Das gemeinsame Whitepaper „Seizing the Potentials of Ecosystems“ von Forscher*innen der EBS Universität für Wirtschaft und Recht, des FIR an der RWTH Aachen und der Universität St. Gallen präsentiert die Kerneigenschaften von Ökosystemen („Business Ecosystems“) auf Basis neuester Forschungsergebnisse und Best Practices. Das Team leitet daraus Empfehlungen für nachhaltige Wettbewerbsvorteile ab.

Ökosysteme als Formen der Wertschöpfung

Ökosysteme repräsentieren neue Formen der Wertschöpfung über Firmen- und Industriegrenzen hinweg. Sie entstehen in allen Industrien und bilden die Grundlage für die wertvollsten Unternehmen. Zwischen 2015 und 2021 etwa hatten 23% aller als “Unicorn” (d.h., mit mehr als 1 Mrd. $) bewerteten Startups ihr Geschäftsmodell maßgeblich auf die Wertschöpfung in Ökosystemen ausgerichtet. Gleichzeitig operierten 22 der S&P (Standard & Poor’s.) Top 100 Unternehmen maßgeblich in Ökosystemen, was einem Anteil von 40% der S&P Top 100 Marktkapitalisierung entsprach.^*)

Whitepaper erläutert neun Kerneigenschaften

Erfolgreiche Unternehmen beweisen, dass sowohl Kunden als auch Firmen von Ökosystemen profitieren. Das enorme Wertschöpfungspotenzial weckt massives Interesse an dieser neuen Form des Wirtschaftens, allerdings fehlt oft ein gemeinsames Verständnis darüber, was Ökosysteme tatsächlich sind und leisten können. Ein interdisziplinäres Team von Forscher*innen hat deshalb die Natur von Ökosystemen anhand von drei Ebenen und insgesamt neun Kerneigenschaften charakterisiert: Ökosystem-Kern

1. Geteilter Zweck und Vision
2. Ko-Kreation zwischen beteiligten Akteuren
3. Modulare, komplementäre Lösungen

Ökosystem-Beziehungen

4. Multilaterale Beziehungen
5. Autonome Akteure
6. Informations-basierte Wertschöpfung

Ökosystem-Milieu

7. Geteilte Werte
8. Gemeinsame technologische Infrastruktur
9. Netzwerk-Effekte

Basierend auf dieser Einteilung gibt das Forscher*innen-Team im Whitepaper konkrete Empfehlungen, um in Ökosystemen nachhaltige Wettbewerbsvorteile im technologischen, sozialen und ökonomischen Umfeld zu erzielen. Best Practices von erfahrenen Manager*innen aus etablierten Industrie-Unternehmen und digitalen Startups verdeutlichen, wie die Kerneigenschaften von Ökosystemen in die Praxis umgesetzt werden. Das Whitepaper in englischer Sprache steht unter seizing-ecosystems.fir.de/white-paper/ kostenfrei zum Download zur Verfügung.

Dieser Beitrag erschien ursprünglich auf m-q.ch - https://www.m-q.ch/de/whitepaper-seizing-the-potentials-of-business-ecosystems/

As a partner for input, output, outsourcing and 3D solutions, Faigle has stood for quality, service and innovation for more than 85 years. Over the years, a variety of offers has emerged that has made orientation difficult, both internally and externally. In order to solve this challenge, the brand experts at Jung von Matt Brand Identity first sharpened the positioning together with Faigle: Faigle is a visionary partner who leads companies into the future with tailor-made solutions and the best service. A power brand for the digital world. For this power, the range of services was bundled, the brand architecture was rethought and the number of brands was reduced. To give the brand even more impact, the brand design was also modernized and made more digital.

Complex and alive

The heart of the new appearance is the word mark and the key visual. The new wordmark communicates the accessibility and dynamism of the company with lowercase italic letters. The complexity of the range of services is illustrated by the key visual, which is based on the data flows of a code matrix and is constantly in motion. Together with a vibrant color palette, it becomes a lively design element with a high recognition value. The brand design expresses the brand at all digital and analogue touchpoints and is intended to make the sharpened positioning tangible. In addition to the look & feel for the web and social media, design concepts for corporate fashion, vehicle lettering and stationery have also been created and are currently being implemented.

---

Responsible at Faigle: Tanja Arnold (Head of Marketing). Responsible at Jung von Matt Brand Identity: Diana Geissel (strategy and project management) Piera Wolf, Loraine Olalia, Christina Widmann (design).

Nach 20 Jahren Swisscom ist Sunrise neue Hauptsponsorin für den Schweizer Ski-Verband Swiss Ski (Werbewoche.ch berichtete). Es herrscht entsprechend viel Erwartung und Druck rund um den neuen nationalen Ski-Renndress.

Das neue Design soll Schnelligkeit nicht nur optisch vermitteln, sondern für die Schweizer Ski-Athlet:innen auch physisch die nötigen Hundertstelsekunden rausholen.

Wie macht ein Design einen Ski-Anzug schneller? Nebst dem Ausrüster Descente waren etliche Experten aus Design und Technik involviert, die gemeinsam dieser Frage nachgingen.

Nebst den Schweizer Ski-Athlet:innen wurde auch die Ski-Legende Karl Frehsner beigezogen. Von dem ersten Design über lasergenaue Fittings und Windkanal-Tests dauerte der Entwicklungsprozess mehr als ein Jahr – alles top-secret.

Doku verrät Entstehungsprozess

Den Weg vom streng geheimen Prozess zu einer Dokuserie ebneten Toby Stüssi von MySports und Flavio Gerber von der Filmgerberei. «An der Entwicklung waren unglaublich viele Leute und Interessen beteiligt. Wir mussten erst das Vertrauen von den grössten Schlüsselfiguren gewinnen. Das hat sich gelohnt: Als Beobachter im vertrautesten Kreis konnten wir ein Gesamtbild zusammenbringen, das sogar für den einzelnen Involvierten so nicht ersichtlich war», so Gerber.

Durch das gewonnene Vertrauen konnten Regisseur Alun Meyerhans und seine Crew die Protagonisten auf und ab der Piste dicht verfolgen und so zur Enthüllung des neuen Ski-Dresses erstmals die gebührende Hintergrund-Geschichte beisteuern.

---

Verantwortlich bei Filmgerberei: Alun Meyerhans (Regie), Susanne Bucher (Producer), Flavio Gerber (Executive Producer), Andi Widmer (DOP), Lea Filadoro (Edit); Jürgen Kupka (Color Grading), Jingle Jungle (Sounddesign, Mischung). Verantwortlich bei Mysports: Toby Stüssi (Executive Producer).

Die Arbeit im Homeoffice prägt inzwischen den Alltag bei vielen Unternehmen. Da der Begriff „Homeoffice“ recht inflationär Verwendung findet, muss man hier allerdings klar unterscheiden, denn nur die wenigsten Arbeitnehmer verfügen tatsächlich über ein klassisches Heimbüro: nämlich einen Arbeitsplatz in den eigenen vier Wänden oder an einem externen Standort, der nicht nur mit der benötigten Software und Hardware vom Arbeitgeber ausgestattet ist, sondern auch über datenschutz-konforme Zugangsbeschränkungen (z. B. abschließbarer Raum, alleinige und ausschließliche Nutzung von Komponenten des Arbeitgebers etc.) verfügt. Das, worauf viele Arbeitnehmer in den Krisenjahren 2020 und 2021 zurückgegriffen haben, ist eher als mobiles Arbeiten zu verstehen, was viele neue Herausforderungen mit sich bringt. Gefährlich wurde es vor allem dann, wenn Lösungen schnell und nicht mit der erforderlichen Sorgfalt eingeführt werden, nur um den Betrieb aufrechtzuerhalten, auch wenn dies zu Lasten der Sicherheit und des Datenschutzes geht. Diese Sicherheitslücken zu schließen, wird auch in 2022 noch viele Unternehmen beschäftigen.

