Datensicherheit und Datenschutz (nDSG)
In Zeiten der Digitalisierung nehmen Datensicherheit und Datenschutz eine immer wichtigere Rolle in Unternehmen ein. Denn die Folgen eines Cyber-Angriffs oder einer Datenpanne haben für Unternehmen meist schwerwiegende Folgen.
Daher gilt es heute mehr als je zuvor, Daten zu schützen, zu sichern und geschützt zu verwahren. Am 1. September 2023 tritt das neue Schweizer Datenschutzgesetz in Kraft, was ebenfalls Anpassungen an der Datenhaltung zur Folge hat.

Datensicherheit befasst sich mit dem generellen Schutz von Daten. So fällt die Sicherung von Daten wie Verträge oder Belege in jeglicher Form – ganz gleich, ob analog oder digital – ebenso unter den Begriff der Datensicherheit, wie personenbezogene Daten. Der Datenschutz hingegen bezieht sich — mindestens was die gesetzlichen Vorschriften betrifft, ausschliesslich auf die Speicherung und Verwendung von Personendaten.
Datensicherheit und Datenschutz verfolgen also das Ziel, Daten jeglicher Art gegen Bedrohungen, Manipulation, unberechtigten Zugriff oder Kenntnisnahme abzusichern. Um eine bestmögliche Datensicherheit zu erreichen, können analoge und digitale Massnahmen getroffen werden.
Zuerst geht es um technisch-organisatorische Massnahmen, welche auch im Kontext des Datenschutzes verwendet werden.
Im digitalen Bereich kann die Implementierung von IT Security-Lösungen, in Form von Virenscannern, Firewalls o.ä.zur Sicherheit von Daten beitragen. Sicherheitsmassnahmen physischer Natur sind hingegen Zugangskontrollen, feuerfeste Aktenschränke oder Safes für sensible und vertrauliche Unterlagen. Datensicherung wie etwa die Erstellung von Sicherheitskopien auf einem separaten Speichermedium, sind ebenfalls essenziell. Eine solide Netzwerk Infrastruktur und regelmässige Updates sind zudem Grundvoraussetzung zur Erreichung der Datensicherheitsziele. Beim Datenschutz hingegen geht es im wesentlichen darum, wie Personendaten verwendet und gespeichert werden dürfen.
Daher gilt es, organisatorische und personalpolitische Vorkehrungen zu treffen, um einen hohen Sicherheitsstandard im Unternehmen zu gewährleisten. Mitarbeiterschulungen- und Weiterbildungen, aber auch der Einsatz von Fachkräften, wie IT-Sicherheitsbeauftragten und Datenschutzbeauftragten tragen zur Datensicherheit bei und sind aus Compliance Gründen teilweise verpflichtend. IT-Sicherheits- und Datenschutzbeauftragte widmen sich in Ihrem Unternehmen der Analyse um potentiellen Sicherheitslücken aufzudecken und durch Erstellung von entsprechenden Massnahmen zur Erreichung des Datensicherheitsziels.
Es wird also schnell klar, dass die Begriffe nicht nur eng in Verbindung miteinander stehen, sondern sich gegenseitig bedingen. So kann ohne Datenschutzmassnahmen nicht der vollständige Zustand der Datensicherheit erreicht werden, da sonst personenbezogene Daten womöglich nicht ausreichend geschützt würden. Im Gegenzug sind umfassende Datensicherheitsmassnahmen die Voraussetzung für effektiven Datenschutz nach Vorgabe gesetzlicher Grundlagen und Best Practice.
Zum neuen Datenschutzgesetz sind folgende Aspekte sind wichtig:
- Behalten Sie den Überblick, welche Daten genau und für welchen Zweck verarbeitet werden. Sie können jederzeit darüber Auskunft geben und erleben keine unangenehmen Überraschungen.
- Überprüfen Sie die Erfassung persönlicher Daten kritisch. Was ist für Sie effektiv notwendig?
- Reduzieren Sie Abfragekriterien an Ihre Kunden auf ein Mindestmass.
- Schränken Sie den internen Datenzugriff im Unternehmen auf möglichst wenige Personen ein.
- Überprüfen Sie Ihre Datenschutzerklärung detailliert und passen Sie diese wenn notwendig an.
- Kontrollieren und verbessern Sie die technischen Voreinstellungen und die Benutzerfreundlichkeit.
