Category Archives: Topstory

Ransomware-Krise? Fakten statt Furcht

01-korona-1 Seine eigene Haustür sperrt man ab, eine Selbstverständlichkeit, über die man im Alltag wenig Gedanken verliert. Fällt jedoch der Begriff ‚Cyberkriminalität‘, denken viele immer noch an eine vom restlichen Leben relativ gut abgeschottete Gefahrenzone.

Im Zuge der digitalen Transformation, die mehr und mehr alle Arbeits- und Lebensbereiche erfasst, ist der Grad der Trennung, die das Wort „Cyber“ suggeriert, jedoch hinfällig geworden. Es handelt sich schlicht und ergreifend um Kriminalität, und althergebrachte Methoden zur illegalen Geldbeschaffung wie Einbruch, Diebstahl oder Erpressung haben nur ein effizientes Upgrade erhalten.

Aufgrund der einfachen Programmierbarkeit von Ransomware und der damit verbundenen Zunahme von professionellen Kriminellen, die ihre Fähigkeiten als Service anbieten, müssen wir uns leider an Erpressungstrojaner wie jüngst WannaCry als eine alltägliche Gefahr gewöhnen. Deshalb sind Aufklärung und Sensibilisierung hier einer der Grundpfeiler für mehr Sicherheit.

WannaCry: Weckruf für das öffentliche Bewusstsein

Durch den aktuellen WannaCry-Angriff wurden weltweit 252 Organisationen getroffen, darunter auch die Deutsche Bahn und der britische National Health Service. Dadurch war das Thema plötzlich nicht mehr nur ein Problem von IT-Fachleuten und CTOs, sondern eine greifbare Gefahr für die breite Öffentlichkeit.

Dennoch beträgt die Summe, die bisher durch WannaCry erpresst wurde, nur schätzungsweise 72.000 US Dollar – verschwindet gering im Vergleich zu den Milliarden erbeuteter Gelder vergangener Ransomware-Attacken. Es scheint, dass die kontinuierliche Aufklärung und Empfehlung, nicht zu bezahlen, mittlerweile Früchte trägt.

Darüber hinaus war der Angriff, trotz weitreichender Auswirkungen, eher schlampig ausgeführt, die Beweggründe unklar, die Verbreitung weitgehend chaotisch und die Geldeinnahmen aus der Perspektive der Angreifer ein absoluter Fehlschlag, doch WannaCry brachte die Welt für kurze Zeit aus dem Tritt. Statt jedoch weiter über die Motivationen hinter dem Angriff zu spekulieren oder zu diskutieren, wer für die Schwachstellen verantwortlich ist, sollte man sich nun auf Lösungsansätze konzentrieren.

Keine unvorhersehbare Naturkatastrophe, aber Big Business

Stand Ransomware im Jahr 2014 auf der Liste der Malware-Typen mit der größten Verbreitung noch auf Platz 22, belegt die Erpressersoftware mittlerweile Platz 5 in Verizons neuem Data Breach Investigations Report 2017.

Bereits 2016 konnte ein sprunghafter Anstieg an Ransomware-Angriffen weltweit um 16 Prozent im Vergleich zum Vorjahr verzeichnet werden. WannaCry war kein unvorhersehbarer, außergewöhnlicher Vorfall, der hereinbrach wie eine Naturkatastrophe, sondern schlicht und einfach eine kriminelle Operation, die Teil der unschöneren Seite einer kontinuierlich fortschreitenden digitalen Transformation ist.

Auch in naher Zukunft werden wir uns mit einem Anstieg dieser für Kriminelle sehr lukrativen Form von Bedrohung auseinandersetzen müssen. Die Verschlüsselung von Daten und das Erpressen von Lösegeld ist ein relativ schneller, unkomplizierter Vorgang mit geringem Risiko dank digitaler Zahlungssysteme wie Bitcoin oder Monero für leichten und anonymen Geldtransfer.

Fakten, statt Furcht: NoMoreRansom-Initiative

Die aktuelle Ransomware-Epidemie kann deshalb nur durch weitere Aufklärung und Sensibilisierung der Allgemeinheit in Angriff genommen werden. Darüber hinaus benötigt es eine engmaschigere Zusammenarbeit von Strafverfolgungsbehörden und IT-Sicherheitsunternehmen.

Im Juli 2016 wurde deshalb NoMoreRansom als eine bisher einzigartige Koalition von Europols europäischem Cybercrime Center, der niederländischen Polizei, Kaspersky und Intel Security gegründet, um den Opfern von Ransomware zu helfen, ihre verschlüsselten Daten zurückzuholen, ohne die Kriminellen bezahlen zu müssen. Auf der Plattform sind eine Vielzahl an Nachschlüsseln für Erpresserprogramme erhältlich, und seit Beginn der Initiative sind zahlreiche weitere Behörden sowie IT-Sicherheitsunternehmen hinzugekommen, die einen Beitrag mit der Entwicklung von neuen Entschlüsselungswerkzeugen und Entschlüsselungscodes leisten.

Drei Punkte, wie man sich wappnen kann 1. Back-up, Back-up, Back-up

Wenn sie im Fall eines Ransomware-Angriffs über ein sorgfältig implementiertes Backup-System verfügen, können Sie die Daten einfach wiederherstellen. Automatisierte, Cloud-basierte Backup-Services bieten größte Sicherheit für Ihre Daten. Auch, wenn aus organisatorischen Gründen vorläufig ältere On-Premises-Lösung verwendet werden, lohnt es sich, zumindest die Planungsphase für die Migration in ein Cloud-basiertes System zu starten.

  1. Gesundes Misstrauen: E-Mail-Posteingänge sind voll von bösartigen Anhängen und Links, die nur darauf warten, angeklickt zu werden. Öffnen Sie niemals Email-Anhänge von jemandem, den Sie nicht kennen und seien Sie auch misstrauisch bei vermeintlich vertrauenswürdigen Absendern, denn vielfach als Rechnung oder Bewerbungsschreiben getarnt, infiltrierten 2016 Locky- und Goldeneye-Ransomware ihre Opfersysteme über verseuchte Makros in Word-Dateien. Kriminelle versenden oft gefälschte E-Mails, die als Benachrichtigungen vermeintlich legitimer Absender wie Geschäftspartner, Online-Shops oder Banken getarnt sind. Die meisten Ransomware-Angriffe beginnen mit einem bösartigen Link oder Anhang, folglich ist eine wichtige Maßnahme, dass alle Mitarbeiter über die Gefahren von Ransomware aufgeklärt werden und zumindest die offensichtlichsten Alarmzeichen erkennen: • Eigentümliche Grammatik oder Rechtschreibfehler in angeblich professionellen E-Mails oder die Versendung der Nachricht zu einer ungewöhnlichen Tageszeit • Typo-Squatting im Absender, der auf den ersten Blick legitim wirkt, aber minimal falsch geschrieben ist wie z. B.: customersupport@faceboook.com • Hinterlegung von Buttons und Links in einer E-Mail mit verdächtigen URLs: Um dies zu überprüfen, bewegen Sie den Cursor über den Link oder die Schaltfläche, und die URL erscheint links unten im Browserfenster. • Seien Sie zudem vorsichtig mit Dateierweiterungen wie ‚.exe‘, ‚.vbs‘ und ‚.scr‘. Scammers können auch mehrere Erweiterungen verwenden, um eine schädliche Datei als Video, Foto oder Dokument (z.B. doc.scr) zu tarnen.
  2. Prävention durch solide Sicherheitsarchitektur und Aktualisierung: Verwenden Sie robuste Antivirus-Software, um Ihr System vor Ransomware zu schützen. Schalten Sie die heuristischen Funktionen nicht aus, da diese helfen, Ransomware-Samples zu erfassen, die noch nicht formell erkannt wurden. Um Ihr Netzwerk frei von Malware zu halten, erfordert es zudem eine Kombination aus effektiver Perimeter-Filterung, speziell entwickelter Netzwerkarchitektur und der Fähigkeit, Malware zu erkennen und zu eliminieren, die sich eventuell bereits im Netzwerk befindet. Firewalls der nächsten Generation oder E-Mail-Gateway-Lösungen können das Eindringen von Angreifern ins Netzwerk verhindern. Ebenso müssen alle Anwendungen, ob lokal gehostet oder cloudbasiert, regelmäßig gescannt und auf Schwachstellen gepatcht werden. Halten Sie zudem Software stets auf dem neuesten Stand. Wenn Ihr Betriebssystem oder Anwendungen eine neue Version freigeben, installieren Sie sie. Bietet eine Software automatische Aktualisierung, nutzten Sie diese.

Falls es doch soweit kommt, zahlen Sie nicht

Ausnahmen bestätigen die Regel: Etwa, wenn Leib und Leben bedroht sind beispielsweise bei einem Angriff auf die IT-Infrastruktur eines Krankenhauses. Generell aber bleibt der Rat, wenn Sie Opfer eines Ransomware-Angriffs werden: Zahlen Sie kein Lösegeld. Es gibt keine Garantie, dass Sie im Gegenzug den Entschlüsselungsschlüssel erhalten.

Darüber hinaus sollte man sich bewusstmachen, dass selbst wenn man bereits einmal betroffen war, man nicht gegen zukünftige Angriffe gefeit ist, sondern Angreifer in Ihnen eventuell sogar ein leichtes Ziel für weitere Attacken sehen. Doch eine mehrschichtige Sicherheitsstrategie mit regelmäßigen Offline-Backups, Sensibilisierung der Mitarbeiter, einer soliden Sicherheitsarchitektur und kontinuierlicher Aktualisierung von Betriebssystem und Software können die Auswirkungen von Ransomware erheblich minimieren.

Autor: Wieland Alge, CEO von Barracuda Networks, Barracuda vereinfacht die IT-Infrastruktur durch Cloud-fähige Lösungen, die es Kunden ermöglichen, ihre Netzwerke, Applikationen und Daten standortunabhängig zu schützen.

 

Bitcoins: Fünf Bereiche, die Blockchain verändern wird

bitcoinSie gilt als überaus sicher und transparent: die Blockchain. Versucht ein Unbefugter, sie zu hacken, agiert sie wie eine Hydra, der ein Kopf genommen wird – bei einem partiellen Angriff auf die Blockchain werden umgehend neue Verschlüsselungen erstellt, die ihren Inhalt schützen.

Mit dieser Eigenschaft sind Blockchains besonders attraktiv für die Verarbeitung von sensiblen Daten sowie als transparentes Transaktionsprotokoll. Ralf Reich, Head of Continental Europe bei Mindtree, gibt einen Überblick über die zukunftsfähigsten Bereiche der Blockchain-Nutzung.

1. Finanzsektor

Das System der Blockchain ist eng mit der Entwicklung von Bitcoin verbunden, die sich als bekannteste rein virtuelle Währung etabliert hat. So kann die Blockchain beispielsweise Transaktionskosten bei Auslandsüberweisungen reduzieren.

Individuelle Geldgeschäfte sind für alle Beteiligten transparent, wobei die besondere Sicherheitsstufe der Blockchain durch ihre umfassende Verschlüsselung eine essentielle Rolle spielt. Damit wird, wie es schon Bitcoin vormacht, die Privatsphäre der Teilnehmer gewahrt – die Transaktionen sind offen sichtbar, die Verantwortlichen dafür jedoch nicht. Die dezentrale Struktur der Blockchain macht also eine Zentralbank überflüssig, wenn alle Kontrolle über die Währung haben.

2. Vertragswesen

Bei einer auf Blockchain basierenden Plattform können zudem Verträge sicher hinterlegt werden. Weil eine erstmal angelegte Blockchain unveränderlich ist, sind auch die Vertragsinhalte für alle Parteien geschützt.

Damit ist der Grundstein für die Einrichtung von Smart Contracts gelegt. Blockchain-Entwickler träumen bereits von den wunderbaren Möglichkeiten für Vertragsschlüsse. Autoverkäufe lassen sich per Smart Contract absichern: hält der Käufer eines Fahrzeugs seine vertraglichen Verpflichtungen nicht ein, wird das Fahrzeug darüber informiert und verriegelt sich automatisch dauerhaft.

Durch einen dann generierten Code oder eine folgende Multifaktorauthentifizierung kann der Verkäufer es wieder entsperren. Mit der Einbindung von physischen Objekten in das Internet, sprich der Existenz von Smart Objects, entstehen auch neue rechtliche Gegebenheiten. Vertragsbedingungen werden also umgehend computergesteuert verwirklicht und damit garantiert.

3. Immobilienmarkt

Einen Grundbucheintrag abzuändern ist mit einigem Aufwand verbunden – und besonderen Kosten. Mit der Nutzung von Blockchain als einem transparenten und sicheren Medium wird der Notar in Zukunft überflüssig und Kosten reduzieren sich drastisch.

