WEBVTT 00:00:00.000 --> 00:00:11.228 Guten Tag allerseits, die CCIG freut sich, Sie zu diesem KMU-Frühstück mit unseren Partnern, OCEI, dem Staat, mit dem wir seit mehr als 00:00:11.228 --> 00:00:15.866 zwei Jahrzehnten zusammenarbeiten, begrüßen zu dürfen. 00:00:15.540 --> 00:00:23.840 Es ist also eine Formel, die funktioniert, es ist eine Formel, die funktioniert, und der Erfolg und die Anzahl der Unternehmer heute Morgen macht wirklich Freude. 00:00:24.420 --> 00:00:33.593 Die CCIG, wirklich in drei Linien, drei strategische Säulen. Die erste Säule ist ein Unternehmerclub, ein Marktplatz. Wir organisieren mehr als 120 00:00:33.593 --> 00:00:42.950 Veranstaltungen, Konferenzen, Schulungen, pro Jahr. Die zweite Säule ist ein politisches Lobbyorgan. Wir tragen die Stimme der Wirtschaft gegenüber der 00:00:42.950 --> 00:00:52.246 Politik und dem politischen Feld. Und wir führen Kampagnen durch, allein oder zusammen mit den Verbänden der Wirtschaft, die unsere Verbündeten sind. 00:00:52.060 --> 00:01:00.915 Und dann die dritte Säule, die Säule internationaler Handel. Wir unterstützen die Unternehmen beim Export, und im Moment haben sie das tatsächlich nötig. Wir 00:01:00.451 --> 00:01:08.636 organisieren auch eine ganze Reihe von Seminaren. Wir werden einen Exportclub gründen. Und dann gibt es eine Wirtschaftsdelegation, die wir in Dubai und Kairo 00:01:09.100 --> 00:01:15.520 Und wenn Sie sich für alles interessieren, was wir anbieten und tun, sind Sie herzlich eingeladen, Ihre Fragen zu stellen oder auf unsere Website zu gehen. 00:01:15.520 --> 00:01:22.260 Ich übergebe das Wort an Kustrim, um Ihnen ein wenig über den Ablauf des Vormittags zu erzählen. Nochmals vielen Dank. 00:01:22.260 --> 00:01:24.260 Vielen Dank, Elsa. 00:01:24.260 --> 00:01:34.680 Dann schließe ich mich natürlich der Kammer und Elsa an, um Sie zu diesem Frühstück für KMU und Start-ups willkommen zu heißen. 00:01:36.420 --> 00:01:40.960 Es gab nicht viele Zweifel daran, dass dieses Thema heute ein großer Erfolg werden würde. 00:01:40.960 --> 00:01:44.080 Wir freuen uns also, dass der Saal offensichtlich gut gefüllt ist. 00:01:44.080 --> 00:01:52.040 Natürlich ist das heutige Thema für Sie, die Unternehmen, KMU und Start-ups, eine große und wachsende Herausforderung. 00:01:52.040 --> 00:01:58.120 Und dann besteht das Ziel des Vormittags wirklich darin, Ihnen eine Reihe konkreter Werkzeuge an die Hand zu geben 00:01:58.120 --> 00:02:02.420 die Sie in Ihren Unternehmen relativ schnell umsetzen könnten. 00:02:02.420 --> 00:02:08.316 Es geht uns also nicht nur darum, Sie bei der Datenverwaltung zu begleiten, sondern wirklich zu versuchen, Ihnen die Werkzeuge an die 00:02:08.272 --> 00:02:10.936 Hand zu geben, die Sie brauchen, um die Daten zu beherrschen. 00:02:10.980 --> 00:02:13.160 Was bedeutet es, eine Datenherrschaft zu haben? 00:02:13.160 --> 00:02:18.140 Es bedeutet, eine effiziente, sichere und den geltenden Standards entsprechende Verwaltung zu haben. 00:02:18.140 --> 00:02:21.580 Dann wissen wir alle, dass die geltenden Normen äußerst komplex sind. 00:02:21.580 --> 00:02:29.680 Wir haben also heute das Glück, eine Reihe von Experten anwesend zu haben, die Sie den ganzen Vormittag begleiten werden, 00:02:29.680 --> 00:02:34.120 sei es im Präsentations-, aber auch im Frage-Antwort-Teil, 00:02:34.120 --> 00:02:38.380 um Ihnen das Rüstzeug für die Beantwortung einer Reihe von Fragen zu geben. 00:02:38.380 --> 00:02:41.080 Was muss ich also jeden Tag konkret tun? 00:02:41.080 --> 00:02:45.380 Welche technologischen Lösungen gibt es für mich? 00:02:45.380 --> 00:02:50.640 Und schließlich: Wie kann ich auch einen wirtschaftlichen Hebel ansetzen? 00:02:50.640 --> 00:02:55.720 Weil die Daten nicht nur dazu da sind, Informationen über Ihre Situation zu erhalten 00:02:55.720 --> 00:02:58.900 oder die Situationen Ihrer Kunden, sondern ist auch ein wirtschaftlicher Hebel, 00:02:58.900 --> 00:03:09.540 ein Vorteil, den Sie, wenn Sie ihn perfekt zu nutzen wissen, offensichtlich für Ihr Unternehmen Leistung schaffen können, sowohl organisatorisch als auch marktbezogen. 00:03:09.540 --> 00:03:13.940 Ich bedanke mich bereits jetzt bei den heutigen Rednern. 00:03:13.940 --> 00:03:24.360 Wir versuchen unsererseits auch, eine Rolle als öffentliche Verwaltung zu spielen, um Sie bei diesem digitalen Übergang und der digitalen Transformation zu begleiten. 00:03:24.360 --> 00:03:28.280 die, wie ich Ihnen bereits sagte, auch für die Genfer Wirtschaft von Bedeutung ist. 00:03:28.280 --> 00:03:30.280 Dies ist ein Vorteil, den wir ausbauen wollen. 00:03:30.280 --> 00:03:34.420 Und die neue Wirtschaftsstrategie des Kantons Genf, die Wirtschaftsstrategie 00:03:34.420 --> 00:03:38.680 die im August vom Staatsrat beerdigt wurde, also ist er ganz heiß, 00:03:38.680 --> 00:03:45.360 setzt einen wichtigen Schwerpunkt auf die Unterstützung von KMU bei den verschiedenen Übergängen. 00:03:45.360 --> 00:03:48.000 Und natürlich gehört auch der digitale Wandel dazu. 00:03:48.000 --> 00:03:51.420 Wie wird sich das Ganze also konkret auswirken? 00:03:51.420 --> 00:03:59.644 Wir möchten wirklich alle Unternehmen sensibilisieren und begleiten, denn es handelt sich nicht um einen sektoralen Ansatz, nicht nur bestimmte 00:03:59.644 --> 00:04:05.656 Sektoren müssen sich an dieser digitalen Transformation beteiligen, sondern alle, wirklich alle Sektoren. 00:04:05.600 --> 00:04:12.780 Also in ihrem Tempo, nach ihren Bedürfnissen, aber wir müssen die gesamte Wirtschaft bei diesem Übergang begleiten. 00:04:13.020 --> 00:04:24.649 Also konkret hat man schon jetzt Sensibilisierungskurse mit Themen wie Cybersicherheit, künstliche Intelligenz, Blockchain, 00:04:24.649 --> 00:04:29.580 Datenschutz oder digitale Verantwortung eingerichtet. 00:04:29.580 --> 00:04:36.040 Nun haben wir eine Reihe von Schulungen auch und Leitfäden, um Sie konkret bei der Umsetzung zu begleiten. 00:04:36.140 --> 00:04:38.860 Das alles finden Sie unter innovation.ge.ch. 00:04:38.860 --> 00:04:44.380 Und unser Ehrgeiz für die Zukunft besteht darin, dieses Begleitangebot auszubauen 00:04:44.380 --> 00:04:49.600 um Sie noch besser für die kommenden digitalen Herausforderungen zu wappnen. 00:04:49.600 --> 00:04:51.820 Von meiner Seite aus ist das also erledigt. 00:04:51.820 --> 00:04:57.800 Ich möchte dennoch mit einer kleinen Werbung für eine bevorstehende Veranstaltung schließen. 00:04:57.800 --> 00:05:02.240 Das Digital Economic Forum findet am 12. Dezember in der FER Genf statt. 00:05:02.240 --> 00:05:05.560 Wie der Name schon sagt, wird es um digitale Themen gehen. 00:05:05.740 --> 00:05:13.221 Da Sie sich heute für das Thema interessieren, lade ich Sie zu dieser Konferenz ein, die etwas mammutartiger ist und sich über einen 00:05:13.221 --> 00:05:17.211 großen halben Tag erstreckt, mit Plenarteilen, aber auch mit Workshops. 00:05:17.100 --> 00:05:26.844 Einige Danksagungen an die CCIG für den Empfang, an unsere Partner dieser kleinen Tage. Normalerweise wird die Folie abgespielt und 00:05:26.844 --> 00:05:30.873 Sie sehen sie, es lädt mich ein, zehn Namen zu nennen. 00:05:31.660 --> 00:05:41.300 Frédéric Thomasset, Chefredakteur der Zeitschrift Bilan, der die Moderation des Vormittags übernehmen wird, nimmt die Fragen auch am Ende des Vormittags entgegen. 00:05:41.300 --> 00:05:45.200 Und dann noch einmal vielen Dank an die Redner und ich wünsche Ihnen eine sehr gute Konferenz. 00:05:45.200 --> 00:05:49.960 Danke, Kustrim. 00:05:49.960 --> 00:05:56.260 Ich erlaube mir, das Rednerpult zu übernehmen, präsidialer Sitz. 00:05:56.860 --> 00:06:03.260 Guten Tag allerseits, auch ich begrüße Sie herzlich zu diesem Frühstück für KMU und Start-ups. 00:06:03.260 --> 00:06:11.360 Heute, um eine Diskussion über ein zuvor vorgestelltes komplexes Thema zu moderieren und zu leiten, also diese Daten zu beherrschen. 00:06:11.360 --> 00:06:18.860 Im Vorfeld dieses Treffens habe ich mir meinerseits erlaubt, ein wenig das Ökosystem Bilanz, das Ökosystem der KMU, in dem wir uns gerne bewegen, zu erkunden, 00:06:18.860 --> 00:06:22.980 mit denen man sich gerne austauscht, um zu erfahren, wo man in dieser Frage steht. 00:06:22.980 --> 00:06:29.700 Dann, zu früh, zu spät, wurde mir geantwortet: "Ja, gut, kann man besser machen". Dann 00:06:29.700 --> 00:06:34.020 ich stimme zu, dass dies eine sehr diplomatische Antwort ist, daher schlage ich Ihnen ohne weiteres vor 00:06:34.020 --> 00:06:38.400 Diplomatie, heute in die Debatten einzusteigen. Ich werde Ihnen das Programm vorstellen 00:06:38.400 --> 00:06:43.980 des heutigen Tages. Also wir fangen an, also wir haben erst mal bis 10 Uhr, das ist der Teil. 00:06:43.980 --> 00:06:47.580 Präsentation, mit einem ersten Teil über die Archivierung von Daten und Signaturen 00:06:47.580 --> 00:06:51.660 elektronisch, rechtlicher Rahmen und praktische Umsetzung, Überwachung der Verwaltung von 00:06:51.660 --> 00:06:55.620 Datenrisiken und Compliance, praktische Tipps zum Schutz dieser Daten 00:06:55.620 --> 00:07:01.320 Daten und die Auswahl und Implementierung von IT-Lösungen. Anschließend und in 00:07:01.320 --> 00:07:05.760 parallel, wissen Sie, dass, also diejenigen, die bereits teilgenommen haben, wissen, dass es 00:07:05.760 --> 00:07:10.200 Möglichkeit, Fragen zu stellen. Wir werden den Slide abspielen, hier ist also der 00:07:10.200 --> 00:07:15.600 slido. Sie können also ab sofort, ab dem Beginn der Debatten, sich 00:07:15.600 --> 00:07:19.260 Sie können anfangen, Fragen zu stellen, ich werde sie zusammenstellen, dann werden sie gesammelt 00:07:19.260 --> 00:07:22.700 auf einem Tablet, also sobald es Ihnen in den Sinn kommt, zögern Sie nicht, erwarten Sie nicht 00:07:22.700 --> 00:07:28.020 nicht das Ende, und dann könnte ich danach moderieren und diese Fragen weiterleiten an die 00:07:28.020 --> 00:07:34.320 und dann, ohne weitere Verzögerung, beginnen wir mit der ersten Rede. 00:07:34.320 --> 00:07:46.780 Präsentation. Datenarchivierung und elektronische Signaturen, rechtliche Rahmenbedingungen und Implementierungen 00:07:46.780 --> 00:07:54.240 von Frau Audrey Souter präsentiert. Audrey Souter verfügt über fast zehn Jahre Erfahrung 00:07:54.240 --> 00:07:58.100 in Gesellschaftsrecht und Datenschutz, Master in Handelsrecht 00:07:58.100 --> 00:08:02.420 Universität Paris 2, einen Master in Managementwissenschaften an der EM Lyon Business School. Sie ist 00:08:02.420 --> 00:08:05.820 ebenfalls Mitglied des Pariser Büros. Sie konzentriert sich auf Fragen des Gesellschaftsrechts, 00:08:05.820 --> 00:08:09.520 insbesondere bei Umstrukturierungsmaßnahmen, aber auch bei Themen des Datenschutzes 00:08:09.520 --> 00:08:17.460 und der Regierungsführung. Außerdem wird sie von ihrer Kollegin Elisabeth Everson begleitet, die, also ich präzisiere 00:08:17.460 --> 00:08:21.860 dass sie beide von Deloitte sind, Assistant Manager Deloitte Legal, Inhaber eines Anwaltspatents 00:08:21.860 --> 00:08:27.340 Genf und ist außerdem als Sollicitor of England and Wales qualifiziert. Vor ihrem Eintritt bei Deloitte 00:08:27.340 --> 00:08:32.040 Elisabeth arbeitet als Mitarbeiterin in der Einheit eines lokalen Anwalts, wo sie sich auf Rechtsstreitigkeiten spezialisiert, 00:08:32.040 --> 00:08:36.940 in schweizerischen und internationalen Kontexten, insbesondere internationale Schiedsgerichtsfälle bei Deloitte. 00:08:36.940 --> 00:08:40.360 Elisabeth konzentriert sich auf Fragen des Schweizer Vertragsrechts, neue Technologien, 00:08:40.360 --> 00:08:42.480 Datenschutz, der uns heute antreibt. 00:08:42.480 --> 00:08:46.660 Und ich gebe das Wort an Sie weiter und danke Ihnen noch einmal. 00:08:46.660 --> 00:08:55.340 Ich nehme das Tablet mit an Bord, vergessen Sie nicht die Fragen. 00:09:02.040 --> 00:09:18.580 Hallo an alle, auch von mir ein herzliches Willkommen. 00:09:18.580 --> 00:09:25.700 Wie meine Kollegin Audrey bereits angedeutet hat, werden wir zunächst den rechtlichen Rahmen ein wenig erläutern, 00:09:25.700 --> 00:09:29.680 die Grundlagen legen, vor allem in Bezug auf diese beiden Fragen. 00:09:29.680 --> 00:09:37.040 Also auf der einen Seite die Aufbewahrung von Daten und insbesondere die elektronische Archivierung und auf der anderen Seite die elektronische Signatur. 00:09:37.040 --> 00:09:43.660 Also beginnen wir mit der Vorratsdatenspeicherung. 00:09:43.660 --> 00:09:48.900 Aus rechtlicher Sicht gibt es vor allem drei Fragen, die Sie sich stellen sollten. 00:09:48.900 --> 00:09:52.680 Erstens: Gibt es eine Pflicht zur Vorratsdatenspeicherung? 00:09:52.680 --> 00:09:56.680 Zweitens: Wie lange soll es aufbewahrt werden? 00:09:56.680 --> 00:09:58.840 Und drittens die Form. 00:09:58.840 --> 00:10:02.220 Also die Form, kann sie elektronisch sein oder nicht? 00:10:02.220 --> 00:10:04.980 Wir schauen uns also zuerst die ersten beiden Fragen an. 00:10:04.980 --> 00:10:06.840 Besteht eine Verpflichtung? 00:10:06.840 --> 00:10:12.680 Hier sehen Sie also das erste Beispiel, das Sie alle betrifft. 00:10:12.680 --> 00:10:19.980 Grundsätzlich ist es gesetzlich vorgeschrieben, dass Bücher und Belege zehn Jahre lang aufbewahrt werden müssen. 00:10:19.980 --> 00:10:24.520 Ein weiteres Beispiel für die Aufbewahrung, diesmal für eine Dauer von 20 Jahren, 00:10:26.200 --> 00:10:32.480 geht typischerweise aus dem Mehrwertsteuergesetz in Bezug auf Dokumente im Zusammenhang mit der Immobiliensteuer hervor. 00:10:32.480 --> 00:10:36.500 Hier haben Sie also zwei Beispiele, in denen das Gesetz eine Verpflichtung vorschreibt. 00:10:36.500 --> 00:10:42.040 Es gibt andere Situationen, in denen zwar keine rechtliche Verpflichtung im eigentlichen Sinne besteht, 00:10:42.040 --> 00:10:47.860 es ist irgendwie gut, bestimmte Dokumente aufzubewahren, typischerweise für den Fall, dass es zu einem Rechtsstreit kommt. 00:10:47.860 --> 00:10:51.720 Also, welche Aufbewahrungsdauer? 00:10:51.720 --> 00:10:53.940 Wir haben diese beiden Beispiele aus 10 und 20 Jahren gesehen. 00:10:54.760 --> 00:11:01.714 Man muss wissen, dass die Aufbewahrungsdauer, man kann die Mindestdauer oder die Höchstdauer haben, also die Höchstdauer, bei der man 00:11:01.714 --> 00:11:05.242 die Dokumente nicht länger als eine bestimmte Zeit aufbewahren darf. 00:11:05.140 --> 00:11:15.460 Wir werden gleich das Beispiel des DSG, des Datenschutzgesetzes, sehen, das ein recht anschauliches Beispiel in Bezug auf eben diese Höchstdauer ist. 00:11:15.460 --> 00:11:23.666 Auch der Ausgangspunkt ist unterschiedlich. Sie sehen das Beispiel, das ich zuvor in Bezug auf die Bücher und Belege erwähnt habe. 00:11:23.666 --> 00:11:27.183 Die Frist wird ab dem Ende jedes Geschäftsjahres laufen. 00:11:29.100 --> 00:11:37.460 Die gängigste Frist für die Aufbewahrung ist 10 Jahre. Diese Frist beruht auf mehreren Rechtsgrundlagen. 00:11:37.460 --> 00:11:48.760 Also wieder die, die ich bereits erwähnt habe. Wir haben auch Artikel 127CO, der eigentlich die Verjährung der großen Mehrheit der Forderungen im Zivilrecht regelt. 00:11:48.760 --> 00:11:56.700 Das ist also das, was ich vorher erwähnt habe. Um alle notwendigen Unterlagen zu haben, falls es einen Rechtsstreit gibt, der Sie betrifft, gibt es viele Daten, 00:11:56.840 --> 00:11:59.980 viele Dokumente, die Sie etwa zehn Jahre lang aufbewahren wollen. 00:11:59.980 --> 00:12:04.120 Der Sonderfall ist, wie gesagt, das Datenschutzgesetz. 00:12:04.120 --> 00:12:09.120 Ganz allgemein, wenn Sie persönliche Daten haben, 00:12:09.120 --> 00:12:14.120 wenn es keinen Gesetzestext oder einen Vertrag gibt, der eine bestimmte Dauer vorschreibt, 00:12:14.120 --> 00:12:18.180 müssen Sie schauen, welche Dauer verhältnismäßig ist. 00:12:18.180 --> 00:12:21.940 Hier werden also die gesamten Umstände berücksichtigt. 00:12:21.940 --> 00:12:25.680 Und im Grunde, wenn es kein Interesse an der Erhaltung gibt, 00:12:26.200 --> 00:12:29.500 müssen Sie die persönlichen Daten löschen oder anonymisieren. 00:12:29.500 --> 00:12:34.780 Ein typischer Fall wird der Lebenslauf oder die Zeugnisse eines Bewerbers sein, der sich bei Ihnen bewirbt. 00:12:34.780 --> 00:12:39.840 Also, auch wenn Sie diesen Bewerber in die engere Wahl ziehen, ein Prinzip nach der Probezeit, 00:12:39.840 --> 00:12:44.780 Sie kein berechtigtes Interesse an der Speicherung dieser Daten haben, also der Lebenslauf etc. 00:12:44.780 --> 00:12:48.120 Sie müssen also entweder gelöscht oder anonymisiert werden. 