Sie sind hier: Home » Fachartikel » Hintergrund

Compliance-Probleme mit Verschlüsselung lösen


"Entscheidend ist, was hinten rauskommt": Die Sicherung des Endpoint und die Überwachung von Endgeräten zählt in der IT-Security zu den anspruchsvollsten Aufgaben
Erst eine durchgängig richtlinienbasierte Verschlüsselung bietet den erforderlichen Datenschutz und garantiert Compliance auf allen Ebenen

Von Rainer Annuscheit

(04.09.08) - Daten müssen stets geschützt werden: Sowohl vor unbefugtem Zugriff von außen als auch von innen. Die Kontrolle von mobilen Endgeräten und die sogenannte Endpoint-Security gelten heute als große Herausforderung der Compliance. Die Durchsetzung von Verschlüsselungsrichtlinien im Unternehmen über eine einzige, zentral verwaltete Sicherheitslösung für Daten auf mobilen Endgeräten kann dazu beitragen, die Compliance für die Bereiche Datensicherheit und Datenschutz zu gewährleisten.

Compliance gilt heute als einer der entscheidenden Treiber zur Weiterentwicklung der IT-Sicherheit. Die IT-Security-Richtlinien von Unternehmen - Policies genannt - müssen stetig neue Compliance-Anforderungen berücksichtigen. Das Compliance-Lexikon von Compliance-Magazin.de definiert die Compliance als "'Erfüllung', 'Entsprechung' bzw. 'Konformität' mit staatlichen Gesetzen sowie mit Regeln und Spezifikationen, mit Grundsätzen (ethische und moralische) und Verfahren sowie mit Standards (z.B. ISO) und Konventionen, die klar definiert worden sind. Die Erfüllung der Compliance kann sowohl auf Zwang (z.B. durch Gesetze) als auch auf Freiwilligkeit (z.B. Einhaltung von Standards) beruhen."

Zwang hat in der Regel immer etwas mit Gesetzen zu tun. Ausnahmen mögen die Bestimmungen von Organisationen sein, deren ethischen Festlegungen man sich freiwillig unterwirft, an die man aber gebunden ist, will man nicht aus der Organisation entfernt werden, siehe z.B. die Anti-Korruptionsorganisation Transparency.
Der Gesetzgeber bestimmt beispielsweise, wie in einem Unternehmen mit Daten umgegangen werden muss (Datenschutz), wie Daten aufbereitet werden müssen (Stichwort: Digitale Steuerprüfung - GDPdU - Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen), wie die Kontrolle und Transparenz im Unternehmen gewährleistet werden kann (KonTraG) oder wie Telekommunikationsgesetze Unternehmen in die Pflicht nehmen.

Es geht um Nachweispflicht und es geht um Daten
Fast alle diese Gesetze haben
a) immer etwas mit der Nachweispflicht zu tun: Unternehmen müssen nachweisen können, dass sie sich gesetzeskonform, sprich "compliant" verhalten haben (hier kommen z.B. die berühmten Log-Files ins Spiel, die aus Dokumentationszwecken herangezogen werden oder einfach auch der Überwachung dienen), und
b) haben immer etwas mit Daten zu tun. Es sind Daten, die aus den vielfältigsten Gründen nicht verloren gehen dürfen, es sind Daten, die man auf Anforderung bereitstellen muss, es sind Daten, deren Zugriff eindeutig geregelt werden muss, es sind Daten, die zu jedem Zeitpunkt optimal geschützt werden müssen, es sind Daten, die immer und von überall und zu jedem Zeitpunkt abrufbar sein müssen.Wenn es um Datensicherheit und -schutz geht, ist stets die IT-Sicherheit (sowohl die aktive als auch die passive) mit im Spiel. Daten werden z.B. aktiv geschützt durch Internet-Security-Lösungen (z.B. Firewalls, Antivirus/Antimalware-Systeme, Intrusion Detection- und E-Mail-Content-Security-Lösungen oder auch durch Sicherheitslösungen wie Verschlüsselungssysteme und Access Control-Lösungen. Passiv lassen sich Daten schützen durch Speicher-/Backup-/Archivierungslösungen oder durch besondere Rechenzentrumsinfrastruktur.