Auch zur direkten Nachverfolgung bei Mietverträgen eignet sich eine Plattform, die über Blockchain läuft. Wird gleichzeitig ein Bezahlsystem genutzt, können alle Zahlungen wie Miete, Kaution und sonstige Ausgaben detailliert protokolliert und direkt dem Vertrag zugeordnet werden. Damit liegen alle wichtigen Informationen nachvollziehbar sicher und trotzdem anonym ab.

4. Healthtech

Mit der Verlegung eines Patienten in ein anderes Krankenhaus gehen leider oftmals essentielle Informationen über die Krankengeschichte verloren. Doch längst haben Krankenhäuser ihre Patientenakten online organisiert, um sie ständig bei sich zu haben. Werden diese nun in einer Plattform mit einer Blockchain gespeichert, sind alle Informationen für jeden Arzt, der Zugriff erhält, verfügbar.

Details gehen nicht mehr verloren und sogar die dazugehörigen Arztrechnungen kann der Patient einsehen, um damit seinen Anspruch bei der Versicherung geltend zu machen. Auch Patientenverfügungen können dort abgelegt werden, um für den Ernstfall überall abrufbar zu sein.

5. Staatswesen

Sogar für die Organisation innerhalb eines Staates kann Blockchain wertvolle Beiträge leisten. Sie kommt beispielsweise bei der Absicherung von Wahlvorgängen durch Kryptographie zum Einsatz, um potentielle Cyberangriffe zu minimieren. Geburts- und Heiratsurkunden können offiziell eingereicht werden – ohne die Beglaubigung eines Notars zu benötigen. Prognosen zufolge sollen überdies in weniger als zehn Jahren gar Lohnsteuern durch Blockchain eingesammelt werden.

Estland hat seit 2015 mit einem einzigartigen E-Residency-Programm begonnen, das auf Blockchain basiert, und damit eine Vorreiterrolle eingenommen. Jeder Mensch auf der Welt kann dadurch einen virtuellen Wohnsitz mit einer digitalen ID in Estland anmelden, womit ihm diverse Services der Regierung zur Verfügung stehen: Firmengründung, Einreichung von Steuererklärungen und die Anmeldung von Patenten sind nur einige der Möglichkeiten.

Fazit

Diese fünf großen Bereiche zeigen nur einen kleinen Teil der Chancen, die Blockchain-basierte Plattformen bieten. Mit der voranschreitenden Digitalisierung der Welt geht auch die Notwendigkeit für sichere, digitale Prozesse einher.

Doch bis Blockchain für eine zentrale Währung oder die Organisation eines Staates eingesetzt werden kann, wird noch einige Zeit ins Land gehen. Die Entwicklung von Systemen läuft auf Hochtouren, etliche Start-Ups sprießen aus dem Boden und erforschen die gesamte Bandbreite an Möglichkeiten, die sich durch den Gebrauch von Blockchain eröffnet.

Studie: In welcher Stadt lohnen sich Home-Sharing, Car-Sharing und Co.

CamperShow-1050x550Privates An- und Vermieten spielt mittlerweile eine bedeutende Rolle in der Weltwirtschaft. Immer mehr Menschen wollen ihr selten genutztes Eigentum vermieten. So entstehen nicht nur spannende Urlaubserlebnisse, sondern auch neue Investitionsmöglichkeiten für Investoren und Privatpersonen.

SHAREaCAMPER hat daher den Anlagerendite-Index 2017 erstellt, um zu zeigen, welche Städte und Märkte die höchsten Anlagerenditen durch Privatvermietung bieten. Wir hoffen, dass diese Recherche noch mehr Menschen dazu ermutigt, die Vorteile von Privatvermietungsplattformen zu nutzen. Auch soll es Stadtverwaltungen dabei helfen, Entscheidungen über Gesetze und Regulierungen besser informiert zu treffen.

Index vergleicht den Marktpreis mit dem Preis privater Vermietungen

Der Index vergleicht den Marktpreis mit dem Preis privater Vermietungen in 31 Städten mit einer gut entwickelten Privatvermietungs-Wirtschaft. Die Preise beinhalten die gängigen Kosten für den Betrieb und die Instandhaltung von über 1.000 zu vermietenden Besitztümern (Umrechnungskurse vom 15. April 2017). Die Städte wurden nach der Amortisationszeit der Investitionen aufgelistet. Hierbei wurde die Mietauslastung des Privateigentums berücksichtigt. Die Standardauflistung in der Spalte „Ranking” listet die Städte nach der durchschnittlichen Amortisationszeit über alle Märkte (Eigenheime, Wohnwagen, Boote etc) hinweg.

„Privatvermietung bietet einzigartige Erlebnisse und viel Flexibilität. Durch private An- und Vermietungen kann jeder besondere Erinnerungen im Camper, Auto, oder Boot sammeln, ohne diese besitzen zu müssen. Privatpersonen können außerdem Anlagen abbezahlen, indem sie ihr selten genutztes Eigentum vermieten”, sagt SHAREaCAMPER-Geschäftsführer Florian Dahlmann. „Eine besonders interessante Erkenntnis ist, dass es unnötig ist, überteuerte Preise für die Vermietung zu verlangen, um die Anlagen abbezahlen zu können. Somit profitieren alle Beteiligten. Wir hoffen, dass wir es durch diese Studie schaffen, noch unterentwickelte Privatvermietungsmärkte anzukurbeln.”

Die verheerendsten Cyberangriffe im Finanzsektor

geldIm Verlauf der letzten Jahre wurden Banken und Finanzinstitute immer wieder Opfer großangelegter und raffiniert eingefädelter Cyberangriffe, was zu finanziellen Schäden von teils mehreren hundert Millionen Euro führte – von Imageverlusten ganz abgesehen.

Trotz steigender Investitionen in die IT-Security-Infrastruktur, scheint der Bankensektor von dem Prozess der digitalen Transformation und den damit verbundenen Herausforderungen nach wie vor überfordert zu sein. Zu den verheerendsten Cyberangriffen auf Banken der letzten Jahre gehören:

2013: Hackerattacke auf Südkoreanische Banken

Eine Hackergruppe namens DarkSeoul sorgte im Jahr 2013 bei den südkoreanischen Großbanken Shinhan und Nonghyup für Aufruhr. Mit Hilfe von Malware war es den Cyberkriminellen gelungen, Netzwerke zu knacken, Computer zum Stillstand zu bringen und sogar Geldautomaten abstürzen zu lassen. Die Wirtschaft Südkoreas kam für einige Tage zum Erliegen, die betroffenen Banken erlitten einen Schaden von mehreren hundert Millionen US-Dollar.

 2014: Datendiebstahl bei JP Morgan

83 Millionen Bankkunden – darunter sieben Millionen Unternehmenskunden – waren 2014 von einem der wohl größten Datendiebstähle in der Bankengeschichte betroffen. Fünf Hackern war es damals gelungen, durch den Einsatz von Malware, Social Engineering und Spear-Phishing-Attacken sensible personenbezogene Daten von JP Morgan- und anderen Bankkunden auszuspähen. Die gestohlenen Daten nutzten die Täter schließlich, um über illegale Aktivitäten, darunter Aktienbetrug, rund hundert Millionen Dollar zu erbeuten.

2013-2015: Der Trojaner Carberp

Mehr als zwei Jahre konnten die Cyberkriminellen mit Hilfe des bereits bekannten Trojaners Carberp ungehindert Bankkonten auf der ganzen Welt abräumen und so Milliardengewinne erzielen. Über eine Spear-Phishing- Kampagne, die auf Bankangestellte und -Administratoren zielte, konnten die Täter, ein Cybercrime-Ring namens Carbanak, den Trojaner flächendeckend verbreiten. Einmal installiert, lädt er ein gewöhnliches Fernzugangs-Tool auf den betroffenen Computer, der den Tätern Transaktionen auf ihre eigenen Konten ermöglicht.

2016: Der SWIFT-Hack

Ohne einen kleinen Tippfehler, der einen aufmerksamen Bankmitarbeiter stutzig gemacht hatte, wäre der Cyber-Angriff auf die Zentralbank von Bangladesch im vergangenen Sommer vielleicht als größter Bankenbetrug aller Zeiten in die Geschichte eingegangen. Anstatt 850 Millionen belief sich der entstandene Schaden so „nur“ auf rund 81 Millionen Dollar. Ausgangspunkt der Attacke waren ungeschützte 20-Dollar Second-hand-Router.

Über dieses Einfallstor ins Netzwerk gelangt, konnten sich die Hacker dank einer maßgeschneiderten Malware Zugang zum SWIFT-System verschaffen, welches fahrlässiger Weise mit dem Netzwerk der Bank verbunden war. Im System angekommen, war es ihnen möglich, nach Belieben Transaktionen anzuweisen.

Banken sind für Cyberkriminelle seit je her ein bevorzugtes Angriffsziel

So unterschiedlich all die Angriffe auch sind, so zeigen sie doch alle, wie schlecht es um die Sicherheit unserer Banken bestellt ist und wie viel die Verantwortlichen in Sachen Aufklärung und Aufrüstung noch tun müssen. Banken sind für Cyberkriminelle seit je her ein bevorzugtes Angriffsziel, da Hacker hier schnell an sensible Daten und Geld kommen können.

Die zunehmende Digitalisierung und die sich stetig professionalisierende Cyberkriminalität tun ihr Übriges. Es ist Zeit, dass sich IT-Verantwortliche in Banken und Finanzinstitutionen mit der aktuellen Bedrohungslandschaft auseinandersetzen, Schwachstellen ihrer Infrastruktur und Systeme definieren und gezielt Schutzmaßnahmen implementieren.  Dass klassische Anti-Virus-Lösungen, Firewalls oder statische Verschlüsselungs- und Verschleierungsprogramme keinen ausreichenden Schutz mehr bieten, dürfte dabei den Meisten klar sein.

Der sicherste Weg, um sich vor Cyberangriffen und Manipulationen zu schützen, sind letztlich fest in der Software und den Anwendungen verankerte Schutzmaßnahmen. Denn nur wenn die Software bereits nach Abschluss ihres Entwicklungsprozesses auf Binärcode-Ebene mit mehrschichtigen und dynamischen Selbstschutz-Mechanismen (Runtime Application Self-Protection) und einer aktiven Verschlüsselung sensibler Keys (WhiteBox-Kryptographie) ausgestattet wurde, kann sie ausgefeilten Hackerangriffen standhalten.

Jenseits der Sicherheitstechnologien spielen natürlich auch Aufklärung und verantwortungsbewusstes Verhalten von Kunden und Mitarbeitern eine wichtige Rolle. Noch immer fallen Bank- Mitarbeiter und Kunden auf Phishing-Emails rein und präsentieren den Betrügern ihre sensiblen Daten somit quasi auf dem Präsentierteller.

Aber auch mobiles Banking verleitet Kunden immer wieder zu fahrlässigem Verhalten. Wenn sich Nutzer etwa über öffentliches WLAN in ihre Konten einwählen oder wenn Banking-App und TAN-generierende App auf einem Mobilgerät installiert werden  und die eigentlich so wichtige  Zwei-Wege-Authentifizierung damit umgangen wird. Hier dürfen die Banken nicht müde werden, Aufklärungsarbeit zu leisten und ihre Kunden zu warnen.

 Autor: Markus Unger-Schlegel, Arxan Technologies

 

„So arbeitet Deutschland-Umfrage“ zeigt: Arbeitsklima und -kultur wichtiger als Gehalt

So arbeitet Deutschland. Copyright SThree

So arbeitet Deutschland. Copyright SThree

Gut ein Viertel der Berufstätigen in Deutschland findet, dass ihr Team nicht vielfältig ist. Das ist ein Ergebnis der Umfragereihe So arbeitet Deutschland der Personalberatung SThree, bei der Festangestellte und Freelancer nach verschiedenen Aspekten der aktuellen Arbeitswelt sowie ihren Wünschen befragt wurden.

Die Antworten der mehr als 1.000 Teilnehmer zeigen, dass Vielfalt in Unternehmen nicht nur zu wenig gelebt wird – gemischte Teams sind oft auch gar nicht erwünscht. Zudem sind die Unternehmenskultur und das private Glück den Befragten wichtiger als Geld und Erfolg. Es stellt sich die Frage: Ist New Work in Deutschland schon in der Realität angekommen – und wollen die Menschen in Deutschland überhaupt so arbeiten?

Diversity in Unternehmen – Wunsch oder Wirklichkeit?

