MetaApplicationCenter

Competence-Center

IT-Nachrichten

Erste Hilfe nach dem Datenklau

Details

DatenklauWenn Unternehmen Daten verlieren, kommt es oft zu Panikreaktionen. Doch wer die Folgen eines Datenabflusses in den Griff bekommen will, muss planvoll und schnell zugleich handeln.

Datenverluste sind ein Tabuthema. Wer Kunden- oder Geschäftsinformationen verliert, möchte darüber nicht reden, zumindest nicht öffentlich. Wird doch einmal etwas bekannt, will niemand schuld sein. Vorbeugend lässt sich einiges gegen das "Abfließen" von Daten unternehmen; die "Pille danach" gibt es nicht, zumal oft Wochen oder Monate vergehen können, bis etwas bemerkt wird.

Im Ernstfall reagieren Security-Verantwortliche oft kopflos und wissen nicht mit der Situation umzugehen. "Wenn es brennt, löschen Sie ja auch im seltensten Fall selbst, sondern rufen lieber die Feuerwehr", sagt Robert Haist, Penetrationstester beim Tübinger Sicherheitsdienstleister SySS. Deshalb sei es wichtig, sich professionelle Hilfe zu holen oder idealerweise auf ein bereits vorher eingerichtetes internes Krisenteam samt Notfallplan zurückgreifen zu können. "Wir sind de facto nichts anderes als ein mietbares Notfallteam. 90 Prozent unserer Arbeit vor Ort besteht aus Informations-Management - was sollte wie, wann und an wen kommuniziert werden", erläutert der Experte.

Erst im zweiten Schritt gehe es um die konkreten IT-forensischen Analysen des (möglichen) Sicherheitsproblems. Doch wie bekommen Dienstleister wie SySS überhaupt mit, dass und wo etwas passiert ist? "Ohne ein langjähriges Vertrauensverhältnis haben wir keine Chance, etwas zu erfahren", sagt Dirk Reimers, Sicherheitsberater bei Secunet Security Networks. Er verantwortet Penetrationstests und IT-Audits nach einem entdeckten Datenleck. Nur diejenigen Kunden, zu denen die Geschäftsbeziehung lange Jahre gewachsen sei, bemühten sich bei derartigen Vorfällen aktiv um Hilfe - sofern sie denn überhaupt mitbekämen, dass sie ein Problem haben: "Es kommt selten vor, dass ein Vorfall unmittelbar entdeckt wird. Viele Unternehmen hatten noch nie einen Penetrationstest und stoßen deshalb nur zufällig auf ein Sicherheitsleck", schildert Haist. Er macht zudem das fehlende Angebot für die vergleichsweise geringe Zahl von Hilfesuchenden verantwortlich. Die meisten Dienstleister versuchen, es bei den Firmen erst gar nicht so weit kommen zu lassen. Geschieht es dann doch, stehen die Unternehmen im Regen. "Es gibt kaum Anbieter, die sich auf Dienstleistungen nach einem entdeckten Datenleck spezialisiert haben", so Haist. Die wenigen, die es gebe, litten zudem unter akutem Personalmangel: "Wir suchen im Moment wieder fünf Forensik- und Incident-Response-Experten." Ausgebildete Fachkräfte seien gegenwärtig kaum zu bekommen. Damit geselle sich zu der Scheu, nach einem Sicherheitsproblem überhaupt Hilfe zu suchen, auch noch die Unwissenheit über mögliche Anlaufstellen.

Der Meldemarathon nach dem GAU

Diese "Bremseffekte" werden durch die langen Meldewege noch verstärkt. In vielen Fällen ist bereits die dritte oder vierte Hierarchiestufe erreicht, bevor jemand etwas unternimmt. Vermutet ein Mitarbeiter ein Sicherheitsproblem oder stellt konkret fest, dass Daten in die falschen Hände gelangt sein könnten, berichte er an den IT-Leiter oder CIO, dieser dann an den Vorstand. In Großunternehmen kämen häufig auch noch Revision und Aufsichtsrat ins Spiel, bevor ein Dienstleister eingeschaltet werde. Solange keine zusätzlichen Mittel für eine forensische Analyse bewilligt werden müssen, kommt es in kleinen und mittelständischen Firmen laut Haist zwar auch vor, dass sich der CIO direkt an den Dienstleister wendet - aber auch das dauere oft.