00:12:48.120 --> 00:12:54.000 Auf der Folie haben wir Ihnen weitere Beispiele für Fristen aufgezeigt, 00:12:54.540 --> 00:12:58.520 Aber ich denke, hier haben Sie ein wenig Einblick in die Analyse, die notwendig ist. 00:12:58.520 --> 00:13:03.700 Also schauen wir, ob es eine Verpflichtung gibt, ob es eine Best Practice ist, wie lange es aufbewahrt wird. 00:13:03.700 --> 00:13:06.240 Was machen wir mit all dem? 00:13:06.240 --> 00:13:10.560 Normalerweise erstellt man einen Aufbewahrungsplan, im Englischen nennt man das einen retention schedule. 00:13:10.560 --> 00:13:18.780 Es ist also ein Dokument, das genau diese Aufbewahrungsfristen für jede Art von Dokumenten, die Ihr Unternehmen besitzt, formalisieren wird. 00:13:21.740 --> 00:13:25.820 Dies ist etwas, das in ein umfassenderes Dokument einer Erhaltungspolitik eingebettet werden kann 00:13:25.820 --> 00:13:28.840 wo Sie die Archivierungsprozesse usw. detailliert beschreiben können. 00:13:28.840 --> 00:13:36.440 Das ist ein Dokument, das zusammenfasst, was Sie wie lange aufbewahren werden. 00:13:36.440 --> 00:13:39.900 Und das deckt also die ersten beiden Fragen ab. 00:13:39.900 --> 00:13:45.220 Und ich übergebe das Wort an Audrey für die Form, in der es aufbewahrt werden soll. 00:13:45.220 --> 00:13:48.100 Vielen Dank. 00:13:51.740 --> 00:14:01.960 Also tatsächlich, wie Elisabeth sagte, ist das erste Thema die Aufbewahrungsfrist. 00:14:01.960 --> 00:14:08.040 Und das unabhängig davon, ob Sie Ihre Dokumente physisch oder elektronisch archivieren, 00:14:08.040 --> 00:14:09.820 die Aufbewahrungsfristen werden die gleichen sein. 00:14:09.820 --> 00:14:12.700 Es ist wichtig, dies im Hinterkopf zu behalten. 00:14:12.700 --> 00:14:17.520 Grundsätzlich gilt, dass es zulässig ist, Dokumente elektronisch aufzubewahren. 00:14:17.520 --> 00:14:19.820 Es gibt zwei Ausnahmen im Gesetz. 00:14:20.500 --> 00:14:24.740 ist, dass Sie ein ausgedrucktes und unterschriebenes Exemplar des Geschäftsberichts und des Revisionsberichts aufbewahren müssen, 00:14:24.740 --> 00:14:26.940 ob Ihr Unternehmen einer Überprüfung unterzogen wird. 00:14:26.940 --> 00:14:32.480 Ich füge eine Empfehlung für den Arbeitsvertrag und die Kündigungsschreiben hinzu, 00:14:32.480 --> 00:14:36.080 wegen einer Frage der Beweiskraft, auf die ich gleich danach zurückkommen werde. 00:14:36.080 --> 00:14:40.580 Beginnen wir also, eins, mit der elektronischen Archivierung. 00:14:40.580 --> 00:14:47.740 Das ist der Klassiker, Papiermedien, im Original, das haben wir alle gemacht, und das entwickelt sich weiter. 00:14:48.380 --> 00:15:01.038 Wie Elisabeth bereits sagte, gibt es Aufbewahrungsfristen, die bis zu 20 Jahre betragen können, und in diesem Fall wird die physische Aufbewahrung 00:15:01.038 --> 00:15:09.591 zu einer Belastung für die Unternehmen, da sie mit Kosten, Platz und Funktionalität verbunden ist. 00:15:10.060 --> 00:15:18.462 Und ganz zu schweigen von anderen Risiken, wie z. B. Feuer, das hoffentlich nicht so häufig vorkommt, aber immer noch ein Risiko 00:15:18.462 --> 00:15:22.340 darstellt, wenn man eine 100%ige physische Archivierung hat. 00:15:22.340 --> 00:15:28.680 Außerdem kann der Zugang zu Papierdokumenten langsam sein, man muss in die Archive gehen, man muss stöbern, etc. 00:15:28.680 --> 00:15:38.680 Deshalb gehen Unternehmen mit dem Trend zur Entmaterialisierung immer mehr in Richtung elektronische Archivierung. 00:15:39.080 --> 00:15:47.200 Es hat also Vorteile, die tatsächlich mit dem Raum zusammenhängen, ganz klar, Kostensenkung, einfacher Zugriff auf Informationen aus der Ferne. 00:15:47.200 --> 00:15:58.280 Andererseits sollte man trotzdem nicht vergessen, dass man hinter all dem sehr auf die Sicherheit der Daten, ihre Integrität und ihre Gültigkeit achten muss. 00:15:58.280 --> 00:16:03.500 Die Problematik der Beweiskraft elektronischer Dokumente bleibt auch heute noch bestehen. 00:16:03.500 --> 00:16:13.456 Es gab sogar ein Urteil aus dem Jahr 2015, das die Beweiskraft eines elektronischen Dokuments in Frage stellte, da die Person ohne die 00:16:13.456 --> 00:16:18.840 Möglichkeit, das Original in Papierform vorzulegen, keinen Erfolg hatte. 00:16:19.860 --> 00:16:30.320 Insbesondere, wenn Sie ein Dokument haben, das Sie in elektronischer Form vorlegen müssen, könnte die Gegenpartei die Echtheit dieser Urkunde anfechten. 00:16:30.320 --> 00:16:37.540 Und dann ist es an der anderen Partei, die Echtheit zu beweisen. Dies wird als die berühmte Beweislast bezeichnet. 00:16:37.540 --> 00:16:47.800 Und dann wird es schwierig, denn Sie müssen die Echtheit eines elektronisch archivierten Dokuments, dessen Original zerstört wurde, zweifelsfrei nachweisen. 00:16:49.060 --> 00:16:56.100 Deshalb habe ich insbesondere beim Arbeitsvertrag oder beim Kündigungsschreiben gesagt, dass es sich lohnen kann, auch einen Papierträger zu behalten. 00:16:56.100 --> 00:17:03.600 Im Vorfeld wird die Herausforderung darin bestehen, den rechtlichen Wert eines elektronischen Archivs zu sichern und sicherzustellen, dass es nicht anfechtbar ist. 00:17:03.600 --> 00:17:09.481 Zu diesem Zweck gibt es insbesondere die elektronische Signatur, die ein Verfahren ist, das diese Garantie ermöglicht, aber 00:17:09.481 --> 00:17:11.880 darauf wird gleich danach noch genauer eingegangen. 00:17:19.060 --> 00:17:26.800 So, jetzt kommen wir etwas mehr zum Kern der Sache, nämlich den Grundsätzen, die für eine rechtskonforme elektronische Aufbewahrung zu beachten sind. 00:17:26.800 --> 00:17:33.640 Ziel ist es, die Integrität des Dokuments, seine Authentizität und seine Fälschungssicherheit zu gewährleisten. 00:17:33.640 --> 00:17:35.940 Ich habe viel geübt, um das zu erreichen. 00:17:35.940 --> 00:17:42.470 Tatsächlich muss die Archivierung sicherstellen, dass das Dokument authentisch ist und nicht verändert werden kann, ohne Spuren zu 00:17:42.470 --> 00:17:45.907 hinterlassen, um die Zuverlässigkeit der Dokumente zu gewährleisten. 00:17:46.100 --> 00:17:49.200 Das ist also der Olico. Das ist insbesondere eines der Prinzipien des Olico. 00:17:49.200 --> 00:17:54.300 Die Olico, was ist das? Das ist die Verordnung über die Führung und Aufbewahrung von Kontobüchern. 00:17:54.300 --> 00:18:01.320 L'Olico, sie unterscheidet diesbezüglich zwischen zwei Informationsträgern. 00:18:01.320 --> 00:18:03.660 Es gibt nicht veränderbare Informationsträger. 00:18:03.660 --> 00:18:08.040 Das ist also das Papier und der Bildträger. Dort gibt es keine besonderen Anforderungen. 00:18:08.040 --> 00:18:13.120 Und im Gegensatz dazu gibt es den Fall des veränderbaren Mediums. 00:18:13.740 --> 00:18:19.669 Und in diesem Fall muss bei der Erstellung des Dokuments ein technisches Verfahren angewendet werden, das die Integrität der 00:18:19.669 --> 00:18:21.927 gespeicherten Informationen gewährleisten muss. 00:18:21.880 --> 00:18:37.940 Und so gibt es auch hier als Beispiel zwei gemeinsame Werkzeuge, die diese Aufbewahrung garantieren, nämlich tatsächlich die elektronische Signatur und die Eurodatierung. 00:18:38.180 --> 00:18:40.780 Also, die elektronische Signatur, noch einmal, darauf kommen wir später zurück. 00:18:40.780 --> 00:18:44.100 Die Eurodatierung ist tatsächlich ein System, mit dem man nachweisen kann, dass 00:18:44.100 --> 00:18:50.040 dass es zum Zeitpunkt der Aufzeichnung der Informationen keine Möglichkeit der Manipulation gab. 00:18:50.040 --> 00:18:51.860 Das ist also eine echte Garantie. 00:18:51.860 --> 00:18:56.260 Das ist zwar nicht sehr üblich, aber eine wirklich gute Maßnahme. 00:18:56.260 --> 00:19:01.700 Danach wurde auch das Prinzip der Lesbarkeit und Verfügbarkeit zusammengefasst. 00:19:01.700 --> 00:19:04.480 Daher müssen die Dokumente natürlich lesbar sein, 00:19:04.480 --> 00:19:09.840 aber sie müssen auch jederzeit für berechtigte Personen zugänglich sein, und zwar während der gesamten Dauer. 00:19:09.840 --> 00:19:18.140 Es bedeutet also, dass Sie Ihre Dateien und Speichermedien proaktiv verwalten und ständig darauf zugreifen müssen. 00:19:18.140 --> 00:19:25.080 Hier werden also einige Maßnahmen vorgeschlagen, die umgesetzt werden sollen. 00:19:25.080 --> 00:19:31.360 Also ein Ablagesystem für alle Ihre Dokumente, ob physisch oder digital, einrichten und dabei die Unterscheidung angeben. 00:19:32.000 --> 00:19:39.401 Effektiv einen jederzeitigen Zugang zu den Archiven innerhalb einer angemessenen Frist garantieren, das ist, wir haben den Text der Olico übernommen, 00:19:39.401 --> 00:19:46.557 für autorisierte Personen, insbesondere um die Kontrollverfahren zu vereinfachen und zu beschleunigen, einen Verantwortlichen für die Verwaltung 00:19:46.557 --> 00:19:53.615 dieser Archive zu benennen, regelmäßige Überprüfungen durchzuführen, insbesondere um sich von der Integrität der Dokumente zu überzeugen, 00:19:53.615 --> 00:19:57.340 dass es keine Veränderungen gegeben hat, und Schutzmaßnahmen einzurichten. 00:19:56.900 --> 00:20:05.628 Das werden die nächsten Präsentationen sein, die genauer darauf eingehen werden, wie man diese Dokumente und Daten schützen und 00:20:05.628 --> 00:20:08.493 Dokumentationsverfahren dokumentieren kann. 00:20:08.360 --> 00:20:14.220 Also tatsächlich, wie kurz eingeführt, einen Erhaltungsplan aufstellen. 00:20:14.220 --> 00:20:25.240 Dann gehen wir noch ein wenig mehr in die Praxis und schlagen Ihnen einen Implementierungsprozess in fünf Schlüsselschritten vor. 00:20:26.060 --> 00:20:39.139 Der erste Schritt besteht darin, über ein Archivierungsverfahren zu sprechen, Regeln zu definieren, einen internen Prozess für die 00:20:39.139 --> 00:20:47.596 Archivierung festzulegen, und das schließt das Scannen, Indexieren und Speichern ein. 00:20:48.140 --> 00:20:57.433 Zweitens natürlich die Wahl des Anbieters, die entscheidend sein kann. Wählen Sie einen Dienstleister aus, der die Schweizer Rechtsnormen wie die GeBüV 00:20:57.433 --> 00:21:06.906 einhält. Also werden wir heute keine Werbung machen, aber gerne, außerhalb der Kamera, können wir Sie natürlich beraten. Es gibt einige Dienstleister, mit 00:21:06.906 --> 00:21:14.400 denen wir zusammenarbeiten, aber es gibt viele, die alle Normen in der Schweiz einhalten. Sie finden sie auch relativ leicht. 00:21:15.420 --> 00:21:23.327 Effektiv garantieren, Zugangskontrollen einrichten, um einen strikten Zugang zu den Archiven zu haben, damit nur die Personen 00:21:23.265 --> 00:21:26.378 Zugang haben, die berechtigt sind, sie einzusehen. 00:21:26.440 --> 00:21:35.196 Und das überschneidet sich auch mit den Anforderungen des DSG, weil dadurch auch das Risiko des Wartens aufgrund einer unzulässigen 00:21:35.196 --> 00:21:39.770 Verarbeitung personenbezogener Daten gewährleistet und begrenzt wird. 00:21:39.640 --> 00:21:42.500 Es stimmt also, dass es sich wirklich mit beiden Aspekten überschneidet. 00:21:43.400 --> 00:21:52.780 Schließlich die Governance des Systems, und hier empfehlen wir Ihnen ziemlich dringend, einen Erhaltungsplan, einen Zeitplan für die Erhaltung aufzustellen. 00:21:52.780 --> 00:22:04.500 Es ist wirklich ein gutes Werkzeug, es ermöglicht pro Dokumententyp, wie von Elisabeth dargestellt, den Typ des Dokuments und die Aufbewahrungsdauer anzugeben, 00:22:04.500 --> 00:22:12.980 ob es eine Mindestdauer ist, ob es eine Höchstdauer ist, und dann das Format und letztendlich die Art und Weise, wie das Dokument gelöscht werden soll. 00:22:13.400 --> 00:22:20.620 Und schließlich natürlich die Wartung des Systems mit regelmäßigen Updates, die die Sicherheit langfristig gewährleisten. 00:22:20.620 --> 00:22:24.860 Aber das, die folgenden Präsentationen sollten auf diese eher technischen Aspekte zurückkommen. 00:22:24.860 --> 00:22:29.240 Ich gebe das Wort wieder an Elisabeth für die elektronische Signatur. 00:22:29.240 --> 00:22:31.940 Vielen Dank, Audrey. 00:22:31.940 --> 00:22:36.680 Also der zweite Teil der Präsentation, der etwas kürzer ist, 00:22:36.680 --> 00:22:41.280 nur um Sie in die elektronische Signatur einzuführen, also ein bisschen die Grundlagen im Schweizer Recht. 00:22:41.520 --> 00:22:46.440 Im Schweizer Recht gibt es also vier Arten von elektronischen Signaturen, die Sie auf dem Bildschirm sehen. 00:22:46.440 --> 00:22:50.273 In der Praxis wird die Wahl zwischen der elektronischen Signatur, die manchmal auch als einfache Signatur bezeichnet wird, und der 00:22:50.244 --> 00:22:52.771 elektronischen Signatur, die manchmal als einfache Signatur bezeichnet wird, getroffen, 00:22:52.800 --> 00:22:57.420 weil einfach das Wort ist, das in anderen Rechtsordnungen verwendet wird, ist es das, das Sie ganz links sehen, 00:22:57.420 --> 00:23:01.960 und die qualifizierte elektronische Signatur, die Sie also ganz rechts sehen. 00:23:01.960 --> 00:23:08.940 Wenn wir also einen kurzen Blick auf die Definitionen dieser beiden Arten von elektronischen Signaturen werfen, 00:23:09.440 --> 00:23:16.275 Die sogenannte einfache elektronische Signatur ist ein Satz elektronischer Daten, die anderen elektronischen Daten beigefügt oder logisch 00:23:16.275 --> 00:23:20.356 mit ihnen verknüpft sind und die dazu dienen, ihre Authentizität zu überprüfen. 00:23:20.160 --> 00:23:22.840 Was ist das also konkret? 00:23:22.840 --> 00:23:27.580 Es ist eine Unterschrift, die Sie einscannen und in ein Word-Dokument ziehen. 00:23:27.580 --> 00:23:32.840 Das kann eine Unterschrift sein, die Sie auf Ihrem Computer mit der Maus machen. 00:23:32.840 --> 00:23:35.580 Es ist also etwas, das nicht handgeschrieben ist. 00:23:35.880 --> 00:23:44.360 Dies ist die Unterschrift mit der geringsten rechtlichen Legitimität, da die Identität des Unterzeichners nicht wirklich überprüft wird. 00:23:44.360 --> 00:23:54.320 Also auf der anderen Seite des Spektrums, ganz rechts, die qualifizierte elektronische Signatur, die eigentlich auf einem qualifizierten Zertifikat beruht. 00:23:54.320 --> 00:23:59.320 Um diese Art von Signatur zu erhalten, müssen Sie also einen anerkannten Anbieter nutzen. 00:23:59.580 --> 00:24:07.640 Wir haben Ihnen die anerkannten Anbieter in der Schweiz aufgelistet. Insgesamt gibt es vier, davon drei für Privatpersonen. 00:24:07.640 --> 00:24:11.260 Deshalb haben wir Swisscom, DigiCard und Swissign aufgelistet. 00:24:11.260 --> 00:24:16.300 Und was ist dann der Sinn einer qualifizierten Signatur? 00:24:16.300 --> 00:24:22.760 Ich verliere mich auch in meinen Folien. So. Danke. 00:24:25.060 --> 00:24:30.740 Das Interesse an der qualifizierten Signatur liegt also vor allem in der Gleichwertigkeit mit der handschriftlichen Unterschrift. 00:24:30.740 --> 00:24:36.180 Was man also wissen muss, ist, dass man im Schweizer Recht grundsätzlich Vertragsfreiheit hat. 00:24:36.180 --> 00:24:41.780 Also können die Parteien ihren Vertrag in jeder beliebigen Form abschließen, mündlich, typischerweise. 00:24:41.780 --> 00:24:47.520 Es gibt einige Beispiele im Gesetz, in denen das Gesetz eine andere Form vorschreibt. 00:24:47.520 --> 00:24:50.540 Typischerweise wird es die schriftliche Form sein, aber nicht nur. 00:24:51.700 --> 00:24:58.680 Wenn die Schriftform vorgeschrieben ist, muss der Vertrag von allen beteiligten Parteien unterzeichnet werden. 00:24:58.680 --> 00:25:03.520 Und was man unter einer Unterschrift versteht, ist in der Regel eine handschriftliche Unterschrift. 00:25:03.520 --> 00:25:07.460 Also das, was man im Englischen "wet ink" nennt, die handschriftliche Unterschrift. 00:25:07.460 --> 00:25:11.800 Und hier zeigt sich also der Nutzen der qualifizierten elektronischen Signatur, 00:25:11.800 --> 00:25:16.480 weil von Gesetzes wegen, also hier ist es ein Zitat aus dem Obligationenrecht, 00:25:16.480 --> 00:25:19.220 wird sie der handschriftlichen Unterschrift gleichgestellt. 00:25:20.720 --> 00:25:27.892 Also bei Verträgen, die die Schriftform erfordern, damit sie gültig sind, wenn Sie sie in elektronischer Form abschließen wollen, 00:25:27.892 --> 00:25:31.882 können Sie sie mit einer qualifizierten Schweizer Signatur unterzeichnen. 00:25:31.720 --> 00:25:40.420 Ich betone also das Wort schweizerisch und das bringt uns zum zweiten Teil dieser Folie, nämlich der internationalen Anerkennung. 00:25:40.420 --> 00:25:48.940 Wir sprechen also von Schweizer Verträgen, die also dem Schweizer Recht unterliegen und mit einer qualifizierten Schweizer Unterschrift unterzeichnet werden. 00:25:49.680 --> 00:25:53.920 In anderen Ländern hat man andere Gesetze, die für die qualifizierte Signatur gelten. 00:25:53.920 --> 00:25:59.100 Typischerweise haben wir in der Europäischen Union eine Verordnung mit dem Namen eIDAS, 00:25:59.100 --> 00:26:04.940 die auch mehrere Arten von elektronischen Signaturen anerkennt. 00:26:04.940 --> 00:26:10.600 In der eIDAS-Verordnung wird von der einfachen, der fortgeschrittenen und der qualifizierten Signatur gesprochen. 