- Schulen Sie Ihre Mitarbeiter, um sie für die Wichtigkeit des Themas zu sensibilisieren.
Details zum neuen Datenschutzgesetzt finden sich hier und auf der offiziellen Seite des Bundes
Quellen, Profi Engineering, 2021, KMU Digitalisierung 2022, Datenschutzpartner 2022, www.admin.ch
Präsentation IG B2B (10.05.2023)
Reporting im BrokerStar
Der Begriff Reporting umfasst sämtliche Arten von Auswertungen egal ob als Liste oder Grafik und egal in welchem Format.
Im nachfolgenden Artikel erklären wir, wie das Reporting-System in BrokerStar aufgebaut ist. Wir betrachten technische und lizenzrelevante Aspekte und zeigen die verschiedenen Möglichkeiten auf.
1. Das Reporting-System von BrokerStar
2. Standard‑, Individual‑, Ad Hoc-Reports
3. Dateiformate
4. Dienstleistungen

1. Das Reporting-System von BrokerStar
Reports aus BrokerStar können grundsätzlich in sämtlich verfügbaren Dateiformaten ausgegeben werden. Zu den wichtigsten zählen PDF/A (rechtlich archivierbare, unveränderbare PDF), Excel, Word, Powerpoint oder HTML. Die Standardreports werden in der Regel als PDF ausgegeben. Es gibt aber auch generische Excel-Exporte zur eigenen Weiterbearbeitung. Für die Ausgabe als Word wird optional der Umweg über eine automatische Konvertierung des PDF in eine Worddatei angeboten.
4. Dienstleistungen
In der Subscription enthalten:
- Alle Standardreports
Kostenpflichtige Zusatzleistungen
- Individuelle Anpassungen an Standardreports -> Individualreports
- Individualreports. Dashboards, Cockpits, Ad Hoc-Reports
- Schulung
Lizenzen
- Alle Reports ab Level 2 erfordern die Lizenzierung des MIS-Moduls
Jaspersoft
Analysis with BI
Five Levels
Standardreports 2022
Sicheres Login
Die Mehr-Faktor-Authentifizierung ist eine Sicherheitsprozedur, bei der ein Anwender zwei unterschiedliche Merkmale bereitstellt, um sich zu identifizieren. Eines der Merkmale ist meist ein physischer Token, wie ein Sicherheitscode oder eine SMS.
Man spricht gerne von etwas, das „man hat“ und etwas, das „man weiss”. Ein typisches Beispiel für eine Zwei-Faktor-Authentifizierung sind ein QR-Code, während die PIN (persönliche Identifizierungsnummer) die dazugehörige Information bildet. Die Kombination beider macht es einer fremden Person schwieriger, auf Daten des Nutzers zuzugreifen.

Multi-Faktor-Authentifizierung für sicherere Verbindungen
Die Multi-Faktor Authentifizierung entspricht der Zwei Faktor-Authentifizierung, wobei verschiedene Tokens zur Anwendung kommen können. Damit kann der User wählen, welche Methode ihm am Besten zusagt. Moderne Sicherheitsprozesse bestehen oft aus einem Passwort und biometrischen Daten wie Fingerabdruck oder einer Stimmerkennung.
Einem Angreifer kann es etwa gelingen, einen einzelnen Authentifizierungs-Faktor zu knacken. So kann eine gründliche Suche im Umfeld des Opfers beispielsweise zum Fund eines Mitarbeiterausweises oder einer Benutzerkennung samt zugehörigem Passwort führen, die im Müll gelandet sind. Oder eine unachtsam entsorgte Festplatte enthält eine Passwortdatenbank. Wenn jedoch weitere Faktoren zur Authentifizierung erforderlich sind, steht der Angreifer vor mindestens einer weiteren Hürde, die er umschiffen muss.
Der Grossteil der heutigen Angriffe erfolgt über Internetverbindungen. Mehr-Faktor-Authentifizierung kann diese Distanzattacken weit weniger gefährlich machen, weil das reine Knacken des Passworts nicht mehr ausreicht, um Zugriff zu erhalten. Denn es ist sehr unwahrscheinlich, dass der Angreifer auch in den Besitz des physischen Geräts oder Codes gelangt, das mit dem Benutzer-Account verknüpft ist. Jeder zusätzliche Authentifizierungs-Faktor macht ein System also sicherer. Das liegt daran, dass die einzelnen Faktoren unabhängig voneinander sind. Sollte einer der Faktoren kompromittiert werden, betrifft das die anderen nicht.