Ganz gleich, wie viel Zeit inzwischen vergangen oder wie groß das mögliche Ausmaß eines Datenlecks auch ist: Das Ziel jeder Auditierung ist es, die Lücke zu schließen, mögliche neue Schwachstellen aufzuspüren und im besten Fall eine langfristig angelegte Security-Strategie für die Zukunft auszuarbeiten. Das ist kein leichtes Unterfangen: "Nur in fünf bis zehn Prozent der untersuchten Fälle hängt mit einem Incident nur eine einzige Schwachstelle zusammen - meist wird diese lediglich als Eintrittspunkt ins System genutzt, um weitere Datenbanken oder Systeme anzugreifen", erzählt Haist. Er habe mit seinem Team mitunter zehn Monate in einem Unternehmen verbracht, um alle Systeme zu untersuchen, zu patchen und zukunftstauglich zu machen. Gerade in kleinen und mittleren Unternehmen (KMU) seien die Infrastrukturen oft auf einem veralteten, unsicheren Soft- und Hardwarestand. Aber selbst Großunternehmen sind nicht gefeit: "Die Probleme ziehen sich durch alle Unternehmensgrößen und auch quer durch alle Branchen", berichtet der SySS-Experte.

Der Innentäter

Bleibt die Frage: Wer greift die IT-Systeme an und möglicherweise sensible und vertrauliche Daten ab? "Nicht immer ist ein unbefugter Zugriff von außen verantwortlich", erläutert Reimers. "Ein häufiges Szenario sei der Datenabfluss von innen - sowohl vorsätzlich als auch unbeabsichtigt. "Das bekommen Unternehmen nur selten mit, da der entsprechende Mitarbeiter die Berechtigung besaß, bestimmte Daten auszulesen." Hier gehe es dann zumeist darum, später nachweisen zu können, dass auf bestimmte Daten zugegriffen wurde, sollten diese beispielsweise beim Wettbewerber landen. Ebendieser Nachweis gelingt in der Praxis aber oft nicht: "Was bleibt, ist die Hoffnung, dass der Mitarbeiter es nicht noch einmal macht." Nur in größeren Unternehmen mit mehr als 500 Angestellten sei eine Log-Management- und Monitoring-Infrastruktur so weit gediehen, dass sich nachvollziehen lasse, wer wann auf welche Daten zugegriffen habe. Wo es daran fehle, liege das meist an dem enormen Verwaltungsaufwand, der oft weder personell noch finanziell zu stemmen sei. Darüber hinaus müssten bei derartigen IT-Systemen die Mitarbeiterrechte (Stichwort Leistungskontrolle) gewahrt werden, was entsprechende Betriebsvereinbarungen voraussetze, so Reimers. "Ab und zu haben unsere Kunden noch einen alten Linux-Server in der Ecke stehen, auf dem sich Logfiles der vergangenen fünf Jahre befinden", erzählt Haist. Die Regel sei das jedoch nicht. Was die Nachvollziehbarkeit von Angriffen angeht, stellt er klar: "Wir sind technische Berater, keine Privatdetektive und auch nicht die Polizei. Das Weitgehendste, was wir tun, ist, einen Bericht zu liefern, in dem steht: Der Username YZ auf Rechner XY hat Folgendes getan." Niemals werde in der forensischen Analyse direkt auf Menschen geschlossen, zumal nie ausgeschlossen werden könne, dass ein bestimmter Client im Zuge eines vorsätzlichen Datenzugriffs beispielsweise durch den Command-and-Control-Server eines Botnets fremdgesteuert worden sei.

