Das neue Jahr ist erst wenige Wochen alt – und bereits sind wieder zahlreiche Ransomware-Fälle bekannt. Die Stärkung der Verteidigungslinie verhindert zwar nicht unbedingt Attacken, sondern demoliert das Geschäftsmodell der Hacker. Angegriffene Systeme sind nämlich innert Minuten wieder online, mit aktuellem Datenbestand. Deshalb ist die erweiterte 3-2-1-1-0 Backup-Regel zu favorisieren. Alle Unternehmen sollten diese 2022 einführen und anwenden. Die 3-2-1-1-0 Regel gilt als wichtige Best Practice für Unternehmen, die sehr hohe Service-Levels aufrechterhalten und sich gleichzeitig vor Datenverlusten schützen wollen.

3: Bewahren Sie mindestens drei Kopien Ihrer Daten auf

Zusätzlich zu den primären Daten sollten mindestens zwei weitere Sicherungsdateien bestehen, um ausreichend geschützt zu sein. Die Wahrscheinlichkeit, dass auf drei Geräten gleichzeitig «etwas schief geht», ist viel geringer als bei zwei Geräten – vor allem dann, wenn sich die primäre Sicherung, wie so oft, in der Nähe der primären Daten befindet. Im Falle einer Katastrophe könnten die primären Daten und die primäre Sicherung verloren gehen. Die sekundäre Datensicherung sollte daher nicht in unmittelbarer Nähe der primären Daten liegen.

2: Speichern Sie Backups auf zwei verschiedenen Medien

Es wird empfohlen, eine der Sicherungskopien auf einem internen Festplattenlaufwerk und die andere Kopie auf einem Wechselspeichermedium (Band, externes Festplattenlaufwerk, Cloud-Speicher) zu sichern.

Wenn beide Fassungen der Sicherungskopie auf derselben Art von Speichermedium aufbewahrt werden, erhöht sich das Risiko, alle Backup-Daten zu verlieren, sobald ein Ausfall oder ein Cyber-Angriff erfolgt.

Alternativ kann das primäre Backup auf den internen Festplattenlaufwerken eines physischen Servers und das sekundäre Backup auf den internen Festplattenlaufwerken eines NAS liegen, wobei die Festplattenlaufwerke beider Systeme von unterschiedlicher Marke, Grösse und unterschiedlichem Typus sein sollten.

1: Bewahren Sie mindestens eine Sicherungskopie ausserhalb des Standorts auf

Mindestens eine Sicherungskopie sollte nicht an dem Ort vorgehalten werden, wo sich die Primärdaten und die Primärsicherung befinden. Denn im Falle irgendeiner (Natur-)Katastrophe – wie einem Brand oder einer Überschwemmung – könnte alles an diesem einen Ort zerstört werden. Wenn sich daher die primären Daten, die primäre Sicherung und die sekundäre Sicherung alle in derselben Einrichtung aufbewahren, sind sie für immer verloren.

Unternehmen, die nicht über mehrere Standorte verfügen, können eine Kopie ihrer Sicherungsdaten in einer privaten Cloud über einen Dienstanbieter oder in der öffentlichen Cloud speichern. 

1: Speichern Sie mindestens eine Kopie offline

Es wird empfohlen, mindestens eine Sicherungskopie offline aufzubewahren, somit getrennt vom Netzwerk und von jeglicher IT-Infrastruktur. Beispiele für Offline-Medien sind rotierende externe USB-Festplatten, analoge Bänder und Objektspeicher mit Unveränderlichkeit als Funktionalität.

Wenn sich nämlich ein Hacker erfolgreich Zugang zur IT-Umgebung verschafft, ist alles im Netzwerk potenziell angreifbar. Um die Daten vollständig zu schützen, sollte die Offline-Kopie mit einem Kodierungsschlüssel geschützt werden, um zu verhindern, dass externe oder interne Bedrohungen über das Netzwerk darauf zugreifen können. Dies wird gemeinhin als Air-Gapped-Backup bezeichnet.

0: Vergewissern Sie sich, dass Ihre Backups fehlerfrei sind

Backups sind nur so gut wie das Verfahren, mit dem sie geprüft werden. Erstens müssen die Backups täglich überwacht werden, um Fehler zu finden und diese so schnell wie möglich zu beheben. Zweitens sollte sichergestellt sein, dass die Daten aus dem Backup wiederherstellbar sind, indem in regelmässigen Abständen Wiederherstellungstests stattfinden.

Die 3-2-1-1-0-Regel beherzigen

Die 3-2-1-1-0 Regel ist eine logische Weiterentwicklung der bekannteren 3-2-1 Regel, die von dem weltbekannten Fotografen Peter Krogh konzipiert wurde. Diese ursprüngliche Regel besagt, dass man immer drei Kopien der Daten auf zwei verschiedenen Medien und eine Kopie ausserhalb des Standorts aufbewahren sollte. Angesichts des Ausmasses und der Vielfalt der Bedrohungen für die Geschäftskontinuität in der digitalen Wirtschaft sollte diese Richtlinie als Ausgangspunkt betrachtet werden. Um die von der zunehmend volatilen Bedrohungslandschaft geforderte hohe Ausfallsicherheit zu erreichen, müssen Unternehmen eine weitere 1 und eine 0 hinzufügen. Es sollte nicht nur eine Kopie ausserhalb der Firma aufbewahrt, sondern zusätzlich noch eine Offline-Kopie erstellt werden, die unveränderlich ist – dabei gilt stets der Grundgedanke, dass es bei der Wiederherstellung der Daten keine Überraschungen durch Fehler geben darf. Daher muss eine Lösung zur Prüfung der Wiederherstellung eingesetzt werden, um sicher zu sein, dass alle gespeicherten Daten in kürzester Zeit vollständig wiederhergestellt werden können.

Quelle: Veeam

Am 27. Januar 2022 hat die Energiekommission des Ständerates die Beratungen zum Bundesgesetz über eine sichere Stromversorgung mit erneuerbaren Energien (Mantelerlass) begonnen. Die in der bundesrätlichen Botschaft zu diesem Gesetz vorgesehenen Zielwerte für die Stromproduktion aus erneuerbaren Energien sind aus Sicht von Swissolar, dem Dachverband der Solarenergiebranche, zu tief angesetzt, um einerseits die Versorgungssicherheit und andererseits das Netto-Null-Ziel 2050 zu erreichen. Deshalb hat Swissolar in einem am 26. Januar 2022 präsentierten 11-Punkte-Programm entsprechende Forderungen formuliert. So sollen etwa statt 39 Terawattstunden (TWh) Produktion im Jahr 2050 50 TWh anvisiert werden, wovon 45 TWh aus Photovoltaik-Anlagen stammen. Dieser Wert entspricht weniger als der Hälfte des Solarpotenzials in der Schweiz. Deshalb braucht es einen jährlichen Zubau von 1100 MW (bis 2025) resp. 2000 MW (bis 2030). Auszunutzen gelte es dabei insbesondere das enorme Potenzial von Photovoltaik an Fassaden und den Ausbau von Speicherwasserkraft. So könne, so Swissolar, auch die Energieversorgung in den Wintermonaten gewährleistet sein.

Mit 11-Punkte-Programm Voraussetzungen für schnelleren Zubau schaffen

«Solarenergie wird in der Schweiz Strom in grossen Mengen liefern – erneuerbar, zeitnah und kostengünstig. Damit diese Umstellung gelingt, müssen wir jedoch mehr und schneller zubauen», sagt dazu Jürg Grossen, Präsident von Swissolar. Stromimporte – etwa während des Winters – seien keine Alternative, umso mehr, «wenn man bilaterale Verträge erodieren lässt», wie Grossen mit Blick auf das fehlende Strommarkt-Abkommen mit der EU konstatiert. Insgesamt braucht es also mehr Fördermittel für den Photovoltaik-Zubau. Gemäss Hochrechnungen von Swissolar reicht die bisherige Situation höchstens für einen Zubau von 700 MW pro Jahr.

