Die Projektarbeit als Transferelement in der wissenschaftlichen


Dabei fokussiert er auf Kunden im Finanzsektor und der chemischen Industrie. Dazu wird ein so genannter Dokumentinfosatz angelegt und dem entsprechenden Objekt zugeordnet. Wie muss man es einsetzen und integrieren, damit Information als Wissen in den Prozessen bereitgestellt werden kann?

Verwendbarkeit


Es können verschiedene Authentifizierungsmethoden eingesetzt werden, wodurch die Sicherheit der Systeme inkrementiert wird.

Eine zentrale Administration ermöglicht den zentralisierten Schutz vor nicht autorisiertem Zugriff. Technische Grundlagen Wenn es um Sicherheit in der Informationstechnologie geht, gibt es Schlüsselkonzepte oder Sicherheitsziele, die verfolgt werden sollten, unabhängig von dem Betriebssystem, mit dem man arbeitet. Die vier Haupterfordernisse für die Datensicherheit sind: Daher folgt eine kurze Erläuterung zu dem wichtigen Aspekt der Authentifizierung sowie der Autorisierung.

Hierbei ist es wichtig, dass die Identitätsnachweise nicht in die falschen Hände gelangen und damit einem rechtswidrigen Benutzer Daten übermittelt werden, die nicht für ihn bestimmt sind. Die Autorisierung ist die Überprüfung und Gewährung von Rechten. Als Beispiel diene der Login-Vorgang auf einem Unix-artigen Betriebssystem, um zu zeigen, dass beide Begriffe nicht immer identisch sind: AD ist ein sog.

Single Point of Administration, weil es Informationen über Objekte z. Benutzer, Benutzergruppen, Computer im Netzwerk zentral speichert und diese Informationen zur Verfügung stellt. Es gewährt den Benutzern nach einer einmaligen Anmeldung den Zugriff auf sog. Die Datensätze werden als 'Objekte' und die Eigenschaften als 'Attribute' definiert. Die Objekte werden in Containern abgelegt, den Organisationseinheiten. Einige Container sind vordefiniert, beliebige weitere sind auch kaskadiert definierbar.

Das Muster, nach dem man vorgeht, wird Schema genannt. Dieses definiert die Objekte und ihre Attribute vgl. Die Domäne bildet die Basiseinheit des AD. In ihr werden die Ressourcen und die Benutzer zu Gruppen zusammengefasst. Im ADS werden die Domänen von sog. Dieser automatische Replikationsaufbau verringert den Verwaltungsaufwand ungemein. Das macht die plattformübergreifende Interoperabilität zu anderen Betriebssystemen möglich.

Weitere Funktionalitäten des ADS werden zum Verständnis dieser Arbeit nicht benötigt, so dass hierauf nicht weiter im Detail eingegangen wird. Dies geschieht durch eine sog. Modul, Seiten ff und zum 4. Zur Verwaltung der Eigenschaftswerte stehen zwei Befehle zur Verfügung: So können Netzwerkressourcen, wie z.

Ab Samba Version 3 ist es mit dem AD kompatibel. Viele Distributionen enthalten Samba als Teil ihrer Standardinstallation, so auch z. Samba besteht aus vielen einzelnen Modulen, die verschiedene Aufgaben von der grundlegenden Funktion bis hin zur Konfiguration und Dokumentation übernehmen, sowie aus drei Haupt-Daemonen Dienste: Netscape zur Sicherung der über das Internet zu übertragenden Kommunikationsdaten entwickelt wurde.

Damit ist die Unabhängigkeit von Anwendungen und Systemen gewährleistet. SSL besteht aus zwei layers Schichten: Nachteil der SSL-verschlüsselten Übertragung ist, dass der Verbindungsaufbau serverseitig sehr rechenintensiv und daher langsamer ist als andere Authentifizierungsmechanismen. Eine Komprimierung der verschlüsselten Daten ist nicht möglich.

Abhilfe schafft hierzu TLS, wobei dies auch nicht gebräuchlich ist vgl. Viele Anwendungen benutzen es, u. Diese enthält Einträge für jeden User. So würde ein Eintrag zu meiner Person wie folgt aussehen: Änderungen der verlangen gleichzeitige Änderungen in allen Programmen.

Zusätzlich gibt es einen ähnlichen Eintrag für die GID. Zu diesen PAM-Authentifizierungsmechanismen gehören u. Im Folgenden werden diese näher betrachtet. PAM beschränkt sich nicht auf die Authentifizierungsmethoden, die Benutzernamen und Passwort benutzen, sondern erstreckt sich auf modernere Alternativen wie z. Die Konfigurationsdateien enthalten dort den Pfad, welche Bibliotheken eingebunden werden sollen.

In diesen können die vier möglichen Management-Gruppen bestimmt werden, die genutzt werden sollen: Mit NIS wurde die Lösung einer zentralisierten Datenbank geschaffen, welche den zuvor in Unix-Systemen vorhandenen Administrationsaufwand verringern sollte eine Änderung zentral würde automatisch die Replizierung auf alle am Server anhängenden Computern zur Folge haben.

NIS ist nun jedoch veraltet und sicherheitskritisch. Aus folgenden fünf Hauptgründen sollte NIS nicht eingesetzt werden bzw. NIS ist bedenklich, da die o.

Eine Erweiterung für andere Einsatzzwecke auch Sicherheitsmechanismen ist nicht möglich. Es sind keine Schnittstellen zu anderen Verzeichnisdiensten vorgesehen NIS ist Unix-spezifisch, nicht plattformunabhängig. Damit ist die Implementierung in anderen Systemen nicht gegeben.

NIS hat einen flat name space. Zur Verwaltung von Benutzerkonten verlässt sich Linux auf zwei Systeme: Bezüglich der Implementierung zu anderen Protokollen, lässt sich sagen, dass NSS unter Kerberos nicht zur Verfügung steht, da keine Schnittstelle implementiert ist, so dass diese Account-Informationen beim Einsatz von Kerberos nicht vermittelt werden können vgl.

Er stellt Dienste für den lokalen Rechner bereit, wie z. Winbind wird über die Datei smb. Jeder Eintrag eines Datensatzes ist mit einem Namen und Typ versehen, so dass automatische Abfragen aus Programmen heraus durchgeführt werden können, selbst wenn ein Datensatz später um zusätzliche Einträge erweitert wird. Bei NIS ist dies nicht der Fall.

Beim Samba-Server müssen diese Einstellungen in der smb. Zwar wird LDAP als ein einfaches engl.: LDAP basiert auf der Definition von sog. Ein Schema ist ein objektorientiertes Konzept, das auch Vererbung unterstützt. Kerberos 24 Schemas, die Objekte mit dessen Attributen definieren, sind z. Ein Objekt hat mehrere Objektklassen, wie z. Man kettet sich nicht an ein proprietäres Protokoll oder einen Hersteller. Die Autorisierung geschieht nicht durch Übermittlung von Passwörtern, sondern durch sog.

Ein Ticket ist ein verschlüsseltes Datenpäckchen, das zwischen den Systemen ausgetauscht wird. Diese werden mit einem Passwort verschlüsselt, wodurch die Gültigkeit des Tickets bestätigt wird.

Die Transaktion soll wie folgt dargestellt werden: Diese verlassen sich auf die Authentifizierung des KDC. Ein Benutzer möchte auf ein Dienst zugreifen. Dieses wird verschlüsselt an den Benutzer übergeben. Beide werden an den Benutzer geschickt, welche das System des Benutzers an den Dienste-Server weiterreicht. Grundsätzlich geht man bei der Vergabe des Ticket-Zeitstempels34 von 8 Stunden aus. Prinzipale35, und Passwörter des ganzen Realms verwaltet.

Weitere Details zur Konfiguration werden unter Punkt 5. Ein Prinzipal bezeichnet die Kennung eines Benutzers oder eines Servers. Ein Anwender wird beispielsweise wie folgt definiert: Das Amt 23 allein hat 3 Produktiv- und einen Testserver für dessen Applikationen. Auf Windows-Seite befinden sich ca. Genutzt wird zur Verwaltung der Benutzer bereits das Active Directory des Windows Server , so dass dieses nicht erst aufgesetzt werden muss.

Das AD ist jedoch nur für Windows-Systeme verfügbar. Die Berechtigung auf Samba-Freigaben wird über Konfigurationsdateien geregelt. Bis jetzt geschieht dies über NIS.

Die Nachteile wurden bereits ausführlich unter Punkt 3. Daher gilt es, NIS abzulösen. Es gibt verschiedene spezialisierte Verzeichnisse mit teilweise redundanten Informationen, die allesamt verwaltet werden müssen. Die Administratoren jeder einzelnen Passwortdatenbank müssen sich Gedanken um eine sichere Passwort-Policy, sichere Transportprotokolle, sichere 36 http: Der Irrgarten aus Import- und Exportskripten, welcher durch die verschiedenen Betriebssystemwelten entstanden ist, ist praktisch nicht mehr wartbar.

Dies wiederum verursacht unnötig Kosten und ist zudem ein Sicherheit. Im DC wird festgelegt: Netzwerkfreigaben sie Zugriff haben Abbildung 4 eigener Entwurf 4. Wie unter Punkt 4. Dies ist bei der weiteren Konfiguration des Kerberos als KDC umso wichtiger, als die Ticketdauer von der Zeit abhängt, die der Server an die weiteren Systeme übermittelt.

Insofern liefert dieser scheinbar unwichtige Aspekt ein hohes Gefährdungspotenzial, wenn hierauf nicht geachtet wird. Eine Abweichung bis max. Daher ist auf Version 3 umzusteigen.

Der Erfolg des Bindungsvorgangs ist davon abhängig, ob die Anmeldeinformationen der Entität akzeptiert oder abgelehnt werden. Bei erfolgreicher Bindung wird die Entität authentifiziert, andernfalls wird die Entität nicht authentifiziert. Kerberos Der zweite Alternativansatz ist Kerberos. Bei den Problembereichen geht es hauptsächlich um Sicherheitsaspekte 3: Kerberos achtet nicht nur auf die Zentralisierung des Anmeldevorganges, sondern —was nicht sicherheitsirrelevant ist- auf eine bestimmte Form der umgekehrten Authentifizierung.

Dies ist die Identitätsprüfung, dass der Server, auf dem der Benutzer zugreift, tatsächlich der ist, den er vorgibt zu sein. So ist sichergestellt, dass der Benutzer seine Daten wirklich auf seinem File-Server abspeichert und nicht auf einem gehackten fremden System. Lediglich Kerberos bietet die Möglichkeit der einmaligen Anmeldung an, für das es keine vergleichbaren anderen Protokolle gibt. Andere Tools ermöglichen eine einmalige 77 Anmeldung, jedoch wird hierbei das Passwort auf der Festplatte gespeichert, was ein potenzielles Sicherheitsrisiko darstellt.

Dies spart nicht nur 1. Weniger nützlich ist es, wenn Benutzer sich hauptsächlich bei ihren Desktop-Rechnern anmelden, ohne häufig auf andere passwortgeschützte Computer zugreifen zu müssen. Bezüglich der Konfiguration und des Administrationsaufwands ist sich die Literatur in dem Punkt einig, dass Kerberos wesentlich einfacher zu konfigurieren und zu implementieren ist.