Sichere Anbindung von Heim-Arbeitsplätzen

Welche Auswirkungen der Übergang zur modernen Heimarbeit für die Betriebsabläufe in deutschen Unternehmen mit sich gebracht hat, hängt entscheidend vom Geschäftsmodell, den individuellen Anforderungsprofilen der Mitarbeiter und nicht zuletzt von der betrieblichen IT-Infrastruktur ab.  Welche Ansprüche werden zum Beispiel an die Kommunikation und den Datenaustausch gestellt? Während für den einen etwa ein einfaches Dokumenten-Sharing ausreicht, benötigt ein anderer Mitarbeiter einen Remote-Arbeitsplatz, um an einem komplexen 3D-Modell zu arbeiten. Viele Betriebe mussten zudem mehr Arbeitnehmer in die Heimarbeit schicken, als betriebliche Ressourcen zur Verfügung standen. „Vor diesem Hintergrund verzeichnen wir bis heute eine deutliche Zunahme an Anfragen, um teilweise mehrere Hundert Arbeitsplätze remote arbeitsfähig zu machen und die bestehenden Sicherheitslücken zu schließen. Das Prinzip: Der Nutzer greift mit seinem privaten Arbeitsgerät über eine per Hardware-authentifizierte Terminal-Session auf eine virtuelle Desktop-Umgebung (VDI: Virtual Desktop Infrastructure) des Unternehmens zu. Die private Betriebssystemumgebung und die betriebliche Anwendungsoberfläche sind dabei jederzeit physisch vollständig voneinander getrennte Systemwelten. Auf dem privaten Endgerät können so keine betrieblichen Daten abgespeichert werden, da es keinen Datenzugriff zwischen privater und betrieblicher Umgebung gibt. Das ist eine einfache und effektive Lösung, um eine Vielzahl von Heim-Arbeitsplätzen anzubinden und auch unter Wirtschaftlichkeitsaspekten ein ausreichend hohes Schutzniveau aller Clients zu gewährleisten“, so Holger Priebe, Teamleiter Microsoft und Virtualisierung bei Netzlink. „Demnach verwundert es auch nicht, dass VDI, VMware Horizon und Collaboration-Anwendungen wie Office-365 mit Teams und Sharepoint aktuell die größten Wachstumsbereiche für uns als IT-Systemhaus darstellen, die derzeit auch unsere größten personellen Ressourcen beanspruchen“, ergänzt er.

Engpässe physischer Kapazitäten

Mit der konzeptionellen Frage der Anbindung an das Unternehmensnetzwerk schließen sich auch Fragen nach den physischen Kapazitäten des bestehenden Netzwerkes an: Habe ich eine ausreichende Firewall und genügend Bandbreite zur Verfügung, um alle meine mobilen Mitarbeiter gleichzeitig remote per VPN anzubinden? Müssen die Mitarbeiter überhaupt auf Microsoft-Maschinen remote arbeiten oder reicht es aus, sie über einen klassischen Client arbeiten zu lassen, z. B. durch lokalen Zugriff auf die Office-365-Cloud, sodass die Bandbreite des eigenen Netzwerkes nicht belastet wird? Dabei ist zu beachten, dass es nicht damit getan ist, den Zugang einmalig herzustellen. Es müssen aufgrund dynamischer Anpassungen der IT-Infrastruktur auch Belastungstests stattfinden, um einen reibungslosen und zuverlässigen Live-Betrieb ohne Unterbrechung der Arbeitsabläufe zu gewährleisten. Aber auch der Mitarbeiter braucht eine ausreichende Bandbreite im Heimnetzwerk, um mit der gewohnten IT-Qualität remote zu arbeiten. Ist der Mitarbeiter nur mit einem Client online, sodass es ausreicht, einen VPN-Tunnel aufzubauen, oder muss er vielleicht sogar über einen abgesetzten Access-Point angebunden werden? Das private WLAN ist vielleicht auch durch andere Benutzer bereits ausgelastet oder entspricht nicht den Sicherheitsanforderungen des Unternehmens. Hier kann mit einer LTE-Karte und einem LTE-Modem des Arbeitgebers die Performance und Sicherheit der Verbindung kostengünstig verbessert werden.

Absicherung des Zugangs

Die Absicherung des Zugangs ist dabei stets ein neuralgischer Punkt.  „Der WLAN-Zugang sollte mit einem starken Passwort versehen sein, das in regelmäßigen Abständen gewechselt wird. Optimalerweise wird für die Heimarbeit ein WLAN-Gastzugang verwendet, damit etwaige Firmendaten nicht über dasselbe Netz übertragen werden, das auch andere Anwender im Haus nutzen. Je nach Rolle und Berechtigung stellt sich zudem die Frage, ob die Anmeldung im Netzwerk lediglich über Username und Passwort ausreichenden Schutz bietet oder die Zugriffssicherheit mit einer Zwei-Faktor-Authentifizierung erhöht werden sollte, z. B. mit Token bzw. Einmalpasswort, per Smartcard oder mit Hilfe biometrischer Merkmale“, führt Niklas Lay, Teamleiter Netzwerk und IT-Security bei Netzlink, aus. „Benötigt man bei einzelnen Arbeitsgeräten zusätzlichen Schutz, so kann man auch die Verschlüsselung der Festplatte aktivieren – Windows 10 liefert ja bereits im Betriebssystem einen sogenannten Bitlocker mit, um einem unerlaubten Datenzugriff etwa bei Verlust oder Diebstahl vorzubeugen.“

BYOD – Bewusstsein für Risiken schärfen

Eine latente Gefahr für Unternehmen besteht darin, den Einsatz privater Endgeräte ohne bestehende Leitlinien zu dulden, etwa um eine vermeintlich hohe Mitarbeiterproduktivität zu erhalten. Private Endgeräte sind auch nach zwei Jahren im Krisenmodus für die Datensicherheit im Unternehmen ein ernstzunehmendes Risiko, da sie sich weitgehend der unternehmerischen Kontrolle entziehen. „Vielen Arbeitnehmern fehlt hier zudem das Sicherheitsbewusstsein, dass Smartphones mobile und recht leistungsfähige kleine Rechner mit mitunter nennenswerten Datenspeichern darstellen, die ebenso wie ihre Desktop-Pendants über Firewalls und aktuellen Virenschutz abgesichert werden müssen. Viele Nutzer sind bei einer schlagartigen Veränderung der Arbeitssituation nicht in der Lage, Gefahren und Risiken für sich und das Unternehmen abzuschätzen. Insofern liegt es im Interesse der Unternehmen, das Sicherheitsbewusstsein der Mitarbeiter für die betriebliche Nutzung privater Smartphones mit entsprechenden Leitfäden zu schärfen, um das Unternehmen vor Angriffen auf die IT von außen zu schützen“, mahnt Lay.

