Kommunikation per E-Mail stellt ein erhebliches Sicherheitsrisiko für Entscheider in Unternehmen dar: wie der „Global Security Report 2018“ des IT-Sicherheitsunternehmens Trustwave zeigt, waren im Jahr 2017 Phishing-Attacken und Social Engineering per E-Mail mit 55% die führende Methode der Cyber-Kriminalität zu Lasten von Firmen. Dabei spielten der Versand von schädlichen PDF-Dateien sowie Social Engineering eine bedeutende Rolle.

Trustwave analysierte mitprotokollierte Sicherheits- und Compliance-Verletzungen in 21 Ländern. Als wesentlicher Schwachpunkt wurde dabei menschliches Fehlverhalten ausgemacht: „The human factor is still the highest source of weakness for corporate environments, with phishing contributing to more than half of such compromises. We have also seen an increase in threats from malicious insiders, the second most common source of compromise in corporate environments.“

Mit Blick auf Phising – also der Versuch, an persönliche Daten zu gelangen und damit Identitätsdiebstahl zu begehen – spiele im Unternehmensbereich der Versand von schadhaften PDF-Dateien eine erhebliche Rolle. Dazu erhalte der Empfänger eine E-Mail mit einer PDF-Datei als Anlage. Nach dem Öffnen zeige der Anhang einen verschwommenen Text mit dem Hinweis, dass die PDF sicher sei und über einen Link online angeschaut werden müsse. Durch Anklicken des Links werde der Empfänger entweder an eine Website zur Eingabe von Daten weitergeleitet oder es komme automatisch zu einem Download von schadhafter Software.

Neben der Einschleusung schadhafter Software oder der Ausspionierung von Nutzerdaten ist das sog. Social Engineering von zunehmender Bedeutung. Eine mittlerweile weithin bekannte Form ist der CEO Fraud. Ziel solcher Attacken ist meist das mittlere Management: Der Angreifer gibt per E-Mail vor, der CEO des Unternehmens zu sein und verlangt eine Überweisung. Dabei sieht die Absender-Kennung so aus wie die des tatsächlichen CEO. Wie Trustwave hervorhebt, handelt es sich – anders als bei Phising – um individuelle Attacken, für die der Angreifer zunächst Mailadressen erforscht und der Sprache des Empfängers mächtig ist.

Neben reiner E-Mail-Kommunikation wird mittlerweile auch der Weg über soziale Netzwerke gesucht. Dabei werden die Empfänger für eine Aktion dazu aufgefordert, sich mit ihrem Social Media Account anzumelden. Über die gefälschte Seite werden Login-Daten abgefangen und können daraufhin durch den Angreifer auf anderen Plattformen missbraucht werden. Social Engineering ist von Firewalls schwer zu erkennen, weil es für derartige Angriffe keine definierbaren Muster bzw. Regeln und auch keine Dateianhänge gibt. Mögliche Schutzmechanismen auf Basis von künstlicher Intelligenz stecken indes noch in den Kinderschuhen.

Die Ergebnisse machen deutlich, dass E-Mail-Kommunikation nach wie vor eine offene Flanke für Unternehmen ist. Der einzig wirksame Schutz besteht in einer grundlegenden Änderung der Kommunikationskanäle: für interne Kommunikation eignen sich digitale Board Rooms, mit denen sowohl Unterlagen auf höchstem Sicherheitslevel ausgetauscht als auch Konversationen über eine Chat-Funktion erfolgen können. Weil es sich um ein geschlossenes System handelt, lässt sich das Risiko von Phising oder Social Engineering ausschließen. Denn auf E-Mails können Geschäftsführer und Vorstände dann weitgehend verzichten.

Wenn Vorstände und Geschäftsführer untereinander Unterlagen oder Informationen austauschen, handelt es sich in der Regel um Betriebsgeheimnisse. Dabei birgt der praxisübliche Versand per E-Mail oder das Abspeichern in firmeninternen Netzwerken erhebliche Risiken. Denn Wirtschafts- und Industriespionage geschieht heut zu Tage überwiegend auf virtueller Ebene. Um vertrauliche Informationen auszutauschen, sind daher speziell geschützte Board Portale zu empfehlen.

Kurz vor Jahresende 2017 schlug BDI-Präsident Dieter Kempf verbalen Alarm: „Mindestens 55 Milliarden Euro Schaden entstehen pro Jahr in Deutschland durch Datendiebstahl, Industriespionage oder Sabotage“, schrieb er in einem Gastbeitrag für die WirtschaftsWoche In den vergangenen zwei Jahren seien fast 70 Prozent der deutschen Unternehmen das Ziel von Wirtschaftsspionage, Sabotage oder Datendiebstahl gewesen – mit steigender Tendenz.