00:26:10.600 --> 00:26:16.380 Wichtig zu wissen ist jedoch, dass sie zwar auch eine qualifizierte Signatur haben, 00:26:16.380 --> 00:26:22.940 Derzeit gibt es keine Gleichwertigkeit zwischen qualifizierten Unterschriften, also Europäische Union, Schweiz oder andere. 00:26:22.940 --> 00:26:33.120 Daher wird man sich immer die Frage stellen müssen, welches Recht auf den Vertrag anwendbar ist, welches das Recht ist, das die formalen Bedingungen der Gültigkeit regelt. 00:26:33.120 --> 00:26:39.062 Und behalten Sie daher im Hinterkopf, dass, wenn Sie einen Vertrag abschließen wollen, der der elektronischen Schriftform 00:26:39.062 --> 00:26:41.960 unterliegt, ein Vertrag, der dem Schweizer Recht unterliegt, 00:26:42.080 --> 00:26:51.313 Es wird erforderlich sein, dass beide Parteien, oder alle drei Parteien, eine qualifizierte Schweizer Signatur verwenden und dass es kein 00:26:51.313 --> 00:26:57.200 Problem damit gibt, dass eine Partei typischerweise die europäische Signatur verwendet. 00:26:58.280 --> 00:27:02.680 Ich denke, wir nähern uns dem Ende der Präsentation und stehen genau vor der Zeit. 00:27:02.680 --> 00:27:09.160 Falls wir zu schnell waren, haben Sie die Möglichkeit, uns Fragen zu stellen, die wir gerne beantworten werden. 00:27:09.160 --> 00:27:16.980 Und wir geben das Wort wieder an Frédéric zurück, um den nächsten Beitrag einzuleiten. 00:27:16.980 --> 00:27:18.520 Vielen Dank. 00:27:27.520 --> 00:27:38.215 Vielen Dank für diesen ersten Teil. Es sind bereits eine ganze Reihe von Fragen eingetroffen, worüber ich mich sehr freue. Ich 00:27:38.215 --> 00:27:43.023 schlage vor, dass wir mit dieser guten Dynamik fortfahren. 00:27:43.300 --> 00:27:49.560 Im zweiten Teil werden wir das Risikomanagement von Daten und Konformitäten besprechen. 00:27:49.560 --> 00:27:58.360 Claudia Pallaud-Wolfer, Managerin für Digital Insurance and Trust bei PwC, wird diese Aufgabe übernehmen. 00:27:58.360 --> 00:28:05.560 Um sie vorzustellen: Bei PwC ist sie für IT-Projekte zuständig, 00:28:05.560 --> 00:28:11.140 widmet sich strategischen Initiativen rund um die Themen Digitalisierung, Digitalisierung und IT-Prüfungen. 00:28:11.420 --> 00:28:15.020 Sie hat einen Masterabschluss in Rechnungswesen und Finanzen der Universität Freiburg. 00:28:15.020 --> 00:28:17.480 Sie wurde auch an der London School of Economics ausgebildet. 00:28:17.480 --> 00:28:19.580 Ich erteile Ihnen das Wort. 00:28:19.580 --> 00:28:28.560 Hallo an alle. 00:28:28.560 --> 00:28:31.020 Ich bin froh, dass ich hier bin. 00:28:31.020 --> 00:28:33.940 Es ist das erste Mal, dass ich die Handelskammer besuche. 00:28:33.940 --> 00:28:40.000 Ich bin froh, an diesen Diskussionen teilzunehmen und mich auch auszutauschen, Wissen zu teilen. 00:28:41.080 --> 00:28:50.698 Das Thema, das ich heute vorstellen werde, werde ich mich vor allem auf den Risikoteil und dann auf die Kontrollen konzentrieren, die 00:28:50.698 --> 00:28:54.072 rund um unser Thema eingeführt werden müssen, 00:28:54.000 --> 00:28:58.340 also die Archivierung, Speicherung und den Schutz von Daten. 00:29:00.340 --> 00:29:09.060 Ich werde vor allem auch ein wenig von meinen Erfahrungen berichten, von den Projekten, an denen ich beteiligt war, damit Sie 00:29:09.060 --> 00:29:12.520 hoffentlich etwas Interessantes mitnehmen können. 00:29:20.280 --> 00:29:26.280 Zunächst zu PwC: Wir sind weltweit tätig. 00:29:26.280 --> 00:29:34.360 Und in der Schweiz haben wir den Hauptsitz in Zürich, aber auch Büros in jeder Stadt in der Schweiz. 00:29:34.360 --> 00:29:40.640 Und so konzentriere ich mich vor allem auf KMU-Kunden in der Westschweiz. 00:29:41.900 --> 00:29:53.560 Und nach dem Covid hatten wir viele Anfragen von Unternehmen, die wirklich relativ schnell von einer Papierwelt in eine digitale Welt wechseln mussten. 00:29:53.560 --> 00:30:01.527 Daher ist das sogenannte EDM, das elektronische Dokumentenmanagement, sehr wichtig geworden und insbesondere die Notwendigkeit, eine 00:30:01.527 --> 00:30:05.660 Governance rund um diese etwas stärker digitalisierte Welt zu haben. 00:30:06.840 --> 00:30:20.767 Die wichtigsten Projekte, an denen ich beteiligt war, und die Unternehmen, die wir betreut haben, betrafen vor allem die Implementierung von 00:30:20.767 --> 00:30:29.459 Schlüsselkontrollen rund um das EDM, aber auch die Prüfung der Einhaltung der Gesetze. 00:30:29.360 --> 00:30:41.745 Das passt zu der Präsentation, die wir vorhin hatten. Viele Unternehmen haben uns angerufen, um ihnen zu helfen, die wichtigen Gesetze zu verstehen, die für 00:30:41.745 --> 00:30:51.871 das gesamte elektronische Dokumentenmanagement gelten, und die wichtigsten Kontrollen oder Maßnahmen, die sie einführen müssen. 00:30:52.040 --> 00:31:01.804 Und die letzten Projekte, also wirklich Audits, also das ist mein Bereich, IT-Audits, also komplette Audits von EDM, elektronischem 00:31:01.730 --> 00:31:10.466 Dokumentenmanagement, sowie eine Zertifizierung, also wo wirklich bescheinigt wird, dass das EDM den Normen entspricht. 00:31:11.780 --> 00:31:17.100 Das sind also die Projekte, an denen ich teilgenommen habe. 00:31:17.100 --> 00:31:24.240 Also geht es im ersten Teil eher um die Risiken, die mit der elektronischen Archivierung verbunden sind. 00:31:24.240 --> 00:31:32.100 Wie meine Kollegen vorhin sagten, hat man also bestimmte Dokumente, die man für viele Jahre aufbewahren sollte. 00:31:32.100 --> 00:31:39.720 Also reden wir über 10 Jahre, 20 Jahre und wie wir sicherstellen, dass in einer digitalen Umgebung, 00:31:39.720 --> 00:31:43.980 Man bewahrt diese PDFs zum Beispiel oder diese Dokumente wirklich so viele Jahre lang auf. 00:31:43.980 --> 00:31:47.100 Das ist also eines der Hauptrisiken. 00:31:47.100 --> 00:31:51.980 Es geht wirklich um die Einhaltung der gesetzlichen Vorschriften in Bezug auf die Archivierung. 00:31:51.980 --> 00:31:57.180 Weitere Risiken, die zu nennen sind, sind Datenverlust. 00:31:57.180 --> 00:32:00.740 Wenn man ein Archiv für so lange Zeit aufbewahren muss, 00:32:00.740 --> 00:32:05.640 ist es sicher, dass man diese Dokumente in z. B. 10 Jahren noch lesen kann? 00:32:05.640 --> 00:32:14.900 Wird die Technologie, die jetzt eingesetzt wird, noch aktuell sein, oder ist sie vielleicht in zehn Jahren veraltet? 00:32:14.900 --> 00:32:20.580 Also ist der Begriff des Datenverlusts sehr wichtig, wenn es wirklich um einen Zeitraum von zehn Jahren, zwanzig Jahren geht. 00:32:20.580 --> 00:32:28.760 Und die beiden anderen großen Risiken in Bezug auf Archive sind wirklich der unberechtigte Zugriff auf Archive. 00:32:28.760 --> 00:32:32.480 Es gibt einige Dokumente, die trotzdem vertraulich sind. 00:32:33.260 --> 00:32:40.840 In zehn Jahren sollte nicht jeder beliebige Mitarbeiter auf bestimmte Akten zugreifen können, also sollte man auch den Zugriff sicherstellen. 00:32:40.840 --> 00:32:45.180 Und schließlich die Datenkorruption, also die Manipulation dieser Archive. 00:32:45.180 --> 00:32:52.620 Die zweite Risikokomponente besteht eher in Bezug auf die Lagerung. 00:32:52.620 --> 00:33:01.100 Hier geht es eher um die täglichen Aktivitäten, all die Dokumente, die man in der Firma hat, die man digitalisiert hat, 00:33:01.600 --> 00:33:05.400 Wie stellen wir sicher, dass wir genug Platz haben, um sie zu lagern? 00:33:05.400 --> 00:33:09.820 Eines der Hauptrisiken ist also die Explosion des Datenvolumens. 00:33:09.820 --> 00:33:17.640 Also wirklich die Server vor sich zu haben, die Kapazität, all diese Dokumente aufzubewahren. 00:33:17.640 --> 00:33:25.280 Und weitere Risiken, die im Zusammenhang mit der Speicherung zu nennen sind, sind vor allem die fehlende Redundanz. 00:33:25.280 --> 00:33:35.092 Es werden zwei bis drei Server oder Kopien empfohlen, aber es muss auf jeden Fall sichergestellt werden, dass genügend Maßnahmen ergriffen 00:33:35.092 --> 00:33:42.190 werden, um die Daten auch im Falle eines Katastrophenszenarios, eines Cyberangriffs usw. zu speichern. 00:33:42.120 --> 00:33:49.280 Zwei weitere Risiken, die zu nennen sind, sind alle Hardwareausfälle, also der Ausfall von Servern, die das Unternehmen lahmlegen würden. 00:33:49.640 --> 00:34:00.179 In Bezug auf die Datenspeicherung ist schließlich die Sicherheit von Bedeutung. Sensible Daten können verschlüsselt werden oder es wird sogar 00:34:00.179 --> 00:34:06.938 empfohlen, sie zu verschlüsseln, und auch die Schwachstellen in den Speichersystemen selbst. 00:34:13.780 --> 00:34:24.582 Und für das dritte Risiko, also alles, was mit Datenschutz zu tun hat, also da haben es meine Kollegen vorhin gut dargestellt, also es gibt ganz klare 00:34:24.582 --> 00:34:32.400 Gesetze zum Datenschutz, also in der Schweiz das Datenschutzgesetz, aber auch die RGPD oder GDPR auf Englisch. 00:34:33.080 --> 00:34:42.763 Eine Nichteinhaltung dieser Vorschriften hätte also auch sehr weitreichende Folgen für das Unternehmen. Sie müssen also sicherstellen, dass Sie diese 00:34:42.763 --> 00:34:52.826 Gesetze einhalten. Und im Zusammenhang mit dem Datenschutz gibt es auch Risiken, die eher mit externen Ereignissen verbunden sind, also Cyberangriffe, die dazu 00:34:52.826 --> 00:35:00.737 führen würden, dass wir die Daten des Unternehmens besser schützen und garantieren können, dass wir sie aufbewahrt haben. 00:35:01.540 --> 00:35:09.800 Oder auch Fehler, die von Mitarbeitern verursacht werden, also Datenlecks, die auf einen Fehler zurückzuführen wären, ein Versenden 00:35:09.800 --> 00:35:14.083 eines sensiblen Dokuments an eine externe Person, im schlimmsten Fall. 00:35:13.960 --> 00:35:26.220 Und wieder der Verlust der Vertraulichkeit, also hier geht es eher um unbefugte Zugriffe innerhalb des Unternehmens auf sensible Daten. 00:35:26.220 --> 00:35:32.200 Also ein Ordner, z. B. Personalabteilung, der für Mitarbeiter anderer Abteilungen zugänglich wäre, etc. 00:35:32.200 --> 00:35:39.140 Ich wollte noch eine dritte Risikokomponente hinzufügen. 00:35:39.140 --> 00:35:41.760 Hier geht es also eher um organisatorische Risiken. 00:35:41.760 --> 00:35:46.480 Es ist also wirklich alles, was die täglichen Aktivitäten des Unternehmens berühren wird. 00:35:46.480 --> 00:35:50.480 Und das sind Risiken, die oft heruntergespielt werden, die aber wichtig sind. 00:35:50.480 --> 00:35:56.600 Es sind also menschliche Fehler oder die mangelnde Ausbildung der Mitarbeiter in Bezug auf diese Themen, die wichtig sind. 00:35:56.600 --> 00:36:03.020 Also Dokumente, Aufbewahrung von Dokumenten, auf die Daten achten, an wen man was schickt, etc. 00:36:03.020 --> 00:36:07.780 Und das Fehlen eines Plans zur Wiederherstellung des Betriebs ebenfalls. 00:36:07.780 --> 00:36:17.640 Im Falle eines Katastrophenszenarios ist eine einfache Maßnahme, die ein Unternehmen ergreifen kann, ein Plan zur Wiederherstellung nach SINIS. 00:36:17.720 --> 00:36:24.720 also einen Plan B haben, was wir tun, wenn wir einen Cyberangriff haben, wie wir die Geschäfte weiterführen etc. 00:36:24.720 --> 00:36:28.380 Hier geht es also eher um alle organisatorischen und menschlichen Risiken. 00:36:28.380 --> 00:36:38.420 Also zur Erinnerung: Wenn eines dieser Risiken, dieser Szenarien eintreten sollte, 00:36:38.420 --> 00:36:41.680 also können die Folgen für das Unternehmen wirklich wichtig sein. 00:36:41.680 --> 00:36:46.500 Wir reden also wirklich über Zahlen, über finanzielle Verluste, 00:36:46.640 --> 00:36:53.160 Also ein Cyberangriff, wenn man zum Beispiel eine Lösegeldforderung hat, sind das oft ziemlich große Beträge. 00:36:53.160 --> 00:37:04.460 Aber auch eine rechtliche Nichtkonformität auf einem dieser Dokumente, die durch das Gesetz, die OLICO, das Datenschutzgesetz usw. geschützt sind. 00:37:04.460 --> 00:37:07.600 können auch sehr große finanzielle Auswirkungen haben. 00:37:07.600 --> 00:37:16.120 Schließlich ist es auch der Ruf des Unternehmens, der Schaden nimmt, wenn man nicht darauf achtet. 00:37:16.640 --> 00:37:25.260 Und schließlich könnte es bei einem Serverausfall, Cyberangriffen usw. zu einer Unterbrechung des Geschäftsbetriebs kommen. 00:37:25.260 --> 00:37:33.980 Nachdem wir also über all diese Risiken gesprochen haben, sind wir nun daran interessiert zu erfahren, wie wir uns schützen können. 00:37:33.980 --> 00:37:43.300 Also werden meine Kollegen, die mir die folgenden Teile vorgestellt haben, viel detaillierter auf die praktischen Maßnahmen eingehen, die man umsetzen kann. 00:37:43.480 --> 00:37:56.538 Ich werde sie Ihnen im Überblick vorstellen. Wir empfehlen den Ansatz der Schlüsselkontrollen, d. h. wir müssen sicherstellen, dass wir die 00:37:56.538 --> 00:38:04.574 wichtigsten Kontrollen einführen, die am wirksamsten sind, um diese Risiken zu mindern. 00:38:05.720 --> 00:38:14.480 Ich habe sie in drei Bereiche unterteilt. Sie sind oft auch etwas einfacher zu implementieren. 00:38:14.480 --> 00:38:27.360 Hier geht es also ganz einfach darum, IT-Verfahren im Unternehmen einzuführen, die den Mitarbeitern mitgeteilt werden, oder auch um Schulungen für die Mitarbeiter, 00:38:27.360 --> 00:38:41.049 um sicherzustellen, dass jeder im Unternehmen wirklich auf die Dokumente, den Versand und den Zugriff achtet und nicht jedem Zugriff auf jeden Ordner gewährt, 00:38:41.049 --> 00:38:52.771 insbesondere heutzutage, wo wir SharePoint haben, ist es ziemlich schnell möglich, eine Gruppe hinzuzufügen, um auf Ordner zuzugreifen. 00:38:53.600 --> 00:39:04.887 Und schließlich die Zugriffsverwaltung. Hierbei handelt es sich ebenfalls um eine Komponente, die man relativ leicht einrichten kann. Die Beschränkung des Zugriffs ist 00:39:04.628 --> 00:39:15.461 das Prinzip der weniger Privilegien. Das heißt, man gewährt nur den Personen Zugang, die ihn für ihre Arbeit wirklich benötigen. Wir geben also so wenig Zugang wie 00:39:17.560 --> 00:39:31.971 Die zweite Kontrollmaßnahme ist die Verschlüsselung sensibler Daten, d. h. von Daten, die sich auf dem Transportweg befinden, aber 00:39:31.971 --> 00:39:38.689 auch von gespeicherten Daten, sobald sie z. B. im Archiv sind. 00:39:41.260 --> 00:39:49.720 Auch bei den technischen Kontrollen geht es um alles, was mit Passwörtern zu tun hat, aber hier empfehlen wir eher MFAs, also 00:39:49.720 --> 00:39:57.514 Multi-Faktor-Authentifizierung, mit erhöhter Sicherheit für den Zugriff auf Anwendungen und Daten des Unternehmens. 00:39:59.220 --> 00:40:01.520 Zweitens in Bezug auf die Datenspeicherung, 00:40:01.520 --> 00:40:03.960 also geht es wirklich darum, regelmäßig Backups zu haben. 00:40:03.960 --> 00:40:08.740 Und im Vergleich zu allem, was eher ein externes Risiko darstellt, 00:40:08.740 --> 00:40:11.040 also Cyberangriffe, sicherstellen, dass Sie über das Minimum verfügen, 00:40:11.040 --> 00:40:13.560 also trotzdem Antivirenprogramme, Firewalls, 00:40:13.560 --> 00:40:18.400 wenn möglich auch die Endpoint Detection, 00:40:18.400 --> 00:40:23.400 also die Systeme von, was habe ich hier geschrieben? 00:40:23.400 --> 00:40:26.100 Intrusion Detection, auf Französisch. 00:40:28.080 --> 00:40:38.437 Hier geht es also eher um die technischen Kontrollen. Das wurde vorhin auch schon erwähnt, also alles, was mit der Neudatierung von Dokumenten zu 00:40:38.437 --> 00:40:48.512 tun hat. Meine Kollegen werden diese Problematik noch etwas genauer erläutern, aber es gibt auch viele technische Möglichkeiten, Dokumente zu 00:40:48.512 --> 00:40:53.021 schützen und sicherzustellen, dass ein Zertifikat darauf steht. 00:40:52.880 --> 00:41:01.340 Eurodata wird also auch sicherstellen, dass das Dokument nicht verändert wurde, dass das Dokument, das man liest, wirklich das Original ist. 00:41:01.340 --> 00:41:13.460 Und zertifizierte Verschlüsselungsschlüssel auch, das ist wirklich der Weg, um sicherzustellen, dass das Dokument aus einer so bekannten Quelle stammt. 00:41:13.460 --> 00:41:18.040 Das ist also für die technischen Kontrollen. 