Der Außentäter

Attacken von außen sind leichter zu erkennen als solche von innen: Ein erhöhtes Datenaufkommen von und zu einer externen IP-Adresse beispielsweise lasse sich durchaus als Anzeichen eines unerlaubten Zugriffs werten, erklärt Reimers. Die genaue Herkunft bleibe hingegen zumeist völlig im Dunkeln - Tunneling, Botnetz-Aktivitäten und mehrfache Proxy-Umleitungen seien an der Tagesordnung. Die meisten Angreifer-Clients befänden sich laut IP-Adresse in Asien und Russland, so Haist - aber auch das müsse eben wegen der Verfügbarkeit zahlreicher technischer Hilfsmittel nicht bedeuten, dass sich auch die Angreifer selbst dort aufhalten: "Wir stellen fest, dass die digitale Industriespionage zunimmt." Die über öffentliche Netze verfügbaren Datenmengen sorgten für eine Zunahme der Spionageinteressen und damit auch für mehr Attacken von außen. Insgesamt sei die Zahl der von SySS untersuchten Sicherheitsvorfälle aber seit Jahren konstant. Quelle

Simon Hülsbömer

IT ohne Fixkosten-Fesseln

Details

IT-Fixkosten_100Grundsätzlich lassen sich die IT-Kosten in beinahe allen Funktionsbereichen flexibilisieren. Doch gibt es einige Hebel, die besonders erfolgversprechend erscheinen. Hier sind neun davon.

Viele Unternehmen klagen über zu starre Kostenstrukturen in der IT. In einer Studie der Ardour Consulting GmbH geben drei Viertel der befragten Unternehmen an, dass sie hohen bis sehr hohen Handlungsdruck in Sachen Kostenflexibilisierung fühlen. Allerdings fehlt den Betreiben meist am notwendigen methodischen Rüstzeug. Vielfach verfügen sie nicht einmal über etablierte Verfahrensweisen, um die Höhe der IT-Gesamtkosten zu kontrollieren. Noch seltener finden sich konkrete Ansätze zur Variabilisierung der IT-Kosten oder zur gezielten Steuerung der Kostentrends. Modifikationen der Kostenstruktur, beispielsweise durch Verringerung der Betriebskosten zugunsten von Veränderungsmaßnahmen, gehören heute noch zu den Ausnahmen.

Auch die Möglichkeiten zur Flexibilisierung der IT-Aufwendungen werden bislang erst zurückhaltend eingesetzt. Die größten Potenziale sehen die Unternehmen derzeit im Bereich der IT-Services - bis hin zur Auslagerung von IT-Funktionen. Bezogen auf die IT-Funktionen selbst ist es vor allem die Wartung von Infrastruktur und Anwendungen, wo Flexibilitätsmöglichkeiten auf der Kostenebene vermutet werden. Weitgehende Einigkeit besteht hingegen darüber, dass sich Personalaufwendungen kaum flexibilisieren lassen. Auch bei den Hard- und Softwarekosten werden enge Grenzen gesetzt.

Grundsätzlich lassen sich die Kosten in praktisch allen IT-Funktionsbereichen mehr oder weniger flexibel gestalten. Vielfach ist aber offenbar nicht ausreichend bekannt, mit welchen Instrumenten sich bisherige Fixkosten künftig variabler gestalten lassen.

Zur Flexibilisierung der IT-Kosten sollte das IT-Controlling eng mit den IT-Funktionsbereichen zusammenarbeiten. Die Aufgabe besteht darin, den zementierten Ist-Zustand nach Flexibilisierungsmöglichkeiten zu durchforsten und so die starren IT-Kostenstrukturen aufzubrechen. Doch wie lässt sich das in der Paxis bewerkstelligen, ohne gleich Personal abzubauen? Hierfür gilt es, sich an den grundsätzlichen Hebeln der IT-Kostenflexibilisierung zu orientieren. Die folgenden neun Punkte stellen einen Ausschnitt aus der Vielzahl der Möglichkeiten dar. Es sind praxiserprobte Beispiele aus der reichhaltigen "Werkzeugkiste".

1. Vertrags-Management

Eine Variabilisierung der Verträge mit Lieferanten erzeugt möglicherweise höhere Einkaufspreise. Die Anbieter werden darauf drängen, einen finanziellen Ausgleich für ide Unsicherheiten bei der Abnahme von Produkten und Leistungen zu erhalten. Doch das ist im Finanzbereich längst gängige Praxis und lässt sich auf den IT-Bereich übertragen. Dieses Modell kann in Krisenzeiten erhebliche Vorteile bringen, weil der Situation angepasste Lieferungen die Kosten signifikant senken.