E-Mail-Server und Firmennetzwerke häufige Angriffsziele

Ziel der Spionageattacken sind insbesondere firmeninterne Netzwerke, wobei der Einstiegspunkt meist die Schnittstelle zum Internet ist, wie der Experten-Blog „CloudComupting Insider“ berichtet. Demnach hacken die Täter lokale Firmennetzwerken oder greifen auf Online-Datenspeicher wie Cloud-Dienste oder E-Mail-Server zu. Gerade für mittelständische Unternehmen, die viel Geld in Forschung und Entwicklung stecken, wiegen Datenverluste schwer. Weil letztlich der Vorstand bzw. die Geschäftsführung über R&D-Investments und neue Innovationsprojekte entscheidet, werden vertrauliche Informationen oft in Management-Sitzungen behandelt – so dass dort neuralgische Punkte für Cyber-Attacken bestehen.

Digitale Board Portale als Lösung

Weil eine Rückkehr zu papierhaften Sitzungsunterlagen keine Alternative ist und eine virtuelle Vorbereitung von Management-Meetings die Effizienz steigert, empfehlen sich Board Portale. Damit lassen sich digitale Sitzungsmappen erstellen und über das iPhone oder iPad abrufen lassen. Auf Basis der jeweiligen Agenda werden die Unterlagen strukturiert abgelegt und können wie in einem physischen Buch durchblättern werden – auch offline, beispielsweise im Flugzeug. Die Dokumente können mit handschriftlichen Kommentaren, digitalen Haftnotizen, Textmarkern und Lesezeichen versehen werden. Die Notizen lassen sich mit den Vorstandskollegen teilen und über eine Chat-Funktion ist auch ein virtueller Austausch möglich. Zudem ist es mit einem solchen Tool möglich, Inhalte auf digitale Weise zu genehmigen und Abstimmungen virtuell durchzuführen – das traditionelle Umlaufverfahren hat damit ausgedient.

Höchste Sicherheitsstandards für Sitzungsunterlagen

Während E-Mail-Kommunikation dem Versand einer Postkarte gleicht, entspricht der Austausch über das Board Portal höchsten Sicherheitsstandards. Entscheider sollten hierbei vor allem darauf achten, dass der Anbieter eine ISO 27001– und TRUSTe-Zertifizierung sowie eine Prüfung nach SSAE 16 / ISAE 3402 (SOC 1-Type II) durchlaufen hat. Zudem sollte eine Zwei-Faktor-Authentifizierung vorhanden sein, d.h. der Nutzer kann nur auf vertrauenswürdigen Geräten auf seinen Account zugreifen. Wenn er sich erstmalig bei einem neuen Gerät anmeldet, muss er zwei persönliche Informationen übermitteln und durch Eingabe eines Codes bestätigen, dass das neue Gerät vertrauenswürdig ist.

Insgesamt sollten Entscheider das Risiko von Cyber-Angriffen proaktiv managen und innerhalb ihres Unternehmens erhöhte Sensibilität für dieses Thema schaffen. Vorbeugende Maβnahmen zu treffen, anstatt sich auf Schadensbegrenzung zu konzentrieren, ist in Zeiten zunehmender Wirtschafts- und Industriespionage von strategischer Relevanz – denn durch Datendiebstahl können Wettbewerbsvorteile oder Informationsvorsprünge schlagartig entfallen und damit die Marktposition entschieden geschwächt werden.

Nur noch wenige Wochen, dann ist die Datenschutzgrundverordnung (DSGVO) anzuwenden. Sie bringt weitreichende Änderungen für den Datenschutz von Unternehmen und dabei auch für den Informationsaustausch zwischen Vorständen und Geschäftsführern. Wenn sie personenbezogene Daten miteinander teilen, greifen die neuen Bestimmungen. Darauf können sich Manager mit digitaler Unterstützung vorbereiten.

Zur Anwendung kommt die DSGVO ab dem 25. Mai 2018 auf personenbezogene Daten. Dies sind nach Artikel 4 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei wird als „identifizierbar“ eine natürliche Person angesehen, die direkt oder indirekt, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Das ist gerade im B2C-Bereich der Fall, wenn Listen mit natürlichen Personen als Interessenten bzw. Potenzialkunden ausgetauscht werden.

Auch künftig kein Konzernprivileg

Wenn Großunternehmen mit verschiedenen Tochtergesellschaften personenbezogene Daten gruppenintern austauschen, ist erhöhte Sorgfalt angebracht. Denn auch nach dem 25. Mai 2018 gibt es kein Konzernprivileg. Vorgesehen ist in Erwägungsgrund 48 der DSGVO lediglich, dass Verantwortliche, die Teil einer Unternehmensgruppe sind, ein „berechtigtes Interesse“ haben können, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.