00:41:18.040 --> 00:41:21.260 und nun werde ich zum letzten Teil übergehen 00:41:21.260 --> 00:41:23.680 also eher die Kontrollen im Zusammenhang mit den Archiven 00:41:23.680 --> 00:41:28.500 also in Archiven für jene Dokumente, die man lange aufbewahren will 00:41:28.500 --> 00:41:34.820 also müssen wir vor allem sicherstellen, dass wir eine Integrität haben 00:41:34.820 --> 00:41:37.240 sondern auch eine Nachvollziehbarkeit in den Archiven 00:41:37.240 --> 00:41:41.220 also können wir elektronische Signaturen verwenden 00:41:41.220 --> 00:41:42.640 oder die Eurodatensätze, wie sie genannt wurden 00:41:42.640 --> 00:41:45.500 um sicherzustellen, dass das Dokument wirklich das Original ist 00:41:45.500 --> 00:41:46.780 und wurde nicht beeinträchtigt 00:41:46.780 --> 00:41:51.560 auf der Ebene der Aufbewahrungsfristen 00:41:51.560 --> 00:41:54.840 also auch sicherstellen, dass wir Kontrollen eingeführt haben 00:41:54.840 --> 00:41:58.400 in Archiven zur Aufbewahrung von Dokumenten 00:41:58.400 --> 00:42:03.100 für die erforderliche Zeit, also hatten wir vorhin vom Aktenplan gesprochen 00:42:03.100 --> 00:42:07.180 also ist es hier wichtig, wirklich zu überdenken 00:42:07.180 --> 00:42:11.400 den Aktenplan des Unternehmens und stellen sicher, dass sie gut abgedeckt sind 00:42:11.400 --> 00:42:15.600 die ganze Liste, die notiert war 00:42:15.600 --> 00:42:20.560 im Aktenplan, also muss dieses Dokument 2 Jahre bleiben, jenes 10 Jahre, diese 00:42:20.560 --> 00:42:26.380 Dokument 20 Jahre, usw. Und dann, der letzte Punkt für Archive, sind die Formate 00:42:26.380 --> 00:42:33.100 dauerhaft, also auch sehr wichtig. Wir haben Formate, die vielleicht in zehn Jahren 00:42:33.100 --> 00:42:37.520 unlesbar sind, hat man vielleicht nicht mehr die nötige Software, um z. B. zu öffnen 00:42:37.520 --> 00:42:42.600 ein Video oder eine Datei, die ein etwas seltsames Format hat, also das, was wir befürworten, 00:42:42.600 --> 00:42:51.260 Das sind die PDFA-Formate, die dauerhafte Formate sind, die im Laufe der Zeit lesbar sein werden. 00:42:51.260 --> 00:43:02.720 Und hier wollte ich das Thema ein wenig mit allem, was mit künstlicher Intelligenz zu tun hat, eröffnen, da es sehr in Mode ist, ein Thema, über das überall gesprochen wird. 00:43:02.720 --> 00:43:04.720 Wie wird es hier angewendet? 00:43:04.720 --> 00:43:09.340 Es stimmt, dass sich rund um alles, was mit elektronischem Dokumentenmanagement zu tun hat, auch das enorm entwickelt. 00:43:09.720 --> 00:43:17.461 Man sieht also zahlreiche Unternehmen, die Software anbieten, die es zum Beispiel ermöglicht, Daten ziemlich automatisch zu 00:43:17.461 --> 00:43:22.044 extrahieren und intelligente Suchvorgänge im gesamten DMS durchzuführen. 00:43:21.920 --> 00:43:28.800 Also suchen wir mit einem Schlüsselwort und dann gibt es uns alle Dokumente des Unternehmens aus, die dieses Schlüsselwort enthalten. 00:43:28.800 --> 00:43:37.700 Auch automatische Indexierungen im DMS, also Werkzeuge, die es ermöglichen, Dokumente zu klassifizieren, sie automatisch an den richtigen Ort zu bringen. 00:43:37.700 --> 00:43:48.106 Es ist also ziemlich beeindruckend, was passiert und was noch passieren wird. Also auch ein Punkt, den man im Auge behalten sollte. Und auch im Bereich 00:43:48.038 --> 00:43:57.423 der Sicherheit und der Zugänglichkeit gibt es immer mehr Tools, die dabei helfen, all dies zu verwalten, mit Benachrichtigungen, wenn ein 00:43:57.423 --> 00:44:03.272 Mitarbeiter beispielsweise versucht, auf einen nicht autorisierten Ordner zuzugreifen. 00:44:04.300 --> 00:44:16.720 Also, hier ist es. Die Sache wird fortgesetzt. Und zum Schluss wollte ich die Diskussion eröffnen. Ich denke, die Fragen werden später kommen. 00:44:16.720 --> 00:44:24.172 Aber ich weiß nicht, ob jemand vielleicht.... Wir gruppieren eher am Ende. In Ordnung. 00:44:24.000 --> 00:44:31.040 Ja, archiviert für mehrere Jahre. Vielen Dank. 00:44:34.300 --> 00:44:38.740 Vielen Dank für diese Präsentation. 00:44:38.740 --> 00:44:56.140 Also, wie gesagt, die Diskussion findet am Ende statt, Sie können weiterhin Ihre Fragen stellen, ich schaue sie mir live an und wähle sie sorgfältig aus. 00:44:56.140 --> 00:45:02.540 Im Folgenden geht es daher mit praktischen Tipps zum Schutz dieser Daten weiter. 00:45:03.700 --> 00:45:09.491 Herr Alexandre Courois, stellvertretender Direktor bei BDO Genf, wird diese Aufgabe übernehmen. Er ist auf IT-Audits, 00:45:09.491 --> 00:45:13.140 Cybersicherheit und die Einhaltung gesetzlicher Vorschriften spezialisiert. 00:45:13.140 --> 00:45:19.020 Mit über 20 Jahren Erfahrung begleitet er Banken, Vermögensverwalter und Unternehmen bei der Einhaltung der Vorschriften. 00:45:19.020 --> 00:45:24.020 Und er tritt regelmäßig als Ausbilder und Referent zu diesen Themen auf. 00:45:24.020 --> 00:45:26.620 Ich gebe Ihnen also das Wort, Herr Courois. 00:45:33.700 --> 00:46:00.640 Hallo an alle, 00:46:00.640 --> 00:46:02.920 erfreut, heute Morgen an Ihrer Seite zu sein. 00:46:03.700 --> 00:46:05.480 für diese Präsentation. 00:46:05.480 --> 00:46:08.140 Also, Juliette, als ich mir gestern meine Folien noch einmal angeschaut habe, 00:46:08.140 --> 00:46:09.560 sie ist heute nicht da, aber sie hat mir gesagt 00:46:09.560 --> 00:46:11.180 " Alexander, das ist sehr reich." 00:46:11.180 --> 00:46:13.980 Dann haben Sie, glaube ich, diese Folien vorab erhalten. 00:46:13.980 --> 00:46:16.540 Ich werde versuchen, nicht zu schnell zu sein, 00:46:16.540 --> 00:46:19.320 aber ich werde nicht unbedingt die Zeit haben, um zu bügeln 00:46:19.320 --> 00:46:20.900 hinter der Gesamtheit der Begriffe. 00:46:20.900 --> 00:46:23.560 Zögern Sie also vor allem am Ende der Präsentation nicht 00:46:23.560 --> 00:46:26.040 mir eine Reihe von Fragen zu stellen. 00:46:26.040 --> 00:46:28.520 Ich werde sie gerne beantworten. 00:46:28.520 --> 00:46:31.980 Die heutige Tagesordnung ist, wie Sie sehen, ziemlich voll. 00:46:33.080 --> 00:46:43.799 Ich werde versuchen, ein wenig ins Detail zu gehen, schließlich wird es eine perfekte Verbindung zu dem herstellen, was Claudia begonnen hat, insbesondere 00:46:43.799 --> 00:46:51.907 zu den technischen und organisatorischen Maßnahmen, die Sie einsetzen können, um sich vor Datenverlust zu schützen. 00:46:54.200 --> 00:47:05.990 Ich werde die Einleitung überspringen. Das Ziel für mich heute Morgen wird es sein, Ihnen in 15 Minuten, was eine große Herausforderung ist, 00:47:05.990 --> 00:47:13.686 einige vorrangige Einstellungen zu geben, die Sie heute in Ihren Unternehmen umsetzen können. 00:47:13.440 --> 00:47:26.680 Es geht darum, Ihnen endlich eine Art gebrauchsfertige Checkliste zu liefern, was Sie schnell umsetzen müssen, um sich gegen das Risiko des Datenverlusts zu wappnen. 00:47:26.680 --> 00:47:35.540 Außerdem werde ich versuchen, Ihnen eine Art Aktionsplan für 30, 60 oder 90 Tage zu präsentieren und Ihnen jedes Mal recht einfache KPIs zu nennen. 00:47:35.540 --> 00:47:43.660 Es gibt einige Dinge, über die ich relativ schnell hinweggehen werde, aber zögern Sie nicht, noch einmal Ihre Fragen zu stellen. 00:47:43.660 --> 00:47:56.720 Drei Schlüsselideen, die ich versucht habe, aufzugreifen, und Hebel, die Sie schnell aktivieren können. 00:47:57.620 --> 00:48:07.160 Das erste, was mir als Schlüssel und unverzichtbar erscheint, ist zunächst einmal, Ihre Daten zu kartografieren und zu klassifizieren. 00:48:07.160 --> 00:48:20.160 Bevor man weiß, wie man schützt, muss man bereits wissen, was man schützt und wer für die fraglichen Daten, die geschützt werden sollen, verantwortlich ist. 00:48:21.860 --> 00:48:28.861 Was ich empfehle, ist zunächst einmal, die ersten Reflexe, die man haben sollte, ist die Identifizierung dessen, was ich als 00:48:28.861 --> 00:48:33.195 Lagerstätten bezeichne, d. h. die Gesamtheit der Daten, wo befinden sie sich. 00:48:33.140 --> 00:48:42.794 Es kann eine Netzwerkfreigabe sein, es können Daten in On-Premise-Anwendungen, also vor Ort, sein, es können SaaS-Anwendungen 00:48:42.794 --> 00:48:47.470 sein, es können Daten auf Handys sein, auf Netzwerkfreigaben. 00:48:48.340 --> 00:48:55.120 Für jede der Daten, die wir identifiziert hätten, empfehle ich, Data Owners zu identifizieren. 00:48:55.120 --> 00:49:02.220 Data Owner sind nicht unbedingt technische Leute aus der IT, sondern insbesondere und hauptsächlich Leute aus der Branche. 00:49:02.220 --> 00:49:05.840 Das kann die Personalabteilung, die Finanzabteilung, die Verkaufsabteilung usw. sein. 00:49:05.840 --> 00:49:14.840 Ich empfehle auch die Anwendung, sobald man diese zu schützenden Daten identifiziert hat, 00:49:14.840 --> 00:49:18.020 ist es, eine recht einfache Klassifizierung vorzunehmen 00:49:18.020 --> 00:49:21.780 zwischen Daten, von denen man weiß, dass jeder auf sie zugreifen kann 00:49:21.780 --> 00:49:23.540 also eher öffentliche Daten 00:49:23.540 --> 00:49:27.240 einschließlich zugänglich für Menschen von außerhalb 00:49:27.240 --> 00:49:28.900 und dann nach und nach 00:49:28.900 --> 00:49:32.180 wir werden eine höhere Vertraulichkeitsstufe einrichten 00:49:32.180 --> 00:49:35.540 typischerweise sehen Sie es in meiner Präsentation ganz unten 00:49:35.540 --> 00:49:38.260 ich habe C1 öffentlich gesetzt, weil das, was ich dort mitteile 00:49:38.260 --> 00:49:41.920 nichts besonders Vertrauliches ist 00:49:41.920 --> 00:49:44.420 und ich werde später darauf zurückkommen 00:49:44.420 --> 00:49:50.280 jedes Mal werden Sie sehen 00:49:50.280 --> 00:49:52.420 ich habe Ihnen KPIs 00:49:52.420 --> 00:49:54.120 die Sie über einen Link verfolgen können 00:49:54.120 --> 00:49:56.860 das Thema, das ich anspreche 00:49:56.860 --> 00:49:58.000 typisch 00:49:58.000 --> 00:49:59.940 was wir verfolgen können 00:49:59.940 --> 00:50:00.700 das ist der Prozentsatz 00:50:00.700 --> 00:50:04.240 Domänen mit Ehrungen 00:50:04.240 --> 00:50:05.800 der Prozentsatz der Aktiven 00:50:05.800 --> 00:50:07.860 wir werden eingestuft haben 00:50:07.860 --> 00:50:09.980 Vermögenswerte sind nicht nur Daten 00:50:09.980 --> 00:50:11.960 ist auch die Hardware 00:50:11.960 --> 00:50:12.680 die sich dahinter verbirgt 00:50:12.680 --> 00:50:15.800 die Anzahl der geschlossenen öffentlichen Links 00:50:15.800 --> 00:50:16.920 aber dazu komme ich später 00:50:16.920 --> 00:50:18.640 und der zweite Punkt 00:50:18.640 --> 00:50:21.640 der mir als zweiter Hebel wichtig erschien 00:50:21.640 --> 00:50:23.280 ist, wenn man einmal kartographiert hat 00:50:23.280 --> 00:50:24.420 dass wir diese Daten klassifiziert haben 00:50:24.420 --> 00:50:27.360 ist, sich zu überlegen, welche technischen Mittel 00:50:27.360 --> 00:50:29.520 und organisatorischen Fähigkeiten, die ich einsetze 00:50:29.520 --> 00:50:31.980 um die Angriffsfläche zu verringern 00:50:31.980 --> 00:50:35.780 also wird das Ziel sein, dass die Leute 00:50:35.780 --> 00:50:37.320 schließlich den unrechtmäßigen Zugang 00:50:37.320 --> 00:50:39.900 schwierig und sichtbar 00:50:39.900 --> 00:50:43.620 einige Sofortmaßnahmen 00:50:43.620 --> 00:50:45.080 und Sie werden sehen 00:50:45.080 --> 00:50:46.740 dass ich viel Hammer-Therapie mache 00:50:46.740 --> 00:50:48.020 heute Morgen durch meine Folien 00:50:48.020 --> 00:50:50.660 Claudia hat es bereits angesprochen 00:50:50.660 --> 00:50:52.620 sondern MFA für alle 00:50:52.620 --> 00:50:54.880 es ist heute unerlässlich 00:50:54.880 --> 00:50:57.500 für alle Konten 00:50:57.500 --> 00:50:59.580 auch dies ist ein Begriff, auf den ich noch zurückkommen werde 00:50:59.580 --> 00:51:00.440 weil es manchmal 00:51:00.440 --> 00:51:03.240 man denkt immer an Benutzerkonten 00:51:03.240 --> 00:51:05.260 Standards, aber man vergisst, vernachlässigt 00:51:05.260 --> 00:51:06.700 eine Reihe von anderen 00:51:06.700 --> 00:51:09.140 Benutzerkonten 00:51:09.140 --> 00:51:10.840 die insbesondere privilegierten Zugang haben 00:51:10.840 --> 00:51:13.460 und deshalb aus diesem Grund 00:51:13.460 --> 00:51:15.340 wird empfohlen, einzusetzen 00:51:15.340 --> 00:51:17.260 die Authentifizierung 00:51:17.260 --> 00:51:19.740 stark über alle Konten 00:51:19.740 --> 00:51:21.340 vererbte Authentifizierung 00:51:21.340 --> 00:51:22.980 deaktiviert 00:51:22.980 --> 00:51:24.760 was ist dann die vererbte Authentifizierung? 00:51:24.760 --> 00:51:27.020 ist Authentifizierungsmechanismen 00:51:27.020 --> 00:51:28.620 die zum Beispiel veraltet wären 00:51:28.620 --> 00:51:30.400 und die technisch nicht erlauben würden 00:51:30.400 --> 00:51:33.520 schließlich einrichten 00:51:33.520 --> 00:51:34.080 die MFA 00:51:34.080 --> 00:51:36.800 und daher empfehle ich auch dort 00:51:36.800 --> 00:51:39.000 zu deaktivieren, was man als 00:51:39.000 --> 00:51:41.000 vererbte Authentifizierung in Verzeichnissen 00:51:41.000 --> 00:51:43.280 von Unternehmen, um das Risiko zu begrenzen 00:51:43.280 --> 00:51:44.680 dass Konten eingerichtet werden können 00:51:44.680 --> 00:51:47.040 ohne dass man ihnen diesen Mechanismus aufzwingen kann 00:51:47.040 --> 00:51:49.080 der Authentifizierung mit mehreren 00:51:49.080 --> 00:51:50.800 Faktoren. Offensichtlich, 00:51:50.800 --> 00:51:52.160 bedingte Zugriffe. 00:51:52.160 --> 00:51:54.960 Auch hier werde ich wiederkommen 00:51:54.960 --> 00:51:56.860 zu diesem Begriff ein wenig später, aber 00:51:56.860 --> 00:51:59.120 sollte man so viel wie möglich 00:51:59.120 --> 00:52:01.160 keinen Zugang gewähren 00:52:01.160 --> 00:52:02.180 systematisch 00:52:02.180 --> 00:52:04.500 Administrator 00:52:04.500 --> 00:52:06.860 selbst wenn es jemandem gehören sollte 00:52:06.860 --> 00:52:08.780 wer berechtigt wäre, diese Art von Zugang zu haben 00:52:08.780 --> 00:52:17.420 Es muss ein System des bedingten Zugangs eingeführt werden, bei dem nur das zugänglich gemacht wird, was benötigt wird, und das auch nur vorübergehend. 00:52:17.420 --> 00:52:27.858 Zugänge, die natürlich in einem angemessenen Verhältnis zu den Funktionen, die jede Person im Unternehmen innehat, eingerichtet 00:52:27.858 --> 00:52:32.559 werden müssen, und dann getrennte Verwaltungsrollen haben. 00:52:32.320 --> 00:52:38.600 Und was ich allzu oft sehe, ist, dass wir jemanden in der IT haben, der natürlich aufgrund seiner Funktion, die er innehat, eine.., 00:52:38.600 --> 00:52:43.960 weil er eine Reihe von Dingen auf der Ebene des Informationssystems verwaltet, einen Admin-Zugang. 00:52:43.960 --> 00:52:50.740 Aber seinen Admin-Zugang hat er für alles, für alle Funktionen, für alle Aufgaben, die er ausführt. 00:52:50.740 --> 00:52:55.880 Und daher empfehlen wir, diese Konten zu trennen. 00:52:56.220 --> 00:52:59.620 Man hat ein Standardbenutzerkonto für Standardfunktionen 00:52:59.620 --> 00:53:03.100 die man innerhalb der Organisation ausführt. 00:53:03.100 --> 00:53:07.080 Und dann hat man eine Admin-Rolle, wenn man wirklich sein Informationssystem verwalten muss. 00:53:07.080 --> 00:53:17.020 Posten verwaltet und beziffert, auch hier ein Therapie-Hammerschlag im Vergleich zu dem, was Claudia gesagt hat. 00:53:17.020 --> 00:53:21.080 Automatische Updates, extrem wichtig, 00:53:21.260 --> 00:53:26.200 ist es, die Hardware und Software regelmäßig zu aktualisieren. 00:53:26.200 --> 00:53:28.820 Das klingt ein bisschen nach Sahnetorte, 00:53:28.820 --> 00:53:30.840 aber ich sehe auch zu oft Systeme 00:53:30.840 --> 00:53:36.840 die Gegenstand von Sicherheitslücken sind, 00:53:36.840 --> 00:53:39.320 eben weil es keine Patching-Politik gibt, 00:53:39.320 --> 00:53:42.940 zu aktualisieren, sei es bei der Hardware oder der Software. 00:53:42.940 --> 00:53:45.880 Ich gehe kurz auf die KPIs ein, 00:53:45.880 --> 00:53:49.060 aber das ist typisch für Dinge, die Sie verfolgen können, 00:53:49.480 --> 00:53:54.380 MFA-Deckungen, die Anzahl der Stellen, die verwaltet und beziffert werden, 00:53:54.380 --> 00:53:56.520 die Anzahl der Adminkonten, das gehört dazu 00:53:56.520 --> 00:54:00.240 die Sie durchaus verfolgen können und die immer sehr interessant sind. 00:54:00.240 --> 00:54:05.580 Letzter Schlüsselgedanke ist das Testen von Resilienz. 00:54:05.580 --> 00:54:10.520 Auch hier hat Claudia darüber gesprochen, die Sicherung, die Wiederherstellung. 00:54:10.520 --> 00:54:15.160 Ich erzähle Ihnen etwas später und schnell 00:54:15.160 --> 00:54:18.700 von dem, was ich als 3, 2, 1, 1, 0-Sicherung bezeichne. 00:54:19.480 --> 00:54:29.049 Und daran zu denken, sich genau zu erkundigen, was extern gemacht wird, wenn Sie eine Cloud oder eine SaaS-Anwendung nutzen, bedeutet letztlich, sich die 00:54:29.049 --> 00:54:38.493 Frage zu stellen - und auch hierauf werde ich zurückkommen, wenn es um den Umgang mit externen Dienstleistern geht -, was ich letztlich tue und wie ich 00:54:38.493 --> 00:54:44.582 dafür sorge, dass meine Daten gesichert werden, wenn ich mich nicht selbst intern darum kümmere. 00:54:44.880 --> 00:54:54.420 Das ist ein Mangel, den ich als IT-Prüfer sehr häufig feststelle. 00:54:54.420 --> 00:55:00.820 Wir haben Kunden, die gut daran denken, ihre Datensicherung zu machen, andererseits vergessen sie aber, Wiederherstellungstests durchzuführen. 00:55:00.820 --> 00:55:09.740 Und Testwiederherstellungen durchzuführen bedeutet nicht nur, eine Datei wiederherzustellen, weil ein Mitarbeiter eine Datei verloren oder versehentlich gelöscht hat. 00:55:09.740 --> 00:55:19.920 Es geht auch darum, sicherzustellen, dass man in der Lage ist, einen gesamten Server neu zu starten, sei es ein physischer Server oder ein virtueller Server, eine VM. 00:55:19.920 --> 00:55:28.200 Und dann ist es auch, wenn man eine Cloud hat, sich zu sagen, okay, ich habe ein Backup in der Cloud, um auf dieses Backup zuzugreifen, brauche ich ein Konto. 