CIO-Erfahrungsaustausch: Cyberattacke im Geschäftsbericht, Cloud und DSGVO, Innovationen einfach mal machen

Dirk Ockel machte in seinem Security-Update auf einen Angriff auf den schottischen Ölindustrie-Zulieferer aufmerksam, der außergewöhnliche Konsequenzen hatte. Die Weir Group berichtete nämlich in ihrem offiziellen Quartalsbericht, dass sie Mitte September Opfer einer Ransomware-Attacke wurde. Das Unternehmen bezifferte die Wiederherstellungskosten auf rund 68 Millionen Dollar und die Produktionsausfallkosten auf 34 Millionen Dollar. Außerdem machte der VOICE-Security-Experte auf den letzten Patch Day von Microsoft aufmerksam. Die Zahl der Patches war mit 71 durchschnittlich, aber die Zahl der Zero-Day-Exploits war außergewöhnlich hoch, deshalb empfiehlt Ockel dringend, diese Patches zeitnah einzuspielen.

Immer noch keine Standardlösung für Datenübertragung in Drittstaaten

Julia Kaufmann von Osborne Clarke gab einen Überblick über die DSGVO-Problematik in Zusammenhang mit der Cloud-Nutzung. Es gibt nicht nach wie vor keine einfachen Lösungen bei der Datenübertragung in außereuropäische Länder. Unternehmen müssen individuelle Maßnahmen ergreifen. Verschlüsselung und Pseudoanonymisierung können ein gangbarer Weg sein, sind aber kein Allheilmittel, weil die Verschlüsselung diverse Bedingungen erfüllen muss, die hohe Hürden darstellen. Die wichtigste Bedingung: Die Keys müssen allein in der Hand des Kunden bleiben. Die Cloud-Provider im Drittland dürfen keinen Zugriff haben. Noch haben deutsche Datenschutzbehörden keine Strafen gegen Unternehmen verhängt. Aber Frau Kaufmann schätzt, dass sich das innerhalb der nächsten 6 Monate ändern wird. Zurzeit wird die Hamburger Senatskanzlei geprüft, weil sie Zoom genutzt hat, wohlwissend, dass dabei Daten in die USA übertragen wird. Von den Teilnehmern wurde angemerkt, dass eigentlich die Cloud-Anbieter hier in der Pflicht stehen. Sie prüfen nämlich eigentlich die Bedingungen in den Ländern, aber sie stellen diese Prüfdaten ihren Kunden nicht immer zur Verfügung.

Auch “spontane” Innovationen brauchen Vorarbeit

Carsten Priebs, CIO von Randstad Deutschland, sprach in seinem Impuls über eine etwas andere Art der Innovation: „Einfach mal machen“. Am Beispiel zweier in seinem Team entwickelten Apps verdeutlichte er, wie scheinbar „spontane“ Innovation gelingen kann. Spontan bedeutet hier, dass es von der Idee bis zum Appstore zwei Monate gedauert hat. Bei der einen App handelt es sich um die „Personal Sales Buddy-App“, die den HR-Spezialisten bei Randstad ihre eher ungeliebten Vertriebsaktivitäten erleichtern soll. Die zweite App ist die Impf-Finder-App, die der Zeitarbeitsspezialist als pro bono Projekt entwickelt hat. Sie zeigt verfügbare Impftermine an und matcht Ärzte und Impfwillige. Allerdings braucht auch dieses „einfach machen“ gewisse Voraussetzungen, um zu gelingen. Die richtigen Tools und Methoden müssen bereits im Unternehmen implementiert und beherrscht werden. Ohne agiles Entwickeln, DevOps, Design Thinking sowie entsprechende Rapid Development-Tools können solche Projekte nicht gelingen. Das wichtigste sei aber, dass ein „Why-Team“ sich solcher Projekte annehmen. Ein Team also, dass sich für den Grund begeistern kann, aus dem das Projekt angestoßen wird und so intrinsisch motiviert ist, sonst wäre die zusätzliche Arbeitslast nicht zu bewältigen. Neben dem Team sei auch ein „Vertrauensvorschuss“ der Geschäftsleitung enorm wichtig. Wenn solche Aktionen, die zunächst einmal ohne Businessplan in Trial-and-error-Manier gestartet werden, funktioniert das nur, wenn den Teams vertraut wird und sie Anerkennung bekommen für die Extra-Meile, die sie zu gehen bereits sind.

Lesen Sie mehr zum Thema

VOICE CIO-Update: Distanzen überwinden

CIO-Erfahrungsaustausch: Aufsichtsräte haben zu wenig Digitalkompetenz

Die Eckpfeiler einer guten Technikstrategie