Obwohl die Gesellschaft in Deutschland immer vielfältiger wird, spiegelt sich diese Entwicklung noch nicht in der Arbeitswelt wider. Frauen und Männer, Junge und Alte, Menschen aus verschiedenen Kulturen und Religionen – ist die Arbeitswelt in Deutschland bereits so bunt wie die Gesellschaft? Die aktuelle Umfrage von SThree zeigt, dass 24 Prozent aller Befragten ihr Team nicht für vielfältig halten. Zudem sind Belegschaften mit Mitarbeitern verschiedener Religionen (22 Prozent) und die Inklusion von Menschen mit körperlichen Einschränkungen (12 Prozent) eher selten. Gut aufgestellt sind Unternehmen hingegen hinsichtlich Geschlecht (49 Prozent), Herkunft (47 Prozent) und Alter (32 Prozent).

Gleich und gleich gesellt sich gern

Die Wunscharbeitswelt der Befragten ist ähnlich homogen: 38 Prozent der Befragten wollen grundsätzlich nicht in vielfältigen Teams arbeiten. „Es ist überraschend, dass mehr als ein Drittel gemischten Teams kritisch gegenübersteht. Dabei bedeuten diese eine Vielfalt an Talenten, weil unterschiedliche Denk- und Herangehensweisen aufeinandertreffen. So entstehen produktive Gruppen, die kreativ und innovativ arbeiten“, so Luuk Houtepen, Director Business Development bei SThree. „Für Unternehmen lohnt es sich, auf Diversity zu setzen, denn dies bietet in einem internationalen Arbeitsumfeld einen strategischen Wettbewerbsvorteil durch einen vielfältigeren Kundenstamm, Austausch von Erfahrungen, interkulturelles Know-how und Sprachkenntnisse.“

Dabei ist Diversity nicht gleich Diversity: Während immerhin 20 Prozent mehr Vielfalt hinsichtlich Geschlecht und Alter begrüßen würden, finden Diversity-Kriterien wie Herkunft (16 Prozent) und körperliche Einschränkungen (5 Prozent) nur wenige Fürsprecher.

Vielfalt muss gelebt werden

Oft scheitert es bereits bei der Umsetzung des Diversity-Gedankens. 42 Prozent geben an, dass sie keine Diversity-Maßnahmen bewusst im Unternehmen wahrnehmen. Dabei erklären 21 Prozent aller Umfrage-Teilnehmer, dass sie gerne die Kultur ihrer Kollegen kennenlernen würden. Auch der Bewerbungsprozess selbst bietet Optimierungspotenzial: Die zielgerichtete Ansprache und Priorisierung bisher wenig repräsentierter Personengruppen landet mit 19 Prozent auf Platz zwei.

Die Möglichkeiten, Diversity-Maßnahmen umzusetzen, sind vielfältig und reichen von anonymen Bewerbungen über eine mehrsprachige Unternehmenskommunikation bis zu gemeinsamen kulturellen Festen. „Diversity-Management darf in den Unternehmen kein Buzzword bleiben. Vielfalt muss gelebt werden“, so Luuk Houtepen. „Voraussetzung dafür ist eine positive und integrative Arbeitsumgebung, die durch Chancengleichheit und Anerkennung von Unterschieden geprägt ist. Das leben wir nicht nur selbst, sondern unterstützen auch Unternehmen dabei, Projekte zum Thema Vielfalt zu entwickeln.“

Lieber glücklich als erfolgreich

Egal ob Berufseinsteiger oder Führungskraft, Festangestellter oder Freelancer: Für 87 Prozent ist privates Glück wichtiger als beruflicher Erfolg. Es wird mehr Wert auf eine ausgewogene Work-Life-Balance gelegt, die Zeit für Familie, Freunde und Hobbys lässt, als auf die nächste Karrierestufe.

Auch bei der Wahl des Arbeitgebers ist Geld nicht entscheidend, sondern der „Cultural Fit“. So geben 83 Prozent der Befragten an, dass sie aufgrund des Gehalts nicht in einem Unternehmen arbeiten würden, in denen ihnen die Kultur nicht zusagt. „Die Ergebnisse verdeutlichen, dass ein Bewerber nicht nur auf dem Papier passen soll, sondern auch die Vorstellung von Arbeitsweise und -kultur übereinstimmen müssen. Es geht bei einer erfolgreichen Stellenbesetzung um mehr, als nur Fachkenntnisse und Stellenprofil abzugleichen – Unternehmen und Mitarbeiter müssen einfach zueinander passen“, findet Luuk Houtepen.

Geld ist nicht alles

Die neue Arbeitswelt ist nicht nur von technischen Entwicklungen wie der Digitalisierung geprägt, sondern auch von einer veränderten Einstellung zur Arbeit. Diese wird nicht mehr nur als reines Mittel zum Gelderwerb gesehen, sondern muss weit mehr Ansprüche erfüllen: 96 Prozent der be-fragten Festangestellten und Freelancer würden ihren Job wechseln, um sich mit ihrer Arbeit selbst zu verwirklichen – 34 Prozent selbst bei niedrigerem Gehalt.

Die Ergebnisse verdeutlichen zudem, wie stark die Wechselbereitschaft der Arbeitnehmer gestiegen ist. Dabei gibt es Faktoren, die Mitarbeiter motivieren und damit auch langfristig binden: Zu den Top drei Motivatoren zählen Beförderung/Gehalt (30 Prozent), flexible Arbeitszeiten und -orte (22 Prozent) und spannende Aufgaben (21 Prozent). „Diese Wünsche der Arbeitnehmer spiegeln sehr gut das wider, was die Arbeitswelt 4.0 auszeichnet: Die Menschen wollen entscheiden, wann und wo sie arbeiten sowie herausfordernde und interessante Tätigkeiten ausführen. Dass auch das Gehalt stimmen muss, ist klar. Mitarbeiter wünschen sich Wertschätzung – und ein faires Gehalt ist dafür die Grundvoraussetzung“, sagt Luuk Houtepen.

Ein Whitepaper zu den Ergebnissen gibt es online.

 

 

Blockchain: Potenzial und Gefahr zugleich

blockchainDie Blockchain-Technologie ist auf dem Vormarsch. Acht Jahre nach dem Aufkommen der Original Bitcoin Blockchain, gibt es viele Bemühungen, mit den Sicherheitsvorteilen der Technologie in zahlreiche Industriezweige vorzustoßen. Doch welche Vorteile bringt diese den Usern, welche den Unternehmen? Und wie sehen neue Herausforderungen aus, die sich dadurch ergeben? Stichwort: Security Next Generation.

Zunächst einmal: Eine Blockchain lässt sich als Datenbank verstehen, die die technische Grundlage für eine Kryptowährung bereithält. Bekanntestes Beispiel einer Blockchain ist das Zahlungsmittel Bitcoin.

Vorteil 1: Direkte Transaktion ohne Mittelsmann

Der größte Vorteil besteht in der direkten Transaktion von Parteien. Es gibt keinen Dritten im Bunde, der wie ein Schiedsrichter, zum Beispiel eine Bank, oder Treuhänder, wie der Bezahldienst Paypal, die Verlässlichkeit der Akteure prüft.

Doch warum sollte man das bewährte Treuhänder-Modell umgehen wollen? Der Mittelsmann nimmt einem ja gerade die Arbeit ab, das Gegenüber auf Herz und Niere zu prüfen. Aber: Kann man denn dem Schiedsrichter trauen? Auch große Banken sind vor Manipulationen nicht sicher, wie zahlreiche Berichte in der Vergangenheit gezeigt haben.

Vorteil 2: Nachträgliche Änderungen ausgeschlossen

Die Parteien können ihren Deal selbst regeln und versiegeln, so dass die Transaktion zwar sicht- aber unveränderbar bleibt. Dieses Prinzip fordert quasi ehrliches Verhalten der Akteure ein.

Das „Einfrieren“ der Transaktionen erfordert eine andere Technologie als bisher: Bitcoin zum Beispiel hält die Rechenkapazität einer Kleinstadt vor, um seine Transaktionen in digitalem Herz zu verwahren. Andere Technologien nutzen einen Proof-of-stake-Algorithmus. Jedes Prinzip hat seine eigenen technischen und ökonomischen Konsequenzen.

Kein Wunder also, dass gerade im Hinblick auf den Sicherheitsaspekt viel mit der Blockchain Technologie experimentiert wird. Dänische und australische Parteien hoffen auf eine Nutzung bei Online-Wahlen. Es gibt Angebote zur notariellen Beurkundung von Dokumenten und sogar die Überlegung, Krankenakten via Blockchain Technologie zu sichern.

Problem 1: Blockwashing

Eine der größten Herausforderungen im Umgang mit der Blockchain Technologie wird blockwashing sein: entwickelt sich eine vielversprechende Technologie, soll diese als Heilsbringer in den unterschiedlichsten Bereichen fungieren. Die Hals-über-Kopf-Methode, um aus der neuen Technologie Kapital zu schlagen, befeuert die frühe Kurve des Gartner Hpye-Zyklus‘ .  Diese führt aber auch zu einem unausweichlichen Zusammenbruch, wenn die Technologie den Erwartungen nicht gerecht wird – wie bereits gemutmaßt wird.

Galt Dezentralisierung als wichtige Charakteristik der original Blockchain, muss man sich fragen, was der Einzug der Technologie in Cloud-Strukturen (u.a. bei Microsoft und IBM) für die Sicherheitsleistung bedeuten wird. Zwar ist alles kryptografisch gesichert, aber betrieben wiederum von einer einzigen Partei. Der ursprüngliche Charakter der Blockchain wird damit ausgehöhlt. Mehr noch: Microsofts Marketing spielt bereits mit dem unvermeidlichem Spitznamen „Blockchain as a Service“ und negiert damit offen die gesamte Idee des dezentralen und unabhängigen Netzwerks.

Problem 2: Fehlende Standardisierung

Mit dem Thema Standardisierung wird man sich ebenfalls in Zukunft auseinandersetzen müssen. Es gibt zahlreiche Vorschläge und Lösungsansätze für die Blockchain Technologie. Jede mit ihren Vor- und Nachteilen. Zusammenarbeit kann hier nur die richtige Vorgehensweise sein, um allgemein gültige Standards zu definieren. Die Internationale Organisation für Normung (ISO) hat bereits ein Komitee gebildet, das erste Bemühungen in diese Richtung prüft.

Problem 3: Gute Konzepte, schlechter Code

Ein weiteres kritisches Thema dreht sich um die Sicherheit. Denn nur weil das Blockchain-Konzept Security bietet, bedeutet das noch lange nicht, dass auch die Implementierung sicher ist. China beispielsweise – interessiert an einer eigenen Kryptowährung – analysierte kürzlich 25 der Top Blockchain-bezogenen Software Projekte und fand signifikante Sicherheits-Schwachstellen: Stichwort Input Validation.

Fazit: Erst sicherer programmieren, dann nutzen

Die hier dargestellten Probleme sind nicht nur theoretisch. Vielmehr stehen sie den Zielen vieler Blockchain-Projekte diametral entgegen. Bugs in Blockchain Implementierungen sind ernst zu nehmen und führen zu massiven Sicherheitslücken und finanziellen Verlusten, wie der Diebstahl von Zcoins im Wert von 400.000 US Dollar letzten Monat veranschaulicht.

Mit der Weiterentwicklung von Blockchain Software vergrößern sich auch deren Angriffsflächen. Ein Schlüsselfaktor werden hier klug ausgetüftelte Verträge sein. Während die Orginal Bitcoin Blockchain nur Protokolle der digitalen Transaktionen bereithält, könnten neuere Abkommen in Wirklichkeit Programme sein, die auf der Blockchain laufen: Man stelle sich einen legalen Vertrag vor, der durch ein Computerprogramm ersetzt wird.

Statt einen Anwalt zu bezahlen, der den Vertrag regelt, könnten alle teilnehmenden Parteien das selbstständig organisieren. Die Blockchain sorgt für unveränderbaren und transparenten Programm-Output. Das Programm selbst analysiert die externen Bedingungen und führt seine Klauseln ordnungsgemäß aus. Dennoch: Computer-Programme werden immer Schwachstellen haben. Insofern kann die Lösung für eine sichere Blockchain-Technologie nur darin liegen, unter Berücksichtigung von Sicherheitskonzepten zu programmieren und so zum Beispiel die Schwachstellen bei Input und Output Validierung zu korrigieren.

Und zwar bevor man diese Technologie weiten Teilen der Wirtschaft anvertraut oder sie ausgiebig dafür nutzt, um beispielsweise das Internet der Dinge zu organisieren.