Weitere Merkmale werden in der u. Implementierung und Umsetzung 5. Diese werden entpackt und mit rpm —i installiert. Es werden bei der Installation folgende Schritte ausgeführt: Nachdem die Konfigurationsdateien krb5. Startskripte für folgende Dienste werden angelegt: Die erfolgreiche Installation kann von einem Windows-Rechner aus mit dem Kommandozeilen-Befehl nbtstat —a Servername getestet werden.

Ist der Servername in der Domäne registriert, so war sie erfolgreich. Die Ausgabe müsste so aussehen: Dies geschieht mit net ads join —l —u Domainadministrator. Bis der Eintrag sich im AD verbreitet hat, muss man etwas warten. Es kann um die 30Minuten dauern. Wird dieser ausgewählt, werden die freigegebenen Laufwerke aufgezeigt. Man kann mit dieser Methode sogar Anmeldungen an der lokalen Konsole sprich: Es wird dringend empfohlen, den files-Eintrag Benutzerkonto root in der Konfigurationsdatenbank des Linux-Servers zu belassen falls diese Zeile gelöscht wird und der Server ausfällt, wird man aus allen Systemen ausgesperrt.

Die Installation auf den Domain Controllern ist wie folgt vorzunehmen: Domain Name Mapping 3. Kalenderwoche nicht installiert werden, da keine Testumgebung aufgebaut werden konnte. Es waren keine Kapazitäten für die Kalenderwochen frei, so dass der Termin verschoben werden musste. So wird ein Testszenario auf virtuellen Maschinen in der Kalenderwoche aufgebaut werden und die Installation auf Funktionalität getestet werden.

Nach dem —hoffentlich erfolgreichen- Test sowohl in der Test- als auch in der Produktivumgebung wird eine Abschlussdokumentation oder auch Problemmitteilung, womit jedoch nicht zu rechnen sein wird gefertigt werden.

Vertragswesen Schulungszentrum Folie 9 Anhang B: Projektplan 82 83 Anhang C: Sie besteht aus zwei Bereichen: Übernimmt man den Defaultwert, ist ein explizites Setzen des Parameters nicht notwendig.

Ohne Unix-Kennung keine Verbindung moeglich! Die Reihenfolge, in der die Module aufgerufen bzw. XStandards Übersicht aus Wikipedia, der freien Enzyklopädie: Auf diesen Verzeichnisdienst kann global zugegriffen werden. Es gibt keine vollständige Implementierung von X. Die Aufgabe als Informationsdienst, für die X. Nur der Standard X. Ein verbreitetes Protokoll, das auf X.

Overview of concepts, models and services X. Use of systems management for administration of the Directory 92 Anhang E: Intranet Access Management] http: Auflage , verlag moderne industrie [Wikipedia-Enzyklopädie]http: KG Aurelia Franco Dipl.

Eine Infrastruktur für die Anbindung internetbasierter Verkaufssysteme stand bisher in unserem Unternehmen nicht zur Verfügung; stattdessen wurden Online-Anwendungen bei Tochtergesellschaften oder externen Dienstleistungsunternehmen betrieben. Darüber hinaus gefährdet die Möglichkeit, von einem entfernten Rechner aus z. Die Bereitstellung von Dienstleistungen im Internet ist also prinzipiell ein Sicherheitsrisiko. Die mit dem Internet verbundenen Server sind für jeden aus dem Internet zugänglich; bösartige Angriffe können aufgrund des Zugriffs der Webapplikationen auf interne Produktionstionssysteme zu Produktionsstörungen, Datenverlust und Datenmissbrauch führen Die Akzeptanz von Internet-Dienstleistungen basiert auf einer hohen Verfügbarkeit, einer schnellen Antwort und Vertrauen in das Medium Internet.

Dies bedeutet, dass Aufträge jederzeit korrekt erfasst und verarbeitet werden müssen. Eine unzuverlässige Bereitstellung dieser Dienstleistung führt zum potentiellen Verlust von Aufträgen und ggf. Ist das Internet-Angebot auch nur für kurze Zeit nicht auffindbar oder bricht der Auftrag auf dem Weg zur Buchung plötzlich ab, ist der Kunde womöglich schon mit einem Klick bereits zur Konkurrenz gewechselt.

Ziel des Projektes ist die Bereitstellung einer zuverlässigen Sicherheitsinfrastruktur Sicherheitsgateway für eBusiness-Systeme bei gleichzeitigem Schutz der Produktionssysteme vor Angriffen aus dem Internet. Die technische Infrastruktur des Sicherheitsgateways wird dabei skalierbar so ausgelegt, dass sie auch zukünftig von ähnlichen Systemen gemeinsam genutzt werden kann.

Zur Absicherung von Netzübergängen wird heute nicht mehr ein einzelnes Gerät verwendet, sondern eine ganze Reihe von ITSystemen, die unterschiedliche Aufgaben übernehmen, z. Paketfilterung, Schutz vor bösartigem Code oder die Überwachung des Netzverkehrs. Es gibt verschiedene Arten, Sicherheitsgateways zu realisieren.

Um festzustellen, welches Konzept für den Einsatzzweck am besten geeignet ist, muss zunächst geklärt werden, welche Sicherheitsziele durch das Sicherheitsgateway erfüllt werden sollen. Das Projekt kann daher grob in folgende Aufgaben gegliedert werden: In diesem Dokument werden das Vorgehen zur Systemauswahl und abstrahiert die grundlegende Architektur des Sicherheitsgateways ohne Nennung von Herstellern und des physikalischen Aufbaus beschrieben.

Zusätzlich muss die IT-Sicherheitsinfrastruktur in der Lage sein, bei Bedarf zukünftig weitere ähnliche Anwendungen zu integrieren.

Da die Anzahl der potentiellen Angreifer und deren Kenntnisstand bei einer Anbindung an das Internet als sehr hoch angesehen werden muss, ist dieses Sicherheitsziel von besonderer Bedeutung.

Mittlerweile sind im Internet Webseiten mit fertigen Exploitskripten zu finden, die Angriffe auf Systeme mit Schwachstellen stark vereinfachen. Dieser Schutzbedarf orientiert sich an den möglichen Schäden, die mit einer Beeinträchtigung der betroffenen IT-Anwendung verbunden sind. Der Durchsatz von Sicherheitskomponenten ist abhängig von den gewählten Sicherheitsrichtlinien.

Aufgrund des ungewissen tatsächlichen Datenaufkommens dieser Applikation und wegen eventueller weiterer zukünftiger Anwendungen muss die technische Infrastruktur skalierbar ausgelegt werden. Da die Infrastruktur zukünftig von weiteren Diensten verwendet wird, gehen wir von einer Ausfallzeit bzw. Entstörzeit von maximal einer Stunde aus1. Dies bedeutet, dass alle Komponenten redundant ausgelegt werden.

Da der Markt für IT-Sicherheit unüberschaubar ist und eine Vielzahl von Anbietern unter beliebigen Produktbezeichungen Lösungen anbieten, wurden unserem Unternehmen bereits bekannte Anbieter von IT-Sicherheitslösungen mit einer Angebotserstellung beauftragt. Sie sollen für die Bewertung der Sicherheitseigenschaften praktisch aller informationstechnischen Produkte und Systeme geeignet sein. Die nach diesen Richtlinien zertifizierten Produkte bilden den Markt an Sicherheitslösungen — für unsere Anforderungen —allerdings nicht aktuell ab.

Als Katastrophenfall zählt auch der gleichzeitige Ausfall von Betriebs- und Backupgeräten. Das Sicherheitsgateway arbeitet als Proxy. Weiterhin könnten Authentisierungen, Verschlüsselungsmechanismen usw. Mit der "Konzeption von Sicherheitsgateways" siehe 0 7.

Für beide Lösungen gelten dieselben Sicherheitsziele und für beide Lösungen wurden die Sicherheitsrichtlinien mit dem Hersteller der Online-Anwendung abgestimmt. Softwarelösungen sind zwar am flexibelsten, unterstützen verschiedene Plattformen und benötigen keine spezielle Hardware, erfordern jedoch viel Expertenwissen und Arbeit für die sichere Konfiguration und den Betrieb; dazu sind sie kritisch abhängig von einem konsequenten Patch-Management der verschiedenen Plattformen.

Weiter droht die Wechselwirkung der unterschiedlichen Komponenten Hardware, Betriebssystem, Anwendungen, Sicherheitssoftware komplex und unübersichtlich zu werden. In diesem Fall existieren evtl.

Die Kosten beider Ansätze waren insgesamt ungefähr gleich, die Appliance-Lösung investiert mehr in Hardware, die SoftwareLösung mehr in Dienstleistung. Bei Systemerweiterungen erwarten wir geringere Folgekosten für die Appliance-Lösung. Die Abbildung zeigt den logischen Aufbau der Sicherheitsinfrastruktur, die tatsächliche Anordnung aller Geräte wird nicht dargestellt; es fehlen Netzwerkkomponenten und Redundanzgeräte siehe auch 0 4.

Die Linkmanager sind in der Lage, Störungen entlang der gesamten Internetanbindung zu ermitteln, wodurch eine zuverlässige und durchgängige Verbindung sichergestellt wird. Im Störungsfall wird der Datenverkehr transparent und dynamisch über weitere verfügbare Anschlüsse geleitet, um eine zuverlässige Verbindung zu gewährleisten. Ein Loadbalancing der ISP ist möglich. Sobald ein Webserver ausfällt, wird dieser Server bei Anfragen nicht mehr berücksichtigt. Eine prinzipielle Lastverteilung auf die vorhandenen Webserver ist möglich, aktuell wird lediglich das Round-Robin-Verfahren angewendet.

Der Datentransfer aus dem Internet zu den Webservern wird verschlüsselt. Um die Datenpakete auf schadhaften Code prüfen zu können, muss der Datenstrom entschlüsselt werden. Der Zutritt zum Rechenzentrum ist nur berechtigten Personen gestattet und möglich. Eine Verteilung der Sicherheitsinfrastruktur und der Zugangspunkte der Internet-ServiceProvider auf zwei Rechenzentren wäre problemlos möglich.

Ein Failover auf das Backupsystem wird im Störungsfall automatisch eingeleitet, ein manuelles Eingreifen ist in der Regel nicht erforderlich. Eine gleichzeitige Störung zweier Geräte bedingt ggf.

Eine redundante Ausstattung der Komponenten innerhalb einer Appliance z. Zur Sicherstellung einer phasenunabhängigen Stromversorgung müssen die Spannungszuführungen der Netzwerkschränke der Produktiv- und der Backup-Geräte auf unanhängigen Phasen liegen.

Über Wartungsverträge ist ein Austausch eines defekten Gerätes spätestens am nächsten Arbeitstag gewährleistet siehe auch 0 5. Fällt ein Switch aus, greifen die Verfügbarkeitsmechanismen der eingesetzten Appliances. Ersatzgeräte werden im Rack montiert vorgehalten. Für die Webserver bestehen ebenfalls Wartungsverträge mit einem Austausch defekter Komponenten am nächsten Arbeitstag.