Im Vertrags-Management sind einige "goldene Regeln" zu berücksichtigen. Für das Outsourcing bedeutet etwa die, flexible Vertragsbestandteile in neue Outsourcing- oder Leasing-Verträge hinein zu verhandeln. Konkret bedeutet das beispielsweise, unterschiedliche Modi des Betriebs zu definieren, für bestimmte Situationen ein geringeres Leistungsvolumen festzulegen und dann nur die unbedingt notwendigen Service-Levels erfüllen zu lassen. Dieser Ansatz ermöglicht es im Krisenfall, die korrespondierenden Vertragsbedingungen heranzuziehen, ohne mit den Lieferanten in neue Verhandlungen eintreten zu müssen.

Für bestehende Outsourcing-Verträge kann sich eine vorzeitige Neu- oder Nachverhandlung ebenfalls lohnen. Geschieht dies erst dann, wenn die Krise bereits akut ist, fehlt oft die Zeit. Dann stehen die IT-Organisationen mit dem Rücken zur Wand und haben eine denkbar schlechte Verhandlungsposition gegenüber den Dienstleistern.

Auf keinen Fall sollten Verpflichtungen auf Mindestabnahmemengen eingegangen werden. Stattdessen empfiehlt es sich, eine verbrauchsabhängige Bezahlung zu vereinbaren. Ebenso sollten kurzfristige Ressourcenanfragen beim Service-Provider sowie flexible Veränderungen von Service-Levels möglich sein, um nur einige Aspekte zu nennen. Eine Vertragsdatenbank mit automatisiertem Hinweis auf Kündigungszeitpunkte oder erreichte Verbrauchs-Limits erleichtert das Vertrags-Management.

2. Softwarekapitalisierung

Zu empfehlen ist eine aktive Nutzung der Wahlmöglichkeiten für die Aktivierungspflicht von Individualsoftware. Die vom Corporate Controlling definierten Aktivierungsregeln sollten im Lichte einer Kostenvariabilisierung mehr Spielraum bei den Wahlmöglichkeiten bieten und weniger Fixkosten durch Abschreibungen vorsehen.

3. Abschreibungsperioden

Eng verknüpft mit der Softwarekapitalisierung ist die Wahl der Abschreibungsperioden. Die von Unternehmen teilweise selbst gesetzten Buchführungsregeln sind zu überarbeiten, um die Kosten als Aufwand zu erfassen, anstatt sie zu aktivieren. Auch eine Unterscheidung der Projektkosten - beispielsweise für Lizenzen, Implementierung, Training und Systemintegration - ist hilfreich. Für eingekaufte Hardware ist ein Sale-and-Lease-back-Modell denkbar.

4. Kostenverrechnungsmodelle

Wenn IT-Kosten für die von internen Kunden in Anspruch genommenem IT-Services nicht auch an diese Abnehmen verrechnet werden, dann erscheinen diese IT-Services als unentgeltlich. Außerdem wird dadurch der Verbrauch weder transparent, noch ruft er Anreize zur Verbrauchssenkung hervor. Als Folge verharrt nicht nur das Volumen der beanspruchten IT-Services auf hohem Niveau, gleichzeitig entsteht auch noch der Anschein, die verursachten IT-Kosten hätten fixen Charakter. Abhilfe kann ein bepreister Servicekatalog mit verbrauchsorientierter Abrechnung, indem er auf das Verhalten der internen Kunden einwirkt.

Die IT-Services sollten also mglichst verbrauchsabhängig abgerechnet werden. Bei Outsourcing-Verträgen akzeptieren die Service-Provider dies jedoch kaum, weil im Fall eines Nullverbrauchs die Fixkosten vollständig ungedeckt blieben. Solange die nutzungsabhängige Abrechnung im Leistungsportfolio der Provider nicht verankert ist, muss mit Zwischenlösungen gearbeitet werden. Beispielsweise lässt sich ein Tier- Pricing-Modell anführen: Auf der ersten Ebene werden die Fixkosten abgedeckt und anschließend auf den weiteren Schichten nur die inkrementellen Kosten vergütet. Das unterbindet eine Proportionalisierung der Fixkosten, wie sie bei der einfachen Berechnung eines Stückpreises der Fall wäre. Bei höheren Volumina steuert es einem zu hohen Fixkostenanteil entgegen. Allerdings ist eine Ausbalancierung der Fixkosten und der Größe der Tiers notwendig.

