Firmen, Finanzen und Fusionen

News und Produkte

Mitarbeiter-Mails sind tabu

Eine im Arbeitsalltag ständig wiederkehrende Situation sorgt nach wie vor für erhebliche Probleme: In welchem Umfang dürfen Vorgesetzte oder Kollegen während einer längeren Abwesenheit eines Mitarbeiters auf dessen Anrufbeantworter oder E-Mail-Postfach zugreifen oder Anrufe und E-Mails umleiten? Diese Problematik erörterte der Baden-Württembergische Landesbeauftragte für den Datenschutz, Werner Schneider, anlässlich der Vorstellung seines 22. Tätigkeitsberichts mit folgendem Ergebnis:

Das Abhören des Anrufbeantworters und der Zugriff auf das elektronische Postfach durch den Vorgesetzten oder Vertreter oder die Weiterleitung von Anrufen und E-Mails an diese ist in jedem Fall bei solchen Bediensteten tabu, die Träger von Berufsgeheimnissen sind oder die – wie zum Beispiel Personalräte – eine besondere Vertrauensstellung einnehmen. Solche Mitarbeiter unterliegen einer besonderen, auch behörden- oder firmenintern wirksamen Schweigepflicht, der zufolge Vorgesetzte und Kollegen nicht einmal wissen dürfen, wer zu ihnen Kontakt hat oder wünscht.

Auch wenn es Mitarbeitern ausdrücklich oder durch Duldung gestattet ist, in dringenden Fällen private Telefongespräche zu führen, wären die genannten Zugriffe wegen des zu beachtenden Fernmeldegeheimnisses unzulässig. Erst wenn die private Mitbenutzung des Telefonanschlusses durch die Mitarbeiter weder erlaubt ist noch wissentlich geduldet wird, komme es zu einer Interessenabwägung: Einerseits zwischen Belangen des Dienstherrn, die sachgerechte Aufgabenerledigung auch im Fall der Abwesenheit eines Mitarbeiters sicherzustellen. Auf der anderen Seite stehe das legitime Interesse der Mitarbeiter, dass ihre Telekommunikation keiner unverhältnismäßigen Verhaltens-, Leistungs- und Inhaltskontrolle unterworfen ist, sowie das Geheimhaltungsinteresse desjengen, der mit einem bestimmten Mitarbeiter telefonisch oder per E-Mail in Kontakt treten will.

Diese Interessenabwägung führe aber im Ergebnis dennoch dazu, dass der Zugriff auf das elektronische Postfach und den Anrufbeantworter sowie die Weiterleitung von Anrufen und elektronischer Post als unzulässig anzusehen sei. Bei geplanter Abwesenheit des Bediensteten wegen Urlaub, Kur oder Dienstreise bestehe schon deshalb kein Grund, in die Rechte des Anrufers oder Bediensteten einzugreifen, weil eine Ansage auf der Mailbox oder eine automatische Antwort-Mail über die Abwesenheit und einen ersatzweisen Ansprechpartner informieren könnten. Aber auch bei ungeplanter Abwesenheit, zum Beispiel wegen Krankheit, sei die "Kundenfreundlichkeit" kein so überwiegendes Interesse, dass es einen Grundrechtseingriff rechtfertigen könne. Es sei einem Anrufer durchaus zumutbar, sich gegebenenfalls an die Telefonzentrale – oder eine zentrale E-Mail-Adresse – zu wenden ([externer Link] www.baden-wuerttemberg.datenschutz.de).

Summer University Informationssicherheit 2002

Vom 26. August bis 21. September 2002 findet zum vierten Mal eine Summer University Informationssicherheit statt, in der maximal 20 Teilnehmer eine Intensiv-Ausbildung und Prüfung zum Certified Information Security Officer (CISO) absolvieren können. Fachkräfte für Informationssicherheit werden von fast allen Branchen und Unternehmensgrößen nachgefragt. Die Summer University zielt auf eine praxisorientierte Grundausbildung, die sich auf dem aktuellen Stand der Praxis, Forschung und Entwicklung befindet und gleichermaßen fundiert wie bedarfsorientiert ist.

Dementsprechend zeigt sich die 4-wöchige Intensiv-Ausbildung aufwändig betreut und auch anspruchsvoll gegenüber dem Teilnehmer: Die Teilnahme an allen Lehrveranstaltungen ist Pflicht. Und nur wer die vier Klausuren erfolgreich besteht, erhält das CISO-Zertifikat. Im Vorjahr gelang das 13 von insgesamt 16 Teilnehmern. Bei nicht ausreichender Leistung (weniger als 60 %) wird nur eine Teilnahmebescheinigung vergeben.

