote Work während der Corona-Pandemie trat auch das Thema Datenschutz wieder stärker in den Fokus. Wie detailliert sollte denn ein Informationssicherheitskonzept sein?

Wolf-Werner Alebrand: Versucht man, alles abzudecken, von den strategischen Zielen bis zur Frage, wie viele Ziffern ein Passwort enthalten sollte, dann kommt man schnell auf Konzeptumfänge, die dann niemand mehr lesen mag. Bewährt hat sich das sogenannte Zwiebelschalenmodell mit vier Vertraulichkeitsstufen, die es festzulegen und auszuarbeiten gilt. Die Sicherheitsanforderungen steigern sich von der äußeren Schale, dem öffentlich zugänglichen Bereich wie der Website, bis zu dem Hochsicherheitsbereich, beispielsweise geheimen Dokumenten. Es gilt immer, Zugänglichkeit gegen den definierten Schutzbedarf abzuwägen und dabei die Akzeptanz der Benutzer und die Usability im Blick zu behalten.

Die Schäden durch Cyberattacken nehmen immer größere Ausmaße an. Von welchen Schadensfällen und -höhen geht man aus?

Wolf-Werner Alebrand: Rund 100 Milliarden Euro soll der Schaden für deutsche Unternehmen durch Cyber-Angriffe betragen – und zwar pro Jahr. Diese Zahl ermittelte der IT-Branchenverband Bitkom Ende 2019. Im Ranking von Geschäftsrisiken stehen Cybervorfälle erstmals an der Spitze als das wichtigste Geschäftsrisiko für Unternehmen weltweit. Laut Allianz Risk Barometer 2020 verdrängen IT-Gefahren das Risiko einer Betriebsunterbrechung auf den zweiten Platz. Betriebsunterbrechung hatte seit 2013 den Spitzenplatz im Ranking inne, damals lag Cyber noch mit sechs Prozent der Antworten auf Platz 15. Beispielsweise richten sich Ransomware-Angriffe zunehmend nicht nur gegen große, sondern auch mittelständische und sogar kleine Unternehmen und die Forderungen bei Erpressungen steigen.

Welche Maßnahmen sollten Firmen zum Schutz vor Cyberattacken treffen?
Wolf-Werner Alebrand: Das ungeübte Verhalten der Mitarbeiter ist hier immer noch ein großes Risiko, denn sie sitzen hinter der Firewall des Unternehmensnetzwerkes. Deshalb gilt es, die Mitarbeiter zu informieren und zu stärken. Studien gehen davon aus, dass rund ein Viertel aller Datenverletzungen auf menschliches Versagen zurückgehen. Es genügt nicht, wenn die IT-Abteilung die Rahmenbedingungen schafft, den Rest aber den Mitarbeitern überlässt. Andersherum nützt selbst der beste Job der IT-Abteilung wenig, wenn die Mitarbeiter die Richtlinien nicht einhalten oder unvorsichtig sind. Letztlich ist die Cyber-Sicherheit in einem Unternehmen immer das Ergebnis der Leistung des gesamten Teams. Anders ausgedrückt heißt das: Jeder einzelne Mitarbeiter muss seinen Anteil zur Datensicherheit beitragen.

 

10 Tipps zur Cyber-Sicherheit

  1. Realistisches Risikobewusstsein aufbauen
  2. Starke Passwörter technisch erzwingen
  3. Wöchentliche Sicherungskopien machen
  4. Auf Sicherheitslücken schnell reagieren
  5. Sicherheitsupdates sofort installieren
  6. Sorgfalt bei den Administratoren-Rechten
  7. Mobile Geräte zusätzlich absichern
  8. Server mit 2-Faktor-Authentifizierung sichern
  9. Benutzerindividuelle Kennungen
  10. Schutz gegen Schadsoftware

 

 

Über Wolf-Werner Alebrand

Wolf-Werner Alebrand ist Spezialist für Compliance- und Datenschutz-Management und berät und unterstützt Unternehmen zu Themen des betrieblichen Risikomanagements und als Interimsmanager.

Wolf-Werner Alebrand auf LinkedIn und Xing.

 

„Corona ist ein Gegenspieler zum Datenschutz“ – ein Interview mit Wolf-Werner Alebrand (1/2) 1024 671 C4B

„Corona ist ein Gegenspieler zum Datenschutz“ – ein Interview mit Wolf-Werner Alebrand (1/2)

Zwei Jahre ist es jetzt her, dass die DSGVO viele Unternehmer zum Verzweifeln gebracht hat. Inzwischen ist zwar Ruhe eingekehrt, doch in den vergangenen 24 Monaten wurden erhebliche Bußgelder wegen Verstößen verhängt. Grund genug, den Scheinwerfer einmal wieder auf das Thema Datenschutz zu richten. Im Interview Wolf-Werner Alebrand, Spezialist für Compliance- und Datenschutz-Management.

 

Herr Alebrand, Ende Mai vor zwei Jahren trat die Datenschutzgrundverordnung (DSGVO) in Kraft. Wo stehen wir heute?

Wolf-Werner Alebrand: Obwohl die DSGVO bereits zwei Jahre vor ihrem Inkrafttreten im Jahr 2018 angekündigt wurde, schienen viele Unternehmen doch von ihr überrascht worden zu sein. Erst wenige Wochen, oft erst wenige Tage vorher, häuften sich auch bei mir die Anfragen, wie nun die Bestimmungen umzusetzen sind. Und bis heute haben viele Unternehmen noch nicht gänzlich ihre Hausaufgaben erledigt. Insgesamt mangelt es noch an Klarheit in der Anwendung, der Beratungsbedarf ist also hoch geblieben. Aber die zunächst befürchteten großen Abmahnwellen sind ausgeblieben.

Kann man schon eine Zwischenbilanz ziehen?

Wolf-Werner Alebrand: Die EU-Kommission zieht in ihrem Bericht aus dem Juni eine weitestgehend positive Bilanz der ersten zwei Jahre. [Anm. der Redaktion: nachzulesen hier]. Danach genießt die DSGVO national eine hohe Akzeptanz und wurde, mit Ausnahme von Slowenien, von den europäischen Mitgliedsstaaten in eigenes nationales Recht umgesetzt. Und auch international hat die DSGVO Schule gemacht. Beispielsweise haben Länder wie Japan oder Brasilien oder Staaten wie Kalifornien mit ihrem California Consumer Privacy Act die Regelungen adaptiert. Das macht die wirtschaftliche Zusammenarbeit einfacher.

 

Die drohenden Bußgelder aufgrund von Verstößen gegen die DSGVO können mit bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens ja erheblich sein. Wurden diese auch durchgesetzt?

Wolf-Werner Alebrand: Die Zahl der wirksamen Verfahren sind gestiegen. Aufsehen erregt haben beispielsweise die hohen Strafen für Unternehmen wie die Hotelkette Marriott in Höhe von 110 Millionen Euro oder Google in Höhe von 50 Millionen Euro. Auch in Deutschland gab es hohe Bußgelder. Die Deutsche Wohnen musste beispielsweise 14,5 Millionen Euro dafür zahlen, dass sie Mieterdaten nicht rechtzeitig gelöscht haben. Gute Gründe also, sich als Unternehmen intensiv mit der DSGVO auseinanderzusetzen.

 

Was hat sich Ihrer Ansicht nach seit Inkrafttreten der DSGVO zum Positiven hin verändert?

Wolf-Werner Alebrand: Mit Einführung der DSGVO hat sich auch das Bewusstsein über die Sensibilität von Daten verändert, das kann man auch leicht bei sich selbst feststellen. Datenschutz ist nicht nur „nice to have“, sondern ein Grundrecht. Und das kann jetzt besser durchgesetzt werden. Die Anforderungen an den Umgang mit personenbezogenen Daten wurden erheblich verschärft. Zudem ist der Datenschutz als Verkaufsargument angekommen, auch in Hinsicht auf Compliance sowie erste Zertifizierungen.

 

Es ist vielfach zu lesen, dass die EU-Verordnung speziell bei europäischen Unternehmen wie ein Katalysator für mehr und vor allem wirksamere IT-Sicherheit gesorgt hat. Inwiefern ist das so? Und: teilen Sie diese Ansicht?

Wolf-Werner Alebrand: Ich nenne es gerne den „heilsamen Druck der Gesetze“. Die angedrohten Bußgelder erzeugen den notwendigen Handlungsdruck, damit die Regeln auch umgesetzt werden. Ansonsten fragen sich viele Unternehmen: Warum kümmere ich mich überhaupt um den Datenschutz? Aus diesem Zwang heraus werden Projekte aufgesetzt und Prozesse unter die Lupe genommen, für die vorher oft nicht die Ressourcen bereitgestellt wurden. Insofern hat so ein Gesetz auch positive Nebeneffekte, das gilt auch für einzelne Bereiche wie die IT.

 

Mit der Corona-Pandemie wurden viele Arbeitsplätze quasi über Nacht an den heimischen Schreibtisch oder gar Küchentisch verlagert. Wie geht es dem Datenschützer damit?

Wolf-Werner Alebrand: Corona war zunächst einmal ein Gegenspieler zum Datenschutz. Viele Unternehmen mussten möglichst schnell ihre herkömmlichen Arbeitsprozesse umstellen. Nur wenige hatten aufgrund des finanziellen und zeitlichen Drucks die Zeit, auch noch passende Schulungen für ihre Mitarbeiter zu organisieren. Ad hoc wurden Videokonferenzlösungen eingesetzt und Messenger-Gruppen gegründet, private Hardware genutzt, häufig mangels ausreichender dienstlicher Laptops. Und Firmendokumente lagen am heimischen Küchentisch, zwischen den Schulaufgaben der Kinder. Alles Themen, bei denen sich dem Datenschützer die Nackenhaare sträuben. Unternehmen tun gut daran, im Sinne einer gezielten Prävention von Datenschutzverstößen auch für die Remote-Arbeit einige Vorgaben einzuführen. Angefangen von Arbeitsanweisungen zu dem Umgang mit Papierdokumenten im häuslichen Umfeld über Vorgaben zur IT-Sicherheit, beispielsweise dem Einsatz von Passwörtern, bis hin zu dem sicheren Zugriff auf den Unternehmensserver. Einen guten Überblick über notwendige Maßnahmen im Homeoffice bietet ein Dokument des Bayerischen Landesamtes für Datenschutz.

Lesen Sie im zweiten Teil unseres Interviews mit Wolf-Werner Alebrand mehr zur Frage, wie detailliert ein Informationssicherheitskonzept sein sollte und welche Maßnahmen Firmen zum Schutz vor Cyberattacken treffen müssen.

 

Über Wolf-Werner Alebrand

Wolf-Werner Alebrand ist Spezialist für Compliance- und Datenschutz-Management und berät und unterstützt Unternehmen zu Themen des betrieblichen Risikomanagements und als Interimsmanager.

Wolf-Werner Alebrand auf LinkedIn und Xing.

Wie sieht die Controlling-Organisation der Zukunft aus? Ein Interview mit Markus Aschauer 1024 775 C4B

Wie sieht die Controlling-Organisation der Zukunft aus? Ein Interview mit Markus Aschauer

Was beschäftigt Controller in Mittelstand und Konzern derzeit am dringlichsten? Fühlen sie sich auf die Veränderungen durch Digitalisierung und Automatisierung gut vorbereitet? Und mit welchem Mindset müssen Finance-Verantwortliche den anstehenden Veränderungsprozess angehen? Wir haben Finance-Verantwortliche aus unseren Benchmarking-Circles zu diesen Themen befragt.

Heute im Interview: Markus Aschauer, Leiter Buchhaltung und Controlling bei HAMBURG WASSER, Hamburgs Trinkwasserversorgungs- und Abwasserentsorgungsunternehmen.

Herr Aschauer, angesichts der fortschreitenden Digitalisierung – was ist derzeit Ihre dringlichste Frage zur Controlling-Organisation?

Markus Aschauer: Momentan sind wir bei HAMBURG WASSER mitten in dem Prozess, die Buchhaltung und das Controlling zu verschmelzen. Mit dieser neuen Organisationsstruktur wollen wir sowohl den aktuellen als auch den künftigen Aufgaben noch besser gerecht werden. Eine Herausforderung besteht darin, dass die internen und externen Anforderungen an die beiden Bereiche sehr unterschiedlich sind, die Qualifikationen und sicher in Teilen auch das Mindset der Mitarbeiter*innen sind es auch. Mich beschäftigt derzeit sehr stark, wie dieser Prozess in den nächsten Monaten sinnhaft gelingen kann. Zudem steht natürlich auch immer übergeordnet im Raum, wie sich das Controlling in der Zukunft entwickeln wird.

Gab es aus dem Benchmarking Circle zur Controlling-Organisation der Zukunft Erkenntnisse, die Ihnen bei Ihrer Fragestellung hilfreiche Impulse geben konnten?

Markus Aschauer: Auf jeden Fall. Es war extrem spannend zu hören, dass es Shell gelungen ist, weltweit jeweils einen Verantwortlichen für einen Prozess zu installieren. Wir haben 2.200 Mitarbeiter*innen und die Prozessverantwortung ist über den Konzern verteilt. Dass es also grundsätzlich möglich ist, die Entscheidungshoheit für einen Prozess auf eine Person zu konzentrieren, ist ein faszinierender Gedanke. Impulse für meine Fragestellung habe ich vor allem aus den Gesprächen mit den anderen Benchmarking-Teilnehmerinnen und Teilnehmern bekommen. Klar wurde wieder einmal: Die eine Lösung für meine Fragestellung, die passt, gibt es nicht. Sehr hilfreich ist es, neue, bedenkenswerte Ansätze im Teilnehmerkreis diskutieren zu können. Für meine Idee, zunächst für die neue Organisationsstruktur auf die Anforderungen der Zukunft gerichtete Leitplanken zu setzen, die Umsetzung aber nicht allein von mir aus zu denken, sondern gemeinsam mit den Kolleginnen und Kollegen zu entwickeln, habe ich viel Zustimmung bekommen. Das bestärkt mich, diesen Weg weiter zu gehen.

Das setzt ja auch ein bestimmtes Mindset voraus. Was denken Sie müssen Controller Ihrer Meinung nach künftig beherrschen?

Markus Aschauer: Die Automatisierung und Digitalisierung, auch in der Kreditoren- und Debitorenbuchhaltung, erfordert in Teilen andere Qualifikationen der Mitarbeiter*innen. Der Prozess muss verstanden werden, das System muss verstanden werden – das setzt den Willen zur Weiterentwicklung voraus, den Willen sich mit neuen Themen zu beschäftigen. Andere, oft jüngere Mitarbeiter*innen erwarten vielleicht, dass wir den Weg von einer klassischen zu einer agilen Organisation schneller gehen. Als Führungskraft muss ich den Mitarbeiter*innen aufzeigen, wo die Reise hingeht und gleichzeitig einen Raum schaffen, der die Weiterentwicklung fördert und ermöglicht, auch über die rein fachlichen Kenntnisse hinaus. Ich meine, dass mein Fokus viel mehr als bisher auf der Begleitung der Mitarbeiter*innen in dieser Entwicklung liegen wird. Dafür bin ich aber zunächst nicht ausgebildet. Als Führungskraft habe ich in meiner Karriere durchaus einiges an Handwerkszeug mitbekommen, was die fachliche Führung betrifft. Geht es allerdings um Themen wie Change Management und um die Weiterentwicklung der Mitarbeiter jenseits von Fachthemen, dann war da bisher vor allem der Personalbereich zuständig. Das ist eine neue Herausforderung, auf die ich mich als Controller einstellen muss.

Fühlen Sie sich persönlich gut vorbereitet auf die Veränderungen? Und was trägt die Mitarbeit im Facharbeitskreis von C4B dazu bei?

Markus Aschauer: Sowohl fachlich als auch persönlich schätze ich die C4B Benchmarking Circle sehr. Denn es geht hier nicht, wie beispielsweise in unseren Branchentreffen, ausschließlich um den Vergleich und die Interpretation von Benchmarks, wir pflegen auch einen Austausch zu Prozessen und Themen und individuellen Fragestellungen – und zwar einen sehr offenen und vertrauensvollen Austausch. Das Lernen von den Erfahrungen anderer macht die C4B Facharbeitskreise für mich sehr wertvoll.

 

Über Markus Aschauer
Markus Aschauer ist seit 2015 Leiter Controlling bei HAMBURG WASSER, Hamburgs Trinkwasserversorgungs- und Abwasserentsorgungsunternehmen und seit Anfang 2020 auch für die Buchhaltung des Konzerns verantwortlich. Davor war er in diversen Fach- und Führungspositionen im Finanz- und Rechnungswesen bei TÜV SÜD und der IBM tätig. Seine berufliche Laufbahn hat er als Berater im Finanz- und Rechnungswesen bei PwC Consulting begonnen. Herr Aschauer wohnt mit seiner Frau und den beiden Kindern in Buxtehude.

In seinem Team arbeiten 18 Controller*innen und 40 Buchhalter*innen. HAMBURG WASSER ist mit rund 2.200 Mitarbeiter*innen nach den Berliner Wasserbetrieben das zweitgrößte kommunale Wasserver- und Abwasserentsorgungsunternehmen Deutschlands.

Markus Aschauer auf XING und LinkedIn.