Der entscheidende Vorteil der Photovoltaik: Sie produziert Energie dort, wo sie gebraucht wird. Doch bauliche Massnahmen sind nur ein Aspekt. Die Forderungen von Swissolar gehen weiter. Im direkten Bezug zum Mantelerlass steht etwa auch die Forderung nach einer Erhöhung des Netzzuschlags um 0.5 Rappen pro Kilowattstunde sowie eine einheitlich geregelte Abnahmevergütung, die sich nach dem Marktpreis richtet, aber gleichzeitig eine Untergrenze aufweist.

Photovoltaik besser in Stromnetze integrieren

Ebenfalls in diesem Gesetz zu berücksichtigen seien gemäss Swissolar die Anträge für eine optimale Integration der Photovoltaik in die Stromnetze. Mit lokalen Energiegemeinschaften, wie sie es bereits in anderen europäischen Ländern gibt, würden Anreize zum Bau von PV-Anlagen mit lokalem Eigenverbrauch gesetzt – ohne zusätzliche Fördergelder und ohne Notwendigkeit teurer Netzausbauten. So könnte etwa ein Betrieb mit grosser Dachfläche darauf eine Solaranlage bauen und den dort erzeugten Strom lokal, z. B. an das angrenzende Quartier, verkaufen. Das ist heute noch nicht möglich bzw. nicht attraktiv, denn eine notwendige Voraussetzung wären reduzierte Netzkosten.

Zudem sind Tarifanreize zur Regelung der Flexibilitäten am Netzanschlusspunkt zu schaffen, um Überlastungen zu vermeiden. Eine entscheidende Rolle wird dabei die boomende Elektromobilität spielen: Die verfügbare Tagesspeicherkapazität in Elektroautos wird grösser sein als die heutige Tagesproduktion aller Schweizer Atomkraftwerke. Die jederzeit flexible zu- und wegschaltbare Leistung wird dabei bis zehnmal grösser sein als jene der heutigen AKW. Um dieses Potenzial zu nutzen, sind die technischen Standards und politischen Rahmenbedingungen rasch anzupassen.

Es könnte noch mehr Solarstrom produziert werden

Die weiteren vorgeschlagenen Massnahmen betreffen die Raumplanung: Die Bewilligungspraxis muss vereinfacht werden, auch für Freiflächenanlagen. Die zukünftig grosse Nachfrage nach Solarpanels dürfe zudem nicht mehr allein durch Hersteller aus Fernost gedeckt werden. Die bis vor Jahren noch führende Solarindustrie in Europa ist inzwischen fast ausschliesslich nach China abgewandert, wo derzeit rund 95 Prozent der Komponenten hergestellt werden – nicht zuletzt durch massive staatliche Unterstützung. Deshalb fordert Swissolar auch von der Schweizer Regierung etwas mehr Industriepolitik: Unser Land soll sich am Wiederaufbau einer europäischen Solarindustrie beteiligen und in die Aus- und Weiterbildung von Fachkräften investieren. Schon jetzt ist die Schweiz führend bei der Entwicklung von integrierten Photovoltaik-Lösungen, z.B. Dachziegel oder Fassaden-Panels, die direkt Strom produzieren.

Eine weitere Forderung im 11-Punkte-Programm beinhaltet den Abbau von unnötigen Zusatzkosten und administrativen Hemmnissen. Solarinstallateure würden rund die Hälfte ihrer Zeit im Büro verbringen, anstatt bauen zu können, moniert etwa Noah Heynen, Swissolar-Vorstandsmitglied und CEO von Helion, Bouygues E&S InTec Schweiz AG. Die Verfahren seien kompliziert und würden Solaranlagen unnötigerweise verteuern.

Photovoltaik-Förderung durch Pflicht und Anreize

Die Kantone werden im 11-Punkte-Programm ebenfalls angesprochen: Bereits 18 Kantone haben eine Eigenstrompflicht bei Neubauten eingeführt, was einen starken Anreiz für die Erstellung von Photovoltaikanlagen schafft. Auf den Dach- und Fassadenflächen bestehender Bauten könnte mehr Strom produziert werden (ca. 66 TWh) als die Schweiz zurzeit verbraucht. Swissolar schlägt deshalb vor, in sämtlichen Kantonen eine Pflicht zur Nutzung aller geeigneten Flächen auf Neubauten und Sanierungen einzuführen. Zur Steigerung des Zubaus dienen könnten auch steuerliche Anreize, indem etwa die Kosten für Photovoltaik-Neubauten vollumfänglich von den Steuern absetzbar wären.

Bei der Umsetzung dieser 11-Punkte-Programms liegt der Ball aber bei der Politik. Erfahrungen etwa mit dem CO2-Gesetz zeigen, dass Vorlagen, die überladen werden, es beim Stimmvolk schwer haben. Jürg Grossen – er ist bekanntlich selbst Mitglied des Nationalrats – ist aber überzeugt, dass wir es uns nicht erlauben könnten, die Photovoltaik als tragende Säule zur Erreichung des Netto-Null-Ziels, zu gefährden. Würde der Zubau verspätet erfolgen, hätten wir diesbezüglich ein echtes Problem. 

Das 11-Punkte-Programm in Kürze

1. Klare und verbindliche Ziele für erneuerbare Energien
2. Berufliche Chancen in der Solarbranche schaffen
3. Solarkomponenten aus der Schweiz und Europa
4. Erhöhung des Netzzuschlags und Beschleunigung der Einmalvergütung
5. Schweizweite klare und einheitliche Regelung der Abnahmevergütung
6. Solarpflichten bei Neubau und Sanierung
7. Raumplanerische Hürden beseitigen
8. Abbau von Zusatzkosten und Bürokratie
9. Lokale Energiegemeinschaften
10. Netzkapazitäten dynamisch gestalten, Elektromobilität einbeziehen
11. Tarifstrukturen/Netznutzungsentgelt

Der Stimmungsbarometer Digitale Ethik der HWZ und des Centre for Digital Responsibility misst jährlich die digitale Verantwortung von Unternehmen in der Schweiz. Die diesjährige Umfrage der Leiterin des CAS Digital Ethics an der HWZ, Cornelia Diethelm, zeigt eines: Das Thema digitale Ethik ist im Bewusstsein der Mitarbeitenden und Führungskräfte angekommen und wird für das eigene Unternehmen als reputationsrelevant taxiert.

Erfahrungen mit ethisch umstrittenen Projekten

Gemäss der Befragung, welche von Mitte November bis Ende Dezember 2021 durchgeführt worden ist und an der 225 Personen teilgenommen haben, verfügt eine grosse Mehrheit der Unternehmen über Erfahrungen mit ethisch umstrittenen Projekten. Dies betrifft vor allem den Umgang mit gesammelten Daten, welche Datenanalysen und -auswertungen unter Einbezug von Kundendaten ermöglichen (77%). Weitere Erfahrungen mit umstrittenen Projekten beinhalten die Datafizierung am Arbeitsplatz (33%) und den Umgang mit neuen Technologien (32%).

