Klassische Softwarelösungen, die lokal betrieben werden („On-Prem“), bringen enorme Anforderungen und ein hohes Maß an Komplexität in der Cybersicherheit mit sich. Es geht dabei um die Sicherheit des gesamten Technologiestacks, von der Netzwerkumgebung über virtuelle Maschinen, Backends, APIs und User-Interfaces bis hin zur Hardware, Gebäudesicherheit, Zutrittskontrollen und Schutzmaßnahmen wie Brand- und Hochwasserschutz.

Zahlreiche Experten sind vor Ort gefordert, um diese Herausforderungen zu bewältigen. Für das Management ist es eine Herausforderung, Budgets bereitzustellen, die dieser Komplexität Rechnung tragen. Das Marktforschungs- und Beratungsunternehmen Gartner betont deshalb die Notwendigkeit, zu betrachten. Diese Perspektive ist entscheidend, um die richtige Balance zwischen Sicherheit und Wirtschaftlichkeit zu finden und gleichzeitig den Geschäftsbetrieb zu schützen und zu fördern.

Schutz vor finanziellen Verlusten

Cyberangriffe können erhebliche finanzielle Schäden verursachen, sei es durch Datenverluste, Betriebsunterbrechungen oder Lösegeldforderungen. Die Kosten für eine erfolgreiche Cyberabwehr sind oft geringer als die Kosten, die durch eine Sicherheitsverletzung entstehen können. Unternehmen müssen daher sicherstellen, dass ihre Investitionen in Cybersicherheit dem potenziellen Risiko angemessen sind. Dieses umfasst unterschiedliche Bereiche.

Reputation und Kundenvertrauen

Eine Sicherheitsverletzung kann das Vertrauen der Kunden und Partner in ein Unternehmen nachhaltig schädigen. Der Verlust von Kundendaten oder Betriebsstörungen führt meist zu langfristigen Schäden an der Unternehmensreputation. Durch strategische Entscheidungen in der Cybersicherheit können Unternehmen das Vertrauen ihrer Kunden stärken und ihre Marktstellung sichern.

Regulatorische Anforderungen

Viele Branchen unterliegen strengen regulatorischen Anforderungen in Bezug auf Datenschutz und IT-Sicherheit. Die Nichteinhaltung dieser Vorschriften kann zu hohen Geldstrafen und rechtlichen Konsequenzen führen. Unternehmen müssen Cybersicherheit als Geschäftsentscheidung betrachten, um sicherzustellen, dass sie diese Vorschriften einhalten und rechtliche Risiken minimieren.

Geschäftskontinuität und Resilienz

Cybersicherheit trägt wesentlich zur Geschäftskontinuität bei, indem sie sicherstellt, dass die Unternehmensprozesse auch im Falle von Angriffen aufrechterhalten werden können. Ein umfassendes Cybersicherheitskonzept erhöht die Resilienz des Unternehmens gegenüber Bedrohungen und reduziert das Risiko von Betriebsunterbrechungen.

Wettbewerbsvorteile schaffen

Unternehmen, die proaktiv in Cybersicherheit investieren und dies auch kommunizieren, können sich von Wettbewerbern abheben. Kunden und Partner bevorzugen häufig Unternehmen, die nachweislich hohe Sicherheitsstandards einhalten, was zu einem spürbaren Wettbewerbsvorteil führt.

Entscheidung für einen sicheren Hafen

Die Integration von Cybersicherheit in die Geschäftsstrategie erfordert eine sorgfältige Planung und eine klare Zuweisung von Verantwortlichkeiten. Es beginnt mit einer gründlichen Risikoanalyse, um die spezifischen Bedrohungen und Schwachstellen zu identifizieren, denen das Unternehmen ausgesetzt ist.

Basierend auf dieser Analyse können fundierte Entscheidungen getroffen werden, welche Sicherheitsmaßnahmen implementiert werden sollen und wie diese am effektivsten budgetiert werden können. Die Cloudlösungen von �鶹ԭ�� bieten eine unkomplizierte und praktikable Antwort auf diese Herausforderungen, indem sie die Komplexität vor Ort reduzieren und gleichzeitig ein hohes Maß an Sicherheit bieten.

Transparenz über das Schutzniveau

Regelmäßige Audits, die die Einhaltung internationaler Standards bestätigen, schaffen Transparenz darüber, dass die Sicherheitsmaßnahmen stets auf dem neuesten Stand sind und den Best-Practises entsprechen. Die wichtigsten Vertreter solcher Standards sind z.B. ISO 27001, SOC-Prüfberichte sowie die C5-Testate vom deutschen Bundesamt für Sicherheit in der Informationstechnik. Diese Transparenz ermöglicht es Unternehmen, das Schutzniveau der Cloudlösung gegenüber ihren eigenen Bedürfnissen abzuwägen und zum integralen Bestandteil ihrer Geschäftsstrategie zu machen. Dadurch wird sowohl die Sicherheit als auch die Wirtschaftlichkeit optimiert.

Die (fast) gesamte Verantwortung liegt beim Dienstleister

Nach der Wahl einer Cloudlösung für die Cybersicherheit übertragen Sie einen Großteil der Verantwortung für die Sicherheit an �鶹ԭ�� als Dienstleister. Dazu gehört nicht nur die Software selbst, sondern auch das Management und die Konfiguration der Hyperscaler-Umgebungen (z.B. AWS, MS Azure, GCP). Also der komplette Technologie-Stack.

Manche Bereiche sollten aber aus verschiedenen Gründen weiter in der Hoheit der Kunden verbleiben. Sie sind beispielsweise dafür verantwortlich, wer Zugriff auf die Daten bekommt, während der Serviceanbieter sicherstellt, dass keine unbefugten Zugriffe erfolgen können.

Ein weiteres Beispiel: Kunden sind dafür verantwortlich welche Informationen durch die Cloudlösung verarbeitet werden, und der Dienstleister sorgt dann dafür, dass diese Informationen hochvertraulich behandelt und verschlüsselt werden. So wird ein sicherer Hafen geschaffen, auf den sich Ihre Experten vor Ort verlassen können.

Schaffen von Freiräumen

Diese Arbeitsteilung reduziert die Komplexität für ein Unternehmen erheblich. Durch die Verlagerung der Sicherheitsverantwortung auf �鶹ԭ�� und eine bewährte Cloud-Infrastruktur lässt sich die Anzahl der zu verwaltenden Sicherheitsbereiche drastisch reduzieren. Der Dienstleister übernimmt die Verantwortung für die Sicherheit der Infrastruktur, der Plattform und der Anwendungen. Diese Entlastung schafft neue Freiräume, sodass die kunden-seitigen Experten ihre Ressourcen auf kritische Sicherheitsbereiche vor Ort fokussieren können.

Planbarere Budgets

Ein weiterer wesentlicher Vorteil der Nutzung einer Cloudlösung ist die Planbarkeit der Budgets. Traditionell ist die Implementierung und Wartung einer umfassenden Cybersicherheitsinfrastruktur mit erheblichen und oft unvorhersehbaren Kosten verbunden.

Die Notwendigkeit, kontinuierlich in neue Technologien zu investieren, um mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten, kann die finanziellen Ressourcen eines Unternehmens stark belasten. Mit den �鶹ԭ��-Cloudlösungen werden diese Kosten planbar und vorhersehbar.

Die hochintegrierten Sicherheitsdienste sind bereits in den Fachanwendungen enthalten. Genauso wie alle notwendigen Maßnahmen, um die Lösung im Einklang mit fast allen Datenschutzregulierungen weltweit betreiben zu können.

Robuste und zukunftssichere Cybersicherheitsstrategie

Durch die drastische Reduktion der Komplexität und die Schaffung planbarer Budgets können Unternehmen sicherstellen, dass ihre Cybersicherheitsstrategie robust und zukunftssicher ist. Dies schafft nicht nur Vertrauen bei Kunden und Partnern, sondern ermöglicht es den internen IT-Teams auch, sich auf die kritischen und wertschöpfenden Aufgaben zu konzentrieren, die ausschließlich vor Ort lösbar sind.

The post Cybersicherheit optimieren und Komplexität reduzieren appeared first on �鶹ԭ�� News Center.

Aufgrund der zunehmenden digitalisierten Arbeitsabläufe entwickeln Unternehmen Strategien für die Sicherheit in der Cloud. Firmen, die gerade mit dem Umstieg in die Cloud begonnen haben oder den Prozess für die Integration ihres Cloudanbieters anpassen möchten, sollten bei der Entwicklung dieser Strategie folgende Punkte berücksichtigen.

Unternehmensweite Einbindung von Teams zur Minderung von Sicherheitsrisiken

Anders als bei den isolierten Geschäftssystemen der Vergangenheit ist jeder für die Sicherheit in der Cloud verantwortlich. Führungskräfte sollten die Risiken kennen und die Erwartungen an die jeweiligen Teams klar kommunizieren.