Blockchain ist heute das, was das Internet 1994 war

Blockchain hält seine Versprechen. Aber es sollte Gartners Hype-Zyklus durchlaufen bevor es zum Hauptthema in der Sicherheitsindustrie wird. Und wir werden unsere Code-Praxis mit Hilfe von Security-Audits und Code-Scans ebenfalls überdenken müssen. Die Blockchain ist heute das, was das Internet 1994 war.

Zwei Jahrzehnte später ist das Web wie der Justin Bieber der Technologie: unlängst erwachsen geworden, wahnsinnig erfolgreich, aber auch faul und angeschlagen durch den etwas außer Kontrolle geratenen Siegeszug. Es ist ein schöner aber verrückter Ort, im Stich gelassen durch einen Mix aus fragwürdigem Javascript und steil ansteigender Cyberkriminalität. Beherrscht von Monolithen, welche die Privatsphäre ihrer Nutzer zum Frühstück verspeisen. Zugegeben, etwas pessimistisch, aber wäre es nicht sinnvoll, aus den Fehlern der Vergangenheit zu lernen während wir uns mit Blockchain beschäftigen?

Autor: Sophos ist Anbieter von Endpoint- und Network-Security-Lösungen der nächsten Generation. Als Pionier der Synchronized Security entwickelt Sophos sein innovatives Portfolio an Endpoint-, Netzwerk-, Verschlüsselungs-, Web-, E-Mail- und mobilen Security-Lösungen, die miteinander kommunizieren.

Mehr Sicherheit im smarten Zuhause

Bildquelle: City University London

Bildquelle: City University London

Ob im Geschäftsleben oder in den heimischen vier Wänden – das Internet der Dinge hat seinen Siegeszug angetreten. Die Zahlen sind beachtlich: Geschätzt mehr als 8,4 Milliarden miteinander verbundene Geräte sind im Jahr 2017 verfügbar. Zudem sind in diesem Jahr 63 Prozent aller Geräten im Endkundenbereich im Einsatz.

In absoluten Zahlen sind das 5,3 Milliarden Geräte. Und Gartner geht davon aus, dass die Anzahl verbundener Geräte bis 2020 auf 20,4 Milliarden anwachsen wird. Bisher war es meist so, dass es beim Thema Security vor allem um Notebooks und Smartphones ging, da ihr umfangreicher Gebrauch und ihre Marktanteile sie zu einem attraktiven Ziel für die Angreifer machten.

Jetzt aber, da IoT-Geräte ihren Siegeszug in die Haushalte angetreten haben und dabei wenige bis gar keine Security-Funktionen vorweisen können, sind sie zu leichter Beute für Angreifer geworden. Mit ihnen können nicht nur einzelne Geräte, sondern das gesamte Heimnetzwerk kompromittiert werden. Herkömmliche Security-Mechanismen eignen sich nicht immer für IoT-Geräte, da sie keine zusätzlich installierte Software unterstützten wie es andere Betriebssysteme tun.

Mehr IT-Sicherheit im eigenen Zuhause

Security-Forscher warnen bereits seit langem vor den Gefahren durch smarte, mit dem Heimnetzwerk verbundene IoT-Geräten. Die Anwender riskieren dabei viel mehr als nur den Verlust des Zugangs zum Gerät. Oftmals sind dann gleich mehrere Geräte des gleichen Netzwerks betroffen.

Das Ausnutzen einer einzigen Schwachstelle in einem Smart TV oder in jedem anderen mit dem Netzwerk verbundenen smarten Gerät kann dazu führen, dass die Angreifer sich im gesamten Heimnetzwerk bewegen und so Notebooks, mobile Geräte und selbst private Daten, die auf einem Network Attached Storage (NAS) gesichert sind, kompromittieren können. Welche beliebten Einfallstore gibt es im eigenen Zuhause und wie können sich Privatanwender schützen?

Smart TV – oft ein offenes Scheunentor

Smart TVs gehören mittlerweile zum Mainstream und sind in fast jedem Haushalt zu finden. Während Otto-Normalverbraucher selbst ihren Fernseher nicht als „smartes Gerät“ ansehen, so ist er doch mit dem Internet verbunden, verfügt über ein eigenes Betriebssystem und ist genauso den Gefahren aus dem Internet ausgesetzt wie etwa ein Smartphone oder Tablet – Beispiel die aktuellen Ransomware-Attacken auf Smart TVs.

In einer in den USA durchgeführten Studie, gaben 6 von 10 Besitzer von Smart TVs an, dass sie keinerlei Sicherheitsoptionen für ihren Smart TV im Einsatz haben. Doch diese Geräte gehören nach Smartphone, Tablet, Notebook und Desktop Computer zu den Top5 der mit dem Internet vernetzten Geräte im Haushalt.

Da sie Browsing-Funktionen enthalten und es möglich ist, Anwendungen herunterzuladen, empfiehlt es sich in jedem Fall eine Security-Lösung zu installieren, die für Smart TVs mit Android-Betriebssystemen konzipiert ist.

IP Kameras und Babyphones mit Videofunktion

Während es für Smart TVs Unterstützung durch Security-Lösungen gibt, bieten andere smarte Geräte, wie beispielsweise Webcams, Babyphones mit Videofunktion oder IP Kameras solche Optionen nicht an. Security-Forscher haben oft dargelegt, wie Angreifer über diese Geräte Remote-Zugriff erlangen können, indem sie Internet-Ports und -Dienste (z.B. Telnet, SSH) oder ungepatchte Schwachstellen in der Firmware ausnutzen.

Auf einigen dieser Geräte laufen oftmals veraltete Firmware-Versionen und die Besitzer werden nie über die Existenz neuer Versionen informiert, auf denen ernsthafte Sicherheitsschwachstellen beseitigt wurden. Hinzu kommt das Risiko, dass der Cloud-Dienstleister, der für die Speicherung der Videos verantwortlich ist, das Thema Datenschutz und Privatsphäre nicht sonderlich ernst nehmen könnte oder einfach nicht in der Lage ist, die Daten sowohl bei der Übertragung als auch bei der Speicherung zu verschlüsseln.

Letzteres öffnet die Tore für Man-In-The-Middle-Attacken, die auf die Aufnahmen einer Kamera zugreifen oder sie sogar ganz kontrollieren können.

Smarte Lampen und Steckdosen

Zum Smart Home gehören auch Lampen und Lichtschalter, die eine WLAN-Verbindung erfordern, über die sie per Fernbedienung gesteuert werden können. Damit sind sie denselben Problemen wie andere smarte Geräte auch ausgesetzt. Hinsichtlich Sicherheitsfeatures, Firmware-Updates und Schwachstellen bei Remote-Verbindungen wird der durchschnittliche Anwender ziemlich alleine gelassen.

Wichtig ist, sich vorab über die Sicherheitsfunktionen der Geräte zu erkundigen und sicherzustellen, dass der Hersteller vertrauenswürdig ist und Richtlinien bei der Behebung bekannter Sicherheitslücken vorweisen kann. Auch hier ist es sehr empfehlenswert, Standardpassworte gleich nach Erhalt zu verändern, da es Online-Suchmaschinen gibt – beispielsweise Shodan – die das Internet nach IoT-Geräten mit Standardzugangsdaten durchsuchen, umso Angreifern den Remote-Zugriff zu erleichtern.

Tipps in Sachen IoT-Sicherheit

In der Konsequenz sollte IoT-Sicherheit zwei unverwechselbare und leistungsstarke Technologien beinhalten, die sowohl Antimalware-Scanning-Funktionen als auch IoT-Schwachstellen-Prüfungen umfassen. Eine IoT-Security-Lösung sollte am Gateway dafür sorgen, dass einkommender Netzwerkverkehr weder bösartig noch verändert ist.

Malware und Phishing-Seiten sollten blockiert werden, um sicherzustellen, dass sie nicht ans Zielgerät kommen. Die für die Schwachstellen-Überprüfung zuständige Einheit sollte regelmäßig checken, ob mit dem Netz verbundene Geräte veraltet sind, ungepatchte Firmware verwenden oder Fehlkonfigurationen vorgenommen wurden – zum Beispiel offene Telnet oder SSH-Ports, die über das Internet erreichbar sind, schwache Passwörter, bekannte Exploits bei einem Gerät und viele mehr. Ist die Schwachstellen-Überprüfung abgeschlossen, sollte ein umfassender Bericht mit den identifizierten Fehlern und entsprechenden Gegenmaßnahmen bereitgestellt werden.

Hier noch ein paar ganz praktische Tipps:

1. Informieren! Informieren! Und nochmals informieren! Noch bevor ein IoT-Gerät für den Haushalt gekauft wird, sollte man sich umfassend informieren: über Funktionen, die Art und Weise, wie mit gesammelten Daten umgegangen wird und ob der Hersteller eine verlässliche Richtlinie bei Security- und Firmware-Updates verfügt. Natürlich sollte ein IoT-Gerät praktisch sein und interessante Funktionen vorweisen können – aber am wichtigsten ist, dass es sicher ist und umsichtig mit privaten Daten umgegangen wird.

2. Standard-Passwort verändern Das allererste, was jeder tun sollte, der ein neues IoT-Gerät mit dem Heimnetz verbindet, ist das Standardpasswort durch ein mindestens 8 bis 16 Zeichen langes neues Passwort zu ersetzen, dass sowohl Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthält. Es gibt IoT-Suchmaschinen, wie beispielsweise Shodan, die das Internet gezielt nach smarten Geräten ohne Passwort oder mit Stand-Passwort absuchen.

3. Trennung der Netzwerke Es mag ein wenig aufwändig erscheinen, aber das Einrichten eines separaten WLAN-Netzes nur für IoT-Geräte ist aus Sicherheitsperspektive sehr sinnvoll. Ist ein Gerät mit einer Schwachstelle erst einmal kompromittiert und von außen kontrolliert, so sind zumindest andere wichtige Geräte im Haus, wie das Notebook oder beispielsweise das NAS nicht betroffen.

Liviu Arsene, Senior E-Threat Analyst bei Bitdefender

Liviu Arsene, Senior E-Threat Analyst bei Bitdefender

4. Firmware-Updates In gleicher Weise wie Updates auf Security- und Betriebssystemen auf dem Notebook oder mobilen Geräten vorgenommen werden, muss dies auch für IoT-Geräte geschehen. In manchen Fällen führen Hersteller Security-Updates und Fixes durch, die verhindern sollen, dass Angreifer Geräte einfach übernehmen und gegen die Besitzer verwenden. Das ist aber nicht die Regel.

Herkömmliche Security-Mechanismen lassen sich nicht unbedingt Eins zu Eins auf IoT-Geräte übertragen. Doch befolgt man diesen wenigen einfachen Regeln, kann man sich entspannt in seinem smarten Zuhause zurücklehnen.

Autor: Liviu Arsene ist Senior Threat Analyst bei Bitdefender. Bitdefender ist ein globales Sicherheits-Technologie-Unternehmen und bietet wegweisende End-to-End Cyber-Security-Lösungen sowie Advanced Threat Protection für über 500 Millionen Nutzer in über 150 Ländern. Seit 2001 ist Bitdefender ein innovativer Wegbereiter der Branche, indem es preisgekrönte Schutzlösungen für Privat- und Geschäftsanwender einführt und entwickelt. Zudem liefert das Unternehmen Lösungen sowohl für die Sicherheit hybrider Infrastrukturen als auch für den Schutz von Endpunkten. Als führendes Security-Unternehmen pflegt Bitdefender eine Reihe von Allianzen sowie Partnerschaften und betreibt eine umfassende Forschung & Entwicklung. Weitere Informationen sind unter www.bitdefender.de verfügbar.

Keine Chance den Lügenbaronen – Warum Fake-Bewertungen sich nicht lohnen

Smiley-face-emoticon-575 Ist ein Unternehmen mit seinem Kundenfeedback und der Anzahl der Bewertungen nicht zufrieden, ist es ein Leichtes bei einer spezialisierten Text-Agentur gefälschte Kundenmeinungen für das eigene Profil zu kaufen. Und wer kennt sie nicht, die überschwänglichen und durchweg positiven Bewertungen im Netz, die etwas zu sehr nach Werbetext klingen. Die Motive, dem eigenen Profil einen entsprechenden Feinschliff zu geben, sind vielfältig: Zu wenig Bewertungen, zu niedrige Empfehlungsquote oder nicht das gewünschte Kundenfeedback. Doch die Selbst-Lobhudelei zahlt sich nicht aus.

 Rechtliche Konsequenzen bei Fake-Bewertungen

Gefälschte Kundenmeinungen bringen das ganze System in Verruf, das vor allem auf Vertrauen und Ehrlichkeit basiert, und schaden grundsätzlich jedem Beteiligten. Wenn Kunden das Vertrauen in Produkte oder Dienstleistungen und damit in Unternehmen verlieren, wird dem Bewertungsmarketing jegliche Basis entzogen. Und darunter leiden letztendlich nicht nur die, die ihre Bewertungen nutzen, um potenziellen Kunden ein authentisches Bild der eigenen Leistung und Qualität zu vermitteln.