Unternehmen und ihre Mitarbeiter müssen sich also auf vielfältige Weise "compliant" verhalten:
>> Intern sind Mitarbeiter beispielsweise an Unternehmensregeln "Policies" gebunden, die die Verhaltensregeln beinhalten können (Codes of Conduct) oder auch Regeln für die gesamte IT aufstellen (Stichwort: IT Compliance / IT Governance), die wiederum den Umgang mit der Unternehmens-IT festlegen (z.B. wer darf wann worauf zugreifen). Im Bereich der IT unterwerfen sich Unternehmen beispielsweise freiwillig bestimmten Standards (ISO, CobiT, BSI). Auf diese Weise können Unternehmen gegenüber Kunden, Aktionären oder auch dem Gesetzgeber nachweisen, dass ihre IT die gängigen Sicherheitsregeln einhalten kann und Daten stets den höchstmöglichen Schutz genießen.
>> Extern haben sich Unternehmen (und natürlich auch deren Mitarbeiter) an Gesetze zu halten.

Schon jetzt erkennt man, dass die Aufrechterhaltung der Compliance im Unternehmen vielfältige Herausforderungen stellt. Es gibt nicht das Compliance-Produkt, mit dem man alles managen und alles im Griff haben kann. Und es gibt nicht die Security-Lösung, mit der Daten hundertprozentig geschützt werden können. Compliance in der IT und mit der IT zu erreichen bedeutet, auf eine Vielzahl von Produkten zurückgreifen zu müssen.
Im Bereich der Datensicherheit und des Datenschutzes muss sich ein Unternehmen beispielsweise fragen: "Welches Produkt vermag meine Daten, so zu schützen, dass sie selbst im Falle eines Verlustes nicht für Unbefugte in irgendeiner Form verwertbar sind?"

Datensicherheit und Datenschutz
Unternehmen müssen heute die Sicherheit der IT, die Kommunikationssicherheit und eben auch die Datensicherheit bzw. den Datenschutz gewährleisten können. Was die Verarbeitung von personenbezogenen Daten betrifft, d.h. deren Verwaltung, Speicherung und Weitergabe, sind mittlerweile eine Fülle von Gesetzen erlassen worden, die dies regeln.
Vier Kernpunkte (bzw. besser gesagt "Pflichten") resultieren aus diesem Anspruch:
Authentizität, Integrität, Nichtabstreitbarkeit und Vertraulichkeit.
Werden diese Anforderungen zu jedem Zeitpunkt eingehalten, lässt sich die Compliance im IT-Sicherheitsbereich schon zu einem hohen Prozentsatz erschlagen.

>> Worum geht es z.B. bei Authentizität? Authentizität hat etwas mit einem Identitätsnachweis zu tun (man kann nachweisen, wer der Kommunikationspartner ist) und sie hat etwas mit (Nachrichten-)Authentisierung zu tun (man kann nachweisen, von wem z.B. eine Nachricht stammt)
>> Die Integrität bedeutet, dass unbefugte Änderungen von Daten erkannt werden können.
>> Bei der Nichtabstreitbarkeit sprechen wir von dem Nachweis, dem man einem Dritten erbringt, dass eine Kommunikation zwischen bestimmten Kommunikationsteilnehmern stattgefunden hat.
>> Vertraulichkeit heißt immer: Unbefugte Personen können zu keinem Zeitpunkt für sie nicht bestimmte Daten zur Kenntnis nehmen.