Auf Ebene der Geschäftsleitung sind sensible Unternehmens- und Kundendaten sowie ihre Kontrolle von zentraler Bedeutung. Der Missbrauch oder die Offenlegung vertraulicher Daten kann das Vertrauen (und den Ruf ganzer Marken) bei Millionen Verbraucher zerstören. Zudem für das Unternehmen Schäden in Höhe mehrerer Millionen, wenn nicht Milliarden, von Dollar verursachen.

Die technische Infrastruktur, Architektur und operative Daten sowie ihre Pflege, Verfügbarkeit und Sicherheit liegen in der besonderen Verantwortung des Chief Information Officer, Digital Officer oder Technology Officer. Während sich Cloudtechnologien weiterentwickeln und wachsen, werden auch die Bedrohungen immer ausgeklügelter, sodass noch bessere Schutzmaßnahmen ergriffen werden müssen. Spezielle interne Ressourcen für IT-Sicherheit sind unter Umständen nicht praktikabel, ausbaufähig oder keine kostenwirksame Option, um wichtige Cloudsysteme zu schützen.

Cloudsicherheit schützt nicht nur die Marke und das Ansehen des Unternehmens, sondern betrifft auch jede Geschäftseinheit, die auf betriebsbereite Cloudsoftware angewiesen ist. Damit können bestehende Kunden und Interessenten mit geschäftskritischen Anwendungen unterstützt werden. Die finanziellen und rechtlichen Folgen mangelnden Datenschutzes und lückenhafter Sicherheit können beträchtlich sein.

Ganzheitliche Cloudsicherheit und Compliance

Bei der Auswahl neuer Cloudanbietende sollte eine Geheimhaltungsvereinbarung unterzeichnet werden, bevor diese ihre Sicherheits- und technischen Berichte, Zertifizierungen und entsprechende Dokumentation vorlegen. Cloudsoftware- und Cloudserviceanbieter, die vertrauliche Unternehmens- oder Kundendaten speichern und verarbeiten, sollten vielfältige, regelmäßige und global anerkannte Prüfungen durchlaufen.

Die Compliance-Anforderungen können je nach Funktionsbereich, Daten, Branche und/oder Region variieren. Gängige globale Standards für Cloudsicherheit und Servicemanagement beinhalten die Zertifizierung nach BS 10012:2017 für Datenschutzstandards und die ISO-9001-Zertifizierung für die Einhaltung von Qualitätsstandards. Daneben bietet ISO 27001 einen globalen Standard für das IT-Sicherheits-Management. Und ISO 22301 konzentriert sich auf die Sicherheit und Resilienz von Business-Continuity-Management-Systemen der Cloudanbieter.

So war����einer der ersten Cloudservice-Anbieter, der Kunden wie eine nationale Sicherheitsbehörde und Finanzinstitute betreute, und das 18. US-Unternehmen, das 2004 nach ISO 27001 (früher BS7799) zertifiziert wurde.��Die durchläuft auch weiterhin diese und viele andere externe und interne Sicherheitsprüfungen, um einen hohen Zertifizierungsgrad sicherzustellen.

Weitere zu berücksichtigende Standards sind Payment Card Industry (PCI) zur Gewährleistung der Sicherheit von Zahlungsdaten und SOC-1-Berichte und SOC-2-Berichte Typ II, die die Konformität interner Kontrollmechanismen beziehungsweise das Reporting von Sicherheitsprüfungen betreffen.

Der Datenschutz ist ein Bereich von zunehmender Bedeutung. Je nach Land und Rechtsraum, in dem ein Unternehmen tätig ist, existieren lokale Datenschutzvorschriften, die der Anbieter einhalten muss. Zum Beispiel müssen Unternehmen in Australien die Australian Information Privacy Principles erfüllen. Typische Datenschutzregelungen sind unter anderem Verfahren zur Aufbewahrung (und Löschung) von Daten und die Datenschutz-Grundverordnung (DSGVO), die für EU-Bürger unabhängig vom Standort des Unternehmens gilt.

Daten sollten verschlüsselt werden, wenn sie über ein öffentliches Netz übertragen werden und in einer Datenbank hinterlegt werden. Der Zugriff auf Daten sollte für Cloudanbietende nur auf einen berechtigten Personenkreis beschränkt sein, der einer entsprechend Überprüfung unterliegt. Üblicherweise müssen Mitarbeitende mit Zugang zu Daten und Rechenzentren einer Personenüberprüfung unterzogen werden, bevor sie Zugriff auf Kundendaten erhalten. Für Daten, die übertragen werden, und für ruhende Daten sollten Verschlüsselungsmethoden nach Branchenstandards verwendet werden.

Datenhoheit kann ein wichtiger Aspekt für ein Unternehmen sein. Wenn dies der Fall ist, muss bekannt sein, wo sich die Rechenzentren des Cloudanbieters befinden und wer sie besitzt. Es sollte sichergestellt werden, dass es sich um Rechenzentren der Qualitätsstufe Stufe 3 oder 4 handelt und geeignete Verfahren für Notfallwiederherstellung und Archivierung/Datensicherung bestehen. Die Hauptstandorte sollten von zweiten Standorten für Datensicherung und Notfallwiederherstellung getrennt sein.

Cloudanbietende lagern Dienste, wie etwa für die Infrastruktur, häufig an Drittanbieter aus. Es ist also wichtig zu wissen, wie Cloudanbietende hier vorgehen und mit Daten hinsichtlich Datenschutz und Sicherheit umgehen.

Mobile Sicherheit ist ein weiterer wichtiger Punkt. Neben den lokalen Sicherheitsfunktionen mobiler Geräte, wie biometrische Verfahren, sind auch die Sicherheitsfunktionen mobiler Anwendungen und die Webanwendungen des Anbieters genauestens zu prüfen.

Die Sicherheit in der Cloud entwickelt sich ständig weiter. Erforderlich ist eine kontinuierliche Überprüfung von Sicherheit und Technologie, da sich die Anforderungen, gesetzlichen Regelungen und Erwartungen je nach Funktionen, Branchen und Regionen unterscheiden können. Und vor allem ist es wichtig, die Integrität, Sicherheit und Verfügbarkeit von Unternehmens- und Kundendaten genauso sorgfältig zu steuern wie das gesamte Cloudunternehmen. Nur so können Unternehmen mit der Digitalisierung der Arbeitswelt Schritt halten.

The post Wie digitale Unternehmen Sicherheit in der Cloud gewährleisten appeared first on �鶹ԭ�� News Center.

2015 wurde das erste IT-Sicherheitsgesetz verabschiedet. Es sollte deutsche Unternehmen in kritischen Infrastrukturen (KRITIS), etwa der Strom- und Wasserversorgung, besser vor Hackern schützen.

Die zweite Auflage des Gesetzes vom April 2021 bringt nun erhebliche Neuerungen: Zu den KRITIS-Einrichtungen kommen die „Unternehmen im besonderen öffentlichen Interesse“ hinzu, beispielsweise Rüstungshersteller oder bestimmte IT-Anbieter, aber auch die Abfallwirtschaft. Wer nicht mitzieht, riskiert drastische Geldbußen. Bisher lag die Strafe bei 100.000 Euro, künftig werden bis zu 2 Millionen Euro fällig.

The post IT-Sicherheitsgesetz 2.0 verabschiedet: Was �鶹ԭ��-Anwenderunternehmen jetzt tun müssen appeared first on �鶹ԭ�� News Center.

The post Neuer Managed Service sorgt für sichere �鶹ԭ��-Landschaften appeared first on �鶹ԭ�� News Center.

Im Dezember 2020 entdeckte ein US-Softwareunternehmen die größte Cyberattacke aller Zeiten: Bereits ein Jahr zuvor waren Angreifer tief in die konzerninternen Netzwerke eingedrungen. In den folgenden Monaten infizierten sie von dort aus mit Spionagesoftware rund 18.000 Firmen und Behörden, darunter nahezu alle Fortune-500-Unternehmen, das US-Außenministerium und das Pentagon.

Der Fall zeigt die Risiken hochintegrierter, komplexer Landschaften: Die global vernetzten Systeme sind Schnellstraßen für Schadsoftware. „In den letzten Jahren sind auch die Security-Risiken für ERP-Systeme größer geworden“, sagt Dr. Roland Michalke, Director bei Deloitte. „Internet der Dinge, hybride Cloud-Landschaften, mobile Apps, neue ERP-Architekturen – alles ist in Bewegung. Früher musste man buchstäblich durchs Werkstor, um das System zu nutzen. Da fielen kleinere Sicherheitslücken kaum ins Gewicht. Doch heute werden genau diese Lücken zur Einladung an potenzielle Angreifer.“

Auf der Gegenseite formieren sich die Angreifer organisierter denn je. Neben den ohnehin bestens aufgestellten Geheimdiensten entstehen hochprofessionelle Gruppen, die wie reguläre Unternehmen arbeiten, inklusive 9-to-5-Arbeitszeiten für die Hacker. Neben den externen Angreifern bleiben weiterhin die eigenen Mitarbeiter, ob gewollt oder ungewollt, eine große Gefahr für die IT-Sicherheit – gerade auch, wenn sie remote arbeiten.