Rüstzeug für die nächste Krise: Notfallplan in der Tasche

Mit der zunehmenden Nutzung des mobilen Arbeitens wird der IKT-Betrieb für alle Unternehmen noch wichtiger. Die Anwendungen und Daten dürfen einfach nicht mehr ausfallen. Die beste Vorbereitung für ein erfolgreiches Business Continuity Management ist ein Notfall-Handbuch. Dieses dient der Aufrechterhaltung und Fortführung der kritischen Prozesse, wenn bestimmte Ereignisse die Betriebsabläufe stören oder verhindern. Die komplexen (IT-)Strukturen unserer globalen Kollaborationsnetzwerke machen uns in hohem Maße abhängig von einem kontinuierlichen Geschäftsbetrieb zwischen allen Prozessbeteiligten – intern und extern. Mit der fortschreitenden Digitalisierung wird dies noch wichtiger. Ein nachhaltiges Risikomanagement muss Bestandteil jeder Organisation sein, um die negativen Auswirkungen von Störungen auf den Geschäftsbetrieb einzugrenzen. Leider muss oft erst ein Schadensereignis eintreten, bevor tatsächlich gehandelt wird. Um auf Störungen angemessen zu reagieren, bedarf es einer vorher geplanten und streng methodischen Vorgehensweise, die sämtliche kritischen Prozesse berücksichtigt, Verantwortlichkeiten festlegt und Kommunikationsprozesse definiert, um in kürzester Zeit zu einem produktiven IKT-Betrieb zurückzukehren. Um Unternehmen einen schnellen Überblick über die (ausstattungs-) technischen Basics und die persönlichen Voraussetzungen zu geben, die Unternehmen und Mitarbeiter fit für mobiles Arbeiten machen, bietet Netzlink interessierten Lesern ein E-Booklet zum kostenfreien Download an. 

Dieser Beitrag erschien ursprünglich auf m-q.ch - https://www.m-q.ch/de/vielerorts-noch-kritische-sicherheitsniveaus-mobiler-arbeitsplaetze/

In den letzten Jahren ist es um Swatch leiser geworden, doch seit der Lancierung mehrerer Moonswatch-Modelle Ende März ist die Marke wieder in aller Munde. Die langen Schlangen vor den Swatch-Shops zeugen davon und sind in den letzten drei Monaten nicht kürzer geworden. «Die täglich wachsende Nachfrage in den Märkten übersteigt aktuell bei weitem die verfügbaren Produkte», teilte Swatch am Donnerstag gleichzeitig mit den Halbjahresergebnissen mit. Die Moonswatch sei deshalb kurz nach der letzten Lieferung bereits wieder ausverkauft. Die jeweiligen Farben der Uhr stehen für verschiedene Planeten und weitere Himmelskörper wie Sonne, Mond und Pluto.

Geschickte Marketingstrategie

Dass der Hype um die Moonswatch so gross ist, hat mit einer geschickten Marketingstrategie zu tun. Die Moonswatch, die aus einer Zusammenarbeit der beiden zum Konzern gehörenden Marken Swatch und Omega entstand, wird in nur 110 Filialen der Swatch-Gruppe für 250 Franken das Stück zum Verkauf angeboten. «Wer eine kaufen möchte, muss sich zu uns bewegen», hatte Konzernchef Nick Hayek jüngst gegenüber der Handelszeitung gesagt. Indem die Kunden die Uhr nur in ausgewählten Läden kaufen können, ist die Verfügbarkeit laut Swatch gar exklusiver als bei den konzerneigenen Luxusmarken Breguet, Blancpain oder Glashütte Original. Und obwohl die elf verschiedenfarbigen Uhren auf Social Media gross angepriesen wurden, will Swatch die Moonswatch auch in Zukunft nicht online verkaufen. Im Juli und August soll der Vertrieb aber um 25 Geschäfte erweitert werden. Seit Anfang vergangener Woche sind zudem elf farbige Fiat 500 auf einem Roadtrip quer durch Europa unterwegs und verkaufen die Uhren unterwegs. Auch hier sorgt Swatch aber bewusst für Spannung: Wohin die Reise genau geht, bleibt ein Geheimnis.

Wachstum trotz China-Lockdown

Für sich behält Swatch auch, wie viel die Moonswatch im ersten Halbjahr zum Gruppenumsatz beigetragen hat. Dieser stieg insgesamt um 7,4 Prozent auf 3,61 Milliarden Franken. Und das obwohl in China, wo Swatch normalerweise um die 40 Prozent seiner Verkäufe abwickelt, die Nachfrage nach Uhren und Schmuck im April und Mai wegen Corona-Lockdowns komplett eingebrochen war. Die Schliessungen in China habe Swatch insgesamt 400 Millionen Franken an Umsatz gekostet, hiess es dazu. Dafür verzeichneten die Regionen Europa, Amerika und der Mittlere Osten zweistelliges Umsatzwachstum, während der Ukraine-Krieg den Konzernumsatz mit weniger als einem Prozent beeinträchtigte. Der Betriebsgewinn EBIT kletterte in den ersten sechs Monaten des Jahres gar um einen Viertel auf 503 Millionen Franken in die Höhe. Die entsprechende Marge kommt bei 13,9 Prozent nach 11,9 Prozent im Vorjahr zu liegen. Unter dem Strich stieg der Gewinn auf 320 Millionen Franken nach zuvor 270 Millionen.

Zuversichtlich für Gesamtjahr

Trotz geopolitischer Spannungen und dem Nachfrageeinbruch im für die Uhrenindustrie wichtigen chinesischen Markt zeigt sich Swatch für das Gesamtjahr zuversichtlich. Dazu dürfte wohl auch die «täglich steigende Nachfrage» nach der Moonswatch beitragen. Der Konzern rechnet im laufenden Jahr nach wie vor mit einem zweistelligen Umsatzwachstum in Lokalwährungen. Im zweiten Semester sieht Swatch «äusserst positive» Wachstumsaussichten für alle Preissegmente. Regional werde das stärkste Wachstum in Amerika, Asien und Festlandchina erwartet, hiess es. (SDA/swi)

Bei Positionssensoren steht im Hinblick auf Industrie 4.0 die Kommunikationsfähigkeit im Fokus und IO-Link als die erste hierfür weltweit zertifizierte IO-Technologie (IEC 61131-9) ist ein zentrales Thema. Dank ihr wird die Intelligenz der Sensoren in vollem Umfang für den Automatisierungsverbund nutzbar, was einen deutlichen Mehrnutzen ohne Mehrkosten bedeutet. Novotechnik hat deshalb gleich eine ganze Reihe an Weg- und Winkelsensoren mit IO-Link-Schnittstelle im Programm. Dazu gehören beispielsweise robuste Singleturngeber der Baureihe RFC-4800. Sie haben sich bereits in vielen industriellen und mobilen Anwendungen bewährt, sind kompakt, leicht zu installieren und erfassen den Drehwinkel über volle 360 Grad mit einer Auflösung von bis zu 14 Bit. Weitere Sensoren mit IO-Link sind beispielsweise der absolute, magnetostriktive Wegaufnehmer TH1 in Stabform zur direkten Integration in Hydraulikzylinder sowie die Wegaufnehmer TP1 (magnetostriktiv) und TF1 (induktiv) in Profilbauform. Letzterer ist dank einer Update-Rate von 10 kHz für extrem schnelle Positionieranwendungen geeignet. Da all diese Sensoren berührungslos arbeiten, ist ihre mechanische Lebensdauer praktisch unbegrenzt.