00:55:28.200 --> 00:55:36.740 Und so stelle ich sicher, wenn ich Wiederherstellungstests durchführe, dass ich auch in der Lage bin, wieder auf diese Backups zuzugreifen. 00:55:38.060 --> 00:55:42.000 Legen Sie einen RPO, einen RTO für alle kritischen Anwendungen fest. 00:55:42.000 --> 00:55:45.500 Auch hier habe ich Beispiele für KPIs aufgeführt. 00:55:45.500 --> 00:55:52.660 Ich werde mich kurz fassen, aber ich hatte Ihnen Szenarien zusammengestellt, in denen Sie sich potenziell befinden, 00:55:52.660 --> 00:55:56.420 Sie als KMU oder Start-up-Unternehmen sind natürlich nicht die einzigen, 00:55:56.420 --> 00:55:59.200 sind Sie potenziell gefährdet. 00:55:59.200 --> 00:56:05.840 Sie können externen Angriffen vom Typ Phishing ausgesetzt sein, 00:56:05.840 --> 00:56:17.500 Sie können Ransomware-Angriffen ausgesetzt sein, Lecks, und das hat Claudia auch gut gesagt, unbeabsichtigte Datenlecks aufgrund menschlichen Versagens. 00:56:17.500 --> 00:56:27.617 Und so habe ich Ihnen jedes Mal einen Weg aufgezeigt, also hier werde ich ziemlich schnell sein, aber ich habe Ihnen die Werkzeuge aufgezeigt, die 00:56:27.617 --> 00:56:33.949 Sie schließlich ziemlich schnell einsetzen können, um diese Art von Angriff zu verhindern. 00:56:33.880 --> 00:56:36.680 und das wird Sie nie vollständig schützen 00:56:36.680 --> 00:56:38.620 vollständig, aber Sie begrenzen 00:56:38.620 --> 00:56:39.740 sehr weit das Risiko 00:56:39.740 --> 00:56:42.120 also auch hier könnten wir am Ende wieder darauf zurückkommen 00:56:42.120 --> 00:56:44.860 falls Sie dennoch Fragen haben 00:56:44.860 --> 00:56:51.600 gleich 00:56:51.600 --> 00:56:53.540 Schatten-IT 00:56:53.540 --> 00:56:55.000 was ich Shadow IT nenne 00:56:55.000 --> 00:56:56.460 das ist typisch 00:56:56.460 --> 00:57:00.500 die Verwendung von Software 00:57:00.500 --> 00:57:01.460 von Werkzeugen 00:57:01.460 --> 00:57:05.780 die innerhalb des Unternehmens nicht offiziell gebilligt würden. 00:57:05.780 --> 00:57:11.880 Und das passiert sehr oft, weil man nicht in der Lage ist, über diese oder jene Funktion zu verfügen. 00:57:11.880 --> 00:57:14.000 durch das ERP, das das Unternehmen verwendet. 00:57:14.000 --> 00:57:16.260 Man schafft also seine eigenen Werkzeuge. 00:57:16.260 --> 00:57:21.260 Das kann eine Excel-Tabelle sein, aber manchmal sind es auch kostenlose Tools 00:57:21.260 --> 00:57:26.160 auf die man vom Unternehmen aus zugreifen kann. 00:57:26.160 --> 00:57:28.740 Und so stellt auch das ein Risiko dar. 00:57:29.620 --> 00:57:38.540 Und es gibt eine sehr einfache Möglichkeit, vorzubeugen, indem man das, was ich hier als Werkzeug, als Gerät einsetze, anwendet. 00:57:38.540 --> 00:57:45.180 Verlust eines gestohlenen Geräts, Zugriff mit schlecht kontrollierten Privilegien, auch das sind Dinge, die ich sehr oft sehe. 00:57:45.180 --> 00:57:50.740 Zu viele Administratoren, das ist meine allgemeine Feststellung. 00:57:50.740 --> 00:57:57.580 Es ist nicht systematisch, aber ich sehe zu viele Menschen, die Zugang zu Privilegien haben, zu Privilegien, die sie nicht haben sollten. 00:57:58.560 --> 00:58:09.480 Seien Sie also auch hier sehr vorsichtig, denn das ist ein Türöffner für ein potenzielles Risiko von Datenlecks oder -verlusten. 00:58:09.480 --> 00:58:25.480 Ich habe Ihnen so viele Details wie möglich eingefügt, aber auch, um Ihnen im Nachhinein dieses Austauschs so viel Material wie möglich zur Verfügung zu stellen. 00:58:25.620 --> 00:58:28.580 Es gibt einige Dinge, die ich bereits angesprochen habe, über die ich relativ schnell hinwegkommen werde. 00:58:28.580 --> 00:58:32.780 Sie haben es verstanden, die Abbildung dieser Daten ist der Schlüssel. 00:58:32.780 --> 00:58:37.360 Ich schaue nach, ob es Schlüsselbotschaften gibt, die ich vergessen habe zu vermitteln, 00:58:37.360 --> 00:58:40.600 aber im Großen und Ganzen sind das Dinge, die ich schon vorher vorgestellt habe. 00:58:40.600 --> 00:58:48.920 Ich sagte es bereits, Zugänge, Zugangsverwaltung, und Claudia hat es sehr gut beschrieben, 00:58:48.920 --> 00:58:52.580 das gehört zu den Schlüsseldingen in einem Unternehmen, 00:58:53.120 --> 00:58:55.980 auf die besonders geachtet werden muss. 00:58:55.980 --> 00:58:59.920 Auch hier in Bezug auf quick win, 00:58:59.920 --> 00:59:04.780 wir haben, ich sage es noch einmal, aber wir müssen den MFA wirklich durchsetzen. 00:59:04.780 --> 00:59:07.900 Die Klippe, die ich am häufigsten finde, ist, dass man sich sagt 00:59:07.900 --> 00:59:10.920 dass man glaubt, wir hätten die MFA überall eingesetzt. 00:59:10.920 --> 00:59:13.320 Und dann wir, die Zuhörer, wenn wir zum Zuschauen kommen, 00:59:13.320 --> 00:59:17.640 man sieht, dass es vielleicht 10-15% der Konten gibt 00:59:17.640 --> 00:59:20.740 die nicht Gegenstand eines MFA sind. 00:59:21.380 --> 00:59:24.800 Und diese Konten sind in diesem Fall Konten, die manchmal technische Konten sind, 00:59:24.800 --> 00:59:27.800 Konten mit erweitertem Recht, Verwaltungskonten, 00:59:27.800 --> 00:59:32.420 die potenziell ein Maximum an Dingen auf der Netzwerkebene, der Anwendungsebene, ermöglichen. 00:59:32.420 --> 00:59:39.200 Und so ist es extrem wichtig, sich die Frage zu stellen, welche Konten gedeckt sind 00:59:39.200 --> 00:59:46.000 und dann vor allem, welche Rechte ich im Hinblick auf die Nutzung des Kontos zuweise. 00:59:46.000 --> 00:59:49.680 Auch hier werde ich Ihnen jedes Mal wieder KPIs nennen, aber ich werde nicht aufhören. 00:59:51.380 --> 01:00:00.700 Aktivieren Sie die Verschlüsselung auf Desktops und Mobilgeräten, was ich als schmerzfreies Härten bezeichne, verstehen Sie mich nicht falsch, das nennt man Hardening. 01:00:00.700 --> 01:00:06.500 Es geht wirklich darum, wie man die Sicherheit der Hardware im Unternehmen erhöht. 01:00:06.500 --> 01:00:15.120 Sehr schnell wird es insbesondere darum gehen, die Verschlüsselung zu aktivieren, aber das hat Claudia bereits erwähnt, die Updates zu automatisieren. 01:00:15.260 --> 01:00:24.380 Auch hier gilt: Es mag albern klingen, aber es ist extrem wichtig, seine Systeme und seine Hardware in dieser Hinsicht auf dem neuesten Stand zu halten. 01:00:24.380 --> 01:00:28.080 EDR einsetzen, Antivirus, Claudia hat es gesagt. 01:00:28.080 --> 01:00:33.680 USB-Anschlüsse blockieren, wir bei BDO, aber ich denke, dass dies von nun an in vielen Unternehmen der Fall sein wird. 01:00:33.680 --> 01:00:42.420 Es ist kompliziert für uns, wir können aus verständlichen Gründen keine Sicherungslaufwerke mehr an USB-Anschlüsse anschließen. 01:00:43.240 --> 01:00:53.400 BIOD zu betreuen, ist die Möglichkeit, die ein Unternehmen seinen Mitarbeitern bietet 01:00:53.400 --> 01:00:59.380 ihre eigene Hardware mitzubringen und sich über die Hardware mit dem Unternehmensnetzwerk verbinden zu können. 01:00:59.380 --> 01:01:01.800 Natürlich muss es sich um etwas handeln, das unter einem strengen Rahmen steht. 01:01:01.800 --> 01:01:05.920 Entfernen Sie die Administratorrechte auf den Benutzerrechnern. 01:01:05.920 --> 01:01:11.420 Das Adminrecht ist die Möglichkeit, den eigenen PC zu verwalten. 01:01:11.860 --> 01:01:15.520 Es geht nicht nur darum, ein Anwendungsprogramm zu verwalten, sondern man hat auch die Möglichkeit dazu, 01:01:15.520 --> 01:01:21.140 und das sehe ich sehr stark, Leute, die auf den Posten installieren können, was sie wollen, 01:01:21.140 --> 01:01:24.540 auf ihren Posten tun, was sie wollen, und das muss in einen Rahmen gefasst werden. 01:01:24.540 --> 01:01:31.440 Also typischerweise in Bezug auf quick win, aktivieren, wie gesagt, die Verschlüsselung von Laufwerken, 01:01:31.440 --> 01:01:37.300 Wechselmedien standardmäßig sperren und nur begründete Ausnahmen zulassen, 01:01:37.300 --> 01:01:39.480 denn natürlich geht es nicht darum, alles zu schließen. 01:01:41.080 --> 01:01:52.520 Und dann bedingte Zugriffsregeln einführen, entweder ein nicht verwaltetes oder ein nicht aktuelles Gerät darf natürlich nicht auf sensible Daten zugreifen. 01:01:52.520 --> 01:02:08.940 Es stimmt, dass ich gleichzeitig vergesse, voranzukommen, es tut mir leid, aber da Sie meine Präsentation bereits auswendig kennen, ist das in Ordnung. 01:02:11.080 --> 01:02:20.722 Datensicherungen, Claudia hat davon gesprochen, ich erinnere gerne an die Regel der Datensicherung 3.2.1.1.0, d. h. drei Kopien von jedem Datensatz, zwei verschiedene 01:02:20.722 --> 01:02:30.075 Datenträger, eine Kopie, das ist für mich grundlegend, eine Kopie außerhalb des Standorts, um zu vermeiden, dass man sich zu stark einem Cyberangriff aussetzt. 01:02:29.960 --> 01:02:40.400 Ich habe viele Kunden, die das alles sehr gut machen, aber sie vergessen die Offsite-Kopie und wenn sie dennoch gehackt werden, insbesondere der 01:02:40.400 --> 01:02:47.240 Server, auf dem die Daten gespeichert sind, dann stehen sie ganz nackt da und werden geärgert. 01:02:47.240 --> 01:02:56.680 Es ist also wichtig, eine Offsite-Kopie dieser Daten zu erstellen und eine unveränderliche Kopie typischerweise, um sie aufbewahren zu können. 01:02:57.240 --> 01:03:05.206 Und das letzte, worauf ich bereits hingewiesen habe, ist die Null, das heißt, führen Sie Wiederherstellungstests durch und stellen 01:03:05.206 --> 01:03:08.500 Sie sicher, dass Ihre Wiederherstellungstests gut sind. 01:03:08.440 --> 01:03:15.720 Auch hier ist es allzu oft eine Klippe, auf die ich stoße, dass ich keinen periodischen Restore-Test habe. 01:03:15.720 --> 01:03:25.740 In Bezug auf Quick Wins die Unveränderlichkeit aktivieren, habe ich mich nicht im Offsite-Kopieren geübt. 01:03:26.340 --> 01:03:32.993 Ab dieser Woche - wenn ich also ab dieser Woche sage, verstehen Sie mich bitte richtig, aber das sind Fragen, die Sie sich jetzt stellen können - einen 01:03:32.993 --> 01:03:36.820 Wiederherstellungstest starten, der nicht nur die Wiederherstellung von Dateien umfasst. 01:03:36.820 --> 01:03:46.461 Hier werde ich kurz auf die Verschlüsselung eingehen, denn ich denke, wenn Sie Fragen haben, weil es einige ziemlich technische Begriffe 01:03:46.461 --> 01:03:51.840 gibt, können Sie mir gerne im Anschluss an die Präsentation Fragen stellen. 01:03:52.300 --> 01:03:54.180 Aber verschlüsseln Sie Ihre Daten, Claudia hat es gesagt, 01:03:54.180 --> 01:03:57.200 Daten im Ruhezustand, Daten auf der Durchreise. 01:03:57.200 --> 01:04:00.960 Wenn man SaaS-Anwendungen hat, 01:04:00.960 --> 01:04:04.500 d. h. Anwendungen, die von einem externen Anbieter verwaltet werden, 01:04:04.500 --> 01:04:06.540 es ist wichtig, sich diese Frage zu stellen 01:04:06.540 --> 01:04:11.560 ob die Daten, die über den jeweiligen Anbieter laufen werden 01:04:11.560 --> 01:04:14.480 ist sie sicher und verschlüsselt. 01:04:14.480 --> 01:04:21.040 DLP, was ist DLP? 01:04:21.040 --> 01:04:28.140 steht für Data Leakage Protection, das sind Werkzeuge, mit denen man sich vor allem gegen das Risiko von Datenlecks schützen kann. 01:04:28.140 --> 01:04:35.380 Sie sind ein KMU, Sie sind ein Startup, Sie haben nicht unbedingt immer die Mittel, um sich ein solches Werkzeug anzuschaffen, 01:04:35.380 --> 01:04:42.480 aber für den Fall, dass Sie dies tun möchten, ist es immer gut, sich ein solches Werkzeug anzuschaffen, 01:04:42.480 --> 01:04:48.060 weil es eine Reihe von Regeln aufstellt, mit denen man sich gegen das Risiko eines Datenverlusts schützen kann, 01:04:48.580 --> 01:04:58.807 Vor allem bei Dingen, die sehr schwierig sind, wie die Erkennung der Iban-Nummer, die Erkennung der AHV-Nummer, diese Art von Schlüsselwörtern, die es 01:04:58.807 --> 01:05:09.368 ermöglichen, dass, wenn ein Mitarbeiter aus Versehen diese Art von Inhalt über eine E-Mail versenden möchte, die E-Mail das Unternehmen nie verlassen kann. 01:05:10.560 --> 01:05:23.825 Bei den Quick Wins typischerweise drei grundlegende DLP-Regeln erstellen, die Prüfung Ihrer Lösungen aktivieren, egal ob es sich um 01:05:23.825 --> 01:05:32.537 Microsoft 365 oder Google handelt, und vermeiden, zu viele Links nach außen zu öffnen. 01:05:32.240 --> 01:05:33.740 Das ist es, was ich empfehle. 01:05:40.560 --> 01:05:50.049 Denken Sie daran, wenn Sie sich an einen Dienstleister wenden, dass es in Ihrer Verantwortung bleibt, die Daten bleiben in Ihrer Verantwortung, also 01:05:49.986 --> 01:05:58.969 schließt Vertrauen Kontrolle nicht aus, aus diesem Grund empfehle ich, wenn man sich an einen Dienstleister des Platzes wendet, trotzdem eine 01:05:58.969 --> 01:06:03.777 minimale Due Diligence mit einer bestimmten Anzahl von Erwartungen zu haben. 01:06:04.360 --> 01:06:13.880 Dies kann die Existenz einer SOC- oder ISAE-Bescheinigung sein, die Ihnen Sicherheit über das Niveau der internen Kontrolle gibt, die bei dem Anbieter vorhanden ist. 01:06:13.880 --> 01:06:22.987 Es wird auch Garantien für den Standort der Daten geben, auch hier in Verbindung mit dem, was heute Morgen von meinen Kollegen 01:06:22.987 --> 01:06:26.900 dargelegt wurde, insbesondere zu den Problemen des DSG. 01:06:28.060 --> 01:06:36.576 Es wird darum gehen, die wichtigsten Vertragsklauseln mit einer Meldung von Vorfällen mit klaren Fristen, einem Management der 01:06:36.576 --> 01:06:41.566 Subunternehmer des Anbieters, einer Datenübertragbarkeit usw. zu umrahmen. 01:06:41.500 --> 01:06:46.680 Wenn es um Quick Wins geht, sollte man immer von seinem Anbieter verlangen. 01:06:46.680 --> 01:06:55.617 Wenn es sich um große Anbieter handelt, hat man in der Regel eine solche Versicherung, weil man eine ISAE- oder SOC-Bescheinigung hat, mit der man überprüfen 01:06:55.617 --> 01:07:02.667 kann, ob die erwarteten technischen Maßnahmen bei dem betreffenden Anbieter vorhanden sind, aber das ist nicht immer der Fall. 01:07:02.580 --> 01:07:11.679 Nicht alle Anbieter haben diese Art von Bescheinigung, und daher ist es in diesen Fällen gut, Fragen zu stellen und also typischerweise das zu verlangen, was ich 01:07:11.679 --> 01:07:19.996 bereits vorgestellt habe, d. h. Multifaktor-Authentifizierung, Single Sign-On, d. h. die Möglichkeit, sich nur einmal bei allen Systemen anzumelden. 01:07:20.000 --> 01:07:33.486 Das ist nicht nur für externe Prüfer gedacht, sondern auch für Sie, um Ihnen die Gewissheit zu geben, dass mein Dienstleister seine 01:07:33.486 --> 01:07:39.880 Arbeit gut macht und alle Sicherheitsvorkehrungen getroffen hat. 01:07:39.680 --> 01:07:48.740 Und dann ist es natürlich, laufen zu lassen und dann unabhängige Backups einzurichten. 01:07:50.000 --> 01:07:55.960 die Zeit vergeht 01:07:55.960 --> 01:07:59.040 aber stellen Sie mir Fragen 01:07:59.040 --> 01:08:01.080 am Ende bitte über den Aktionsplan 01:08:01.080 --> 01:08:02.740 all das, was ich Ihnen noch nicht vorstellen konnte 01:08:02.740 --> 01:08:05.180 Dank an alle 01:08:05.180 --> 01:08:16.280 ich wollte Ihnen nicht das Wort abschneiden 01:08:16.280 --> 01:08:17.220 so abrupt 01:08:17.220 --> 01:08:20.420 es ist wahr, dass ich gesprächig bin 01:08:20.420 --> 01:08:23.580 nein ich habe Experte und leidenschaftlicher Mitarbeiter 01:08:23.580 --> 01:08:24.460 ich habe nicht geschwätzig gesagt 01:08:24.460 --> 01:08:26.260 aber sehr gut 01:08:26.260 --> 01:08:29.240 ohne weiteres werden wir durchgehen 01:08:29.240 --> 01:08:31.480 bei der letzten Präsentation 01:08:31.480 --> 01:08:33.140 des Vormittags, bevor es weitergeht 01:08:33.140 --> 01:08:34.340 mit den Fragen 01:08:34.340 --> 01:08:37.280 also die letzte Präsentation 01:08:37.280 --> 01:08:39.060 trägt den Titel Auswahl und Einsetzung 01:08:39.060 --> 01:08:40.080 von IT-Lösungen 01:08:40.080 --> 01:08:42.900 Herr Adélite Uwineza 01:08:42.900 --> 01:08:45.340 Manager Cybersicherheit bei EY 01:08:45.340 --> 01:08:48.460 wird diese Präsentation übernehmen. 01:08:48.460 --> 01:08:51.680 Um ihren Werdegang in Erinnerung zu rufen, 01:08:51.680 --> 01:08:55.080 er hat einen Masterabschluss in Business Engineering 01:08:55.080 --> 01:08:57.660 mit einer Spezialisierung auf Innovations- und Technologiemanagement. 01:08:57.660 --> 01:09:00.660 Mit mehr als acht Jahren Erfahrung im Bereich Cybersicherheit, 01:09:00.660 --> 01:09:03.080 er hat Projekte zur Umsetzung von Sicherheitsmaßnahmen erfolgreich durchgeführt, 01:09:03.080 --> 01:09:06.660 hauptsächlich in NGOs, Pharmaunternehmen und Banken. 01:09:06.660 --> 01:09:09.640 Ich bitte Sie, sich mir anzuschließen und mit der Präsentation fortzufahren. 01:09:09.640 --> 01:09:12.080 Und machen Sie sich keine Sorgen, wie Alexander gesagt hat, 01:09:12.080 --> 01:09:13.500 alle Fragen können danach kommen. 