5. Lizenzmodelle und -Management

Regelmäßig ist zu prüfen, ob möglicherweise eine Überlizenzierung vorliegt. Ungenutzte Lizenzen sind konsequent zu kündigen. Generell favorisiert werden sollten nutzungsabhängige Lizenzmodelle, bei denen die Berechnung der Lizenzgebühren beispielsweise von der Anzahl der Transaktionen oder der Nutzungszeit abhängt.

6. Anything-as-a-Service

Der Bezug von IT-Services als "aaS" sollte "on demand" und verbrauchsbasiert stattfinden. Das bedeutet (idealerweise) kein Investment auf Kundenseite und keine Fixkosten. Beispielsweise sind Infrastructure-as-a-Service (IaaS) sowie virtuelle Server, CPU oder Speicherplatz möglich. Bei Platform-as-a-Service (PaaS) können Entwicklungs- oder Runtime-Umgebungen genutzt werden. Im Bereich Software-as-a-Service lässt sich bereits auf Applikationen wie Office, Mail, CRM oder Collaboration-Tools zugreifen.

7. Outsourcing und Offshoring

Im Outsourcing-Fall wird zum einen eine Risikoteilung mit den Service-Providern erreicht. Gleichzeitig reduzieren sich die Fixkosten. (Im Umkehrschluss entsteht ein höherer variabler Kostenanteil.) Das geschieht, indem die Wertschöpfungstiefe abnimmt - und damit auch die fixen Personalkosten. Werden die IT-Services beim Service-Provider nicht in einer streng dedizierten, sondern in einer geteilten ("shared") Umgebung erbracht, so entstehen Economies of Scale, und Verbrauchsspitzen werden geglättet. Dank der gemeinsamen Nutzung mit anderen Unternehmen verringert sich auch der Anteil an den Fixkosten.

8. Leasing und Miete

In Abhängigkeit der verfolgten Ziele sind die wirtschaftlichen Bedingungen eines Kaufs mit denen der Miete und des Leasings zu vergleichen. Generell bietet Leasing mehr Potenziale für eine Variabilisierung der IT-Kosten.

9. Technologieoptionen

Um große Blöcke sprungfixer Kosten zu vermeiden, sind neue Technologien zu bevorzugen, die sich stufenlos oder in kleinen Schritten skalieren lassen. Dazu zählen beispielsweise Virtualisierungstechniken. Die Kosten sollten sich im Zeitverlauf ohnehin abflachen beziehungsweise sogar sinken. Durch Effizienzgewinne und technologischer Weiterentwicklung ist das sogar bei gesteigertem Verbrauch möglich. Quelle

Dr. Jakob Rehäuser 


So gelingt die Einführung von PM-Software

Details

Projektmanagement_100Die Einführung einer Projekt-Management-Software ist ebenfalls ein Projekt - und zwar eines, das durchaus Risiken der Verschlechterung birgt.

Für Unternehmen mit einer Vielzahl parallel laufender Projekte ist eine professionelle PM-Software unabdingbar. Die weitreichenden Konsequenzen, die mit deren Auswahl, Vorbereitung und Einführung einhergehen, werden von vielen Unternehmen unterschätzt. Von der Auswahl der richtigen Produkte bis zum Übergang in den Regelbetrieb - die Unternehmen sind gut beraten, die Implementierung als eigenständiges und langfristig angelegtes Projekt zu verstehen.

Dieses Projekt beginnt eigentlich schon vor der Auswahl der Software, nämlich mit der engen Zusammenarbeit zwischen Geschäftsführung, IT-Spezialisten und Projekt-Managern. Sie müssen sich zunächst intensiv mit der Frage auseinandersetzen, warum und wofür das Unternehmen eigentlich eine PM-Software braucht. Nur so lassen sich die Anforderungen, die mit der Software abgedeckt werden sollen, punktgenau definieren und die richtige Wahl treffen.

Eine Vielzahl von PM-Tools

Es gibt quasi eine Unzahl von PM-Softwareprodukten; sie unterstützen die verschiedensten Reifegrade von Projekt-Management. Dieser Begriff bezeichnet die unterschiedlichen Levels, auf denen sich Unternehmen in Sachen Projekt-Management bewegen - je nachdem, welche Antworten es etwa auf die folgenden Fragen gibt:

  • Wie sieht die Prozesslandschaft in Bezug auf das Projekt-Management aus?