�鶹ԭ��-Systeme ganzheitlich absichern

Auch �鶹ԭ��-Systeme und -Anwendungen stehen unter Beschuss. Wie können sich die Anwender schützen? „Die Unternehmen haben in ihrer IT-Infrastruktur, also den Datenbanken, Betriebssystemen und Netzwerken, mehrheitlich bereits effektive Sicherheitsmaßnahmen etabliert“, sagt Steffen Trumpp, Solution Advisor Expert bei �鶹ԭ��. „Weniger im Fokus haben sie jedoch die Anwendungsschicht und die �鶹ԭ��-HANA-Datenbank – dabei liegen gerade hier kritische Daten, etwa zu Kunden, Gehältern, Finanzen.“ Matthias Sill, Senior Manager bei Deloitte, ergänzt: „Erschwerend kommt hinzu, dass IT-Security und �鶹ԭ��-Security in vielen Unternehmen als getrennte Bereiche angesehen werden und aus diesem Grund nicht optimal interagieren. Auch wenn einzelne Teams ihren jeweiligen Bereich gut im Griff haben: Eine einheitliche Gesamtstrategie ist aus Unternehmenssicht essentiell. Mitarbeiter, Organisation, Prozesse und Tools müssen aneinander ausgerichtet sein. IT-Security ist eben eine technologische, aber auch organisatorische und prozessuale Herausforderung.“

Spätestens wenn es um die Migration zu gehe, müsse das Thema Security auch aus strategischer Sicht auf den Tisch, sagt Matthias Sill. Leider sei das nicht immer der Fall: „Viele Unternehmen haben stark individualisierte und historisch gewachsene Systeme und ziehen die Sicherheitslücken bei der Migration leider mit, weil der Fokus zunächst auf der Funktionalität und nicht konsequent auch auf der Security liegt. Das ist hochriskant! Security-Aspekte wie das User Management und konsequente Schwachstellenbereinigungen müssen in die Planung einbezogen werden.“

Die Sicherheitsthematik ist also vielschichtig – so vielschichtig, dass viele Entscheider vor dem schieren Umfang der Aufgabe kapitulieren und die notwendigen Maßnahmen hinauszögern. Wo können sie anfangen?

Eine zentrale Strategie ist der beste Schutz

„Der erste Schritt beginnt im Kopf“, sagt Steffen Trumpp. „Dem Business-Bereich fehlt es oft an Verständnis für komplexe Technologiethemen, das fängt schon bei den Fachbegriffen an. Es ist ein Dilemma: Wer über die Security entscheidet, kennt sich oft nur wenig in dem Thema aus – und wer sich auskennt, bekommt intern nicht die nötige Awareness.“ Schritt eins also besteht darin, das Management für Security-Themen zu sensibilisieren. Dann braucht es eine ganzheitliche Strategie, sagt Deloitte-Experte Matthias Sill: „Zwar haben einzelne Unternehmensbereiche oft eine Sicherheitsstrategie, doch es braucht unbedingt eine Gesamtbetrachtung. Und die gelingt nur mit Transparenz. Jedes Unternehmen hat seine ganz eigenen Datenjuwelen – beim Händler sind es vielleicht die Kundendaten, beim Hersteller die Baupläne. Hier gilt es mit der Frage anzusetzen, was geschützt werden soll und auf welche Weise.“

Wenn die Unternehmen ihre wichtigsten Daten identifiziert haben, können sie diese unter Risikoaspekten analysieren, priorisieren und in einer Roadmap zusammenfassen. Dann erst lassen sich die Strategien für die Unterbereiche sinnvoll ausarbeiten. Insbesondere das Berechtigungskonzept rückt dabei in den Blick: Es muss beispielsweise klar sein, wer auf welche Rezepte oder Materiallisten zugreifen darf und wie die Informationen gesichert sind. Denn das bestgeschützte System bringt nichts, wenn Mitarbeiter die Daten herunterladen und in unverschlüsselten E-Mails versenden.

Erst wenn diese Hausaufgaben gemacht sind, geht es an die Auswahl der passenden Security-Werkzeuge, etwa automatisierte Monitoring-Tools, die die Verantwortlichen bei Sicherheitsvorfällen sofort warnen. Schritt für Schritt entsteht so ein starkes und vielschichtiges Bollwerk, das selbst vor den raffiniertesten Cyberangriffe schützt.

The post Security-Strategie: Die Abwehr von Cyberattacken erfordert einen Plan appeared first on �鶹ԭ�� News Center.

Im Überblick:

• Prozesse werden nicht eingehalten, Compliance-Richtlinien verletzt: In jedem Unternehmen passieren Fehler.
• Diese können schwerwiegende Folgen haben.
• Die Lösung bieten automatisierte Kontrollen in Echtzeit

Im täglichen Arbeitsalltag müssen Manager häufig über 100 Policies einhalten – trotz allen guten Willens und herausragender Fachkenntnis eine teils überfordernde Aufgabe. Fast alle Verstöße geschehen nicht in krimineller Absicht und erscheinen auf den ersten Blick harmlos.

Bei den meisten Verstößen handelt es sich um Nichtwissen oder ein Versehen. Dennoch öffnen sie langfristig Tür und Tor für größere Verstöße.

„Große Vergehen passieren deutlich häufiger, wenn ein Klima herrscht, in dem kleine Verstöße stillschweigend toleriert oder ignoriert werden.“

Alexander Oesterle, EY Partner im Feld Risk Transformation �鶹ԭ�� bei EY

Nachgelagerte Stichprobenkontrollen sind nicht mehr ausreichend

Traditionelle Compliance-Management-Systeme basieren überwiegend auf nachgelagerten, oft manuellen Kontrollen, die in der Regel zusätzlich zum Tagesgeschäft zu erledigen sind. Gerade angesichts der rasanten Digitalisierung von Geschäftsprozessen ist dieses Vorgehen langsam, teuer und ineffektiv.

Hier setzt das Konzept Embedded Controls an, das EY in Zusammenarbeit mit �鶹ԭ�� entwickelt hat: Präventive Kontrollen, die in die Quellsysteme der IT-Lösungen eingebunden sind, sorgen dafür, dass Fehler oder Regelverstöße gar nicht erst vorkommen. Anwendbar ist dies bei jeder Größe des Datenvolumens.

Zum Beispiel lassen sich falsche Kontierungen oder Zahlungsbedingungen, aber auch inkorrekte Freigaben, die im Widerspruch zu den im Unternehmen verabschiedeten Freigaberegelungen stehen, in Echtzeit erkennen – kaum umsetzbar mit klassischen Methoden.

Embedded Controls nutzt die Möglichkeiten der �鶹ԭ��-S/4HANA-basierten Lösungen aus dem Financial-Risk-Management-Portfolio von �鶹ԭ��, um automatisierte Kontrollen so zu implementieren, dass Unregelmäßigkeiten augenblicklich entdeckt werden und eine angemessene Reaktion eingeleitet werden kann. Abhängig von der Schwere des Verstoßes wird ein Workflow angestoßen, der die verantwortlichen Mitarbeiter via E-Mail informiert und zur Korrektur auffordert. Die Ursprungsdaten, die untersucht werden, werden nicht direkt verändert, sondern Anwender werden informiert und können entscheiden, ob eine Anpassung vorgenommen werden soll. Automatisierte Anpassung nach Fehlerart ist ebenfalls möglich. In schwereren Fällen, beispielsweise wenn der Verdacht einer Straftat besteht, wird die Interne Revision alarmiert und gegebenenfalls die Transaktion gesperrt.

Direktes Feedback für jeden Mitarbeiter

Statt nur stichprobenhaft zu testen, prüft das System jeden einzelnen Vorgang. Bei einer falschen Eingabe wird der Bearbeiter informiert und kann das Problem sofort beheben. Anschließend kontrolliert das System, ob der Fehler beseitigt wurde.

„Einer unserer Kunden setzte bislang auf die übliche Stichprobenkontrolle. Nach Einführung von Embedded Controls stellte er in einem Monat mehrere Tausend Regelverstöße fest – viel mehr, als er erwartet hatte.“

Carolina Macri, EY Associate Partner

Trefferquote über 95 Prozent

Die Korrekturrate liegt bei über 95 Prozent. Fast alle Regelverstöße können umgehend vom Verantwortlichen korrigiert werden.

