Sie sind hier: Home » Fachartikel » Hintergrund

Compliance-Probleme mit Verschlüsselung lösen


"Entscheidend ist, was hinten rauskommt": Die Sicherung des Endpoint und die Überwachung von Endgeräten zählt in der IT-Security zu den anspruchsvollsten Aufgaben
Erst eine durchgängig richtlinienbasierte Verschlüsselung bietet den erforderlichen Datenschutz und garantiert Compliance auf allen Ebenen


Von Rainer Annuscheit

(04.09.08) - Daten müssen stets geschützt werden: Sowohl vor unbefugtem Zugriff von außen als auch von innen. Die Kontrolle von mobilen Endgeräten und die sogenannte Endpoint-Security gelten heute als große Herausforderung der Compliance. Die Durchsetzung von Verschlüsselungsrichtlinien im Unternehmen über eine einzige, zentral verwaltete Sicherheitslösung für Daten auf mobilen Endgeräten kann dazu beitragen, die Compliance für die Bereiche Datensicherheit und Datenschutz zu gewährleisten.

Compliance gilt heute als einer der entscheidenden Treiber zur Weiterentwicklung der IT-Sicherheit. Die IT-Security-Richtlinien von Unternehmen - Policies genannt - müssen stetig neue Compliance-Anforderungen berücksichtigen. Das Compliance-Lexikon von Compliance-Magazin.de definiert die Compliance als "'Erfüllung', 'Entsprechung' bzw. 'Konformität' mit staatlichen Gesetzen sowie mit Regeln und Spezifikationen, mit Grundsätzen (ethische und moralische) und Verfahren sowie mit Standards (z.B. ISO) und Konventionen, die klar definiert worden sind. Die Erfüllung der Compliance kann sowohl auf Zwang (z.B. durch Gesetze) als auch auf Freiwilligkeit (z.B. Einhaltung von Standards) beruhen."

Zwang hat in der Regel immer etwas mit Gesetzen zu tun. Ausnahmen mögen die Bestimmungen von Organisationen sein, deren ethischen Festlegungen man sich freiwillig unterwirft, an die man aber gebunden ist, will man nicht aus der Organisation entfernt werden, siehe z.B. die Anti-Korruptionsorganisation Transparency.
Der Gesetzgeber bestimmt beispielsweise, wie in einem Unternehmen mit Daten umgegangen werden muss (Datenschutz), wie Daten aufbereitet werden müssen (Stichwort: Digitale Steuerprüfung - GDPdU - Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen), wie die Kontrolle und Transparenz im Unternehmen gewährleistet werden kann (KonTraG) oder wie Telekommunikationsgesetze Unternehmen in die Pflicht nehmen.

Es geht um Nachweispflicht und es geht um Daten
Fast alle diese Gesetze haben
a) immer etwas mit der Nachweispflicht zu tun: Unternehmen müssen nachweisen können, dass sie sich gesetzeskonform, sprich "compliant" verhalten haben (hier kommen z.B. die berühmten Log-Files ins Spiel, die aus Dokumentationszwecken herangezogen werden oder einfach auch der Überwachung dienen), und
b) haben immer etwas mit Daten zu tun. Es sind Daten, die aus den vielfältigsten Gründen nicht verloren gehen dürfen, es sind Daten, die man auf Anforderung bereitstellen muss, es sind Daten, deren Zugriff eindeutig geregelt werden muss, es sind Daten, die zu jedem Zeitpunkt optimal geschützt werden müssen, es sind Daten, die immer und von überall und zu jedem Zeitpunkt abrufbar sein müssen.Wenn es um Datensicherheit und -schutz geht, ist stets die IT-Sicherheit (sowohl die aktive als auch die passive) mit im Spiel. Daten werden z.B. aktiv geschützt durch Internet-Security-Lösungen (z.B. Firewalls, Antivirus/Antimalware-Systeme, Intrusion Detection- und E-Mail-Content-Security-Lösungen oder auch durch Sicherheitslösungen wie Verschlüsselungssysteme und Access Control-Lösungen. Passiv lassen sich Daten schützen durch Speicher-/Backup-/Archivierungslösungen oder durch besondere Rechenzentrumsinfrastruktur.