  • Gibt es Vorgehensmodelle, nach denen ein Projekt gehandhabt wird?

  • Werden Erfahrungen sinnvoll ausgewertet und angewandt?

Entsprechend unterschiedlich fällt auch der finanzielle Rahmen aus, den das Unternehmen für eine PM-Software kalkulieren muss.

Der wohl größte Fehler, den ein Unternehmen machen kann, besteht darin, eine x-beliebige Software anschaffen, ohne sich zuvor mit den Anforderungen und der genauen Problemstellung zu beschäftigen. Steigern kann es die Schwierigkeiten noch, wenn es versucht, das Tool unvorbereitet anzuwenden. Selbst die Erwartung, dass schon nach dem ersten Meeting mit einem PM-Software-Experten eine Liste mit zwei bis drei konkreten Vorschlägen im Raum steht, ist unrealistisch. Die Auswahl der richtigen Software dauert, richtig aufgesetzt, im Regelfall mindestens sechs bis neun Monate. Dabei gilt es auch, die späteren Nutzer frühzeitig einzubinden.

Mit Hilfe der richtigen Software können sich Projekt-Manager auf das Wichtigste konzentrieren: Die Projektziele klar kommunizieren und das Team erfolgreich führen. Quelle

Dr. Mey Mark Meyer

10 Gartner-Trends bis 2017

Details
Gartner-Direktor_50Mobile überflügelt die Desktop-Welt, die Social Media Blase platzt – und CIOs sollten sich auf Konkurrenz im eigenen Lager einstellen.

Ganze 70 Zukunftstrends der IT haben die Analysten des amerikanischen Beratungshauses Gartner zum Jahresende zusammengetragen. Dies sind die wichtigsten:

Bis 2014: Die Social Media Blase platzt. Erst ist der Consumer-Markt dran, kurz darauf folgen Enterprise-Anwendungen für Social Networtking - weil zu viele Anbieter mit Diensten, deren Funktionen sich überlappen, um eine begrenzte Zielgruppe konkurrieren. Wenn Software-Riesen wie Microsoft, IBM, Oracle, Google und VMware sich in diesem Markt festsetzen, bedeutet es das Aus für viele kleine und unabhängige Social-Networking-Anbieter.

Bis 2015: Entwicklung für Mobile überholt Desktop. 2011 entstehen noch genausoviele Apps für Smartphones und Tablets wie für PCs - in vier Jahren machen PC-Anwendungen nur noch ein Viertel aus. Grund sind zum einen die starke Zunahme von Smartphones und Tablets im Privat- und Firmengebrauch. Zum anderen erweitern Funktionen wie Location Based Services der Nutzwert der mobilen Geräte enorm.

Bis 2015: IT-Abteilung gibt Aufgaben ab. Künftig verlangen immer mehr Business Manager direkten Zugriff auf Teile des IT Budgets, um technische Lösungen in ihrem Bereich umzusetzen oder einzukaufen. Die Zeit der Digital Natives bricht an, die seltener eine IT Abteilung brauchen, um mit der Technologie zurechtzukommen. So werden viele IT Projekten zu Business-Projekten, und der CIO muss Teile seines Budgets an andere Abteilungen abtreten.

1. Crowd-Sourcing
In der Arbeitswelt von morgen arbeiten Menschen in virtuellen Teams zusammen, oft ohne sich zu kennen. Diese Teams werden kurzfristig zusammengestellt und sind über moderne Kommunikationsmittel verbunden. Anders als in vielen heutigen Projekten definiert sich diese Crowd vor allem funktional und weniger durch Hierarchien. Pervasive IT und Cloud Computing bieten dafür eine technische Grundlage. Die Mitarbeiter in solchen virtuellen Teams gehen oft kein festes Beschäftigungsverhältnis ein, sind flexibel und daran gewöhnt, mit stark schwankenden Einkommensverhältnissen zurechtzukommen. Das kann zwar kurzfristig zu einer Steigerung der Produktivität führen, langfristig können Unternehmen aber auch Schwierigkeiten bei der Bindung von Spezialisten bekommen.
Foto: (c) Nmedia - Fotolia.com

Bis 2015: Preise in der Cloud mit Energie-Aufschlag. Schon jetzt weisen einige Cloud-Dienstleister Energiekosten in der Rechnung zusätzlich aus. Das nimmt rapide zu, sagt Gartner. Business- und IT-Entscheider müssen Energiepreise als eine variable Größe in Cloud-Verträgen betrachten.