Was ist ein berechtigtes Interesse?

Zwar können personenbezogene Daten zwischen Konzerngesellschaften ausgetauscht werden, wenn die Interessen des Verarbeiters die schutzwürdigen Interessen der Betroffenen überwiegen. Dazu heißt es in Erwägungsgrund 47 Satz 2 DSGVO, dass ein berechtigtes Interesse beispielsweise dann vorliegen könnte, wenn eine „maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z.B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.“ Ist im B2C-Geschäft eine natürliche Person aber noch kein Kunde, sondern lediglich ein Interessent oder ein „Lead“ bzw. loser Kontakt, wird man noch keine maßgebliche und angemessene Beziehung annehmen können. In diesem Fall dürfen die Daten im Konzern nicht ausgetauscht werden. Auch interne Auswertungen bzw. Revisionsberichte mit personenbezogenen Daten von externen natürlichen Personen ohne Kundenbeziehung dürfen nicht zwischen Konzerngesellschaften ausgetauscht werden.

Besonderheiten beim grenzüberschreitenden Datenaustausch

Erwägungsgrund 48 der DSGVO regelt zudem, dass die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland unberührt bleiben. Gerade in international agierenden Unternehmensgruppen werden Kundendaten aber oft grenzüberschreitend an Tochtergesellschaften außerhalb der Europäischen Union (EU) weitergegeben. Zudem ist es nicht unüblich, dass einzelne Vorstandsmitglieder ihren Sitz auf anderen Kontinenten haben und z.B. für Board Meetings digital mit Kundendaten oder Sitzungsunterlagen versorgt werden. Datenschutzrechtlich kann das problematisch sein, wenn die Länder kein im Vergleich zur EU angemessenes, anerkanntes Datenschutzniveau aufweisen. Dies ist beispielsweise in den USA oder in China der Fall. In dieser Hinsicht müssen Standardvertragsklauseln oder ähnliche Garantien vereinbart werden, die das europäische Datenschutzniveau faktisch in das betreffende Land „exportieren“. Ein konzernweit eingesetztes Board Portal wie Diligent Boards, das EU-Standards entspricht (z.B. ISO 27001- und TRUSTe-Zertifizierung, geprüft nach SSAE 16/ISAE 3402/SOC 1-Type II, Zwei-Faktor-Authentifizierung), kann hier helfen. Mit solchen Tools lassen sich Zugriffsrechte auf Dateien bis auf die Dokument- und Benutzerbene individuell einstellen. Zudem ist Echtzeitkommunikation mit höchster Sicherheit möglich. Informationen und Dokumente können ohne Bedenken weltweit mit dem gesamten Management-Team geteilt werden.

Datenschutz als strategisches Thema

Weil Datenschutzbehörden bei Verstößen drakonische Geldbußen verhängen können, sollten sich Top-Entscheider mit den datenschutzrechtlichen Aspekten der Geschäftspraxis bzw. internen Prozesse ihres Unternehmens intensiv befassen. Dazu ist die schriftlich dokumentierte Vernetzung mit dem Datenschutzbeauftragten und die Einschaltung von datenschutzrechtlich spezialisierten Anwälten empfehlenswert, um den gesellschaftsrechtlichen Sorgfaltspflichten zu genügen und somit im Schadensfall die Haftungsrisiken einzudämmen.

In deutschen Großunternehmen ist das Gründertum ausgebrochen. Start-ups, Inkubatoren und Hackathons gehören zum guten Ton, entpuppen sich bei genauem Hinsehen aber nicht selten als Marketing. Wenn man es ernst meint mit der Transformation des bestehenden Geschäftsmodells und dem Aufbau neuer Geschäftsfelder, dann können Konzerne von Gründern lernen. Zugleich stellt sich für Konzernmitarbeiter mit unternehmerischen Ambitionen die Frage, worauf sie sich einlassen, wenn sie den Sprung in die Selbstständigkeit wagen. Die zentralen Fragen: welche Haltung und Typen braucht es, um Neues aufzubauen? Wie werden Entscheidungen flexibel getroffen und revidiert? Was genau unterscheidet Unternehmertum von Konzernstrukturen – und wie lassen sich beide Welten zusammenbringen? In 20 Kapiteln werden diese grundlegenden Fragen durch einen Abgleich selbst erlebter Konzernpraxis und eigener Erfahrungen beim Sprung in die Selbstständigkeit mit dem Aufbau einer internationalen Unternehmensgruppe beleuchtet.