BrokerStar und iOffice by WMC verwenden ab der Version 2.4 eine Multi-Faktor Authentifizierung.
Die neue QR-Rechnung
Die QR-Rechnung ersetzt nicht bloss den Einzahlungsschein. Im QR-Code können zusätzliche Informationen in strukturierter Form gespeichert werden, welche die automatische Verarbeitung beim Rechnungsempfänger erheblich vereinfachen.
Wer kümmert sich in Ihrem Unternehmen um den Posteingang und wer bezahlt die Rechnungen fristgerecht? Gut, wenn diese Prozesse digitalisiert sind und immer zuverlässig ablaufen. Die elektronische Rechnung und der digitale Kreditorenprozess sind mehr denn je unverzichtbare Werkzeuge für alle Unternehmen. Wichtig ist dabei, die individuell passende Lösung zu finden.
Auf den ersten Blick erscheint die QR Rechnung wenig interessant. Doch eröffnet sie neue Möglichkeiten für die automatische Rechnungsverarbeitung beim Empfänger. Da alle relevanten Informationen für die Zahlungsabwicklung im QR-Code in strukturierter Form enthalten sind, ist ein automatischer Abgleich mit den vorhandenen Kreditorendaten einfacher zu realisieren. Auslesefehler gehören der Vergangenheit an und manuelle Eingaben sind nicht mehr notwendig.

Die QR-Rechnung bietet auch ein Freitextfeld, das für zusätzliche Informationen an den Rechnungsempfänger genutzt werden kann. Dort lassen sich Daten, welche die automatische Verarbeitung der Rechnung weiter unterstützen, hinterlegen. Idealerweise geschieht dies in standardisierter Form, sodass die Daten in einheitlicher Form vorliegen, egal von welchem Rechnungssteller. Darum hat ein Expertengremium verschiedener Verbände einen Standard definiert, welcher für die Zuordnung und Verarbeitung der Rechnung relevanten Daten enthält So können Kundenreferenz, Zahlungskonditionen, Mehrwertsteuerdetails in der vordefinierten Struktur abgebildet werden. Einen vorgedruckten Einzahlungsschein braucht es nicht mehr und die strukturierten Rechnungsdaten, lassen sich auch in eine PDF-Datei integrieren unkompliziert per E‑Mail versenden.
Quelle, Topsoft, 2021
So perfide gehen die Cybererpresser vor
Schadsoftware als Bewerbung getarnt.
Angriffe über das Internet häufen sich. Gisela Kipfer vom Nationalen Zentrum für Cybersicherheit kennt die Maschen der Täter.
Frau Kipfer, wer kann Opfer eines Cyberangriffs werden?
Im Fokus der Angreifer stehen alle verwundbaren Systeme, unabhängig ob es sich um Unternehmen, Behörden oder Privatpersonen handelt. Ziel der Angreifer ist stets, mit möglichst wenig Aufwand möglichst hohen Gewinn zu erzielen. Bei Ransomware ist ausserdem zu beachten, dass es aus Angreifersicht keine Rolle spielt, welche Daten verschlüsselt werden: Handelt es sich um Daten, die für das Opfer einen wirtschaftlichen oder persönlichen Wert haben, wird das Opfer vermutlich bereit sein, auf die Lösegeldforderung einzugehen.
Die E‑Mails mit Schadsoftware kommen immer personalisierter daher, etwa als Bewerbungen oder Offerten. Wie bereiten die Täter einen Angriff vor?
Oft suchen die Angreifer auf der Website der potenziellen Opfer nach hilfreichen Informationen wie Jahresberichten der Unternehmen oder Informationen zu Mitarbeitenden.
Wie kann sich ein Unternehmen vor Cyberangriffen schützen?
