Compl*IT Consult
IT Governance Experts

Blog

Montag, 8. Oktober 2018 (Andrea Leitzbach)

Unser neuer Webauftritt wächst von Tag zu Tag und heute gibt es ein weiteres Update: unsere Antwort auf die überbordenden Anforderungen, die der Datenschutz täglich an tausende von Arbeitnehmern stellt.

Für kleine Organisationen, z.B. lokale Vereine und kleine Unternehmen haben wir einen Leitfaden mit 10 Seiten erstellt. Darin ist alles beschrieben, was Sie für die Umsetzung der DS-GVO benötigen.

Glauben Sie nicht? Ok, dann lassen Sie es. Oder probieren es aus. Und falls Sie Fragen haben, stehen wir gerne über die Kontaktanfrage zur Verfügung.

Andrea Leitzbach


----------------------------------------------------------------------------------------------------------------

Samstag, 6. Oktober 2018 (Andrea Leitzbach)

Von schwierigen Aufgaben und dem Wert einer Software

Manchmal sind wir vor tatsächlich schwierige Aufgaben gestellt. Schwierig sowohl in fachlicher als auch in menschlicher Hinsicht.

Der Fall: ich bekomme einen Anruf aus Berlin. Am Apparat ein junger Unternehmer, nett, zuvorkommend, aber mit einem Problem: er sucht einen Sachverständigen, der seine selbst entwickelte Software bewertet. Denn diese soll als Ersatz für Stammkapital für seine GmbH-Gründung dienen. Die Software selbst, eine Cloud-basierte Lösung, ist fertig entwickelt, erste Kunden nutzen sie.

Was ist eine solche Software eigentlich wert? Wie kann man mit einiger Sicherheit feststellen, ob sie nun zehn-, fünfzig- oder hunderttausend Euro wert ist? Bei Autos gibt es Listen, bei anderen Gütern nimmt man eine Wertabschreibung als Grundlage für die Bewertung. Aber bei Software?

Der Wert einer Software richtet sich nach mehreren Kriterien, finde ich. Da ist zum einen der Funktionsumfang. Mithilfe der Function-Point-Analysis ist dieser messbar. Zum anderen die Sicherheit, die in die Software implementiert ist. Bei einer Cloud-basierten Lösung kann dies mit einem Penetrationstest bewertet werden. Drittens die Qualität des Softwareentwicklungsprozesses. Dieser steht für die Nachhaltigkeit der Entwicklung. Und schließlich ein Business-Plan, der mögliche Kundengruppen analysiert und den erwarteten Umsatz mit der Lösung darstellt. Aus den gewonnenen Parametern lässt sich durchaus ein Wert ableiten.

Dies alles ist fachlich schwierig, aber machbar.

Der menschliche Aspekt ist dann aber grausam für den Anrufer. Selbstverständlich muss ich auch dann Geld verdienen, wenn ich nur als Sachverständiger tätig werde. Die obige Analyse schlägt mit ca. 5 Tagen zu Buche. Selbst, wenn man nur die Vergütungssätze aus der Zivilprozessordnung zugrunde legt, bedeutet dies bereits einen Aufwand von mindestens 4.000 Euro. Hinzu kommt der – aus meiner Sicht – unerlässliche Pentest, der gut und gerne die 10.000 Euro Marke erreicht.

Summa summarum also ca. 15.000 Euro alleine für das Wertgutachten. Der Preis hat den jungen Unternehmer geschockt. Und das ist menschlich schwierig, ich habe noch keine Antwort gefunden, ich möchte ihn jedenfalls nicht auf seinem Problem sitzen lassen. Wir werden am Montag wieder telefonieren, vielleicht ergibt sich für ihn eine bessere Lösung. Ich fände es schön.

Andrea Leitzbach

------------------------------------------------------------------------------------------------------------------------

Donnerstag, 4.10.2018 (Andrea Leitzbach)

Der für die Bankenaufsicht zuständige BaFin Exekutivdirektor Raimund Röseler erklärte die Tage gegenüber Reuters, dass er den deutschen Banken eine 4 in Informationssicherheit geben würde. Heißt das, dass die Banken zuwenig für die Informationssicherheit tun?

Nein. Die Banken investieren - auch aufgrund der Mängelrügen durch die Aufsicht - in die Sicherheit ihrer IT-Systeme. Das erfordert viel Geld und noch mehr Zeit. Viele ihrer Systeme, zum Beispiel der Zahlungsverkehr, die Wertpapieraufbewahrung und die Handelsplattformen, sind mit viel Aufwand in den 1980ern und 1990ern entstanden. Sie basieren nicht selten auf heute veralteten Technologien (Mainframe und Client/Server). Ihre Pflege bedeutet einen immensen Aufwand, zumal diese Technologien zu einer Zeit eingeführt wurden, als vom Internet und erst recht von Cyber-Security nicht im Ansatz die Rede war.

Ja, denn die Banken setzen auf diese veralteten Technologien. Obwohl sie von kleinen Anbietern im Finanzsektor - den so genannten FinTechs - getrieben werden, investieren sie nicht genug in der Internet-Welt, sie bereiten sich nicht auf das Morgen vor. Sie drohen damit den Anschluss zu verpassen, ähnlich wie es das Versandhaus Quelle und viele Zeitungsverlage verpasst haben. Nur Unternehmen, die sich der veränderten Welt des Internet gestellt haben, spielen nach wie vor mit. Beispiele gibt es genug, die Otto-Gruppe ließ dieses Jahr verlautbaren, dass ihr Versandgeschäft mittlerweile zu über 50% Internet-basiert ist.

Was hat die Informationssicherheit damit zu tun? Nun, sie ist überhaupt erst die Voraussetzung, dass ein Unternehmen im Internet 'mitspielen' kann. Was nützt Online-Banking, wenn die App nicht sicher ist? Welcher Kunde würde es mögen, wenn seine Daten - wie bei der Unicredit - von Hackern abgezogen werden können. Wenn dieser Tage berichtet wird, dass Hacker auf über 50 Millionen Facebook-Konten, darunter 5 Millionen in Europa, zugreifen konnten, dann sollte uns bewusst sein, dass der Zugriff auf Facebook-Konten im Vergleich zum Zugriff auf Bankdaten allenfalls ärgerlich ist.

Wenn man diesen Zusammenhang berücksichtigt, dann macht mir eine 4 in Informationssicherheit für die Banken schon zu schaffen. Denn sie bedeutet letztlich, dass die Banken für die Grundlage ihrer Zukunft zu wenig tun.

Andrea Leitzbach