Zunehmende Sensibilisierung für digitale Ethik

Unternehmen sind nicht nur sensibilisiert für den verantwortungsvollen Umgang mit Daten. Die Umfrage zeigt weiter, dass ethische Themen in mehreren Unternehmen bereits in interne Richtlinien und Prozesse integriert wurden: Jede zweite Person gibt an, dass das Datenmanagement (51%) sowie die Datenstrategie (46%) entsprechende Vorgaben enthält. Oft existiert eine Ethik-Richtlinie (38%) oder sie ist zumindest geplant. Generell zeigt sich, gemäss Cornelia Diethelm, Studienleiterin: «Grosse Unternehmen verfügen über Vorgaben im Rahmen des Datenmanagements, der Datenstrategie und sie haben eine Ethik-Richtlinie. Unabhängig von der Grösse wird aber in vielen Unternehmen an ethischen Vorgaben gearbeitet, was unsere neue Umfrage erneut bestätigt hat. »

Digitale Ethik ist Chefsache

Erfreulicherweise zeigt die Umfrage, dass Digitale Ethik auf der Chefetage präsent ist: Die Geschäftsleitung gehört zu den wichtigsten internen Befürwortern. «Digitale Ethik ist gelebte digitale Verantwortung. Für Unternehmen ist es eine weitsichtige Investition in gute Kundenbeziehungen», sagt Ralph Hutter, Head of Product Development and Research am HWZ IDB.

Die zentralen Treiber der digitalen Ethik in Unternehmen sind aber Personen aus dem Datenschutz. Unterschiede verdeutlichen, dass innerhalb eines Unternehmens auch Ziele verfolgt werden, die sich widersprechen. «Die bewusste Auseinandersetzung mit Digitaler Ethik kann helfen, interne Zielkonflikte systemisch anzugehen. Geschäftspraktiken müssen mit ethischen Richtlinien in Einklang gebracht werden, welche die Werte des Unternehmens widerspiegeln und auch von aussen entsprechend wahrgenommen werden», betont Cornelia Diethelm.

Kundinnen und Kunden wünschen Datensicherheit

Die Umfrage macht ersichtlich, dass Unternehmen die Erwartungen ihrer Kundinnen und Kunden ernst nehmen. Unternehmen können sich als attraktive Arbeitgeber positionieren, wenn sie das Thema Digitale Ethik ernst nehmen. Wer verantwortungsvoll mit Daten umgeht, investiert nicht nur in gute Kundenbeziehungen. Das Unternehmen kann sich auch einen Wettbewerbsvorteil verschaffen, indem es sich als vertrauenswürdiges Unternehmen positioniert, gerade angesichts ausländischer Konkurrenten.

Quelle: HWZ

Wer die Leistung und Ergebnisse seiner Mitarbeitenden im Homeoffice beurteilen möchte, sollte beim Einsatz von Monitoring-Software Vorsicht walten lassen. VMware, ein führender Hersteller von Unternehmenssoftware, hat unter dem Titel „The Virtual Floorplan: New Rules for a New Era of Work“ eine globale Studie zur neuen Ära des Arbeitens durchgeführt. Sie zeigt, dass die steigende Leistung der Mitarbeiter und das Vertrauen, das mit den neuen hybriden Arbeitsmodellen aufgebaut wurde, durch die zunehmende Implementierung von Remote Monitoring Massnahmen gefährdet sein könnte.

Tools zur Überwachung von Mitarbeitenden weit verbreitet

Die Untersuchung wurde durch das Marktforschungsunternehmen Vanson Bourne durchgeführt. Sie zeigt, dass 68 Prozent der europäischen Unternehmen seit der Umstellung auf hybride Arbeitsformen Massnahmen zur Kontrolle der Mitarbeiterproduktivität entweder bereits eingeführt haben oder planen, diese einzuführen. Zu diesen Massnahmen gehören das Monitoring von E-Mails (42%), Collaboration Tools (42%) und Web-Browsing (38%), sowie Videoüberwachung (28%), Webcams (27%) und Keylogger-Software (24%). 43 Prozent der Unternehmen, die das Monitoring von Geräten bereits eingeführt haben und 46 Prozent derer, die dies gerade tun, stellen jedoch eine erhöhte oder sogar drastisch erhöhte Fluktuation ihrer Mitarbeiter fest.

Arbeitnehmende stellen stärkere Bewertung ihrer Leistung fest

Die Studienergebnisse deuten darauf hin, dass Unternehmen bei der Suche nach neuen Wegen, die Leistungen ihrer Mitarbeiter über ihre jeweilige Büro Präsenz hinaus zu bewerten, ein sensibles Gleichgewicht finden müssen. Aus der Sicht der Arbeitnehmer stimmen drei Viertel (74%) zu, dass die Umstellung auf eine flexible Arbeitsumgebung dazu geführt hat, dass ihre Leistung – und zwar nicht in traditionellen Messgrössen wie die der im Büro verbrachten Zeit – von ihren Arbeitgebern verstärkt bewertet wird. Darüber hinaus sind 79% der Beschäftigten davon überzeugt, dass sie dank der Technologien zur Telearbeit effizienter arbeiten können als zuvor. 72% der Unternehmen mussten neue Methoden zur Messung der Mitarbeiterproduktivität entwickeln. Diese Unternehmen erreichten den neuen Ansatz zur Kontrolle der Produktivität durch den Einsatz leistungsorientierter Lösungen, wie regelmässige Treffen mit Managern, um die Arbeitsauslastung zu besprechen (55%), die Verwendung einer neuen Projektmanagement-Software (47%) und die Bewertung des Outputs und der vereinbarten Ergebnisse (53%).

Flexible Arbeitsumgebungen verlangen nach neuen Messmethoden

Da die unmittelbaren Mitarbeiter nun aber nicht mehr zwangsläufig ein paar Büros weiter sitzen, entwickeln die Arbeitgeber neue Methoden zur Überwachung und Quantifizierung der Mitarbeiterproduktivität. Fast sechs von zehn Arbeitnehmern (57%) sind sich darüber im Klaren, dass ihr Unternehmen im Zuge der Umstellung auf hybride Arbeitsformen neue Wege zur Überwachung der Produktivität entwickeln musste, doch die Transparenz ist nach wie vor entscheidend. Ein Viertel der Mitarbeiter (25%) weiss nicht, ob ihr Unternehmen Systeme zur Überwachung der Produktivität auf ihren Geräten eingeführt hat.

„Digitale Workspace-Tools ermöglichen es den Menschen, von überall aus zu arbeiten, und unsere Umfragen zeigen, dass die Mitarbeiter sich wertgeschätzt fühlen und mehr Vertrauen haben. Ein Mangel an Transparenz, heimliche Messungen und versteckte Kontrolle können das Vertrauen der Mitarbeiter schnell untergraben und dazu führen, dass talentierte und motivierte Mitarbeiter in einem hart umkämpften und herausfordernden Qualifikationsmarkt lieber kündigen,“ kommentiert Peter Trawnicek, Country Manager, VMware Österreich, die Ergebnisse.

Die Zahl der Cyberangriffe steigt: Betroffen sind Unternehmen, Behörden und Gemeinden, aber auch Gesundheitseinrichtungen wie Krankenhäuser. Und die Berichte über erfolgreiche Angriffe mehren sich in der Schweiz: Erst kürzlich war das IKRK von einem Cyberangriff betroffen, auch Firmen wie Stadler Rail, Comparis, Griesser Storen oder auch die Waadtländer Gemeinde Rolle wurden schon angegriffen. In Deutschland war im November 2021 die MediaMarkt Elektronik-Handelskette von einem Erpressungsversuch mit Ransomware betroffen, Server und Systeme waren kompromittiert, was den Betrieb in Filialen erheblich störte. Laut einem Unternehmenssprecher erfolgte die Attacke gezielt. Im Jahr 2020 waren die Uniklinik Düsseldorf und die Funke Mediengruppe Opfer: Bei letzterer diente eine Phishing-Mail als Einfallstor für eine Ransomware-Attacke. Bei einem solchen Angriff geht Ransomware wie ein „Verschlüsselungstrojaner“ vor, indem es Daten für den Nutzer unauflöslich codiert und erst gegen Lösegeldzahlung wieder freigibt. Da Phishing menschliche Schwächen ausnutzt, kann es mit technischen Lösungen nur sehr schwer verhindert werden. 