Letzten Endes fällt es auch auf jene zurück, die das Bewertungssystem missbrauchen. Das Fälschen von Kundenmeinungen ist durchaus strafrechtlich relevant. Auch wenn es sich nicht zwangsläufig um Betrug handelt, so fallen Fake-Bewertungen oft in den Bereich des unlauteren Wettbewerbs.

Der künstliche Feinschliff des eigenen Bewertungsprofils oder das Platzieren von falschen Negativbewertungen auf den Profilen von Wettbewerbern sind in jedem Fall verboten. Dabei sind es nicht unbedingt die Kunden, die über eine gefälschte Bewertung stolpern, oftmals sind es auch Wettbewerber, die den Betrug erkennen und zur Anzeige bringen. Außerdem führen gefälschte Bewertungen zum Ausschluss aus den Bewertungsportalen. Lügenbarone müssen also z.B. mit Geldstrafen und Abmahnungen rechnen.

Vertrauen und Ehrlichkeit als Basis einer Geschäftsbeziehung

Auch wenn die selbstverfasste Bewertung nicht sofort rechtliche Konsequenzen nach sich zieht oder durch das Filter-Raster der Portale fällt, entsteht ein immenser Schaden für die eigene Reputation, wenn der Schwindel auffliegt. Dieser Schaden kann unter Umständen schlimmer sein, als eine Schadensersatzforderung oder ein gelöschtes Profil. Denn aus der Sicht des Kunden stellt sich schnell die Frage, wie es um die Redlichkeit in der Geschäftsbeziehung bestellt ist, wenn ein Unternehmen schon hinsichtlich seines Profils auf unlautere Mittel zurückgreift. Ehrlichkeit und Vertrauenswürdigkeit werden dann schnell in Frage gestellt.

Eine Manipulation muss dabei nicht einmal eindeutig nachweisbar oder offensichtlich sein. Mittlerweile hat der Verbraucher selbst dazugelernt und ein feines Gespür für gefälschte Bewertungen entwickelt. Zudem gibt es im Netz viele Artikel darüber, wie manipulierte Bewertungen erkannt werden können. Besteht auch nur der leiseste Verdacht auf Fälschung, fällt das eigene Reputationsmanagement in sich zusammen. Denn Integrität ist der Grundpfeiler, auf der alle weiteren Geschäftsaktivitäten aufbauen. Unternehmen sollten sich bewusst sein, dass alle bisherige Arbeit zunichte gemacht werden kann, wenn Bewertungen gefälscht werden.

Fazit: Aktives Bewertungsmarketing betreiben

Im digitalen Bewertungsdschungel wird nicht immer fair gespielt. Aber Bewertungen fälschen – ein ganz klares No Go! Die eigene Reputation ist das höchste Gut eines Unternehmens. Ist diese erst einmal zerstört, kann dies das Aus bedeuten. Der Wunsch nach einem ausgewogenen Kundenfeedback und vielen Bewertungen ist sicherlich nachvollziehbar. Doch wer auf seine zufriedenen Kunden zugeht und aktives Bewertungsmarketing betreibt, kommt seinem Ziel damit schnell näher – auch ohne unlautere Mittel.

Autoren: Der 39-jährige Marketing-Experte Remo Fyda betreut seit 17 Jahren Konzerne bei der Umsetzung ihrer Online-Strategie und deckt dabei alle Facetten der digitalen Kommunikation ab. Als langjähriger Projektleiter und Berater bei Cybay New Media war er unter anderem für Kunden wie AEG, Continental, die KKH-Allianz, Konica Minolta, die Nord LB, Rossmann, TUIfly, Euler Hermes, VW oder die VHV-Gruppe verantwortlich. Zuletzt gründete er 2011 erfolgreich Neoskop, eine Full-Service-Agentur für digitale Kommunikation. Seit 2013 ist er Geschäftsführer von ProvenExpert.com, der Online-Plattform für qualifiziertes Kundenfeedback und Bewertungsaggregation. Remo Fyda hat Medieninformatik an der Hochschule Harz studiert. 

Karsten Gulden ist Fachanwalt für Urheber- und Medienrecht. Als Gründer und Gesellschafter bei gulden röttger | rechtsanwälte hat sich K. Gulden neben dem Urheberrecht auf das Social Media-, Persönlichkeits- und Markenrecht/ E-Commerce spezialisiert. Neben seiner juristischen Tätigkeit ist Karsten Gulden auch als Blogger und YouTuber aktiv.

Wie mobile Agenten in die Privatsphäre von Benutzern eindringen

AVG_NetzspionageMit der zunehmenden Einführung von BYOD im Arbeitsalltag stehen Unternehmen vor der Herausforderung, Datensicherheit, Privatsphäre und Benutzerfreundlichkeit miteinander in Einklang zu bringen. Um die mit dem Unternehmensnetzwerk verbundenen Mobilgeräte zu überwachen, setzen zahlreiche Firmen auf Mobile Device Management (MDM)-Lösungen.

Dies erfordert die Installation eines Software-Agenten auf dem privaten Endgerät der Mitarbeiter. In der Regel sind sich die Mitarbeiter darüber bewusst, dass sie durch die Aktivierung der Software auf ihren persönlichen Geräten ein gewisses Maß an Kontrolle über ihre Daten an ihren Arbeitgeber abgeben.

Wie ein Experiment von Bitglass allerdings zeigt, hat die allgemein vorherrschende Vorstellung, sowohl auf Seiten der Mitarbeiter als auch der Arbeitgeber, mit der Realität wenig zu tun. Vor allem mit Blick auf die Europäische Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft treten wird und Nutzern mehr Rechte zur Wahrung ihrer Privatsphäre einräumt, lassen die Ergebnisse aufhorchen.

Das Experiment

In einem einwöchigen Experiment testete ein IT-Forschungsteam von Bitglass, inwieweit MDM dazu genutzt werden kann, Smartphones und Tablets von Mitarbeitern ohne ihr Wissen zu überwachen und zu steuern. Jeder, der an der Studie teilnahm, gab dem Team die Erlaubnis, MDM-Zertifikate per Push an ihre Geräte zu übertragen.

Eine Praxis, die üblicherweise für die Datenübertragung über das Firmennetzwerk über ein Virtual Private Network (VPN) oder einen globalen Proxy verwendet wird. In nur sieben Tagen sammelte die MDM-Software eine Reihe von Informationen über die Interessen, Aktivitäten, Identitäten und Beziehungen der Mitarbeiter. Während des Experiments gelang es den Versuchsleitern, auf folgende Informationen zuzugreifen:

Surfverhalten

Mit dem Routing des Datenverkehrs über einen globalen Proxy war es möglich, das Surfverhalten von Mitarbeitern zu erfassen. Der Zugriff auf ihren Browserverlauf gewährte Einblick in sämtliche Vorgänge, von der Amazon-Produktsuche über vertrauliche Anfragen bei Gesundheitsdienstleistern bis hin zu politischen Interessen und Mitgliedschaften.

SSL-verschlüsselte Daten

Darüber hinaus gelang es den IT-Experten, mittels eines globalen Proxy in Verbindung mit einem vertrauenswürdigen Zertifikat, die SSL-Verschlüsselung zu deaktivieren. Durch die unverschlüsselte Umleitung von SSL-Datenverkehr erhielt das Forschungsteam Zugang zu den persönlichen E-Mail-Postfächern von Benutzern, ihren Konten bei sozialen Netzwerken und Bankdaten. Mit anderen Worten: Alle sicheren  Anmeldedaten wurden offengelegt, da Benutzernamen und  Kennwörter, die zur Kontoanmeldung verwendet werden, als Klartext an den Server der Versuchsleiter übermittelt wurden.

E-Mailverkehr

Die Fähigkeit zur Überwachung aus- und eingehender privater Kommunikation mittels MDM war auch bei Apps von Drittanbietern möglich – und sogar auf iOS, was die vorherrschende Meinung, dass App-Sandboxing den Einblick von Arbeitgebern in das Benutzerverhalten einschränke, wohl widerlegt. Mit Hilfe von Apps wie Gmail und Messenger gelang es sogar, versendete persönliche Mitteilungen abzufangen und eine Liste aller auf dem Gerät eines Mitarbeiters installierten Apps zu erstellen.

Aufenthaltsorte

Die meisten Teilnehmer des Experiments waren sich darüber bewusst, dass Administratoren verwalteter Geräte problemlos deren Standort ermitteln können, sofern GPS aktiviert ist. Wenigen war jedoch klar, inwieweit dies für das Erstellen eines Bewegungsprofils missbraucht werden kann. Das Forschungsteam ging noch einen Schritt weiter und sorgte dafür, dass GPS ohne Benachrichtigung des Benutzers im Hintergrund aktiv blieb. Dies ging nicht nur deutlich zu Lasten der Akkuleistung, sondern gab anhand des Standorts auch Auskunft über die Freizeitgewohnheiten der Teilnehmer. Dadurch konnte das Forschungsteam nachvollziehen, wo die Mitarbeiter ihre Freizeit verbrachten, wie häufig sie einkaufen gingen und vieles mehr.

Geräteeinstellungen

Vor allem das im Rahmen von MDM mögliche Zurücksetzen der Geräteeinstellungen, bereitet Mitarbeitern Sorgen, da viele von ihnen private Kontakte, Notizen, Fotos und andere Daten auf ihren persönlichen Geräten speichern. Dem Forschungsteam gelang es im Experiment, mittels MDM die Backup-Funktion so einzuschränken, dass eine Wiederherstellung von Diensten wie iCloud unmöglich wurde und den Betroffenen so gut wie keine Möglichkeit zur Wiedergewinnung verlorener Daten blieb.

Benutzerzugriff

Das Forschungsteam war zudem in der Lage, in zentrale Sicherungs- und Sperrfunktionen einzugreifen und so den Benutzerzugriff auf die Kamera, Apps wie FaceTime und grundlegende Aktionen wie Kopieren und Einfügen einzuschränken.

Angesichts des bevorstehenden Inkrafttretens der DSGVO im Mai 2018 ist es für europäische Unternehmen ratsam, die Sicherheit ihrer BYOD-Konzepte – beziehungsweise deren Potential für Sicherheitslücken – einer Prüfung zu unterziehen. Sie müssen sicherstellen, dass Mitarbeiterdaten nur in dem laut Datenschutzvereinbarung deklarierten Ausmaß verarbeitet und gespeichert werden. Gleichzeitig muss die Art der Datenverarbeitung gewährleisten, dass Mitarbeiter ihre Einwilligung dazu widerrufen können, und die bereits gesammelten Daten nicht an Dritte übermittelt sowie im Fall eines Widerspruchs gelöscht werden können.

Für den Fall, dass Mitarbeiter auf Grund von Datenschutzbedenken die Installation von MDM-Lösungen ablehnen, sollten Unternehmen bei der mobilen Sicherheit auch andere Ansätze in Betracht ziehen. Agentenlose BYOD-Softwarelösungen beispielsweise ermöglichen ein verbessertes Anwendungserlebnis, da keinerlei Einschränkungen in den Geräte- und Anwendungsfunktionen vorgenommen werden. Gleichzeitig ist die vollständige Übersicht und Kontrolle über Geschäftsdaten sichergestellt, ohne in die Privatsphäre der Endbenutzer einzugreifen, womit die Einhaltung von Datenschutzbestimmungen gewährleistet ist.

Autor: Eduard Meelhuysen ist Vice President Sales EMEA von Bitglass, einem weltweit tätigem Anbieter einer  Cloud-Access-Security-Broker-Lösung sowie von agentenloser Mobilsicherheit mit Sitz im Silicon Valley. Die Lösungen des Unternehmens ermöglichen durchgängige Datensicherheit, von der Cloud zu dem Gerät. Bitglass wird finanziell von hochrangigen Investoren unterstützt und wurde 2013 von einer Gruppe von Branchenveteranen gegründet, die in der Vergangenheit zahlreiche Innovationen eingeführt und umgesetzt haben.

 

Das Gesicht der Digitalisierung: Unternehmen müssen auf neue Rollen setzen

Socrates_Louvre_Dunja_2005Die Digitalisierung ermöglicht Innovationen, Services und neue Geschäftsmodelle – so entstehen enorme Chancen. Deshalb ist es in Zeiten der digitalen Transformation für Unternehmen unabdingbar, sich über aktuelle und neue Technologien zu informieren. Insbesondere der Mittelstand muss sich mehr mit der Thematik auseinandersetzen und sich einen Überblick über die Techniken, die die Digitalisierung unterstützen und vorantreiben, und deren Potenziale verschaffen.