Mit kryptographischen Verfahren lassen sich diese vier Ziele der IT-Sicherheit, des Datenschutzes und der Kommunikationssicherheit erfüllen. Man löst quasi mit dem konsequenten Einsatz von Kryptographie die größten und gravierendsten Compliance-Probleme mit einem Schlag.

Kryptographie-Anwendungen
Natürlich gibt es auf dem Anwendungsfeld der Kryptographie nicht das eine Produkt, mit dem sich alles verschlüsseln lässt, was verschlüsselt werden muss. Kryptographie-Produkte sind jeweils auf Anwendungsfälle und -gebiete abgestimmt. Grundsätzlich gilt: Alles was digitalisiert werden kann, lässt sich auch verschlüsseln.

Beispielsweise
>> im Bereich der Kommunikation und Netzwerke: analoge, ISDN- undVoIP-Telefonie, Fax, Sprechfunk, E-Mail, Messaging, Funknetze, Storage Area Networks, Netzwerkverbindungen etc.
>> im Bereich Automobil: Wegfahrsperren, Automobilelektronik etc.
>> im Bereich Urheberrecht (Digitals Rights): Film, Musik, Software, Spiele, Bücher, Bilder
>> im Bereich eCommerce: Handel über das Internet, elektronische Bürgerdienste (virtuelles Rathaus)
>> im Bereich "staatliche Hoheitsrechte" und Identitätsnachweise: Pässe, Ausweise, elektronische Gesundheitskarte
>> im Bereich Absicherung der IT und Systemadministration: Festplatten-, Ordner- und File-Verschlüsselung, Datenbanken, Netzwerke, interne und externe Archivierung, Fernwartung und Outsorucing, Mobile Devices und Datenträger, mobile Anbindung von Außendienst und Teleworkern.

Dementsprechend finden wir Kryptographie-Anwendungen beispielsweise
>> in RFID-Chips,
>> in Telefonanlagen,
>> in VPNs, um Zugriff auf "private" Netzwerke von bestimmten vertrauenswürdigen Endpunkten eines Internets zu bieten,
>> in drahtlosen Netzen (WLANs)
>> in Speichernetzen (Storage Area Networks - SANs)
>> in DRM (Digital Rights Management)-Anwendungen,
>> im Bereich Identity Management und PKI- (Public Key Infrastructure)-Lösungen
>> im Bereich eCommerce (sogenannte Single Sign on-Authentisierung)

Die Gefahr lauert am sogenannten "Endpunkt"
Das Problem des Datenschutzes und der Datensicherheit haben wir schon angesprochen. Unternehmen besitzen viele vertrauliche Daten: Sensible Geschäftsinformationen, detaillierte Kundendaten wie persönliche Mitarbeiterdaten. Nicht zu vergessen, Daten, die zum Teil die Identität eines Unternehmens ausmachen, als da sind: geistiges Eigentum, Software-Quell-Codes, Produktbeschreibungen, Konstruktionsdaten, Labor-Analysen, Strategie-Papers etc. Selbst Daten, deren Schutz nicht unter die gesetzgeberische Schutzpflicht fallen, stellen für das Unternehmen oftmals einen großen Wert dar.

In der Regel wird ein Unternehmen in seinen Security-Policies festlegen, wie mit welchen Daten umzugehen ist. Es wird die Daten klassifizieren und die unterschiedlichen Zuständigkeiten definieren, je nachdem ob man Eigentümer der Information oder nur dessen Nutzer ist. Nur privilegierte Nutzer sollten z.B. bestimmte Information zur Kenntnis nehmen dürfen bzw. weiter auf eigene Medien (z.B. Laptops) bearbeiten dürfen. So werden Kategorien entwickelt wie "streng vertraulich", "vertraulich", "nur für den internen Gebrauch", "nur für Kunden" oder auch "öffentlich zugänglich" für Informationen, die keines Schutzes bedürfen.