Unternehmen und ihre Mitarbeiter müssen sich also auf vielfältige Weise "compliant" verhalten:
>> Intern sind Mitarbeiter beispielsweise an Unternehmensregeln "Policies" gebunden, die die Verhaltensregeln beinhalten können (Codes of Conduct) oder auch Regeln für die gesamte IT aufstellen (Stichwort: IT Compliance / IT Governance), die wiederum den Umgang mit der Unternehmens-IT festlegen (z.B. wer darf wann worauf zugreifen). Im Bereich der IT unterwerfen sich Unternehmen beispielsweise freiwillig bestimmten Standards (ISO, CobiT, BSI). Auf diese Weise können Unternehmen gegenüber Kunden, Aktionären oder auch dem Gesetzgeber nachweisen, dass ihre IT die gängigen Sicherheitsregeln einhalten kann und Daten stets den höchstmöglichen Schutz genießen.
>> Extern haben sich Unternehmen (und natürlich auch deren Mitarbeiter) an Gesetze zu halten.

Schon jetzt erkennt man, dass die Aufrechterhaltung der Compliance im Unternehmen vielfältige Herausforderungen stellt. Es gibt nicht das Compliance-Produkt, mit dem man alles managen und alles im Griff haben kann. Und es gibt nicht die Security-Lösung, mit der Daten hundertprozentig geschützt werden können. Compliance in der IT und mit der IT zu erreichen bedeutet, auf eine Vielzahl von Produkten zurückgreifen zu müssen.
Im Bereich der Datensicherheit und des Datenschutzes muss sich ein Unternehmen beispielsweise fragen: "Welches Produkt vermag meine Daten, so zu schützen, dass sie selbst im Falle eines Verlustes nicht für Unbefugte in irgendeiner Form verwertbar sind?"

Datensicherheit und Datenschutz
Unternehmen müssen heute die Sicherheit der IT, die Kommunikationssicherheit und eben auch die Datensicherheit bzw. den Datenschutz gewährleisten können. Was die Verarbeitung von personenbezogenen Daten betrifft, d.h. deren Verwaltung, Speicherung und Weitergabe, sind mittlerweile eine Fülle von Gesetzen erlassen worden, die dies regeln.
Vier Kernpunkte (bzw. besser gesagt "Pflichten") resultieren aus diesem Anspruch:
Authentizität, Integrität, Nichtabstreitbarkeit und Vertraulichkeit.
Werden diese Anforderungen zu jedem Zeitpunkt eingehalten, lässt sich die Compliance im IT-Sicherheitsbereich schon zu einem hohen Prozentsatz erschlagen.

>> Worum geht es z.B. bei Authentizität? Authentizität hat etwas mit einem Identitätsnachweis zu tun (man kann nachweisen, wer der Kommunikationspartner ist) und sie hat etwas mit (Nachrichten-)Authentisierung zu tun (man kann nachweisen, von wem z.B. eine Nachricht stammt)
>> Die Integrität bedeutet, dass unbefugte Änderungen von Daten erkannt werden können.
>> Bei der Nichtabstreitbarkeit sprechen wir von dem Nachweis, dem man einem Dritten erbringt, dass eine Kommunikation zwischen bestimmten Kommunikationsteilnehmern stattgefunden hat.
>> Vertraulichkeit heißt immer: Unbefugte Personen können zu keinem Zeitpunkt für sie nicht bestimmte Daten zur Kenntnis nehmen.

Mit kryptographischen Verfahren lassen sich diese vier Ziele der IT-Sicherheit, des Datenschutzes und der Kommunikationssicherheit erfüllen. Man löst quasi mit dem konsequenten Einsatz von Kryptographie die größten und gravierendsten Compliance-Probleme mit einem Schlag.