Unternehmen benötigen deshalb eine Neuausrichtung ihrer Geschäftsstrategie. „Um in der Organisation die Voraussetzungen für die zielführende Platzierung der Digitalisierungsthemen zu gewährleisten und das Thema nachhaltig zu verankern, erfordert es eine zeitnahe Investition von Seiten der Unternehmen“, erläutert Dr. Consuela Utsch, Geschäftsführerin von Acuroc. „Auch den Mitarbeitern verlangt die digitale Transformation eine schnelle Anpassung an neu entstehende Rollen ab“

 

An Wertschöpfungsketten anknüpfen

Digitalisierung ist heute sowohl in der Geschäftsführung als auch im IT-Management das alles bestimmende und zukunftsweisende Thema. Die Führungsebenen in Unternehmen müssen sich über die sich wandelnde Welt ebenso bewusst werden wie bezüglich der sich verändernden Konsumenten und ihrer Wertschöpfungsketten, um dann die richtigen Schritte einzuleiten. „Sobald ein Unternehmen die Digitalisierung anstrebt, benötigt es neue Rollen.

Dazu zählen unter anderem der „Data Scientist“ und der „Data Compliance Officer“, insbesondere aber der „Chief Digital Officer“, kurz CDO. Sind die Dringlichkeit erkannt und erste Initiativen gestartet, stellt sich im Unternehmen die Frage, wie diese Maßnahmen am besten strukturiert und koordiniert weiter geführt werden können. Hierfür ist die Rolle des „Chief Digital Officer“ unverzichtbar, denn diese verantwortet die strategische Transformation und koordiniert und forciert gleichzeitig die Vernetzung zwischen Fachbereichen und IT.

Zudem sollte der CDO als Motivator im Unternehmen wirken und mit dem CIO auf Augenhöhe zusammenarbeiten“, empfiehlt Dr. Consuela Utsch. „Während der CIO den IT-Betrieb mit seinen Anforderungen verantwortet, treibt der CDO neue Geschäftsmodelle und deren Realisierung unter Einbeziehung der Mitarbeiter voran“, so die Geschäftsführerin weiter. Gleich zu Beginn der Tätigkeit muss der Chief Digital Officer eine digitale Veränderungslandkarte und eine Strategie entwickeln, um so die Koordination digitaler Aktivitäten zum Wandel des unternehmensweiten Geschäfts zu lenken.

 

Kompetenzen und Fähigkeiten

Für die erfolgreiche Integration der Rolle des Chief Digital Officers im Unternehmen benötigt dieses zunächst einmal eine passend ausgewählte Person mit den entsprechenden Kompetenzen und Fähigkeiten. Hierzu zählen neben weitreichenden Kenntnissen der Geschäftsprozesse sowie der Kundenanforderungen auch der Aufbau eines guten internen und externen Netzwerks und entsprechendes Know-how über die Branche sowie deren Anforderungen. Erfahrungen im Änderungsmanagement sind ebenso notwendig wie Innovationskraft und der Mut, disruptive Ideen zu entwickeln und umzusetzen.

Agilität, Kreativität und das Infragestellen der aktuellen Situation durch intensive Auseinandersetzung mit der Frage „Was ist, wenn dieses Geschäftsmodell morgen kippt?“ zeichnen den erfolgreichen Chief Digital Officer neben strategischem Denken aus. Der Kandidat sollte außerdem die Koordination digitaler Aktivitäten unter Einbindung externer Key-Player beherrschen und eine hohe Kommunikationsfähigkeit besitzen. Abgerundet werden die Kompetenzen durch einen qualifizierten Umgang mit unterschiedlichen Hierarchieleveln und Persönlichkeitsstrukturen.

Der Chief Digital Officer ist somit das „Gesicht der Digitalisierung“ im Unternehmen. „Der Job benötigt zudem vor allem Businessverständnis und Überzeugungskraft. Insbesondere der Schritt, langjährige Prozesse neu zu beleuchten und in Frage zu stellen, stellt eine große Herausforderung dar“, erklärt Dr. Consuela Utsch. „Es kann eben auch passieren, dass ein Unternehmen sich hierfür vollständig neu strukturieren muss. Deshalb fehlen in vielen Vorständen häufig noch diese Führungskräfte.“

Datenschutz: Wenn der Teddybär Geheimnisse ausplaudert

Teddybaer Der Sicherheitsforscher Troy Hunt hat einen Blogpost veröffentlicht, in dem er beschreibt, wie Hacker über eine ungesicherte Datenbank an vertrauliche Daten gelangen konnten, die von CloudPets Teddybären generierte wurden. In erster Linie handelt es sich dabei um Sprachnachrichten von Kindern und Eltern, mit denen die Kriminellen mutmaßlich versuchen, das Herstellerunternehmen SpiralToys zu erpressen.

Zwar bestreitet die Firma das Datenleck gegenüber Networkworld und gibt an, dass die öffentlich zugängliche MongoDB-Datenbank, in der sich die Aufnahmen und weitere Anmeldedaten von Nutzern befanden, von einem externen Unternehmen verwaltet wird; sie haben allerdings dennoch allen Nutzern die Änderung des Passworts empfohlen.

Vernetzte Spielzeuge mit Risikopotenzial

Es ist nicht das erste Mal, dass moderne vernetzte Spielzeuge in letzter Zeit in die Schlagzeilen geraten: Erst vor Kurzem hat die Bundesnetzagentur die Kinderpuppe Cayla aus ähnlichen Gründen vom Markt nehmen lassen.

Oliver Keizers, Regional Director DACH beim Sicherheitsspezialisten Fidelis Cybersecurity.

Oliver Keizers, Regional Director DACH beim Sicherheitsspezialisten Fidelis Cybersecurity.

Oliver Keizers, Regional Director DACH beim Sicherheitsspezialisten Fidelis Cybersecurity, sieht Hersteller und Eltern nun in der Pflicht:

„Die Tatsache, dass die Sprachaufnahmen ihrer Kinder frei online zugänglich und vielleicht in den falschen Händen sind, wird wohl alle Eltern zum Schwitzen bringen. Dieses Datenleck ist nach aktuellem Kenntnisstand einer Mischung aus schlechten Authentifizierungsmethoden und dem Nutzen einer Datenbank geschuldet, die bereits Anfang des Jahres als risikoanfällig beschreiben wurde.

Für Nutzer und Eltern, die mit dem Gedanken spielen, ihren Kindern ein ähnliches, vernetztes Spielzeug zu kaufen, gilt es jetzt abzuwägen, ob man das Risiko eingehen möchte, dass damit einhergeht. Zudem sollten sie sofort natürlich ihr Zugangspasswort ändern, sowohl bei ihrem CloudPets-Account, als auch bei allen anderen Zugängen, die das gleiche Passwort nutzen. Viele Menschen verwenden ein und das selbe Passwort für mehrere Apps und Websites, was Cyberkriminellen nach einem Datenklau immer wieder Zugriff auf weit mehr Daten gibt, als zunächst angenommen.

CloudPets wiederum wird seine eigene Infrastruktur, ihre Authentifizierungsmaßnahmen und die Verwendung einer unsicheren Datenbank in den Händen eines Drittanbieters evaluieren müssen. Die Sicherung der Nutzerdaten muss für jedes moderne Unternehmen oberste Priorität besitzen – ansonsten riskieren sie vom Vertrauensverlust wie im vorliegenden Fall bis zum Verbot wie im Fall ‚Cayla‘ alles.“

 

Das Internet der Dinge kann auch Mörder verraten…

Mit smarten Kameras von LUPUS-Electronics haben Sie ihr Zuhause von überall aus im Blick © LUPUS-Electronics

Mit smarten Kameras von LUPUS-Electronics haben Sie ihr Zuhause von überall aus im Blick © LUPUS-Electronics

Das Internet der Dinge (IoT) ist definitiv in unseren Haushalten angekommen und irgendwie fühlt man sich schon fast wie auf der Brücke vom Raumschiff Enterprise. Coole Gadgets steuern vieles per Stimme, wofür wir normalerweise ein paar Schritte wie beispielsweise zum Lichtschalter oder zur Stereoanlage gehen müssten – alles ganz einfach per Sprachbefehl oder Frage.

Damit diese beeindruckenden persönlichen Assistenten funktionieren benötigen sie das Internet und das nicht nur, um Musik abzuspielen oder eine Antwort zu geben. Sie nehmen alle Befehle auf und speichern diese. Erst so können Hersteller von Echo/Alexa, Siri, Cortana oder Google Home die Qualität der sprachlichen Interaktion weiter verbessern und den Geräten noch mehr Beeindruckendes beibringen.

In einem jüngeren Fall in USA wollte sich die Polizei derartiger Sprachaufnahmen einer Anwenderin zunutze machen. In Zusammenhang mit einem Mord verlangte die Polizei sämtliche Sprachaufnahmen des Amazon Echo-Geräts in der Hoffnung, Hinweise zur Aufklärung der Tat zu erhalten. Doch Amazon hat sich an den Datenschutz gehalten und geweigert, die entsprechenden Sprachaufzeichnungen herauszugeben. Dieser Fall zeigt, dass bestimmte Einrichtungen ein valides Interesse an derartig gespeicherten Informationen haben. Es ist aber auch leicht vorstellbar, dass Cyber-Kriminelle eine lohnende Einnahmequelle durch Erpressung daraus entwickeln könnten.

Hundertprozentige Privatsphäre ausgeschlossen

Anwender, die solche Technologien zuhause oder im Büro einsetzen, dürfen nicht mit einer hundertprozentigen Privatsphäre rechnen. Aber es gibt ein paar Dinge, auf die Benutzer achten sollten, um zumindest etwas mehr Sicherheit zu erhalten:

Wenn Echo nicht genutzt wird, sollte die Stummtaste aktiviert sein. Die Stummschaltung befindet sich direkt am Gerät. Das „immer hörende“ Mikrofon wird somit abgeschaltet, bis es wieder aktiviert wird.

  1. Man sollte Echo nicht mit sensiblen Accounts verbinden. Es gab bereits einige Fälle in denen die Verkettung von mehreren Accounts zu unschönen Überraschungen oder Tränen geführt haben. Ein Kontrollverlust wie beispielsweise bei Bestellungen ist schnell geschehen.
  2. Alte Aufnahmen sollten gelöscht werden. Bei Echo beispielsweise können auf dem Amazon-Konto unter „Manage my Device“ über ein praktisches Dashboard einzelne Abfragen oder der gesamten Suchverlauf gelöscht werden.
  3. Google-Settings sollten restriktiv eingestellt sein. Wer Google Home verwendet, kennt das immense Datensammelverhalten des Unternehmens. Aber immerhin bietet Google auf der Webseite diverse Einstellmöglichkeiten an, um Berechtigungen zu erlauben oder zu entziehen. Darüber hinaus verfügt auch Home über eine Mute-Taste.

„Systeme wie Amazon Echo/Alexa oder Google Home sind faszinierend und werden sich in unserer technisch affinen Welt sehr schnell verbreiten. So angenehm und interessant sie unser Leben auch gestalten, die Nutzer sollten unbedingt auf Sicherheit und Privatsphäre achten. Hier ist jeder einzelne Nutzer gefragt, aktiv darüber nachzudenken, welche Informationen er preis gibt und welche nicht“, sagt Michael Veit, Security-Experte bei Sophos.

Cyberangriffe als politische Waffe – auch in Deutschland?

WP_001217Am 6. Januar 2016 – also noch vor dem unmittelbaren Ende der Präsidentschaft Barrack Obamas – veröffentlichte das Intelligence Community Assessment (ICA) unter dem Titel „Assessing Russian Activitites and Intentions in Recent US Elections“ ein entsprechendes Hintergrundpapier.

Eines der wichtigsten Ergebnisse der Nachforschungen: Russland wird für eine mehrschichtige Kampagne verantwortlich gemacht, die sich ausdrücklich gegen einen regulären Ablauf der jüngsten US-Wahlen richtete. Zum einen sollte das Vertrauen in den demokratischen Prozess als solchen unterminiert werden, vor allem aber die Glaubwürdigkeit der Präsidentschaftskandidatin Hillary Clinton.

Zwar beschäftigt sich das Papier mit der mutmaßlichen Einflussnahme Russlands auf die US-Wahlen, die Autoren weisen aber ausdrücklich darauf hin, dass wir bei anstehenden Wahlen weltweit mit ähnlichen Szenarien rechnen dürfen. 2017 ist das Jahr der Präsidentschaftswahl in Frankreich und das der Bundestagswahl in Deutschland.