Mit diesem Zertifikat können sich die Webserver gegenüber den Endanwendern als zu unserem Unternehmen zugehörig ausweisen. Die Klasse des Zertifikats gibt dabei die Vertrauensstufe an; bei Klasse 3 Zertifikaten ist eine persönliche Identifizierung erforderlich, für ein Klasse 2 Zertifikat ist eine Identifikation anhand von Dokumenten Handelsregisterauszug, Antrag ausreichend. Zusätzlich wird der mögliche Anwenderkreis durch Access-Listen auf den Geräten eingeschränkt.

Logdateien befinden sich auf dem ManagementRechner und auf einem Syslog-Server. Alle Systeme synchronisieren ihre Systemzeit mit einem zentralen Zeitserver. Konfigurationsdateien werden vor und nach jeder Änderung gesichert. Aktuelle Konfigurationsdateien werden sowohl bei einem Dienstleistungsunternehmen siehe auch 0 5.

Eine weitere Datensicherung der Systeme ist nicht erforderlich. Die Webserver werden über Images gesichert, alle beweglichen Daten auf diesen Servern sind durchlaufend und bedürfen keiner Sicherung. Alle Systeme laden die benötigten Signaturfiles automatisch von Servern der jeweiligen Anbieter herunter und installieren diese Updates selbstständig.

Erfolgreiche und nicht- erfolgreiche Updates werden protokolliert. Die Kennwörter der Verwaltungskonten befinden sich in einem Safe mit etablierter Zugangsregelung. Aufgrund der Leistungsdaten moderner Appliances ist ein Spielraum für zukünftige unbekannte Anwendungen vorhanden. Die Skalierbarkeit von Appliances ist in der Regel abhängig von der Einsatzart.

Eine Erweiterung der Systemleistung durch interne Erweiterungen z. Speicher, CPU ist in der Regel nicht möglich. Gerade bei einer einfach zu betreibenden Appliance-Infrastruktur Werbespruch: Folgende Restrisiken - aufgeschlüsselt nach den beiden wichtigsten Risikofaktoren Mensch und Technik - bleiben bei der Installation eines Sicherheitsgateways bestehen: Deshalb ist es besonders wichtig, ein Patchmanagement einzuführen, um neu aufgefundene Sicherheitslücken schnell beseitigen zu können.

Trotz automatischer Updates und etablierter Meldewege der Hersteller bei Bereitstellung eines neuen Patches kann nicht ausgeschlossen werden, dass Patchinstallationen versäumt werden.

Zudem ist es bei Übergabe der Verantwortlichkeit an einen anderen Mitarbeiter schwierig, sich in die Funktionsweise des Sicherheitsgateways einzuarbeiten. Absichtliches oder unabsichtliches Fehlverhalten der Nutzer kann den Schutz durch ein Sicherheitsgateway herabsetzen z. Fehlverhalten Der Aufwand für die Gestaltung von Havarie- oder Backup-Systemen kann beliebig hoch sein; hier muss ein Kompromiss zwischen Kosten und Nutzen gefunden werden.

Der Aufbau und Betrieb eines Sicherheitsgateways bedeutet einen nicht unerheblichen finanziellen und personellen Aufwand. Aufgrund fehlender eigener Ressourcen wurde zumindest zu Beginn der Betrieb einem externen Dienstleistungsunternehmen überlassen, um Fehlkonfigurationen zu vermeiden und um im Fehlerfall schnell und zielgerichtet reagieren zu können siehe zum Thema Outsourcing auch die Empfehlungen des Bundesamtes in der Informationstechnik.

Es ist in jedem Fall anzumerken, dass auch bei einer Outsourcing-Lösung das Risiko immer im eigenen Unternehmen verbleibt. Im Wartungsvertrag sind die Zuständigkeiten des externen Unternehmens eindeutig festgelegt, betriebsintern gelten die allgemeinen Regelungen.

Im Wartungsvertrag sind die Aufgaben Softwareaktualisierungen, Signaturupdates, Überwachung, Sicherstellung der Verfügbarkeit, Konfiguration, Dokumentation, Protokollierung aller Tätigkeiten und die einzuhaltenden Reaktionszeiten festgeschrieben. Das Dienstleistungsunternehmen hat Remote-Zugänge, um die übertragenen Aufgaben ausführen zu können.

Aufgrund der räumlichen Nähe unseres Unternehmens und des Dienstleistungsunternehmens ist in der Regel auch ein Arbeiten vor Ort möglich. Alle Tätigkeiten, sowohl des Dienstleistungsunternehmens als auch des eigenen Unternehmens, werden an zentraler Stelle dokumentiert. Die Webserver unterliegen den allgemeinen internen betrieblichen Regelungen. Alle Systeme sind horizontal skalierbar oder bieten interne Leistungsreserven, um zukünftigen Anforderungen gerecht zu werden.

Die Grenzen der technischen Möglichkeiten vgl. Abschnitt 0 sind allerdings stets zu beachten. Ausstehend ist ein umfangreicher Penetrationstest eines unabhängigen ggf. Dieser Penetrationstest kann frühestens nach Abschluss der Anwendungsentwicklung durchgeführt werden.

Abkürzungsverzeichnis Ulrich Haake Dipl. Die Studienarbeit sollte sich aus einem Studienbegleitenden Projekt zum Thema Entwicklung der Grundstruktur und zentraler Elemente eines Sicherheitskonzeptes, dass die jeweiligen Rahmenbedingungen unseres Unternehmens berücksichtigen. Ausserdem wurde in der Vergangenheit mit den heute zur Verfügung stehenden Möglichkeiten in der IT — Branche in Erwägung gezogen bestimmte Arbeitsplätze als Telearbeitsplätze anzubieten.

Aufgrund dieser Aspekte habe ich mich für die Wahl dieses Themas entschieden. Telearbeitsplätze eröffnen die Möglichkeit, Verwaltungs- bzw. Unternehmensfunktionen bedarfsgerecht und wirtschaftlich auszuführen, um so die Bürger- bzw. Kundennähe zu verbessern und die Wettbewerbsfähigkeit zu steigern. Aufgrund der verfügbaren weit entwickelten Informations- und Kommunikationstechnologie eignen sich heute viel mehr Tätigkeiten für Telearbeit als in der Vergangenheit.

So sind Bürotätigkeiten, wie z. Datenerfassung, kaufmännische Tätigkeiten, Sachbearbeitung, Programmieraufgaben, Projektarbeit, aber auch Managementaufgaben, im allgemeinen sehr gut geeignet, um zu Hause, unterwegs oder in speziellen Telearbeitszentren erledigt zu werden. Inzwischen müsste jedem klar sein, dass Mängel in der IT — Sicherheit existenzbedrohend sind. Sie sind verantwortlich dafür, dass Firmennetze lahm gelegt, Daten verloren gehen und das Tagesgeschäft im schlimmsten Fall nicht mehr fortgesetzt werden kann.

Alle Daten müssen vor Verlust der Integrität und der Vertraulichkeit geschützt werden. Diese Grundwerte der IT-Sicherheit werden wie folgt definiert. Integrität bedeutet die Korrektheit und Unversehrtheit von Daten. Die Daten müssen vollständig und unverändert sein. Der Begriff Informationen wird in der Informationstechnik für Daten verwendet, denen je nach Zusammengang bestimmte Attribute wie zum Beispiel Autor, Zeitpunkt der Erstellung oder Änderung zugeordnet werden können.

Daten und Informationen zu sehen, die nur für einen autorisierten Benutzer zugänglich sind. Es sollten alle Daten so geschützt werden, dass sie nicht von Unbefugten genutzt werden können. Verfügbarkeit bedeutet, dass zum geforderten Zeitpunkt Funktionen, Dienstleistungen eines IT - Systems sowie bestimmte Informationen zur Verfügung stehen. In der ersten Stufe sollten zunächst Informationen zu organisatorischen, technischen rechtlichen und wirtschaftlichen Fragen gesammelt werden.

Zudem ist es ratsam zu Beginn des Projekts einen internen Arbeitskreis zu bilden, dieses hilft im Verlaufe des Projektes ungemein, da an den einzelnen Veranstaltungen Erfahrungsaustausch betrieben werden kann und zudem neue Ideen und Kritikpunkte behandelt werden können.

Um die Idee voran zu bringen und eine erste Informationsveranstaltung vorzubereiten. Generell gilt, dass sich die Akzeptanz für Heimarbeit bei Mitarbeitern, Führungskräften und Betriebsrat sichern lässt, wenn alle Beteiligten frühzeitig in den Gestaltungs- und Einführungsprozess mit einbezogen werden.

Problemlage im Unternehmen 4. Aus Sicht der Informationssicherheit ist es die Offenheit der Systeme und die Datensicherheit, sensible Daten werden über öffentliche Netze transportiert. Die Zugangssicherheit, Zugriffskontrolle, Kommunikationssicherheit und Verfügbarkeit aller System muss eine grundlegende Vorraussetzung sein. Es besteht die Gefahr informationeller Entfremdung gegenüber den Kollegen und dem Betriebsrat, der umgekehrt wegen der fehlenden persönlichen Kontakte möglicherweise in seiner Bereitschaft zur Unterstützung beeinträchtigt ist.

Problematisch ist auch, dass es dem Telearbeitnehmer nur schwer möglich ist, seine eigene Leistung mit anderen Kollegen zu vergleichen. Allerdings können sich Probleme durch Unterbrechungen und Störungen zu Hause z. Natürlich wird bei der isolierten und flexiblen Arbeit auch eine wesentlich höhere Anforderung an die Selbstdisziplin und -motivation des Telearbeiters gestellt. Damit verbunden ist auch die Gefahr der zeitweise überhöhten Belastung durch Bereitschaftszeiten und "Leistung auf Abruf".

Hierbei sollte man sich im Vorfeld Gedanken darüber machen, welche Mitarbeiter für den Einsatz von Telearbeitsplätzen in Frage kommen. Vorteile der Telearbeit Die Vorteile der Telearbeit können entsprechend den vielseitigen Einsatzmöglichkeiten sehr unterschiedlich sein. Durch Telearbeit kann die berufliche Tätigkeit nach Hause verlagert werden und somit die Erfüllung der beruflichen und privaten Anforderungen besser vereint werden.

Aufgaben mit hohem Konzentrationsaufwand können in Zeiten mit deutlich ruhiger Arbeitsatmosphäre verrichtet werden. Der Telearbeiter kann Pendelfahrten reduzieren. Deshalb ist es umso wichtiger sich im Vorfeld Gedanken zu machen, welche Tätigkeiten durch einen Telearbeiter ausgeführt werden können.

Technisch relevante Systeme für die Telearbeit 6. Ein weiterer und wichtiger Aspekt ist die Ausfallsicherheit, da das System als Kommunikationsmedium genutzt wird. Durch geeignete Authentifikation kann dies sichergestellt werden.

Die Hardwareausstattung eines Telearbeitsplatzes wird sich mit der eines herkömmlichen im Büro eingesetzten PCs im wesentlichem nicht unterscheiden. Der Vorteil liegt darin, dass keine oder nur geringe Umstellungsprozesse auf die Beschäftigten zukommen. Es muss nur im Vorfeld abgestimmt werden, ob der Einsatz eines herkömmlichen Desktop PCs oder eines Notebooks favorisiert wird.