Der Vorteil für die Mitarbeiter: Sie bekommen direkt Feedback, ob sie den Prozess richtig durchgeführt haben und wie der korrekte Ablauf zu sein hat. Dadurch verinnerlichen sie die Policies schneller, gewinnen Sicherheit und lernen aus Fehlern.

Der Vorteil für das Unternehmen: Risikofaktoren werden früh abgefangen, die Compliance ist sichergestellt, die Prozessqualität steigt. Außerdem arbeiten die Mitarbeiter effizienter.

Fazit

Mit Embedded Controls helfen Unternehmen ihren Mitarbeitern damit, das Richtige zu tun und schaffen ein effizientes Arbeitsklima, während sie gleichzeitig Risiken reduzieren und ihre Prozess- und Datenqualität erhöhen.

The post Embedded Controls: Neue Möglichkeiten für Echtzeit-Kontrollen appeared first on �鶹ԭ�� News Center.

Vivianne Gordon-Pullar, Group Chief Compliance Officer der �鶹ԭ��, weiß, dass unser Handeln im Geschäftsalltag und die Entscheidungen, die wir dabei treffen, erhebliche Auswirkungen haben.

Im Gespräch mit �鶹ԭ�� News zeigt Vivianne Gordon-Pullar auf, weshalb durch die Corona-Krise die Compliance-Risiken für Unternehmen gestiegen sind. Sie erläutert, wie sehr der Erfolg eines Unternehmens von der Verpflichtung der Mitarbeiter zu ethischem Geschäftsverhalten und zur Einhaltung von Vorschriften abhängt, und stellt die neue �鶹ԭ��-Kampagne „Trust Matters“ vor.29

F: Worum geht es bei der Kampagne „Trust Matters“?

Vivianne Gordon-Pullar: Wenn wir über Compliance sprechen, besteht eine Herausforderung darin, das Thema für die Mitarbeiter greifbar zu machen und ihnen den Zusammenhang und die Auswirkungen aufzuzeigen. Einfach ausgedrückt beruht Compliance auf Vertrauen. Wir bringen anderen tagtäglich Vertrauen entgegen��– und auch die Systeme, die uns im Alltag unterstützen, basieren auf Vertrauen. Das gilt auch für unsere Kunden. Wenn Vertrauen nicht fest in unserem unternehmerischen Handeln verankert ist, gefährden wir nicht nur die �鶹ԭ��, sondern auch unsere Kunden, unsere Partner und unser gesamtes Geschäftsumfeld.

Genau dabei geht es beim Thema Compliance: Sie bildet die Grundlage für Vertrauen. Sie zeigt, dass wir respektvoll miteinander umgehen und umsichtig handeln.

Click the button below to load the content from YouTube.

Always allow YouTube

Was hat sich durch die Pandemie verändert, und welche neuen Herausforderungen haben sich für Unternehmen mit Blick auf die Compliance ergeben?

Die Pandemie hat nicht nur ganz unterschiedliche Auswirkungen auf jeden Einzelnen von uns, sondern vielleicht auch in vielen Unternehmen Druck erzeugt. Es ist für sie möglicherweise schwieriger geworden, Geschäfte abzuwickeln. Unternehmen könnten mehr unter Druck stehen, die zu Jahresbeginn und damit vor Corona festgelegten Zahlen zu erreichen. Diese sind jedoch angesichts der aktuellen wirtschaftlichen Situation eventuell zu hoch gesteckt. In allen Unternehmen und allen Branchen muss sich jeder darauf besinnen, was wirklich wichtig ist. Ethisches Geschäftsverhalten ist dabei das Leitprinzip. Denn ethische Geschäftspraktiken schaffen nachhaltigen, langfristigen Wert und schützen Unternehmen vor den Risiken und Konsequenzen, die entstehen, wenn Vorschriften nicht eingehalten werden. Wir möchten unserer gesellschaftlichen Verantwortung gerecht werden und positive Veränderungen anstoßen.

Wie helfen die zwei Grundpfeiler der Kampagne – Kultur und Werte – der �鶹ԭ�� dabei, unbeschadet durch die Pandemie zu kommen?

Es ist wichtig, dass wir voller Stolz über unser Unternehmen und unsere Arbeit sprechen können. Wir möchten nach außen tragen, wie wir der Welt in dieser unvorhergesehenen Krise geholfen haben. Das betrifft zum Beispiel auch unsere langfristige Vision: Wir möchten die Abläufe der weltweiten Wirtschaft und das Leben von Menschen verbessern. Wie sollen wir dieses Ziel erreichen, wenn wir nicht im Einklang mit unseren Werten und unserer Kultur handeln? Wir müssen uns dabei an den richtigen ethischen Grundsätzen orientieren und Compliance-Regeln befolgen. Compliance ist nicht einfach etwas, was nachträglich passiert, sondern muss fester Bestandteil aller geschäftlichen Aktivitäten sein.

Click the button below to load the content from YouTube.

Always allow YouTube

Welche Aufgaben hat das Team des Office of Ethics and Compliance bei �鶹ԭ��?

Dem Team des Office of Ethics and Compliance gehören erfahrene Mitarbeiter auf der ganzen Welt an. Sie sind für die Ausarbeitung der Richtlinien und Prozesse zuständig, die den Compliance-Standards zugrunde liegen, zu deren Einhaltung alle Mitarbeiter verpflichtet sind. Darüber hinaus fungieren sie als vertrauenswürdige Berater für das Unternehmen und sind jederzeit für die Mitarbeiter da. Wir haben außerdem unter den Mitarbeitern ein koordiniertes Netzwerk von Compliance Ambassadors, die durch Maßnahmen und Initiativen an unseren weltweiten Standorten die Compliance fördern. Gemeinsam möchten wir höchste Standards in Bezug auf ethische Grundsätze und Compliance in allen Geschäftsbereichen und in allen Ländern erreichen, in denen wir aktiv sind.

The post Vertrauen als Leitprinzip appeared first on �鶹ԭ�� News Center.

Der Kunststoffverarbeiter Rehau automatisiert Finanzbuchungen. Der Kanton Zürich bewältigt die Antragsflut in der Krise mit neuen Prozessen, BASF prüft mit intelligenten Kontrollsystemen alle Unternehmenstransaktionen auf Steuer-Compliance. Das sind nur drei der Beispiele, an denen Christian Straub, Head of Customer Advisory Finance bei �鶹ԭ�� für Mittel- und Osteuropa, die Kraft der Transformation aus dem Finanzbereich erläutert. #TranCFOrm– dieser Hashtag soll zeigen, welche starke Rolle der CFO im intelligenten Unternehmen einnimmt. Unternehmenssteuerung in Echtzeit, das bedeutet nicht mehr nur den Blick zurück auf das Erreichte. Das heißt besseres Planen, mehr Raum für Flexibilität, Innovation und neue Geschäftsmodelle.

Wie so eine Transformation abläuft und mit welchen Ergebnissen, das erläutert Christian Straub im Gespräch mit Claus Kruesken an Beispielen aus dem eigenen Haus: �鶹ԭ�� hat sich zur Company gewandelt, und der Finanzbereich spielt eine große Rolle dabei.

Straubs Empfehlung an die Kunden: Es ist gar nicht immer die Gesamttransformation des Unternehmens nötig. Auch kleinere Schritte sind möglich, solange man ein konkretes Ziel vor Augen hat.

The post Podcast: Innovation im Finanzbereich treibt Innovation im Unternehmen appeared first on �鶹ԭ�� News Center.

Als vor wenigen Wochen infolge der Corona-Pandemie ganze Heerscharen von Mitarbeitern ins Homeoffice geschickt wurden, ging es zuallererst darum, das Geschäft am Laufen zu halten. Das Thema Sicherheit blieb vielerorts auf der Strecke. Denn Strategien zur Identity Access Governance sind in vielen Unternehmen Mangelware. Dabei ist die richtlinienbasierte und zentralisierte Steuerung von Identitätsmanagement und Zugriffsrechten unverzichtbar. Und zwar nicht nur bei der sicheren Anbindung von Homeoffice-Arbeitsplätzen. „Vielmehr geht es generell darum, Compliance- und Sicherheitsvorgaben in hybriden Systemlandschaften zuverlässig gerecht zu werden“, unterstreicht Anna Otto, Presales Expert für �鶹ԭ�� Security & GRC. Von den Grundsätzen ordnungsgemäßer Buchführung (GoB) bis hin zum revisionssicheren Berechtigungsmanagement gilt es heute eine Vielzahl von Regularien einzuhalten.

