Das Magazin der Bitkom Akademie
Dezember 2012
newsline 3 Seiten Seminarübersicht!
Sind Sie sicher?
IT-Sicherheit – eine ständige Herausforderung ab Seite 04
Online-Seminare für KMU –
Bitkom Akademie startet BMWi-gefördertes Projekt zu IT-Sicherheit
Smart Meters kommen – … mit Sicherheit? Seite 08
Seite 22
Holen Sie sich jetzt die Newsline kostenlos ® auf Ihr iPad !
Schnellerer Zugriff • Klare Orientierung • Mehr Multimedia • Mehr Möglichkeiten
Um in den Genuss der digitalen, interaktiven Ausgabe zu kommen, laden Sie einfach die Newsline im Apple App StoreSM kostenlos auf Ihr iPad. Wir wünschen Ihnen viel Spaß, nützliche Informationen und gute Unterhaltung mit unserer Newsline-Magazin-App für das iPad!
iPad® und App StoreSM sind eingetragene Marken der Apple Inc., Kalifornien, USA
Newsline | Dezember 2012
Editorial
Seite
2|3
Inhalt Schwerpunktthema: IT-Sicherheit
Sind Sie sicher? Anja Olsok
Geschäftsführung
Liebe Leser, eine aktuelle Umfrage des BITKOM e. V. vom Oktober 2012 hat ergeben: Viele Arbeitgeber vernachlässigen den Schutz vor Computerkriminalität und lassen ihre Mitarbeiter mit dem Thema IT-Sicherheit allein. Über 20 Prozent der Beschäftigten sagen, dass ihr Arbeitgeber keinerlei Vorgaben zur Verhinderung von Computerkriminalität macht. Vier von zehn Mitarbeitern bekommen in Sachen IT-Sicherheit nicht die notwendige Unterstützung von ihren Arbeit gebern. Vor allem viele kleine und mittelständische Unternehmen unterschätzen die Risiken durch Computer- und Internetkriminalität. Das sind erschreckende Zahlen. Unsere aktuelle NewslineAusgabe widmen wir daher dem Schwerpunktthema „ITSicherheit“. Wir wollen mit den Beiträgen in diesem Heft dazu ermutigen und ermuntern, sich verstärkt mit ITSicherheit auseinanderzusetzen. Dazu passt die Kooperation, die die Bitkom Akademie gerade mit dem Bundesministerium für Wirtschaft und Technologie (BMWi) eingegangen ist. Das BMWi fördert Maßnahmen zur IT-Sicherheit bei KMU. Dazu haben wir eine Reihe von kostenfreien Online-Seminaren für Geschäftsführer, Mitarbeiter und IT-Fachkräfte aufgesetzt. Denn aus unserer Sicht ist der richtige Umgang der Mitarbeiter mit Computern, mobilen Geräten und Internet eine zentrale Voraussetzung, um die Gefahren für die Unternehmen einzudämmen. Mehr Informationen zur Kooperation und zum kompletten Online-Seminar-Programm finden Sie auf den Seiten 08 bis 11. So wünsche ich Ihnen beim Lesen dieser Ausgabe nicht nur viel Freude, sondern auch die Initialzündung, mehr Zeit in Ihre IT-Sicherheit zu investieren. Mit herzlichen Grüßen Ihre Anja Olsok
IT-Sicherheit – eine ständige Herausforderung
ab Seite 04
„IT-Sicherheit – eine ständige Herausforderung für KMU“ Seite 04 Raus aus der Tekki-Ecke – Informationssicherheit ist eine Managementaufgabe
Seite 06
Online-Seminare für KMU – Bitkom Akademie startet BMWi-gefördertes Projekt zu IT-Sicherheit
Seite 08
Themen der BMWi-geförderten Online-Seminare für KMU
Seite 10
Sicherheitstechnologie hält Nutzen und Risiken in der Balance
Seite 12
Cybersecurity … … warum auch kleine Unternehmen sich schützen müssen
Seite 18
IT-Compliance im Outsourcing Tipps für erfolgreiche Projekte
Seite 20
Weitere Themen
Smart Meters kommen – mit Sicherheit?
Seite 22
Im Gespräch mit Prof. Dr. Hermann Eul
Seite 24
Impressum
Seite 25
Zeit zum Handeln – Burn-out in der IT-Branche vermeiden
Seite 26
IQuiz
Seite 31
Seminarübersicht
Seite 28
Seite
4 | 5
Newsline | Dezember 2012
„IT-Sicherheit – eine ständige Heraus forderung für KMU“ Hans-Joachim Otto ist Parlamentarischer Staatssekretär beim Bundesministerium für Wirtschaft und Technologie (BMWi). Wir haben ihn gefragt, wie er die Lage der IT-Sicherheit in der deutschen Wirtschaft beurteilt und welche Bedeutung das Thema seines Erachtens vor allem für kleine und mittlere Unternehmen hat. geworden. Doch mit der steigenden Abhängigkeit von der IT wachsen auch die Gefahren und Risiken. Die uns beinahe täglich erreichenden Nachrichten über Hackerangriffe belegen, wie wichtig es ist, die IT zu schützen und sie sicherheitsbewusst einzusetzen. Deshalb haben wir die Task Force „IT-Sicherheit in der Wirtschaft“ aufgesetzt. Sie ist ein zentraler Bestandteil der Cyber-Sicherheitsstrategie der Bundesregierung und als gemeinsame Initiative mit der Wirtschaft konzipiert.
Foto: Vladislav Kochelaevs / Fotolia.com
Bitkom Akademie: Herr Staatssekretär Otto, das Bundeswirtschafts ministerium hat eine Task Force zum Thema „IT-Sicherheit in der Wirtschaft“ gestartet. Warum? Hans-Joachim Otto: Ein modernes Unternehmen, gleich welcher Größe und Branche, lässt sich ohne die Nutzung von Informationstechnologien (IT) nicht mehr erfolgreich führen. Denn IT ist für viele Unternehmen eine unersetzliche Plattform ihrer Wirtschaftstätigkeit
Bitkom Akademie: Wie bedeutend ist IT-Sicherheit für Unternehmen? Hans-Joachim Otto: Durch unzureichende Sicherheitsvorkehrungen können IT-Systeme schnell zum Einfallstor für den Diebstahl elektronischer Daten oder IT-Attacken werden. Dabei verursachen IT-Sicherheitsvorfälle nicht nur erhebliche wirtschaftliche Schäden, schlimmstenfalls können sie den Bestand des Unternehmens gefährden. Mehr als die Hälfte aller Unternehmen, die im Jahr 2010 Opfer von Wirtschaftskriminalität wurden, mussten Schäden durch IT-Kriminalität verzeichnen. Deshalb werden angemessene Vorsorgemaßnahmen immer wichtiger. Der Aufund Ausbau von sicheren IT-Systemen ist eine unerlässliche Investition in die Zukunft eines jeden Unternehmens. Mit unserer Initiative wollen wir erreichen, dass möglichst viele Unternehmen die Vorteile von IT-Sicherheit für sich nutzen. Bitkom Akademie: Warum legen Sie bei der Task Force den Fokus auf kleine und mittlere Unternehmen (KMU)? Hans-Joachim Otto: Kleine und mittlere Unternehmen sind das Rückgrat der deutschen Wirtschaft. Sie nutzen heute in der Regel das Internet zur Abwicklung ihrer Geschäftsprozesse. Deshalb liegt auf der Hand, dass sie dafür sorgen müssen, ihre IT-Systeme durch entsprechende Sicherheitsmaßnahmen adä quat zu schützen. In der Praxis gestaltet es sich aber oft schwierig, ein angemessenes ITSicherheitsniveau zu erreichen und zu halten. Insbesondere kleine und mittelständische Unternehmen haben hier erheblichen Nachholbedarf. Wir erkennen bei KMU eine hohe Hemmschwelle, sich konkret und aktiv mit dem Thema auseinanderzusetzen. Eine aktuelle Studie der WiK Consult GmbH, die in unserem Auftrag fast 1.000 Unternehmen befragt hat, hat ergeben, dass KMU leider zu wenig Wert auf IT-Sicherheit legen. So hat mehr als die Hälfte aller Unternehmen keine Notfallpläne bei Sicherheitsvorfällen, keine Sicherheitsrichtlinien und verbindliche Organisationsanweisungen zu Datenschutz und IT-Sicherheit. Sogar mehr als zwei Drittel haben keine IT-Sicherheitsschulungen für ihr IT-Personal vorgesehen. In ihrem eigenen Interesse und auch im Interesse des Wirtschaftsstandorts Deutschland sollten sie dies ändern und nicht mehr so leichtfertig mit ITSicherheit umgehen.
Über die Task Force: Die Task Force „IT-Sicherheit in der Wirtschaft“ ist eine Initiative des Bundesministeriums für Wirtschaft und Technologie, die gemeinsam mit IT-Sicherheitsexperten aus Wissenschaft, Wirtschaft und Verwaltung vor allem kleine und mittelständische Unternehmen für IT-Sicherheit sensibilisieren und dabei unterstützen will, die Sicherheit der IKT-Systeme zu verbessern. Weitere Informationen zur Task Force und ihren Angeboten sind unter www.it-sicherheit-in-der-wirtschaft.de abrufbar.
Bitkom Akademie: Warum fällt es KMU Ihrer Meinung nach so schwer, sich dieses Themas adäquat anzunehmen? Hans-Joachim Otto: Um diese Frage zu beantworten, muss man die besondere Situation von KMU näher betrachten. Ihre Strukturen und Budgets lassen es in der Regel nicht zu, eigene Fachleute zum Thema IT-Sicherheit einzustellen oder gar eine eigene IT-Abteilung aufzubauen. In der Tat bedeutet der Schutz der IT-Systeme und Daten eine nicht unerhebliche Investition. Das schreckt erst einmal genauso ab wie die Komplexität des Themas. Aber deshalb auf die unabdingbare Sicherheit zu verzichten, ist keine Alternative. Die versteckten Gefahren sind immens, und Investitionen an Zeit und Geld an der richtigen Stelle auf lange Sicht lohnend. Bitkom Akademie: Was genau tut die Task Force „IT-Sicherheit in der Wirtschaft“? Hans-Joachim Otto: Zum einen bündeln wir die verschiedenen Informations- und Hilfsangebote in Deutschland. So wollen wir ein verbessertes Angebot schaffen, damit KMU ihre IT-Systeme und kritischen Infrastrukturen künftig besser schützen können. Zum anderen wollen wir mit unserer Task Force die Unternehmen nicht nur für das Thema IT-Sicherheit sensibilisieren, sondern mit ganz konkreten Angeboten unterstützen. Wichtig ist dabei, dass dies für die Unternehmen und ihre Mitarbeiter so effektiv wie möglich geschieht. Die vom BMWi im Rahmen der Task Force geförderten Projekte sind hersteller- und produktneutral und können von allen interessierten Unternehmen kostenlos genutzt werden. Sie erfreuen sich sehr großen Zuspruchs. So nutzen bereits viele Unternehmen den vom
Verband der deutschen Internetwirtschaft eco unter der Bezeichnung „Initiative-S“ angebotenen Webseitencheck, der ihre Internetpräsenzen von Schadsoftware befreit. Daneben gibt es eine Reihe sogenannter Multiplikatorenprojekte, da wir zu dem Schluss gekommen sind, dass wir auch neue Wege beschreiten müssen, um den Mittelstand zu erreichen. Dies betrifft etwa die Schulung von Steuerberatern, Wirtschaftsprüfern und Finanzdienstleistern. Spezielle Hilfestellungen für das Hotelgewerbe werden vom TeleTrusT – Bundesverband ITSicherheit e. V. angeboten. Geplant ist künftig eine Ausweitung der Multiplikatorenprojekte auf weitere Berufsgruppen sowie spezielle Hilfsangebote für das Handwerk. Thematisch ist das Angebot also genauso vielfältig, wie es die aktuellen Herausforderungen sind. Informationen dazu gibt es auf unserer Website http://www.it-sicherheit-in-der-wirtschaft.de. Bitkom Akademie: Wie wichtig ist Ihnen der Beitrag der Bitkom Akademie mit ihrem E-Learning-Angebot zu IT-Sicherheit? Hans-Joachim Otto: Die Bitkom Akademie hat die Erfahrung gemacht, dass vor allem mittelständische Unternehmen Live-OnlineVeranstaltungen besonders gut annehmen. Deshalb hat sie im Rahmen unserer Kooperation ein umfassendes E-Learning-Angebot zur IT-Sicherheit entwickelt, das wir sehr gerne unterstützen und so ermöglichen, dass diese Live-Online-Seminare für KMU kostenfrei angeboten werden können. Wir sind davon überzeugt, dass diese Seminarform vor allem für Mittelständler optimal geeignet ist. Denn der Aufwand für Unternehmen und Mitarbeiter ist dank fehlender Reisezeit und -kosten minimal, der Schulungseffekt aber groß.