Kryptographie-Anwendungen
Natürlich gibt es auf dem Anwendungsfeld der Kryptographie nicht das eine Produkt, mit dem sich alles verschlüsseln lässt, was verschlüsselt werden muss. Kryptographie-Produkte sind jeweils auf Anwendungsfälle und -gebiete abgestimmt. Grundsätzlich gilt: Alles was digitalisiert werden kann, lässt sich auch verschlüsseln.

Beispielsweise
>> im Bereich der Kommunikation und Netzwerke: analoge, ISDN- undVoIP-Telefonie, Fax, Sprechfunk, E-Mail, Messaging, Funknetze, Storage Area Networks, Netzwerkverbindungen etc.
>> im Bereich Automobil: Wegfahrsperren, Automobilelektronik etc.
>> im Bereich Urheberrecht (Digitals Rights): Film, Musik, Software, Spiele, Bücher, Bilder
>> im Bereich eCommerce: Handel über das Internet, elektronische Bürgerdienste (virtuelles Rathaus)
>> im Bereich "staatliche Hoheitsrechte" und Identitätsnachweise: Pässe, Ausweise, elektronische Gesundheitskarte
>> im Bereich Absicherung der IT und Systemadministration: Festplatten-, Ordner- und File-Verschlüsselung, Datenbanken, Netzwerke, interne und externe Archivierung, Fernwartung und Outsorucing, Mobile Devices und Datenträger, mobile Anbindung von Außendienst und Teleworkern.

Dementsprechend finden wir Kryptographie-Anwendungen beispielsweise
>> in RFID-Chips,
>> in Telefonanlagen,
>> in VPNs, um Zugriff auf "private" Netzwerke von bestimmten vertrauenswürdigen Endpunkten eines Internets zu bieten,
>> in drahtlosen Netzen (WLANs)
>> in Speichernetzen (Storage Area Networks - SANs)
>> in DRM (Digital Rights Management)-Anwendungen,
>> im Bereich Identity Management und PKI- (Public Key Infrastructure)-Lösungen
>> im Bereich eCommerce (sogenannte Single Sign on-Authentisierung)

Die Gefahr lauert am sogenannten "Endpunkt"
Das Problem des Datenschutzes und der Datensicherheit haben wir schon angesprochen. Unternehmen besitzen viele vertrauliche Daten: Sensible Geschäftsinformationen, detaillierte Kundendaten wie persönliche Mitarbeiterdaten. Nicht zu vergessen, Daten, die zum Teil die Identität eines Unternehmens ausmachen, als da sind: geistiges Eigentum, Software-Quell-Codes, Produktbeschreibungen, Konstruktionsdaten, Labor-Analysen, Strategie-Papers etc. Selbst Daten, deren Schutz nicht unter die gesetzgeberische Schutzpflicht fallen, stellen für das Unternehmen oftmals einen großen Wert dar.

In der Regel wird ein Unternehmen in seinen Security-Policies festlegen, wie mit welchen Daten umzugehen ist. Es wird die Daten klassifizieren und die unterschiedlichen Zuständigkeiten definieren, je nachdem ob man Eigentümer der Information oder nur dessen Nutzer ist. Nur privilegierte Nutzer sollten z.B. bestimmte Information zur Kenntnis nehmen dürfen bzw. weiter auf eigene Medien (z.B. Laptops) bearbeiten dürfen. So werden Kategorien entwickelt wie "streng vertraulich", "vertraulich", "nur für den internen Gebrauch", "nur für Kunden" oder auch "öffentlich zugänglich" für Informationen, die keines Schutzes bedürfen.

Vom ehemaligen deutschen Bundeskanzler Helmut Kohl stammt der denkwürdige Satz: "Entscheidend ist, was hinten rauskommt." - Für die IT-Sicherheitsadministration stellt diese Plattitüde eine elementare Erkenntnis dar und provoziert gleichzeitig zwei Fragen: "Was ist hinten" und "Was, bitteschön, darf hinten überhaupt wie herauskommen." Die IT hat das "hinten" englisch stilvoll als "Endpoint" bezeichnet, und Endpoint-Security mit der Überwachung mobiler Endgeräte gehört heute zu den anspruchsvollsten Aufgaben der IT-Security.