Bis 2015: Günstige Cloud-Dienste greifen die Großen an. Industrialisierte Low-Cost IT-Services (ILCS) werden in den nächsten drei bis fünf Jahren Wert und Preisgestaltung von IT-Diensten revolutionieren, sagt Gartner. Ähnlich wie die Billigflieger bei den Fluggesellschaften werden auch die günstigeren industrialisierten Cloud-Dienste den etablierten Anbietern bis zu 15 Prozent des Umsatzes streitig machen. Quelle

Arbeitsrecht: Facebook-Postings als Kündigungsgrund

Details

FB_down_90

Aufgrund ihrer schriftlichen Natur und ihrer Archivierung im Web sind Äußerungen über Firma und Kollegen in Facebook ein heikles Thema. Rechtsanwalt Nils Helmke, externer Datenschutzgeauftragter des Arbeitgeberverbands AGAD, sieht sie aber auch aus anderen Gründen mit Skepsis.

Der in Nordrhein-Westfalen aktive Arbeitgeberverband Großhandel, Außenhandel, Dienstleistungen e.V. (AGAD) hat davor gewarnt, dass bei zunehmender Nutzung sozialer Netzwerke auch die arbeitsrechtlichen Probleme mehr werden. Als Arbeitgeberverband sorgt er sich vor allem um beleidigende, diffamierende oder den Arbeitgeber schädigende Facebook-Einträge. Um seinen Ausführungen Gewicht zu verleihen, schickt der Verband Nils Helmke in den Ring: Er ist Rechtsanwalt und externer Datenschutzbeauftragter der AGAD Service GmbH.

Laut Helmke könne mangels höchstrichterlicher Entscheidungen in Streitfällen auf allgemeine Prinzipien des Arbeitsrechts zurückgegriffen werden: “Unternehmensschädliche Äußerungen müssen keinesfalls durch den Arbeitgeber hingenommen werden und können sogar eine außerordentliche Kündigung begründen”. Allerdings können nicht alle Äußerungen bei Facebook, die der Arbeitgeber als unpassend oder störend empfindet, per se von ihm verboten werden. Schließlich werden sie häufig während des privaten Gebrauchs des Sozialen Netzwerks eingestellt und sind daher ein sogenanntes “außerdienstliches Verhalten”.

Es bleibt aber ein Dilemma für den Arbeitgeber, dass häufig negative Eintragungen über das Unternehmen im Netz bleiben und auch Jahre nach dem Posting noch über eine Google-Suche gefunden werden können. Darüber hinaus wird die Beleidigung, Rufschädigung et cetera noch von einem sehr großen Empfängerkreis wahrgenommen, so dass kein Vergleich mit einem Lästern über den Chef im Freundes- oder Bekanntenkreis besteht, zumal das Posting schriftlich erfolgt und häufig von völlig unbeteiligten Nutzern im Web 2.0 als erste Unternehmensinfo wahrgenommen wird”, so Helmke weiter. Der AGAD und sein Datenschutzbeauftragter unterscheiden generell zwischen drei Arten von belastenden Postings:

  1. Verrat von Betriebs- und Geschäftsgeheimnissen
  2. unternehmensschädliche Äußerungen
  3. Meldungen von Gesetzesverstößen (“Whistleblowing”)

Verrat von Geschäfts- und Betriebsgeheimnissen

“Lässt sich der Arbeitnehmer in sozialen Netzwerken über betriebliche Interna aus, wird er regelmäßig seinen Arbeitsvertrag verletzten. Ohne explizite Regelung lässt sich dies als Nebenpflichtverletzung des Arbeitsvertrages auslegen”, so der AGAD-Datenschutzbeauftragte. Jeder Arbeitnehmer sei im Rahmen seiner arbeitsvertraglichen Rücksichtnahmepflicht verpflichtet, Betriebs- und Geschäftsgeheimnisse zu wahren. Hierzu zählen nicht nur Kundenstämme und geheime Marketingstrategien, sondern auch Absprachen aus dem Personalbereich, zum Beispiel Gehälter.