Seite
6 | 7
Newsline | Dezember 2012
Raus aus der Tekki-Ecke – Informationssicherheit ist eine Managementaufgabe Moderne Informations- und Kommunikationstechnologien sind heute selbstverständlicher Teil des beruflichen Lebens. In Unternehmen und in der öffentlichen Verwaltung durchdringt die IT den größten Teil der Geschäftsprozesse und steigert damit deren Effizienz. Eine intensive Vernetzung von verschiedensten Systemen und die Möglichkeit zur Nutzung von großen Datenmengen bringen viele Vorteile, aber auch Herausforderungen mit sich. Um sie zu bestehen, braucht es nicht nur ein komplexes IT-Sicherheitskonzept, sondern auch Mitarbeiter mit dem notwendigen Wissen und dem Von Lutz Neugebauer Informationssicherheit bedeutet, die Vertraulichkeit von Daten, die Verfügbarkeit sowie die Integrität von Daten und Systemen sicherzustellen. Für Unternehmen sind diese Herausforderungen besonders vielfältig und zudem mit der schnell voranschreitenden,
technologischen Entwicklung einer ständigen Veränderung unterworfen. So speichern und übertragen die neuesten mobilen Endgeräte häufig große Mengen sensibler Unternehmensdaten und müssen daher besonders geschützt werden. Online-Dienste
und Webportale für Kunden oder Mitarbeiter bedeuten neue Einfallstore für externe Angreifer auf das Unternehmensnetzwerk und müssen ebenfalls abgesichert werden. Denn z. B. Unternehmensdatenbanken mit Entwicklungs-, Produkt- oder Kundenda-
Foto: Astrid Scheibe / BITKOM
richtigen Standing im Unternehmen.
ten stellen heute echte Werte dar und sind deshalb attraktiv für Angreifer. Mögliche Angriffsszenarien sind Wirtschaftsspionage, Cybervandalismus (z. B. Löschen oder Ändern von Daten), Erpressung (z. B. Angriff eines Online-Dienstes mit einer sogenannten „Denialof-Service“-Attacke) oder Hacktivismus (z. B. die Veröffentlichung einer großen Zahl von Kundenprofilen).
Trotz Bedrohungsangst wenig Abwehrmaßnahmen Die Konsequenzen, die Unternehmen aus dieser Bedrohungslage ziehen, sind indes recht unterschiedlich. Die meisten Unternehmen sorgen sich im Prinzip um ihre Informations sicherheit. 57 Prozent aller Unternehmen quer durch alle Branchen und Unternehmensgrößen sehen Angriffe auf ihre IT-Systeme als reale Gefahr. 40 Prozent haben bereits konkrete Angriffe auf die IT oder vergleichbare Sicherheitsvorfälle erlebt, jedes zehnte Unternehmen sogar zehn Mal und häufiger. Andererseits hinken die Sicherheitsstrategien der Unternehmen aktuellen Entwicklungen häufig hinterher. Am Beispiel der mobilen Endgeräte wird dies besonders deutlich. Lediglich etwas mehr als die Hälfte (58 Prozent) der Unternehmen in Deutschland haben Smartphones & Co. in ihre Strategie zur Informationssicherheit integriert. Vor allem kleine und mittelständische Betriebe lassen mobile Geräte bei Sicherheitsfragen oft außen vor. Bei Unternehmen mit weniger
als 250 Beschäftigten hat rund jedes Zweite (47 Prozent) keine entsprechenden Regeln. Bei Unternehmen mit mehr als 250 Angestellten sind es hingegen nur 12 Prozent.
IT-Sicherheit hat viele Ebenen Dabei gilt: In einen technischen Basisschutz zu investieren, ist heute zwar ein notwendiges, aber beileibe nicht hinreichendes Vorgehen. Denn selbst Unternehmen mit technischen Sicherheitssystemen wurden bereits Opfer von Cyberkriminalität. Diese Firmen vernachlässigen häufig organisatorische Fragestellungen und unterschätzen die Bedeutung, die Mitarbeiter im Hinblick auf die Sicherheit im Unternehmen besitzen. Schließlich ist selbst das ausgefeilteste Sicherheitssystem „machtlos“, wenn ein Administrator ein wichtiges Passwort an Dritte verrät. Nächste Erkenntnis: Es liegt auf der Hand, dass Informationssicherheit nicht mehr nur allein Aufgabe der IT-Abteilung sein kann. Sie berührt auch andere Unternehmensbereiche, wie die klassische Unternehmens sicherheit oder das Risikomanagement. Es gilt, regelmäßig den Schutzbedarf des eigenen Unternehmens abzuschätzen: Welche Geschäftsprozesse mit IT-Unterstützung sind für das Unternehmen herausragend wichtig? Welche Daten sind besonders wertvoll und vertraulich? Welche IT-Systeme müssen vor unberechtigten Zugriff geschützt werden? Befindet sich das Unternehmen überhaupt
Viele Unternehmen haben keinen Notfallplan k. A. K. A.
k. A. K. A.
3 %
Quelle: BITKOM / ARIS 2012, n = 810 Unternehmen
4 %
Nein Nein
Nein Nei n
39 % 57 %
Ja Ja
Sehen Sie Angriffe auf Ihre IT-Systeme, etwa von Hackern, Konkurrenten, Kriminellen oder ausländischen Geheimdiensten, als reale Gefahr?
45 % 52 %
Ja Ja
Hat Ihr Unternehmen einen Notfallplan für IT-Sicherheitsnotfälle?
im Fokus von Cyberkriminellen? Aus diesen Erkenntnissen muss eine für das Unternehmen passende, also individuelle Sicherheitsstrategie abgeleitet und im Rahmen von Maßnahmen umgesetzt werden. Hierzu gehört auch die Sicherheitskommunikation – also ein Sicherheitsbewusstsein bei den Mitarbeitern im Unternehmen zu schaffen. Selbstverständlich ist, dass sich die Sicherheitsstrategie auch auf kaufmännische Entscheidungen auswirkt, insbesondere im Hinblick auf Investitionen und Projekte sowie die Inanspruchnahme von externen Dienstleistungen. Deshalb wird auch eine gute betriebswirtschaftliche Basis benötigt.
Manager sind gefragt Das Thema Informationssicherheit im Unternehmen ist also außerordentlich komplex und unternehmensindividuell. Daraus ergibt sich, dass die Aufgaben eines IT-Sicherheitsverantwortlichen nicht nebenbei vom ITLeiter oder einem seiner Mitarbeiter erledigt werden können. In Konzernen wie in mittelständischen Unternehmen sind deshalb Manager gefragt, die neben den technischen auch die strategischen und organisatorischen Gesichtspunkte des Unternehmens beurteilen können. Daher sollte eine direkte Anbindung an die Geschäftsleitung heute Standard sein. Diplom-Wirtschaftsingenieur Lutz Neugebauer, seit 2006 für das Querschnittsthema Sicherheit im BITKOM verantwortlich. Seine Schwerpunkte sind Sicherheit als Managementfunktion, sichere Unternehmensprozesse sowie Sicherheitstechnologien. Er ist Mitinitiator der „Allianz für Cybersicherheit“. Davor war er in unterschiedlichen Managementfunktionen bei der Fraport AG beschäftigt. Als Abteilungsleiter verantwortete er die IT-Projekte des Geschäftsbereichs Flughafenbetrieb, Ausbau und Sicherheit.
Seite
8 | 9
Newsline | Dezember 2012
Online-Seminare für KMU – Bitkom Akademie startet BMWi-gefördertes Projekt zu IT-Sicherheit Moderne Technologien und die Mobilität der Mitarbeiter stellen auch kleine und mittlere Unternehmen immer mehr vor IT-Sicherheitsprobleme. Die Bitkom Akademie bietet im Rahmen eines Förderprojektes über 100 Online-Seminare zur IT-Sicherheit an – zielgruppengerecht und innovativ. Von Thomas Seidel
Um den Herausforderungen im Bereich der IT-Sicherheit zu begegnen, hat das Bundes wirtschaftsministerium für Wirtschaft und Technologie (BMWi) die Task Force „ITSicherheit in der Wirtschaft“ eingerichtet. Im Rahmen dieser Initiative werden auch Projekte gefördert, die nachhaltig die ITSicherheit in KMU verbessern sollen. Eines dieser Projekte ist in der Bitkom Akademie angesiedelt: „Nutzung interaktiver E-Learning-Technologien im Themenbereich ITSicherheit“. Die Akademie führt insgesamt über 100 IT-Sicherheitsseminare für Mittelständler durch, die dank der Förderung des BMWi kostenfrei angeboten werden. Ziel der Online-Seminare ist es, deutsche KMU für potenzielle Risiken und Bedro-
hungen, die durch unterlassene Sicherheitsvorkehrungen entstehen können, zu sensibilisieren. Pro Seminar wird eine Herausforderung aus dem Feld der IT-Sicherheit praxisorientiert vorgestellt. Vertieft werden die Seminare durch Aufgaben, durch die die Teilnehmer den individuellen Handlungsbedarf im eigenen Unternehmen ersehen können.
Individuell und passgenau Die Kurse werden für drei Zielgruppen angeboten: • Geschäftsführer und Führungskräfte In diesen Seminaren wird ein allgemeiner Überblick gegeben. Thematisiert werden auch strategische Fragen, wie z. B. die Nutzung von Cloud Computing und dessen Risiken und Auswirkungen.
• Mitarbeiter von KMU Hier steht die Sensibilisierung und Aufklärung im Vordergrund. Es werden Vorschläge für kleine und pragmatische Verhaltensänderungen gemacht, die eine große Wirkung für die Sicherheit der Firma haben können. • ITler bzw. IT-Verantwortliche Diese Schulungen bieten fachlichen Austausch und Unterstützung. Die Referenten sind IT-Experten, die auf hohem Niveau aktuelle Sicherheitsthemen vorstellen und Fragen zur praktischen Umsetzung beantworten. Durch die zielgruppengerechten Angebote können die Kurse optimal am Arbeits kontext der Teilnehmer ansetzen. Angeregt
Foto: exi5 / istockphoto.com
Kostenlose Online-Seminare für KMU
werden sollen möglichst nachhaltige Veränderungen im Verhalten der handelnden Personen oder Maßnahmen zur Optimierung der eingesetzten Technologien. Die Fachreferenten sind erfahrene Experten von Beraterfirmen oder Unternehmen, die durch die Akademie zum Online-Referenten ausgebildet wurden.
Vorteil für Mitarbeiter und Unternehmen durch Online-Seminare Besonderer Vorteil der Online-Seminare ist der geringe Zeitaufwand für die Teilnehmer. Während die Schulungsteilnehmer bei herkömmlichen Seminaren mindestens einen ganzen Tag ausfallen und das Unternehmen zudem Reise- und Seminarkosten bezahlen muss, finden die Online-Schulungen in Form von maximal fünf Einheiten à 30–60 Minuten statt. An fünf aufeinanderfolgenden Werktagen wird je eine E-Learning-Einheit bearbeitet.
Die Seminare bieten: • weitgehend freie Zeiteinteilung • eigene Lerngeschwindigkeit
• Teilnahme am Arbeitsplatz, von Zuhause oder unterwegs möglich • Selbstlernen und Lernen mit Partner oder in der Gruppe • Behandlung individueller Problemstell ungen der Teilnehmer Ermöglicht wird diese Flexibilität durch den innovativen Kursaufbau mit individuellen Lernzeiten (asynchron zur Gruppe) und dem gemeinsamen Lernen (synchron) im LiveOnline-Seminar. Bei den Liveparts kommen alle Teilnehmer gleichzeitig in einem virtuellen Tagungsraum zusammen. Es werden Powerpoint-Folien oder Webseiten gezeigt, und die Teilnehmer können sich mündlich oder via Klick-Feedback bei Umfragen des Referenten selbst einbringen. Die Sitzungen im „Virtual Classroom“ dauern jeweils 45 Minuten. Nach Abschluss der Online-Einheiten erhalten alle Teilnehmer ein BITKOMZertifikat. Mehr Informationen zu den Seminaren gibt es auf den nachfolgenden Seiten und unter www.bitkom-akademie.de/it-sicherheit.
Thomas Seidel, Jahrgang 1968, leitet seit September 2012 die Bitkom Akademie. Aktuelles Ziel seiner Tätigkeit ist die Überarbeitung der Seminarformate und -themen der Akademie. Außerdem leitet er das Projekt „Nutzung interaktiver E-LearningTechnologien im Themenbereich IT-Sicherheit“. Zuvor war Seidel Leiter von Deutschlands führender Schul-Lernplattform lo-net2 mit rund einer Million registrierter Nutzer und entwickelte mit der Cornelsen Akademie und im Cornelsen Verlag „blended Learning“-Umgebungen.