Eine Form von Social Engineering

Phishing ist eine sogenannte Social Engineering Attacke: Sie nutzt die Schwächen und Arglosigkeit des Menschen aus. Phishing-Mails gaukeln dem Empfänger dabei eine gewisse Vertraulichkeit vor bzw. setzen ihn unter Druck. Dadurch wird er dazu verleitet, einen Link anzuklicken, einen Prozess anzustoßen oder vertrauliche Informationen preiszugeben. Dabei können drei Arten des Phishings unterschieden werden:

• Beim sogenannten CEO Fraud geben die Angreifer vor, eine hohe Position innerhalb des angegriffenen Unternehmens zu haben, um zum einen Vertrauen zu erwecken, zum anderen mit Autorität des Hierarchiegefälles und angedrohten Konsequenzen ihr Opfer dazu zu verleiten etwa einen hohen Geldbetrag zu überweisen. Die Angreifer gehen hierbei oft gezielt vor und investieren ein hohes Maß an Zeit in die Auswahl des Unternehmens und der passenden Empfänger. Oft haben sie einen Fuß in der Tür und wissen, wie die Kommunikation im Zielunternehmen abläuft.
• Das Gleiche gilt für die Variante des Spear-Phishings: Diese Mails sind gezielt auf das Opfer bzw. auf eine bestimmte Opfergruppe zugeschnitten. Die Individualisierung macht es sehr schwer, eine solche Mail als Phishing zu erkennen. Spear-Phishing ist häufig der initiale Angriffsvektor, um Malware in ein Unternehmen einzuschleusen.
• Klassisches Phishing zielt häufig darauf ab, Zugangsdaten der Opfer zu Systemen und Diensten zu erlangen. Diese E-Mails sind aber nicht auf Personen oder Personengruppen zugeschnitten, sondern werden an eine breite Masse geschickt. Dabei kann es auch vorkommen, dass ein Empfänger den in der Mail angesprochenen Dienst nicht verwendet.

Phishing ist eine konstante Gefahr

Die Gefahr ist nicht zu unterschätzen, da Phishing-Mails mit Raffinesse verfasst werden. Sie weisen nicht mehr per se merkwürdige und dubiose Email-Adressen des Absenders oder Schreib- und Grammatikfehler auf. Zudem ist der Adressatenkreis äußerst breit: Alle Mitarbeiter, die über E-Mail mit Externen kommunizieren, sind potenzielle Opfer. Unternehmen sind in der Regel von CEO Fraud oder Spear-Phishing und damit von gezielten Kampagnen betroffen. Dabei zeigt sich, dass sich Phishing-Versuche vor allem bei jenen Adressaten häufen, deren Namen und E-Mailadressen öffentlich zum Beispiel auf der Unternehmens-Website gelistet sind – meist verfügen diese im Vergleich zu Angehörigen von IT-Abteilungen über weniger stark ausgeprägtes Knowhow zum Thema Malware. Dies bedingt, dass häufig genau jene Mitarbeiter ins Visier von Angreifern geraten, die hinsichtlich Schadsoftware wenig sensibilisiert sind. Damit wird es wahrscheinlicher, dass sie auf einen Link klicken oder einen kontaminierten Anhang herunterladen.

Die Gefahr für private Personen besteht darin, dass persönliche und sensible Daten abgegriffen werden. Es kann auch Malware über Phishing-Mails eingeschleust werden, so dass sich der Angreifer unbemerkt einen permanenten Systemzugang sichert. Er bewegt sich unsichtbar im Netzwerk und gelangt so an die sensiblen Daten.

In Unternehmen sind Phishing-Mails häufiges Einfallstor für Schadsoftware wie Ransomware. Die Angreifer können die Kontrolle über Rechner erlangen, Identitäten der Opfer stehlen und damit weitere Angriffe ausüben. Das Opfer kann auch mit sensiblen Daten um ein Lösegeld erpresst werden. Diese Angriffe sind für Unternehmen sehr kostspielig: Sie ziehen lange Ausfälle der IT nach sich, behindern oder verhindern das Geschäft und schaden der Reputation. Wird Malware eingeschleust, kann auch Industriespionage über Phishing erfolgen.

Phishing mit Simulationen gezielt vorbeugen

Da Phishing eine psychologische Waffe ist und auf menschliches Verhalten abzielt, ist es schwierig, diese auf technologischer Ebene abzuwehren: Spamfilter erkennen die E-Mails nur unzureichend und damit erreichen sie meistens den gewünschten Empfänger. Am Beispiel einer Personalabteilung besteht für diese die Möglichkeit, Bewerbungen über ein Portal entgegenzunehmen und Einfallstore via E-Mail so zu umgehen.

Eine zielführende Methode zur Phishing-Abwehr besteht deswegen im Training und der Sensibilisierung der Mitarbeiter. Dafür bieten sich Simulationen und regelmäßige Kampagnen an, um das Bewusstsein z. B. hinsichtlich möglicher Einfallstore zu schärfen und so das Risiko eines Angriffes zu minimieren.

Mitarbeiter werden gezielt unter realen, aber kontrollierten Bedingungen mit der Gefahr des Phishings konfrontiert. Simulationen bspw. von Spear-Phishing machen sie mit den Tricks der Angreifer vertraut, ohne dass Schaden entstehen kann. Bei einer solchen Kampagne werden über mehrere Stunden oder Tage Phishing-Mails in einem Unternehmen verschickt, an alle oder an einzelne Personen, Personengruppen oder Abteilungen. Ob die Mitarbeiter davon bzw. von der Dauer in Kenntnis gesetzt werden oder nicht, entscheidet das Unternehmen.

Öffnet ein Empfänger nun eine der Kampagnen-Mails oder klickt er sogar auf den Link, wird sein Verhalten in einer Datenbank anonymisiert gespeichert. Das ermöglichen userspezifische Links in den Mails. Über den vereinbarten Zeitraum der Kampagne erfolgt eine permanente Auswertung, am Ende werden die Ergebnisse zusammengefasst und aufbereitet. So wird nachvollziehbar, welche Bereiche oder Abteilungen für Phishing-Mails besonders anfällig sind. Es kann dann mit Schulungen und Aufklärung gegengesteuert werden.

Die Kommunikation ist hier von zentraler Bedeutung: Es geht nicht um Schuldzuweisungen, sondern es muss klar sein, dass mit den Simulationen Knowhow aufgebaut wird und es sich um ein Lernszenario handelt. Es besteht auch die Möglichkeit, Mitarbeiter direkt nach dem Klick auf einen Link über die Phishing-Simulation aufzuklären oder sie zunächst im Dunkeln zu lassen. Letzteres bietet sich an, da sich in Unternehmen sonst leicht herumspricht, dass eine Simulation im Gange ist, was die Ergebnisse verfälschen kann.

Mit Schulungen Skepsis und Awareness fördern

In den Folge-Schulungen können Prozesse etabliert werden, um das Bewusstsein zu fördern und Skepsis aufrechtzuerhalten. Manchmal reicht schon der Name des Chefs in einer E-Mail, um sofort zu handeln – auch unüberlegt. Mitarbeiter erhalten deswegen Merkmale an die Hand, um leichter zu erkennen, ob eine E-Mail valide ist, etwa ob Name des Senders und Provider zusammenpassen. Aber auch die Etablierung einer Kultur der Skepsis ist wichtig, also nachzufragen, auch, wenn eine E-Mail von einem vermeintlichen Vorgesetzten mit sofortiger Handlungsaufforderung einhergeht.

Sinnvoll ist es, dass Mitarbeiter in regelmäßigen Abständen an einer Phishing-Simulation teilnehmen, unternehmensabhängig zum Beispiel einmal im Quartal oder im halben Jahr, um den größten Effekt zu erzielen, das Trainingslevel hoch zu halten und das Bauchgefühl für Phishing-Mails zu entwickeln. Dabei kann die Breite der Streuung variieren und Einfallstore direkt mit maßgeschneiderten Kampagnen erneut trainiert werden.