01:09:14.780 --> 01:09:18.260 Wir haben noch eine halbe Stunde Zeit, um zu debattieren, was lang und kurz zugleich ist. 01:09:18.260 --> 01:09:24.320 Vielen Dank, Frédéric, für diese schöne, schmeichelhafte Einleitung. 01:09:24.320 --> 01:09:33.480 Ich spreche also nach meinen Kollegen, nach Audrey, Elisabeth, Claudia und Alexandre, 01:09:33.480 --> 01:09:39.400 in dem Versuch, sie zu ergänzen, indem ich einige Denkanstöße mit Ihnen teile 01:09:39.400 --> 01:09:44.140 darüber, wie Sie die für Ihre Bedürfnisse am besten geeigneten Lösungen identifizieren und auswählen können, 01:09:44.700 --> 01:09:49.960 unabhängig davon, ob es sich um Anforderungen an die elektronische Signatur oder die elektronische Archivierung handelt, 01:09:49.960 --> 01:09:59.660 oder auch Datenrisikomanagement oder allgemein im Bereich des Managements des Schutzes sensibler Daten. 01:09:59.660 --> 01:10:05.580 Jetzt, da meine Kollegen also schon alle vorgestellt haben, merke ich, dass es keine leichte Aufgabe ist 01:10:05.580 --> 01:10:16.200 Ihnen diese Punkte vorzustellen, ohne mich zu sehr zu wiederholen, aber ich werde versuchen, den Hammer mit einem 01:10:16.200 --> 01:10:22.200 auf den Nagel mit einem anderen Hammer die wahre für diese Analogie des Schreiners war ich nicht mehr 01:10:22.200 --> 01:10:29.520 Ich bin nicht inspiriert, aber bei den Punkten, bei denen ich das Gefühl habe, dass ich mich wiederhole, geht es um Folgendes 01:10:29.520 --> 01:10:36.600 Es ist also ganz normal, dass man in 15 Minuten nicht alles wissen kann. 01:10:36.600 --> 01:10:41.400 durchsuchen, aber wir werden trotzdem versuchen, die folgenden Denkanstöße zu durchsuchen 01:10:41.400 --> 01:10:46.080 zusammen dann werden wir einige Beispiele von Lösungen Haiti sehen, die geeignet sind 01:10:46.080 --> 01:10:51.180 an Ihre Bedürfnisse anhand einiger von mir ausgewählter Anwendungsfälle anpassen, und schließlich werde ich 01:10:51.180 --> 01:10:58.040 möchte mit einer kurzen Einführung in einige Vorteile der Wahl von Lösungen schließen 01:10:58.040 --> 01:11:03.320 cloud. Sie werden feststellen, dass ich ein großer Fan von Cloud-Lösungen bin, aber 01:11:03.320 --> 01:11:10.860 das ist persönlich. Also ohne weitere Umschweife, wenn wir die Lösungen direkt angreifen, also 01:11:10.860 --> 01:11:14.460 Lösungen im Bereich des Datenschutzes. Das sind also Dinge, die bereits 01:11:14.460 --> 01:11:18.480 wurden erwähnt, aber wenn man an Datenschutz denkt, ist das erste, was man tut 01:11:18.480 --> 01:11:22.560 ist es zunächst, Ihre Daten zu identifizieren. Sie werden Lösungen benötigen, die Ihnen 01:11:22.560 --> 01:11:27.560 ermöglichen es, Ihre Daten zu identifizieren und abzubilden, nicht die, die bereits existieren 01:11:27.560 --> 01:11:32.600 zu dem Zeitpunkt, an dem Sie Ihre Lösung implementieren, sondern Lösungen, die in der Lage sind, Folgendes zu erkennen 01:11:32.600 --> 01:11:37.340 neue Informationen eingehen und ihnen das richtige Maß an Sensibilität zuweisen. 01:11:37.340 --> 01:11:44.800 Zweitens wurde bereits erwähnt, dass es wichtig ist, Ihre Daten zu schützen. 01:11:44.800 --> 01:11:50.000 sobald Sie sie identifiziert haben, egal, ob sie sich in Ruhe oder auf der Durchreise befinden, 01:11:50.000 --> 01:11:54.320 wenn Sie sie von A nach B bringen oder während des Gebrauchs. 01:11:55.180 --> 01:11:58.760 Es ist also wichtig, Lösungen zu haben, mit denen Sie eine Verschlüsselung anwenden können. 01:11:58.760 --> 01:12:03.980 Es ist wichtig, Lösungen zu haben, mit denen Sie den Zugriff auf diese Daten verwalten können, 01:12:03.980 --> 01:12:09.460 also festlegen, wer Zugang haben sollte, welches Profil absolut keinen Zugang zu diesen Daten haben sollte. 01:12:09.460 --> 01:12:15.560 Das sind Dinge, die z. B. durch DLP-Lösungen ergänzt werden können, über die wir bereits gesprochen haben, 01:12:15.560 --> 01:12:24.620 die sich z. B. in Ihre Lösungen für E-Mail-Dienste integrieren werden, um zu warnen, wenn man dabei ist, sensible Daten zu versenden 01:12:24.620 --> 01:12:29.280 oder wenn man bereits für den Versand gedrückt hat, diese sensiblen Informationen abfangen zu können 01:12:29.280 --> 01:12:32.300 bevor sie außerhalb Ihrer Organisation durchsickern. 01:12:32.300 --> 01:12:38.620 Sehr wichtig, wenn es um Datenschutz geht, im Gedächtnis zu behalten 01:12:38.620 --> 01:12:43.240 dass der Datenschutz hauptsächlich in drei Dimensionen stattfindet. 01:12:43.240 --> 01:12:46.860 Datenschutz haben wir bereits bei der Verschlüsselung besprochen. 01:12:46.860 --> 01:12:53.260 Verfügbarkeit, denn ohne Ihre Daten ist die Wahrscheinlichkeit groß, dass 01:12:53.260 --> 01:12:59.520 dass Sie Ihre Arbeit nicht machen können, und schließlich die Integrität, die meine Kollegen schon ziemlich ausführlich beschrieben haben. 01:12:59.520 --> 01:13:05.400 In Bezug auf die Integrität geht es darum, hauptsächlich dafür zu sorgen, dass, wenn Ihre Daten geändert werden, 01:13:05.400 --> 01:13:10.260 Sie in der Lage sind, erkennen zu können, dass es Änderungen an diesen Daten gegeben hat, 01:13:10.260 --> 01:13:17.740 unabhängig davon, ob es sich um unglückliche, also zufällige, oder absichtliche Änderungen durch böswillige Akteure handelt. 01:13:18.640 --> 01:13:26.400 Und schließlich, und am wichtigsten, müssen Sie diese Daten wiederherstellen können, um die Version wiederherstellen zu können, die Ihrer Meinung nach am aktuellsten ist 01:13:26.400 --> 01:13:32.060 oder die Version, die nicht beschädigt wird, wenn es z. B. zu Ransomware und Ähnlichem kommt. 01:13:32.060 --> 01:13:38.820 Natürlich nur, wenn Sie die Möglichkeit haben, z. B. Ihre DLP-Lösungen zu integrieren, 01:13:38.820 --> 01:13:46.320 oder Ihre Tools zur Zugriffsverwaltung mit den Tools zur Überwachung und Vorfallserkennung, 01:13:46.780 --> 01:13:53.660 So können Sie Datenvorfälle proaktiv erkennen, bevor sie auftreten, 01:13:53.660 --> 01:14:02.360 oder rechtzeitig eingreifen zu können, wenn sich diese Datenlecks, diese Vorfälle im Zusammenhang mit sensiblen Daten, bereits materialisiert haben. 01:14:02.360 --> 01:14:09.360 Wir kommen zum nächsten Punkt über die sichere Archivierung und die elektronische Signatur. 01:14:09.360 --> 01:14:13.860 Dann gebe ich Ihnen recht, dass es sich um zwei verschiedene Themen handelt. 01:14:14.260 --> 01:14:22.360 Wie meine Kollegen bereits erwähnt haben, handelt es sich jedoch um zwei Tätigkeiten, die sehr oft denselben Regeln unterliegen. 01:14:22.360 --> 01:14:32.380 Zum Beispiel die EIDAS-Standards, die die Regelungen für Vertrauensdienste regeln werden. 01:14:32.380 --> 01:14:41.360 Es ist also wichtig, Lösungen zu wählen, die diesen verschiedenen Anforderungen, denen Sie oder Ihre Aktivitäten unterliegen, gerecht werden. 01:14:42.980 --> 01:14:51.100 Auch sehr wichtig, wenn Sie eine Backup-Lösung oder sogar eine Lösung für die elektronische Signatur auswählen, ist es wichtig, 01:14:51.100 --> 01:14:54.545 Funktionen zur Nachverfolgung von Audit-Trails zu haben. 01:14:54.360 --> 01:15:03.426 Wir kommen auf den Punkt mit der Integrität zurück. Nehmen wir als Beispiel einen Vertrag: Sie unterzeichnen einen Vertrag mit einem Arbeitgeber, wenn der 01:15:03.426 --> 01:15:10.933 Arbeitgeber Ihren Vertrag nach der Unterzeichnung ändern kann, um Klauseln hinzuzufügen, mit denen Sie nicht einverstanden sind, 01:15:10.760 --> 01:15:15.380 müssen Sie es erkennen und darauf reagieren können. 01:15:15.380 --> 01:15:20.980 Sie müssen also beweisen können, dass diese Änderung nach der Unterzeichnung stattgefunden hat. 01:15:20.980 --> 01:15:26.480 Ich nehme also ein offensichtlich extremes Beispiel, nur um Ihnen den Punkt zu verdeutlichen. 01:15:26.480 --> 01:15:35.420 Erneut betone ich den Punkt zur Vorratsdatenspeicherung. 01:15:36.420 --> 01:15:45.500 Sie brauchen Lösungen, mit denen Sie kontrollieren können, wie lange Ihre Daten aufbewahrt werden. 01:15:45.500 --> 01:15:53.320 Das heißt, dass wir uns in einer Situation befinden, in der wir manchmal Daten haben, die für eine Mindestdauer aufbewahrt werden müssen. 01:15:53.320 --> 01:15:59.280 Dies ist bei Finanzdaten der Fall, die z. B. zehn Jahre lang aufbewahrt werden müssen. 01:15:59.280 --> 01:16:05.400 Es gibt aber auch Daten, die nur so lange aufbewahrt werden sollten, wie Sie sie benötigen. 01:16:06.360 --> 01:16:09.460 Und über die Zeit hinaus, in der Sie sie brauchen, müssen Sie sie loswerden. 01:16:09.460 --> 01:16:16.680 Es ist also wichtig, Mechanismen und Werkzeuge zu haben, die es Ihnen ermöglichen, eine Art Monitoring über die Verweildauer zu betreiben. 01:16:16.680 --> 01:16:25.780 und vielleicht Alerting-Funktionen, die es Ihnen ermöglichen, diese Daten löschen zu können, sobald sie für Ihr Geschäft nicht mehr relevant sind. 01:16:25.780 --> 01:16:36.340 Der nächste Punkt ist, dass ich Ihnen raten würde, trotzdem Lösungen zu wählen, die sich in Ihre herkömmlichen Bürotools integrieren lassen. 01:16:36.360 --> 01:16:46.239 Damit meine ich, dass Sie, wenn Sie Tools wählen, die nicht kompatibel sind, damit konfrontiert werden, dass Sie diese Dokumente, diese Daten in ganz 01:16:46.239 --> 01:16:54.417 bestimmte Formate übersetzen müssen, bevor Sie sie z. B. zur Unterschrift versenden oder bevor Sie sie archivieren können. 01:16:54.220 --> 01:16:57.600 Es geht also schlicht und einfach um Einfachheit. 01:16:58.380 --> 01:17:04.240 Was die Speicherung dieser Daten angeht, haben Sie natürlich On-Prem- oder Cloud-Lösungen, 01:17:04.240 --> 01:17:10.280 aber ich habe den Punkt mit der Cloud trotzdem beibehalten, um mit meinem letzten Punkt übereinstimmend zu bleiben. 01:17:10.280 --> 01:17:19.460 In Bezug auf den Bedarf an der Einhaltung gesetzlicher Vorschriften, 01:17:19.460 --> 01:17:24.160 gibt es vier Hauptpunkte, die man bei der Wahl einer Lösung im Auge behalten sollte. 01:17:24.740 --> 01:17:30.260 Zum einen benötigen Sie eine Lösung, die die Verwaltung des Registers der Datenverarbeitung ermöglicht. 01:17:30.260 --> 01:17:38.442 Diese Verwaltung des Datenverarbeitungsregisters ist es, die es Ihnen ermöglichen wird, z. B. alles dokumentieren zu können, was 01:17:38.442 --> 01:17:42.190 mit den Gründen für die Erhebung der Daten zusammenhängt, 01:17:41.940 --> 01:17:48.460 die Kategorien der Personen und Daten, die Sie verarbeiten, und die Gründe, warum Sie diese Daten verarbeiten. 01:17:51.020 --> 01:18:02.000 Es ist also trotzdem relevant, Lösungen zu priorisieren, die Ihnen die Verwaltung, also das Sammeln und Verwalten von Einwilligungen und Präferenzen, ermöglichen. 01:18:02.000 --> 01:18:11.324 Das ist etwas, das es Ihnen zum Beispiel erleichtert, nachweisen zu können, dass die Daten, die Sie sammeln, vorher von Ihnen genehmigt 01:18:11.324 --> 01:18:15.816 wurden, bevor Sie sie überhaupt sammeln oder verarbeiten können. 01:18:19.500 --> 01:18:27.190 Wenn es um die Einhaltung von Vorschriften geht, werden Sie auch mit der Notwendigkeit konfrontiert werden, die Anfragen der betroffenen 01:18:27.190 --> 01:18:31.680 Personen beantworten zu müssen, also der Personen, deren Daten Sie verarbeiten. 01:18:31.680 --> 01:18:39.669 Wenn Sie also die Möglichkeit haben, eine Lösung zu wählen, die es Ihnen ermöglicht, all diese Fragen zu zentralisieren und sie zentral 01:18:39.669 --> 01:18:43.949 beantworten zu können, vielleicht nach Gruppierungen, ist das vorzuziehen. 01:18:43.720 --> 01:18:49.340 Der letzte Punkt ist, dass sich die Vorschriften weiterentwickeln werden. 01:18:50.240 --> 01:18:56.180 Ich denke, ich lehne mich nicht zu weit aus dem Fenster, wenn ich sage, dass die meisten Regelungen, die wir heute kennen, vor 20 Jahren noch nicht existierten. 01:18:56.180 --> 01:18:58.860 Und die, die es gab, müssen sich bereits gut weiterentwickelt haben. 01:18:58.860 --> 01:19:02.140 Wir müssen also damit rechnen, dass sich diese Regelungen weiterentwickeln. 01:19:02.140 --> 01:19:11.180 Wenn man sich für eine Lösung entscheidet, sollte man in diesem Fall eine skalierbare Lösung wählen, die Sie im Laufe der Zeit begleiten kann, 01:19:11.180 --> 01:19:14.920 die in der Lage sein wird, neue Regelungen und Anforderungen zu integrieren. 01:19:19.500 --> 01:19:27.901 In Bezug auf das Risikomanagement möchte ich nicht zu sehr darauf eingehen, ich denke, das wurde schon ziemlich gut abgedeckt, aber natürlich sollte man immer daran 01:19:27.563 --> 01:19:35.482 erinnern, wie wichtig es ist, die Daten zuerst zu kartografieren und zu klassifizieren, bevor man sie schützen kann, bevor man überhaupt daran denken kann, sie zu 01:19:35.820 --> 01:19:39.420 und das erfordert in der Regel eigene Werkzeuge. 01:19:39.420 --> 01:19:46.980 Es ist besser, trotzdem Werkzeuge zu bevorzugen, die es ermöglichen, Rahmen für das Risikomanagement zu integrieren. 01:19:46.980 --> 01:19:52.700 wie DPIAs oder TIAs, wobei TIA für Threat Impact Assessment steht, 01:19:52.700 --> 01:19:57.420 und DPIA steht für Data Protection Impact Assessment oder Privacy, je nachdem, 01:19:57.420 --> 01:20:05.180 die als Mittel dienen werden, damit Sie sich einen Überblick verschaffen können 01:20:05.180 --> 01:20:12.040 über die Einhaltung der Kontrollen, die Sie selbst in Bezug auf die Datenverwaltung eingeführt haben. 01:20:12.040 --> 01:20:19.440 Auch, ob Sie die Möglichkeit haben, ein Tool zu haben, das Ihnen ein Dashboard zur Steuerung und Berichterstattung bietet, 01:20:19.440 --> 01:20:23.400 idealerweise mit Alerting und Echtzeitverfolgung, 01:20:23.400 --> 01:20:28.880 dies ermöglicht Ihnen einen kontinuierlichen Überblick über die Bereiche, in denen Sie konform sind 01:20:28.880 --> 01:20:31.540 und die Bereiche, in denen Sie nicht konform sind, 01:20:31.540 --> 01:20:35.560 um sie in einer akzeptablen Zeit lösen zu können, 01:20:35.560 --> 01:20:40.920 aber vor allem, um genau diese Punkte, in denen Sie nicht konform sind, nicht aus den Augen zu verlieren. 01:20:40.920 --> 01:20:49.000 Ich weiß nicht, ob es sich lohnt, hier ein paar Beispiele durchzugehen, 01:20:49.000 --> 01:20:52.440 vielleicht können wir das während der Frage-und-Antwort-Runde tun, 01:20:52.440 --> 01:20:58.760 aber sehr schnell, im Bereich der Archivierung und der elektronischen Signatur, 01:21:00.160 --> 01:21:09.340 Elektronische Signatur, wir werden uns für Lösungen wie z. B. DocuSign, Adobe oder Swisscom Trust Services für eine, man könnte sagen, lokale Lösung interessieren. 01:21:09.340 --> 01:21:15.820 Und dann, für alles, was mit Datenverwaltung und Archivierung zu tun hat, werden wir uns vielleicht Lösungen wie Box, M5 ansehen. 01:21:15.820 --> 01:21:20.060 Selbstverständlich ist die Liste der Lösungen hier nicht erschöpfend. 01:21:20.060 --> 01:21:26.220 Es handelt sich um ausgewählte Lösungen, die möglicherweise eher für KMU, also kleine und mittlere Unternehmen, geeignet sind. 01:21:26.220 --> 01:21:33.760 Aber es gibt natürlich auch andere Lösungen, und es ist sehr wichtig, dass Sie Ihre Analyse durchführen, bevor Sie die Lösung auswählen. 01:21:33.760 --> 01:21:42.920 Im Bereich Risiko- und Datenmanagement wird man sich mit Lösungen wie OneTrust, TrustArc, Osano und Dataguard beschäftigen. 01:21:42.920 --> 01:21:52.000 Und hier stellen Sie fest, dass wir in Bezug auf die Einhaltung von Vorschriften und das Risikomanagement hauptsächlich auf dieselben Instrumente setzen. 01:21:52.000 --> 01:21:55.160 Wir beschäftigen uns mit Werkzeugen, die beide Aktivitäten kombinieren. 01:21:56.220 --> 01:22:06.155 Und ich lege nur ein Augenmerk auf One Trust. Also, es ist vielleicht kein Tool, das sich vollständig für kleine und mittlere Unternehmen eignet. Es hängt also von 01:22:06.155 --> 01:22:15.198 Ihrem Reifegrad ab. Das ist eine Einschätzung, die man vorher machen muss, um festzustellen, ob es wirklich ein Tool ist, das zu Ihrem Geschäft passt. 01:22:15.660 --> 01:22:22.440 Aber es ärgerte mich ein wenig, dass ich den Marktführer im Bereich Compliance-Management nicht erwähnt hatte. 01:22:22.440 --> 01:22:28.540 Ich habe also trotzdem Wert darauf gelegt, das Tool auf die Folie zu legen, damit Sie trotzdem Ihre Suche durchführen können. 01:22:28.540 --> 01:22:33.080 Und wenn Sie ihn ablehnen müssen, dann sollen Sie ihn ablehnen können, aber mit allen Informationen. 01:22:33.080 --> 01:22:41.060 In Bezug auf den Datenschutz, vor allem, wenn Sie nach einer Lösung für die Sicherung und Wiederherstellung von Daten suchen 01:22:41.060 --> 01:22:43.720 um sich vor Ransomware-Angriffen zu schützen, 01:22:43.720 --> 01:22:45.860 werden Sie sich eher an Microsoft orientieren, 01:22:45.860 --> 01:22:48.320 Acronis, Sophos usw. 01:22:48.320 --> 01:22:52.160 Auf dem Markt werden Sie also jede Menge Lösungen finden, 01:22:52.160 --> 01:22:54.700 On-Premise-Lösungen oder Cloud-Lösungen. 