Das Problem bei der Weitergabe aller Daten ist nämlich der besagte "Endpoint": Wann dürfen Daten wie ein Unternehmen verlassen? Dürfen sie es überhaupt? Welche Sicherungen kann man einbauen, um Daten, die das Unternehmen gegen den Willen des Dateneigentümers verlassen könnten, gegen Missbrauch abzusichern? Wie definiere ich überhaupt den Endpoint? Wie viele Endpoints gibt es in meinem Unternehmen?
Dabei geht es nicht nur um Bedrohungen von Außen, auch die Gefahr, von Insidern ausspioniert zu werden, ist gravierend. Das FBI hat beispielsweise festgestellt, dass 85 Prozent der Datendiebstähle auf Sicherheitslücken innerhalb des eigenen Unternehmens zurückzuführen sind, indem Mitarbeiter und Berater unrechtmäßig auf vertrauliche Daten zugreifen können.

Um sich abzusichern, ist es beispielsweise in Unternehmen üblich, in den IT Security-Policies zu definieren, dass Daten, die als "streng vertraulich" gelten, nicht unverschlüsselt per Telefon (Festnetz / Mobil / VoIP) übermittelt werden dürfen. "Vertrauliche Daten" wiederum sollten beispielsweise nur per verschlüsselte E-Mail-Kommunikation ausgetauscht werden. Geschieht dies immer?

Mit der Einhaltung von Richtlinien im Unternehmen ist es so eine Sache. Interne Policies festzulegen, ist schon schwer genug, der Einigungsprozess im Unternehmen oftmals die reine Qual. Richtig nervig wird es dagegen, die Einhaltung solcher Regeln auch noch zu überwachen. Nahezu unmöglich ist es oftmals, die Einhaltung von Regeln auch noch sicherzustellen. Auch wenn Benutzer einsehen, dass eine erlassene Richtlinie für das Unternehmen sinnvoll ist, heißt es noch lange nicht, dass diese Richtlinie auch stets befolgt wird. Schlampigkeit, gezielte Absicht oder ein Versehen können zur Missachtung von Regeln führen. Natürlich enthalten Security-Policies meistens die Verpflichtung, vertrauliche oder interne Informationen nicht an unbefugte Dritte zu übermitteln. Natürlich gibt es die Pflicht zur Benutzung von Passwörtern. Doch wie lässt sich dies alles überwachen und steuern?

Wie erreicht man eine Endgeräte-Kontrolle?
Auch die Verwendung von mobilen Endgeräten wie beispielsweise Notebooks ist oftmals in Unternehmen erlaubt, wird aber durch Bestimmungen eingeschränkt wie beispielsweise: "nur Nutzung freigegebener Software", "nur Nutzung bestimmter Internet-Antivirus/Antimalware-Tools", "keine Beinträchtigung der geschäftlichen Verwendung", "keinen Anspruch auf Sicherung der Daten" etc.

Leider besteht die Welt der mobilen Endgeräte heute nicht mehr nur aus Laptops bzw. Notebooks. Handys, Smartphones, USB-Sticks, Memory-Cards, MP3-Player und andere Speichergeräte haben Einzug in die Unternehmen gehalten - leider oftmals ohne detaillierte Kenntnis der IT-Security-Abteilung und natürlich auch ohne detaillierte Erfassung dieses Umstandes in einer IT-Security-Policy. Dabei gelten heute gerade diese Smart-Devices als potentielle Gefahr für IT-Sicherheit und Datenschutz / Datensicherheit. Sie sind zum größten Teil Privateigentum der Mitarbeiter und ermöglichen trotzdem den Zugriff auf das Unternehmensnetzwerk.