Identity Access Governance: Spannungsfeld für den CFO

Finanzchefs müssen dabei einen enorm schwierigen Spagat meistern: Auditoren stellen strenge Anforderungen an Bestechungs- und Korruptionsprävention, Anwender wollen nicht durch fehlende Berechtigungen ausgebremst werden. Das Management mahnt effiziente Prozesse an, IT-Verantwortliche verzweifeln an der zunehmend agilen Anwendungslandschaft – und dem damit erforderlichen, hohen Anpassungsbedarf bei Nutzerrollen und Zugriffsberechtigungen.

Kein Wunder also, dass Experten dem IT-gestützten Identitäts- und Zugriffsmanagement (IAM) eine glänzende Zukunft vorhersagen. Denn damit lassen sich all diese Bedürfnisse mühelos unter einen Hut bringen. Einer aktuellen Studie zufolge stehen entsprechende Anwendungen auf der Einkaufsliste vieler Unternehmen derzeit ganz oben. Fast jedes zweite der befragten Unternehmen (48 Prozent) plant demnach noch in diesem Jahr die Anschaffung einer Authentifizierungslösung, jedes dritte (34 Prozent) will das Zugriffsmanagement optimieren.

�鶹ԭ��-Werkzeuge für Governance, Risk and Compliance

Höchste Zeit, findet �鶹ԭ��-Expertin Anna Otto: „Schließlich ist Identity Access Governance nicht nur bei Datenzugriffen aus dem Homeoffice ein wichtiges Thema. An der sicheren und effizienten Verwaltung digitaler Identitäten geht im intelligenten Unternehmen kein Weg mehr vorbei“, sagt sie. �鶹ԭ�� liefert mit einem Lösungsportfolio für Governance, Risk and Compliance (GRC) eine Vielzahl leistungsstarker Werkzeuge. Damit meistern CFOs folgende Herausforderungen:

• Identity Lifecycle im Blick behalten
  Mitarbeiter werden eingestellt, entwickeln sich weiter, wechseln die Abteilung oder verlassen das Unternehmen. Umso wichtiger ist es, dass sie ihre Aufgaben zu jedem Zeitpunkt erfüllen können. Nicht mehr und nicht weniger. Über die On-Premises- oder den“-Service von �鶹ԭ�� bleiben Benutzer- und Zugriffsdaten auch innerhalb heterogener Systemlandschaften immer zuverlässig im Blick. Die Lösungen lassen sich nahtlos in Personalverwaltungsprozesse integrieren, sodass erforderliche Änderungen der Benutzerkonten automatisch angestoßen werden. Zudem tragen hinterlegte Workflows und Selfservices dazu bei, dass die Vergabe erforderlicher Berechtigungen schnell erfolgt und transparent dokumentiert wird.
• Berechtigungen und Rollen effizient verwalten
  Eine manuelle Kontrolle von Berechtigungsrisiken in verteilten Systemlandschaften ist kaum noch zu händeln. Angesichts der fortschreitenden Digitalisierung müssen Berechtigungen systemübergreifend vergeben und auf ihre Regelkonformität überprüft werden. Die �鶹ԭ��-Anwendung und die Serviceangebote von erleichtern diese Aufgabe. Unternehmen können darüber Berechtigungsvergaben regel- und gesetzeskonform steuern, komplexe Genehmigungsverfahren automatisieren und vereinfachen – und zwar kontinuierlich. Darüber hinaus unterstützen die Lösungen für das Identity Access Management das Monitoring von Superusern und ermöglichen Risikoanalysen in Echtzeit.
• Authentifizierung erleichtern
  Hybride Systemlandschaften gelten als einer der zentralen IT-Trends des Jahres. Umso wichtiger ist es, das Unternehmen das Thema Single Sign-On auf die Agenda setzen. Angesichts der heterogenen IT-Landschaften droht ansonsten ein unüberschaubarer Wildwuchs an Passwörtern – und damit Produktivitätsverluste und potenzielle Sicherheitsrisiken. Mit der Anwendung sowie dem Cloud-Service Identity Authentication��bietet �鶹ԭ�� den Kunden auch in diesem Bereich zwei leistungsstarke Werkzeuge. Die Nutzer müssen sich lediglich einmalig anmelden und erhalten anschließend entsprechend ihrem Berechtigungsprofil Zugriff auf sämtliche On-Premises- und Cloud-Anwendungen. Das reduziert Sicherheitsrisiken aufgrund schwacher oder mehrfach genutzter Passwörter und trägt gleichzeitig zu einer höheren Anwenderzufriedenheit bei.

Ob ein Unternehmen den Lebenszyklus von Identitäten, die Zuordnung und Pflege von Rollen und Berechtigungen sowie die Authentifizierung über eine On-Premises-Lösung oder einen Cloud-Service organisiert, hängt letztlich von den individuellen Bedürfnissen ab: Klassische Softwareanwendungen bieten mehr Funktionalität, Cloud-Services lassen sich dafür wesentlich schneller implementieren. „Auf Dauer kommen die Unternehmen nicht um die Entwicklung einer Identity-Access-Governance-Strategie herum. Wir helfen, den Weg dorthin passgenau zu gestalten“, sagt Anna Otto.

Weitere Informationen:

Sie möchten mehr wissen? ��Dann besuchen Sie am 1. und 2. Juli ganz einfach . Vom Deep-Dive-Vortrag über eine Produktdemo bis hin zur aktuellen �鶹ԭ��-Roadmap bietet das Online-Event spannende Einblicke in das �鶹ԭ��-Lösungsportfolio für Governance, Risk and Compliance.�� Am besten, Sie sichern sich direkt Ihren Platz.

Lesen Sie außerdem in der aktuelle Ausgabe des Wall Dorf Journal, warum CFOs die digitale Transformation der unternehmensweiten Prozesse unbedingt mitgestalten sollten und welche Herausforderungen es dabei zu stemmen gilt.

Weitere Infos zum �鶹ԭ��-Lösungsportfolio für Governance, Risk und Compliance finden Sie auch auf unserer .

The post Mit Identity Access Governance Compliance-Risiken vorbeugen appeared first on �鶹ԭ�� News Center.

Herr Fassunge, Herr Lorenz: Die Bundesregierung holt Sie für die Corona-Warn-App an Bord. Wie sieht die Aufgabenverteilung zwischen den Unternehmen aus?

Fassunge: �鶹ԭ�� und die Telekom kennen sich gut. Wir sind ein eingespieltes Gespann. �鶹ԭ�� stellt über eine technische Plattform die Software-Technologie zur Verfügung. Wir treiben die Lösungsentwicklung voran. Zusammen arbeiten wir mit Hochdruck an einer Open-Source-Lösung. Dies ist eine zentrale Forderung von��Datenschutz��und Öffentlichkeit an uns: Transparenz herstellen, keine Chance für Hintertüren bieten. Damit schaffen wir Vertrauen.

Lorenz: Wir machen als Partner jenseits dieses Projektes vieles gemeinsam. Die Deutsche Telekom bringt ihre Stärken im Hinblick auf Prozesse rund um Netzwerk- und Mobilfunktechnologie ein. Wir kümmern uns zudem und den sicheren und effizienten Betrieb. Hinzu kommt die Telekom Security. Unsere Sicherheits-Spezialisten werden das System auf Herz und Nieren prüfen.

Wie genau funktioniert die App?

Fassunge: Sie misst über��Bluetooth��den Abstand zwischen Personen. Die App ermöglicht, dass die Mobilgeräte sich die Kontakte merken, die die festgelegten Kriterien (Nähe und Zeit) erfüllt haben. Dazu tauschen die Geräte untereinander temporär verschlüsselte Identitäten aus. Werden Nutzer der Corona-Warn-App positiv auf das Corona-Virus getestet, können sie auf freiwilliger Basis ihre Kontakte durch die App informieren lassen. Dabei werden im Infektionsfall die verschlüsselten IDs des Infizierten allen Mobiltelefonen der App-Nutzer zur Verfügung gestellt. Der Abgleich der ID‘s findet auf dem Client statt.��Diese können daraufhin überprüfen, ob sie mit den übermittelten IDs in Kontakt waren. Im Falle einer Übereinstimmung wird der Nutzer über den kritischen Kontakt gewarnt.

Was sagen die Datenschützer dazu?

Lorenz: Die App speichert Daten dezentral. Informationen bleiben also auf dem��Smartphone. Das ist im Übrigen auch der Ansatz, den Apple und Google generell verfolgen. Wir arbeiten darüber hinaus intensiv mit der Datenschutz-Community zusammen. Wir stimmen jeden Entwicklungsschritt mit dem Bundesamt für Sicherheit in der Informationstechnik ab. Auch der Bundesbeauftragte für den Datenschutz, BfDI, ist von Beginn an eng eingebunden. Das führt zusammengenommen zu einem hohen Maß an Sicherheit.