01:22:54.700 --> 01:23:02.180 Und selbst wenn eine recht gründliche Bewertung im Vorfeld 01:23:02.180 --> 01:23:05.980 ist notwendig, um festzustellen, ob Sie ein Cloud-Modell benötigen 01:23:05.980 --> 01:23:07.500 oder ob Sie ein On-Premise-Modell benötigen, 01:23:08.300 --> 01:23:15.120 Es ist trotzdem sehr wichtig, diese wenigen Vorteile von Cloud-Lösungen zu erwähnen, die nicht zu vernachlässigen sind. 01:23:15.120 --> 01:23:19.940 Beginnen wir mit dem ersten, dem Lebensnerv, dem Geld. 01:23:19.940 --> 01:23:26.120 Jedes Unternehmen, jeder Unternehmensleiter muss natürlich auch an die... 01:23:26.120 --> 01:23:33.220 Cloud-Lösungen sind nachweislich kostensparend, 01:23:33.220 --> 01:23:36.160 zum einen, weil Sie nur für das bezahlen, was Sie verbrauchen, 01:23:36.680 --> 01:23:49.780 Und zum anderen, weil es die Möglichkeit bietet, einen Teil der täglichen Verwaltung dieser Tools an Unternehmen auszulagern, die in der Regel darauf spezialisiert sind. 01:23:49.780 --> 01:23:57.080 Und wenn Sie es selbst tun müssen, z. B. oder sogar das Management von Sicherheitsvorfällen oder die Verhinderung von Sicherheitsvorfällen, 01:23:57.080 --> 01:23:59.860 das sind Aktivitäten, die sehr teuer sind, wenn Sie sie selbst durchführen müssen. 01:24:01.060 --> 01:24:06.220 Und auch jene Unternehmen, die in der Regel diese Lösungen verwalten, 01:24:06.220 --> 01:24:12.200 es sich um recht robuste Unternehmen handelt, die eine gewisse Reife in Bezug auf die Sicherheit aufweisen. 01:24:12.200 --> 01:24:17.860 Wenn Sie ihnen also Ihre Daten anvertrauen, schränkt das die Auswirkungen im Falle eines Datenverlusts nicht ein. 01:24:17.860 --> 01:24:24.060 Andererseits verringert es die Wahrscheinlichkeit des Auftretens von Datendurchsuchungen stark. 01:24:27.760 --> 01:24:36.844 Natürlich ist es im Zusammenhang mit der Robustheit dieser Partner sehr wichtig, einen Partner zu haben, mit dem man die 01:24:36.844 --> 01:24:41.535 Verantwortung für die Einhaltung der Vorschriften teilen kann. 01:24:41.460 --> 01:24:50.480 Ich sage teilen, denn wenn man den Teil, z. B. die Verarbeitung, die Datenverarbeitung, delegiert, delegiert man nicht die Verantwortung. 01:24:50.480 --> 01:24:54.940 Wir behalten trotzdem die Verantwortung als datenerhebende Stelle. 01:24:57.760 --> 01:25:08.460 Das alles trägt also dazu bei, Ihren Ruf und Ihr Vertrauen bei Ihren Kunden, aber auch bei Ihren anderen Partnern zu verbessern. 01:25:09.460 --> 01:25:28.820 Die Verwaltung in der Cloud geht mit viel Automatisierung einher, was Ihre Produktivität erhöht und zu einer Zeitersparnis bei der Verwaltung führt. 01:25:28.820 --> 01:25:34.580 Und der letzte Punkt, der auch nicht zu vernachlässigen ist, ist die Eskalierbarkeit. 01:25:34.580 --> 01:25:42.437 Ich denke, ich liege nicht falsch, wenn ich sage, dass das Ziel eines jeden Unternehmens, ob klein oder mittelgroß, darin besteht, zu 01:25:42.437 --> 01:25:46.220 wachsen, dauerhaft zu bleiben und mit der Zeit weiter zu wachsen. 01:25:46.520 --> 01:25:57.624 Und wenn Sie sich also für Cloud-Lösungen entscheiden, entscheiden Sie sich für skalierbare Lösungen, flexible Lösungen, die Sie bei Ihrem 01:25:57.624 --> 01:26:06.183 Wachstum begleiten können und die Ihr Kostenmanagement in Einklang mit den steigenden Ausgaben halten können. 01:26:05.720 --> 01:26:13.040 Dann möchte ich abschließend sagen, dass Sie auf dem Markt ziemlich viele Lösungen finden werden, um die verschiedenen 01:26:13.040 --> 01:26:16.220 Bedürfnisse, die wir besprochen haben, zu erfüllen. 01:26:16.520 --> 01:26:24.020 Es liegt an Ihnen, die nötige Arbeit zu leisten, um Ihren Bedarf zu ermitteln, bevor Sie auf irgendeine Lösung verwiesen werden. 01:26:24.020 --> 01:26:37.340 Sehr oft werden Sie als guter Unternehmensmanager dazu neigen, Entscheidungen zu treffen, die mehrheitlich von Kosten geleitet werden. 01:26:37.340 --> 01:26:46.060 Sie sollten aber auch andere Bedürfnisse berücksichtigen und Ihren langfristigen strategischen Plan nicht außer Acht lassen. 01:26:46.520 --> 01:26:51.220 Ihr taktischer Plan für die mittlere Frist sowie Ihr operativer Plan für die kurze Frist. 01:26:51.220 --> 01:26:53.160 Vielen Dank für Ihre Aufmerksamkeit. 01:26:53.160 --> 01:27:02.040 Vielen Dank. 01:27:02.040 --> 01:27:05.440 Wir gehen nun zur Frage-und-Antwort-Runde über. 01:27:05.440 --> 01:27:08.660 Ich weiß nicht, wer sich eingemischt hat, wir vergessen Sie nicht in Bezug auf den Slide. 01:27:08.660 --> 01:27:11.640 Es war in dieser Richtung, aber wir kommen darauf zurück. 01:27:11.640 --> 01:27:16.380 Eigentlich möchte ich vielleicht nur beginnen, und das wird mehrere Fragen zusammenfassen, die hier stehen. 01:27:16.520 --> 01:27:24.280 die Präsentation ist dicht, die Regelungen wirken konsequent 01:27:24.280 --> 01:27:31.000 und dann tatsächlich einige besorgt sind, ob sie sie als KMU integrieren können 01:27:31.000 --> 01:27:36.820 und schließlich ist es ein bisschen an euch alle gerichtet, vielleicht an dich Claudia oder an dich Alexander 01:27:36.820 --> 01:27:40.940 ich weiß nicht, wer antworten möchte, aber ist es letztlich so, dass man sich über diese Belastung Sorgen machen muss 01:27:40.940 --> 01:27:45.520 als KMU und wie sehr gibt es Lösungen, die auf KMU zugeschnitten sind? 01:27:45.520 --> 01:27:47.120 Ich weiß nicht, wer sie ergreifen will. 01:27:47.120 --> 01:27:52.720 Super, das Mikrofon wird sich drehen, denke ich. 01:27:52.720 --> 01:27:54.140 Dort ist es erstens besser. 01:27:54.140 --> 01:27:59.180 Also ja, in Bezug auf Ihre Frage, 01:27:59.180 --> 01:28:01.940 muss man sich als KMU Sorgen machen 01:28:01.940 --> 01:28:05.000 alle Kästchen richtig anzukreuzen? 01:28:05.000 --> 01:28:07.780 Ich würde also sagen, dass man sich keine Sorgen machen muss, 01:28:07.780 --> 01:28:09.720 aber es ist trotzdem ein wichtiges Thema. 01:28:09.720 --> 01:28:12.220 Also wie gesagt, die Folgen, 01:28:12.220 --> 01:28:15.200 sie können finanzieller, rechtlicher oder reputationsbezogener Natur sein. 01:28:15.520 --> 01:28:20.320 Vielleicht sollte man also mit den Maßnahmen beginnen, die am einfachsten umzusetzen sind. 01:28:20.320 --> 01:28:27.060 Meine Kollegen haben es gesagt: Daten kartografieren, damit anfangen. 01:28:27.060 --> 01:28:32.580 Dies ist vielleicht eine Maßnahme, die etwas Zeit in Anspruch nimmt, aber auch nicht zu langwierig und kostspielig in der Durchführung ist. 01:28:32.580 --> 01:28:35.760 Also die Daten ein wenig katalogisieren und das, was wir haben, klassifizieren. 01:28:35.760 --> 01:28:39.840 Beginnen Sie dann mit dem Einfachsten. 01:28:39.840 --> 01:28:46.960 Sie werden sich also die Folien noch einmal ansehen, aber alles Organisatorische ist oft recht einfach umzusetzen. 01:28:46.960 --> 01:28:53.020 Schulungen, interne Verfahren und dann auch auf die Technik zugehen. 01:28:53.020 --> 01:29:01.520 Dann nicht zögern, sich von Experten gerade zu diesen Themen begleiten zu lassen, sobald es technisch wird. 01:29:01.520 --> 01:29:08.620 Sie können sich auch an einen Externen wenden. 01:29:09.840 --> 01:29:13.900 Vielleicht, Alexandre, ist letztendlich alles, was wir diskutieren, wirklich auf KMU zugeschnitten? 01:29:13.900 --> 01:29:15.180 Ich denke, es gibt eine Besorgnis. 01:29:15.180 --> 01:29:18.540 Dann ist es immer dasselbe. 01:29:18.540 --> 01:29:22.520 Ich selbst habe versucht, recht einfache und recht kostengünstige Maßnahmen vorzustellen. 01:29:22.520 --> 01:29:26.380 Einrichten... 01:29:26.380 --> 01:29:30.180 Daher hatte ich am Ende nicht unbedingt die Zeit, Ihnen meine Checkliste zu präsentieren. 01:29:30.180 --> 01:29:30.980 Ausreden dafür. 01:29:30.980 --> 01:29:32.220 Außerdem entschuldige ich mich dafür. 01:29:32.220 --> 01:29:36.500 Aber noch einmal: Wenn Sie sehr konkrete Fragen dazu haben, werde ich auf keinen Fall zögern. 01:29:37.220 --> 01:29:46.900 Aber ich denke, dass tatsächlich die wichtigsten zu berücksichtigenden Maßnahmen, mit denen Sie eine große Mehrheit der Anforderungen abdecken werden, 01:29:46.900 --> 01:29:52.380 insbesondere der regulatorischen Anforderungen, sind sie immerhin zeitaufwendig. 01:29:52.380 --> 01:29:54.640 Zeit, die man verbringen muss, bedeutet zwangsläufig Geld. 01:29:54.640 --> 01:30:04.060 Adelite hat eine Reihe von Lösungen vorgestellt, von denen, wie er sehr gut sagte, eine Reihe von ihnen nicht unbedingt für jeden von Ihnen geeignet ist. 01:30:04.060 --> 01:30:13.713 Aber ein DLP-ähnliches Tool einzurichten, muss nicht unbedingt ultrateuer sein. Eine bestimmte Anzahl von Einstellungen in Ihren 01:30:13.713 --> 01:30:19.060 Systemen zu aktivieren, ist technisch, aber nicht unbedingt kostspielig. 01:30:19.460 --> 01:30:26.998 Die Einführung bewährter Verfahrensweisen für die Verwaltung von Personalzugängen und -abgängen, die Verwaltung von Rechten 01:30:26.998 --> 01:30:30.154 und Konten ist zeitaufwendig, muss es aber nicht sein. 01:30:29.920 --> 01:30:37.080 Das erfordert nicht unbedingt, dass Sie dafür teure und dedizierte Lösungen einrichten. 01:30:37.080 --> 01:30:47.211 In allen Maßnahmen, die wir vorschlagen, steckt viel bäuerliche Vernunft. Danach wird es immer bestimmte Hilfsmittel geben, die 01:30:47.211 --> 01:30:50.718 Ihnen das Leben recht weitgehend erleichtern. 01:30:50.640 --> 01:31:01.002 Und dann hat Adelit einige Beispiele zu diesem Thema vorgestellt. Ich selbst würde aber sagen, dass 80% der Dinge, die Sie umsetzen können, 01:31:01.002 --> 01:31:06.986 recht einfach sind und außer etwas Zeit keine Investitionen Ihrerseits erfordern. 01:31:08.200 --> 01:31:18.066 Die Erstellung eines Registers der Datenverarbeitungen ist, wenn man die Anforderungen des NLPD berücksichtigt, etwas zeitaufwändig. Andererseits wird 01:31:18.066 --> 01:31:26.513 Ihnen nicht auferlegt, eine extrem teure Lösung zur Verwaltung Ihrer Risiken, zur Verwaltung Ihrer Behandlungen kaufen zu müssen. 01:31:26.320 --> 01:31:34.354 Das ist etwas, das durchaus in Form einer, und ich habe es bei einer Reihe von Kunden gesehen, die insbesondere kleine Banken oder 01:31:34.354 --> 01:31:39.321 Wertpapierhäuser sein können, es kann in Form einer Excel-Datei gemacht werden. 01:31:39.260 --> 01:31:41.400 also gibt es trotzdem insgesamt 01:31:41.400 --> 01:31:42.360 viel gesunder Menschenverstand 01:31:42.360 --> 01:31:45.340 des Prozesses, des Prozesses, des Prozesses 01:31:45.340 --> 01:31:46.680 das ist sehr wichtig 01:31:46.680 --> 01:31:49.920 und die Technik, ich werde nicht sagen, dass es ein Detail ist 01:31:49.920 --> 01:31:53.340 aber die meisten Werkzeuge 01:31:53.340 --> 01:31:55.520 ich betrachte sie, ich denke, sie haben 01:31:55.520 --> 01:31:57.300 Sie alle haben sie bereits 01:31:57.300 --> 01:31:59.240 danach haben Sie 01:31:59.240 --> 01:32:00.840 die Prozesse drumherum, um gut 01:32:00.840 --> 01:32:03.560 diese Werkzeuge parametrisieren, die Rechte gut verwalten 01:32:03.560 --> 01:32:04.900 usw., das ist etwas anderes 01:32:04.900 --> 01:32:07.180 aber darauf entfällt der Großteil der Arbeit 01:32:07.180 --> 01:32:08.240 es muss tatsächlich gemacht werden 01:32:08.240 --> 01:32:15.240 Vielen Dank. Bevor wir es vergessen, möchten Sie, dass wir noch einmal auf die Frage zurückkommen, die an die Folie angehängt ist? 01:32:15.240 --> 01:32:26.312 Nur kurz vorher, um zu versuchen zu ergänzen: Man sieht allzu oft Initiativen, die von dieser Angst gebremst werden, dass mit der 01:32:26.312 --> 01:32:32.060 Datenverwaltung eine Menge administrativer Verantwortung einhergeht. 01:32:33.740 --> 01:32:39.760 Die Bußgelder sind bei Verstößen zu hoch. 01:32:39.760 --> 01:32:41.920 Doch in Wirklichkeit ist das alles falsch. 01:32:41.920 --> 01:32:44.640 Es gibt also eine Verhältnismäßigkeit, die man im Auge behalten sollte. 01:32:44.640 --> 01:32:53.080 Das liegt daran, dass Sie als kleines oder mittleres Unternehmen nicht die gleichen Mittel einsetzen müssen wie große Unternehmen. 01:32:53.080 --> 01:33:00.920 Und auch bei den Bußgeldern ist es ähnlich: Sie werden nicht in der gleichen Höhe wie große Unternehmen gebüßt. 01:33:01.880 --> 01:33:05.380 Es gibt einen Begriff der Due Diligence, den man immer im Hinterkopf behalten sollte. 01:33:05.380 --> 01:33:12.740 Es ist zwar so, dass Sie Ihr Bestes geben müssen, aber bei Nichterfüllung müssen Sie nicht unbedingt die Tür schließen. 01:33:12.740 --> 01:33:17.240 Wenn man davon ausgeht, in die Cloud zu gehen, ist das natürlich mit einem Risiko verbunden. 01:33:17.240 --> 01:33:19.580 Am Ende ist alles eine Frage des Risikomanagements. 01:33:19.580 --> 01:33:23.920 Das bedeutet nicht, dass Sie alle Verantwortung delegieren. 01:33:23.920 --> 01:33:33.824 Das bedeutet nicht, dass der Anbieter, dem Sie die Verantwortung für die Verwaltung und das Hosting Ihrer Daten übertragen, wenn er morgen in Konkurs 01:33:33.824 --> 01:33:40.796 geht, ein Risiko eingeht, das Sie bereits akzeptiert haben, indem Sie zu dieser Lösung übergegangen sind. 01:33:40.600 --> 01:33:43.100 Und deshalb komme ich auf das zurück, was ich am Anfang gesagt habe. 01:33:43.100 --> 01:33:51.853 Es ist sehr, sehr wichtig, dass Sie sich die Zeit nehmen, Ihren Bedarf zu bewerten. Ihren Bedarf einzuschätzen, bedeutet auch, Ihren Risikoappetit 01:33:51.853 --> 01:33:58.359 einzuschätzen, das Risiko, das Sie bereit sind zu akzeptieren, und Ihre Entscheidungen in Betracht zu ziehen. 01:33:58.300 --> 01:34:06.092 Wir sind uns einig, dass es heute keinen gesetzlichen Rahmen gibt, der festlegt, vielleicht stelle ich Ihnen diese Frage, der festlegt, zu 01:34:06.037 --> 01:34:10.045 welchem Anbieter man als Unternehmen mit Sitz in der Schweiz Zugang hat? 01:34:10.100 --> 01:34:17.040 Heute gibt es in der Schweiz immerhin die Anforderung, dass die Daten in der Schweiz gespeichert werden. 01:34:17.040 --> 01:34:23.120 Wenn man auf amerikanische Cloud-Lösungen angewiesen ist, die die Daten in die USA schicken, 01:34:23.120 --> 01:34:26.600 man steht überhaupt nicht im Einklang mit den Schweizer Gesetzen. 01:34:26.600 --> 01:34:33.820 Heute ist das der Grund, warum z. B. Microsoft Hosting in Genf und Zürich anbietet. 01:34:33.820 --> 01:34:36.880 Es geht darum, genau diese Bedürfnisse zu befriedigen. 01:34:37.480 --> 01:34:47.483 Wenn Sie also über Microsoft gehen, versichert Microsoft heute, dass Ihre Daten in der Schweiz gespeichert werden, und in gewisser Weise gibt es keine 01:34:47.483 --> 01:34:55.643 Legitimität seitens der USA, diese Daten zu einem bestimmten Zeitpunkt zurückfordern zu können, wenn sie es beschließen. 01:34:55.380 --> 01:35:05.440 In der Tat geht es wieder um systemische Risiken, Risiken, die wir heute entdecken. Hätte man sich vor fünf Jahren vorstellen können, 01:35:05.440 --> 01:35:10.507 dass die Situation, die wir heute mit Trump erleben, realistisch ist? 01:35:10.360 --> 01:35:16.780 Ich wage es, aber Sie werden vielleicht alle frustriert sein, auf Fragen zurückzukommen, die bodenständig und technisch sind. 01:35:16.780 --> 01:35:24.540 Wir haben auch eine ganze Menge. Ich schlage zum Beispiel vor, dass ich mich vielleicht an Sie, Audrey, oder an Sie, Elisabeth, wende. 01:35:24.540 --> 01:35:31.120 Jemand fragt uns, welche rechtlichen Verpflichtungen bestehen, wenn es darum geht, die Daten eines Unternehmens zu archivieren, wenn es seine Tätigkeit einstellt. 01:35:37.540 --> 01:35:41.060 Tatsächlich ist es so, dass ein Unternehmen, wenn es seine Tätigkeit einstellt, unterliegt. 01:35:41.060 --> 01:35:48.880 Tatsächlich werden sich die Aufbewahrungsfristen nicht dadurch ändern, dass die Gesellschaft aufgelöst wird und in Liquidation geht. 01:35:48.880 --> 01:35:56.440 Deshalb ist es tatsächlich so, wie wir gesagt haben, ein Werkzeug, dann ist es old school im Vergleich zu allen anderen Überlegungen, 01:35:56.440 --> 01:36:01.800 sondern es geht tatsächlich darum, einen Erhaltungskalender und einen Erhaltungsplan zu haben, 01:36:02.260 --> 01:36:10.700 Werden tatsächlich bestimmte gesetzliche Aufbewahrungspflichten Ihr Unternehmen überleben? 01:36:10.700 --> 01:36:18.300 Hier kippen wir vielleicht ein wenig in die Debatte zurück, aber hier geht es wieder um die Legitimität der Unterschriftenfragen. 01:36:18.300 --> 01:36:24.520 Einige Leute fragen nach anerkannten Unterschriften, auch wenn man Verträge mit Lieferanten im Ausland abschließt. 01:36:25.000 --> 01:36:31.400 Das heißt, welche Unterschriften oder welche Gesetzgebung ist dort Gesetz? 01:36:31.400 --> 01:36:39.500 In Ordnung. Also, ich denke, das erste, was man wissen muss, ist, dass, wie ich schon sagte, der Vertrag, die formale Gültigkeit eines Vertrages, 01:36:39.500 --> 01:36:42.500 sie wird von dem anwendbaren Recht abhängen. 