Die Dozenten der Summer University Informationssicherheit sind ausschließlich ausgewiesene Fachleute und erfahrene Praktiker, die auf ihrem jeweiligen Spezialgebiet seit Jahren anwendungsorientiert arbeiten. Daraus ergibt sich die notwendig hohe Zahl von etwa 30 Referenten und Gastrednern. Für die Qualitätssicherung zeichnet ein hochkarätiger wissenschaftlicher Beirat verantwortlich.

Die Teilnehmer werden mit der Summer University Informationssicherheit in die Lage versetzt, im Funktionsbereich Informationssicherheit eines Unternehmens oder einer Behörde vollverantwortlich als Beauftragte für Informationssicherheit mitzuarbeiten und als Multiplikatoren zu wirken. Ihr Einsatzgebiet kann sich von der technischen Sicherheit bis hin zum Datenschutz und zur Revision erstrecken, sei es auf der Vorgabenebene unter sicherheitsstrategischen Aspekten oder unter technischen, produktbezogenen Umsetzungsaspekten.

Ausführliche Informationen zum Lehrstoff stehen im Internet zur Verfügung ([externer Link] www.summeruniversity.de). Organisator der Veranstaltung ist wiederum die Unternehmensberatung Lessing & Partner, Jülich, in Zusammenarbeit mit Prof. Dr. Hartmut Pohl (FH Bonn-Rhein-Sieg, St. Augustin). Die Teilnahmegebühr beträgt 13 000 € zuzüglich Mehrwertsteuer.

CISA-Vorbereitungskurs 2002

Am 8. Juni 2002 findet weltweit das Examen zum Certified Information Systems Auditor (CISA) statt. Hierfür bietet der Berufsverband der EDV-Revisoren (Information Systems Audit and Control Association – ISACA – German Chapter e. V.) auch heuer zwei umfassende Vorbereitungskurse an, die an jeweils zwei Wochenenden in Frankfurt (6.–7.4. und 27.–28.4.) und alternativ in Hamburg (13.–14.4. und 4.–5.5.) stattfinden. In einer eigenständigen Veranstaltung plant das German ISACA Chapter überdies zum ersten Mal eine Generalprobe des CISA-Examens unter realen Prüfungsbedingungen. Am 27. Mai können zukünftige Examenskandidaten in Frankfurt am Main an einer simulierten Prüfung teilnehmen.

Das CISA-Examen hat zum Ziel, die Kompetenz eines Mitarbeiters in der Durchführung von EDV-Prüfungen zu beurteilen, als Motivationsinstrument für EDV-Prüfer zu dienen, um deren Kompetenzen zu wahren und den Erfolg der Instandhaltungsprogramme zu überprüfen, und außerdem das Top-Management bei der Entwicklung einer fundierten Prüfungsfunktion zu unterstützen, indem es Kriterien für die Personalauswahl und -entwicklung aufstellt.

Die Teilnahme am den viertägigen Vorbereitungskursen kostet für Mitglieder des Berufsverbands der EDV Revisoren German Chapter e. V. oder des Instituts für Interne Revision (IIR) 360,- € , für sonstige Kursteilnehmer 520,- €. Die Schulungsgebühren enthalten die Teilnahme und Bereitstellung von Lehrmaterial sowie Imbisse und Erfrischungsgetränke. Die Teilnahmegebühren für das Testexamen betragen für ISACA/IIR-Mitglieder 60,,- €, sonst 80,,- €. Interessenten können sich bis zum 8. März 2002 bei Karin Thelemann (CISA@de.andersen.com) oder im Internet anmelden ([externer Link] www.isaca.de). Für das CISA-Examen selbst ist eine gesonderte gebührenpflichtige Anmeldung erforderlich ([externer Link] www.isaca.org/exam2.htm).

Pre-Boot-Sicherheit mit USB-Token

[Illustration]
Mit eToken und SafeBoot arbeitet der Zugriffsschutz zu PC und Festplatte mit einem USB-Token statt Passwort.

Control Break International (CBI) und Aladdin Knowledge Systems kombinieren SafeBoot und den Authentisierungskey eToken zu einer Pre-Boot-Sicherheitslösung für PC und Laptop auf USB-Token-Basis. SafeBoot 4 verschlüsselt alle Daten einer PC-Festplatte auf transparente Weise (u. a. mit RC5 und AES). Zusätzlich sichert die Lösung den Zugriff beim Systemstart. Die Authentifizierung der SafeBoot-Anwender kann nun auch per USB-Schlüssel erfolgen, und zwar bereits vor dem Start des Betriebssystems (Pre-Boot). Die Lösung leistet nach Herstellerangaben neben zuverlässiger Verschlüsselung, Single-Sign-On, eine ausbaufähige Architektur, automatisierter Einsatz, sichere Remote-Wiederherstellung, Integration mit NT/PKI/LDAP-Verzeichnissen, absolute Transparenz für User und soll praktisch keine Leistungseinbußen bewirken ([externer Link] www.aladdin.de / [externer Link] www.safeboot.com).