Fazit

Bedrohungsszenarien durch Cyber-Angriffe weiten sich aus, immer mehr Unternehmen sind von Ransomware-Attacken betroffen, die den Betriebsablauf behindern und immense Kosten verursachen. Das Einfallstor sind oft Phishing-Mails, über die die Angreifer Zugriff auf Systeme und sensible Daten erhalten und damit Unternehmen erpressen können. Diesem Worst Case Szenario kann mit einer Sensibilisierung der Mitarbeiter über gezielte Phishing-Simulationen und Trainings vorgebeugt werden.

Autoren:
Leon Hormel ist Cyber Defense Consultant bei SECUINFRA Falcon Team in Berlin, Tobias Messinger ist Senior Cyber Defense Consultant ebenda. https://www.secuinfra.com/de/news/digitale-bedrohung-phishing/

Bei der Suche nach fähigen Mitarbeitern spielt die Nationalität immer weniger eine Rolle. Belegschaften werden zunehmend internationaler und arbeiten über verschiedene Standorte und Ländergrenzen hinweg. Für die Personalverantwortlichen international agierender Unternehmen ergeben sich daraus eine Reihe von Herausforderungen. Compliance-Bestimmungen im Bereich HR und Workforce-Management unterscheiden sich oft deutlich von Ort zu Ort und können sich auch zu unterschiedlichen Zeitpunkten ändern. Die Einhaltung dieser Vorgaben hängt von der Fähigkeit einer Organisation ab, schnell auf Änderungen an bestehenden Gesetzen und Vorschriften zu reagieren – oder sie sogar zu antizipieren – um dann entsprechende Maßnahmen und Anpassungen umzusetzen. Fünf strategische Ansatzpunkte können helfen, das Compliance Management im Personalbereich in den Griff zu bekommen. 

Grundlage für Compliance Management im Personalbereich: Effektives Datenmanagementsystem

Die Grundlage für die Einhaltung von Compliance-Vorgaben auf internationaler Ebene ist die Erfassung präziser Daten. Um Personaldaten effektiv zu organisieren und Lücken in Ihren Aufzeichnungen zu erkennen, empfiehlt sich eine Einteilung der Daten in folgende Kategorien:

• Personalstammdaten: Allgemeine Mitarbeiterinformationen zu Alter, Grundgehalt, Wohnort, Ausbildung und Leistung
• Informationen zu Gehaltsbestandteilen: Aufzeichnungen über Boni, Leistungen und Zulagen
• Dokumente: Unterschriebene Unterlagen wie vertragliche Vereinbarungen und andere rechtsverbindliche Unterlagen
• Personalverwaltungsdaten: Informationen zu Zeitplänen, Anwesenheit und Abwesenheiten

Die Datenspeicherung ist ein weiterer Kernpunkt für die Datenintegrität. Bei internationalen Betrieben ist die manuelle Speicherung sensibler Mitarbeiterdaten an mehreren Standorten zu unsicher. Das ist ein Problem, mit dem sich viele Organisationen konfrontiert sehen. Ganz zu schweigen davon, dass diese Art von Speichersystem es oft fast unmöglich macht, Mitarbeiterinformationen zeitnah abzurufen. Moderne Cloud-Technologie – beispielsweise als Teil eines LMS oder Workforce-Management-Systems – kann die Datensicherheit steigern und effizientere Prozesse ermöglichen. Wenn das System einen Audit-Trail von Datenänderungen bereitstellt, lassen sich Eingriffe in die Daten revisionssicher nachvollziehen. Idealerweise sollte ein solches System konfigurierbare Funktionen bieten, die an die Prozesse eines Unternehmens angepasst werden können. So lässt sich ein sicheres, standortübergreifendes Datenmanagementsystem aufbauen, auf das alle Verantwortlichen zugreifen können.

Implementieren eines stabilen Workflow-Prozesses

Die Einrichtung eines effizienten Workflows hilft, nationale und internationale Compliance-Verpflichtungen zu konsolidieren und die Arbeit an jedem Standort zu rationalisieren. Die daraus resultierenden Vorteile umfassen:

• Verbesserte Koordination und Kommunikation zwischen Niederlassungen und lokalem Support in jedem Land
• Klar definierte Rollen und Verantwortlichkeiten, die allen Teammitgliedern helfen zu wissen, wer für welche Aufgaben verantwortlich ist
• Sicherstellen, dass die Arbeit zwischen globalen Teams konsistent ist und auf Kurs bleibt
• Reduzierung von betrieblichen Ineffizienzen, Inkonsistenzen und Qualitätsproblemen

Wenn Teams auf der ganzen Welt einen klaren Einblick in den Compliance-Status des Unternehmens haben, können sie die Daten besser verwalten und deren Integrität sicherstellen.

Verständnis für die Gesetze und Vorschriften jedes Landes entwickeln

Unternehmen erwarten, dass ausländische Organisationen ihre Gesetze und Vorschriften einhalten. Jeder Markt hat dabei andere Herausforderungen. Ein wesentlicher erster Schritt bei der Navigation in diesen Gewässern besteht darin, die lokalen Vorschriften zu verstehen.

Erstellen Sie dazu zunächst eine Liste der inländischen Gesetze, die Ihre Organisation einhält, und identifizieren Sie dann die entsprechenden Gesetze in Ihren ausländischen Märkten. Kennzeichnen Sie Vorgaben, die nur in diesen Märkten existieren. Im Zweifelsfall ist die Zusammenarbeit mit einem lokalen Experten eine gute Möglichkeit sicherzustellen, dass Sie alle Gesetze und Vorschriften erfasst haben, die sich auf den Betrieb in diesem Land beziehen.

Um weltweit die Compliance mit allen Vorgaben zu gewährleisten, müssen Sie den Bereich verstehen, in dem Ihr Unternehmen tätig ist. Das bedeutet, dass Sie auf lokale Gesetze und Kulturen achten, um ein tiefes Verständnis dafür zu gewährleisten, welche Vorgaben bestehen und um Strategien zu implementieren, um Ihre Mitarbeiter in den Prozess einzubeziehen. Dazu gehört auch, aktuelle Ereignisse im Auge zu behalten und im Hinblick auf die Beteiligung Ihres Unternehmens zu bewerten.

Compliance-Schulungen lokal anpassen, um Mitarbeiter anzusprechen

Die Führung von Mitarbeitern auf globaler Ebene erfordert Expertise auf lokaler Ebene. Wenn es um die Umsetzung von Compliance-Schulungen geht, ist dies der sicherste Weg, um Zustimmung oder echte Beteiligung der Mitarbeiter zu erhalten. Organisationen sollten daher Programme aufbauen, die der lokalen Kultur, den lokalen Arbeitsmärkten und den Bedürfnissen der lokalen Geschäftseinheiten entsprechen.

Moderne Systeme wie Lernmanagementsysteme (LMS) oder eine neue Generation von Learning Management Experience Plattformen (LMXP) helfen dabei, effizient auf Trainingsherausforderungen zu reagieren. Durch die Systematisierung und Automatisierung verschiedener Aspekte des Trainings können globale Standards etabliert werden und es entsteht eine zentrale Plattform für die Umsetzung der Programme.

Lernpfade für bessere Annahme von Trainings und effizientere Auswertung

Die Entwicklung einer technischen Lösung ist nur ein Teil des Puzzles bei Personal- und Compliance-Schulungen. Wenn der Prozess vollständig automatisiert ist, fühlen sich Mitarbeiter häufig nicht persönlich angesprochen und sind weniger motiviert. Eine Individualisierung stärkt und vermittelt das Gefühl, dass ihre Bedürfnisse in ihrem eigenen Umfeld berücksichtigt werden. Aus diesem Grund ist es für die Entwicklung globaler Schulungsprogramme, die gut angenommen werden und auf echtes Engagement stoßen, wichtig, sich mit den lokalen Märkten, Kulturen und Bedürfnissen der Mitarbeiter, vertraut zu machen. Mit einer geeigneten LMS-Lösung können lassen sich spezialisierte Lernpfade einrichten, um Mitarbeitern auf Basis ihrer Aufgabenbereiche und Standorte optimal zugeschnittene Trainings und Inhalte anzubieten.