Anbindung Heimarbeitsplatz an Unternehmensnetzwerk Nachdem im Vorfeld alle Informationen für die Einführung von Heimarbeitsplätzen zusammengeführt wurden und alle Fragen ausgeräumt wurden, wird zunächst eine Übersicht erstellt, in wie fern die Anbindung an das Firmennetzwerk realisiert werden kann. Anbindung Heimarbeitsplatz an das Unternehmen 7. Die Identität des Benutzers muss durch einen Authentisierungsmechanismus bei jedem Verbindungsaufbaue zum lokalen Netz sichergestellt werden.

Im Rahmen des Systemzugangs müssen weitere Kontrollmechanismen angewandt werden, um den Systemzugang für entfernte Benutzer reglementieren zu können. Ist der entfernte Benutzer authentisiert, so muss das System in der Lage sein, die entfernten Zugriffe des Benutzers auch zu kontrollieren.

Dazu müssen die Berechtigungen und Einschränkungen, die für lokale Netzressourcen durch befugte Administratoren festgelegt wurden, auch für den entfernten Benutzer durchgesetzt werden. Generell sollen auch für Daten, die über RAS — Verbindungen übertragen werden, die im lokalen Netz geltenden Sicherheitsanforderungen bezüglich Kommunikationsabsicherung Vertraulichkeit, Integrität, Authentizität durchsetzbar sein.

Der Absicherung der RAS — Kommunikation kommt jedoch eine besondere Bedeutung zu, da zur Abwicklung der Kommunikation verschiedene Kommunikationsmedien in Frage kommen, die in der Regel nicht dem Höchstbereich des Betreibers des lokalen Netzes zuzurechnen sind. Dies gilt insbesondere für RAS — Zugänge, die das Internet als Kommunikationsmedium nutzen, da hier in der Regel keine Verbindungs- oder Bandbreitengarantien gegeben werden.

Die einzelnen Teilnehmer selbst müssen hierzu nicht direkt verbunden sein. Die Verbindung über das öffentliche Netz wird üblicherweise verschlüsselt. Auch wenn diese Protokolle alle das "Tunneling"- Verfahren darstellen, unterscheiden sie sich doch grundsätzlich in der Art und Weise, wie dieses "Tunneling" erreicht wird.

So werden zum Beispiel bei Verschlüsselung und Authentifizierung verschiedene technologische Ansätze gewählt. Dabei haben sich in den letzten Jahren einige Verfahren bzw. Protokolle als viel versprechende Lösungen abgezeichnet.

Zudem gab es Schwierigkeiten beim Verbindungsaufbau mit einem herkömmlichen Benutzerkonto unter Windows. Installation eines Heimarbeitsplatzes unter dem technischen Aspekt Eine gute Möglichkeit zur schrittweisen Installation ist die Erstellung einer Checkliste, damit nicht vergessen wird, zudem sollte eine schriftliche Dokumentation erstellt werden.

Im ersten Schritt wird der betreffende Benutzer als VPN — User auf der Firewall im Unternehmen eingerichtet, dieser entfernte Benutzer muss sich dann vom Telearbeitsplatz durch das vorher festgelegte Kennwort identifizieren. Durch den erstellten Netzplan und die Übersicht aller für den Heimarbeitsplatz technisch relevanten Systeme, kann im Vorfeld festgelegt werden auf welche Dienste der entfernte Benutzer zugreifen kann. Die eigentliche Installation eines Heimarbeitplatz — PCs unterscheidet sich nicht sonderlich von der eines herkömmlichen Desktop PCs, der im Unternehmen eingesetzt wird.

Es erfolgt die eigentliche Installation der Betriebssystems und der eingesetzten Anwendungen. Ausnahmen hier sind, die Installation der lokale Firewall, die für den entfernten Zugriff entsprechend konfiguriert werden muss, die Einrichtung des VPN — Verbindung für den jeweiligen Benutzer und die Einrichtung von Gruppenrichtlinien für den lokalen Benutzer.

Diese anfallenden Kosten werden bei der endgültigen Einführung der Telearbeit vom Unternehmen zu tragen sein. Muss denn wirklich jeder Arbeitnehmer wissen worum es geht? Und was das alles kostet! Alle Mitarbeiter müssen davon überzeugt sein, dass IT-Sicherheit einen wesentlichen Teil des Erfolges der jeweiligen Organisation ausmacht. Ebenso muss allen Mitarbeitern bekannt sein, was von ihnen im Hinblick auf IT-Sicherheit erwartet wird und wie sie in sicherheitskritischen Situationen reagieren sollten.

Dies setzt in vielen Bereichen eine langfristige Verhaltensänderung der Mitarbeiter voraus und kann nur in einem langen und kontinuierlichen Prozess erreicht werden. Einmalige Schulungen oder Sensibilisierungsveranstaltungen reichen hier nicht aus. Informierte und geschulte Mitarbeiter sind Voraussetzungen dafür, dass eine Behörde oder ein Unternehmen die gesteckten Ziele erreichen kann. Es ist sicherzustellen, dass alle Mitarbeiter die Abläufe kennen und wissen, an wen sie sich wenden müssen, falls Sicherheitsfragen auftreten oder Sicherheitsprobleme gelöst werden müssen.

Was ist es aber, vor dem wir uns schützen müssen? Was sind konkret die Bedrohungen? In Deutschland sind an zehn Standorten cirka In Summe international betrachtet sind es insgesamt Alle Zahlen beziehen sich auf den Stand vom Innerhalb des Konzerns übernimmt Konzernführungsgesellschaft.

Er bestimmt unter anderem die KonzernStrategie, legt das Portfolio fest, betreibt das Führungskräfte-Management, verteilt die Ressourcen und ist verantwortlich für das Finanz-Management.

Es nimmt in erster Linie Aufgaben wahr, die auf die Unterstützung der Konzernleitung ausgerichtet sind. Teilkonzerne Drei Teilkonzerne widmen sich künftig verstärkt zukunftsorientierten, innovationsgetriebenen Geschäften, die auf Wissen, Erfahrung und Kompetenz basieren und die hohes Wachstumspotenzial versprechen. Sie sind im Rahmen der vom Konzernvorstand festgelegten Strategien, Ziele und Richtlinien selbstständige Gesellschaften mit weltweiter Geschäftsverantwortung und jeweils einer eigenen Führung.

Servicegesellschaften Zentrale Servicefunktionen sind in den drei Dienstleistungsgesellschaften Business Services betriebswirtschaftliche und administrative Dienstleistungen , Technology Services ingenieurtechnische und technologische Dienstleistungen und Industry Services standortbezogene Dienstleistungen zusammengefasst.

Mit diesem personell kleinem Bereich vier Mitarbeiter habe ich intensiven Kontakt gepflegt und alle Schritte besprochen. Alle Mitarbeiter sind per Mail unterrichtet, haben allerdings keine Betriebsvereinbarung unterschrieben. In der zentralen Unterlage sind auf insgesamt Seiten! Dieses Werk weist ein besonderes Manko aus: Dies ist der zuständigen Stelle wohlbekannt, deshalb hat man sich entschlossen eine Version zu generieren, speziell angepasst für Anwender.

Darin sind dann auf nur noch 24 Seiten die für Anwender relevanten Themen aufgeführt. So haben wir das doch immer schon gemacht! Das ist doch nicht mein Problem! Mein Computer ist sicher, wir sind durch Anti-Virus und Firewall geschützt! Ich gehe nur für 5 Minuten nach eBay, ganz bestimmt! Ich verstehe die ganze Aufregung nicht, es ist doch nie etwas passiert! Und überhaupt, ich kann mir die vielen Kennwörter nicht merken! Und dann auch noch jeden Monat neue! Nee, das geht nicht!

Dies ist aber nicht gelungen. Als die Fortbildung den Vorschlag brachte, Schulungen in diesem Gebiet anzubieten, war man dort hocherfreut! Insbesondere sind Informationen über die entsprechenden Ansprechstellen z. Supportstellen, Verantwortliche der Systeme, Eskalationsstellen für Sicherheitsvorfälle, Fehlfunktionen u. Die betroffenen Mitarbeiter müssen über relevante Konzernregelungen und - prozeduren geschult und informiert werden. Besonders das ITFachpersonal muss in den entsprechenden Themen gut geschult und auf dem aktuellen Wissensstand sein z.

Denn was trifft man im wirklichen Leben tatsächlich an? Im Regelwerk ist klar definiert, dass private Nutzung des Internet nicht erlaubt ist. Schaut man sich jedoch die am Firewall gezogenen Statistiken für einen beliebigen Tag an, erkennt man folgendes: Hier wird offensichtlich viel private Kommunikation über verschiedenste Anbieter web.

Weit oben die Informationsquelle: Ziel Es kommt darauf an, Fahrlässigkeit zu unterbinden und vorsätzliche Angriffe abzuwehren! Ich habe drei Personengruppen identifiziert, die unterschiedliche Einweisungen und Auffrischungen benötigen: Von dort erhoffe ich nach erfolgreicher Demonstration der bisherigen Unsicherheit die Unterstützung, deren Mitarbeiter im Thema IT-Sicherheit fit zu machen. Ich habe einen halbtägigen Kurs entwickelt, der der Teilnehmern sehr drastisch die Unsicherheit aufzeigen soll.

Sie dürfen immer überall alles, jedenfalls technisch. Bei Ihnen soll Unsicherheit abgebaut werden, die entstehen kann, wenn Sie in Gewissenskonflikte geraten. Einerseits haben Sie einen Auftrag bekommen, z. LogDateien auszuwerten, andererseits sehen sie dadurch persönliche Daten anderer. Mit dem ihnen zur Verfügung gestelltem Arbeitswerkzeug wird dann sicherer gearbeitet.

Sie sind informiert, reagieren professionell und ohne Hektik bei einem Schadensfall weil die dann ablaufenden Prozesse bestens bekannt sind. Wie kann die Erreichung des Ziels überprüft werden? Da gibt es mehrere Möglichkeiten: Ich persönlich finde die dritte Möglichkeit am geeignetsten, nimmt sie doch eine Menge Prüfungsangst. Die Schwelle zur Erreichung eines positiven Testabschlusses darf nicht zu hoch liegen, die meisten müssen durchkommen.

Man kann ja eine Preisausschreiben damit koppeln um zusätzlich Interesse zu gewinnen. Ein weiterer Kurs ist speziell für Führungskräfte entwickelt worden, der insbesondere mit prägnanter und intensiver Demonstration der Sicherheitslöcher aufwartet. Verschiedene Wege der gezielten Propaganda wurden ausgewählt: Zunächst war in der Dezember-Ausgabe ein Artikel geplant, wurde aber wegen zu vieler anderer Themen nach hinten geschoben.

Ein Redakteur sollte sich darum kümmern. Der Katalog für das Jahr erschien Ende und wurde an alle leitenden Mitarbeiter verteilt. Darin aufgeführt waren die ersten drei Kurse der oben aufgeführten Liste, die speziellen Kurse für Entscheider sollen später gezielt ausgeschrieben und eingeladen werden.