Vom ehemaligen deutschen Bundeskanzler Helmut Kohl stammt der denkwürdige Satz: "Entscheidend ist, was hinten rauskommt." - Für die IT-Sicherheitsadministration stellt diese Plattitüde eine elementare Erkenntnis dar und provoziert gleichzeitig zwei Fragen: "Was ist hinten" und "Was, bitteschön, darf hinten überhaupt wie herauskommen." Die IT hat das "hinten" englisch stilvoll als "Endpoint" bezeichnet, und Endpoint-Security mit der Überwachung mobiler Endgeräte gehört heute zu den anspruchsvollsten Aufgaben der IT-Security.

Das Problem bei der Weitergabe aller Daten ist nämlich der besagte "Endpoint": Wann dürfen Daten wie ein Unternehmen verlassen? Dürfen sie es überhaupt? Welche Sicherungen kann man einbauen, um Daten, die das Unternehmen gegen den Willen des Dateneigentümers verlassen könnten, gegen Missbrauch abzusichern? Wie definiere ich überhaupt den Endpoint? Wie viele Endpoints gibt es in meinem Unternehmen?
Dabei geht es nicht nur um Bedrohungen von Außen, auch die Gefahr, von Insidern ausspioniert zu werden, ist gravierend. Das FBI hat beispielsweise festgestellt, dass 85 Prozent der Datendiebstähle auf Sicherheitslücken innerhalb des eigenen Unternehmens zurückzuführen sind, indem Mitarbeiter und Berater unrechtmäßig auf vertrauliche Daten zugreifen können.

Um sich abzusichern, ist es beispielsweise in Unternehmen üblich, in den IT Security-Policies zu definieren, dass Daten, die als "streng vertraulich" gelten, nicht unverschlüsselt per Telefon (Festnetz / Mobil / VoIP) übermittelt werden dürfen. "Vertrauliche Daten" wiederum sollten beispielsweise nur per verschlüsselte E-Mail-Kommunikation ausgetauscht werden. Geschieht dies immer?

Mit der Einhaltung von Richtlinien im Unternehmen ist es so eine Sache. Interne Policies festzulegen, ist schon schwer genug, der Einigungsprozess im Unternehmen oftmals die reine Qual. Richtig nervig wird es dagegen, die Einhaltung solcher Regeln auch noch zu überwachen. Nahezu unmöglich ist es oftmals, die Einhaltung von Regeln auch noch sicherzustellen. Auch wenn Benutzer einsehen, dass eine erlassene Richtlinie für das Unternehmen sinnvoll ist, heißt es noch lange nicht, dass diese Richtlinie auch stets befolgt wird. Schlampigkeit, gezielte Absicht oder ein Versehen können zur Missachtung von Regeln führen. Natürlich enthalten Security-Policies meistens die Verpflichtung, vertrauliche oder interne Informationen nicht an unbefugte Dritte zu übermitteln. Natürlich gibt es die Pflicht zur Benutzung von Passwörtern. Doch wie lässt sich dies alles überwachen und steuern?

Wie erreicht man eine Endgeräte-Kontrolle?
Auch die Verwendung von mobilen Endgeräten wie beispielsweise Notebooks ist oftmals in Unternehmen erlaubt, wird aber durch Bestimmungen eingeschränkt wie beispielsweise: "nur Nutzung freigegebener Software", "nur Nutzung bestimmter Internet-Antivirus/Antimalware-Tools", "keine Beinträchtigung der geschäftlichen Verwendung", "keinen Anspruch auf Sicherung der Daten" etc.

Leider besteht die Welt der mobilen Endgeräte heute nicht mehr nur aus Laptops bzw. Notebooks. Handys, Smartphones, USB-Sticks, Memory-Cards, MP3-Player und andere Speichergeräte haben Einzug in die Unternehmen gehalten - leider oftmals ohne detaillierte Kenntnis der IT-Security-Abteilung und natürlich auch ohne detaillierte Erfassung dieses Umstandes in einer IT-Security-Policy. Dabei gelten heute gerade diese Smart-Devices als potentielle Gefahr für IT-Sicherheit und Datenschutz / Datensicherheit. Sie sind zum größten Teil Privateigentum der Mitarbeiter und ermöglichen trotzdem den Zugriff auf das Unternehmensnetzwerk.