Fassunge: Die Nutzung der App ist freiwillig. Sie dient ausschließlich der Information der Bevölkerung. Entscheidungsrelevante Daten für Verwaltung und Politik sammelt die App nicht. Unser gemeinsames Ziel ist breite Akzeptanz. Nur wenn viele Menschen sie nutzen, kann die App einen Beitrag gegen die Ausbreitung der Pandemie leisten.

Was sind die nächsten Schritte?

Fassunge: Wir informieren auf der Entwickler-Plattform Github über den Fortgang. In der Open-Source-Community gilt der Leitsatz: Release early, release often. Wir berichten daher schon aus der Frühphase der Entwicklung und werden kontinuierlich Meilensteine auf Github veröffentlichen. ��Programmierer und andere Interessierte tauschen sich so mit uns aus.

Lorenz: Auf dem weiteren Plan steht das Design der Prozessketten. Also die Frage: Welchen Weg nimmt die Information von Nutzer zu Nutzer über Gesundheitsamt und Labor? Das machen wir zusammen mit dem Bundesgesundheitsministerium. Die Produktgestaltung steht ebenfalls an – etwa für Login oder intuitive Bedienung der App. �鶹ԭ��-ERP-Systeme sind an 77 % aller Transaktionsumsätze weltweit beteiligt, über 200 Millionen Nutzer greifen auf �鶹ԭ��-Cloud-Anwendungen zu. Die Telekom bietet Millionen Privatkunden Service-Apps. Diese Kompetenz gehört zur DNA beider Unternehmen.

Weitere Informationen zu den COVID-19-Aktivitäten von Telekom und �鶹ԭ�� finden Sie hier:

• Die Antwort der �鶹ԭ�� auf COVID-19

The post Bund beauftragt �鶹ԭ�� und Telekom mit Corona-Warn-App appeared first on �鶹ԭ�� News Center.

2019 verzeichnete der Basler Pharmakonzern Novartis zweistellige Wachstumsraten. Entsprechend groß ist der Bedarf an qualifizierten Fachkräften. Novartis setzt hier nicht nur auf die Kompetenz seiner rund 100.000 Angestellten, sondern auch auf externes Know-how. „Unser Pool an externen Dienstleistern ist groß und vielfältig“, sagt Erika Thier, Global Procurement Category Manager External Workforce bei Novartis. „Umso wichtiger ist es, die damit verbundenen Compliance-Anforderungen zu erfüllen, Transparenz und Analysemöglichkeiten zu schaffen sowie Abläufe zu digitalisieren und damit dem Business unnötige Arbeitsprozesse abzunehmen.“

�鶹ԭ�� Fieldglass: Mittel der Wahl für das externe Workforce Management

Die Cloud-Lösung von �鶹ԭ�� erleichtert die Zusammenarbeit mit Fremdpersonal sowie Dienstleistern und Subunternehmern – und erschließt Unternehmen so viele Vorteile. „Die Dienstleistungsbeschaffung folgt ganz anderen Regeln als der normale Einkauf. Schließlich geht es dabei nicht um Material, sondern um Menschen“, sagt �鶹ԭ��-Experte Carsten Gieren. Er hält �鶹ԭ�� Fieldglass im Service Procurement deshalb für alternativlos – nicht zuletzt aus folgenden Gründen:

1. Höhere Transparenz
   Viele Unternehmen wissen gar nicht, wie viele externe Mitarbeiter sie beschäftigen, womit diese befasst sind und was sie kosten. Auch bei der Zusammenarbeit mit Dienstleistern und Subunternehmen fällt es den Verantwortlichen oft schwer, den Durchblick zu behalten. So kennen einer zufolge weniger als die Hälfte der Befragten (48 Prozent) die Vertragsbedingungen ihrer Dienstleister, nur jeder Vierte hat eine Vorstellung von deren Arbeitsqualität. Ihnen kann geholfen werden: �鶹ԭ�� Fieldglass bildet über einen einzigartigen Identifikationscode den gesamten Lebenszyklus externer Mitarbeiter ab – von der Stellenausschreibung und dem Onboarding bis hin zum Offboarding und einer späteren erneuten Beauftragung.
2. Geringere Sicherheitsrisiken
   Dienstleister, Freelancer und Zeitarbeiter sind ein oft unterschätztes Sicherheitsrisiko. Vielerorts können sie ungehindert sensible Unternehmensinformationen einsehen, weil es an einem geregelten Zugriffsmanagement fehlt. Zudem kennen externe Mitarbeiter unternehmensinterne Sicherheitsvorschriften oft nur oberflächlich. Das kann fatale Folgen haben. �鶹ԭ�� Fieldglass stellt durch hinterlegte Workflows und Checklisten sicher, dass jeder einzelne Fremdarbeiter alle Informationen hat, die er für seinen Job benötigt – von der Sicherheitsunterweisung bis hin zur Geheimhaltungsvereinbarung. Nicht mehr und nicht weniger. Das hilft, Sicherheitsrisiken einzugrenzen sowie wirtschaftlichen oder materiellen Schäden vorzubeugen.
3. Zuverlässige Compliance
   Was ist erlaubt, was nicht? Externe Spezialisten regelkonform einzusetzen ist angesichts strenger gesetzlicher, bzw. häufig wechselnder Vorgaben alles andere als einfach. Nicht nur bei der Beschäftigung von Zeitarbeitern sind etliche Regeln zu beachten. Auch die korrekte Umsetzung von Dienst- und Werkverträgen gestaltet sich heutzutage komplex. �鶹ԭ�� Fieldglass stellt die Weichen, damit Unternehmen bei der Einbindung externer Arbeitskräfte zuverlässig auf der sicheren Seite bleiben. Und zwar auch in Bezug auf unternehmensinterne Richtlinien und Budgetberechtigungen.
4. Fehlerfreie Rechnungen
   Ganz egal, ob externe Services auf Stundenbasis oder ergebnisorientiert abgerechnet werden: Die Rechnungsprüfung externer Dienstleister ist häufig ein zeitaufwendiges Unterfangen. Wurden alle abgerechneten Stunden tatsächlich erbracht? Stimmt die Qualität der fakturierten Dienstleistung? Liegen alle erforderlichen Nachweise vor? Oft fallen Differenzen erst auf, wenn die Rechnung bereits gestellt ist. Und erfordern dann aufwendige Korrekturen. Mit �鶹ԭ�� Fieldglass lassen sich Leistungen über einen hinterlegten Workflow transparent darstellen und genehmigen. Abrechnungsfehler gehören damit der Vergangenheit an.
5. Effiziente Abwicklung
   Über das �鶹ԭ��-Fieldglass-Portfolio lässt sich der gesamte Prozess der Dienstleistungsbeschaffung effizient gestalten – und zwar über alle Abteilungsgrenzen hinweg. Mithilfe intelligenter Verfahren können geeignete Freelancer im Handumdrehen selektiert, Dienstleistungsangebote verglichen, Zeitpläne und Ressourcenanforderungen gesteuert werden. Da die Cloud-Lösung nahtlos mit der elektronischen Unterschriftsplattform DocuSign integriert ist, müssen Unternehmen ihre Verträge auch nicht mehr per Post zur Unterschrift verschicken. Stattdessen unterzeichnet der externe Mitarbeiter oder Dienstleister einfach per elektronischer Signatur – und kann so wesentlich schneller an Bord geholt werden.

Weitere Informationen:

Sie möchten wissen, wie Unternehmen ganz konkret von �鶹ԭ�� Fieldglass profitieren? Dann nehmen Sie am 4. März 2020 um 11 Uhr am Webinar mit Novartis-Expertin Erika Thier teil. .

The post Service Procurement: Fünf Gründe, warum an �鶹ԭ�� Fieldglass kein Weg vorbeiführt appeared first on �鶹ԭ�� News Center.

Diese Diskrepanz war einer von mehreren interessanten Fakten, über die ich mich kürzlich in meinem Webinar mit zwei Sicherheitsexperten unterhalten habe. Dies sind meine drei wichtigsten Erkenntnisse aus unserem Gespräch:

1. Sicherheit muss Teamsache sein

Robyn Westervelt, Research Director of Security and Trust bei IDC, hat beobachtet, dass Unternehmen mit dem Siegeszug von Hybrid- und Multi-Cloud-Umgebungen zunehmend mit schon lange bekannten Problemen konfrontiert werden. Sie müssen sich damit befassen, wie sie mit Verschlüsselung umgehen und Anwendungen vor Sicherheitsrisiken schützen sollen. Neu ist, dass IT-Sicherheitsexperten diese Herausforderungen nicht mehr allein bewältigen müssen.

„Es mangelt an Transparenz und Steuerungsmöglichkeiten, und das nehmen nicht nur die für die Sicherheit zuständigen IT-Experten wahr, sondern auch diejenigen, die für Geschäftsbereichs-IT und operativen Betrieb zuständig sind“, erklärte Westervelt. „Sicherheitsexperten arbeiten immer häufiger mit Datenanalysten und Datenverantwortlichen zusammen��– auch im Zusammenhang mit der Datenqualität. Im streng regulierten Umfeld von heute müssen Unternehmen mehr Aufwand als je zuvor betreiben, um Daten zu schützen und vertrauenswürdig zu bleiben. Sie müssen Antworten auf zwei äußerst wichtige Fragen finden: Wo befinden sich meine kritischsten Ressourcen? Wer hat Zugriff darauf?“

2. Grundlegende Sicherheitsmaßnahmen nicht übersehen

Man hört immer häufiger von spektakulären Datenschutzverletzungen und Cyberattacken. Deshalb könnte man annehmen, jedes Unternehmen hätte wenigstens grundlegende Sicherheitsmaßnahmen ergriffen.

Westervelt hat andere Erfahrungen gemacht. Sie erzählte von einem Konsumgüterhersteller, der keine modernen Sicherungssysteme hatte und Opfer eines Ransomware-Angriffs wurde. Das Unternehmen erlitt Verluste in Millionenhöhe.

„Die Produktionslinien konnten nicht laufen��…��und die Geschäftsleitung musste ehemalige Mitarbeiter aus dem Ruhestand zur Hilfe rufen, um die Formeln mehrerer seit Jahren hergestellter Produkte wieder auszutüfteln“, berichtete sie. „Heute gibt es in dem Unternehmen einen Chief Information Security Officer, der ein ganz neues Sicherheitsprogramm entwickelt��– angefangen bei Authentifizierung und und mehr.“��

Viele Unternehmen verwenden Daten von vielen verschiedenen Geräten und aus verschiedenen internen und externen Systemen. So ist es kein Wunder, dass mehr als 40 Prozent der von IDC-Befragten angaben, die sichere Verwaltung von Informationszugriff und Integration als Herausforderung zu empfinden. Das ist aber noch lange keine Entschuldigung dafür, nicht wenigstens grundlegende Präventivmaßnahmen wie Patch-Updates zu ergreifen.

Ralph Salomon, Vice President des Bereichs , erinnerte sich, wie ein Kunde nach einem Ransomware-Angriff schnell wieder zur Tagesordnung übergehen konnte. „Der Infrastrukturverantwortliche rief mich an und sagte: ‚Vielen Dank, dass Sie uns immer wieder daran erinnert haben, die Patches in unserer Umgebung rechtzeitig zu implementieren. Das hat uns unglaublich viel Aufwand erspart.‘ Wir hatten aktuelle Sicherungen, aus denen wir die Daten sehr schnell wiederherstellen konnten“, erzählte er. „Die richtige Implementierung von Anwendungspatches ist sehr wichtig, um eine grundlegende Sicherheitshygiene zu erreichen.“

3. Framework bietet Sicherheit in der Cloud

Beide Experten waren sich einig, dass es für jedes Unternehmen außerordentlich wichtig ist, die kritischsten Sicherheitsrisiken zu ermitteln und entsprechend Ressourcen zuzuordnen. Laut Westervelt legen sich die erfolgreichsten Unternehmen auf ein Sicherheits-Framework fest. Sie nannte verschiedene vertrauenswürdige Frameworks, die bereits hunderttausende Entwickler verwendet.

„Ich glaube an sichere Softwareentwicklung und daran, bereits im frühesten Stadium Sicherheitsmechanismen einzubauen. Nachträglich Sicherheitsmaßnahmen zu ergreifen, ist nämlich sehr kostspielig“, betonte sie.

In der Welt des ist es laut Salomon von entscheidender Bedeutung, das Bedrohungspotenzial zu betrachten, das aus dem Geschäftsumfeld eines Unternehmens weitergegeben wird. Angreifer können über die Systeme von Kunden oder Partnern in ein Unternehmen eindringen. Diesem Umstand trägt die Gesamtsicherheitsstrategie der �鶹ԭ�� Rechnung.

„Wir untersuchen zusammen mit unseren Kunden, welche die wichtigsten Anforderungen sind, damit wir diese in unser Portfolio einfließen lassen können“, führte Westervelt aus. „Wir entwickeln die Sicherheitsmechanismen kontinuierlich weiter. Alles ist mit unserer Unternehmensstrategie verknüpft. Unser Ziel ist es, die Abläufe der weltweiten Wirtschaft und das Leben von Menschen zu verbessern, indem wir das intelligente Unternehmen für unsere Kunden und für die �鶹ԭ�� absichern.“

Es wird nicht leichter werden, die Pläne von Cyberkriminellen zu durchkreuzen – ganz im Gegenteil. In der gibt es wichtige Empfehlungen dazu, was jedes Unternehmen in Sachen Sicherheit von einem Softwareanbieter verlangen sollte und wie man sich vor den häufigsten Sicherheitsverletzungen schützen kann, denen unvorbereitete Unternehmen immer noch zum Opfer fallen.

Folgen Sie Susan Galer auf Twitter unter @smgaler

The post Drei Lektionen in Sachen IT-Sicherheit appeared first on �鶹ԭ�� News Center.

Das Ziel heißt Intelligent Spend Management – ein . Wie der Weg dorthin aussieht, machte der diesjährige deutlich. Drei Digitaltrends standen im Mittelpunkt.

1. Integrierte Systeme: Vom Silo zur Plattform

Auch 2019 dominieren in vielen Einkaufsorganisationen noch Silodenken und Insellösungen. Eine wirksame Digitalisierung jedoch braucht integrierte Abläufe auf einer global einheitlichen Plattform. Alle Einkaufsprozesse müssen zusammenspielen – für direkte und indirekte Materialien, Reisekosten, Dienstleistungen und externe Fachkräfte. Auf diese Weise lassen sich . Das rechnet sich.

„In einer Benchmarking-Studie haben wir herausgefunden, dass Unternehmen mit einer integrierten Plattform, die den kompletten Prozess für direktes und indirektes Material sowie Services abbildet, im Schnitt bis zu 27 Prozent geringere Kosten im Einkauf haben.“

– Dr. Martin Kotula, GVP & Head of Value Advisory for Spend Management –

Auch McKinsey spricht sich in einer Studie für diese ganzheitliche Strategie aus: „Tatsächlich erkennen wir nur einen Weg, das volle Potenzial der digitalisierten Beschaffung zu realisieren: durch eine nutzerorientierte End-to-End-Transformation des gesamten Source-to-Pay-(S2P)-Prozesses (…).“

Wie sich diese Denkweise in der Praxis auswirkt, berichtete ein großer deutscher Telekommunikationsanbieter beim �鶹ԭ��-Infotag. Das Unternehmen will seinen Einkauf immer weiter automatisieren, auf nahezu 100 Prozent. Der erste Schritt: Die Verantwortlichen konsolidierten die heterogene IT-Landschaft. Erst danach kam die Prozessoptimierung an die Reihe.

2. Process Mining: Ausreißer aufspüren auf Knopfdruck

Process Mining ist eine noch junge Disziplin. Wesentlich geprägt wurde sie von dem Münchner Unternehmen Celonis. Die Idee: Jeder digitale Prozess hinterlässt Spuren. Durch das „Mining“ dieser Spuren können Einkäufer ermitteln, ob ihre Vorgaben im gesamten Unternehmen eingehalten werden und wo sich Bestellungen verzögern. Das ist unter anderem eine ideale Maßnahme gegen Maverick Buying, wenn eine Abteilung am Einkauf vorbei ordert und damit häufig an Sonderkonditionen oder Compliance-Standards.

Eine grafische Darstellung der Prozesse zeigt Abweichungen auf einen Blick. Woher kommt die Rechnung A? Warum haben wir beim Lieferanten B bestellt? Wo bestehen logistische Flaschenhälse? Bis hinunter zum Einzelbeleg sind alle Prozesse „live“ visualisiert. Die transparente Gesamtsicht macht schnell klar, an welchen Stellschrauben sich drehen lässt. Ein enormer Vorteil gegenüber klassischen Analysemethoden, die zwar Verzögerungen, aber nicht deren Ursache erkennen ließen. Ausreißer haben keine Chance mehr.