Hier wird dann der Foliensatz präsentiert und besprochen. Ich kann aus der Erfahrung mit den Folien sagen, dass sie sehr gut beim Publikum ankommen und das Interesse an der IT-Sicherheit steigern. Ein wichtiges Thema sind Kennwörter und deren Nutzung, auch wenn Sie ständig geändert werden müssen.

Schnell hat man ein Dutzend und mehr zusammen. Sich diese zu gegenwärtig zu halten grenzt an Magie! Dann sieht die ausgefüllte Code-Card allerdings auf den ersten Blick mehr als verwirrend aus.

Aus dem Management habe ich mir für die konzipierten Kurse grünes Licht geben lassen. Dort habe ich vorgetragen und ein wohlwollendes OK bekommen. Fazit Mit der Durchführung der Kurse sollte im Februar begonnen werden, der angesetzte Termin wurde aber aus mangelndem Interesse abgesagt, genauso erging es auch dem angesetzten Termin im März.

Dies lässt sich zurückführen auf die Unkenntnis der Anwender bezogen auf die Existenz der Kurse, sie waren bis dahin nur dem Katalog zu entnehmen! Und dies ist entschieden zu wenig Werbung! Da muss noch viel mehr passieren, vgl. Ich habe oft mit den Herren aus der Abteilung gesprochen, mir ihr OK zu verschiedenen geplanten Aktionen geholt z. Beide Seiten haben sich gut verstanden, ein guter Erfolg!

Die Kurskosten sind von mir kalkuliert worden, dass es nicht teurer würde als zum Beispiel ein Grundlagen-Kurs zu Excel. Aber das erscheint mir inzwischen zu teuer, vor allem. Jemand, der vom Excel-Kurs kommt, kann dann Zellen blau formatieren. Aber wie ist das mit jemanden, der von der SicherheitsSchulung kommt?

Der war einen Tag nicht am Platz und denkt nun bei jedem Arbeitsschritt intensiv nach, ob er sicherheitsrelevant ist… Hier ist das Management gefragt, z. Ins gesamt könnten die Kurse vielleicht ein wenig kürzer werden. Das Thema ist ja relativ trocken, da braucht es schon einen guten Entertainer um nicht fad zu wirken. Kürzere Kurse würden auch preiswerter sein… Und wieso nicht als Vortrag in Abteilungsbesprechungen, zu denen man als Gastredner eingeladen wird?

Dazu würde der Inhalt nochmals auf dann 2 Stunden zu verdichten sein. Dies ist von einer anderen Abteilung im Konzern intern sogar schon erfolgreich eingesetzt worden! Damit könnte man die Kurse für Mitarbeiter kostenfrei gestalten.

Sie müssen dann nur die Arbeitszeit investieren. Wer könnte Sponsor sein? Hier denke ich an die oberste Führungsetage! Ein Gespräch mit dem Vorstandsvorsitzenden würde hier Klärung bringen. Aus der Fortbildung des Konzerns sind die ersten Schritte gemacht, Ideen entwickelt worden und auch angefangen umgesetzt zu werden. Der Versuch hat also begonnen! Leider kann ich dieses Projekt nicht weiter begleiten, ich bin im Konzern seit dem 1. März an einer anderen Stelle eingesetzt, bei der ich mit der Fortbildung keinen direkten Kontakt mehr habe.

Hintergrund und Problemstellung In diesem Dokument wird die Einführung einer Verschlüsselung für Daten auf NotebookFestplatten als Teil eines Sicherheitskonzeptes in einem mittelständischen Software- und Beratungsunternehmen konzipiert. Die organisatorische Gliederung besteht vereinfacht aus folgenden Bereichen: Vertrieb, Kundenbetreuer und Unternehmensberater erledigen einen erheblichen Teil ihrer Arbeit Präsentationen, Dokumentationen, Tests, Erstellung von Datenbankauswertungen und -scripten bei den Kunden vor Ort.

Deshalb sind alle Mitarbeiter in diesem Bereich mit Notebooksystemen ausgestattet, während in den übrigen Bereichen hauptsächlich stationäre PC-Arbeitsplätze im Einsatz sind.

Hintergrund ist, dass Tests von Software mit realistischen Daten ausgeführt werden müssen, um z. Allerdings sind die Notebooksysteme während dieser Zeit auch unterwegs im Einsatz und damit höheren Risiken Verlust, Diebstahl, Beschädigung ausgesetzt. Neben den genannten personenbezogenen Daten werden auf den Notebooks auch Informationen verarbeitet, die als Betriebsgeheimnisse einzustufen sind. Informationen über laufende oder geplante Projekte, Verträge oder Vertragsentwürfe, Angebote.

Einer hohen Flexibilität und Kundenorientierung durch kurze Entscheidungswege entspricht ein geringer Formalisierungs- und Standardisierungsgrad: Keine automatisierten Software-Verteil- und Updatemechanismen. Diese Rahmenbedingungen müssen bei der Entwicklung eines Sicherheitskonzeptes berücksichtigt werden. Risikobetrachtung Die Risikobetrachtung wird in diesem Dokument auf das in 0 beschriebene Problemfeld - die Verarbeitung von personenbezogenen Daten und Betriebsgeheimnissen mit Notebooksystemen - beschränkt.

Hier sind an erster Stelle personenbezogene Daten zu nennen. Dabei kann es sich um Daten über die Kunden der Sparkassen handeln, die zu Test-, Entwicklungs- oder Präsentationszwecken die auf den Notebook-Festplatten zeitweise gespeichert sind.

Es kann sich aber auch um mitarbeiterbezogene Daten handeln, z. Entwürfe für die Personalbeurteilung, Arbeitsverträge oder sonstige Vereinbarungen. Weiter sind Betriebsgeheimnisse zu schützen. Dazu zählt neben den bereits genannten Informationen über laufende oder geplante Projekte, Verträgen oder Vertragsentwürfen, Angeboten oder Rechnungen an Kunden auch das Unternehmens-Know How.

Unterlagen wie Konzepte und Analysen, aber auch Informationen über benutzte, eventuell selbst entwickelte Software-Werkzeuge dürfen nicht zur Kenntnis von Mitbewerbern gelangen. Verlust eines Notebooks durch Diebstahl G 5. Diebstahl bei mobiler Nutzung G5. Deren Folge ist ein Vertraulichkeitsverlust schützenswerter Informationen G 5. Ein Vertraulichkeitsverlust kann auch die Folge technischer Defekte, insbesondere defekter Datenträger, sein: Reparatur durch den Hersteller oder Lieferanten landet die defekte Festplatte dann unter Umständen bei einem anderen Kunden.

Als Folge ist für das Unternehmen eine breite Ansehens- oder Vertrauensbeeinträchtigung zu erwarten. Eine Kompromittierung von Betriebsgeheimnissen könnte auch unmittelbar finanzielle Auswirkungen z.

Aufgrund dieser Auswirkungen ist der Schutzbedarf gegen die oben genannten Gefährdungen als hoch anzusehen. Aktuelles Sicherheitskonzept In diesem Abschnitt werden zunächst die technische Infrastruktur und die Organisation der Administration vorgestellt.

Diese Gruppe ist für die Systembeschaffung und -einrichtung zuständig, wie auch für die Administration des Unternehmens-Netzwerks und die zentrale Datensicherung. Auch das Lizenzmanagement für die eingesetzten Softwareprodukte gehört zum Aufgabengebiet der Systemadministrationsgruppe.

Zentral bereitgestellt und administriert werden Fileserver für die Dokumentenablage, Verwaltung von Quellcode und Testdaten sowie den Internetauftritt des Unternehmens.

Client-Systeme werden von der Systemadministrationsgruppe eingerichtet und an die jeweiligen Benutzer übergeben. Hier werden im Folgenden nur die Notebooksysteme weiter betrachtet. Die Ausstattung der Systeme ist unterschiedlich, da die Beschaffung jeweils bedarfsorientiert erfolgt und den gerade aktuellen Stand der Technik und aktuelle Marktangebote berücksichtigt. Es gibt daher keine einheitliche Hardwareplattform. Stattdessen sind Systeme unterschiedlichen Alters mit unterschiedlicher Leistungsfähigkeit und Ausstattung parallel im Einsatz.

Die Benutzer haben lokale Administrationsrechte auf ihrem Client. Bootpasswörter werden nicht genutzt. Die weitere Nutzung der Datenpartition wird individuell durch die Benutzer organisiert.

Insbesondere werden hier auch die eigenen Anwendungen ggf. Zusätzliche Clients und Server für Testumgebungen werden von der Entwicklung fallweise eingerichtet.

Replikation mit dem zentralen Server über Mobiltelefon teilweise oder bei Rückkehr ins Büro. Mit den Notebooksystemen erfolgt kein Zugang in Kunden-Netze. Bei stationärem Einsatz im Büro muss eine Datensicherung auf Fileservern private Verzeichnisse erfolgen, die der täglichen, zentralen Datensicherung unterliegen. Der Virenscanner läuft im Hintergrund und wird automatisch zentral mit Updates und aktuellen Virensignaturen versorgt bei Notebooks nur, wenn diese stationär im Büro betrieben werden.

Aktuelle Warnhinweise und Verhaltensregeln zu Viren, Würmern und anderer Schadsoftware werden von der Systemadministrationsgruppe per Email an alle Benutzer weitergegeben. Bei Auftreten eines Virenbefalls muss die Systemadministrationsgruppe benachrichtigt werden und entscheidet dann über das weitere Vorgehen. Es gibt kein automatisches Softwareverteilungsverfahren. Alle Benutzer werden per Email über neue Updates informiert und müssen dann selbst das Update ausführen.

Wie jedoch in den Abschnitten 0 "2. Sie verhindert, dass beim Verlust von Notebooksystemen wie auch beim Austausch defekter Festplatten, die auf Festplatten gespeicherten Daten unbefugt gelesen und ausgewertet werden können.

Die Verschlüsselung gewährleistet so die Vertraulichkeit der zu schützenden Werte. Beispielsweise schafft die Ordnung ein kontrolliertes Finden, Suchmaschinen hingegen ermglichen eher ein unerwartetes Entdecken.

Die Fragestellung ist daher: Fr welchen Zweck nutze ich die Informationen und welche Anforderungen stelle ich an das Resultat? Solche automatische und nachvollziehbare Vorgnge setzen generell gewisse Konzepte voraus. Agenda und erfasst praktisch smtliche betriebliche Informationen und Prozesse. Das bedeutet, die Aufgabe von Information Governance wird vielfltiger und komplexer in der Umsetzung. In der strukturierten Informations-Welt bieten sich nach wie vor allem die beschreibenden Meta-Daten an, whrend in der unstrukturierten Welt zB.

Zudem bieten die heutigen Suchtechnologien auto-classification, semantic search gut akzeptierbare Resultate bei hochvolumigen Datenmengen an. Wichtig ist sicherlich auch so gut wie mglich die unterschiedlichen Gewohnheiten der Benutzer und Gegebenheiten zu untersttzen. Die einen Benutzer arbeiten lieber organisiert mit Verzeichnissen und die anderen Benutzer wollen gezielt nach Metadaten suchen knnen oder eine Kombination von beiden Arten.

Hersteller wie OpenText bieten diesen blended Approach an und untersttzen somit einen holistischen Ansatz was das Daten-Management in Unternehmungen angeht.