Auch wenn es um die Nachverfolgung des Trainingsabschlusses geht, bieten solche Lernpfade eine gute Möglichkeit die Trainingserfolge auszuwerten, da sowohl die Teilnehmer als auch die Trainer eine klare Momentaufnahme der Leistung erhalten. Anstatt Daten aus mehreren Berichten manuell kombinieren und analysieren zu müssen, aggregieren die im Lernpfad integrierten Tools automatisch Daten aus allen Schulungen in einem einzigen Bericht. Das macht die Auswertung von Mitarbeiterschulungen wesentlich effizienter.

Quelle und weitere Informationen rund um die Themen Compliance Management im Personalbereich u.a.: https://de.sumtotalsystems.com

Die Findungskommission des Suva-Ratsausschusses hat an ihrer Sitzung vom 17. Januar 2022 Gianni Roberto Rossi zum CEO der Suva-Kliniken (Clinique romande de réadaptation Sion und Rehaklinik Bellikon) gewählt. Der 54-Jährige übernimmt seine neue Funktion am 1. Juli 2022. Die Ernennung findet im Rahmen der organisatorischen Weiterentwicklung der Suva-Kliniken statt. Ziel ist eine übergeordnete strategische Führung sowie die Harmonisierung der Strukturen. Beide Kliniken bleiben jedoch selbstständig und werden durch eine Standortleitung geführt.

Gut vernetzte Persönlichkeit

Gianni Roberto Rossi ist seit Juli 2018 CEO der Rehaklinik Bellikon und kennt die Belange der Suva-Kliniken bestens, wie es in der Mitteilung der Suva heisst. Er sei gut im Schweizer Gesundheitswesen vernetzt und verfüge über beste fachliche und menschliche Führungseigenschaften. Auch seine Mehrsprachigkeit (Italienisch, Deutsch, Französisch) sei für die Wahl ausschlaggebend gewesen. Gianni Roberto Rossi verfügt über einen Executive Master in Business Administration der Universität Zürich und über einen Master in Innovation und Management in Öffentlichen Verwaltungen der Universität Tor Vergata in Rom. 2013 erlangte er für sein Forschungsdoktorat den Doctor of Philosophy.

Suva-Kliniken übergeordnet lenken

Gianni Roberto Rossi ist verheiratet und Vater von drei Kindern. Er freut sich auf seine neue Herausforderung: «Mit meiner unternehmerischen Denkweise und meinen ethischen Grundsätzen fühle ich mich bei den Suva-Kliniken, die schweizweit über einen hervorragenden Ruf verfügen, am richtigen Ort. Mein Ziel ist es, strategische Entwicklungen im Rehabilitationsmarkt aktiv mitzugestalten und so die Position der Kliniken Sion und Bellikon weiter zu stärken. Gemeinsam gestalten wir erfolgreich die Zukunft.» Und Daniel Roscher, Mitglied der Geschäftsleitung der Suva, meint dazu: «Mit seiner fundierten ökonomischen Ausbildung, seiner langjährigen Erfahrung in der Führung von Rehabilitationskliniken sowie seiner gewinnenden Persönlichkeit wird Gianni Roberto Rossi die Geschäfte der Suva-Kliniken übergeordnet mit Geschick lenken, weiterentwickeln und in die Zukunft führen.»

Quelle: Suva

Das Bewusstsein für digitale Risiken und die Forderung nach mehr digitaler Transparenz und Verlässlichkeit nehmen stetig zu. Digitale Verantwortung und digitales Vertrauen gehören zu den neuen Voraussetzungen für Unternehmen, um wettbewerbsfähig zu bleiben. Die Marktführer der Zukunft sind Organisationen, die digitale Verantwortung aktiv übernehmen. Sie setzen die theoretischen Grundsätze und Prinzipien in die Praxis um. Anhand eines Gütesiegels soll dies für die Nutzerinnen und Nutzer erkennbar sein. Auf der anderen Seite können Anbieter von digitalen Anwendungen mit dem Digital Trust Label ihre digitale Verantwortung systematisch und glaubwürdig deklarieren.

Das Digital Trust Label wurde in der Schweiz unter besonderer Betonung der Nutzerperspektive erarbeitet. Dank der partizipativen und integrativen Vorgehensweise entstand ein Label, das Organisationen die einzigartige Möglichkeit bietet, ihr Engagement zugunsten der digitalen Verantwortung nachzuweisen. Es wurde im November 2021 der Öffentlichkeit vorgestellt. Nun ist es definitiv lanciert.

Ein klares Bekenntnis zur digitalen Verantwortung

Das Digital Trust Label zeigt die Vertrauenswürdigkeit einer digitalen Anwendung, wie einer Website oder App, in einer klaren, visuellen und nicht-technischen Sprache, die jeder verstehen kann. „Ähnlich wie das Bio-Label und die Nährwert-Tabelle für die analoge Welt dient das Digital Trust Label als Vertrauenssiegel in der digitalen Welt„, erklärt Doris Leuthard, Präsidentin der Stiftung Swiss Digital Initiative.

Die digitalen Anwendungen werden anhand von 35 Kriterien in vier Dimensionen geprüft: Sicherheit, Datenschutz, Zuverlässigkeit und fairer Umgang mit den Nutzern, wozu die  Information über den Einsatz automatisierter Entscheidungsprozesse gehört. Der Kriterienkatalog wurde von einem speziellen Label Expert Committee unter der Leitung der Eidgenössischen Technischen Hochschule Lausanne (EPFL) erstellt und auf der Grundlage der Rückmeldungen aus mehreren öffentlichen Konsultationen weiterentwickelt. Die entwickelten Kriterien dienen als Grundlage für eine unabhängige Prüfung.

Swiss Re und Swisscom sind die ersten Digital Trust Champions

Zu den ersten Digital Trust Champions gehören Swiss Re und Swisscom, die bereits den Prüfprozess für ein Digital Trust Label durchlaufen und das Label für die geprüften Dienste nutzen dürfen. Credit Suisse befindet sich im Auditierungsprozess. Weitere sieben Unternehmen haben sich bereits für den Labelling-Prozess registriert und werden mit dem Audit Anfang 2022 beginnen: Atos, Booking.com, Cisco, Credit Exchange, Kudelski IoT, UBS Switzerland AG und wefox. „Finanzdienstleistungen erfordern mehr denn je ein grösseres Vertrauen in digitale Dienstleistungen. Wir unterstützen und glauben an das Digital Trust Label als Treiber für mehr Transparenz und Verantwortlichkeit“, sagt Moses Ojeisekhoba, Chief Executive Officer Reinsurance und Mitglied der Konzernleitung von Swiss Re. Urs Schaeppi, CEO von Swisscom ergänzt: „Die digitale Welt ist schnell und einfach, aber auch anonym. Auf welche digitalen Dienstleistungen kann ich mich verlassen, welchem Anbieter vertrauen, sind die erfolgskritischen Fragen. Swisscom unterstützt das Digital Trust Label und den zugrunde liegenden unabhängigen Auditprozess, weil damit in der digitalen Welt Transparenz geschaffen und Vertrauen gebildet wird.“

Ausstrahlung über Branchen- und Landesgrenzen

Das Thema Digital Trust ist auch für den Banking-Bereich von Relevanz. André Helfenstein Chief Executive Officer Credit Suisse (Schweiz) AG: „Das Vertrauen der Kundschaft und Sicherheit sind natürliche Grundpfeiler des Schweizer Bankings und dies auch in der digitalen Welt. Die Credit Suisse unterstützt die Pilotierung des Digital Trust Labels, da es die Transparenz bezüglich Datenflüssen und Sicherheit in digitalen Prozessen erhöht.”