Seite
10 | 11
Newsline | Dezember 2012
Themen der BMWi-geförderten Online-Seminare für KMU Daten, Infos sowie weitere Seminarthemen finden Sie auf der Webseite: www.bitkom-akademie.de/it-sicherheit. Die Teilnahme an diesen Online-Seminaren ist kostenlos!
Wenn die Konkurrenz das eigene Patent anmeldet – IT-Sicherheit und Schutz vor Industriespionage Schutz vor Innentätern / Datendiebstahl durch Mitarbeiter: Data loss Prevention Wie sicher ist die Cloud? Bevor es in der Presse steht – vorbeugende IT-Sicherheit Was zeichnet einen guten IT-Dienstleister aus und welche IT-Sicherheitsthemen sind für die Geschäftsführung wichtig? Cybersecurity – ein Thema nur für Global Player?
Seminare für Mitarbeiter:
Sicher unterwegs mit Smartphone und Notebook Ein Klick zu viel – sicher surfen am Arbeitsplatz Die häufigsten Fehler am PC: was Mitarbeiter wissen müssen Was Sie über Word-, Bild- und PDF-Dokumente wissen sollten, aber nicht zu fragen wagten – welche Informationen Sie beim Datenaustausch ungewollt preisgeben Zehn einfache Regeln zum Schutz vor Industriespionage Die neuen trojanischen Pferde: (geschenkte) USB-Sticks, Mäuse und Co. Live-Hacking: typische Angriffe und wirkungsvolle Schutzmaßnahmen Dropbox, Doodle & Co. – Online-Dienste sicher nutzen Ich weiß, was Du letzte Woche getan hast – Social Engineering erkennen und abwehren
Foto: viperagp / Fotolia.com
Seminare für Geschäftsführer:
Seminare für ITler: W-LANs effizient und sicher betreiben Patch-Management und Security-Updates – nicht nur für Microsoft-Produkte E-Mail-Verschlüsselung, -Signatur und PKI Bring your own Device (BYOD): GAU oder Chance für mehr Sicherheit? Praxistaugliche IT-Security-Policies erstellen und durchsetzen Sicherheit für iPhone, Android und Blackberry IT-Sicherheit on a Budget: Wie geht IT-Sicherheit für kleines Geld? IT-Notfallmanagement – Vorbereitung auf den Ernstfall Die richtige Auswahl von IT-Security-Dienstleistern – Worauf muss ich achten? Webserver sicher betreiben Welche IT-Sicherheitszertifizierungen brauche ich und wenn ja, wie viele? IT-Security <–> Deutsch: kleines Wörterbuch für die Kommunikation zwischen IT-Abteilung und Anwendern
Foto: bloomua / Fotolia.com
Melden Sie sich oder Ihre Mitarbeiter zu diesen kostenlosen Online-Seminaren an unter: www.bitkom-akademie.de/it-sicherheit.
Seite
12 | 13
Newsline | Dezember 2012
Sicherheitstechnologie hält Nutzen und Risiken in der Balance Sicherheit in der Informationstechnologie? Was sind ihre Ziele und wo liegen ihre Schwachstellen? Wie sieht ihre Zukunft aus und welche Rolle spielt die IT-Sicherheitsforschung? Von Prof. Dr. Michael Waidner Die meisten von uns verwenden täglich ITSysteme, größtenteils bewusst, oft aber auch unbewusst, z. B. im Herzschrittmacher oder im Stromnetz. Die Nutzung von IT soll uns
Vorteile bringen – bei Kommunikation und Unterhaltung, Information und Wissen oder der Automatisierung und Optimierung von Prozessen. Dabei gehen wir stets von einem
gewissen Maß an IT-Sicherheit aus. Wir erwarten, dass uns niemand vom Zugriff auf die IT abhalten kann (Availability). Zugleich ist uns wichtig, dass unsere Daten nicht missbraucht
Foto: Pavel Ignatov / Fotolia.com
IT-Sicherheit ist ein zentraler Aspekt bei der Nutzung von Technologien. Doch was genau bedeutet
oder unerlaubt von anderen abgegriffen werden (Confidentiality) und die Dienste, die wir verwenden, nicht unerlaubt von anderen manipuliert werden können (Integrity). Wir wollen, dass zu wichtigen Vorgängen die Verantwortlichen festgestellt werden können (Accountability). IT-Systeme verursachen aber auch Risiken. Trotz unserer Erwartungen an Qualität und IT-Sicherheit besteht die Gefahr, dass unsere Daten möglicherweise gegen uns verwendet werden, wir Betrügern zum Opfer fallen oder von falschen Freunden hintergangen oder gemobbt werden. Zunehmend werden Alltagsgegenstände mit digitalen Fähigkeiten ausgestattet und vernetzt. Waren Produktionsanlagen früher meist isoliert, so werden diese heute oft in die allgemeine IT ihrer Betreiber integriert. Die Grenze zwischen digitaler und physischer Welt verschwindet. Auch dies erzeugt Risiken: Durch die Vernetzung ist zu befürchten, dass nach einem digitalen Angriff plötzlich vielleicht die Bremsen in unserem Auto versagen, unsere Waren an die falsche Stelle geschickt werden, der Strom ausfällt oder wir im
Krankenhaus falsch behandelt werden, weil unsere Patientenakte manipuliert wurde. Mit Smartphones und Smart Home könnten wir theoretisch permanent überwacht werden. Sicherheitstechnologie soll dafür sorgen, dass das Risiko unterhalb eines bestimmten Niveaus bleibt. Sicherheitstechnologie dient dazu, Nutzen und Risiken in der Balance zu halten. Man kann IT-Sicherheit leicht als „Innovationsbremser“ missverstehen. Fakt ist: Es gibt keine Innovationen in der IT ohne gleichzeitige Innovationen in der IT-Sicherheit.
IT-Sicherheit als Herausforderung Für die IT-Industrie ist Sicherheit offensichtlich ein großes Problem. Forscher und Anbieter von Sicherheitslösungen sind sich einig, dass die Sicherheitslage gleichbleibend problematisch ist. Wir alle kennen Beispiele für Angriffe auf IT-Systeme: • Spam und Phishing zum Ausspähen von Kontodaten, • Dateneinbrüche in Firmen, bei denen meist Geschäftsgeheimnisse oder die Passwörter
und Kreditkartendaten der Kunden dieser Firma das Ziel sind, • Lahmlegen von Webseiten durch eine Flut sinnloser Anfragen (Distributed Denial of Service) als moderne Form der Sitzblockade, • Drive-by-Angriffe über kompromittierte Webserver, bei denen schon das Ansehen einer Webseite zur unbemerkten Infektion mit einem Trojaner führen kann. Solche Trojaner können den infizierten Rechner komplett unter die Kontrolle des Angreifers bringen und z. B. als Plattform für weitere Angriffe missbrauchen. Angriffe richten sich auch auf den Herstellungsprozess von IT und resultieren dann in Produkte, die schon bei der Auslieferung Trojaner enthalten. Am Ende des Spektrums stehen sogenannte Advanced Persistent Threats, kurz APTs, die auf einzelne Einrichtungen oder Personen ausgerichtet sind und oft sehr aufwendig vorbereitet und mit viel Zeit und hohen Kosten durchgeführt werden. Das bisher spektakulärste Beispiel für einen solchen Angriff war „Stuxnet“ – ein Computerwurm, der gezielt die iranische Urananreicherung sabotierte.
Seite
14 | 15
Newsline | Dezember 2012
Neue Technologien wie Cloud Computing bieten neue Angriffswege, die Angriffsmethoden und -absichten bleiben jedoch gleich. Angriffe nutzen fast immer Fehler im IT-System aus, und solche Fehler können in allen Phasen des Lebenszyklus auftreten. Es gibt dafür viele Ursachen, wie z. B.: • eine steigende Komplexität im Entwurf und der Administration von IT, • Informatiker mit mangelndem Grund wissen zur IT-Sicherheit – der Arbeitsmarkt für erfahrene Sicherheitsexperten ist praktisch leergefegt, • existierende IT-Sicherheitslösungen werden zu selten eingesetzt • fehlende technische Grundlagen z. B. in der Entwurfsautomatisierung.
Fehler und Hintertüren
Sicherheitsregeln allzu mühsam sind. Ein weiteres fehlerträchtiges Problem ist die schlechte Benutzbarkeit von IT-Sicherheit. Die meisten Nutzer haben kein intuitives Verständnis dafür, von welchen Komponenten die Sicherheit ihres Systems abhängt. Dementsprechend werden zuweilen zeitaufwendige Sicherheitsregeln umgangen und z. B. ein und dasselbe Passwort großzügig an vielen Stellen weiter verwendet.
Cloud-geprägte Standards wie OpenID und OAuth umschwenkt. Neue regulatorische Anforderungen an IT werden unmittelbar in neuen Cloud-Standards umgesetzt werden. Dies gilt ganz besonders im Bereich Privatsphärenschutz, wo für Clouds mit Social-Networking-Funktionen gerade neue Anforderungen an die Transparenz, Datenportabilität und nutzergesteuertes Löschen von Daten entstehen.
Der zuletzt genannte Punkt verdeutlicht eine besondere Herausforderung: Oft mangelt es nicht an Sicherheitstechnik, sondern an bewussten Risikoabwägungen, verständlichen Regeln, vereinfachten Prozessen und nachhaltiger Schulung. Ein Mehr an Sicherheitstechnik kann sogar zu einem Weniger an Sicherheit führen. Ist es zu mühsam, auf wichtige Daten legal zuzugreifen, so entstehen unkontrollierte und ungesicherte Kopien. Überwachungssysteme werden oft ohne klar artikulierten Nutzen für die Sicherheit eingeführt, verursachen aber meist Datenschutzrisiken und sind stets lohnende Ziele für Angreifer.
Schaut man zehn Jahre und mehr in die Zukunft, sollte man auch mit neuen Entwicklungen aus der Kryptografie rechnen, z. B. der „fully homomorphic encryption und secure function evaluation“. Mit diesen Techniken lassen sich manche Aufgaben in die Cloud auslagern, ohne dass der CloudBetreiber die Daten des Cloud-Nutzers im Klartext sehen muss.
Neben diesen unabsichtlichen Fehlern können aber auch absichtlich eingebaute „Hintertüren“ die IT-Sicherheit gefährden, beispielsweise feste Generalpasswörter, die zu allen Installationen eines IT-Produkts passen. Davor schützen nur organisatorische Maßnahmen, wie klar strukturierte Herstellungsprozesse oder die sorgfältige Auswahl der Hersteller von Komponenten und Werkzeugen.
Vorbild Cloud Computing
Angriffe beinhalten oft eine Komponente von Social Engineering oder einfacher gesagt das Ausnutzen menschlicher Schwächen. Wir neigen dazu, anderen grundlos zu vertrauen oder riskante Abkürzungen zu nehmen, wenn die Zeit knapp oder die
Cloud Computing treibt die Standardisierung von IT-Sicherheit voran. Der Erfolg dieser Technologie wird dazu führen, dass sich die klassische IT die Cloud-Standards zum Vorbild nimmt. Man sieht das bereits deutlich im Bereich des Identitätsmanagements, wo die IT-Industrie gerade sehr zügig auf
Der Erfolg des Cloud Computing geht einher mit dem Erfolg des Mobile Computing. Die Möglichkeit, über die Cloud jederzeit und von überall auf die eigenen Daten und Dienste
we identify vulnerabilities others don‘t zugreifen zu können, ist einer der Haupttreiber für den Erfolg von Smartphones und Tablet-PCs. Diese Geräte eröffnen aber auch neue Angriffsmöglichkeiten auf die Daten und Dienste in der Cloud. Der Effekt wird verstärkt, wenn dasselbe Gerät für Anwendungen und Lebensbereiche mit sehr unterschiedlichen Sicherheitsanforderungen verwendet wird.