Vor allem die Mglichkeiten MetaDaten aus der strukturierten Welt direkt auch in den unstrukturierten Bereichen nutzen zu knnen stiften einen nachhaltigen Mehrwert. Frage 3 Automatisierung als Zukunft des Records Managements?

Kann man den Flaschenhals der Informationserfassung durch Automatisierung mit z. Welche Qualitt muss die Automation erreichen um mit den bisherigen Erfassungsprozessen konkurrenzfhig zu sein? Oder ist Automatisierung schon besser und verlsslicher als die manuelle Erschlieung, da Fehler dort systemisch passieren und nach dem Erkennen auch automatisiert, durchgngig behoben werden knnen? Ob die Schlagworte dann auch zu dem Kontext passen, in dem ein Dokument oder eine Information steht, ist allerdings eine ganz andere Frage.

In vielen Unternehmen wird das bereits gelebt. Danach wird es etwas unschrfer. Die klassifizierte Eingangspost kann dann ja vielfltige Beziehungen zu anderen Dokumenten oder Vorgngen haben. Wenn wir aber ber Studien, technische Unterlagen, Whitepaper, Antrge etc.

Hier bedarf es weiterer Technologien wie z. Am Ende ist hier aber ein Mensch gefragt, der sein assoziatives Wissen einsetzt, um solche Informationen korrekt zu verschlagworten neudeutsch zu taggen und einzuordnen. Nicht umsonst werden zum Beispiel im Internet immer wieder Aktionen gestartet bei denen Nutzer aufgefordert werden, Bilddatenbnke zu verschlagworten. Das gibt Software so noch nicht her.

Um ein Gesicht in all den Fotos zu finden, ist die Technik aber deutlich schneller als der Mensch. Knftig werden wir hier sicherlich deutliche Fortschritte sehen: Systeme werden automatisch informelle Netzwerke erstellen wie heute schon in Sicherheitsbereichen , aber der Mensch wird noch lange komplexe Situationen lsen mssen.

Dieser Kontext kann ein Vorgang, ein bestimmter Prozessschritt, oder eine Funktion sein. Die Vorteile der Automatisierung lassen sich nicht von der Hand weisen, da die Informationserfassung eine gleichbleibende, verlssliche Qualitt liefert. Davon profitieren alle Bereiche der Records-Management.

Mit wachsendem Volumen nimmt die Qualitt bei manueller Erfassung aber rapide ab und eine Automatisierung der Erfassung wird immer vorteilhafter. Auch angesichts der Kosten arbeitsintensiver manueller Klassifizierung macht es Sinn, Mitarbeiter von Routinettigkeiten zu entlasten, damit sich diese um die Behandlung von Ausnahmen kmmern knnen, wo menschliche Expertise eine qualitativ bessere Einordnung ermglicht.

Datenabgleich und Datenvalidierung lassen sich oft sehr gut automatisieren. Auch eine automatische Klassifizierung ist in den meisten Fllen besser als ein manuelles Einordnen, abhngig vom Homogenittsgrad des Dokumentenguts. In Hinblick auf Records Management lsst sich so beispielsweise die Aufbewahrungszeit automatisch auf Basis der Klassifizierungs-Informationen festlegen. Eventgesteuerte Aufbewahrungsfristen, die sich an fallrelevanten Ereignissen wie z. Versicherungen erleben an dieser Stelle durch die Umsetzung des Code of Conduct, wie eng die Verzahnung sein mu, um Ihre Records entsprechend anpassen zu knnen und auch eine kontrollierte Vernichtung von Daten umzusetzen.

Auf absehbare Zeit wird Automation den manuellen Prozess immer besser untersttzten, aber nicht ersetzten. Dieser Medienwandel wird die verstrkte Automatisierung vorantreiben, da das Web ja auch gewichtige Grundlage der Diskussion Ordnungssystem vs. Das hat auch viel mit Art der Information und der Qualitt der Klassifizierung zu tun gewisse Informationen brauchen hhere Aufmerksamkeit als andere. Hierfr wird es auch in Zukunft immer Fachspezialisten und deren Wissen geben.

Aber gerade die heutigen Mglichkeiten der lernfhigen automatischen Klassifikationssysteme knnen im Bereich von hochvolumigen Daten die Klassifikations-Qualitt bei hoher Entlastung von teurer Arbeitszeit wertvolle Dienste leisten. Dabei ist es wichtig, dass die automatische Klassifizierung ein transparenter, anpassbarer und nachvollziehbarer Prozess ist.

Dies ist auch das Nutzungsmodell, dem Records Management bisher folgt. Kann man heute schon wichtige geschftliche Dokumente wie aufbewahrungs-pflichtige Records oder Vital Records in Cloud-Systemen aufbewahren? Welches Risiko geht der Anwender, wenn er seine wichtigen Unterlagen irgendwo bei einem Anbieter in der Cloud gespeichert hat? Erlaubt die rechtliche Situation in Deutschland berhaupt mit solchen Informationen in die Cloud zu gehen?

Gerade die rechtlichen Anforderungen in Deutschland sind so hoch, dass es sich ein kleines Unternehmen oft gar nicht mehr leisten kann, eine aufwndige eigene Infrastruktur und vor allem die entsprechenden Personal-ressourcen aufzubauen und vorzuhalten. Im Personalbereich beispielsweise ist das Outsourcing von elementaren Daten und Prozessen in Deutschland seit vielen Jahren genau aus diesen Grnden blich.

Anstelle ein eigenes SAP-HR aufzubauen und Sachbearbeiter einzustellen, werden hier kritische Unternehmensdaten zu Dienstleistern ausgelagert und ihnen auch die prozessuale Bearbeitung bertragen. Letztendlich ist es immer eine Frage der rechtlichen Gestaltung von Vertrgen z. Daher ist es grundstzlich erst einmal keine juristische Frage, ob Informationen in die Cloud gespeichert werden. Inwieweit sich Cloud Lsungen heute noch ignorieren lassen, ist eigentlich auch keine Frage mehr.

Cloud-Technologie hat uns bereits berall eingeholt. Allerdings sehen viele Unternehmen, gerade aus dem Mittelstand und gehobenen Mittelstand, ihre geschftskritischen Dokumente und Informationen nicht in der Cloud. Dazu kommt, dass die Public-Cloud-Angebote lediglich der Ablage von Dateien an einem mehr oder weniger unbekannten Ort im Internet dienen. Den Zugriff darauf erfolgt von beliebigen Orten und unterschiedlichen Gerten. Das ist aber nicht ausreichend fr das Management von unternehmenskritischen Informationen.

Firmen mssen fr sich eine mglichst effiziente Nutzung finden. Persnlich gehe ich davon aus, dass den hybriden Lsungen die Zukunft gehrt. Alles was die Kerngeschfte eines Unternehmens betrifft und kritisch fr das Funktionieren ist, wird sich in on-premise Lsungen finden.

Fr den Vertrieb, Support, Marketing etc. Anders wre ja auch der Erfolg von Tools wie Salesforce nicht zu erklren. Der Anwender muss neben den eigenen organisatorischen Voraussetzungen, mit dem Anbieter seines Vertrauens, entsprechende Vertrge und Service-Level Agreements verbindlich vereinbaren. Als Softwareanbieter bieten wir die technischen Voraussetzungen, knnen aber dazu keine Empfehlung aussprechen. Das On-Premise-Modell ist hierzulande noch am hufigsten anzutreffen.

Bei der Entscheidungsfindung zwischen den Deployment-Varianten private, public oder hybrid treten funktionale Anforderungen oft zurck und die Diskussion fokussiert auf das Thema Security. Die Risikobewertung der Cloud-Varianten ist dabei ein sehr interessanter Aspekt. Hier hngt es von der Erfahrung und Infrastruktur des Betreibers ab, ob ein Betrieb im unternehmenskritischen Umfeld sinnvoll erfolgen kann. Zweiter Punkt ist der Speicherort der Daten.

Hier mchte das Unternehmen sicherlich Einfluss nehmen, wo Daten und Backupdaten liegen, z. Letzter Punkt ist das Risiko der Datenmanipulation und des Datendiebstahls z. Dieses Risiko gilt aber bei fairer Betrachtung auch fr On-Premise Lsungen, wenn es Hackern gelingt, ins Unternehmensnetzwerk einzudringen.

Hier ist es wichtig, dass der Anbieter einer Cloud-Lsung aktiv Benutzerverhalten analysiert, Software und Infrastruktur auf dem neuesten Stand hlt und Sicherheitslcken nach Bekanntwerden umgehend schliet. Die Fragestellung fr mich ist: Welchen Zweck verfolgt man mit den Informationen und welche Datenschutz-rechtliche oder geschftskritische Relevanz haben die Inhalte?

Klar ist jedoch, dass cloud-basiertes Records Management bereits praktiziert wird und wohl auch noch zunehmen wird Agilitts-, Kosteneffizienz- und Risikoabwgungs-Grnde sind die mageblichen Treiber.

Dieser muss auch offen genug sein, damit die vollstndige Kontrolle der Daten gewhrleistet ist. Cloud-Lsungen sind in vielen Aspekten sehr attraktiv fr die meisten Unternehmen sind sie jedoch noch nicht durchgngig genug.

Den derzeit besten Nutzen erzielt man daher wohl mit dem hybriden Ansatz. Frage 5 Records Management eigenstndig oder integriert als Komponente? SAP und auf der Portalseite z. SharePoint finden, die immer und unter allen Umstnden versuchen, mit diesen Lsungen alle Anforderungen ihres Geschftes zu erschlagen. Durch die vielfltigen Zugriffsmglichkeiten von der Explorer-Integration ber Mini-Anwendungen, Apps, Webtechnologien bis hin zu Windows Anwendungen gibt es darber hinaus so vielfltige Zugriffsmglichkeiten, dass sich jede Anwendergruppe wiederfindet.

Der Vorteil ist, dass sich hier alle Informationen ablegen lassen, Prozesse bergreifend nutzbar sind und durch die Optimierung der Anwendungen auf die Informationsbereitstellung viel Zeit und Kosten gespart werden.

Ob das Ganze dann in Records, Akten oder anderen Strukturen abgelegt ist, bleibt dem Anwender berlassen. Diese Ausprgungen enden aber oft dort, wo Daten aus anderen Systemen mit zu integrieren sind und intelligente Verknpfungen der Daten notwendig sind. Deshalb ist eine eigenstndiges Records Management System als gemeinsame Plattform wnschenswert um Informationsinseln zu vermeiden.

Damit dies reibungslos funktioniert, ist es natrlich notwendig, einheitliche Kriterien und Regeln fr die Ablage zu definieren. Die Identifizierung und Sicherung dieser Daten gewinnt entsprechend eine grere Bedeutung. Im Hinblick auf eine unternehmensweite Governance ber alle Systeme und Datenquellen - dazu gehren dann auch strukturierte Informationen - bentigen Unternehmen eine separate Lsungskomponente, die eine holistische Betrachtung aller Unternehmensdaten erlaubt.

Auf dieser Ebene werden Retentionzeiten fr die einzelnen Datenquellen zentral verwaltet, Daten-Eigentmer bestimmt, Aufbewahrungsregeln an gesetzlichen oder unternehmens- spezifischen Regeln festgemacht und dann in die Datenhaltungsebene syndiziert.