Der Verschlüsselungsexperte Credant Technologies hat im Juni 2008 eine Umfrage veröffentlicht, die das Sicherheitsbewusstsein in punkto Endgeräte untersuchte. Befragt wurden 300 Sicherheitsfachleute.
Dabei wurde ermittelt:
>> Mehr als 50 Prozent der Befragten benutzen nicht jedes Mal ein Kennwort, wenn sie sich an ihrem Handy bzw. Smartphone anmelden,
>> 91 Prozent der Befragten teilten mit, dass ihr Smartphone über keine spezielle Sicherheitssoftware verfügt,
>> Nur 19 Prozent gaben an, dass ihr Smartphone bei Einsatz im Unternehmen gewissen Einschränkungen unterliegt,
>> Und nur 29 Prozent der Befragten sagten, dass die IT Security-Policies in ihrem Unternehmen auch Handys und Smartphones berücksichtigen
>> 68 Prozent der IT-Organisationen ignorieren sogar völlig USB-Sticks, MP3-Player und weitere Speichergeräte
>> lediglich 40 Prozent der Umfrageteilnehmer konnten bestätigen, ihr Notebook sei verschlüsselt.
Die Umfrage von Credant ergab ferner, dass die Gefahr mobiler Endgeräte durchaus erkannt wird: 80 Prozent sehen im Notebook ein hohes Sicherheitsrisiko, 88 Prozent sehen in den mobilen Speichergeräten eine hohe Gefahr (in Unternehmen mit mehr als 1.000 Mitarbeiter sind es sogar 94 Prozent).

Man mag sich angesichts dieser Umfrage wundern ob der Diskrepanz zwischen dem Erkennen der Gefahr und der augenscheinlichen Lethargie, das Problem zu lösen. Neu ist das Ganze aber nicht - nur immer wieder überraschend. Beispielsweise hatte schon Gartner 2004 prophezeit, dass auch in 2005 noch 90 Prozent aller mobilen Endgeräte, auf denen Unternehmensdaten gespeichert sind, nicht ausreichend durch Virenschutz und Verschlüsselung gegen Angriffe und Datendiebstahl geschützt sein werden. Rechnet man heute die Endwicklung bei den mobilen Datenträgern hoch, stehen wir wahrscheinlich immer noch bei diesen besagten 90 Prozent - und das drei Jahre später.
Eine Studie des Statistischen Bundesamtes hatte im August 2005 beispielsweise ergeben, dass lediglich 23 Prozent der Unternehmen in der F&E-Branche ihre elektronische Datenübertragung verschlüsseln. Die Frage, die sich heute stellt: "Wie viele Forschungs- und Entwicklungs-Unternehmen sorgen eigentlich dafür, dass die mobilen Endgeräte ausreichend verschlüsselt werden?"

Verschlüsselung: Akzeptanz und Durchsetzung

Es ist müßig, darüber zu diskutieren, warum nicht oder nur teilweise verschlüsselt wird. Oftmals erhält man zur Antwort, dass Verschlüsselung als langsam und daher im Arbeitsalltag als störend empfunden wird. Meint man damit eine vollständige Festplattenverschlüsselung (FDE - Full Disk Encryption), liegt man sicher nicht ganz falsch. Zudem stellt sich immer wieder die Frage, welche Informationen überhaupt schutzbedürftig sind. Wenn dieses Problem der Endanwender selbst über eine anwendergesteuerte File/Folder-Verschlüsselung beantworten darf, führt man eigentlich die Compliance-Sicherung durch Verschlüsselung ad absurdum. Es macht keinen Sinn, wenn jeder einzelne Anwender am berühmten Endpoint selbst entscheiden darf: "Verschlüssele ich jetzt oder nicht?", "Welche Dokumente muss ich eigentlich verschlüsseln?"