„Sanfte Kontrolle“ und bessere Erkennung
Foto: alphaspiri / Fotolia.com
Aktuell durchlebt die IT zwei Trends, die sich unmittelbar auf das Risikomanagement auswirken. Zum einen erzeugen wir im Web 2.0 Unmengen an unstrukturierten Daten, die oft Teil von informellen Verwaltungs- und Geschäftsprozessen sind. Dieser unstrukturierte und informelle Teil der IT entzieht sich den üblichen Sicherheitsregeln. Als Reaktion werden sich daher „sanftere“ Kontrolltechniken entwickeln, bei denen offensichtliches Fehlverhalten verhindert, weniger offensichtliches aber nur im Nachhinein entdeckt und geahndet werden kann. Der zweite Trend ist „Big Data“, also die Entstehung großer Mengen meist unstrukturierter Daten in Kombination mit einer rasanten Leistungssteigerung bei der komplexen Datenanalyse. Hier darf man Fortschritte in der Anomalieerkennung erwarten – wir werden zunehmend Angriffe erkennen, auch wenn wir nicht wissen, welche Schwachstellen dafür ausgenutzt wurden. Viele Angriffe auf Unternehmen lassen sich erst dadurch erkennen und untersuchen, dass die Daten aller betroffenen Firmen gemeinsam ausgewertet werden. Auch hier eröffnet Big Data neue Möglichkeiten. In beiden genannten Anwendungsfällen von Big Data ergeben sich aber zahlreiche Vertraulichkeits- und Datenschutzprobleme. Weder darf man Mitarbeiter umfassend überwachen, noch sind Firmen bereit, ihre gesammelten Sicherheitsinformationen in einen großen
Pool einzubringen. Hier gibt es bereits diverse organisatorische und technische Lösungen, es besteht aber immer noch ein großer Forschungsbedarf. Ein weiteres Thema der Zukunft ist „Security and Privacy by Design“. Denn die Fehlerbehebung durch Patching am ausgelieferten Softwareprodukt ist im Schnitt alleine für den Hersteller etwa 100 mal teurer als Fehlerbehebung in der Entwicklungsphase. Diese Rechnung führt zwangsläufig dazu, durch Automatisierung von Entwurf und Test Fehler zu vermeiden oder sie zumindest frühzeitig zu entdecken.
Fehlerfreundliche Sicherheitsarchitekturen Menschen machen Fehler, und dementsprechend wird auch IT-Sicherheit immer fehlerhaft sein. Wir brauchen daher Ansätze zur IT-Sicherheit, die mit Fehlern rechnen und deren Auswirkung auf das Gesamtsystem von vornherein begrenzen. Viele Konzepte hierzu sind in der Forschung bekannt und werden in Zukunft vermehrt in die Praxis umgesetzt. Dazu gehört das Prinzip, zentrale Risikoballungen zu vermeiden und kritische Informationen möglichst zu verteilen. Eine zentrale Datenbank mit allen wichtigen Informationen einer Firma erleichtert zwar die Zusammenarbeit, stellt aber gleichzeitig ein optimales Ziel für Angriffe von Kriminellen dar. Ein weiteres Prinzip der Zukunft ist die konsequente Trennung von Daten und Prozessen, sortiert z. B. nach Eigentümer, Organisation, Risiko, Wert, Kontext und Zweck. Denn es sollten immer mehrere Stellen existieren, an denen derselbe Fehler abgefangen werden kann. Und auch fehlerfreundliche Architekturen brauchen einen „Anker“, der als sicher und vertrauenswürdig angenommen werden darf und der Basis für den Aufbau des restlichen Systems sein kann.
Budapest
Genf
Hamburg
Köln
Lyon
Moskau
Stuttgart
Wien
Zürich
PERSONAL2013 FACHMESSEN FÜR PERSONALMANAGEMENT
Insgesamt über 500 Aussteller 250 Vorträge 6 Keynotes und 8.000 Fachbesucher
23.–24. April 14.–15. Mai Stuttgart Hamburg ®
n
an
lm
pe
Am G bH
m
pe
twitter: #Psued13 In Stuttgart zeitgleich mit
®
op
le
p er f
or m a n c e te
l
www.personal-messe.de In Hamburg zeitgleich mit
twitter: #Pnord13
Sparen Sie 40%
bei der Online-Registrierung für Messetickets der PERSONAL
3. Europäische Fachmesse für betriebliche Gesundheitsförderung und Demografie
Hauptsponsoren
o n h c
y g o
Partner
Hauptmedienpartner
Foto: higyou / Fotolia.com
IT-Sicherheit ist ein andauernder Wettlauf zwischen den „Guten“ und den „Bösen“. Die heutige IT bietet bereits mehr als genug Schwachstellen, an denen die „Bösen“ angreifen können, und mit jeder neuen Technologie und neuen Anwendung eröffnen sich ihnen neue Möglichkeiten. Nur durch aktive Forschung und Entwicklung kann ITSicherheit dauerhaft ausreichend gewährleistet werden. Diese Erkenntnis spiegelt sich in der deutschen Forschungslandschaft wider: Im akademischen Umfeld gibt es große Forschungsinstitute in Darmstadt (Center for Advanced Security Research Darmstadt, CASED) und Bochum (Horst-Görtz-Institut, HGI). Das BMBF fördert seit dem Jahr 2011 drei Cybersecurity-Zentren an den Universitäten Darmstadt (EC-SPRIDE), Karlsruhe (KASTEL) und Saarbrücken (CISPA). In der Fraunhofer-
Gesellschaft gibt es vier Institute, die sich ganz oder teilweise Themen der IT-Sicherheit widmen (SIT in Darmstadt, FKIE in Bonn, AISEC in München und IOSB in Karlsruhe). In der Summe darf Deutschland als Europas führender Standort für IT-Sicherheitsforschung gelten.
Marktchancen nutzen Der nächste Schritt wird sein, diese geballte Forschungskapazität und den Ruf Deutschlands als ein Land der Ingenieure in innovative und im Markt erfolgreiche Sicherheitslösungen umzusetzen. Gerade bei neuen Technologien wie Cloud Computing, Cyberphysical Systems und Mobile Computing, Smart Infrastructures und Big Data bietet sich hier für die Industrie in Deutschland und Europa eine Marktchance, die nicht verpasst werden darf.
Michael Waidner forscht und arbeitet seit mehr als 25 Jahren an Themen der Sicherheit, der Kryptografie und des Privatsphärenschutzes und ist international anerkannter Experte auf diesen Gebieten. Er ist Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie (Fraunhofer SIT) und hält einen Lehrstuhl am Fachbereich Informatik der Technischen Universität Darmstadt. Waidner leitet zudem zwei Kompetenzzentren an der TU Darmstadt: Das Center for Advanced Security Research Darmstadt (CASED) sowie das European Center for Security and Privacy by Design (EC-SPRIDE).
Seite
18 | 19
Newsline | Dezember 2012
Cybersecurity … … warum auch kleine Unternehmen sich schützen müssen „Cybersecurity“ – wie sich das schon anhört! Klingt irgendwie nach Science-Fiction und Hollywood-Blockbuster. Jedenfalls nicht nach einem Thema, das für kleine und mittlere Unternehmen in Deutschland von großer Bedeutung wäre. Aber weit gefehlt. Von Dirk Weil
Zunächst: Was genau ist denn Cybersicherheit und wie grenzt sie sich von anderen Sicherheitsthemen ab? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert den Begriff so: „Cyber-Sicherheit erweitert das Aktionsfeld der klassischen IT-Sicherheit auf den gesamten Cyber-Raum. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf
basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein. Damit wird praktisch die gesamte moderne Informations- und Kommunikationstechnik zu einem Teil des Cyber-Raums.“ Während der Begriff IT-Sicherheit an den Unternehmensgrenzen bzw. dem direkten Einflussbereich der Unternehmung endet, werden hier also zusätzlich Gefährdungen betrachtet, die sich z. B. aus der Nutzung gemeinsamer Webplattformen, Webapplikationen sowie Mobile- und Cloud-Services ergeben. Eins machen diese wenigen Beispiele deutlich: Cybersicherheit geht nicht nur Global Player an, sondern betrifft schon kleinste Unternehmen. Doch wie realistisch ist ein Cyberangriff auf KMU? Wird hier nicht mit Kanonen auf Spatzen geschossen, wenn auch Mittelständlern ein umfassender Schutz gegen solche Attacken empfohlen wird? Deutliche Antwort: Wer bis heute trotz fehlenden Schutzes noch keinem Angriff ausgesetzt war, hat einfach nur Glück gehabt. Zwei typische Szenarien haben sich in der jüngeren Vergangenheit bei Cyberangriffen klar herauskristallisiert: 1. E s stehen Unternehmen im Fokus, die über eine besondere Fertigungstechnik oder exklusives Know-how, das in verwertbare Patente münden könnte, verfügen.
2. Es werden Unternehmen in Mitleidenschaft gezogen, weil deren externe Dienstleister bzw. Partner ausfallen. Mit anderen Worten: Jedes erfolgreiche Unternehmen – gleich welcher Größe – ist gefährdet. Deshalb ist jedwedes Unternehmen gut beraten, eine kritische(!) Bestandsaufnahme zu machen: Welche Daten werden wo und wie verarbeitet? Was sind die Datenquellen, wohin werden Daten weitergegeben? Was bedeuten Verfälschung oder Verlust dieser Daten für das Unternehmen? Für wen könnten diese Daten von Interesse sein? Mit diesen und ähnlichen Fragen lässt sich relativ schnell ein Überblick über die eigenen Risiken gewinnen. Tragischerweise haben erfolgreiche Cyberangriffe auf bedeutende Unternehmen wie RSA, Lockheed-Martin und Nortel gezeigt, dass dem Angriff immer eine Phase der Informationssammlung über das Angriffsziel vorausgeht: Die Angreifer ermitteln, welche Plattformen und Standardanwendungen das Unternehmen nutzt und welche Mitarbeiter Erfolg versprechende Angriffsziele sind. In den genannten Fällen erhielten die ausgewählten Mitarbeiter legitim erscheinende Mails, die mit angepasster Schadsoftware bestückt waren. Dies macht deutlich, dass nicht etwa technische Aspekte vorrangige Ansatzpunkte für Cybersicherheit sein
Foto: Bruce Rolff / Shutterstock.com
Informationstechnik, das hieß in kleinen und mittleren Unternehmen (KMU) noch vor wenigen Jahren vor allem die Nutzung von Einzelplatzcomputern. Vernetzung war aufwendig und teuer, ein Internetanschluss reinste Utopie. Und der Einsatz von IT endete an den physischen Unternehmensgrenzen. Heute ist alles anders. Der Arbeitsalltag besteht aus mobilem, vernetztem Arbeiten mit jederzeitigem, auch externem Zugriff auf Unternehmensdaten. Virtuelle Supply Chains über gemeinsam genutzte IT-Plattformen sind gang und gäbe. Ebenso wandelten sich die IT-Sicherheitsanforderungen. Die waren zunächst rein systembezogen. Aber die rasanten IT-Entwicklungen und sich permanent verändernde Bedrohungen erforderten es recht schnell, die IT-Sicherheit aktiv zu managen. Vor allem kleinere Unternehmen stellt bereits dies vor erhebliche Herausforderungen. Und jetzt auch noch Cybersicherheit?
sollten, sondern zuallererst die Mitarbeiter. Und das ist – bei aller Ernsthaftigkeit des Themas – eine gute Nachricht! Denn eine gründliche Sensibilisierung der Mitarbeiter kann auch, und vielleicht sogar noch besser, in kleinen Unternehmen erreicht werden. In KMU kann der Einzelne den Beitrag seines Handelns zum Unternehmenserfolg besser abschätzen und stärker zur Erreichung der Sicherheitsziele des Unternehmens beitragen. Dies hilft natürlich nicht beim Ausfall externer Partner. Kleine Unternehmen haben selten maßgeblichen Einfluss auf das Sicherheitsmanagement ihrer Dienstleister. Um im Falle eines erfolgreichen Angriffs auf Dienstleister nicht hilflos dazustehen, kann mit „Business Continuity Management“ (BCM) vorgebeugt werden. BCM stellt sicher, dass wichtige Geschäftsprozesse in kritischen Situationen nicht oder nur kurz unterbrochen werden, um so die eigene wirtschaftliche Existenz auch bei größeren Schadensereignissen zu schützen. Eine gute Anleitung dazu liefert z. B. der BSI-Standard 100-4, der anschaulich die Schritte des Notfallmanagements
beschreibt. Flankiert wird Cybersecurity auch durch technische Sicherheit. Hier stellt das BSI mit seinen Publikationen zur ISi-Reihe wertvolle Hilfsmittel für KMU zur Verfügung. Zusammenfassend lässt sich festhalten, dass Cybersecurity nicht nur ein Thema für Großkonzerne ist. Cybersicherheit gibt es auch nicht zum Nulltarif. Dennoch ist es möglich, sie mit einem Ressourcenaufwand zu erreichen, der auch kleine und mittelständische Unternehmen nicht überfordert. Dipl.-Pol. Dirk Weil ist seit 2008 bei der TÜV Informationstechnik GmbH als Seniorberater und Auditor für ISMS nach ISO 27001 auf Basis von IT-Grundschutz und als Referent für verschiedene Aspekte des Sicherheitsmanagements tätig. Er ist u. a. zertifizierter Auditteamleiter für Audits nach ISO 27001 auf Basis von IT-Grundschutz, zugelassener Lead-Auditor für ISMS nach ISO 27001 (nativ), zertifizierter IS-Revisions- und IS-Beratungsexperte (IS-Revisor) auf Basis von IT-Grundschutz und Auditor De-Mail (BSI).
Das Seminar Cybersecurity – ein Thema nur für Global Player? Inhalte Das Online-Seminar vermittelt die wesentlichen Gefährdungen, die Unternehmen aus dem Cyber-Raum drohen. Die Teilnehmer lernen die Möglichkeiten kleinerer und mittlerer Unternehmen kennen, auf diese Gefährdungen angemessen zu reagieren. Im Vordergrund stehen dabei weniger aufwendige technische Lösungen, sondern vielmehr die organisatorischen Regelungen und das vorsorgende Wissen gegenüber Cyberangriffen. Nicht zuletzt soll darauf eingegangen werden, welche Reaktionen im Falle eines erkannten Angriffes erforderlich sind. Referent Dirk Weil TERMIN 05. bis 11. Februar 2013 Förderer Bundesministerium für Wirtschaft und Technologie im Rahmen der Task Force „IT-Sicherheit in der Wirtschaft“ PREIS Die Teilnahme ist kostenlos.
Aon Risk Solutions
Zeigt diese Grafik Ihre Cyber-Risiken oder Ihre Datensicherheit? Wenn die Risiken für Ihre vertraulichen Daten komplexer werden, brauchen Sie die Unterstützung eines Experten. Diesen finden Sie bei Aon, dem weltweit führenden Versicherungsmakler. Wir beraten Sie in allen Fragen der Cyber-Risiken und halten Ihnen den Rücken frei. Damit Sie sich auf Ihr Geschäft konzentrieren können. Wir sind für Sie da!
Exklusives Versicherungsangebot für BITKOM-Mitglieder!
Risk. Reinsurance. Human Resources. Empower Results TM
Aon Versicherungsmakler Deutschland GmbH Ihr Ansprechpartner: Johannes Behrends johannes.behrends@aon.de | www.aon.de
20 | 21
Newsline | Dezember 2012
IT-Compliance im Outsourcing Tipps für erfolgreiche Projekte Mehrkosten, Zeitverzögerungen und erhöhte Haftungsrisiken – das sind meist die Folgen, wenn
Foto Bildschirme: Sergej Khackimullin / Fotolia.de
Seite
umgesetzt werden. Wer IT-Systeme, Prozesse oder Verfahren auslagern will, muss einiges beachten und im Vorfeld gut planen. Von Srdan Dzombeta und Hannelore Jorgowitz
Foto: olly / Fotolia.de
IT-Compliance-Anforderungen beim Outsourcing nicht rechtzeitig identifiziert und unzureichend
Der erste wesentliche Schritt bei einem erfolgreichen Outsourcingprojekt besteht darin, alle Compliance-Anforderungen zu identifizieren. Diese können sowohl aus internen als auch aus externen Regelungen resultieren. Interne Regelungen sind beispielsweise Richtlinien oder Arbeitsanweisungen. Externe Regelungen liegen meist in Form von Gesetzen, Verordnungen oder zivilrechtlichen Verträgen vor. Darüber hinaus ergeben sich oft branchenspezifische Anforderungen, beispielsweise bei Banken, Versicherungen, Versorgern, dem öffentlichen Sektor oder im Gesundheitswesen. Gelingt die zeitnahe Identifizierung aller Compliance-Anforderungen, ist der erste Meilenstein zum Projekterfolg erreicht.
Risiken minimieren Wesentliche Risiken, die mit Outsourcingvorhaben einhergehen können, sind meist bereits vor dem eigentlichen Projektstart oder in einem frühen Stadium des Vorhabens identifizierbar. So ist es beispielsweise unabdingbar, eine Vorabprüfung in Sachen Datenschutz durchzuführen und auch bereits in die Kriterien für die Auswahl eines OutsourcingDienstleisters alle wesentlichen ComplianceAnforderungen aufzunehmen. Dadurch kann das Risiko eines unkorrekten Vertragsverhältnisses minimiert werden. Wichtig ist auch, die Kontrollrechte des Auftraggebers in ausreichendem Maße festzulegen, alle vom Dienstleister umzusetzende technischen und organisatorischen Maßnahmen exakt zu vereinbaren oder die für die Messung von Service Levels aussagekräftigen und transparenten Kennzahlen festzulegen. Auch die vollständigen branchenspezifischen Anforderungen an das
Outsourcing dürfen im Vertrag nicht fehlen. Um all dies zu gewährleisten, sollten wesentliche Compliance-Schnittstellen, wie Datenschutz- oder IT-Sicherheitsbeauftragte, rechtzeitig in das Vertrags- bzw. Anforderungsmanagement eingebunden werden. Dadurch kann der Auftragnehmer bei der Umsetzung besser gesteuert werden und die Risiken des Auftraggebers sinken.
Srdan Dzombeta, LL.M., ist Diplom-Kaufmann und als Partner bei PERSICON verantwortlich für den Bereich Governance und Compliance. Er beschäftigt sich vor allem mit der Umsetzung von gesetzlichen Anforderungen an relevante Prozesse und Verfahren bei der Nutzung von Informations technik.
Interdisziplinäre Teams und Kennzahlen
Hannelore Jorgowitz ist DiplomVolkswirtin und prüft beziehungsweise berät als Managerin bei PERSICON Mandanten aus den Bereichen Banken, Versicherungen und IT zu den Themen Design, Implementierung, Dokumentation und Prüfung von Internen Kontrollsystemen. Ein weiteres Thema ist die Einführung von Informationssicherheitsmanagementsystemen gemäß nationalen und internationalen Standards.
Die rechtzeitige Einbindung der ComplianceSchnittstellen in das Vertrags-, Anforderungsund Änderungsmanagement sind essenziell, um die Compliance-Anforderungen in jedem Stadium eines Outsourcingprojektes optimal zu berücksichtigen. Erfahrungsgemäß können die Compliance-Anforderungen besonders gut umgesetzt werden, wenn die Projektteams interdisziplinär zusammengesetzt sind, also zum Beispiel aus Juristen, IT-Fachexperten, Vertretern des Finanz- und Rechnungswesens, der IT-Sicherheit und des Datenschutzes bestehen. Zudem trägt die operative Steuerung des Dienstleisters anhand objektiver, aussagekräftiger und transparenter Kennzahlen dazu bei, das Outsourcingrisiko zu reduzieren. Die Kennzahlen sollten in einem „Service-LevelAgreement“ vertraglich vereinbart werden. Um seine Kontrollpflichten angemessen wahrnehmen zu können, muss der Auftraggeber Vor-Ort-Audits beim Auftragnehmer durchführen. Sie können auch durch Zertifikate oder Testate von sachverständigen Dritten, wie etwa dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), ergänzt werden.
Das Seminar Wie sicher ist die Cloud? Inhalte Bei der Auslagerung von Verfahren beziehungsweise Prozessen im Wege des Cloud Computings müssen rechtliche Anforderungen zwingend eingehalten werden. Die angemessene Umsetzung aller relevanten Datenschutzund Compliance-Anforderungen ist entscheidend, um möglichen (IT-) Sicherheits- beziehungsweise Datenschutzvorfällen wirksam vorbeugen zu können. Das Seminar vermittelt einen Überblick über Compliance-Anforderungen und deren Umsetzung im Rahmen von Cloud Computing. Die Teilnehmer lernen in diesem Seminar, • welches die wichtigsten Compliance-Anforderungen im Cloud-Computing sind, • wie Organisationen diese Anforderungen umsetzen können und • wie der „Compliance-Nachweis“ erbracht werden kann.
Foto: scusi / Fotolia.de
Referent Srdan Dzombeta TERMIN 11. bis 15. Februar 2013 Förderer Bundesministerium für Wirtschaft und Technologie im Rahmen der Task Force „IT-Sicherheit in der Wirtschaft“ PREIS Die Teilnahme ist kostenlos.
Seite
22 | 23
Newsline | Dezember 2012
Smart Meters kommen – mit Sicherheit? Smart Grids – zu Deutsch: intelligente Stromnetze – sind derzeit in aller Munde. Damit ist gemeint, alle Akteure auf dem Strommarkt durch das Zusammenspiel von Erzeugung, Speicherung, Netzmanagement und Verbrauch in einem Gesamtsystem zu vereinen. Um hierfür zukunftssichere Lösungen zu realisieren, müssen noch viele offene Punkte bedacht werden. Ein ganz wichtiger dabei ist die Sicherheit von Smart Metern, den kommenden digitalen Strom-Messund Steuerungsgeräten. Von Prof. Dr. Hartmut Pohl und Ekkehart Gerlach
Smart Meter sollen kundenbezogene Informationen, wie die Verbräuche angeschlossener Geräte, sammeln und Informationen, wie z. B. Tarifierungsprofile der Energieunternehmen, speichern. Ziel ist, die Qualität zu steigern und mit flexiblen Tarifen und aktueller Angebotssteuerung Kosten zu sparen. Doch Kritiker glauben, dass intelligente Stromzähler zu viele Daten erheben können – beispielsweise, wann eine Wohnung von wie vielen Personen bewohnt und wann z. B. Fernsehen konsumiert wird. Sie befürchten, dass die Verbräuche manipuliert werden oder gar Hacker die Geräte abschalten können. Darüber hinaus sollen über die in jedem Haus installierten Smart Meter alle Stromanbieter mit allen Verbrauchern verbunden werden – also auch alle Endkunden untereinander. Gründe gibt es also mehr als genug, Smart Meter besonders stark abzusichern. So müssen die Verbrauchsdaten der Kunden gegen unberechtigte Kenntnisnahme oder Auswertung und die Tarifdaten gegen Manipulation hinreichend geschützt werden. Die Steuer daten im Smart Meter müssen so gesichert werden, dass z. B. der Strom nicht von Unberechtigten abgeschaltet werden kann. Und auch die Energieunternehmen müssen Angriffe aus dem Smart Grid verlässlich abwehren können.
Foto: Spectral-Design / Shutterstock.com
Wie wichtig dieser Schutz ist, zeigen die leider erfolgreichen Angriffe auf Industriesteuerungen, die mit den im Internet übertragenen Würmern Stuxnet, Duqu, Flame, Mahdi, Gauss oder Shamoon sowie deren Nachfolgern, Varianten und Derivaten durchgeführt wurden. Es ist zu befürchten, dass zukünftig nicht nur – wie geschehen – weit entfernt liegende Uranzentrifugen angegriffen werden, sondern auch die Stromerzeugung und -verteilung in unserer Region. Aber wie sieht es hierzulande mit der Sicherheit für Smart Metering aus? Konkrete Sicherheitsmaßnahmen hierzu werden von der „Technischen Richtlinie BSI TR-03109“ vorgeschrieben und auch mit dem „Protection Profile for the Gateway of a Smart Metering System“ bei der Evaluierung nach den sogenannten Common Criteria abgeprüft. Aber genauso, wie die Risiken in der klassischen Informationstechnik nicht alleine mit Fire walls, Intrusion Detection und Protection Systems, Antivirensoftware und Verschlüsselung abzuwenden sind, reichen auch hier die herkömmlichen Ansätze nicht aus. Stuxnet & Co. waren und sind deshalb erfolgreich, weil
sie eine Reihe von bis dahin unbekannten Sicherheitslücken ausgenutzt haben. Daher müssen alle beteiligten Systeme – insbesondere aber das Smart Metering Gateway – mit geeigneten Verfahren zur Identifizierung bisher nicht erkannter Sicherheitslücken überprüft werden. Drei solcher Verfahren sind:
Architectural Analysis: Threat Modeling Bereits im Design muss Sicherheit berücksichtigt werden. Nach einer vollständigen Analyse schützenswerter Komponenten sowie etwaiger Bedrohungen beginnt deshalb die Identifizierung und der Nachweis von Sicherheitslücken mit der Analyse der Dokumentation. Dazu gehört auch eine Untersuchung der Programmablaufpläne und der Datenflussdiagramme von und zu allen Kommunikationspartnern wie Stromherstellern und Verteilern bis hin zu Haushaltsgeräten, anderen Verbrauchern, Zählern und Anzeigeeinheiten.
Static Source Code Analysis Dieses Verfahren wird Tool-gestützt durchgeführt. Analysiert wird der Source-Code (Whiteboxtest) der Zielsoftware, ohne ihn auszuführen – sogar bis hin zur semantischen Analyse. Damit ist es möglich, auch komplexe Fehler zu identifizieren, die etwa auf Race Conditions, Deadlocks oder falscher PointerVerwaltung basieren.
der Regel mangels Fachwissen wohl nur für eine partielle oder lediglich vordergründige Sicherheit sorgen würden. Erst durch den Einsatz eines umfassenden Sicherheitskonzepts, das alle Aspekte der Sicherheit mit geeigneten Verfahren adressiert, können die Forderungen nach vertrauenswürdiger und sicherheitslückenfreier Software erfüllt werden.
Prof. Dr. Hartmut Pohl ist Professor für Informationssicherheit/Softwaresicherheit an der Hochschule Bonn-Rhein-Sieg und geschäftsführender Gesellschafter der softScheck GmbH in Köln mit Sitz in Sankt Augustin. Das ITSicherheitsberatungsunternehmen ist seit mehr als zehn Jahren aktiv; einer der Beratungsschwerpunkte ist die Identifizierung bisher nicht erkannter Sicherheitslücken in Software und Hardware.
Ekkehart Gerlach ist Geschäfts führer der deutschen medien akademie GmbH in Köln. Ziel der Akademie ist es, als unabhängige und neutrale Fachakademie im Bereich von Kommunikation und Medien, insbesondere neuer Medien und neuer Technologien, Unternehmen wettbewerbs- und zukunftsfähiger zu machen.
Dynamic Analysis: Fuzzing Mit dieser „Blackboxtechnik“ werden Sicherheitslücken kostensparend ohne Kenntnis des Quellcodes frühzeitig identifiziert. Dazu werden geeignete Testdaten in das Zielprogramm eingespeist. Die Verarbeitung dieser Testdaten führt zu einem gewünschten fehlerhaften Verhalten des Zielprogramms (Crash, hoher Verbrauch an Ressourcen wie Rechenzeit). Dieses anomale Verhalten wird mithilfe eines Monitoringtoolsv protokolliert und voranalysiert. Sicherheitslücken werden durch Reproduzierung der Anomalie und Erstellen eines Exploits nachgewiesen. Für diese Technik wird ausschließlich der ausführbare Maschinencode benötigt. Selbst wenn Smart Metering vielen noch als „Zukunftsthema“ erscheint, ist es höchste Zeit für den umfassenden Einbezug dieser Sicherheitsverfahren. Dies gilt umso mehr, da mit Smart Metering auch zusätzliche Mehrwertdienste möglich werden sollen. Die Sicherheit von Smart Metering darf nicht den Verbrauchern überlassen werden, die in
C O N S U L T
Externer Datenschutzbeauftragter und Datenschutzexpertise für Ihre Projekte
www.bitkom-consult.de /datenschutz
Seite
24 | 25
Newsline | Dezember 2012
Im Gespräch Professor Dr. Hermann Eul
Vorsitzender der Geschäftsführung Intel Mobile Communications GmbH 1. Welches politische Projekt würden Sie sofort umsetzen? Ich würde alle Maßnahmen ergreifen, um Deutschland zum Vorreiter bei der nächsten Stufe der vernetzten und kommunizierenden Geräte zu machen. Eingebettete Systeme, vernetzte eingebettete Systeme, Cyber Physical Systems und letztendlich das Internet der Dinge und Dienste markieren die nächste Stufe der industriellen Entwicklung. Die Vernetzung bisher voneinander unabhängiger Geräte und Anwendungen wird unsere Lebensqualität verbessern, den Ressourcenverbrauch verringern und neue Geschäftsfelder eröffnen. Diejenige Volkswirtschaft, die hierfür die technischen und regulatorischen Grundlagen entwickelt, die benötigten Produkte herstellt und sich zum Leitmarkt für die Anwendungen etabliert, wird noch jahrzehntelang davon profitieren. Der Amtseid eines führenden Politkers verlangt, Schaden vom Land abzuwenden. Andersherum kann man aber auch fragen: Was bringt dem Land Nutzen? Deutschland zum Vorreiter bei Cyber Physical Systems zu machen, das würde der Wirtschaft und dem Land nutzen. 2. Welche Leistung (Politik, Kunst, Architektur) bewundern Sie? Vorausdenken, antizipieren und umsetzen, auch gegen Widerstände. In der Politik fallen mir da die Kanzler Schmidt und Kohl ein. Schmidt mit seinem klaren Verständnis für die Sicherheitsarchitektur im Kalten Krieg und dem Durchsetzen des Nato-Doppelbeschlusses. Das hat ihm und seiner Partei politisch geschadet, aber dem Land genutzt. So handelt ein Staatsmann. Kohl mit seiner klugen Analyse der politischen Rahmenbedingungen 1989 und seiner sofortigen Umsetzung der deutschen Einheit innerhalb eines Jahres gegen massive Bedenken der europäischen Alliierten und der westdeutschen Bevölkerung. Man muss sich das noch mal in Erinnerung rufen: Am 9. November 1989 fiel die Berliner Mauer, am 3. Oktober 1990, also nicht einmal ein Jahr später, fand die deutsche Wiedervereinigung statt. Wenn man bedenkt, wie lange oft kleinere Umgestaltungsprozesse in der Politik, aber auch in Unternehmen dauern, dann habe ich vor dieser Leistung großen Respekt – zumal völlig unklar ist, ob wir die Wiedervereinigung überhaupt bekommen hätten, wenn Kohl langsamer gehandelt hätte. Im Dezember 1991 musste Gorbatschow zurücktreten. 3. In wessen Rolle würden Sie gerne einmal schlüpfen? In keine andere als meine. Ich fühle mich in meiner Haut sehr wohl. 4. Ein Rückblick: Was von dem bisher Erreichten macht Sie besonders stolz? Dass ich auf allen Kontinenten Freunde habe und dass mir so viele Menschen vertrauen.
5. Ein Blick in die Zukunft: Was möchten Sie unbedingt tun? Mehr Zeit mit meiner Familie verbringen. 6. Was motiviert Sie? Einen Nutzen zu stiften! Das gilt sowohl für die Menschen, mit denen ich zusammenarbeite, und meine Verantwortung für mehr als 8.500 Mitarbeiter und Mitarbeiterinnen als auch dafür, zu beweisen, dass man aus Deutschland heraus Halbleiterchips für die ganze Welt schaffen kann, auch wenn die Leitkunden längst in den USA und in Asien sind – das ist eine Riesenaufgabe. Das fasziniert mich. 7. Ein Tag ist gelungen, wenn …? … ich abends nicht nur einen Tag älter, sondern auch einen Tag näher an meinem Ziel bin und dies mit interessanten Menschen tun konnte. 8. Wofür hätten Sie gerne mehr Zeit? An erster Stelle natürlich für meine Familie. Allerdings hätte ich auch ganz gerne mehr Zeit für Bewegung. Beides lässt sich gut kombinieren, da meine Familie im Winter auch Ski und Snowboard fahren mag und im Sommer Wasserski und Wakeboard. Nur das Wandern in den Bergen haben wir dem Sohn noch nicht nahebringen können … 9. Welche Eigenschaft schätzen Sie an anderen Menschen? Eine positive Grundhaltung – ich mag Menschen, für die das Glas nicht halb leer, sondern halb voll ist. 10. Was schätzen Ihre Mitarbeiter an Ihnen? Ich motiviere mit Begeisterung, lebe die Leidenschaft für meine Arbeit vor. Allerdings kommt das einher mit hohen Ansprüchen an mich selbst und andere. Mein Führungsprinzip ist: Nur Lob ist zu wenig. Es gibt immer Dinge zu verbessern. Das muss uns anspornen. 11. Eine Lebensweisheit? Der Pessimist sieht in jeder Aufgabe ein Problem. Der Optimist sieht in einem Problem eine Aufgabe. 12. Ihr schönstes Reiseziel? Das ist bei einem Leben aus dem Koffer und über die Kontinente ganz leicht zu sagen: nach Hause! Dennoch kann ich einige Empfehlungen geben. Es gibt wunderschöne Plätze, an denen ich nur einmal war. Aber auch Orte, die ich beliebig oft besuchen kann, z. B. meinen Heimatort, in dem meine Eltern leben, oder Rom, San Francisco und die Karibik. Ach, und übrigens, diese Frage stachelt mich zu einer kleinen Zugabe an. Sie müsste nämlich heißen „Ihre schönste Reise?“ Man verbringt nämlich im Leben viel mehr Zeit mit dem Reisen als mit dem Erreichen des Ziels. Also achtet man besser darauf, dass die Reise schön ist – selbstverständlich zum richtigen Ziel. Kurz: Oft ist der Weg das Ziel.
Professor Dr. Hermann Eul ist Corporate
Bevor Eul 2011 zu Intel ging, war er Vorstandsmitglied der Infineon Technologies AG
Vice President und General Manager der
und war dort für die Bereiche Marketing und Vertrieb, Forschung & Entwicklung sowie
Mobile and Communications Group (MCG)
Technologie verantwortlich. Davor war Eul Präsident von Infineons Geschäftsbereich
der Intel Corporation und verantwortlich
Communication, zu dem die Segmente für drahtgebundene und drahtlose Kommuni-
für alle Mobilfunk-, Tablet- und Wireless-
kation gehörten. In der Zeit seiner Vorstandstätigkeit gelang Infineon die erfolgreiche
Aktivitäten bei Intel.
Neuausrichtung hin zu einem hochprofitablen Konzern. 2011 wurde das Firmensegment
Prof. Dr. Hermann Eul ist ebenfalls Vor-
für drahtlose Kommunikation zu Intel Mobile Communications, das Firmensegment für
sitzender der Geschäftsführung der Intel
drahtgebundene Kommunikation wurde 2009 zu Lantiq.
Mobile Communications GmbH mit Sitz
2003 wurde Eul als Universitätsprofessor an die Universität von Hannover berufen. Von
in Neubiberg, Bayern. Intel Mobile Com-
1996 bis 2003 bekleidete er verschiedene Positionen in der Infineon Firmenleitung, davor
munications entwickelt und vertreibt
auch bei Siemens, im Bereich für drahtgebundene und drahtlose Kommunikation sowie
weltweit führende Produkte im Bereich der drahtlosen Kommunikation für Mobiltele-
für Smartcards und Sicherheitstechnik.
fone – von preisgünstigen Einsteigertelefonen bis hin zu High-End-Smartphones, Tablet-
Hermann Eul studierte Elektrotechnik und hält einen Doktor- sowie Professorentitel in
Computern und Peripheriegeräten. Hermann Euls Zuständigkeitsbereich umfasst die
Ingenieurwissenschaften.
strategische Ausrichtung, Forschung & Entwicklung, Marketing und Vertrieb sowie die
Eul ist Mitglied des Bitkom-Präsidiums und engagiert sich zusätzlich in weiteren
Unternehmensführung.
Bildungs- und Industrieorganisationen.
Impressum Herausgeber: Bitkom Akademie Bitkom Servicegesellschaft mbH Albrechtstraße 10 10117 Berlin-Mitte Telefon 030 – 944002– 41 Telefax 030 – 944002–55 info@bitkom-akademie.de www.bitkom-akademie.de
Redaktion: Meike Beck, Bitkom Akademie, Berlin Thomas Seidel, Leitung Bitkom Akademie, Berlin Iris Köpke, Köpke PR, Niederkassel Gestaltung und Lektorat: mattheis. werbeagentur gmbh, Berlin www.mattheis-berlin.de Druck, Verarbeitung und Versand: Möller Druck und Verlag GmbH, Ahrensfelde PLUSPRINT VERSAND SERVICE, Ahrensfelde
Anzeigenleitung: Meike Beck, Bitkom Akademie, Berlin V. i. S. d. P.: Anja Olsok, Geschäftsführung Bitkom Servicegesellschaft mbH, Berlin Titelmotiv: Daniela Stanek / BITKOM Copyright: ©2012 Bitkom Akademie
Seite
26 | 27
Newsline | Dezember 2012
Zeit zum Handeln – Burn-out in der IT-Branche vermeiden Arbeitsausfälle und Leistungsprobleme, die durch Stress und Burn-out verursacht werden, treten immer öfter auch in Unternehmen der IT-Branche offen zutage. Die gesundheitlichen Probleme und deren Folgen schaden sowohl den Mitarbeitern als auch den Unternehmen. Deshalb sollten sich Arbeitgeber die Frage stellen: Wie lassen sich psychische Belastungen und Beanspruchungen möglichst effektiv und kosteneffizient erfassen und reduzieren? Von Stephanie Weyer und Kai Breitling
Dr. Erich Latniak und Dr. Anja Gerlmaier, zwei wissenschaftliche Mitarbeiter an der Westfälischen Hochschule Gelsenkirchen, Bocholt, Recklinghausen, sind schon 2006 zu dem Schluss gekommen, dass widersprüchliche Arbeitsanforderungen, überlange Ar-
beitszeiten und Leistungsdruck auch immer mehr IT-Spezialisten krank machen. In einer Untersuchung stellten sie fest, dass die Mitarbeiter in den befragten Softwareentwicklungs- und -beratungsprojekten bis zu viermal häufiger unter psychosomatischen Beschwerden litten als der Durchschnitt der Beschäftigten in Deutschland. Stressphasen von mehr als acht Wochen führten zu einer Zunahme chronischer Erschöpfung – einem Frühindikator für Burn-out. Rund 40 Prozent der Befragten wiesen deutliche Anzeichen dafür auf. Etwa 30 Prozent hatten zudem Probleme damit, sich zu erholen, was als Vorstufe zum Burnout gilt. In Workshops des TÜV Nord gaben Mitarbeiter aus IT-Abteilungen an, dass vor allem Zeitdruck, überlange Arbeitszeiten, die gleichzeitige Einbindung in mehrere Projekte, ungeplante Zusatzaufgaben, widersprüchliche Arbeitsanforderungen, Behinderungen durch unzureichende Arbeitsmittel und fehlende Entscheidungen aus dem Management arbeitsbedingten Stress auslösen.
Definition von Stress und Burnout Aber was genau ist eigentlich Stress und was versteckt sich hinter dem Begriff Burn-out? Unter Stress wird laut dem deutschen Soziologen Professor Alfred Oppolzer ein Zustand angstbedingt erregter Gespanntheit verstanden, der durch die Arbeitsbeanspruchung entsteht und mit Gefühlen des Kontrollverlustes, der Bedrohung, des Ausgeliefertseins und der Hilflosigkeit einhergeht. Häufige und typische Auslöser von Stress sind zum Beispiel Zeitdruck, Überlastung und Überforderung, zwischenmenschliche Konflikte, dauernde Ablenkungen bei der Arbeit oder Informationsüberflutung. Mit dem Begriff Burn-out wird ein Zustand psychischer, physischer, kognitiver und emotionaler Erschöpfung beschrieben. Er ist gekennzeichnet von dem Gefühl, durch die Arbeit ausgelaugt und ausgebrannt zu sein. Die Folgen sind z. B. reduzierte Leistungsfähigkeit, Abbau der Motivation, Energielosigkeit, reduzierte Anteilnahme an anderen und am sozialen Leben, chronische Müdigkeit und körperliche
Foto: DNY59 / istockphoto.com
In den letzten 30 Jahren hat sich laut BKK Gesundheitsreport 2011 der Anteil der psychischen Störungen am Krankenstand mehr als verdreifacht. Durchschnittlich sind die Erkrankten 40 Tage arbeitsunfähig – also deutlich länger, als bei allen anderen Krankheitsarten, die im Durchschnitt mit 14 Tagen zu Buche schlagen. Darüber hinaus bilden psychische Erkrankungen und Verhaltens störungen mit 40 Prozent die häufigste Diagnosegruppe für Frühverrentungen. Auch in der IT-Branche, in der die Arbeit aufgrund der hohen Freiheitsgrade, dem relativ großen Raum für Kreativität und den flexiblen Arbeitszeiten lange Zeit als gute und gesunde Arbeit galt, häufen sich die Berichte über steigende psychische Belastungen.
Beschwerden. Während Burn-out ursprünglich als Symptomatik bei helfenden Berufen entdeckt wurde, geht man aus heutiger Sicht davon aus, dass Personen aus allen Berufsgruppen betroffen sein können. Und zwar insbesondere Personen, die sich stark engagieren und sich selbst anspruchsvolle Ziele setzen.
Zeit zum Handeln Der aktuelle Anstieg der Arbeitsausfälle und Leistungsprobleme in der IT-Branche, die durch Burn-out und Stress verursacht sind, zeigt die Notwendigkeit zum Handeln. Viele Chefs wissen inzwischen, dass psychische Fehlbeanspruchungen den Unternehmenserfolg gefährden können. Hohe Kosten aufgrund von Fehlzeiten, die Abwanderung guter Mitarbeiter und ein beschädigtes Firmenimage sind nur einige der Auswirkungen, die schlechte Arbeitsbedingungen mit sich bringen können. Dennoch tun Manager allzu oft nichts dagegen. Der schlichte Grund: Sie wissen nicht, was zu tun ist. Hier spielt die gesellschaftliche Tabuisierung des Themas eine wichtige Rolle und auch die Frage, ob für derlei Probleme nicht eher die Personalabteilung oder gleich der Psychotherapeut zuständig ist. Dabei wird übersehen: Die Unternehmensführung hat nicht nur das Recht, Mitarbeiter ziel- und ergebnisorientiert einzusetzen, sondern auch eine Fürsorgepflicht. Existieren belastende Arbeitsbedingungen, muss die Geschäftsleitung für Abhilfe sorgen. Welche konkreten Maßnahmen dafür geeignet sind, hängt von den jeweiligen Voraussetzungen im Unternehmen ab und sollte gemeinsam mit der Personalabteilung und weiteren Beteiligten, z. B. dem Betriebsrat oder externen Experten, diskutiert werden. Allererste Maßnahme aber ist, zu identifizieren, wo die tatsächlichen Belastungsquellen im Unternehmen liegen. Ansonsten besteht die Gefahr, dass etwaige Maßnahmen nur Symptome behandeln, ohne die Ursachen anzugehen. Am einfachsten ist dafür die Analyse der Fehlzeiten. Allerdings sind hiervon keine Rückschlüsse auf die Ursachen der Abwesenheit möglich. Ergänzt werden können diese Daten durch den Gesundheitsbericht der Krankenkassen. Aussagekräftiger, aber auch aufwendiger ist z. B. eine Arbeitsplatzbegehung durch Experten. Denkbar ist auch eine Mitarbeiterbefragung, in der explizit nach weichen Faktoren, etwa dem Betriebsklima und der Führungsqualität, gefragt werden
Stephanie Weyer, Jahrgang 1981, ist Diplom-Psychologin und arbeitet am Medizinisch-Psychologischen-Institut Hamburg der TÜV NORD Mobilität GmbH & Co. KG. Dort befasst sie sich hauptsächlich mit der betrieblichen Gesundheitsförderung und der Gefährdungsbeurteilung psychischer Belastung und Beanspruchung. Davor war sie bei der Daimler AG am Standort Stuttgart-Sindelfingen zuständig für die Konzeption, Gestaltung und Evaluation ergonomischer Mensch-Maschine-Schnittstellen im Pkw-Bereich.
kann. Eine weitere Möglichkeit sind moderierte Workshops, in denen die Beschäftigten die Möglichkeit haben, Problemfelder detailliert zu beschreiben und gleichzeitig praxisnahe Lösungen zu erarbeiten.
Gesundheit hat viele Gesichter Es gibt kein allgemeingültiges Vorgehen, das für alle Unternehmen gleichermaßen geeignet ist, um das Wohlergehen der Beschäftigten zu steigern. Grundsätzlich gilt jedoch: Gesundheit kann auf vielen Ebenen im Unternehmen gefördert werden. Angefangen von individuellen Präventionsmaßnahmen (Entspannungstraining, kostenloses Obst, Vorsorgeuntersuchungen) über gesundheitsgerechte Arbeitsbedingungen (Anpassung der Arbeitsmenge, Optimierung der Arbeitsorganisation, Umgang mit E-Mails und Anrufen nach Feierabend, Verbesserung des Teamklimas) bis hin zu Weiterbildung und Personalentwicklung. Auch Themen wie ein kurzer Draht zum Chef, offene Kommunikation mit den Beschäftigten, Wertschätzung und Anerkennung, Entscheidungsspielräume oder die aktive Bearbeitung von Konflikten leisten einen wichtigen Beitrag zur Vermeidung von psychischen Beeinträchtigungen. Dabei ist zu beachten, dass gesundes Führen nur möglich ist, wenn auch das Führungspersonal selbst nicht allzu belastenden Arbeitsbedingungen ausgesetzt ist. Hierfür ist letztlich die Geschäftsleitung verantwortlich. Sie kann beispielsweise durch die Aufnahme des Themas Gesundheit in die Unternehmenspolitik Rahmenbedingungen für eine gesundheitsförderliche Struktur im gesamten Unternehmen schaffen. Das Seminar
Kai Breitling ist DiplomPsychologe und arbeitet am Medizinisch-PsychologischenInstitut Berlin der TÜV NORD Mobilität GmbH & Co. KG. Dort befasst er sich hauptsächlich mit dem betrieblichen Gesundheitsmanagement. Davor war er wissenschaftlicher Mitarbeiter an der Universität Potsdam und der Humboldt-Universität Berlin und arbeitete an Forschungsprojekten in den Bereichen Fahreignung sowie Mitarbeiterbeteiligung und Innovationsmanagement.
Das Seminar Anstieg von psychischen Belastungen in der IT-Branche
Inhalte Führungskräfte haben zahlreiche Möglichkeiten, auf das Wohlbefinden Ihrer Mitarbeiter einzuwirken und dadurch ihre Leistungsfähigkeit zu erhalten bzw. zu fördern. In dem Online-Seminar „Gesundheitsgerecht Führen“ erhalten die Teilnehmer dazu wertvolle Informationen und Handlungshilfen.
Inhalte Mitarbeiter müssen ständig neue Anforderungen bewältigen, rasch komplexe Informationen verarbeiten, gänzlich andere Aufgaben übernehmen und neue Technologien zu beherrschen lernen – bei konstant hohem Termindruck und Erfolgszwang. Gerade in der IT-Branche häufen sich die Berichte über steigende psychische Belastungen. Teilnehmer dieses Online-Seminars erfahren u. a., wie sich psychische Belastung und Beanspruchung möglichst effektiv und kosteneffizient erfassen und reduzieren lassen.
Referent Kai Breitling
Referent Stephanie Weyer
TERMIN 28. Januar bis 01. Februar 2013 22. bis 26. April 2013
TERMIN 11. bis 15. Februar 2013 22. bis 26. April 2013
PREIS (zzgl. MwSt.) 170,– / 140,– EUR (Bitkom-Mitglieder)
PREIS (zzgl. MwSt.) 170,– / 140,– EUR (Bitkom-Mitglieder)
Gesundheitsgerecht führen
Seite
28 | 29
Newsline | Dezember 2012
Seminarübersicht Ausführlichere Informationen zu allen Seminaren finden Sie unter: www.bitkom-akademie.de Liebe Leser, buchen Sie zukünftig unsere maßgeschneiderten Inhouse-Seminare. Bei Ihnen vor Ort, alternativ als Online-Format oder als kostengünstige, bequeme Kombinationen aus Präsenz- und Online-Schulungen. Wir garantieren eine hohe Durchführungsqualität, z. B. mit unseren eigens ausgebildeten Online-Referenten. Gerne berät Sie Frau Beck.
Meike Beck Referentin Bitkom Akademie Tel. 030 - 944002-25 m.beck@bitkom-service.de
Thomas Seidel Leiter Bitkom Akademie Tel. 030 - 944002-48 t.seidel@bitkom-akademie.de
Inhouse-Seminare (unsere Topthemen) Datenschutz, IT-Sicherheit
• Sicher trotz Smartphone und Laptop • Datenschutz für Personaler Compliance, Arbeitsrecht und PM
• Compliance in IT-Projekten • IT-Vertragsrecht • IT-Projektmanagement Vertrieb, Social Media
• • • • •
Kundenorientierte Kommunikation Systematische Kunden- und Auftragsakquise Erfolgreich telefonieren in Beratung und Vertrieb Facebook, Twitter & Co. im Unternehmenseinsatz Marketing mithilfe des virtuellen Raumes
Marketing, Messen, PR
Soft Skills
• Messeauftritte • Schulung Live-Online-Moderation Führung
• • • • • • • •
Führung und Persönlichkeit Führungsseminar Betriebswirtschaft Führen ohne Vorgesetztenfunktion Standortübergreifende Personalführung Verhandlungsführung/Argumentation Talente finden und binden – Coaching Schwachstellen der Unternehmenskommunikation Gesundheitsgerechtes Führen
• • • • • •
Betriebswirtschaft für Nichtkaufleute Sicher und souverän auftreten Präsentation, Moderation und Rhetorik Selbst- und Zeitmanagement Belastung – Stress – Burn-out-Prävention „Wenn zwei sich streiten …“ – Konflikte kompetent und konstruktiv lösen • Improved Reading – schneller lesen mit System • „Andere Länder, andere …“ – Training interkultureller Kompetenzen
Frau Kreicsi berät Sie bei dem offenen Seminarprogramm und den Online-Seminaren. Sie ist zuständig für die Organisation und Durchführung der gebuchten Seminare. Bitte beachten Sie unsere attraktiven Rabatte für Bitkom-Mitglieder.
Ulrike Kreicsi Assistentin Bitkom Akademie Tel. 030 - 944002-41 u.kreicsi@bitkom-service.de
Referent
Termin
Ort
Preise in EUR
Neue Kostenoptimierung: (K)Ein Thema für KMU?
deutsche medienakademie
22.01.2013
Köln
90,–* / 150,–
Smart TV – vom Buzzword zum Massenmarkt?
deutsche medienakademie
19.02.2013
Köln
190,–* / 290,–
Bewertungsplattformen im Internet: o. k. oder oje?
deutsche medienakademie
12.03.2013
Berlin
90,–* / 150,–
Drahtlos statt Festnetz?
deutsche medienakademie
16.04.2013
Düsseldorf
190,–* / 290,–
B2B-Online-Marketing: Was geht noch online, per E-Mail und Social Media?
deutsche medienakademie
07.05.2013
Berlin
190,–* / 290,–
Offene Seminare
(alle Preise zzgl. MwSt.)