Automatisierungstechnik und Maschinenbau können von den Positionssensoren mit IO-Link-Schnittstelle gleichermaßen profitieren (Bild 2): Bei der Inbetriebnahme kann der Anwender Parameter wie z. B. Nullpunkt oder Verfahrrichtung einfach verändern und somit die Variantenvielfalt verringern. Neben der reinen Positionsinformation lassen sich zudem weitere Informationen wie Status- bzw. Diagnosemeldungen und statistische Daten zur Betriebszeit oder zu Umweltbedingungen (z.B. Temperatur) austauschen. Fehler im Regelkreis sind rasch lokalisierbar, da die Einstellparameter zentral gespeichert sind. Ein Sensor kann daher auch in kurzer Zeit getauscht und einfach neu parametriert werden. Die Installation ist praxisgerecht und die Sensoren lassen sich problemlos in ethernet- oder feldbusbasierte Kommunikationsnetze integrieren. Condition-Monitoring- und Predictive-Maintenance-Konzepte werden dadurch realisierbar.

Weitere Informationen

Dieser Beitrag erschien ursprünglich auf m-q.ch - https://www.m-q.ch/de/weg-und-winkelmesstechnik-fuer-industrie-4-0/

Babtec ist ein führender Anbieter von Software-Lösungen für das Qualitätsmanagement. Seit mehr als 25 Jahren sichern Unternehmen jeder Grösse und aus allen Branchen mit Produkten dieses Herstellers die Qualität ihrer Prozesse und Produkte. Heute beschäftigt das Wuppertaler Unternehmen über 180 Mitarbeiter an sechs Standorten. Nach mehreren Geschäftsstellen in Deutschland sowie Niederlassungen in Österreich und Spanien gründet der Softwarehersteller jetzt ein Tochterunternehmen in der Schweiz. Der Handelsregistereintrag wurde am 1. Juni 2022 vorgenommen. Die Neugründung ist laut Peter Hönle, Bereichsleiter Customer & Solutions bei Babtec, Folge des wachsenden Erfolgs der Qualitätsmanagementsoftware aus Wuppertal bei den Eidgenossen: „Unseren ersten Schweizer Kunden konnten wir bereits im Jahr 2001 gewinnen, inzwischen managen über 100 Unternehmen in der Schweiz und in Liechtenstein – dem künftigen Betreuungsgebiet der Babtec Schweiz AG – ihre Qualität mit unseren Softwarelösungen. Das zeigt den hohen Qualitätsanspruch der Schweizer Firmen und den steigenden Bedarf des lokalen Marktes an wirksamer Digitalisierung in der Qualitätsarbeit. Daher haben wir uns dazu entschlossen, künftig auch in der Schweiz mit einem Babtec-Standort vertreten zu sein.“ An dem neuen Standort plant Babtec nach eigenen Angaben vor allem die Betreuung von Bestandskundenprojekten und den Ausbau der vertrieblichen Tätigkeit. Quelle und weitere Informationen

Dieser Beitrag erschien ursprünglich auf m-q.ch - https://www.m-q.ch/de/caq-software-hersteller-babtec-gruendet-schweizer-niederlassung/

Eine Analyse von Atlas VPN zeigt, dass sich die DSGVO-Bussen im ersten Halbjahr 2022 auf insgesamt 97,29 Millionen Euro belaufen, was einem Anstieg von 92 % gegenüber dem ersten Halbjahr 2021 entspricht. Die Daten für die Analyse stammen von Enforcementtracker, einer Plattform, die eine Übersicht vermittelt über Bussgelder und Strafen, die Datenschutzbehörden innerhalb der EU im Rahmen der EU-Datenschutzgrundverordnung (GDPR, DSGVO) verhängt haben. Aus der Übersicht und der Analyse von Atlas VPN geht hervor, dass Unternehmen und Einzelpersonen im ersten Halbjahr 2021 mit insgesamt 50,6 Millionen Euro an GDPR-Strafen belastet. Andererseits ist die Zahl der Gerichtsverfahren leicht zurückgegangen, von 215 im Jahr 2021 auf 205 im Jahr 2022. Mit anderen Worten: Auch wenn die Zahl der Verstösse gegen die DSGVO im Jahr 2022 leicht zurückging, war die Schwere dieser Verstösse erheblich grösser – und damit auch die Höhe der DSGVO-Bussen. Der auffälligste Unterschied zwischen 2021 und 2022 ist im Februar zu beobachten, wo der Gesamtbetrag der verhängten Strafen um fast 28 Millionen Euro abweicht. Auffallend ist auch folgender Trend: Rund 70 % der DSGVO-Bussen werden im ersten Quartal verhängt.

Ein paar besonders krasse Fälle

Atlas VPN verweist zudem auf ein paar bedeutende Fälle von DSGVO-Bussen, die in den ersten Halbjahren 2021 und 2022 ausgesprochen wurden. So verhängte im Juni 2021 der niedersächsische Landesbeauftragte für den Datenschutz eine Geldstrafe in Höhe von 10,4 Millionen Euro gegen die notebooksbilliger.de AG. Das deutsche Unternehmen hatte seine Mitarbeiter mindestens zwei Jahre lang ohne rechtliche Grundlage per Video überwacht. Die unzulässigen Kameras zeichneten u.a. Arbeitsplätze, Verkaufsräume, Lager und Gemeinschaftsräume auf. Das Unternehmen entgegnete, die Überwachung diene der Verhinderung und Aufklärung von Straftaten und der Verfolgung von Waren in Lagern. Eine Videoüberwachung ist jedoch nur dann rechtmässig, wenn ein begründeter Verdacht gegen bestimmte Personen besteht. Ist dies der Fall, ist es erlaubt, diese für einen bestimmten Zeitraum mit Kameras zu überwachen. In diesem Fall war die Überwachung jedoch nicht auf bestimmte Mitarbeiter oder einen bestimmten Zeitraum beschränkt. Im Mai 2022 wiederum verhängte das Information Commissioner’s Office (ICO) gegen Clearview AI Inc. eine Geldstrafe in Höhe von 7.552.800 Britischen Pfund, weil das Unternehmen Bilder von Menschen im Vereinigten Königreich und anderswo, die im Internet und in sozialen Medien gesammelt wurden, zum Aufbau einer globalen Online-Datenbank verwendet hatte, die für die Gesichtserkennung genutzt werden konnte. Clearview AI Inc. hat mehr als 20 Milliarden Bilder von menschlichen Gesichtern und Daten aus öffentlich zugänglichen Informationen gesammelt. Das Unternehmen hat niemanden darüber informiert, dass seine Bilder auf diese Weise gesammelt oder verwendet wurden. Ausserdem überwacht das Unternehmen tatsächlich das Verhalten dieser Personen und bietet dies als kommerzielle Dienstleistung an.