2 in 1: Chipkarte und SecurID

[Illustration]

RSA Security haben mit dem SecurID Combo Reader eine zeitsynchrones Authentifizierungstoken ins Programm genommen, das gleichzeitig als mobiles PC/SC-Chipkartenterminal funktioniert. Als PINPad-Token arbeitet das Gerät mit der RSA ACE/Server- und -Agent-Software sowie den Lösungen der Secur-ID-Ready-Partner. Als Handheld-Terminal unterstützt der Combo Reader den Anschluss an die serielle oder die USB-Schnittstelle eines Windows 9x, NT 4 (nur seriell), ME oder 2000 Professional Systems. Bei einer Zwei-Jahres-Konfiguration des SecurID-Tokens kostet ein Combo Reader 89 US-$ (3 Jahre: 106 US-$, 4 Jahre 123 US-$); die Mindestabnahme beträgt fünf Stück ([externer Link] www.rsasecurity.com).

Sicherheitssuite von Novell

Mit der Suite Secure Access möchte Novell ein zentrales Management der Benutzer- und Netzwerk-Administration auf der Basis einer gemeinsamen Verzeichnis-Infrastruktur (Meta Directory) erleichtern. Zur Suite gehören neben dem Novell eDirectory als Grundlage des Benutzer- und Regelmanagements der NDS Authentication Service (NDS-AS) für Passwort-Synchronisation und -Accounting, der Modular Authentication Service (NMAS) zur Einbindung unterschiedlicher Authentifizierungsarten (Passwort, Biometrie, Smartcards usw.) und der BorderManager, der Firewall, VPN und WWW-Proxy vereint. Kern des Single Sign-on von Secure Access sind Novells SecureLogin (Betriebssystemanmeldung und Applikationen) sowie iChain (Internet-Inhalte und -anwendungen). Die Suite ist nach Herstellerangaben ab sofort im Novell-Fachhandel verfügbar, bis Juni 2002 zum Einführungspreis von 159 US-$ pro Anwender ([externer Link] www.novell.de).

Freier Unix/Linux-Packager

Cable & Wireless stellen mit OpenPKG ein Open-Source-Projekt ihrer Entwicklungsabteilung frei zur Verfügung. OpenPKG ist ein Software-Packaging-Tool zur Verteilung und Vorkonfiguration von Add-on-Applikationen in heterogenen Unix-/Linux-Umgebungen. Das Tool unterstützt Sun Solaris, Debian GNU/Linux, RedHat und FreeBSD vollständig sowie zum Teil NetBSD, OpenBSD und Compaq Tru64. Die zugrundeliegende Package-Technik beruht auf dem RedHat Package Manager (RPM). OpenPKG ist aber nicht auf die vorherige Installation dieser oder anderer Software angewiesen. Im Januar hat das Tool laut Cable & Wireless bereits rund 240 individuelle Packages inklusive sinnvoller Vorkonfiguration unterstützt ([externer Link] www.openpkg.org / [externer Link] www.cw.com/de/).

Adressen

Aladdin Knowledge Systems GmbH & Co KG
Gabriele-Münter-Str. 1
82110 Germering
Tel.: 0 89/89 42 21-0
Fax: 0 89/89 42 21-40

Berufsverband der EDV-Revisoren
ISACA German Chapter e.V.
Eichenstraße 7
46535 Dinslaken

Cable & Wireless Deutschland GmbH
Landsberger Str. 155
80687 München
Tel.: 0 89/9 26 99-0
Fax: 0 89/9 26 99-170

Control Break International
Friedrichsdorfer Straße 54
33335 Gütersloh
Tel.: 0 52 41/40 09 94-0
Fax: 0 52 41/40 09 94-8

Der Landesbeauftragte für den
Datenschutz Baden-Württemberg ostfach 10 29 32
70025 Stuttgart
Tel.: 07 11/61 55 41-0
Fax: 07 11/61 55 41-15

Lessing & Partner GmbH
Schloß Kellenberg
52428 Jüllich-Barmen
Tel.: 0 24 61/97 74-0
Fax: 0 24 61/97 74-33

Novell
Monschauer Str. 12
40549 Düsseldorf
Tel.: 02 11/56 31-0
Fax: 02 11/56 31-250

RSA Security
Heinrich-von-Brentano-Str. 2
55130 Mainz
Tel.: 0 61 31/21 06-0
Fax: 0 61 31/21 06-555

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2002, Seite 88