Der Verschlüsselungsexperte Credant Technologies hat im Juni 2008 eine Umfrage veröffentlicht, die das Sicherheitsbewusstsein in punkto Endgeräte untersuchte. Befragt wurden 300 Sicherheitsfachleute.
Dabei wurde ermittelt:
>> Mehr als 50 Prozent der Befragten benutzen nicht jedes Mal ein Kennwort, wenn sie sich an ihrem Handy bzw. Smartphone anmelden,
>> 91 Prozent der Befragten teilten mit, dass ihr Smartphone über keine spezielle Sicherheitssoftware verfügt,
>> Nur 19 Prozent gaben an, dass ihr Smartphone bei Einsatz im Unternehmen gewissen Einschränkungen unterliegt,
>> Und nur 29 Prozent der Befragten sagten, dass die IT Security-Policies in ihrem Unternehmen auch Handys und Smartphones berücksichtigen
>> 68 Prozent der IT-Organisationen ignorieren sogar völlig USB-Sticks, MP3-Player und weitere Speichergeräte
>> lediglich 40 Prozent der Umfrageteilnehmer konnten bestätigen, ihr Notebook sei verschlüsselt.
Die Umfrage von Credant ergab ferner, dass die Gefahr mobiler Endgeräte durchaus erkannt wird: 80 Prozent sehen im Notebook ein hohes Sicherheitsrisiko, 88 Prozent sehen in den mobilen Speichergeräten eine hohe Gefahr (in Unternehmen mit mehr als 1.000 Mitarbeiter sind es sogar 94 Prozent).

Man mag sich angesichts dieser Umfrage wundern ob der Diskrepanz zwischen dem Erkennen der Gefahr und der augenscheinlichen Lethargie, das Problem zu lösen. Neu ist das Ganze aber nicht - nur immer wieder überraschend. Beispielsweise hatte schon Gartner 2004 prophezeit, dass auch in 2005 noch 90 Prozent aller mobilen Endgeräte, auf denen Unternehmensdaten gespeichert sind, nicht ausreichend durch Virenschutz und Verschlüsselung gegen Angriffe und Datendiebstahl geschützt sein werden. Rechnet man heute die Endwicklung bei den mobilen Datenträgern hoch, stehen wir wahrscheinlich immer noch bei diesen besagten 90 Prozent - und das drei Jahre später.
Eine Studie des Statistischen Bundesamtes hatte im August 2005 beispielsweise ergeben, dass lediglich 23 Prozent der Unternehmen in der F&E-Branche ihre elektronische Datenübertragung verschlüsseln. Die Frage, die sich heute stellt: "Wie viele Forschungs- und Entwicklungs-Unternehmen sorgen eigentlich dafür, dass die mobilen Endgeräte ausreichend verschlüsselt werden?"

Verschlüsselung: Akzeptanz und Durchsetzung

Es ist müßig, darüber zu diskutieren, warum nicht oder nur teilweise verschlüsselt wird. Oftmals erhält man zur Antwort, dass Verschlüsselung als langsam und daher im Arbeitsalltag als störend empfunden wird. Meint man damit eine vollständige Festplattenverschlüsselung (FDE - Full Disk Encryption), liegt man sicher nicht ganz falsch. Zudem stellt sich immer wieder die Frage, welche Informationen überhaupt schutzbedürftig sind. Wenn dieses Problem der Endanwender selbst über eine anwendergesteuerte File/Folder-Verschlüsselung beantworten darf, führt man eigentlich die Compliance-Sicherung durch Verschlüsselung ad absurdum. Es macht keinen Sinn, wenn jeder einzelne Anwender am berühmten Endpoint selbst entscheiden darf: "Verschlüssele ich jetzt oder nicht?", "Welche Dokumente muss ich eigentlich verschlüsseln?"

Sicherheits- und Datenschutzexperten haben darauf nur eine Antwort: Datensicherheit darf sich nicht nur auf einzelne Dokumente oder Teilkomponenten einer Infrastruktur beschränken. Das vermittle nur eine trügerische Sicherheit. Verschlüsselung sollte im ganzen Unternehmen als Projekt aufgesetzt werden. Erst eine durchgängig-richtlinienbasierte Verschlüsselung bietet den erforderlichen Datenschutz und garantiert Compliance auf allen Ebenen. Dazu gehört aber auch konsequente Durchsetzung einer Verschlüsselungsrichtlinie und - das ist eigentlich der Knackpunkt - die Steuerung der Verschlüsselung von einem zentralen Punkt aus.