DSGVO-Bussen als „Weckrufe“

Die Datenschutz-Grundverordnung war notwendig, weil die alten Gesetze vor dem Aufkommen neuer Technologien wie Smartphones und Tablets verfasst wurden, was bedeutete, dass die Nutzer nicht vor Unternehmen geschützt waren, die ihre persönlichen Daten missbrauchten. Die DSGVO verschafft den EU-Bürgern mehr Klarheit darüber, wie und warum Unternehmen ihre Daten verwenden. Darüber hinaus schränkte die DSGVO die Daten, die Unternehmen sammeln können, erheblich ein, so dass die Bürgerinnen und Bürger mit viel mehr Privatsphäre im Internet surfen und Dienste nutzen können. In der Schweiz wird das neue Datenschutzgesetz (NDSG) in eine ähnliche Richtung gehen. Dieses soll am 1. September 2023 in Kraft gesetzt werden; Unternehmen tun gut daran, sich bereits heute darauf vorzubereiten.

Dieser Beitrag erschien ursprünglich auf m-q.ch - https://www.m-q.ch/de/dsgvo-bussen-erreichen-fast-100-millionen-euro-im-ersten-halbjahr-2022/

Ecmt bildet mit ihrer Software Seismograph umfassende Informationen risikobasiert und strukturiert ab. Dies hilft Unternehmen dabei, Komplexität zu reduzieren und damit die richtigen Entscheidungen zu treffen. Das Unternehmen arbeitet mit kritischen Infrastrukturen wie Airlines, Energieversorgern oder Unternehmen im Transportsektor sowie Organisationen auf Kantons- und Bundesebene zusammen. Darüber hinaus nutzen auch immer mehr privatwirtschaftliche Unternehmen wie Versicherungen das Lösungsangebot und Know-how von Ecmt für sich. Mit der kontinuierlichen Weiterentwicklung von Seismograph soll deshalb der kommunikative Auftritt verstärkt werden.

Der Blick auf das grosse Ganze

Mit Seismograph bewegen sich Entscheider:innen auf der richtigen strategischen Flughöhe und behalten in allen Lagen den Überblick. Diese Perspektive soll sich im neuen visuellen Auftritt und in der Bildsprache widerspiegeln. Als zusätzliches formales Element illustrieren die stilisierten Datenpunkte vernetztes Denken und intelligente Lösungen im Verbund. Mit dem selbstbewussten Auftritt möchte sich Ecmt klar von ihrem Umfeld abheben und damit gleichzeitig mehr Identifikation schaffen. Die neu gestalteten Inhalte sollen die komplexe Materie vereinfachen und die Kernleistung direkt auf den Punkt bringen. Neben den Leistungen bildet die Site die ganzheitliche Beratungs- und Lösungskompetenz von Ecmt ab und zeigt die Möglichkeiten ihres Tools in anschaulichen Use Cases auf. Dazu wurde in enger Zusammenarbeit ein geschärftes Messaging entwickelt und neue inhaltliche Schwerpunkte gesetzt.

Effektiv und effizient

Vom Briefing über Strategie, Konzeption und Design bis zur final realisierten Website vergingen circa zwölf Wochen. Analog zur Website wurde zudem eine prägnante Unternehmenspräsentation entwickelt. Nach ersten Testläufen zeigt sich Roberto Perot, Chief Operating Officer bei Ecmt, sichtlich zufrieden mit dem rundum erneuerten Erscheinungsbild: «TBS hat für uns in kürzester Zeit einen Markenauftritt geschaffen, hinter dem wir zu 100 Prozent stehen können. Dabei hat uns neben ihrer ausgewiesenen Markenexpertise und Designkompetenz auch die unkomplizierte und persönliche Arbeitsweise überzeugt.»

Je besser der Markenbotschafter mit seiner emotionalen Wirkung zur Marke passt, desto erfolgreicher wird die Kooperation. Dieser Erfolgsfaktor ist am wertvollsten, wenn der Fit während der Zusammenarbeit hoch ist. Ein perfektes Beispiel ist George Clooneys Auftritt für Nespresso. Hier passte Clooneys eleganter Charme und seine Zugänglichkeit von Anfang an zur Marke. Mit einem Botschafter die Markenemotionen in eine neue Richtung zu lenken, ist dagegen teuer und nur sehr langfristig sinnvoll. Doch wie analysiert man diesen emotionalen Fit? Eine klassische Befragung ist hier machtlos. Denn die Kunden können die emotionale Wirkung von Marken und Botschaftern nicht in Worte fassen. Mittels non-verbalen Befragungsmethoden hingegen lassen sich die emotionale Wirkung der Marke und des Botschafters je unabhängig messen und dann miteinander vergleichen. Bei der EmoCompass-Studie von Zutt wurde so vorgegangen.

Welche Marke kommt Federer emotional am nächsten?

Nonverbal abgefragt wirkt der sympathische und erfolgreiche Tennisprofi vor allem freundlich, inspirierend und kraftvoll. Damit ein lohnenswerter Fit entsteht, muss die Marke dieselben Emotionen auslösen. Nur so wird im Kundenhirn ein klares und einheitliches Gefühl geweckt – und die Markenwirkung durch Federer gestärkt. Wenn kein Fit besteht, erhält der Kunde ein diffuses Gefühl. Dies wirkt weniger stark im Gehirn und bleibt schwächer in Erinnerung. Auf dieser Basis ergibt sich folgendes Ranking: Gemäss Studie ist On der knappe Sieger. Der Sportschuh-Hersteller kommt dem Tennisstar emotional am nächsten. Zum einen ist die sportliche Power bei einem Sportschuh klar gegeben. Dazu kommt eine gute Portion Inspiration, wohl nicht zuletzt wegen der innovativen Schuhsohle. Für den eindeutigen Matchball müsste On aber zur innovativen Power auch noch mehr Freundlichkeit und Nahbarkeit transportieren.

Dicht gefolgt wird der Ranking-Sieger von Jura. Der Schweizer Kaffeemaschinenhersteller fand in Roger fast das, was George Clooney für Nespresso ist – einen sympathischen Markenbotschafter, der zur Marke passt. Ebenfalls gut abgeschnitten haben Lindt und Rolex, auch hier entsteht ein wertvoller emotionaler Fit zu Federer. Etwas weiter weg sind die Marken Barilla, Schweiz Tourismus, Credit Suisse und Mercedes. Diese passen zwar teilweise zum Tennisprofi, aber nicht genug, um einen wirkungsvollen Fit herzustellen. Das deutliche Schlusslicht ist Sunrise. Die Telekom-Marke trifft keine der drei Federer-Emotionen und zieht in komplett anderen Gefühlswelten. Dadurch entsteht kein wertbringender Fit zu Roger.