Wenn die wichtigsten Grundregeln befolgt werden, lässt sich die Gefahr von Ransomware-Angriffen oder generell Cyberangriffen aber dennoch senken. Dazu gehört die Umsetzung des Grundschutzes, zum Beispiel regelmässiges Daten-Back-up, Updates, Firewalls, Virenschutz und mehr. Darüber hinaus müssen organisatorische Massnahmen getroffen werden, beispielsweise im Bereich Krisenmanagement und Krisenkommunikation. Die stete Sensibilisierung der Mitarbeitenden spielt aber eine ebenso grosse Rolle. Organisatorische und technische Massnahmen greifen nur dann im gewünschten Rahmen, wenn die Mitarbeitenden verstehen, warum sie gewisse Dinge berücksichtigen müssen.
«Sollte keine Alternative zu einer Lösegeldbezahlung bestehen, unterstützen die Strafverfolgungsbehörden bei den Verhandlungen mit den Kriminellen.»
Was kann man tun, wenn trotz allem ein Angriff passiert ist?
Die infizierten Systeme sollten umgehend vom Netz getrennt werden. Back-ups sollten schnellstmöglich gesichert werden, sofern diese noch vorhanden sind beziehungsweise noch nicht verschlüsselt wurden. Und diese müssen raschestmöglich physisch vom infizierten Netzwerk getrennt werden. Sicherungskopien sollten ohnehin nach jedem Back-up-Vorgang vom Computer/Netzwerk getrennt werden. Wurden die Daten verschlüsselt und ist kein Back-up vorhanden, bietet die Website https://www.nomoreransom.org/ hilfreiche Tipps, um die Schadsoftware zu identifizieren, und die Möglichkeit, bereits bekannte Schlüssel herunterzuladen.
Wie hoch sind die geforderten Lösegeldsummen?
Eine Schätzung betreffend Lösegeldsummen ist sehr schwierig, da dem NCSC in den wenigsten Fällen mitgeteilt wird, ob Lösegeld bezahlt wurde. Die Erfahrung zeigt, dass die Höhe der geforderten Summen oftmals an die finanziellen Möglichkeiten der Opfer angepasst werden.
Was bringt mehr: die Polizei einschalten oder einfach bezahlen?
Das Nationale Zentrum für Cybersicherheit rät von der Zahlung eines Lösegeldes ab. In jedem Fall sollte aber eine Strafanzeige bei der zuständigen Polizeibehörde eingereicht werden. Diese berät die Opfer bezüglich des weiteren Vorgehens insbesondere in Bezug auf die Kommunikation mit der Täterschaft und das Verhalten gegenüber dieser. Sollte ausserdem keine Alternative zu einer Lösegeldbezahlung bestehen, unterstützen die Strafverfolgungsbehörden bei den Verhandlungen mit den Kriminellen mit dem Ziel, dass möglichst wenig Lösegeld bezahlt wird.
Quelle: Basler Zeitung, 06.01.2022

Security bei WMC
Die Bedrohungen aus dem Internet nehmen gemäss dem Nationale Zentrum für Cybersicherheit (NCSC) des Bundes ständig zu .
WMC ist seit Jahren auf IT-Security fokussiert und unterstützt Kunden mit Sicherheitslösungen. Das gilt auch für den Schutz von BrokerStar-Daten, die durch WMC gehostet werden. Erneut wurden die Massnahmen massiv ausgebaut. Zudem wird die gesamte IT-Infrastruktur durch eine zugelassene Audit-Firma laufend geprüft.
Ab 2021 wird allen Kunden ein individuelles Audit Zertifikat ausgehändigt. Dieses dient als Ausweis für Compliance im Rahmen des internen Kontrollsystems (IKS).
Was bedeutet eigentlich Digitalisierung
Digitalisierung ist der Oberbegriff für den digitalen Wandel von Gesellschaft und Wirtschaft. Er bezeichnet den Übergang des von analogen Technologien geprägten 20. Jahunderts zum Zeitalter von Wissen und Kreativität, das durch digitale Technologien und digitale Innovationen geprägt wird.
Die Digitalisierung ist die wichtigste gesellschaftliche und wirtschaftliche Entwicklung unserer Zeit. Doch was bedeuten Begriffen wie: Digitaler Wandel, Digitale Transformation, Digitale Disruption?

Welche digitalen Kompetenzen brauchen wir in Zukunft? Was sind digitale Geschäftsmodelle?