Beide Anstze knnen zu Inseln fhren und gewisse Abhngigkeiten wird man wohl auch nicht los, solange die Information von der Technologie nicht entkoppelt ist. Dieser Ansatz erlaubt einheitliche und nachvollziehbare Regeln umzusetzen, diese zu berwachen und zu optimieren.

Was muss man tun, damit Records Management einen wirtschaftlichen Nutzen im Unternehmen bringt? Wie muss man es einsetzen und integrieren, damit Information als Wissen in den Prozessen bereitgestellt werden kann? Wie muss man Records Management vereinfachen, damit es alle Mitarbeiter einfach nutzen knnen?

Nach welchen Kriterien kann man berhaupt bemessen, dass Records Management nicht nur wirtschaftlich sondern kostensparend ist? Grundstzlich sparen aber zentrale Informationssysteme immer Zeit und Platz, frdern die Verfgbarkeit von Informationen und bieten eine Absicherung gegen juristische Herausforderungen.

Geld und Zeit werden aber i. Records Management bietet eine Basis fr Prozesse, die personalintensiv, unstrukturiert und hufigen nderungen unterliegen. Dazu muss die eingesetzte Prozess-Steuerung den Kontext kennen und je nach Prozessschritt und Aufgabe die Daten bereitstellen. Die Messbarkeit der Wirtschaftlichkeit kommt ber die Prozessdauer und die Prozessqualitt.

Daher ist es wichtig, Records Management mglichst transparent ins Unternehmen zu integrieren. Wenn ein Dokument beispielsweise im Rahmen eines Geschftsprozesses abgelegt wird, knnen hier die bisher getroffenen Entscheidungen aus den Prozess-Metadaten fr die Bestimmung der Retentionzeiten herangezogen werden.

Ziel muss sein, dass nicht der Mitarbeiter deklariert, sondern der Kontext die notwendigen Metadaten liefert, sodass eine automatische Deklaration im Hintergrund durchgefhrt werden kann. Durch Klassifikation und semantische Analyse kann das System das Dokument besser durchdringen und automatisch neue Metadaten erzeugen. Idealerweise sollte der Mitarbeiter Records Management gar nicht aktiv wahrnehmen. Zudem sind wohl viele Lsungen am Markt in die Jahre gekommen und werden Mhe haben mit wirtschaftlich-orientierten Anforderungen.

Nicht nur in der Technologie sondern auch in der Kommunikation und im Vertrieb. Daher bin ich ganz platt der Meinung, es braucht neue innovative Lsungen, die das Thema frisch erdenken. Wie steigere ich die Online-Effektivitt und Fhigkeit zur Innovation? Qumram positioniert sich daher als Die Big Data Plattform fr verbindliches Aufzeichnen, einfaches Auffinden und Analysieren des gesamten digitalen Kundenerlebnisses ber alle Online-Kanle zur Transformation des digitalen Geschftes.

Damit sprechen wir die Fachbereiche an, indem wir neue Potentiale ermglichen und dabei das Thema Governance als Pflicht und im Dienste der Fhigkeit zur Innovation verstehen. Fr Unternehmen ist es beraus wichtig geworden, den Wert ihrer Daten zu erkennen und richtig einzusetzen. Dabei spielt nicht nur die Compliance, Information Governance und Risikominimierung eine Rolle sondern auch Erkenntnisse und Wissen aus den richtigen Informationen abzuleiten und einzusetzen.

Die Wettbewerbsfhigkeit, Agilitt und Prozessoptimierungen fr Unternehmungen werden dabei nachhaltig untersttzt. Die Kostenfolgen der Aufbewahrung sind nur vordergrndig attraktiver geworden und werden vom schieren Volumen der Datenflut wieder zum Thema.

Des weiteren geht oft vergessen, dass zum Beispiel zwar die Kosten fr 1TB heutzutage massiv gnstiger geworden sind, die Kosten um 1TB Daten bezglich ihrer rechtlichen Relevanz zu untersuchen immens sind man muss sich also aus vielerlei Hinsicht von Daten trennen knnen.

Oft scheitern Projekte bereits bei Mitarbeitern, weil diese die Vorgnge und Werkzeuge nicht annehmen bzw. Die richtige Handhabung der Daten bezglich ihrer Aufbewahrung soll in erster Linie aus dem Kontext, der Prozesse oder aus automatischen Bewertungen bzw. Frage 7 Records Management im Jahr ? Kann da Records Management noch berleben?

Mssen wir Gesetze und Regularien so anpassen, dass es kein Records Management mehr braucht? In welchen Bereichen wird man zuknftig sich noch Gedanken ber die Ordnung von Information machen mssen? Oder wird Ordnung-halten zu einem Grundprinzip, dass endlich von allen Betriebssystemen per se untersttzt wird? Wie wird Ordnung in Zukunft aussehen und funktionieren? Geben Sie persnlich dem Records Management eine Zukunft? Es muss sich so umsetzen lassen, dass der Anwender eine Untersttzung und keine Mehrarbeit erfhrt.

Struktur ist ein Grundelement von Kultur, auch wenn die Physik sagt, jedes System strebt immer zum Status der grten mglichen Entropie. Ich sehe da also keinen Widerspruch. Am Ende ist auch die Google Trefferliste nur eine Struktur. Records Management an die Robotik delegieren, wird also noch aus sich warten lassen. Gerade beim Einsatz von kollaborativen Systemen fllt es immer schwerer, Informationen nachvollziehbar wiederzufinden.

Steht die Information im Blog, habe ich einen Teamraum oder eine Community angelegt, liegt alles in einer Aktivitt oder doch im Wiki, auf dem Abteilungslaufwerk, in der Cloud oder auf meinem Smartphone? Das Teilen von Informationen hingegen wird immer einfacher und geschieht ad-hoc. Dennoch mssen sich Unternehmen bei aller Informationsverteilung fragen: Wo ist mein single place of truth? Welches sind meine unternehmens-kritischen Dokumente, und welches Risiko gilt es im Verlustfall abzusichern?

Welche Aufbewahrungsregeln reflektieren geltendes Recht und nach welchen Kriterien werden diese zugewiesen? Der insbesondere in Europa existierende hohe Anspruch an Datenschutz und Kontrolle wird sich vermutlich in einem hheren Regulierungsgrad manifestieren, wobei der Code of Conduct der Versicherer hier schon einen wichtigen Meilenstein dartstellt.

Die Bedeutung von Records Management hngt auch immer an der Wahrnehmung in der ffentlichkeit. Werden Verletzungen von Aufbewahrungsregeln knftig mit drastischen Strafen der Regulatoren bestraft?

Der Reputationsschaden bei ffentlich gewordenen Regelverletzungen spielt da zuknftig wohl eine immer grere Rolle, angesichts des immer schnelleren Verbreitungsgrades von Informationen mit unbegrenzter Aufbewahrungszeit und glsernen Bewertungen von Unternehmen im Internet.

Fr den Bereich der vitalen Records wird es weiterhin kleine wohlorganisierte Schubladen geben. Fr den wachsenden Rest von Dark Data werden die Schubladen vergrert und automatisch befllt. Fehler bei der automatischen Klassifizierung werden fr den Anwender zuknftig immer mehr durch Verbesserungen bei der analytischen Suche aufgefangen. Die Zukunft des Records Management wird sich immer strker in die neuen Medien verschieben. Allerdings bleibt Ordnung-halten bzw.

Transparenz eine Grundeigenschaft, um eine stabile, aber auch agile Geschftswelt aufrecht zu halten. Der Anspruch der bergreifenden und abschlieenden Schriftgutverwaltung im Unternehmen wird einem mehr spezifischen Anwendungsfall-bezogenen Ansatz weichen.

Zudem ist in den Online-Kanlen der Trend, weg vom statischen Schriftgut hin zu dynamischen Inhalten, womit sich das konventionelle Records Management nach wie vor sehr schwer tut. Aber auch Informationen aus neuen Medien, Diensten und dezentralen Informationsquellen gehren schlussendlich in den Bereich der Unternehmensdaten.

Es muss gelingen, auch diese Informationen unter dem Aspekt der Information Governance zu erfassen und zu managen. Es darf nicht vergessen werden, dass schlussendlich Unternehmen fr Ihr Tun haften und entsprechend die richtigen Daten zur richtigen Zeit bentigen, um sich rechtlich und konform zu bewegen.

Zudem wird es gerade in der Zukunft darum gehen, die wichtigen von unwichtigen Informationen zu unterscheiden und den entsprechenden Nutzen daraus zu ziehen das verschafft Wettbewerbsvorteile und Agilitt fr Unternehmen.

Informationen sind die neue Whrung der Zukunft. Ulrich Kampffmeyer RMK Eine Akte ist nur ein Typ eines Record. Records knnen heute alles sein, wenn der Inhalt aufbewahrungswrdig oder aufbewahrungspflichtig ist. Archivar bereits in digitalisierter Form vorhandene Dokumente, aber auch Papierdokumente, sind redundant an mehreren dezentralen Speicherorten abgelegt nderungen an einer Akte knnen nicht zeitnah allen Beteiligten mitgeteilt werdenFhrungsaufgabe Records ManagementDie beste digitale Aktenlsung sorgt fr Transparenz und OrdnungTypische Probleme unserer Kunden Aufbewahrungsfristen Erhhung der Archivsicherheit durch Zugriffsregelungen z.

Wie kann man dem Anspruch Fhrungsaufgabe am Besten gerecht werden? Welche Rolle kann Technik bei der Untersttzung der Fhrungsaufgabe berhaupt spielen? Aktendeckel mit eigenen und fremden Metadatenhat: Aktendeckel mit eigenen und fremden Metadatenspeichert: Aber gilt es nicht das Records Management ber alle relevanten Informationen aus allen Anwendungen zu bercksichtigen? Aber wieviel Transparenz wollen die Unternehmen? Beide Begriffe sind in Deutschland wenig bekannt wie lassen sie sich besser fassen?

Wird die manuelle Klassifikation vollstndig abgelst? Klassifizierte Dokumente whrend Setup importieren2. Lsst sich die automatische Klassifikation auf alle Arten von Dokumenten anwenden? Was sind die Vorteile bei Vordrucken?

Wie steht es um Handschrift? Hilft der Abgleich mit vorhandenen Stammdaten? Hilft ein Thesaurus oder ClassificationScheme zur Gegenprfung? Oder konkret der Unterschied die Software erkennt einen Fehler die Software denkt es ist richtig, aber fehlerhaftDr. Wir haben uns mit Records Management und Automatischer Klassifikation beschftigt. Was hat dies mit Big Data zu tun?

Anwendungen ohne geschftlichen Nutzen incl. Sind Sozial-versicherungs-nummern in meinen freigegebenen Dateien? Wie konsolidiereich ntzliche Daten? Wie bringt man nun die unstrukturierten Daten mit den strukturierten Daten zusammen? Wie steht es um die Qualitt und Vollstndigkeit der Klassifikation?