Fazit und Learnings der Studie

Die Studie zeigt, dass bei der Wahl der Markenbotschafter immer auch auf emotionaler Ebene geprüft werden muss, ob sie wirklich zur Marke passen. Zudem ist nicht jeder Fit offensichtlich: Tennis-Spieler und Kaffeemaschinen-Hersteller sind auf der rationalen Ebene nicht die beste Kombination. Auf der emotionalen Ebene kann sich aber dennoch ein starker Match ergeben. Wenn der emotionale Fit stimmt, lohnt es sich weiterführend darauf zu achten, wie der Botschafter in die Kommunikation integriert wird. Im Idealfall wird der Markenbotschafter Teil einer Story, die ebenfalls zum emotionalen Profil – dem Differenzierungskern der Marke – passt. Eine solche emotional passende Story kann die Wirkung des Botschafters wesentlich steigern. Die richtige Story verwebt nämlich Botschafter und Marke tief ins Neuronen-Netz des Kundenhirns. Auch in dieser Hinsicht ist übrigens George Clooneys Werbespot für Nespresso ein ideales Praxisbeispiel. Der emotionale Differenzierungskern von Nespresso ist, dass man durch das raffinierte Kaffeesystem zum besseren Gastgeber wird. In den Werbespots sieht man Clooney genau in dieser Rolle. Da Clooney sehr bekannt und beliebt ist, werden Spiegelneuronen aktiviert und die Konsumenten möchten sich in Clooney wiedersehen. So arbeiten Botschafter, Marke und Story perfekt zusammen und ergeben eine emotional packende Werbekampagne. Für den optimalen Impact müssen also Marke, Botschafter und Story emotional aufeinander abgestimmt sein. Dafür nutzen Star-Brands wie Nespresso, Apple, Nike und Co. Methoden, welche die emotionale Wirkung von Brands und Touchpoints messen können.

---

Diese Studie wurde vom Neuromarketing-Unternehmen für Research, Strategy und Design Zutt & Partner durchgeführt. Das Unternehmen bietet kostenlose Workshops zur Studie (Detailresultate, Interpretationen, weitergehende Informationen zur Studie und erste Lösungsansätze). Werbewoche.ch publiziert die Studie unentgeltlich aus redaktionellem Interesse.

Je besser der Markenbotschafter mit seiner emotionalen Wirkung zur Marke passt, desto erfolgreicher wird die Kooperation. Dieser Erfolgsfaktor ist am wertvollsten, wenn der Fit während der Zusammenarbeit hoch ist. Ein perfektes Beispiel ist George Clooneys Auftritt für Nespresso. Hier passte Clooneys eleganter Charme und seine Zugänglichkeit von Anfang an zur Marke. Mit einem Botschafter die Markenemotionen in eine neue Richtung zu lenken, ist dagegen teuer und nur sehr langfristig sinnvoll. Doch wie analysiert man diesen emotionalen Fit? Eine klassische Befragung ist hier machtlos. Denn die Kunden können die emotionale Wirkung von Marken und Botschaftern nicht in Worte fassen. Mittels non-verbalen Befragungsmethoden hingegen lassen sich die emotionale Wirkung der Marke und des Botschafters je unabhängig messen und dann miteinander vergleichen. Bei der EmoCompass-Studie von Zutt wurde so vorgegangen.

Welche Marke kommt Federer emotional am nächsten?

Nonverbal abgefragt wirkt der sympathische und erfolgreiche Tennisprofi vor allem freundlich, inspirierend und kraftvoll. Damit ein lohnenswerter Fit entsteht, muss die Marke dieselben Emotionen auslösen. Nur so wird im Kundenhirn ein klares und einheitliches Gefühl geweckt – und die Markenwirkung durch Federer gestärkt. Wenn kein Fit besteht, erhält der Kunde ein diffuses Gefühl. Dies wirkt weniger stark im Gehirn und bleibt schwächer in Erinnerung. Auf dieser Basis ergibt sich folgendes Ranking: Gemäss Studie ist On der knappe Sieger. Der Sportschuh-Hersteller kommt dem Tennisstar emotional am nächsten. Zum einen ist die sportliche Power bei einem Sportschuh klar gegeben. Dazu kommt eine gute Portion Inspiration, wohl nicht zuletzt wegen der innovativen Schuhsohle. Für den eindeutigen Matchball müsste On aber zur innovativen Power auch noch mehr Freundlichkeit und Nahbarkeit transportieren.

Dicht gefolgt wird der Ranking-Sieger von Jura. Der Schweizer Kaffeemaschinenhersteller fand in Roger fast das, was George Clooney für Nespresso ist – einen sympathischen Markenbotschafter, der zur Marke passt. Ebenfalls gut abgeschnitten haben Lindt und Rolex, auch hier entsteht ein wertvoller emotionaler Fit zu Federer. Etwas weiter weg sind die Marken Barilla, Schweiz Tourismus, Credit Suisse und Mercedes. Diese passen zwar teilweise zum Tennisprofi, aber nicht genug, um einen wirkungsvollen Fit herzustellen. Das deutliche Schlusslicht ist Sunrise. Die Telekom-Marke trifft keine der drei Federer-Emotionen und zieht in komplett anderen Gefühlswelten. Dadurch entsteht kein wertbringender Fit zu Roger.

Fazit und Learnings der Studie

Die Studie zeigt, dass bei der Wahl der Markenbotschafter immer auch auf emotionaler Ebene geprüft werden muss, ob sie wirklich zur Marke passen. Zudem ist nicht jeder Fit offensichtlich: Tennis-Spieler und Kaffeemaschinen-Hersteller sind auf der rationalen Ebene nicht die beste Kombination. Auf der emotionalen Ebene kann sich aber dennoch ein starker Match ergeben. Wenn der emotionale Fit stimmt, lohnt es sich weiterführend darauf zu achten, wie der Botschafter in die Kommunikation integriert wird. Im Idealfall wird der Markenbotschafter Teil einer Story, die ebenfalls zum emotionalen Profil – dem Differenzierungskern der Marke – passt. Eine solche emotional passende Story kann die Wirkung des Botschafters wesentlich steigern. Die richtige Story verwebt nämlich Botschafter und Marke tief ins Neuronen-Netz des Kundenhirns. Auch in dieser Hinsicht ist übrigens George Clooneys Werbespot für Nespresso ein ideales Praxisbeispiel. Der emotionale Differenzierungskern von Nespresso ist, dass man durch das raffinierte Kaffeesystem zum besseren Gastgeber wird. In den Werbespots sieht man Clooney genau in dieser Rolle. Da Clooney sehr bekannt und beliebt ist, werden Spiegelneuronen aktiviert und die Konsumenten möchten sich in Clooney wiedersehen. So arbeiten Botschafter, Marke und Story perfekt zusammen und ergeben eine emotional packende Werbekampagne. Für den optimalen Impact müssen also Marke, Botschafter und Story emotional aufeinander abgestimmt sein. Dafür nutzen Star-Brands wie Nespresso, Apple, Nike und Co. Methoden, welche die emotionale Wirkung von Brands und Touchpoints messen können.

---

Diese Studie wurde vom Neuromarketing-Unternehmen für Research, Strategy und Design Zutt & Partner durchgeführt. Das Unternehmen bietet kostenlose Workshops zur Studie (Detailresultate, Interpretationen, weitergehende Informationen zur Studie und erste Lösungsansätze). Werbewoche.ch publiziert die Studie unentgeltlich aus redaktionellem Interesse.

Cybersecurity kostet Geld. Solange die IT-Systeme und die Infrastruktur funktionieren, fällt es oft schwer, die Mittel zu investieren, die nötig wären, um Risiken zu reduzieren und den reibungslosen Betrieb auch in Zukunft zu gewährleisten, das heißt: Cyberresilienz herzustellen. Wenn Unternehmen ihr Cyberrisiko systematisch unterschätzen, hat dies mit verschiedenen Fehlannahmen zu tun. Im Folgenden geht es um sechs der häufigsten Irrtümer.