01:36:42.500 --> 01:36:48.560 Wir haben uns also auf Verträge konzentriert, die dem Schweizer Recht unterliegen, wie ich bereits sagte. 01:36:48.560 --> 01:36:53.560 In welchem Fall die formelle Gültigkeit, unterliegt sie dem Schweizer Recht. 01:36:54.620 --> 01:36:58.860 Und so wird geschaut, ob das Schweizer Recht die Schriftform vorschreibt. 01:36:58.860 --> 01:37:04.260 In welchem Fall brauchen wir eine handschriftliche Unterschrift oder eine QIS, eine qualifizierte Signatur. 01:37:04.260 --> 01:37:07.460 Ich weiß nicht, ob das die Frage beantwortet, 01:37:07.460 --> 01:37:13.620 ob es irgendwelche Präzisierungen gab oder ob die Person, die sie gestellt hat, vielleicht eine Präzisierung vornehmen möchte. 01:37:13.620 --> 01:37:17.040 Ich weiß nicht, wer sie gestellt hat. 01:37:17.040 --> 01:37:21.540 Danach tatsächlich, wenn Sie einen Vertrag haben, der einem anderen Recht unterliegt, 01:37:22.380 --> 01:37:26.880 werden Sie nach der formalen Gültigkeit in diesem anderen Recht schauen. 01:37:26.880 --> 01:37:33.420 Und so typischerweise, wenn wir uns einen Vertrag vorstellen, der dem deutschen Recht unterliegt, 01:37:33.420 --> 01:37:39.860 dort schauen wir uns an, wie die formale Gültigkeit nach deutschem Recht aussieht. 01:37:39.860 --> 01:37:46.440 Und wenn das deutsche Recht eine Schriftform, eine qualifizierte Unterschrift usw. vorschreibt, dann ist das nicht der Fall. 01:37:46.440 --> 01:37:51.660 Man kann zwei Signaturen in zwei Systemen in Betracht ziehen oder es ist etwas, das... 01:37:51.660 --> 01:37:57.020 Also gerade, wenn man einen Vertrag hat, der dem Schweizer Recht unterliegt, das die Schriftform vorschreibt, 01:37:57.020 --> 01:38:03.640 brauchen wir entweder eine handschriftliche oder eine qualifizierte Signatur. 01:38:03.640 --> 01:38:09.340 Es wird nicht möglich sein, eine schweizerische qualifizierte Signatur und eine ausländische qualifizierte Signatur zu haben. 01:38:09.340 --> 01:38:11.840 Denn wie gesagt, es gibt keine Gleichwertigkeit. 01:38:11.840 --> 01:38:19.240 Wenn Sie also einen Vertrag haben, der dem Schweizer Recht unterliegt und eine qualifizierte oder handschriftliche Unterschrift erfordert, 01:38:20.260 --> 01:38:29.600 Eine Signatur unter der eIDAS-Verordnung typischerweise, also eine Signatur, die in Europa, in der Europäischen Union, als qualifiziert 01:38:29.600 --> 01:38:35.668 anerkannt ist, wird es keine Äquivalenz mit der qualifizierten Schweizer Signatur geben. 01:38:35.600 --> 01:38:40.420 Daher wird die formale Gültigkeit nicht gegeben sein. 01:38:40.420 --> 01:38:44.100 Ich weiß nicht, ob das klar genug ist. 01:38:44.700 --> 01:38:51.700 Danach ist es typischerweise denkbar, dass Sie mit jemandem außerhalb der Schweiz einen Vertrag abschließen, 01:38:51.700 --> 01:38:58.860 aber wo Sie trotzdem einen Vertrag haben, der dem Schweizer Recht unterliegt, also Schweizer Formgültigkeit, 01:38:58.860 --> 01:39:07.740 können Sie sich selbst haben, der mit der qualifizierten Signatur unterschreibt, und die andere Person, die ein Wedding unterschreibt, also handschriftlich unterschreibt. 01:39:07.740 --> 01:39:10.120 Das ist also etwas, das in Betracht gezogen werden kann. 01:39:10.120 --> 01:39:14.660 Wenn Sie einen Vertrag mit jemandem abschließen, der keine qualifizierte Schweizer Signatur besitzt, 01:39:14.700 --> 01:39:26.300 Vielen Dank. Claudia, vielleicht haben Sie erwähnt, dass uns jemand eine Frage zum PDFA-Format stellt. Jemand fragt uns, ob es 100% fälschungssicher ist? 01:39:26.300 --> 01:39:32.040 Aber darüber hinaus glaube ich sogar, dass es tatsächlich die Frage aufwirft, wie sich Formate entwickeln und was im Laufe der Zeit Bestand haben wird. 01:39:32.040 --> 01:39:40.200 Und schließlich: Kann man das am Ende wirklich berechnen, vorhersagen? Wie können wir sicherstellen, dass all das, was wir hier tun, was eine grundlegende Frage ist, 01:39:40.200 --> 01:39:43.440 und dann auch mit der Frage der globalen Geopolitik überschneiden, 01:39:43.440 --> 01:39:45.860 alles, was Sie wollen, aber wie stellen wir am Ende sicher, dass wir 01:39:45.860 --> 01:39:49.000 dass das, was wir heute umsetzen, Bestand haben wird? 01:39:49.000 --> 01:39:52.500 Und im Vergleich zu diesen Formaten, in diesem Fall PDF? 01:39:52.500 --> 01:39:55.680 Ich würde sagen, dass das eine gute Frage ist, ich würde gerne eine Antwort darauf haben, 01:39:55.680 --> 01:40:00.180 aber leider kann ich nicht unbedingt alles vorhersagen, was passieren wird. 01:40:00.180 --> 01:40:04.080 Wir sehen bei der künstlichen Intelligenz, dass es sehr, sehr schnell geht. 01:40:04.080 --> 01:40:08.020 PDF A ist also das, was wir heute sehen, 01:40:08.020 --> 01:40:11.760 Wir wissen, dass es trotzdem für mehrere Jahre dort bleiben wird. 01:40:11.760 --> 01:40:19.100 Daher denke ich, dass es bereits ein guter Schritt ist, dafür zu sorgen, dass dieses Format beibehalten wird. 01:40:19.100 --> 01:40:23.560 Aber das ist bekanntlich ein Bereich, der sich weiterentwickelt und weiterentwickeln wird. 01:40:23.560 --> 01:40:25.920 Und man muss mithalten. 01:40:25.920 --> 01:40:33.680 Das Einzige, was ich raten kann, ist, dranzubleiben und zu verfolgen, was an Neuem kommt, 01:40:33.680 --> 01:40:44.420 Sich vielleicht ein wenig umzuhören, in den Netzwerken, in diesen Diskussionen. Aber ich kann nicht. 01:40:44.420 --> 01:40:51.743 Nein, aber durchaus. Wir diskutieren mit einem Publikum aus kleinen und mittleren Unternehmen. Jede Veränderung ist mit Kosten verbunden. Ich stelle mir 01:40:51.743 --> 01:40:58.067 vor, dass man Kennzahlen zum Risiko von Veränderungen erstellt und sich dann an dem orientiert, was am sichersten ist, nehme ich an. 01:40:59.960 --> 01:41:09.340 Gleiche Frage, und im Übrigen bleibe ich vielleicht bei Ihnen, denn schließlich haben Sie den Begriff der KI als den Vorteil dargestellt, den sie haben kann. 01:41:09.340 --> 01:41:15.780 Es gibt auch Fragen zu all den ... in Bezug auf den Datenschutz, zu all dem, was der Einsatz von KI auch mit sich bringen kann, 01:41:15.780 --> 01:41:26.780 und schließlich erhöhte Sicherheitsmaßnahmen. Wie geht man mit dieser KI richtig um? Bringt sie letztlich nur Vorteile? 01:41:26.780 --> 01:41:28.620 Es stimmt also, dass bei all dem... 01:41:28.620 --> 01:41:31.120 Und ich fordere Sie heraus, aber ganz ehrlich: Jeder kann mitmachen. 01:41:31.120 --> 01:41:35.320 Zögern Sie nicht, mir mitzuteilen, wenn Sie etwas hinzufügen möchten. 01:41:35.320 --> 01:41:40.160 Es stimmt also, dass es auch künstliche Intelligenz gibt, 01:41:40.160 --> 01:41:43.760 also alle Vorschriften drumherum, alle Sicherheit drumherum. 01:41:43.760 --> 01:41:47.260 Dies ist etwas, das ebenfalls allmählich umgesetzt wird, 01:41:47.260 --> 01:41:51.520 also der Regelungen rund um KI in Europa und weltweit. 01:41:53.140 --> 01:42:12.443 Es stimmt, dass man bei der Implementierung dieser Tools oft vergisst, an all die Compliance und Kontrolle rund um die KI zu denken, wohin die 01:42:12.309 --> 01:42:21.826 Daten wirklich gehen und ob es sich um einen externen Anbieter handelt. 01:42:21.960 --> 01:42:27.440 Kennen wir ihn wirklich gut? Wissen wir, dass er sich wirklich gut mit dem Thema auseinandergesetzt hat usw.? 01:42:27.440 --> 01:42:34.340 Ich bin also keine Expertin für alles, was wirklich mit künstlicher Intelligenz zu tun hat. 01:42:34.340 --> 01:42:36.240 Ich möchte mich also nicht wirklich darauf einlassen. 01:42:36.240 --> 01:42:46.620 Aber es stimmt, dass ich denke, bevor ich ein Tool in seinem Unternehmen implementiere, das sehr gut aussieht, 01:42:46.620 --> 01:42:54.358 Man muss sich wirklich informieren, schon beim Vertrag, vielleicht jemanden in der Firma hinzuziehen, der etwas legaler ist, eine 01:42:54.299 --> 01:42:59.201 juristische Kappe hat, und dann gemeinsam mit der Sicherheitsabteilung lesen gehen. 01:42:59.260 --> 01:43:07.360 Gibt es wirklich Klauseln im Vertrag, die auch in die Richtung des Datenschutzes etc. gehen? 01:43:07.360 --> 01:43:20.760 Man sollte also nicht einfach blindlings losgehen und ein KI-Tool zu Hause implementieren, ohne die Klauseln zu lesen und sich über diesen Teil zu informieren. 01:43:20.760 --> 01:43:25.360 Noch jemand, z. B. Alexandre, zu diesem Einsatz von KI? 01:43:25.360 --> 01:43:35.700 Ich denke, was man sagen kann, und ich als Zuhörer bin ein begeisterter Nutzer von KI in zunehmendem Maße, um ganz ehrlich zu Ihnen zu sein. 01:43:35.700 --> 01:43:46.366 Ich bin mir sicher, dass es dazu einen Slide gibt, den ich Ihnen noch nicht vorstellen konnte, aber das muss Gegenstand technischer Maßnahmen sein, 01:43:46.366 --> 01:43:53.023 die auf die gleiche Weise betreut werden, wie eine Geschäftsanwendung betreut werden würde. 01:43:53.620 --> 01:44:06.360 Das bedeutet natürlich, sehr genau auf die Zugänge zu achten, die man gewährt, und auf die Möglichkeit, die man den Mitarbeitern bietet, insbesondere die KI zu nutzen. 01:44:06.360 --> 01:44:15.920 Es muss eine kontrollierte Nutzung sein, weil typischerweise heute, ich bei BDO, wenn heute Nachmittag, nach unserem Austausch, 01:44:15.920 --> 01:44:18.200 ich machte mir einen Spaß daraus, zu kopieren 01:44:18.200 --> 01:44:20.040 einfügen in oder zum Hochladen 01:44:20.040 --> 01:44:21.680 eine Datei eines Kunden 01:44:21.680 --> 01:44:24.680 würde ich sofort 01:44:24.680 --> 01:44:25.380 Ich habe retuschiert 01:44:25.380 --> 01:44:27.880 durch meinen 01:44:27.880 --> 01:44:30.100 CISO, vom CISO von BDO 01:44:30.100 --> 01:44:32.080 schweizerisch, warum? 01:44:32.080 --> 01:44:32.900 weil 01:44:32.900 --> 01:44:36.140 BDO zum Beispiel, aber das ist der Fall 01:44:36.140 --> 01:44:38.460 andere meiner Klientinnen und Klienten, setzten 01:44:38.460 --> 01:44:39.760 Werkzeuge, die es ermöglichen 01:44:39.760 --> 01:44:41.980 gehen sie noch nicht unbedingt 01:44:41.980 --> 01:44:44.300 bis hin zur Zerlegung des Inhalts der Datei 01:44:44.300 --> 01:44:52.229 Aber wenn ich mir den Spaß mache, eine Datei mit dem Namen eines Kunden oder mit Schlüsselwörtern, die sehr sensibel wären, sofort oder innerhalb 01:44:52.229 --> 01:44:57.938 von zwei Tagen einzustellen, bekomme ich eine E-Mail und ich habe den Test gemacht, um ganz ehrlich zu sein. 01:44:57.780 --> 01:45:05.560 Ich bekomme eine E-Mail vom CISO, in der er mir sagt, warum du diese Datei z. B. in ChatGPT hochgeladen hast. 01:45:05.560 --> 01:45:13.680 Natürlich werden wir einen Rahmen für die Nutzung von künstlicher Intelligenz schaffen müssen. 01:45:13.680 --> 01:45:27.261 Ich verwende künstliche Intelligenz, um ein Arbeitsprogramm oder eine Präsentation zu erstellen, aber auch wir als Rechnungsprüfer müssen unsere Art der 01:45:26.682 --> 01:45:39.601 Rechnungsprüfung ein wenig ändern, denn ich habe einige Kunden, die damit beginnen, insbesondere im Bankenbereich künstliche Intelligenz in ihr System zu 01:45:40.180 --> 01:45:50.594 Und so wird es insbesondere mit meiner Kappe als Auditor bedeuten, dass ich mir den Algorithmus anschaue. Ich weiß nicht, ob ich so weit gehen werde, 01:45:50.594 --> 01:45:58.180 aber wie die KI letztendlich trainiert wird, wie all das so eingegrenzt wird, dass es keine Verzerrungen gibt. 01:45:58.180 --> 01:46:06.837 Wir sind also gerade dabei, daran zu arbeiten. Ich glaube nicht, dass ich der einzige bei BDO bin, aber ich denke, dass Wirtschaftsprüfungsgesellschaften wie 01:46:06.837 --> 01:46:13.915 unsere daran arbeiten, wie wir letztendlich dazu gebracht werden, diese KI-Modelle zu prüfen, denn ganz klar, es nimmt Platz weg. 01:46:13.860 --> 01:46:21.800 Es muss also ein Thema sein, wie ich es nenne. 01:46:21.800 --> 01:46:27.920 Ich werde einfach noch einmal ein paar Fragen stellen, weil es so viele sind. Es gibt etwas, das immer wieder auftaucht, und das ist die Frage nach der Verantwortung. 01:46:28.180 --> 01:46:31.840 auf der Ebene der Datenaufbewahrung: Wer ist verantwortlich? 01:46:31.840 --> 01:46:34.240 Ich weiß, dass Sie es viel vorgestellt haben, aber ich sehe, dass es oft wiederkehrt. 01:46:34.240 --> 01:46:38.400 Dann sagt uns jemand, ob diese Verantwortung einem Vorstand oder der Geschäftsführung obliegt? 01:46:38.400 --> 01:46:41.420 Vorhin wurde über Data Owners in Unternehmen gesprochen. 01:46:41.420 --> 01:46:51.080 Letztlich: Wem wird die Verantwortung für diesen Erhalt zugeschrieben? 01:46:51.080 --> 01:46:57.780 Die verantwortliche Person wird tatsächlich derjenige sein, der die Daten sammelt. 01:46:57.960 --> 01:47:00.680 Er ist also der Verantwortliche für die Datenverarbeitung. 01:47:00.680 --> 01:47:10.920 Und dann, intern, innerhalb Ihres Unternehmens, wird es klassischerweise tatsächlich die Administratoren sein. 01:47:10.920 --> 01:47:16.940 Danach können einige große Unternehmen einen Datenschutzberater ernennen, 01:47:16.940 --> 01:47:21.980 auf DSGVO-Ebene wird er als DPO, Data Protection Officer, bezeichnet. 01:47:21.980 --> 01:47:25.180 Aber das bleibt eine interne Funktion. 01:47:25.300 --> 01:47:29.620 Das könnte also intern Verantwortlichkeiten auf der Ebene der Aufgaben dieser Person schaffen. 01:47:29.620 --> 01:47:34.700 Aber die ultimative Verantwortung, das bleibt die Verantwortung der Unternehmensleitung. 01:47:34.700 --> 01:47:40.180 Wir werden nach der juristischen Person tatsächlich nach natürlichen Personen suchen. 01:47:40.180 --> 01:47:46.840 Jemand fragt uns, ob es in der Frage z. B. um die Manipulation von Dokumenten oder um die Archivierung zur Aufbewahrung geht, 01:47:46.840 --> 01:47:49.960 ist ein Austausch von E-Mails mit einem angehängten Dokument, das einen rechtlichen Wert hat. 01:47:53.620 --> 01:47:58.120 Dann ist der Rechtswert als solcher ein etwas abstraktes Konzept. 01:47:58.120 --> 01:48:02.500 Wenn es sich also tatsächlich um einen Rechtsstreit handelt, kann es immer noch vorgelegt werden. 01:48:02.500 --> 01:48:08.480 Danach die Beweiskraft einer E-Mail, tatsächlich noch einmal, 01:48:08.480 --> 01:48:12.260 das hängt davon ab, was Sie mit dem Inhalt versuchen. 01:48:12.260 --> 01:48:16.880 Der Anhang, hier schalten wir zurück auf welchen Anhang. 01:48:16.880 --> 01:48:26.560 Wenn es sich z. B. um einen Vertrag handelt, der elektronisch unterzeichnet wurde, ja, dann ist es tatsächlich, in diesem Fall ist es das Dokument als solches. 01:48:26.560 --> 01:48:34.000 Wie gesagt, wenn sie vorschriftsmäßig elektronisch archiviert wurde, hat sie volle Beweiskraft. 01:48:34.000 --> 01:48:41.600 Wir kommen zum Ende. Es gibt viele Fragen, die sehr... Eigentlich wünscht man sich Auflistungen von Lösungen. 01:48:41.600 --> 01:48:46.560 Ich möchte Sie ermutigen, darüber zu diskutieren. Es gab einige Vorschläge, die vorgelegt wurden. 01:48:46.880 --> 01:48:53.750 Ich habe das bewusst ausgeschlossen, weil es für mich nicht die Idee dieser Diskussion war. Aber ich verstehe, dass zwangsläufig 01:48:53.750 --> 01:48:56.425 eine konkrete Lösung das ist, was Sie alle suchen. 01:48:56.320 --> 01:49:04.176 Ich möchte Sie also ermutigen, weiterzumachen. Wir sind am Ende dieser Debatten angelangt. Ich möchte Ihnen für Ihre Teilnahme 01:49:04.176 --> 01:49:07.621 danken. Ich sehe, dass dies eine Debatte ist, die belebt. 01:49:07.500 --> 01:49:13.500 aber ehrlich gesagt habe ich am Ende nicht mehr nachgelegt, weil es noch welche gab, aber wir können darüber reden. 01:49:13.500 --> 01:49:19.280 Die Frage, ob die Cloud diese Daten wirklich löschen kann, überlasse ich Ihnen nach der Debatte daneben. 01:49:19.280 --> 01:49:26.420 Auf jeden Fall danke ich Ihnen für alles, für Ihre Fragen, für die Teilnahme, ich danke den Teilnehmern. 01:49:26.420 --> 01:49:31.480 Sie sehen, dass noch ein Slideau kommt, das ist zur Auswertung der heutigen Sitzung. 01:49:33.160 --> 01:49:43.720 Sie haben dann Zugang, diese Sitzungen, diese Vormittage werden aufgezeichnet, so dass Sie sie auf der hier erwähnten Seite als Video nacherleben können. 01:49:43.720 --> 01:49:50.380 Ich möchte mich bei allen Partnern bedanken, die diese Frühstücke machbar machen. 01:49:50.380 --> 01:50:03.559 Ich beende das nur noch. Also die CCIG, FER Genf, BDO, Deloitte, EY, KPMG, PwC, Entreprises Romandes und Bilan, bei denen wir uns gerne dieser Initiative anschließen. Ich 01:50:02.633 --> 01:50:14.174 danke allen Teilnehmern, dem OCEI, das seine Frühstücke organisiert, und ich möchte Sie auch daran erinnern, dass das nächste am 28. November zum Thema Zölle 01:50:15.100 --> 01:50:18.180 Auch hier kann es zu hitzigen Debatten kommen, nehme ich an. 01:50:18.180 --> 01:50:20.760 Also das war's, ich danke Ihnen. 01:50:20.760 --> 01:50:26.380 Ich lade Sie ein, das Gespräch nebenan fortzusetzen, für alle, die die Debatte weiterführen möchten. 01:50:26.380 --> 01:50:26.940 Vielen Dank.