Bei der digitalen Transformation kommen Unternehmen und Organisationen unterschiedlich schnell voran. Während sich die einen darauf beschränken, bestehende Geschäftsprozesse zu digitalisieren, entwickeln die anderen proaktiv digitale Konzepte und Geschäftsmodelle. Entscheidend für den Erfolg bei der Digitalisierung ist der sogenannte „digitale Reifegrad“. Dieser ist ein wissenschaftlich basiertes 360-Grad-Instrument, mit dem alle zur Veränderung wichtigen Faktoren abgefragt werden.
Digitalisierung einfach erklärt
In den vergangenen etwa 20 Jahren wurden unterschiedliche digitale Technologien (mobiles Internet, künstliche Intelligenz, Internet der Dinge etc.) drastisch weiterentwickelt und haben den Sprung von der Expertenanwendung hin in den Alltag geschafft. Ähnlich wie die Innovation der Dampfmaschine die Gesellschaft verändert hat, wirkt auch der digitale Wandel.
Digitalisierung ist technologiegetrieben. Auf Basis der entwickelten digitalen Technologien entstehen digitale Innovationen: Neue Anwendungsfälle, die durch bestehende Unternehmen und Start-ups mit Risikokapital getrieben werden. Dies führt zu unterschiedlichen Geschwindigkeiten. Während zB. die öffentliche Verwaltung vielfach nur Papierbelege akzeptiert und mit Akten arbeitet, verändern sich Märkte deutlich schneller. Inzwischen sind alle Branchen durch die Digitalisierung betroffen. Die Digitalisierung beeinflusst auch die Zukunft der Finanz- und Versicherungsbranche. Neue Formen sind erst durch die Technologien der Digitalisierung möglich, die sich in Zukunft weiter ausbreiten werden.
Digitalisierung verändert die Zukunft traditioneller Berufe. Ärzte werden künftig vor allem in der Diagnostik durch E‑Health Anwendungen mehr und mehr unterstützt. Dienstleistungen im juristischen Bereich (heute primär von Anwälten vorgenommen) werden durch digitale Services aus dem Bereich Legal Tech ergänzt oder ersetzt werden. Und der Begriff Insuretech ist bereits etabliert.
In Zukunft wird die Digitalisierung neue Anforderungen an Schule, Aus und Weiterbildung, in allen Bereichen erforderlich machen. Es ist Aufgabe von Wirtschaft, Verbänden und der Politik, die Gesellschaft auf die kommenden Veränderungen vorzubereiten.
Digitalisierung und Unternehmen
Die Digitalisierung hat für Unternehmen jeder Grösse Auswirkungen. Zum einen nutzen Unternehmen digitale Technologien für die Digitalisierung ihrer Geschäftsprozesse, also zur Prozessoptimierung und Prozessinnovation. Dies wird auch durch die digitale Transformation vorangetrieben und zum Teil durch Start-ups realisiert. Bei der Digitalisierung besteht die Herausforderung für Unternehmen darin, neue Kundenbedürfnisse zu identifizieren, die sich aufgrund der wachsenden Verbreitung digitaler Dienstleistungen und Apps ergeben.
Mit den so genannten „Digital Natives“ sind zudem neue Zielgruppen entstanden. Zur Steigerung der Kundenorientierung auf diese Zielgruppen, benötigen Unternehmen häufig andere Marketing- und Vertriebsstrategien. Das Handeln ist anzupassen, um im digitalen Wandel erfolgreich zu sein Unternehmen müssen sich mit der Frage auseinandersetzen: Wie wollen wir morgen Kunden/-innen erreichen? Welche Rolle spielen neue Trends? Wie gehen wir mit den immer individueller werdenden Bedürfnissen unserer Kunden/-innen um?
Entwicklung digitaler Abläufe und Prozesse: Abschied von Papierakten durch die Einführung von Prozessen und Abläufe im Unternehmen, die durch die Digitalisierung zum Teil radikal neu gedacht werden müssen wie der Umgang mit Daten, die innerhalb des Unternehmens, im Zusammenhang mit den Tätigkeiten eines Unternehmens und bei Kunden/-innen anfallen. Aus Daten lassen sich neue Services und Geschäftsmodelle entwickeln. Die Digitalisierung uns alle vor die Herausforderung, sich dauerhaft zu verändern und anzupassen. Wettbewerbsvorteile aus vergangenen Zeiten bestehen nur noch bedingt. Dazu müssen Unternehmen die digitale Transformation im Unternehmen vorantreiben und ihre Digital Readiness steigern.