Cyberangriffe als politische Waffe

Cyberangriffe als politische Waffe zu nutzen ist nicht unbedingt etwas Neues. Neu sind allerdings Qualität und Ausmaß wie bei den jüngsten Wahlen in den USA. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ahnt dahingehend nichts Gutes und geht davon aus, dass es eines besonderen Schutzes gegen Online-Wahlmanipulationen bei den in diesem Jahr anstehenden Bundestagswahlen bedarf.

Das BSI sieht wie auch die ICA im Wesentlichen zwei Säulen einer möglichen Einflussnahme. Das sind zum einen gezielte Hackerangriffe zum anderen eine Art automatisierter Meinungsbildung über verschiedene Instrumentarien in den sozialen Medien. Beides gelte es zu bekämpfen, so das BSI. Anlass für die Stellungnahme des BSI war eben jener Bericht zu den Cyberangriffen für die der russische Präsident verantwortlich gemacht wird. Es soll vermutlich anders klingen, dennoch betreten Parteien, Mandatsträger und Staaten hier tatsächlich anderweitig berühmt gewordenes „Neuland“.

 Karte und Gebiet: Neuland

Regierungsinstitutionen, Parteien, Mandatsträger und solche die es werden wollen, sehen sich (wie es der US-Wahlkampf besonders sinnfällig dokumentiert hat) mit einer neuen Qualität von Cyberangriffen konfrontiert. Manches davon war nach den Vorkommnissen im Wahljahr zu erwarten manches eher nicht.

Wir sind inzwischen daran gewöhnt, dass Hacker Unternehmen ins Visier nehmen. Dass die Angreifer dabei Millionen von Daten, Kreditkartennummern und Passwörter stehlen, zum sofortigen oder späteren Gebrauch oder wichtige Systeme zum Erliegen bringen. Wenn es sich dabei um Angriffe handelt, die von einem Staat in Auftrag gegeben worden sind, richtet sich die Attacke vielleicht gegen Wissenskapital, militärische Geheimnisse oder andere Arten von sensiblen Informationen – beispielsweise im Rahmen einer groß angelegten Offensive zur Wirtschaftsspionage.

Aber Cyberangriffe und Hackerattacken auf politische Parteien, Kandidaten und Mandatsträger? IT-gestützte Systeme im Visier, Daten und Dateien, die herausgeschleust oder geleaked werden, gezielte Manipulationen und das Schüren grundsätzlicher Verunsicherung in Bezug auf das politische System und seine Repräsentanten? Natürlich sind schmutzige Spielchen keine Erfindung des digitalen Zeitalters, und es gibt ausreichend viele Beispiele für analoge „Hacks“. Digitale Angriffstechniken allerdings gezielt einzusetzen, um den politischen Gegner zu diskreditieren, Wahlen zu manipulieren und Kampagnen so zu beeinflussen, dass sie ein Klima der Verunsicherung  schaffen, ist in dieser Form neu. Dazu gehört auch, was das BSI in seiner Verlautbarung als „automatisierte Meinungsmache“ bezeichnet.

Wir waren uns ziemlich sicher, dass Datenschutzverletzungen dieser Art nicht nur die Cybersicherheit als solche in die Schlagzeilen bringen würde, sondern auch, dass diese eng mit schwerwiegenden geopolitischen Veränderungen, Umbrüchen und Bedrohungen wie beispielsweise dem internationalen Terrorismus in Verbindung stehen würden.

Der DNC Hack – ein beispielhafter Hack mit Folgen

Im Sommer des letzten Jahres wurde das Democratic National Committe (DNC) Opfer einer der Hacker-Gruppierungen, die wahrscheinlich mit dem russischen Geheimdienst in Verbindung stehen. Dabei kamen Technologien zum Einsatz zum Standard-Repertoire eines Hackers gehören und als solche keineswegs neu sind: Spear-Phishing, Remote Access Trojaner, Malware, C2-Server und so weiter.

In diesem Fall ging es aber nicht darum Konten- oder Kreditkarteninfos abzuziehen wie in vergleichbaren Fällen von Online-Kriminalität. Hier hatten die Hacker es auf E-Mails mit vertraulichen Inhalten abgesehen. Diese Inhalte veröffentlichten sie anschließend im Internet mit dem einzigen Ziel größtmöglichen Schaden anzurichten. Nicht unähnlich dem Sony-Hack bei dem es um den größtmöglichen wirtschaftlichen Schaden ging. Neu beim Angriff auf das DNC: Hier attackiert eine politische Entität eine andere, und zwar aus politischen Gründen. Ähnliche Vorfälle in europäischen Ländern – Deutschland eingeschlossen – haben das Thema auf die nationale politische Agenda gebracht.

E-Mail – Die Mutter allen Übels?

Auf den DNC-Hack folgten weitere, politisch motivierte Angriffe wie beispielsweise auf die E-Mails von Hillary Clinton. Dass sich Politiker und Repräsentanten des Staates zukünftig sehr viel stärker damit auseinandersetzen müssen, wie sie sensible Inhalte, die meist in Form unstrukturierter Daten vorliegen, besser schützen, auch das ist in dieser Form eher neu.

Obwohl wir die Vorgehensweisen aus dem kommerziellen Sektor zur Genüge kennen, scheint die Vorstellung noch gewöhnungsbedürftig zu sein. Wenn jemand aber auf der Suche nach vertraulichen, persönlichen Informationen ist, sind und bleiben E-Mails so etwas wie der One-Stop-Shop.

Hacker, deren Angriffe primär finanziell motiviert sind, haben mit den in Dokumenten, Präsentationen und so weiter enthaltenen PII-Daten (Personally Identifiable Informationen) den eigentlichen Schatz gefunden, der überall in den jeweiligen Dateisystemen verborgen liegt.

Wer auf der Suche nach vertraulichen Daten und Insiderinformationen ist, für den sind E-Mail-Server und persönliche E-Mail-Konten der schnellste und einfachste Weg zum Ziel. Angreifer wissen, dass E-Mail-Konten die Quelle sind, aus der sich die meisten Daten auf einmal abschöpfen lassen: vertrauliche Informationen, Geschäftsgeheimnisse und andere IPs.

Dazu kommt, dass selbst Führungskräfte, äußerst leichtsinnig sind, wie der Hack auf das Gmail-Konto des ehemaligen Secretary of State, Colin Powell, zeigt. Für die Angreifer öffnet sich ein digitales Fenster mit freier Aussicht auf eine weitestgehend ungeschützte Kommunikation. Mittlerweise ist längst bekannt, dass Powell sein privates E-Mail-Konto während seiner Tätigkeit im State Department benutzte um mit „Freunden“ – darunter Führungskräfte und Regierungschefs anderer Länder – „off the records“ zu kommunizieren. Und nicht nur das. Er gab der damaligen Secretary of State, Hillary Clinton, Tipps wie sie den offiziellen E-Mail-Account und die IT-Sicherheit mit Hilfe eines Modems und eines Laptops umgehen könnte. Derartig tiefgreifende Insidereinblicke zu bekommen hätte in der analogen Ära ein Vielfaches an Aufwand und Risiko bedeutet.

Was die Krise lehrt

Ob Schaden klug macht, wird sich zeigen und berechtigte Zweifel bleiben. Dennoch. Die Tatsache, dass es bei politischen Institutionen und Prozessen schwerwiegende Sicherheitsmängel gibt, dass hoch vertrauliche und persönliche Daten vergleichsweise einfach zugänglich waren, und dass sie anschließend veröffentlicht werden konnten, hat einige aus dem Dornröschenschlaf geweckt. Schließlich betreffen solche Leaks nicht nur politische Mandatsträger und Kandidaten. Familie und Freundeskreis sind bei prekären Enthüllungen ebenso betroffen.

Autor David Lin arbeitet beim Experten für Datenschutz und Datenanalyse Varonis.

Autor David Lin arbeitet beim Experten für Datenschutz und Datenanalyse Varonis.

Der Hackerangriff auf den Bundestag im Jahr 2015 hatte jedenfalls weitreichende Folgen sogar für die Ausgestaltung des IT-Sicherheitsgesetzes (sodass jetzt beispielsweise auch Bundesbehörden Sicherheitsauflagen einhalten müssen). Ende Dezember 2016 warnte jedenfalls das BSI nicht nur vor Wahlmanipulationen und Fake News im bevorstehenden Bundestagswahlkampf.

Präsident Arne Schönbohm sagte der Welt am Sonntag: „Wir optimieren kontinuierlich die Verteidigungsfähigkeit der Regierungsnetze, um gegen mögliche Cyberangriffe gewappnet zu sein.“ Dazu tausche man sich mit anderen europäischen Ländern aus, in denen in naher Zukunft gewählt wird. Denn gerade mit Blick auf die Bundestagswahl im nächsten Jahr mache man sich Sorgen und fürchte eine hohe „Bedrohung für Staat, Wirtschaft und Gesellschaft durch professionelle und vermutlich staatlich gelenkte Cyberangriffe“. Es könne zu einer „gezielten Manipulation der öffentlichen Meinung durch Dritte“ kommen.

Wem es gelingt sensible Daten aus einer hoch vertraulichen E-Mail-Korrespondenz abzuziehen, der profitiert davon in zweierlei Hinsicht: Er ist in der Lage die öffentliche Meinung zu beeinflussen und Informationen gezielt nach einem minutiösen Zeitplan zu veröffentlichen. Interessenten gibt es in ausreichender Zahl, eingeschlossen die Opposition im jeweiligen Land und Dritte. Der zweite, nicht zu unterschätzende Aspekt ist, dass Mitbewerber oder konkurrierende Parteien Einblick in die strategische Wahlkampfplanung bekommen und die eigene Kampagne daraufhin ausrichten oder feinjustieren können.

Ob Gesetze ausreichen, den Schutz von vertraulichen Daten zu gewährleisten, bleibt fraglich. Die neue, 2018 in Kraft tretende EU-Datenschutz-Grundverordnung, sieht jedenfalls sowohl eine 72-Stunden Meldepflicht bei Datenschutzverletzungen vor als auch eine erweiterte Definition für PII-Daten vor. Und sie ist deutlich restriktiver als vergleichbare Gesetze und Richtlinien in den USA. Ein übergreifender Ansatz, um solche Bedrohungen in den Griff zu bekommen ist beispielsweise die Analyse des Benutzerverhaltens (UBA = User Behavior Analytics). Einfach gesagt, definiert UBA sozusagen die Normalwerte in einer bestimmten Umgebung. Weicht ein Verhalten oder eine Aktivität davon ab, kann das auf einen Datenschutzverstoß hinweisen. In solchen Fällen wird ein entsprechender Alarm ausgelöst, nachgeforscht und die Verantwortlichen in Kenntnis gesetzt, um Gegenmaßnahmen zu ergreifen.

Haben die Deutschen Angst vor der Technik?

Wolfram Jost, CTO der Software AG, plädiert für mehr Offenheit in Deutschland gegenüber technischen Innovationen. (Bild: Software AG)

Wolfram Jost, CTO der Software AG, plädiert für mehr Offenheit in Deutschland gegenüber technischen Innovationen. (Bild: Software AG)

Kommunizieren, arbeiten, einkaufen und bezahlen: Ein wachsender Teil unseres privaten und beruflichen Alltags spielt sich digital ab. Wie mithilfe von digitalen Plattformen schnell gute Geschäfte zu machen sind, haben neue Firmen wie Alibaba, Airbnb oder Uber bereits gezeigt. Das ist kein Hexenwerk, erfordert jedoch mutige Entscheidungen und die konsequente Verfolgung des Ziels, ein durch und durch digitales Unternehmen aufzubauen.

Technikskepsis wird in der Wirtschaft schnell zum Nachteil

Technikskepsis wird in der Wirtschaft schnell zum Nachteil, denn die Digitalisierung schreitet voran und hängt diejenigen ab, die zu lange zögern. Alle Unternehmen müssen mittelfristig zu digitalen Unternehmen werden. Nur so können sie – egal in welcher Branche – auf lange Sicht erfolgreich am Markt agieren, weil sie verstanden haben, wie grundlegend sich die Kommunikation und die Abläufe verändern.

Wie man einen Technologie-Rückstand in einen Vorsprung verwandelt, können wir bei Schwellenländern beobachten. In vielen Ländern Afrikas und Asiens beispielsweise wurde der Aufbau einer teuren Festnetzinfrastruktur übersprungen, und eine junge Bevölkerung begrüßt die Annehmlichkeiten der mobilen Kommunikation mit offenen Armen.