Diese Punkte sind vielen Arbeitnehmern wahrscheinlich ohenhin bewusst. Außerdem sind sie auch eher selten Anlass für Diskussionen auf Facebook. Anders verhält es sich mit dem, was Anwälte als “persönliche Umstände” bezeichnen. Darunter fallen Verhaltensweisen von Kollegen und Vorgesetzten. Nach Ansicht von Rechtsanwalt Helmke können also auch Lästereien über Kollegen oder wie jüngst in Frankreich, die Veröffentlichung des Gehalts eines Vorgesetzten, je nach Schwere des Verstoßes, eine ordentliche oder außerordentliche Kündigung rechtfertigen.

Unternehmensschädliche Äußerungen

Arbeitnehmer haben zudem eine aus Paragraf 241 Absatz 2 des Bürgerlichen Gesetzbuches ableitbare Loyalitätspflicht. Der Arbeitnehmer darf demnach den Ruf seines Arbeitgebers in der Öffentlichkeit weder herabsetzen noch ihn bloßstellen. Auf ihre grundrechtlich geschützte Meinungsfreiheit (Artikel 5, Absatz 1 des Grundgesetzes) können sich Arbeitnehmer zwar berufen, aber Schmähkritik und Formalbeleidigungen sind davon ausgeschlossen.

Außerdem könne der Arbeitnehmer sein Grundrecht auf Meinungsfreiheit im Bezug auf seinen Arbeitgeber nicht schrankenlos ausüben ohne in Konflikt mit Artikel 12 des Grundgesetzes zu geraten, der die wirtschaftliche Betätigungsfreiheit des Arbeitgebers schützt. Beleidigt ein Arbeitnehmer seinen Arbeitgeber, einen Kollegen oder Kunden grob in einem sozialen Netzwerk, so begründet dies für Helmke zweifelsfrei eine fristlose Kündigung.

Whistleblowing

Die öffentliche Meldung von gesetzlichen Verfehlungen des Arbeitgebers wird vom Bundesarbeitsgricht häufig als verhaltensbedingter oder gar wichtiger Kündigungsgrund angesehen. Denn auch hier trifft den Arbeitnehmer die Loyalitätspflicht, die von ihm verlangt, in zumutbarer Weise auf die betrieblichen Interessen des Arbeitgebers Rücksicht zu nehmen. Die Grenzen der Zumutbarkeit sind dann überschritten, wenn der Arbeitnehmer sich durch eine Nichtanzeige selbst einer strafrechtlichen Verfolgung ausgesetzt sähe, oder wenn überragende Allgemeingüter wie Leib und Leben in Gefahr geraten – etwa bei Lebensmittel- oder Giftmüllskandalen.

Aber selbst da warnt Helmke vor übereiltem Aktionsimus: “Der Arbeitnehmer ist bei einem Posting in einem sozialen Netzwerk immer im Zugzwang, zu begründen, warum er nicht zuerst eine interne Klärung herbeigeführt hat, zumal ein soziales Netzwerk wie Facebook regelmäßig der falsche Ort sein dürfte, gesetzliche Verfehlungen seines Arbeitgebers publik zu machen”, so Rechtsanwalt Helmke.

Der Europarat hat sich dazu im Dezember anderslautend geäußert: Seiner Ansicht nach sind Whistleblower-Sites ein wichtiger Baustein für mehr Meinungsfreiheit. Wie diese Diskrepanz zwischen der Erklärung des Ministerkommitees und den nationalen Gesetzen aufgehoben wird, muss sich in Zukunft zeigen. Quelle

Peter Marwan

  1. Der Trend geht bald zu "Bring Your Own IT"
  2. Nachhaltiges Prozess-Management zahlt sich aus
  3. Die Zeit der IT-Helden ist abgelaufen
  4. Projekt-Management aus der Cloud
Aktuelle Seite: Startseite MetadatenManagement News IT-Nachrichten
Copyright © 2024 MetaApplicationCenter. Alle Rechte vorbehalten. Designed by JoomlArt.com. Joomla! ist freie, unter der GNU/GPL-Lizenz veröffentlichte Software.