Sicherheits- und Datenschutzexperten haben darauf nur eine Antwort: Datensicherheit darf sich nicht nur auf einzelne Dokumente oder Teilkomponenten einer Infrastruktur beschränken. Das vermittle nur eine trügerische Sicherheit. Verschlüsselung sollte im ganzen Unternehmen als Projekt aufgesetzt werden. Erst eine durchgängig-richtlinienbasierte Verschlüsselung bietet den erforderlichen Datenschutz und garantiert Compliance auf allen Ebenen. Dazu gehört aber auch konsequente Durchsetzung einer Verschlüsselungsrichtlinie und - das ist eigentlich der Knackpunkt - die Steuerung der Verschlüsselung von einem zentralen Punkt aus.

In Deutschland, das sei hier gesagt, ist bis jetzt vom Gesetzgeber explizit noch kein Einsatz der Verschlüsselung vorgeschrieben. Man muss Daten schützen - wie, das bleibt eigentlich jedem selbst überlassen. Anders ist dies in vielen Staaten der USA. Wer nicht verschlüsselt und Daten vermisst - das heißt, selbst wenn diese Daten nicht mehr im Rechenzentrum auffindbar sind, man aber davon überzeugt ist, dass sie das Rechzentrum nicht verlassen haben - muss dies der Öffentlichkeit anzeigt werden. Solche Vorfälle sind in der Regel an Peinlichkeit kaum zu überbieten.

Schutz vor externem wie internem Datenmissbrauch in einer integrierten Lösung
Hilfreich für die Durchsetzung von Verschlüsselungsrichtlinien im Unternehmen ist eine einzige, zentral verwaltete Sicherheitslösung für Daten auf mobilen Endgeräten. Sie sollte eine leistungsstarke Authentisierung und intelligente Verschlüsselung ermöglichen und über Funktionen verfügen, die die Steuerung und Überwachung der Systemnutzung sowie für die Verwaltung von Schlüsseln ermöglicht und gleichzeitig noch die Wiederherstellung von Daten zulässt. Credant bietet dies beispielsweise mit ihrer Software "Mobile Guardian" an. Mit ihr können - je nach Anwendertyp, Gerät und Standort - unterschiedliche Sicherheitsrichtlinien definiert werden, wodurch die Überprüfung und Durchsetzung dieser Richtlinien auf alle Endgeräte gewährleistet wird.

Mit "Mobile Guardian" können Unternehmen sicher sein, dass im Falle eines Diebstahls oder des Verlustes eines mobilen Endgerätes alle Daten immer verschlüsselt sind. Auch bei routinemäßigen Wartungsarbeiten, oder wenn mehrere Personen Zugang zu ein und demselben Computer haben, bleiben die Daten individuell verschlüsselt.

Lesen Sie auch:
Ein integriertes Verschlüsselungsprodukt zum Schutz vor internen und externen Gefahren
Mit dem Verschlüsselungskonzept "Full Data Encryption2" führt Credant zwei Crypto-Welten zusammen



Meldungen: Hintergrund

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Audit-Druck ebnet Weg hin zu Abo-Modellen

    Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

  • Digitale Verwaltungsdienste ohne Datengrundlage?

    Deutsche Behörden tun sich schwer, ihre Angebote für Bürger und Bürgerinnen digital anzubieten. Das aktuelle Onlinezugangsgesetz (OZG) macht aber Bund, Ländern und Kommunen jetzt kräftig Druck. Geht es nach dem Gesetzgeber, sollen bis Jahresende rund 600 Verwaltungsdienstleistungen in digitaler Form bereitstehen - und zwar bundesweit.

Insolvenzverwalter auf dem Prüfstand PDF und Compliance-Anforderungen im HR-Bereich

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen