Praxisbeispiel. Sicherheit geht alle an. Ein Praxisbeispiel des Netzwerks Elektronischer Geschäftsverkehr

Praxisbeispiel Sicherheit geht alle an Ein Praxisbeispiel des Netzwerks Elektronischer Geschäftsverkehr

Impressum Text und Redaktion Dipl. Kfm. David Schüppel, KOLDI GmbH & Co. KG Dipl. Ing. Dagmar Lange, SAGeG Dipl. Kff. Maria Klees, ECC Handel Grafische Umsetzung Tobias Eberhardt, Neckargemünd Bildquelle G.U.B. Ingenieur AG peshkova/fotolia.com (Bildnr.: 42563094) Druck MDC Marketing Design Chemnitz GmbH, Chemnitz Herausgeber SAGeG Kompetenzzentrum Elektronischer Geschäftsverkehr c/o IHK Chemnitz Straße der Nationen 25 09111 Chemnitz Telefon: +49 371 69 001211 Telefax: +49 371 69 00191211 E-Mail: langed@chemnitz.ihk.de Internet: www.sageg.de E-Commerce-Center Handel (ECC Handel) c/o IfH Institut für Handelsforschung GmbH Dürener Str. 401b 50858 Köln Telefon: +49 221 9436 07 77 Telefax: +49 221 9436 0759 E-Mail: m.klees@ecc-handel.de Internet: www.ecc-handel.de Stand August 2012

Inhalt 1 Inhalt Inhalt... 1 Einleitung... 2 Prozesseinordnung... 4 Verantwortung des Vorstandes und der Geschäftsführung... 7 Externe Kompetenzen einbinden... 8 Das Vorgehen im Überblick... 9 Sicherheitsanalyse und Ausgangssituation...10 Finanzielle und organisatorische Planung der Maßnahmen...11 Checkliste: Einschätzung des Sicherheitslevels...14 Fazit...15 Quellen...16 Glossar...17

2 Einleitung Einleitung Neben den rein wirtschaftlichen Risiken eines Unternehmens ist auch der Umgang mit der Informations- und Kommunikationstechnik (IKT) mit vielfältigen Risiken behaftet. Um bspw. digitalen Angriffen vorzubeugen, sind verschiedene Anforderungen an die IT- Sicherheit zu erfüllen, die sich unter anderem aus dem Standort und verschiedenen Nutzungsszenarien der (IKT). Dass diese Thematik zunehmend auch in KMU als relevant eingestuft wird, zeigt beispielsweise die Studie Netzund Informationssicherheit in Unternehmen 2011 des Netzwerk elektronischer Geschäftsverkehr. a Zentrales Ergebnis der Studie ist, dass nicht nur große Unternehmen, sondern zunehmend auch kleine und mittlere Unternehmen Opfer digitaler Angriffe werden [ ]. Die Untersuchung zeigt abermals, dass IT- und Informationssicherheit auch für KMU bereits ein Thema ist und vielfach zumindest punktuell angegangen wird. Laut der Studie informieren immerhin rund 60 Prozent der befragten Unternehmen ihre Mitarbeiter zum Thema Sicherheit, davon 82,7 Prozent einmal pro Jahr oder öfter. Ein weitere Studie, durchgeführt vom Bundesamt für Sicherheit in der Informationstechnik, kommt zu dem Ergebnis dass die IT-Sicherheit sich überwiegend durch eine Folge von nicht aufeinander abgestimmten Einzelaktionen darstellt und ein Bewusstsein für einen Prozess als Arbeitsgrundlage der mindestens einmal pro Monat mindestens einmal pro Quartal 15,1 % 22,7 % 23,5 % 13,0 % noch nicht mit dem Thema beschäftigt Externe Kosten zu hoch mindestens einmal pro Jahr 44,9 % ja 59,9 % nein 40,1 % 18,3 % 23,5 % Zu geringes Know-how Sonstiger Grund seltener als einmal pro Jahr 17,3 % 21,7 % Weiß nicht Quelle: Duscha, A./Klees, M./Weisser, R.: Netz- und Informationssicherheit in Unternehmen 2011, ECC Handel, Köln 2011. Durchführung von Mitarbeiterschulungen zum Thema IT- und Informationssicherheit

Einleitung 3 InfoBox: BEGRIffSERKLÄRUnG Sicherheit, IT-Sicherheit und Informationssicherheit Sicherheit allgemein wird als Geschütztsein vor Gefahr oder Schaden c verstanden. IT-Sicherheit wird definiert als Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. d Im Fokus der IT-Sicherheit stehen elektronisch gespeicherte Daten und Daten, die elektronisch verarbeitet werden. Etwas weiter gefasst wird der Begriff der Informationssicherheit. Im Unterschied zur IT-Sicherheit werden hier neben den elektronischen Daten auch Informationen in Papierform oder in den Köpfen der Mitarbeiter vorhandene Informationen in den Fokus gestellt. Informationssicherheit zeichnet sich insbesondere durch die Aufrechterhaltung der Vertraulichkeit, Verfügbarkeit und Integrität der Informationen aus. d IT-Sicherheit nicht durchgängig präsent ist. b Dies ist verwunderlich, da doch die Bedeutung der IT-Sicherheit von mehr als 60 Prozent der befragten Mitarbeiter als sehr wichtig eingestuft wird. Die vorliegende Praxisbroschüre soll anschaulich darlegen, wie durch bewusstes Handeln von Vorstand und Abteilungsleitern eines mittelständischen Unternehmens betriebliche Risiken rechtzeitig erkannt und planmäßig beseitigt wurden. Dabei wird insbesondere darauf eingegangen, wie ein solcher Prozess angestoßen und umgesetzt werden kann. sehr wichtig wichtig nicht wichtig IT-Leitung Management 0% 10% 20% 30% 40% 50% 60% 70% 90% 90% 100% Quelle: Bundesamt für Sicherheit in der Informationstechnik: Studie zur IT-Sicherheit in kleinen und mittleren Unternehmen (KMU). Bedeutung der IT-Sicherheit in KMU

4 Prozesseinordnung Prozesseinordnung Um ein besseres Verständnis für die Beschreibung der Geschäftsprozesse zu erlangen und diese auf das eigene Unternehmen übertragen zu können, orientieren sich alle Broschüren aus der Reihe Praxisbeispiele aus dem NEG 2012 an einem einheitlichen Prozessmodell. Dabei werden drei Prozesstypen unterschieden. 1. Ausführungsprozesse Diese sind direkt an der Entwicklung und Herstellung bzw. Erbringung von kundenbedarfsorientierten Produkten oder Dienstleistungen beteiligt. Das sind beispielsweise das Decken des Dachs bei einem Dachdecker oder die Beratung zur Buchung in einem Reisebüro. 3. Unterstützungsprozesse Um Führungs- und Ausführungsprozesse erbringen zu können, sind die im dritten Teilbereich zusammengefassten Unterstützungsprozesse notwendig, wie etwa die Bereitstellung und die Wartung von benötigten Maschinen. Grundlage der Kontroll- und Steuerungsaufgaben in den Führungsprozessen sind die bereitgestellten Informationen. Im hier vorliegenden Praxisbeispiel handelt es sich um einen Kontroll- und Steuerungsprozess als Führungsprozess des Unternehmens. 2. Führungsprozesse Dieser Teilbereich enthält alle Vorgänge, welche in unmittelbarem Zusammenhang mit der Planung, der Kontrolle und der Steuerung des Unternehmens und des darin befindlichen Personals stehen. Einen direkten Beitrag zur Erbringung der Kernleistung des Unternehmens gibt es in diesen Prozessen nicht. Beispielhaft sind hier Mitarbeitergespräche oder die Erstellung von Richtlinien zu nennen.

Prozesseinordnung 5 Das verwendete Prozessmodell Ziel- und Strategieformulierungsprozesse Planungsprozesse Kontroll- und Steuerungsprozesse Personalführungsprozesse Richtlinienprozesse führungsprozesse Personalbeschaffungsprozesse Informationsversorgungsprozesse Sachmittelbereitstellungsprozesse Beratungsprozesse Finanzmittelbereitstellungsprozesse Unterstützungsprozesse Akquisitions- und Verkaufsprozess Kunde Produkt-/Dienstleistungserstellungsprozess Auftragsabwicklungsprozess Kundenserviceprozess Kunde Entwicklungsprozess Ausführungsprozesse Quelle Fischermanns, Dr. Guido: Praxishandbuch Prozessmanagement; 7. Auflage; 2008; S. 100; Verlag Dr. Götz Schmidt.

6 Das Unternehmen Infobox Das Unternehmen Das Unternehmen G.U.B. Ingenieur Aktiengesellschaft mit Sitz in Zwickau ist ein mittelständisches Unternehmen mit circa 50 Mitarbeitern am Hauptstandort und weiteren 130 Mitarbeitern in 14 Niederlassungen. Es bearbeitet Projekte aus den Bereichen Geotechnik, Geologie und Geophysik, Hydrologie und Umwelttechnik, Verkehrs- und Landschaftsplanung sowie Wasserbau, Vermessung und Geoinformatik. Drei Tochtergesellschaften befassen sich mit den Spezialthemen Brückenund Tunnelbau, Projekt-Planung und management. Darüber hinaus ist ein Architekturbüro mit der Planung von komplexen Ingenieurbauwerken und der Bauleitung befasst. Diese Projekte werden häufig in deutschlandweiten und international aufgestellten Arbeitsgemeinschaften umgesetzt. Umfang und Vielfalt der Aufgaben des Unternehmens und damit der genutzten IKT sind in den vergangenen Jahren ständig gewachsen. Der technische Stand der Informationssysteme wurde nach den vorhandenen Möglichkeiten ständig weiterentwickelt. Dennoch stellte sich immer wieder die Frage: Hält die Entwicklung der IT-Sicherheit im Unternehmen mit der technischen Entwicklung Schritt? Die Sicherheit der mit einem Auftrag verbundenen Informationen ist für die Auftraggeber ein wichtiges Kriterium für die Auftragsvergabe. Gebäude des Firmensitzes in Zwickau Die Zentrale des Unternehmens befindet sich in einem Gebäude mit weiteren kleinen Unternehmen und einer städtischen Verwaltung in gemieteten Räumen in zentraler Stadtlage von Zwickau.

Verantwortung 7 Verantwortung des Vorstandes und der Geschäftsführung Originäre Aufgabe ist für Vorstände und Geschäftsführungen von Kapitalgesellschaften nach KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) die Einführung eines wirksamen Risikomanagement-Systems (RMS). Ein solches System soll dazu beitragen, Risiken rechtzeitig zu erkennen und zu beseitigen. Speziell für die Informations- und Kommunikationstechnik hat diese Verantwortungslage das BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinem Maßnahmenkatalog in der Maßnahme M 2.336: Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene beschrieben. Ein angemessenes Sicherheitsniveau über einen langen Zeitraum aufrechtzuerhalten, erfordert demnach einen systematischen, fortlaufenden Prozess. Die Leitungsebene hat die Verantwortung, solch einen Prozess zur Überprüfung und Minimierung von Risiken zu installieren und zu betreiben. Dieser Prozess besteht im Wesentlichen aus vier Elementen: 1 Zieldefinition/Planung 2 Analyse des IST-Zustands 3 Formulierung von Maßnahmen 4 Umsetzung der Maßnahmen Nach der Umsetzung der Maßnahmen wird im Rahmen einer erneuten Analyse überprüft, welche Wirkung die Maßnahmen hatten und ggf. müssen neue Maßnahmen formuliert und umgesetzt werden. Analyse externe Kompetenzen einbeziehen Schwerpunkte setzen Zieldefinition Zieldimensionen Sicherheit Vertraulichkeit Verfügbarkeit Integrität Maßnahmen Welche Maßnahmen im Beispielfall festgelegt wurden, wird weiter unten beschrieben. Umsetzung Controlling-Kreislauf

8 Externe Kompetenzen Externe Kompetenzen einbinden Aus dieser Verantwortungslage resultierte die Entscheidung von Vorstand und Aufsichtsrat der G.U.B. Ingenieur AG, Analysen zur Sicherheit im Unternehmen durchzuführen. Infobox Das Projekt Aufwand Extern: sieben Tage durch externe Sicherheitsauditoren Intern: 2,5 Tage durch eigene Mitarbeiter Projektdauer zwei Wochen Externe Unterstützung Für diese Analysen wurden externe Fachkompetenzen genutzt, weil einerseits eigene Kapazitäten fehlten, andererseits aber auch befürchtet wurde, dass Betriebsblindheit zu verzerrten Ergebnissen führen könnte. Für Risikoanalysen im Bereich der IKT stehen kompetente externe Auditoren zur Verfügung. Da zur Informationsund Kommunikationssicherheit auch die Objektsicherheit gehört und hierfür Handlungsbedarf erwartet wurde, wurden im vergangenen Jahr das Landeskriminalamt Sachsen und der Sächsische Verband für Sicherheit in der Wirtschaft e.v. (SVSW) im Rahmen eines sächsischen Präventionsprojektes mit einer solchen Analyse beauftragt. Externe Kompetenzen in diesem Feld haben den Vorteil, dass sie außerhalb des täglichen produktiven Geschäftes stehen und vergleichend mit anderen Unternehmenslösungen analysieren können. Landeskriminalamt Sachsen Sächsischer Verband für Sicherheit in der Wirtschaft e.v. Ziel Aufdecken von Sicherheitslücken und Verbesserung der Sicherheitslevels bzgl. Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Externe Kompetenzen 9 Das Vorgehen im Überblick Aufgabe der Geschäftsführung ist es, den Sicherheitsprozess in Gang zu setzen, zu kontrollieren und Maßnahmen zu ergreifen. Dazu wurde ein Sicherheitsteam gebildet, das aus einem Mitglied der Geschäftsführung, dem Sicherheitsbeauftragten, dem IT-Verantwortlichen und wichtigen Mitarbeitern sowie externen Spezialisten bestand. Die Hauptaufgabe dieses Teams war das Erkennen von Risiken für das Unternehmen. Daraus wurden die erforderlichen Maßnahmen abgeleitet und diese finanziell und materiell geplant. Die kontrollierte Umsetzung hat die erkannten Risiken verringert. Allerdings handelt es sich hierbei nicht um einen einmaligen Prozess, er muss in regelmäßigen Abständen, spätestens bei Veränderung der Gefahrenlage, wiederholt werden. Geschäftsführung Initiierung einer Sicherheitsanalyse Externe Spezialisten Sicherheitsanalyse IT- Verantwortlicher Bildung Sicherheitsteam Weitere Mitarbeiter Sicherheitsverantwortlicher Risiken Geschäftsführung Planung Maßnahmen Umsetzung Das Vorgehen schematisch

10 Sicherheitsanalyse Sicherheitsanalyse und Ausgangssituation Die Auditoren ermittelten gemeinsam mit dem Aufsichtsratsvorsitzenden und dem technischen Vorstand, dem Leiter der IT und weiteren Mitarbeitern zum damaligen Zeitpunkt im Wesentlichen folgende Gefährdungspotenziale: Das Gebäude besitzt keine äußeren Sicherheitseinrichtungen. Im Unternehmen existieren drei verschiedene Schließsysteme ohne Sicherungskarte. Die Scharf-/Unscharfschaltung der Einbruchmeldeanlage erfolgt durch die Mitarbeiter selbst oder durch Mitarbeiter einer Reinigungsfirma. Es existiert kein Wertschutzraum. Die Serverräume müssen durch alle Mitarbeiter betreten werden, da in diesem Drucker aufgestellt sind. Weitere Mängel, die leicht behoben werden konnten. Auch wenn sich die konkreten Gefährdungspotenziale von Unternehmen zu Unternehmen unterscheiden können, zeigt sich ein ähnliches Bild in vielen Unternehmen. Es besteht die Möglichkeit, dass sich Bürger aus dem Verwaltungsbereich in den Bereich des Unternehmens verlaufen.

Planung der Maßnahmen 11 Finanzielle und organisatorische Planung der Maßnahmen Im vorliegenden Fall waren sowohl bauliche als auch organisatorische und technische Maßnahmen erforderlich, um die bestehenden Risiken zu beseitigen oder zu reduzieren. Die Beteiligung der Geschäftsführung an der Analyse führte zu einer zügigen Planung der finanziellen und materiellen Mittel für die erforderlichen Veränderungen, in die auch der Vermieter einbezogen wurde. Lösungen für die dringendsten Probleme wurden relativ schnell gefunden: Durch den Einsatz leistungsfähiger Servertechnik erfolgte die Virtualisierung vorheriger realer Server. Das ermöglichte die Aufstellung der Technik in nur einem klimatisierten, abgeschlossenen und durch Zutrittsrechte geschützten Raum. Das Problem der teilweise ungesicherten Zutrittskontrolle zum Unternehmen wurde in Abstimmung mit dem Vermieter, der sich auch an den Kosten beteiligte, durch bauliche Maßnahmen gelöst. In einem durch unterschiedliche Unternehmen genutzten Gebäude ist das mit erheblichem Aufwand verbunden, da sich vom Nutzungs- bis zum Brandschutzkonzept eines öffentlichen Gebäudes Veränderungen ergeben. Aufgrund der baulichen Gegebenheiten konnte im öffentlichen Treppenhaus ein Raum abgeteilt werden, der zur Treppe hin mit einer Glasfront versehen ist. Hier konnte der Vorteil Zugangskontrolle mit dem weiteren Vorteil Raumgewinn gekoppelt werden. Der finanzielle Aufwand für die Erlangung von Sicherheit und der Ertrag in Form einer erhöhten Sicherheit lassen sich nicht direkt im wirtschaftlichen Ergebnis eines Unternehmens ausweisen. Deshalb ist es so wichtig, dass Sicherheit als ureigenes Interesse von Vorständen und Geschäftsführungen verstanden wird.

12 Risikobewertung InfoBox Tipps zur Risiko- und Maßnahmenbewertung Kapital und Arbeitskraft unterliegen von Natur aus Begrenzungen. Dadurch ist eine Umsetzung aller sinnvollen Maßnahmen meist nicht unmittelbar möglich. Es ist daher zweckmäßig, die Risiken hinsichtlich ihrer Höhe und Auswirkungen zu bewerten, um zuerst die größten Sicherheitslücken zu schließen. Geringes Risiko Die Eintrittswahrscheinlichkeit ist sehr gering und der ggf. angerichtete Schaden ebenfalls Mittleres Risiko Eintrittswahrscheinlichkeit oder ggf. angerichteter Schaden werden als hoch eingeschätzt Hohes Risiko Eintrittswahrscheinlichkeit und ggf. angerichteter Schaden werden als hoch eingeschätzt Bewertungsskala zur Risikobewertung

Maßnahmenbewertung 13 Dies kann beispielsweise mithilfe einer Bewertungsskala in den Bereichen der Informationssicherheit geschehen. Falls zur Minimierung erkannter Risiken mehrere Maßnahmen sinnvoll erscheinen, kann auch hier mithilfe einer Einordnung in eine Aufwand-Nutzen-Matrix eine Priorisierung erfolgen. Hoher nutzen geringer Aufwand (Quick Wins) Diese Maßnahmen tragen stark zur Risikobeseitigung bei und verursachen dabei nur geringen Aufwand. = Umsetzung Prio 1 Hoher nutzen hoher Aufwand Diese Maßnahmen tragen stark zur Risikobeseitigung bei und verursachen dabei einen hohen Aufwand. = Umsetzung Prio 2 Geringer nutzen geringer Aufwand Diese Maßnahmen tragen nur wenig zur Risikobeseitigung bei und verursachen dabei geringen Aufwand. = Umsetzung Prio 1 Geringer nutzen hoher Aufwand Diese Maßnahmen tragen wenig zur Risikobeseitigung bei und verursachen hohen Aufwand. Ggf. sollten diese Maßnahmen von der Liste gestrichen werden. Aufwand-Nutzen-Matrix zur Maßnahmeneinschätzung

14 Checkliste Checkliste: Einschätzung des Sicherheitslevels Die folgende Checkliste soll Sie unterstützen, eine erste Einschätzung Ihres IT-Sicherheitslevels selbst vorzunehmen. Sollten Sie Fragen mit Nein beantworten, dann sollten Sie sich mit dem Thema in jedem Fall intensiver beschäftigen. Das Gleiche gilt, falls Sie die Antwort nicht wissen oder sich nicht sicher sind. Auf keinen Fall ersetzt die Checkliste eine Beratung durch einen externen Fachpartner. Frage Ja Nein Haben Sie einen IT-Beauftragten? Wird dieser regelmäßig zum Thema IT-Sicherheit geschult? Installieren Sie Updates für Ihr Betriebssystem und Ihre Programme? Sind Ihre Rechner passwortgeschützt? Werden diese Passwörter mindestens halbjährlich geändert? Ist in Ihrem Unternehmen ein WLAN verfügbar? Wenn ja, nutzen Sie eine Verschlüsselung? Welche? Benutzen Sie Sicherheitssoftware in Form von Virenscannern und Firewalls? Werden für diese Software automatische Updates eingespielt? Führen Sie mindestens wöchentlich ein Backup Ihrer Datenbestände durch? Überprüfen Sie die Funktionsfähigkeit Ihrer Backups regelmäßig? Haben Sie Richtlinien für den Umgang mit externen Datenträgern? Gibt es Richtlinien für die private Nutzung der IT? Steht Ihr Server in einem abgeschlossenen Raum? Werden Backup-Datenträger getrennt vom Serverraum an einem sicheren Ort aufbewahrt? Müssen betriebsfremde Personen sich anmelden oder klingeln, bevor Sie Ihre Geschäftsräume betreten können?

Fazit 15 Fazit Aus Sicht des IT-Verantwortlichen der Firma, Herrn Döhler Gewährleistung der Sicherheit, besonders der Informationssicherheit, ist eine Aufgabe, die den Administrator täglich vor neue Aufgaben stellt. Ständig das notwendige Wissen parat zu haben, ist neben den üblichen Aufgaben als Alleinverantwortlicher schon aus zeitlichen Gründen sehr kompliziert. Deshalb waren für mich Informationsveranstaltungen, wie sie z. B. durch das Kompetenzzentrum elektronischer Geschäftsverkehr (SaGeG) veranstaltet wurden, sehr wertvoll. Durch externe Gutachter wurde der Finger auf bestehende Wunden gelegt, deren brennendsten gemeinsam mit der Geschäftsführung beseitigt werden konnten. Für einen Administrator ist es ein gutes Gefühl, wenn sein zu betreuendes System auch von außen als sicher beurteilt wird. Aus Sicht der Geschäftsleitung Die Gewährleistung der Sicherheit für das Unternehmen ist und bleibt eine Hauptaufgabe der Unternehmensführung. In unserem Unternehmen spielt die Nutzung der Informations- und Kommunikationstechnik in allen geschäftlichen Prozessen seit der Firmengründung eine besondere Rolle. Da wir selbst keine Experten für I&K-Sicherheit sind, nutzen wir seit vielen Jahren externe Kompetenzen. Die Zusammenarbeit mit dem Kompetenzzentrum elektronischer Geschäftsverkehr (SAGeG) an der Industrie- und Handelskammer Chemnitz und neuerlich mit dem Landeskriminalamt Sachsen führen zur Vermeidung von Risiken, die auch in Zukunft ständig neu bewertet werden müssen. Vorstandsvorsitzender Herr Prof. Dr.-Ing. Dietmar Grießl

16 Quellen Quellen a) Management Summary der Studie Netz- und Informationssicherheit in Unternehmen 2011 des ECC-Handel [http://www.ecc-handel.de/netz-_und_informationssicherheit_in_unternehmen_ 14086701.php] b) Studie zur IT-Sicherheit in kleinen und mittleren Unternehmen des BSI [https://www.bsi.bund.de/contentbsi/publikationen/studien/kmu/studie_it- Sicherheit_KMU.html;jsessionid=91A393B71643184EED18B5EDF41A41AF.2_cid244] c) Definition der Bibliographisches Institut GmbH [http://www.duden.de/rechtschreibung/sicherheit] d) Vgl. IT-Grundschutz-Katalog des BSI [https://www.bsi.bund.de/de/themen/weiterethemen/itgrundschutzkataloge/ Inhalt/Glossar/glossar_node.html] e) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), Bundesgesetzblatt Teil1, Bonn, 30.April 1998, S. 786 ff. f) Website des ECC-Handel, [http://www.ecc-handel.de] g) Plattform des Netzwerks elektronischer Geschäftsverkehr [www.kmu-sicherheit.de] h) Deutschland sicher im Netz e.v., [www.sicher-im-netz.de] i) Grundschutzkataloge des BSI: [https://www.bsi.bund.de/contentbsi/grundschutz/kataloge/m/m02/m02336.html] j) Task Force IT.Sicherheit in der Wirtschaft [www.it-sicherheit-in-der-wirtschaft.de] k) Sächsischer Verband für Sicherheit in der Wirtschaft e.v. [www.svsw.de/beratung/praeventionsprojekt] l) Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. www.bitkom.org/de/publikationen/1357.aspx]

Glossar 17 Glossar BSI Bundesamt für Sicherheit in der Informationstechnik (mehr Informationen unter www.bsi.de) ECC Handel Das Electronic-Commerce-Center Handel (ECC Handel) wurde 1999 als Forschungsund Beratungsinitiative unter der Leitung des Instituts für Handelsforschung an der Universität zu Köln ins Leben gerufen. (mehr Informationen unter www.ecc-handel.de) I&K Informations- und Kommunikationstechnik KMU Kleine und mittlere Unternehmen KontraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich; In Kraft getreten am 1.5.1998 SAGeG Sächsische Arbeitsgemeinschaft elektronischer Geschäftsverkehr (mehr Informationen unter www.sageg.de)

Das Netzwerk Elektronischer Geschäftsverkehr E-Business für Mittelstand und Handwerk Das Netzwerk Elektronischer Geschäftsverkehr (NEG) ist eine Förderinitiative des Bundesministeriums für Wirtschaft und Technologie. Seit 1998 unter stützt es kleine und mittlere Unter nehmen bei der Einführung und Nutzung von E-Business-Lösungen. Beratung vor Ort Mit seinen 28 bundesweit ver teilten Kom pe tenz - zentren infor miert das NEG kostenlos, neutral und praxisorientiert auch vor Ort im Unter - nehmen. Es unterstützt Mittelstand und Handwerk durch Beratungen, Informations veranstaltungen und Publikationen für die Praxis. Das Netzwerk im Internet Auf www.ec-net.de können Unternehmen neben Veranstaltungsterminen und den Ansprechpartnern in Ihrer Region auch alle Publikationen des NEG einsehen: Handlungsleitfäden, Checklisten, Studien und Praxisbeispiele geben Hilfen für die eigene Umsetzung von E-Business-Lösungen. Fragen zum Netzwerk und dessen Angeboten beantwortet Markus Ermert, Projektträger im DLR unter 02203/601-2649 oder per E-Mail: markus.ermert@dlr.de. Das Netzwerk bietet vertiefende Informationen zu Kundenbezie hung und Marketing, Netz-und Informationssicherheit, Kauf männischer Software und RFID sowie E-Billing. Das Projekt Femme digitale fördert zudem die IT-Kompetenz von Frauen im Handwerk. Der NEG Website Award zeichnet jedes Jahr herausragen de Internetauftritte von kleinen und mittleren Unter nehmen aus. Informationen zu Nutzung und Interesse an E-Business-Lösungen in Mittelstand und Handwerk bietet die jährliche Studie Elektro nischer Geschäftsverkehr in Mittelstand und Handwerk. Diese Broschüre wird vom SAGeG Kompetenzzentrum Elektronischer Geschäftsverkehr in Zusammenarbeit mit dem E-Commerce-Center Handel im Rahmen des Verbundprojekts Sichere E-Geschäftsprozesse in KMU und Handwerk als Teil der BMWi-Förderinitiative Netzwerk Elektronischer Geschäftsverkehr herausgegeben.