3. Supplier Experience Management: Das Gefühl entscheidet

„Wir glauben, Entscheidungen rational zu treffen“, sagt Mirko Rogg, Enterprise Account Executive beim �鶹ԭ��-Unternehmen Qualtrics. „Aber so funktionieren Menschen und Unternehmen nicht. Wir treffen Entscheidungen aus dem Bauch heraus und finden hinterher einen Grund, wie wir sie rechtfertigen können.“

Auch im Geschäftsleben entscheidet das Herz, nicht der Kopf. Unternehmen gestalten das Verhältnis zu ihren Kunden darum immer enger und vertrauensvoller, beispielsweise per Service-App. Sie stellen Fragen: Wie zufrieden ist der Kunde? Was würden Mitarbeiter an einem Produkt verändern? Welche Änderungen würden sie vornehmen? Genauso wichtig aber ist die Zufriedenheit mit und in der Lieferkette – gerade heute, wo Partner-Ökosysteme immer wertvoller werden und Skandale in der Supply Chain die Kaufentscheidungen signifikant beeinflussen. Faire Produktionsbedingungen, Umweltverträglichkeit und Nachhaltigkeit bestimmen über den Geschäftserfolg maßgeblich mit.

Mit den Lösungen von Qualtrics gewinnen Unternehmen einen genauen . Dazu gehören sämtliche Berührungspunkte, die ein Lieferant mit dem einkaufenden Unternehmen oder anderen Kunden hat. Dieses Supplier Experience Management misst also neben Kennzahlen wie Liefertreue auch Erfahrungsdaten. Zusammen mit den operativen Daten entsteht ein ganzheitliches Bild der Lieferantenperformance. Ein wichtiger Schritt hin zum Einkauf der Zukunft.

Click the button below to load the content from YouTube.

Always allow YouTube

Erfahren Sie mehr über

The post Die drei wichtigsten Digitaltrends für den Einkauf appeared first on �鶹ԭ�� News Center.

All diese Fragen machen eines deutlich: Es besteht weiterhin ein großer Bedarf, in den Dialog zu kommen, um die Sorgen von Unternehmen aufzulösen und konsequent zu digitalisieren. Der �鶹ԭ��-S/4HANA-Experte Michael Sokollek bietet im Gespräch mit dem Chefredakteur des IT-Onlinemagazins Helge Sanden praktische Einblicke in seine tägliche Arbeit. Er berichtet von Kundenprojekten und berichtet spannendes von den Fragen und Herausforderungen der Unternehmen. Erfahren Sie, welche Möglichkeiten es gibt, Know-How aufzubauen und was überhaupt alles möglich ist.

Es braucht ein Umdenken, wie Projekte umgesetzt und Technologien eingesetzt werden können – kurz: wie die Transformation zu einem intelligenten Unternehmen möglich wird.

The post Podcast: Wie funktioniert Digitalisierung in der Praxis? appeared first on �鶹ԭ�� News Center.

Bis wann muss das Urteil zur Zeiterfassung umgesetzt werden?

Bevor wir auf die Folgen dieses Urteils eingehen, ist anzumerken, dass der EuGH in diesem Zusammenhang bislang keine Frist vorgegeben hat. Den Zeitrahmen für die Umsetzung können die jeweiligen Mitgliedsstaaten selbst festgelegen. In Deutschland und Spanien wird diesbezüglich bereits diskutiert. Wir haben 40 Jahre Erfahrung im Personalwesen und wissen, dass die Ausarbeitung durch die gesetzgebenden Organe einige Zeit in Anspruch nehmen kann. Daher rechnen wir frühestens in einem Jahr mit gesetzlichen Vorgaben.��Dennoch machen wir uns bereits aktiv Gedanken über unsere nächsten Schritte, damit wir unsere Kunden in jedem EU-Mitgliedsstaat bei der Umsetzung zur Seite stehen können.

Worum geht es in diesem EuGH-Urteil?

In diesem wird ausdrücklich geregelt, dass die Mitgliedsstaaten der Europäischen Union „Arbeitgeber dazu verpflichten müssen, ein objektives, zuverlässiges und zugängliches System zur Erfassung der von jedem Arbeitnehmer geleisteten täglichen Arbeitszeit einzurichten.”

Die Umsetzung des neuen EuGH-Urteils liegt im Verantwortungsbereich der EU-Mitgliedsstaaten: „Es obliegt den Mitgliedsstaaten, die jeweiligen Modalitäten zur Einführung eines solchen Systems, vor allem dessen Form, festzulegen und dabei gegebenenfalls Besonderheiten wie die jeweiligen Tätigkeitsbereiche der Unternehmen oder die Eigenheiten bestimmter Unternehmen, z. B. deren Größe, zu berücksichtigen.“

Laut dem EuGH ist es ohne ein solches System nicht möglich, die Ausgestaltung der europäischen Arbeitszeitrichtlinie, vor allem zu Höchstarbeitszeit und Ruhezeit, zu kontrollieren.��In Deutschland sieht beispielsweise § 16 (2) des Arbeitszeitgesetzes vor, dass nur Arbeitsstunden aufgezeichnet werden müssen, die über acht Stunden pro Tag hinausgehen.

In Spanien existiert bereits ein ähnliches Gesetz, nach dem Unternehmen die Arbeitsstunden ihrer Beschäftigten erfassen und diese Daten mindestens vier Jahre lang speichern müssen.

Wie unterstützt die �鶹ԭ�� bei der Zeiterfassung?

Solange noch nicht klar ist, wie die EU-Regierungen auf diese Entscheidung reagieren, werden wir die Entwicklungen genau verfolgen. Wir sind zuversichtlich, dass wir die nötige Expertise besitzen, um unsere Kunden bei der Einhaltung der neuen Bestimmungen zu unterstützen.

Vorschriften dieser Art sind sicherlich nicht nur für die Europäische Union relevant. Deshalb werden wir versuchen, Funktionen so bereitzustellen, dass sie sich auch weltweit für ähnliche Anforderungen eignen.

Die �鶹ԭ�� bietet bereits umfassende Geschäftsverfahren an, die sich im Bereich Lokalisierung bewährt haben. Dadurch sind unsere Kunden in der Lage, verschiedene Regelungen zu krankheitsbedingter Abwesenheit und zu weiteren Anträgen auf arbeitsfreie Zeit in unterschiedlichen Ländern zu befolgen und ihre Systeme vorschriftsgemäß zu konfigurieren.

Sowohl bei �鶹ԭ�� SuccessFactors als auch mit Blick auf das intelligente Unternehmen über die gesamte �鶹ԭ��-Suite hinweg investieren wir im erheblichen Umfang in Funktionen zur Zeit- und Anwesenheitserfassung. In diesem Zusammenhang werden wir auch alle neuen gesetzlichen Bestimmungen berücksichtigen.

Zudem bieten wir eine vielversprechende Produkt-Roadmap an, die unseren Kunden bei der Einhaltung der neuen Zeiterfassungsregelungen entgegenkommen soll, sobald diese im jeweiligen EU-Mitgliedsstaat in Kraft treten.

Gibt es einen Bezug zu Personalthemen?

Das Urteil zielt nicht nur auf eine gerechte Vergütung, sondern auch auf die Gesundheit und das Wohlergehen der Mitarbeiter ab. Initiativen in diesem Bereich liegen im Trend: So schaltet ein europäisches Automobilunternehmen seine E-Mail-Exchange-Server nach Feierabend und am Wochenende aus und in Frankreich soll mit neuen gesetzlichen Bestimmungen sichergestellt werden, dass Mitarbeiter nicht über ihre reguläre Arbeitszeit hinaus tätig werden. Die Gesundheit und das Wohlergehen ihrer Beschäftigten betrachten viele Arbeitgeber als wichtige Erfolgsfaktoren, da sie Burnout-Fälle vermeiden und lieber die Bindung der Mitarbeiter ans Unternehmen stärken möchten.

Wie geht es jetzt weiter bei der Zeiterfassung?

Natürlich müssen wir mehr in investieren und die Stundenzettelfunktionen zur Zeiterfassung ausbauen, damit unsere Kunden diesem neuen EU-Urteil gerecht werden können. Wir möchten Arbeitgebern und Arbeitnehmern die Tools an die Hand geben, die ihnen die Zeiterfassung erleichtern und die sie dabei unterstützen, Transparenz über die Arbeitsstunden der Beschäftigten zu schaffen. Uns geht es nicht nur um das Einhalten der wichtigen, neuen Vorschriften. Wir möchten auch unseren Kunden helfen, das Wohlergehen und das Engagement der Mitarbeiter zu verbessern, die sich direkt auf die Unternehmensleistung und das Geschäftsergebnis auswirken.

Sobald wir Näheres wissen, werden wir Sie über unsere weiteren Pläne und Produkt-Roadmaps informieren. Sie möchten in diesem Zusammenhang auf dem Laufenden bleiben? Dann abonnieren Sie die .

Ihre Fragen können Sie an p.meredith@sap.com richten.

Paul Meredith ist Director of Solution Management bei �鶹ԭ�� SuccessFactors.

The post Wie sich das jüngste EuGH-Urteil auf die Roadmap von Zeiterfassungslösungen auswirkt appeared first on �鶹ԭ�� News Center.