Das Digital Trust Label sieht sich als ein Beispiel für einen praktischen Beitrag, um Schweizer Traditionen und Werte in die digitale Welt zu bringen und dient als Ausgangspunkt für eine globale Bewegung in Richtung digitale Verantwortung. „Es gibt keinen besseren Ort als Genf, um Pionierarbeit zu leisten und neue Instrumente für digitales Vertrauen und Verantwortung zu erproben. Ein Label kann ein Weg sein, um internationale Stakeholder, die an diesem Thema arbeiten, zusammenzubringen und einen globalen Konsens zu finden“, sagt Benedikt Wechsler, Botschafter und Leiter der Division Digitalisierung des Eidgenössischen Departements für auswärtige Angelegenheiten. 

Quelle: Swiss Digital Initiative. Weitere Informationen zum Digital Trust Label

Stress in der Berufslehre: Laut dem Job-Stress-Index 2020 von Gesundheitsförderung Schweiz (s. Grafik) haben 42% der jungen Erwerbstätigen zwischen 16 und 24 Jahren zu wenig Ressourcen, um den Anforderungen am Arbeitsplatz gerecht zu werden, 30% sind emotional erschöpft und ihr Berufsunfallrisiko ist doppelt so hoch. Die Pandemie hat diese Tendenz noch verstärkt. Gesundheitsbedingte Produktivitätsverluste, die in dieser Altersgruppe bei gut 21% liegen¹⁾ sind die wirtschaftliche Konsequenz.

Gesundheitsförderung in der Berufslehre ist dringlich

Die Tatsache, dass junge Erwerbstätige verstärkt von emotionaler Erschöpfung betroffen sind, ist nicht verwunderlich. Schliesslich durchlaufen sie intensive Entwicklungsschritte, die nahezu alle Lebensbereiche betreffen. Diese sind auch in der Zusammenarbeit der Lernenden mit den Berufsbildenden, Vorgesetzten sowie Lehrpersonen in der Berufsschule relevant. Die Dringlichkeit einer spezifischen Förderung der psychischen Gesundheit von Lernenden wird anhand der genannten Aspekte und Zahlen offensichtlich.

Gleichzeitig erhöhen sich damit die Anforderungen an Berufsbildungsverantwortliche. Gezielte Unterstützungsangebote zur gesundheitsförderlichen Führung von jungen Erwerbstätigen sind daher willkommen. Eine gute Anlaufstelle dafür sind beispielsweise Branchenverbände, der Berufsbildnerverband oder Apprentice. Letzteres ist ein umfassendes Angebot von Gesundheitsförderung Schweiz zur wirksamen Förderung von Lernenden im Bereich psychische Gesundheit.

Menschlich und wirtschaftlich ein Gewinn

Unternehmen, in deren Kultur ein systematisches BGM betrieben wird, haben Vorteile, wenn es um die gesundheitsförderliche Führung von Lernenden geht. Die Kuhn Rikon AG beispielsweise führte bereits 2006 ein ganzheitliches BGM ein. Seit 2009 ist das Unternehmen mit dem Label «Friendly Work Space» von Gesundheitsförderung Schweiz zertifiziert. Der führende Kochgeschirrhersteller beschäftigt rund 190 Mitarbeitende in der Schweiz. Elf davon sind junge Erwerbstätige bis 24 Jahre, zu denen insgesamt drei Lernende im KV und der Logistik gehören.

Nebst den üblichen BGM-Massnahmen bietet das Unternehmen seinen Lernenden eine individuelle Unterstützung an, beispielsweise:

• Eine von der Rekrutierung bis zur Abschlussprüfung auf die jeweiligen Bedürfnisse und den Entwicklungsstand abgestimmte persönliche Begleitung.
• Das Probezeit- und Vorstellungsgespräch findet mit den Eltern statt.
• Die Integration der Lernenden ins Team. Sie nehmen z.B. an der monatlichen Sitzung zum Kontinuierlichen Verbesserungsprozess (KVP) teil.
• Der Teamgeist und die Begegnung der Lernenden untereinander werden gefördert, z.B. durch gegenseitige Unterstützung bei Vorbereitungsaufgaben der überbetrieblichen Kurse oder gemeinsamen Mittagessen im Personalrestaurant.
• Regelmässiger Austausch zwischen Lernenden, Berufsbildungsverantwortlichen und Vorgesetzten, der bewusst das aktuelle Wohlbefinden einbezieht. Dazu gehört auch, den Jugendlichen genügend Zeit für ihre Freizeitaktivitäten einzuräumen.
• Eine offene Fehlerkultur und wertschätzender Umgang stärken das eigenverantwortliche Arbeiten und damit das Bewusstsein der Lernenden für ihre Selbstverantwortung und -wirksamkeit.

Und so gelingt gesundheitsförderliche Führung von Lernenden. Entscheidend sind dabei im Wesentlichen drei Dimensionen²⁾:

1. Selbststeuerung: Die Berufsbildner:innen fördern ihre eigene Gesundheit. Sie sind Vorbilder.
2. Kontakt mit Lernenden: Die Berufsbildner:innen fördern die Gesundheit der Lernenden im direkten, kommunikativen Austausch (verhaltensorientierte Perspektive).
3. Gestaltung der Arbeitsbedingungen: Die Berufsbildner:innen gestalten die Aufgaben der Lernenden, ihre Ziele und ihr Arbeitsumfeld so, dass sie gesundheitsfördernd auf die Lernenden wirken (bedingungsbezogene oder verhältnisorientierte Perspektive).

¹⁾ Quelle: Gesundheitsförderung Schweiz – Job-Stress-Index-Monitoring 2018 gemäss Galliker et al. 2018b

²⁾ Quelle: Franke, Vincent & Felfe, 2011

Live-Chat für Berufsbildende

zu Tabakkonsum – mit Expert:innen von Sucht Schweiz. 31. Januar 2022, 13 bis 17 Uhr. Teilnehmen mit der FWS Apprentice Experts App.
Ein Event von Gesundheitsförderung Schweiz.

Fast täglich lesen wir in den Medien von Cyberattacken durch Kriminelle, die erheblichen Schaden anrichten und sogar zu Produktionsfällen führen. Die Furcht der Unternehmen, selbst Opfer einer solchen Attacke zu werden, steigt. Das zeigt auch das elfte Allianz Risk Barometer, für das weltweit rund 2’700 Experten in 89 Ländern und Territorien zu Top-Risiken befragt wurden. Zu den Befragten gehörten u.a. CEOs, Risikomanager, Makler und Versicherungsexperten. So sind Cybervorfälle weltweit das Toprisiko für Unternehmen (44 % der Antworten), Betriebsunterbrechungen belegen weltweit den zweiten Rang (42 %), während Naturkatastrophen auf den dritten Rang vorgestossen sind (25%, Vorjahr Rang 6). Einen grossen Sprung nach vorn machten auch die Sorgen vor dem Klimawandel auf dem 6. Rang (17%), Vorjahr 9. Platz). Der Ausbruch einer Pandemie scheint hingegen etwas ihren Schrecken zu verlieren, zumindest was die Auswirkungen auf die Wirtschaft anbelangt: Er fiel aus den Top3 auf Rang 4 (22%). Die Befragung fand jedoch noch vor dem Ausbruch der Omikron-Variante statt, wie Allianz-Sprecher Daniel Aschoff in einem Mediengespräch anmerkte. Er schloss nicht aus, dass das Resultat in Anbetracht der aktuellen Pandemie-Situation sich etwas anders präsentieren würde.