Annahme 1: Es trifft sowieso nur die anderen

„Unser Unternehmen ist für eine Cyberattacke doch gar nicht interessant genug.“ Diese Einschätzung ist alles andere als selten. Die Realität sieht leider vollkommen anders aus. Statistiken sprechen davon, dass sogar 99 Prozent aller Cyberschadensfälle auf Angriffe zurückgehen, die überhaupt nicht zielgerichtet waren. Anders gesagt: Die allermeisten Angriffe laufen nach dem Motto Spray-and-Pray ab. Im Gießkannenprinzip lancieren Cyberkriminelle einen allgemeinen Angriffsversuch ohne konkretes Ziel. Dann warten sie einfach ab, bei welchen Unternehmen oder Organisationen beispielsweise die Mail mit dem Phishing-Link zum Erfolg führt. Leider ist bei vielen Unternehmen die Hürde für eine initiale Kompromittierung ihrer IT nicht hoch genug, um diesen Angriffen auf Dauer standzuhalten. Den Angreifern spielt dies in die Karten. Zumal dann, wenn sie vor allem finanzielle Interessen haben und das Unternehmen beispielsweise durch eine Verschlüsselung per Krypto-Trojaner bzw. Ransomware erpressen wollen. Hier ist der Spray-and-Pray-Ansatz für Cyberkriminelle in der Regel am rentabelsten. Dies wiederum bedeutet: Jedes Unternehmen ist ein potenzielles Opfer. Politisch motivierte Angriffe grenzen sich davon deutlich ab: Hier ist der Erfolg letztlich nur eine Frage der verfügbaren Arbeitskraft, denn bei einer ideologisch begründeten Attacke spielen monetäre Kosten-Nutzen-Abwägungen eine völlig nachrangige Rolle. In solchen Fällen kommen häufiger auch Zero-Day-Angriffe zum Einsatz, die noch nicht öffentlich bekannte Sicherheitslücken in einer Software ausnutzen. Mit einem Zero-Day-Exploit spielt der Angreifer gleichsam einen Joker aus. Denn wenn die neue Angriffsmethode durch ihren Einsatz publik wird, ist dieser Angriffsvektor letztlich verbrannt, weil Softwarehersteller dann entsprechende Sicherheitsupdates ausrollen.

Annahme 2: Angriffe aus der Supply-Chain spielen keine große Rolle

Tatsächlich nimmt die Zahl von Supply-Chain-Angriffen zu. Bei dieser Klasse von Cyberangriffen fungieren Softwarelösungen, Geräte oder Maschinen, die einem Unternehmen zugeliefert werden und die es für seine Geschäftstätigkeit einsetzt, als die Angriffsvektoren. So handelte es sich bei der Log4j-Sicherheitslücke, die im Dezember 2021 bekannt wurde, um eine Zero-Day-Schwachstelle in einer Java-Protokollierungsbibliothek. Log4j dient dazu, Protokollierungsinformationen aus Software, Anwendungen und Hardware-Appliances zu erstellen und zu speichern. Weil Log4j aber mitunter in vielen unterschiedlichen Lösungen sehr tief verankert ist, in tausenden Instanzen, reicht ein simpler Schwachstellenscan kaum aus, um hier alle angreifbaren Instanzen zu identifizieren. Generell ist auch Open-Source-Software nicht vor Sicherheitslücken gefeit. So gelang es beispielsweise einem Professor der University of Minnesota im Kontext einer Studie, Schwachstellen in den Linux Kernel einzuschleusen. Dazu gaben er und einer seiner Studenten vor, Bug Fixes für die Linux Community bereitzustellen. Ziel der umstrittenen Aktion war es, zu demonstrieren, wie angreifbar auch Open-Source-Projekte sein können. Eine Sicherheitslücke im Linux Kernel ist potenziell so gravierend, weil Linux sehr weit verbreitet ist. Es findet sich heute in Servern und Smartphones und auch in verschiedensten Embedded Devices – von Autos über Smart Homes bis zu Maschinen. Mit der zunehmenden Digitalisierung unserer Wirtschaft und unserer Lebenswelt können heute eben auch vernetzte Geräte zum Einfallstor für Cyberkriminelle werden. So wurde etwa eine Supermarktkette gehackt, indem die Angreifer die intelligenten Kühlregale in den Geschäften als Angriffsvektor wählten. Für vernetzte Geräte im Smart-Home-Bereich besteht dasselbe Risiko. Auch sie stellen potenzielle Angriffspunkte dar – ein gravierendes Reputationsrisiko für den Gerätehersteller oder -vertreiber. Im privaten wie im kommerziellen Raum ist darum ein viel bewussterer Umgang mit installierter Software und angeschafften Geräten erforderlich. Im produzierenden Gewerbe beispielsweise, wo eine Maschine einen Lebenszyklus von mehreren Jahrzehnten haben kann, stehen früher oder später meist nur noch mitigierende Maßnahmen zur Verfügung, um Sicherheitsrisiken zu reduzieren. Denn Hersteller existieren dann nicht mehr, oder sie liefern nach wenigen Jahren keine Sicherheitspatches mehr. So bleibt mitunter als einzige Option noch, die Maschine aufwendig vom restlichen Netzwerk abzuschotten und das Restrisiko zu akzeptieren. Grundsätzlich gilt: Es wäre für ein Unternehmen fahrlässig, wollte es die Verantwortung für seine Cybersicherheit gänzlich auf die Zulieferer abwälzen. Bedrohungen aus der Supply Chain heraus sind real und heute alltäglich. Unternehmen benötigen deshalb nicht nur ein entsprechendes Risikobewusstsein, sondern auch Experten und Expertinnen, die sie dabei unterstützen, eine effektive Cyberresilienz zu etablieren.

Annahme 3: Unsere Mitarbeitenden haben schon genügend Sicherheitsbewusstsein

Noch viel zu oft stellt ein unbedachtes Verhalten der Mitarbeiter und Mitarbeiterinnen für Cyberkriminelle ein bequemes Einfallstor ins Unternehmen dar. Ein entsprechendes Risikobewusstsein zu schaffen und wachzuhalten, ist ein Baustein für Cybersicherheit, dessen Bedeutung ein Unternehmen nie unterschätzen sollte. Nur wenn ihnen die Gefahr bewusst ist, werden es die Beschäftigten konsequent vermeiden, beispielsweise Passwörter über das Telefon weiterzugeben oder unbedacht auf einen dubiosen Link in einer E‑Mail zu klicken. Manchmal ist das Gefahrenpotenzial auch eine unmittelbare Konsequenz der täglichen Arbeit. Mitarbeiter und Mitarbeiterinnen in der Personalabteilung etwa öffnen beinahe täglich Bewerbungen, ohne wissen zu können, ob der digitale Lebenslauf Schadcode enthält oder nicht. Mit Rechnungs-PDFs im Maileingang der Buchhaltung verhält es sich genauso. Darum braucht es im Unternehmen natürlich technische Maßnahmen gegen solche Angriffe. Aber ebenso wichtig ist es, die Wahrscheinlichkeit erfolgreicher Phishing-Versuche zu verringern, indem ein Bewusstsein für die Gefahren von Social-Engineering-Angriffen ganz allgemein geschaffen wird. Social Engineering bedeutet, dass die Angreifenden Täuschung anwenden, um unautorisiert Daten oder Zugriff zu bekommen. Dabei werden Methoden der Humanpsychologie dazu missbraucht, Mitarbeiter oder Mitarbeiterinnen zu manipulieren und sie zur Übermittlung von Informationen oder zu bestimmten Handlungen zu bewegen – wie etwa den fatalen Klick auf den Link in der Phishing-E-Mail oder die Nennung des Passworts gegenüber vermeintlichen Support-Mitarbeitenden am Telefon.