In Deutschland, das sei hier gesagt, ist bis jetzt vom Gesetzgeber explizit noch kein Einsatz der Verschlüsselung vorgeschrieben. Man muss Daten schützen - wie, das bleibt eigentlich jedem selbst überlassen. Anders ist dies in vielen Staaten der USA. Wer nicht verschlüsselt und Daten vermisst - das heißt, selbst wenn diese Daten nicht mehr im Rechenzentrum auffindbar sind, man aber davon überzeugt ist, dass sie das Rechzentrum nicht verlassen haben - muss dies der Öffentlichkeit anzeigt werden. Solche Vorfälle sind in der Regel an Peinlichkeit kaum zu überbieten.

Schutz vor externem wie internem Datenmissbrauch in einer integrierten Lösung
Hilfreich für die Durchsetzung von Verschlüsselungsrichtlinien im Unternehmen ist eine einzige, zentral verwaltete Sicherheitslösung für Daten auf mobilen Endgeräten. Sie sollte eine leistungsstarke Authentisierung und intelligente Verschlüsselung ermöglichen und über Funktionen verfügen, die die Steuerung und Überwachung der Systemnutzung sowie für die Verwaltung von Schlüsseln ermöglicht und gleichzeitig noch die Wiederherstellung von Daten zulässt. Credant bietet dies beispielsweise mit ihrer Software "Mobile Guardian" an. Mit ihr können - je nach Anwendertyp, Gerät und Standort - unterschiedliche Sicherheitsrichtlinien definiert werden, wodurch die Überprüfung und Durchsetzung dieser Richtlinien auf alle Endgeräte gewährleistet wird.

Mit "Mobile Guardian" können Unternehmen sicher sein, dass im Falle eines Diebstahls oder des Verlustes eines mobilen Endgerätes alle Daten immer verschlüsselt sind. Auch bei routinemäßigen Wartungsarbeiten, oder wenn mehrere Personen Zugang zu ein und demselben Computer haben, bleiben die Daten individuell verschlüsselt.

Lesen Sie auch:
Ein integriertes Verschlüsselungsprodukt zum Schutz vor internen und externen Gefahren
Mit dem Verschlüsselungskonzept "Full Data Encryption2" führt Credant zwei Crypto-Welten zusammen



Meldungen: Hintergrund

  • Was ist ein Selbst-Audit & warum ist es notwendig?

    Eine der üblichen Fallen, in die Unternehmen tappen, ist die Annahme, dass Cybersicherheitslösungen über Standard-Risikobewertungen gepflegt und gemanagt werden. Eine gefährliche Annahme, denn die rasche technologische Entwicklung und der Einsatz dieser Technologien in der Wirtschaft hat den Bereich einer allgemeinen Risikobewertung längst überschritten. Hier beschäftigen wir uns mit einigen Schritten, die nötig sind, um eine eingehende, weitreichende Sicherheitsrisikobewertung zu erstellen, die für genau Ihr Unternehmen gilt. Eine Cybersicherheitsbewertung spielt eine entscheidende Rolle, beim Wie und Warum man bestimmte Technologien in einem Unternehmen einsetzt. Anhand eines Assessments lassen sich Ziele und Parameter festlegen, die Ihnen die Möglichkeit geben.

  • Mit Analytik Betrug erkennen

    Zahlungsanweisungen über SWIFT gelten im Allgemeinen als sicher. Doch es gibt Schlupflöcher im System, durch die es Kriminelle regelmäßig schaffen, Betrug zu begehen. Banken nutzen vermehrt KI-Tools wie User Entity Behaviour Analytics (UEBA) um sich und ihre Kunden zu schützen. SWIFT ist eine Plattform, die selbst keine Konten oder Guthaben verwaltet und über die Finanzinstitute aus aller Welt Finanztransaktionen unter einander ausführen. Ursprünglich wurde die Plattform lediglich gegründet, um Treasury- und Korrespondenzgeschäfte zu erleichtern. Das Format entpuppte sich in den Folgejahren jedoch als sehr sicher und praktisch, sodass immer mehr Teilnehmer die Plattform nutzten. Neben Notenbanken und normalen Banken wird Swiftnet heute auch von Großunternehmen, Wertpapierhändlern, Clearingstellen, Devisen- und Geldmaklern und zahlreichen weiteren Marktteilnehmern genutzt.