Resilienzfähigkeit entwickelt sich zum Wettbewerbsfaktor

Je nach Branche werden die Risiken naturgemäss etwas unterschiedlich bewertet. Es fällt aber auf, dass Betriebsunterbrüche global in mehr als der Hälfte der untersuchten Branchen als Risiko Nr. 1 genannt wurden (in 11 von 20 Sektoren), während Cyber in „nur“ fünf von zwanzig Branchen zuoberst rangiert. „Störungen des Betriebes werden wahrscheinlich auch 2022 das wichtigste Risikothema bleiben“, fasst Christoph Müller, CEO von AGCS, die diesjährige Befragung zusammen. „Für die meisten Unternehmen ist die grösste Angst, ihre Produkte nicht herstellen oder ihre Dienstleistungen nicht erbringen können. Im Jahr 2021 kam es zu Unterbrechungen in noch nie dagewesenem Ausmass, die durch verschiedene Auslöser verursacht wurden: Lähmende Cyberangriffe, die Auswirkungen zahlreicher klimawandelbedingter Wetterereignisse auf die Lieferkette sowie pandemiebedingte Produktionsprobleme und Transportengpässe verursachten verheerende Folgen. Dieses Jahr verspricht nur eine allmähliche Entspannung der Lage, obwohl weitere Probleme im Zusammenhang mit Covid-19 nicht ausgeschlossen werden können. Der Aufbau von Widerstandsfähigkeit gegen die zahlreichen Ursachen von Betriebsunterbrechungen wird zunehmend zu einem Wettbewerbsvorteil für Unternehmen.“ Laut Euler Hermes Global Trade Report ist voraussichtlich bis ins zweite Halbjahr 2022 mit weiteren Störungen in der globalen Supply Chain zu rechnen. 

Top-Risiken in der Schweiz: Cyber auf Rang 1

In der Schweiz dominieren ebenfalls Cyber-Vorfälle (Platz 1 mit 61%) und Betriebsunterbrechung (Platz 2 mit 57%) das Ranking. Auf Platz 3 folgen Marktveränderungen, etwa hervorgerufen durch Volatilität, verstärkten Wettbewerb/neue Wettbewerber, stagnierende Märkte oder Marktschwankungen (25%). Hier dürfte gemäss Einschätzung der Allianz auch die Unsicherheit auf politischer Ebene eine Rolle spielen: Das fehlende Rahmenabkommen mit der EU, ungelöste Probleme im Zusammenhang mit dem Brexit oder auch die Währungspolitik würden in Unternehmen zu einer Art „Gefühl der Ohnmacht“ führen, wie Christoph Müller ausführt.

Grösster Aufsteiger neben Marktveränderungen ist der Klimawandel (Platz 5 mit 17 %). Neu in den ersten zehn Rängen der Top-Risiken sind der Fachkräftemangel, der auf Platz 7 rangiert (12%), sowie die Sorgen vor dem Ausfall kritischer Infrastruktur (Platz 9 mit 11 %) und Reputationsverlust (Platz 9 mit 11 %). Die Sorgen vor Covid-19 oder einer anderen Pandemie beschäftigen die Unternehmen deutlich weniger als noch 2021 (Platz 6 mit 15%).

Neue kriminelle Taktiken 

Im Zusammenhang mit dem Cyber-Risiko sieht Christoph Müller besonders „doppelte Erpressungstaktiken“ als besorgniserregend an: Immer öfter beschränken sich Cyberkriminelle nicht nur auf das Erpressen von Lösegeld nach Verschlüsselung von Daten, sondern drohen nachfolgend auch mit Veröffentlichung sensibler Daten, wenn nicht nochmals gezahlt werde. Und weiter gehe die Cyber-Bedrohung Hand-in-Hand mit militärischen Drohkulissen, wie z.B. die jüngsten Ereignisse in der Ukraine zeigen würden, so Müller. „Ransomware ist zu einem grossen Geschäft für Cyberkriminelle geworden, die ihre Taktiken verfeinern und die Einstiegshürden senken – für die Ausführung eines Angriffs braucht es kaum noch technische Kenntnisse, die entsprechenden Werkzeuge können bequem im Netz gebucht werden. Die Kommerzialisierung der Internetkriminalität macht es einfacher, Schwachstellen in grossem Stil auszunutzen. Wir werden mehr Angriffe auf Lieferketten und kritische Infrastrukturen erleben“, erklärt Ivo Heeb, Underwriting Experte Financial Lines bei der AGCS in der Schweiz.

Betriebsunterbrechung: Die Konstante unter den Top-Risiken

In einem Jahr, das von weit verbreiteten Unterbrechungen geprägt war, ist das Ausmass der Schwachstellen in modernen Lieferketten und Produktionsnetzen offensichtlicher denn je. Neben Cybervorfällen sind auch die Auswirkungen der zunehmenden Abhängigkeit der Unternehmen von der Digitalisierung und die Verlagerung der Arbeit in die Ferne wichtige Ursachen. Naturkatastrophen und Pandemien sind nach Ansicht der Befragten die beiden anderen wichtigen Auslöser für Betriebsunterbruch. „Die Pandemie hat das Ausmass der Vernetzung in modernen Lieferketten aufgezeigt und verdeutlicht, wie an sich unzusammenhängende Ereignisse zusammenkommen und weitreichende Ausfälle verursachen. Zum ersten Mal wurde die Widerstandsfähigkeit von Lieferketten auf globaler Ebene auf eine harte Probe gestellt“, sagt Christoph Müller, CEO der AGCS in der Schweiz.

Der Ausbruch einer Pandemie ist für die Unternehmen nach wie vor eine grosse Sorge. In der Schweiz rangiert die Gefahr, wie oben erwähnt, aber bei den Top-Risiken nur noch auf Rang 6. Obwohl die Covid-19-Krise die wirtschaftlichen Aussichten in vielen Branchen weiterhin überschattet, sind die Unternehmen der Meinung, dass sie sich gut darauf eingestellt haben. Die Mehrheit der Befragten (80 %) ist der Ansicht, dass sie angemessen oder gut auf eine künftige Pandemiewelle vorbereitet sind. Eine Verbesserung des Business Continuity Managements gilt dabei als wichtigste Massnahme, welche die Unternehmen ergreifen.

Quelle und weitere Informationen: www.agcs.allianz.com

Seit November 2021 ist Robin Setz in der Unternehmens-Gruppe tätig und hat die Verantwortung für sämtliche QM-Belange sowohl für den SVTI Schweizerischer Verein für technische Inspektionen wie auch für die Swiss Safety Center AG übernommen. Er tritt die Nachfolge von Dr. Elisabetta Ramsperger-Prati an. Der SVTI zählt zu den wichtigsten Schweizer Institutionen auf dem Gebiet der technischen Sicherheitsaufsicht. Der Zweck des SVTI liegt in der Verhütung von Unfällen, Störungen und Schäden und der Beseitigung von Gefahren bei der Herstellung und dem Betrieb technischer Anlagen aller Art.

Robin Setz ist ein Experte für Qualitätsmanagement, Projekt- und Prozessmanagement. Er bringt langjährige Erfahrung mit und arbeitete in verschiedensten Projekt- und Qualitätsmanagement-Funktionen bei international tätigen Unternehmen. Zuletzt war er als Leiter Prozessmanagement und Qualität bei einem Industrieunternehmen für den Aufbau und die Einführung des Prozess- und Qualitätsmanagementsystems verantwortlich. Sein Ziel ist, dass die SVTI-Gruppe über ein modernes Qualitätsmanagementsystem verfügt, das von Mitarbeitenden, Führungskräften, Kundinnen und Kunden wie auch Auditorinnen und Auditoren gleichermassen geschätzt und gelebt wird.

Durch seine Nebentätigkeit als Dozent in Projekt- und Prozessmanagement an der Fachhochschule Graubünden ist es ihm möglich eine Brücke zwischen Theorie und Praxis zu schlagen. 

Quelle und weitere Informationen: www.svti.ch