Annehmlichkeiten der mobilen Kommunikation

Aus dieser besonderen Situation entsteht eine mobile Kultur, die eine Vielfalt an Innovationen hervorbringt: Via Smartphone können in Indonesien Mitfahrgelegenheiten auf Motorrädern und Rollern gebucht werden, und das Konzept findet großen Anklang, denn das „Uber für Zweiräder“ weist mittlerweile über 11.000 Fahrer aus. Ein weiteres Beispiel: Awamo, ein Start-up-Unternehmen aus Frankfurt am Main, ermöglicht es Nutzern aus Afrika, per Smartphone Mikrokredite zu organisieren. Der gesamte Vorgang, vom Kreditangebot bis zur Rückzahlung, erfolgt digital. Die Infrastruktur gibt den möglichen Rahmen vor, und das bedeutet: so einfach, schnell und unkompliziert wie möglich. In den meisten Fällen also mobil.

Was lernen wir daraus, um unsere wirtschaftliche Pole Position international nicht zu verlieren? Offenheit gegenüber Innovationen war und ist ein Erfolgsprinzip. Neue Innovationen zu nutzen bedeutet jedoch auch, bewährte, aber veraltete Technologien hinter sich zu lassen oder mit neuen Methoden zu experimentieren – ein Schritt, dem viele hierzulande skeptisch gegenüberstehen. Erschwerend hinzu kommt, dass der digitale Wandel schwer vorhersehbar ist. Diese Ungewissheit ist gegenläufig zu unserem hohen deutschen Planungs- und Sicherheitsbedürfnis.

Die Herausforderung für Industrieländer ist es, einen gesunden Mittelweg zu finden

Die Herausforderung für Industrieländer ist es, einen gesunden Mittelweg zu finden: Es ist ratsam, Digitalisierungsprojekte stufenweise aufzusetzen und flexible Technologie-Plattformen einzurichten. Dabei steht die Sicherheit neuer Technologien an erster Stelle und Risiken müssen kritisch hinterfragt werden. Übertriebene Technikskepsis darf jedoch nicht dazu führen, dass die Chance verspielt wird, eine mobile Kultur aktiv mitzugestalten und zu leben. Denn die Digitalisierung kommt ganz sicher und technologisch ist sie bereits hier. Nun muss ihr eine digitale Mentalität folgen.

Autor: Dr. Wolfram Jost ist seit August 2010 Mitglied des Vorstandes der Software AG, einem Anbiete für Softwarelösungen für Unternehmen und verbundene Dienstleistungen. Als Chief Technology Officer (CTO) ist er verantwortlich für Forschung & Entwicklung sowie Produktmanagement und Produktmarketing.

Digitale Arbeitswelten: Kontrolle ist gut, Vertrauen ist besser

Martin Beims ist geschäftsführender Gesellschafter von aretas, einer servicebetonten Unternehmensberatung mit Sitz in Aschaffenburg.

Martin Beims ist geschäftsführender Gesellschafter von aretas, einer servicebetonten Unternehmensberatung mit Sitz in Aschaffenburg.

Vertrauen als Schmiermittel der Wirtschaft: Verschenktes Potenzial? Ob in der Führungsetage, im Projektteam oder in der Kaffeeküche: Vertrauen ist ein brisantes Thema. Denn wenn es mal richtig schwierig wird, vertraut doch jeder nur sich selbst. Getreu dem Motto: „Nur wenn ich es selbst mache, wird es richtig gemacht.“

Nach einer repräsentativen Studie von Ernst & Young setzen die Beschäftigten weltweit kein großes Vertrauen in die eigene Firma oder den direkten Vorgesetzten: 44 Prozent vertrauen hierzulande ihrem Unternehmen und 47 Prozent ihren Vorgesetzten. Im Umkehrschluss heißt das: Die Mehrheit aller Arbeitnehmer ist gegenüber ihrem Arbeitgeber skeptisch oder sogar misstrauisch eingestellt. „Das kann fatale Folgen haben. Vertrauen ist eine zu wenig genutzte Ressource. Letztlich verschenktes Potenzial“, weiß Martin Beims, geschäftsführender Gesellschafter von aretas, einer servicebetonten Unternehmensberatung mit Sitz in Aschaffenburg. „Vertrauen ist das vielleicht wichtigste Schmiermittel der Wirtschaft. Ohne Vertrauen kann sich kein Unternehmenserfolg einstellen.

Wenn jeder nur vor sich hin arbeitet und keinem vertraut, entsteht keine echte Zusammenarbeit.

Führungskräfte und Mitarbeiter müssen den enormen Wert ‚Vertrauen‘ erkennen und endlich wertschätzen.“ Nur so lässt sich ein gutes Betriebsklima schaffen.

Wenn Mitarbeiter und Führungskräfte sich gegenseitig vertrauen, ist die gemeinsame Zusammenarbeit von einer erhöhten Produktivität geprägt. Untersuchungen zeigen: Wer vertraut, ist motiviert und auch bereit, mehr zu leisten.1 Ein Mangel an Vertrauen bildet dagegen den idealen Nährboden für Angst.

Warum fehlt das Vertrauen?

Als Hauptgrund für das Misstrauen nennen die Befragten der Studie vor allem das Gefühl der Ungerechtigkeit. Über die Hälfte stört die als unfair empfundene Bezahlung, 48 Prozent bemängeln fehlende Chancengleichheit. Von den Befragten, die das Vertrauen in ihren Arbeitgeber verloren haben, arbeiten 30 Prozent nicht mehr, als von ihnen explizit verlangt wird.

Mit Folgen für das Unternehmen: 28 Prozent sagen, die Enttäuschung führe generell dazu, dass sie weniger engagiert und produktiv seien. Für ein Viertel der Beschäftigten wird Qualität zur Nebensache und knapp ein Viertel spricht negativ über das Unternehmen gegenüber Kollegen oder Bewerbern. „Diese Erkenntnisse sollten jeden Arbeitgeber aufrütteln. Fehlt das Vertrauen auf beiden Seiten, halten Mitarbeiter und auch Führungskräfte im schlimmsten Fall Leistungen zurück“, warnt Beims. „Die Beschäftigten ziehen sich zurück – sie machen Dienst nach Vorschrift und hören auf, sich mit Ideen und besonderer Leistungsbereitschaft in das Unternehmen einzubringen.“ Das ist aber gerade im Digitalen Wandel problematisch für Unternehmen. Denn in einer sich wandelnden Arbeitswelt mit globalem Wettbewerb und wachsender Dynamik brauchen Unternehmen leistungsbereite und loyale Belegschaften, die ihre Kreativität und ihre Ideen einbringen.

Vertraust du schon oder kontrollierst du noch?

Vertrauen kann sich nur in der Zusammenarbeit und der damit verbundenen Kommunikation entwickeln. Drei wesentliche Grundlagen fördern den Aufbau von Vertrauen: selbst Vertrauen schenken, eine klare Ausdruckweise und Authentizität.2 „Voraussetzung für den Aufbau ist die Glaubwürdigkeit. Diese kann am ehesten erlangt werden, wenn Denken, Sprechen und Handeln aller Beteiligten übereinstimmen, also kongruent sind“, so Beims.

Es ist die Klarheit im Handeln insbesondere der Führungskraft, die absolut von Nöten ist, damit sich alle beteiligten Akteure sicher orientieren können. Für die Beschäftigten ist es von äußerster Wichtigkeit, dass Führungskräfte Versprechen einhalten und der Job als sicher wahrgenommen wird. Nur so ist eine vertrauensvolle Zusammenarbeit möglich. Außerdem wichtig: gegenseitigen Respekt nicht nur einzufordern, sondern auch jeden Tag zu leben.

Das perfekte Paar: Vertrauen und Verantwortung

Vertrauen ist besonders dann gefordert, wenn Veränderungen im Unternehmen anstehen: Es bildet die Grundlage für die erfolgreiche Durchführung von Veränderungsprozessen, denn Umgestaltungen rufen immer auch Ängste bei den Beteiligten hervor. „Nur wenn das Team den Führungskräften vertraut und diese auf der anderen Seite den Mitarbeitern das notwendige Vertrauen entgegenbringen, können Veränderungsprozesse weitgehend frei von Störungen gestaltet werden“, erklärt Beims.

Als Führungskraft ist es wichtig, gerade in diesen Phasen Orientierung und Sicherheit zu geben. Unerlässlich dafür: ein wertschätzender Umgang mit allen Beteiligten, klar formulierte Erwartungen und ausreichend Freiräume, Neues umzusetzen und einzuüben. Zu Vertrauen gehört auch immer Verantwortung. Damit Mitarbeiter Verantwortung übernehmen, sollten Vorgesetzte – wo immer möglich – mit klar formulierten Zielen und Vereinbarungen statt mit Arbeitsanweisungen führen.

Voraussetzung hierfür: Die an der Veränderung Beteiligten für die neuen Aufgaben und Verantwortungen ausreichend zu befähigen. Vertrauen beinhaltet immer eine zweite Seite der Medaille: Erst der verantwortungsvolle Umgang mit dem entgegengebrachten Vertrauen ermöglicht, die vereinbarten Ziele zuverlässig und wirtschaftlich zu erreichen. Vertrauen und Verantwortung sind also ein untrennbar verbundenes Paar.

Neue Formen der Zusammenarbeit brauchen Vertrauen

Vor dem Hintergrund der rasanten Veränderungen der digitalen Transformation der Unternehmensprozesse spielen neue Arten der Zusammenarbeit eine zentrale Rolle. Starre Strukturen werden ersetzt durch Teams, die ihr Produkt durch den gesamten Lebenszyklus – Ende zu Ende – verantworten. Agile Formen der Projektplanung und flexible Formen der disziplinübergreifenden, horizontalen Zusammenarbeit spielen eine wachsende Rolle. Nur so ist es möglich, den Forderungen nach immer kürzeren Innovationszyklen gerecht zu werden.

Die Konsequenz: Entscheidungen werden nicht mehr an der Spitze einer starren Hierarchie sondern direkt in den Teams getroffen. Dafür müssen die Teammtglieder die Verantwortung für Ihre Entscheidungen und Ergebnisse übernehmen. Gleichzeitig müssen Führungskräfte innerhalb des vereinbarten Werte- und Zielerahmens diese Entscheidungen akzeptieren.

Ohne Vertrauen ist das nicht möglich. Werden Entscheidungen der Mitarbeiter permanent in Frage gestellt und revidiert, wandern sie schnell wieder in der Hierarchie nach oben. Das Ergebnis ist derzeit in vielen Unternehmen zu beobachten: Pseudo-agile Herangehensweisen und scheinbar hierarchieübergreifende Teams, in denen schlussendlich der Abteilungsleiter jede Entscheidung bestätigen und jede Investition freigeben muss. Der Grund: Bürokratische Strukturen und Abläufe haben sich seit Jahren etabliert und lassen sich nur zögerlich aufbrechen.

Muss Vertrauen verdient werden?

„Vertrauen muss man sich verdienen.“ Wer kennt diese Redensart nicht? Vertrauen ist jedoch eine positive Grundhaltung, die zunächst nicht an Vorbedingungen geknüpft sein sollte. „Bei Vertrauen handelt es sich zunächst immer um einen Vorschuss. In der Unternehmensführung heißt das, den Menschen im Unternehmen vom ersten Tag an Vertrauen entgegenzubringen“, erläutert Beims. „Das bedeutet zum Beispiel auch, statt immer neue Belohnungen in Aussicht zu stellen, einfach davon auszugehen, dass die Beschäftigten den bestmöglichen Beitrag zum Unternehmenserfolg leisten wollen.“

Aber Vertrauen kann natürlich verloren gehen, wenn es nicht gerechtfertigt wird. Damit Vertrauen dauerhaft bestehen bleibt, sollte ein gemeinsames Verständnis über zu erreichende Ziele und die notwendigen Schritte auf dem Weg dorthin vorhanden sein. Noch wichtiger ist es, dass alle Beteiligten über längere Zeit ein für das jeweilige Gegenüber einschätzbares Verhalten zeigen. Entscheidungen müssen nachvollziehbar und plausibel sein und in ihrer Grundrichtung mit dem gemeinsam vereinbarten Weg übereinstimmen, um bestehendes Vertrauen weiter zu festigen.

Beschäftigte in einem von Vertrauen und Verantwortung geprägten Umfeld bilden Vertrauen bei Kunden und Kollegen durch Zuverlässigkeit – was sie versprechen, halten sie auch. Außerdem ist ihr Handeln in der von Fairness geprägt: Der Nutzen für das Unternehmen und seine Kunden ist ihnen genauso wichtig wie persönliche Vorteile. Darüber hinaus gehen sie verantwortungsvoll mit den Ressourcen des Unternehmens um und halten sich an vereinbarte Regeln.