  • Haftung für Behauptungen "ins Blaue hinein"

    Landauf Landab beklagen Versicherungsmakler, freie Finanzdienstleister und Bankberater, dass sie auf Vertriebsveranstaltungen von Schulungsleitern eigentlich nur positiv erscheinende Produkteigenschaften durch bunte Bilder, hübsche Flyer und nette Worte erfahren. Negative Produkteigenschaften, vor allem Risiken und Nebenwirkungen, erfährt man dort kaum. So ist es nicht verwunderlich, dass es Vertriebsleitern und -vorständen nur allzu gelegen kommt, wenn primär unkritische Finanzvermittler gesucht werden. Eine allzu gute Vorbildung könnte Skrupel bedeuten, und damit den schmerzfreien Produktverkauf behindern. Wer sich dann etwa die Mühe macht, auch noch das Kleingedruckte einmal selbst nachzulesen, wird am Ende kaum noch zum Vermitteln kommen, und nichts mehr verdienen? Denn wo der Trend zur sprichwörtlichen Blondine im Callcenter oder Vertrieb noch nicht durchgesetzt wurde, hilft Druck durch die Vertriebsführung nur beschränkt weiter.

  • Pluspunkt der No-Code-Methode

    Fragen Sie Geschäftsführer, CEOs oder Vorstände: Das Thema ‚digitale Transformation' steht mittlerweile bei fast allen Unternehmen ganz oben auf der Prioritätenliste. Den Protagonisten der Digitalisierung ist dringlich klar geworden, dass die Modellierung und Automatisierung von Geschäftsprozessen ein wesentlicher Baustein für den Erfolg eines Unternehmens ist. Eine digitale Prozess- und Entscheidungsautomatisierung ermöglicht es Unternehmen, schnell, flexibel und kostensparend am Markt zu agieren. Und in dynamischen Marktumfeldern müssen Entscheidungsprozesse schnell ablaufen und ebenso schnell an neue Anforderungen anpassbar sein. Das Potenzial für die digitale Prozess- und Entscheidungsautomatisierung in den Unternehmen ist enorm: Viele Ablauf- und Entscheidungsprozesse im Unternehmen wiederholen sich oder ähneln sich, sie sind standardisiert und folgen festen, eindeutigen Regeln. Das manuelle Abarbeiten ist sehr zeitintensiv und bindet wertvolle personelle Ressourcen, die dem Unternehmen für andere, wertschöpfendere Tätigkeiten verloren gehen. Der Effizienzgewinn, der durch eine Prozessautomatisierung erzielt werden kann, ist dementsprechend hoch. Und im regulatorisch Bereich noch oft ungenutzt.

  • Compliance 2.0: Ergebnis einer dynamischen Welt

    Wir leben heute in einer digitalen Welt, in der die Faktoren Gesellschaft, Technologie, Business und Recht eine dynamische Einheit bilden. Sie bedingen und beeinflussen einander: So ermöglichen neue Technologien neue Business-Modelle und der Mensch wird durch die Möglichkeit des mobilen Arbeitens zu einem Smart Worker. Diese Entwicklung krempelt nach und nach auch bestehende Gesetze und Richtlinien um. Für Organisationen - darunter fallen Unternehmen, Behörden und Institutionen - bedeutet dies, die eigenen Compliance-Vorschriften kontinuierlich auf die neuen, digitalen Gegebenheiten anpassen zu müssen. Dabei gilt es vor allem Verantwortlichkeit und Nachweisbarkeit klar zu definieren.