Warum wird man eigentlich Unternehmer – und ist man als Konzernmitarbeiter der richtige Typ dafür? Fragen, die natürlich jeder selbst beantworten muss. Wie die Antwort ausfällt, hängt zum einen davon ab, was konkret auf einen zukommt, wenn man sich aus einem Großunternehmen ins Unternehmertum wagt. Zum anderen ist es eine sehr persönliche Entscheidung, ob die unternehmerische Freiheit, das damit verbundene Risiko und die Ungewissheit bei zugleich hohem Einsatz zu einem passen. Dieses Kapitel zeigt, was Angestellte zunächst für sich klären sollten, bevor sie damit beginnen, etwas Eigenes aufzubauen. Daraus leiten sich wichtige Erkenntnisse für Konzerne ab, wenn sie in Gründer investieren oder eigene Start-ups aufbauen.

Auch wenn es sich wie eine Plattitüde anhört: Unternehmer zu werden, erfordert eine echte Veränderungsbereitschaft. Als Konzernmitarbeiter lebt es sich in geordneten Bahnen und viele Dinge sind vorhanden bzw. geregelt – auch wenn man oft und gerne innerlich oder auch öffentlich flucht. Wie wäre es, wenn morgen der Arbeitsablauf nicht mehr durch Jour Fixes oder Prozesse vorgegebenen wird? Was wäre davon zu halten, wenn keine monatlichen Gehaltszahlungen und einmal pro Jahr der Bonus kommt, sondern alles von den eigenen Kunden abhängt – dafür aber vielleicht deutlich mehr Geld fließt? Ob man Gewohnheiten aufgeben kann und will, muss jeder für sich selbst entscheiden. Wie man Veränderungsbereitschaft steigern kann und was Entscheider in Konzernen wiederum für die Auswahl der passenden Gründertypen beachten sollten, zeigt dieses Kapitel.

Jedem Anfang wohnt ein gewisser Zauber inne und dies gilt für das Unternehmertum in besonderer Weise: aus einem Einfall beim Joggen, Duschen, Feiern oder Schlafen entwickelt sich eine Geschäftsidee, die einen über Tage oder Wochen fasziniert und als Konzept aufgeschrieben wird. Und bald schon kommen Gedanken an Investoren und den Börsengang auf. Aber so schön Tagträume auch sind, stellt sich dann irgendwann die eine Frage: zahlt jemand eigentlich Geld für das Produkt? Aus eigenem Erleben wird die Klärung dieser Frage von Unternehmern und in Konzernen meist unterschiedlich angegangen. Was beide Seiten voneinander lernen können, zeigt dieses Kapitel.

Das Schwerste an einer Idee ist ihre Umsetzung. Wenn ein Konzept zur Realität werden soll, kommen neben prozessualen, technischen oder rechtlichen Hürden oft auch Inkonsistenzen des Geschäftsmodells zum Vorschein. Bis das Produkt oder die Dienstleistung marktreif ist und Kunden dafür Geld zu zahlen bereit sind, braucht es viel Geduld und eine hohe Frustrationstoleranz. Zu lange auszuprobieren und die Sache bis zur Perfektion zu treiben, kann aber auch zum Problem werden, wenn Wettbewerber parallel aktiv sind. Welches Vorgehen nach eigener unternehmerischer Erfahrung sinnvoll ist und wie sich dies auch im Konzern umsetzen lässt, wird in diesem Kapitel erläutert.

Unternehmer zu werden, braucht Anlauf – und der kann lange dauern. In meiner mehr als 20-jährigen Berufslaufbahn habe ich hunderte Konzernmenschen kennen gelernt, die seit teils Jahrzehnten von einer Selbstständigkeit träumen. Letztlich aber schaffen sie den Absprung nicht, vor allem weil Sachzwänge (z.B. Familie, Hausfinanzierung) und die Scheu vor Risiken sie abhalten. Wie sich die Vorbereitungen auf den Sprung ins Unternehmertum treffen lassen und wie Konzerne ungenutztes Potenzial unternehmerisch motivierter Mitarbeiter erschließen können, zeigt dieses Kapitel.

Gerade zu Beginn der Selbstständigkeit musst Du als Unternehmer praktisch alles können: am Produkt arbeiten, Kunden akquirieren, die Internet-Seite bauen, die Finanzierung sichern und Verträge erstellen. Und das alles gleichzeitig. Ohne fachübergreifende Fähigkeiten wird der Start sehr schwer, sehr teuer und damit sehr risikoreich. Wie man Interdisziplinarität entwickelt, welches Skill Set für eine Unternehmensgründung nach eigenen Erfahrungen wirklich erforderlich ist und worauf Konzerne bei der Zusammenstellung von Gründerteams deshalb achten sollten, zeigt dieses Kapitel.

Page 2 of 41234