Trendthemen
Kostensenkungspotenziale bei mittelgroßen und kleinen Unternehmen unter besonderer Berücksichtigung des ITK-Bereichs Vieles ist hip, aber was wird der Normalverbraucher kaufen und nutzen? Eine Bewertung – am Beispiel Arbeitgeberbewertungen Funken wir nur noch und wenn ja, mit welchen Geschäftsmodellen?
Marketing zwischen freier Fahrt in den elektronischen Medien sowie deutschem und EU-Datenschutz
* Preis für BITKOM-Mitglieder
deutsche medienakademie
11.06.2013
Düsseldorf
190,–* / 290,–
Interner Datenschutzbeauftragter
Lars Kripko
14./15.03.2013 19./20.03.2013 21./22.03.2013
Berlin Köln München
2.490,–* / 2.890,–
Datenschutz für Personaler
Tim Wybitul/Lars Kripko
05.03.2013
Frankfurt
480,–* / 690,–
Compliance im Outsourcing
Srdan Dzombeta/ Hannelore Jorgowitz
26.03.2013
Berlin
150,–* / 180,–
Kompaktkurs Compliance-Management
Dr. Jörg Karenfort/ Gero von Pelchrzim
26.02.2013 22.05.2013
Berlin
480,–* / 690,–
Stefan Hable
24.01.2013 24.04.2013 08.05.2013
Berlin
190,–* / 290,–
Teamaufbau und -entwicklung
Stefan Hable
12.02.2013 16.05.2013
Berlin
190,–* / 290,–
Standortübergreifende Personalführung
Stefan Hable
21.03.2013
Berlin
190,–* / 290,–
ISPMA Certified Software Product Manager
Hans-Bernd Kittlaus
22.– 24.04.2013
Berlin
2.490,–* / 2.890,–
IT-Projektmanagement – Grundlagen
Andreas Frick (GPM)
25./26.04.2013
Berlin
990,–* / 1.325,–
Mobile Dokumentenprozesse
BITKOM ECM vor Ort
14.02.2013
Berlin
190,–* / 290,–
15. Breitband-Forum KölNRW:
Glasfaser – „Steter Tropfen füllt das Fass“ Wie kommt Deutschland ins Gigabit-Zeitalter voran? Datenschutz
Ausbildung inklusive sechsmonatigem Online-Experten-Coaching
Compliance
Die wichtigsten Anforderungen im Cloud Computing Organisation, Verfahren, Grundzüge AntikorruptionsCompliance und Kartellrechts-Compliance Vertrieb
Kundengewinnung und Auftragsakquise
Neukunden gewinnen mit System – sichern Sie Ihre Auftragslage! Führung
Lernen Sie, wie Teams funktionieren und wie man sie führen sollte Projektmanagement
Erleben Sie eine neue Dimension der Online-Seminare. Mehrtägige Seminare mit Tiefgang, persönlicher Betreuung und Bezugnahme auf Ihre Branche. Ohne Reisekosten mittendrin sein, bei flexibler Zeiteinteilung und Lernen in der Gruppe. Die gesamte Bearbeitungszeit pro Seminar beträgt ca. 5 Std. In den kostenfreien Live-Online-Seminaren werden in 45 Minuten die Themen kurz und bündig vorgestellt. Lassen Sie sich anregen und beeindrucken von Thema und Online-Technik und buchen Sie gleich im Anschluss an die 45 Minuten den vertiefenden Online- oder Präsenzkurs. Referent
Termin
Ort
Preise in EUR
Datenschutz in der Personalarbeit –
Lars Kripko/Thomas Müller
24.01.2013 21.03.2013 16.05.2013
Online
Kostenlos
Datenschutz bei der Webseitengestaltung
Lars Kripko/Thomas Müller
07.02.2013 04.04.2013 13.06.2013
Online
Kostenlos
BYOD, CYOD, Schatten-IT
Lars Kripko
21.02.2013 18.04.2013 27.06.2013
Online
Kostenlos
Mobile Dokumentenprozesse
Willi Engel
17.01.2013
Online
Kostenlos
Datenschutzbeauftragter Fortbildung
Lars Kripko
18.02.– 01.03.2013 27.05.– 06.06.2013
Online
140,–* / 170,–
Datenschutz für Personaler
Lars Kripko
06.– 10.05.2013
Online
140,–* / 170,–
Webaktivitäten datenschutzkonform gestalten
Lars Kripko/Thomas Müller
21.– 27.05.2013
Online
140,–* / 170,–
Arne Gattermann
13.– 17.05.2013
Online
140,–* / 170,–
Inga Geisler
21.01.2013 08.03.2013 19.04.2013 27.05.2013
Online
Kostenlos
Online-Seminare
(alle Preise zzgl. MwSt.)
Datenschutz
Risiken verstehen am Beispiel Social Media Tracking, Plug-Ins, Anmeldung …
Datenschutz in der neuen Arbeitswelt
Fachkunde auf den aktuellen Stand bringen
Datenschutzcoach für Ihren Web- und Social-Media-Auftritt Compliance, Arbeitsrecht und PM
Variable Vergütung in der IT-Branche Vertrieb
Lernen und Arbeiten im virtuellen Raum –
Wie virtuelle Räume für Marketing, Weiterbildung und Kommunikation eingesetzt werden
* Preis für BITKOM-Mitglieder
Reduzierter Einführungs preis
140*/170,–
Seite
30 | 31
Newsline | Dezember 2012
Referent
Termin
Ort
Preise in EUR
Inga Geisler
18.– 22.02.2013 22.– 26.04.2013
Online
140,–* / 170,–
Marc Tylmann
13.– 17.05.2013
Online
140,–* / 170,–
Management-Briefing: Facebook
Birgit Jordan
11.01.2013
Online
Kostenlos
Management-Briefing: XING
Birgit Jordan
15.02.2013
Online
Kostenlos
Management-Briefing: LinkedIn
Birgit Jordan
15.03.2013
Online
Kostenlos
Management-Briefing: GooglePlus
Birgit Jordan
12.04.2013
Online
Kostenlos
Direktmarketing 3.0 (offline, online, mobile)
Beate Holze
27.02.– 05.03.2013
Online
140,–* / 170,–
Projektmanagement – Grundlagen und spezifische Anwendungen Wissensmanagement, Personalentwicklung und Controlling
Beate Holze
24.– 30.04.2013
Online
140,–* / 170,–
Kommunikation und Wissen
Beate Holze
22.– 28.05.2013
Online
140,–* / 170,–
Gesundheitsgerecht führen
Kai Breitling TÜV Nord
28.01.– 01.02.2013 22.– 26.04.2013
Online
140,–* / 170,–
Stressmanagement
Stephanie Weyer TÜV Nord
04.– 08.02.2013 15.– 19.04.2013
Online
140,–* / 170,–
Anstieg von psychischen Belastungen in der IT-Branche
Stephanie Weyer TÜV Nord
11.– 15.02.2013 22.– 26.04.2013
Online
140,–* / 170,–
Online-Seminare Kundenakquise heute: Sind Sie schon vor Ort oder fahren Sie noch hin?
(alle Preise zzgl. MwSt.)
Wie Sie mit professionellen Webinaren Kunden gewinnen Marketing, Messen, PR
Pressemitteilungen für techn. Themen professionell schreiben Social Media
Effizientes Wissens- und Kommunikationsmanagement
Leistungsfähigkeit erhalten
Alarmzeichen für Überlastung Belastungen erfassen und kosteneffizient reduzieren
* Preis für BITKOM-Mitglieder
Ihre Chancen für neue Geschäfte auf der CeBIT 2013 Präsentieren Sie aktuelle Themen, Lösungen und Innovationen auf dem bedeutendsten Event der digitalen Welt Erreichen Sie Ihre Zielgruppen effektiv durch die Plattformaufteilung pro, gov, lab und life Knüpfen Sie neue internationale Kontakte mit unseren individuellen Matchmaking-Services Folgen Sie uns auf: Heart of the digital world Deutsche Messe AG • Messegelände • Hannover, Germany • Tel. +49 511 89-0 • info@messe.de
IQuiz So haben Sie die Dinge sicher noch nie gesehen … Es ist brillant, bietet satte Farben und gestochen scharfen Text. Dazu fantastische zehn Stunden Batterielaufzeit und volle Power. Das iPad 3 bietet ein beeindruckendes Erlebnis – realistisch und detailliert. Sobald Sie es in die Hand nehmen, geht es los: Sie berühren Ihre Fotos, lesen ein Buch, spielen Klavier. Nichts steht zwischen Ihnen und den Dingen, die Sie lieben. Um all dies genießen zu können, müssen Sie nur unsere Fragen beantworten und ein kleines bisschen Glück haben. Denn unter allen Einsendern der richtigen Antworten verlosen wir ein iPad 3 von Apple (WiFi+3G mit 16 GB RAM). Senden Sie Ihre Lösung bitte bis zum
28. Februar 2013 an info@bitkom-akademie.de oder nehmen Sie alternativ online auf unserer Webseite www.bitkom-akademie.de teil. Dieses Mal dreht sich im IQuiz alles um das Schwerpunktthema der aktuellen Newsline-Ausgabe „IT-Sicherheit“. Kennen Sie sich aus?
01 Welcher der folgenden Begriffe steht nicht für Angriffe auf IT-Systeme:
05
1. Preis: ein Apple iPad (WiFi+3G mit 16 GB RAM, Typennummer: MD366FD/A) 2. – 3. Preis: ein digitaler Bilderrahmen
Y Z O
Phishing Distributed Denial of Service S shoal F Advanced Persistent Threats J Drive-by
02 Wie viel Prozent der in einer Studie von Bitkom und Aris befragten Unternehmen haben keinen Notfallplan für IT-Sicherheitsnotfälle? N
20 % E 45 % Q 60 %
R B
Wofür steht in der IT-Sicherheit der Begriff HSM? Hightech-Security-Masquerade Hardware-Sicherheits-Module Hoax-Safeware-Material
06 Wie viele Online-Seminar-Module müssen Datenschützer bei der Fortbildung der Bitkom Akademie mindestens absolvieren, um eine Teilnahmebestätigung zu erhalten? (Tipp: Lesen Sie zur Beantwortung unsere Newsline-App und auf www.bitkom-akademie.de!) T K
alle 3 E 4 A 5
03 Welche Unternehmen sind in Bezug auf Hackerangriffe gefährdet? C M
Foto: violetkaipa / Fotolia.com
alle internationale Konzerne W Unternehmen ab 500 Mitarbeiter V Firmen mit eigener Entwicklungsabteilung 04 Wie viele IT-Sicherheitsseminare bietet die Bitkom Akademie im Rahmen der BMWi-Kooperation an? X D
20 50 U über 100
Mailen Sie Ihre Lösung bis zum 28. Februar 2013 an info@bitkom-akademie.de oder scannen Sie einfach diesen QR-Code mit dem Smartphone ein oder surfen Sie mit dem mobilen Browser auf quiz.bitkom-akademie.de.
Lösungswort: 01
02
03
04
05
06
Einsendeschluss und Teilnahmebedingungen: Der Einsendeschluss ist der 28.02.2013. BITKOM-Mitarbeiter sind von der Teilnahme ausgeschlossen. Die Gewinner werden schriftlich benachrichtigt. Der Rechtsweg ist ausgeschlossen. Einwilligungserklärung: Ich willige ein, dass die von mir angegebenen Daten für an mich gerichtete Werbung per Post, Telefax oder elektronischer Post sowie zu Zwecken der Marktforschung von der Bitkom Servicegesellschaft mbH verarbeitet und genutzt werden. Die Einwilligung kann jederzeit per E-Mail an info@bitkom-akademie.de widerrufen werden.
Weiterbildung für IT-Anwender, -Profis und -Experten
rstelleriginal He r O : s d r a ainer, nd fizierte Tr alitätssta li u a Q u q te p s h Höc n der e und to rderunge zertifiziert fo , n n e -A g e r la r a Unte er Hardw mpfohlen e g n u ll Erfü r etc. Herstelle
Führendes deutsches IT-Trainings- und Zertifizierungszentrum Über 28 Jahre Erfahrung am Markt An 19 Standorten bundesweit Autorisierungen der Hersteller und strategische Partnerschaften führen zu einem umfangreichen Portfolio Auszug aus dem Portfolio: Microsoft, Oracle, Citrix, Novell, Cisco, Apple, IBM, Hewlett-Packard, Red Hat etc.
Partner der Bitkom Akademie the campus GmbH Unternehmensgruppe TÜV Rheinland fon 0800 34 25 226, info@thecampus.de
www.thecampus.de