Annahme 4: Der Umfang dieser Sicherheitsprüfung wird schon ausreichen

Die Cybersicherheit im Unternehmen durch Penetration-Tests auf die Probe zu stellen, ist ein wichtiger Baustein im Aufbau der Cyber Resilience. Wählt man dabei allerdings den Scope des Pentests zu klein, ist wenig gewonnen. Denn so entsteht ein vermeintliches Gefühl von Sicherheit. Ein typisches Beispiel ist der Ausschluss bestimmter Systeme, etwa solcher, die am Ende ihres Lebenszyklus stehen, weil sie ja – so heißt es dann – sowieso bald abgeschaltet oder ersetzt werden. Solange sie noch nicht abgeschaltet sind, bieten aber gerade diese Altsysteme oft den verführerischsten Angriffsvektor. Ein anderes Beispiel: Auf dem Server, der eine zu prüfende Webanwendung betreibt, läuft eben auch noch ein FTP-Dienst, der die vollständige Kompromittierung des Servers ermöglicht – aber alle Dienste außer der Webanwendung sind von der Prüfung ausgeschlossen. Ebenso kommt es vor, dass beispielsweise ein Finanzinstitut den Umfang seiner Prüfung nur so groß wählt, wie es regulatorisch vorgeschrieben und offiziell erforderlich ist. Auch hier wäre das Resultat eine trügerische Scheinsicherheit. Wenn Pentests wirklich aussagefähig werden sollen, dürfen sie sich nicht nur auf einen Ausschnitt der Unternehmens-IT richten. Vielmehr müssen sie holistisch angelegt sein. Denn das Ziel eines Penetration-Tests ist es nicht, dem Management bloß ein positives Gefühl in Sachen Cybersicherheit zu vermitteln – er soll wirkliche Sicherheitslücken und potenzielle Angriffsvektoren identifizieren, damit diese behoben werden können, bevor sie von kriminellen Angreifern ausgenutzt werden.

Annahme 5: Penetration-Tests kann die IT-Abteilung nebenher übernehmen

Pentests können in den meisten Unternehmen gar keine Inhouse-Aufgabe sein. Denn IT-Administratoren und -Administratorinnen haben vor allem eines zu tun: Sie müssen dafür sorgen, dass die Systeme im Unternehmen zuverlässig laufen. In der Regel ist das Administrationsteam mit seinen operativen Aufgaben bereits zu 100, wenn nicht gar zu 120 Prozent ausgelastet. Zudem verlangen Penetration-Tests ein hochspezialisiertes und hochaktuelles Fachwissen, über das die eigene IT-Abteilung in der Regel gar nicht verfügen kann. Es ist wichtig, dass das Management versteht, dass ein Pentest nichts ist, was sich einfach nebenher erledigen ließe. Gleichzeitig müssen die Mitarbeiter und Mitarbeiterinnen der internen IT sich klarmachen, dass es bei einer Sicherheitsprüfung nie darum geht, ihre eigene Arbeit in Sachen Cybersecurity zu diskreditieren, sondern zu stärken. Ein aussagefähiger Penetration-Test wäre mit Inhouse-Ressourcen gar nicht durchführbar, weil Know-how und Zeit dafür fehlen. Anders sieht dies nur aus, wenn das Unternehmen groß genug ist, um sich ein eigenes, dediziertes Red-Team – die Angreifer – für mehr oder minder kontinuierliche Pentests zu leisten. Diesem Red-Team steht dann ein dediziertes Blue-Team mit den Verteidigern gegenüber. Aber sogar ein eigenes Red-Team kann mitunter sehr von externer Unterstützung durch Ethical Hacker profitieren.

Annahme 6: Unsere Backups retten uns im Notfall

Vor etwas mehr als fünf Jahren mag diese Aussage vielleicht noch zutreffend gewesen sein. Heute ist sie das nicht mehr, nicht in jedem Fall. Man muss sich vor Augen führen, dass die Qualität von Schadsoftware deutlich gestiegen ist. Krypto-Trojaner, die Unternehmensdaten zu Erpressungszwecken verschlüsseln, tun dies heute nicht mehr unverzüglich. Es gibt inzwischen Ransomware, die sich zuerst in den Backups eines Unternehmens einnistet und diese nach und nach zerstört. Erst Monate später, wenn das Backup unbrauchbar geworden ist, macht sich der Krypto-Trojaner dann daran, die Daten des Unternehmens zu verschlüsseln – und die eigentliche Erpressung beginnt. Darum ist es heute wichtig, Backups erstens mit geeigneten Schutzkonzepten vor Malware zu sichern und sie zweitens regelmäßig zu prüfen. Nur auf ein Backup, das auch tatsächlich aufsetzbar ist, ist im Notfall Verlass. Unternehmen sollten darum ihre Disaster Recovery regelmäßig testen, üben und ausprobieren. Und wenn ein Unternehmen sein Backup aus Sicherheitsgründen verschlüsselt: Auch dieser Backup-Schlüssel selbst ist ein möglicher Angriffspunkt, denn Cyberkriminelle können natürlich auch den Backup-Schlüssel des Unternehmens verschlüsseln. Das Backup wäre dann wiederum unbrauchbar, und der Erpressungsversuch durch die Verschlüsselung der Unternehmensdaten könnte beginnen. Darum ist es wichtig, dass Unternehmen ihre Krypto-Schlüssel für das Backup offline aufbewahren und auch ihr Notfalltraining in Sachen Disaster Recovery offline dokumentieren.

Fazit: Von Cybersecurity zu Cyberresilienz

Die Gefahr von Cyberangriffen hat nicht abgenommen, im Gegenteil. Wollte ein Unternehmen aus einer glimpflich verlaufenen Vergangenheit schließen, dass es auch in Zukunft vor Cyberkriminalität sicher ist, wäre dies vielleicht die gravierendste Fehlannahme von allen. Operative Zuverlässigkeit lässt sich in der IT nur herstellen, wenn ein Unternehmen seine Cyberresilienz mit geeigneten, holistischen Konzepten und Maßnahmen etabliert, aufrechterhält und weiterentwickelt. Sich damit auseinanderzusetzen, lohnt die Mühe in jedem Fall, denn der finanzielle Schaden wiegt im Ernstfall um ein Vielfaches schwerer als das vorausschauende Investment in die Cybersicherheit. Wie in der Medizin gilt auch in Sachen Cybersecurity: Vorbeugen ist besser als heilen. Autoren: Michael Niewöhner und Daniel Querzola sind beide Manager und Penetration-Tester bei Ventum Consulting, München  

Dieser Beitrag erschien ursprünglich auf m-q.ch - https://www.m-q.ch/de/sechs-gaengige-fehlannahmen-zur-cybersecurity-im-unternehmen/