Knnen nicht gesicherte Datenbestnde die Qualitt und Zuordnung der unstrukturierten Informationen verbessern? Analyse von 60 TB ber 1. Wir vertiefen das Thema auf der RMK am Bericht zum Records Management Fachtag 6. Links zu weiteren Records Management Informationen 7. So auch die Konzepte der traditionellen Schriftgutverwaltung, des Records Managements.

Beim Records Management geht es darum, Informationen zu bewerten, sie zu ordnen und sie ber lange Zeitrume nutzbar zu halten.

Diese Grundanforderung gilt auch noch heute nur mit welchen Mitteln soll sie umgesetzt werden? Aktuell wird der SMAC-Stack als disruptive Entwicklung gesehen, die alle bisherigen Konzepte der Informationsbereitstellung, -nutzung und verarbeitung ber den Haufen wirft. Stack steht fr die Kombination dieser Technologien, die vllig neue Nutzungskonzepte mit sich bringt.

Automation und Enterprise Search. Automation untersttzt den Anwender bei der Aufbereitung der Information. War Records Management bisher durch die manuelle Eingabe von Metadaten gekennzeichnet, so setzt sich in diesem Umfeld immer mehr die Automatisierung durch. Mittels Erkennungs- und Erschlieungstechnologien werden die Inhalte direkt erschlossen. Vererbung ber Klassenkonzepte erlaubt die Klassifikation der Informationsobjekte.

Der Abgleich mit vorhandenen Stammdaten und die bernahme von Daten aus der Systemumgebung dient zur Verbesserung der Klassifikation. Die Kombination dieser Anstze macht eine manuelle Indizierung bereits heute fast berflssig. Automatisierung verspricht uns eine hochqualitative Erfassung, Ordnung und Erschlieung von Records ohne manuelle Deklaration.

Enterprise Search verspricht uns das wiederfinden aller Informationen ohne sich vorher ber Klassifikation und Ordnung Gedanken machen zu mssen.

Dabei kommen auch Anstze der automatischen Klassifikation zur Verbesserung der Suchergebnisse hinzu. Ebenso wie bei der Erfassung knnen auch bei der Suche Klassifikationstechniken zum Einsatz kommen, die beispielsweise auch ein Suchergebnis in Form von strukturierten Aktensichten anbieten knnen.

Die Akte wird hierbei auf Basis der gefundenen Inhalte gebildet und nicht wie herkmmlich vordefiniert. Jedoch kann durch die Kombination von automatischer Klassifikation mit vorgegebenen Strukturen ein deutlich besseres Ergebnis als bei einer reinen Suche erzeugt werden.

Bigdata Analytics geht noch einen Schritt weiter. Die Inhalte selbst werden analysiert, Beziehungen ermittelt und Profile gebildet um so die bisherige manuelle Definition von strukturierten Repositories zur Verwaltung von Records berflssig zu machen. Die Abbildung einer Form der Organisation von Papierdokumenten in einem physischen Ordner, die in den elektronischen Welt eigentlich obsolet ist. Entscheidend ist, der Mensch braucht um mit groen Mengen an Informationen arbeiten zu knnen, Visualisierungsformen die einfach, bersichtlich und strukturiert sind.

Dies ist der Entwicklung und der Arbeitsweise unseres Gehirns geschuldet und steht in einer mehrtausendjhrigen Tradition. Das Gehirn des Menschen musste schon immer Informationen einordnen, sie klassifizieren und sie bewerten, um mit ihnen optimal arbeiten zu knnen. Dies sicherte unser berleben als Individuum und als Spezies.

Es verhalf uns im darwinistischen Wettlauf zu unserer heutigen Position. Informationen zu verarbeiten und sie andere Mitglieder unserer Spezies weiterzugeben ist die Grundlage unseres Erfolgsmodells. Fr die Weitergabe von Information und Wissen sind Konventionen notwendig, die ein gleiches Verstehen ermglichen.

Die Strukturierung der Information und der Kommunikation war daher schon vor der Erfindung der schriftlichen berlieferung essentiell. Die Menge von Information setzte hier den Vermittlungsprozessen Grenzen, die nur durch Strukturierung berwunden werden konnten.

Die Prinzipien sind immer noch die Gleichen. Groen Informationsmengen ist nur mit Ordnung beizukommen. Dabei spielt es heute keine Rolle mehr, ob diese Ordnung wie bisher von Menschen geschaffen wurde oder ob Maschinen diese Ordnung fr uns erzeugen.

Sie muss lediglich unserem Verstndnis und unseren Nutzungsmodellen entsprechen. Records Management war dabei immer nur ein Hilfsmittel, wichtige Informationen als solche zu erkennen und sie geordnet zum eindeutigen und einfachen Wiederfinden bereitzustellen.

Heute blicken wir auf eine heranrollende Tsunamiflutwelle von elektronischen Informationen, die ohne Ordnung zu schaffen, nicht berschaubar, geschweige denn beherrschbar wre. Die menschlichen Mglichkeiten, der individuellen Bearbeitung, Klassifikation und Wegsortierung sind berfordert. Wir brauchen Softwareuntersttzung, um die Information zu beherrschen. Automatisierung, Auto-Klassifikation, semantische Erschlieung, Enterprise Search, Bigdata und Content Analytics befreien uns nicht von der grundstzlichen Aufgabe, Information zu ordnen, zu bewerten, in Sachzusammenhnge zu bringen und sie situationsgerecht abzurufen.

Wir knnen der Automatisierung nur dann vertrauen, wenn wir die Prinzipien verstehen und die Mastbe fr Qualitt, Richtigkeit usw. Automatisierung bei Eingang und Ausgang von Informationen funktioniert dann am Besten, wenn die Strukturen vordefiniert sind und das Raster bilden, in das dann automatisch einsortiert wird. Die Arbeit im Records Management wird dabei grundstzlich verndert. Aus den Vielen wurden wenige Spezialisten, die die Systeme einrichten, die Strukturen entwerfen, die Qualitt kontrollieren und die Lsungen nachhalten.

Die Rolle des Records Managers muss daher neu definiert werden. Stellt man den klassischen Records Management in Frage kann man natrlich auch Records Management selbst in Frage stellen: Diese Frage muss weiterhin mit ja beantwortet werden. Schon auf Grund der Anforderungen von Gesetzen, Corporate Governance, Compliance und Information Governance brauchen wir fr die wichtigen, aufbewahrungspflichtigen und aufbewahrungswrdigen Informationen eine geordnete Verwaltung, Records Management. Die zu verwaltenden Records stellen nur einen kleinen Teil aller Informationen des, im oder fr das Unternehmen dar.

Eine wichtige Aufgabe ist es daher weiterhin aus der Informationsflut die wichtigen, geschftsrelevanten und aufbewahrungspflichtigen Informationen herauszufiltern. Es geht um die Information selbst. Nun wenn man seine Information kennt, kann man sie auch bewerten: Information lsst sich nur organisieren, wenn man auch diese Unterscheidung treffen kann.

Und hierfr braucht man Ordnung! Diese Mastbe gilt es Systemen beizubringen, so dass sie den Menschen bei der Erfassung aber auch bei der Bereitstellung, dem Suchen und Finden, entlasten knnen. Records Management muss in der Lage heute alle Formen von Informationen, digital direkt, analog referenziert, zu verwalten. Die Anforderungen gehen dabei ber die reine Metadaten-basierte Verwaltung hinaus. Es gilt geeignete Sicherheits-, Reprsentations- und Konvertierungsfunktionalitt zu integrieren, um die Informationsobjekte langfristig stabil, sicher und komfortabel nutzbar zu halten.

Records Management ist daher nicht mehr nur die Verwaltung von Metadaten, Aufbewahrungsfristen und Vernichtung von Informationen sondern die Handhabung des Lebenszyklus der Information. Dabei spielt der automatisierte bergang von beliebiger Information zu einem Record und dessen anschlieende Verwendung bis zur Langzeitarchivierung oder kontrollierten Entsorgung die wichtigste Rolle. Records mssen gemanaged werden. Fr die Strategien, Information beherrschbar zu machen, wird es sogar immer wichtiger.

Allerdings werden bisherige Rollen wie auch die bisherigen Verwaltungsanstze fr Information durch die technologische wie auch durch die gesellschaftliche Entwicklung berholt. Was sind die The Principles? Was sind die PHIGs? Welchen Nutzen haben Maturity Modelle? Was gehrt zu einer Information Governance Policy dazu? Gibt es aktuelles Standards, Richtlinien und Gesetzen?

Was wird neben Information Governance in Zukunft wichtig? Definition Today's explosion of digital information requires organizations to analyze new information faster and make timely and well founded decisions. Definition Information governance is the specification of decision rights and an accountability framework to encourage desirable behavior in the valuation, creation, storage, use, archival and deletion of information.

Definition Information governance addresses how an organisation's information assets are managed to support organisational outcomes. Definition Information governance is a holistic approach to managing corporate information by implementing processes, roles, controls and metrics that treat information as a valuable business asset. Definition Information governance, or IG, is the set of multi-disciplinary structures, policies, procedures, processes and controls implemented to manage information at an enterprise level, supporting an organization's immediate and future regulatory, legal, risk, environmental and operational requirements.

Principle of Accountability 2. Principle of Transparency 3. Principle of Integrity 4. Principle of Protection 5. Principle of Compliance 6. Principle of Availability 7. Principle of Retention 8. Ulrich Kampffmeyer The Principles: Information is an asset 2.

Information has purpose 3. Information has sources and targets 4. Information has deadlines 5. Information has consumers 6. Information carries obligations 7. Information carries risks 8. Information has many forms 9. Information isnt immortal Information hat einen Wert 2.

Information hat Quellen und Ziele 4. Information hat eine Lebensdauer hat Endzeitpunkte 5. Information hat Nutzer 6. Information bringt Verpflichtungen mit sich 7. Information beinhaltet Risiken 8. Information gibt es in vielen Formen 9. Information ist vergnglich Records Management ist eher auf der operativen Ebene eingeordnet, wo es um das Ordnung schaffen und Ordnung halten von Information geht.

PROJECT CONSULT 2 InfoGov und Records Management Information governance is also more of an accountability program to enforce desirable behavior in the creation, use, archiving, and deletion of corporate information Includes the lifecycle management practices to address eDiscovery readiness, information risk management, business information lifecycle management, and federated archiving Defines the roles and responsibilities with detailed metrics and auditing.

Ja Wird es in naher Zukunft wahrscheinlich Rechtsvorschriften geben? Ja Nein Nein Ist die Aufbewah-rungsfrist noch nicht abgelaufen? Nein Wird der Content vom Unternehmen noch bentigt? Nein Ist eine Lschung technisch oder operativ mglich? Cross-Functional and Balanced Roles Legal: Responsible for the overall program, policies, practices, and monitoring program responsibilities Responsible for the coordination and execution of the E-D process discovery event responsibilities. Responsible for working with Legal to establish realistic IM practices for the program, ensuring that current systems can align with program requirements program responsibilities.

Responsible for executing specific technical tasks within the E-D process discovery event responsibilities. Cross-Functional and Balanced Roles Business: Record Retention Leaders or site coordinators are responsible for working with Legal and IT reps to communicate program requirements and expectations to users program responsibilities.

Record Retention Leaders are responsible for monitoring particular custodians activities during E-D discovery event responsibilities. Individual users are responsible for adhering to program requirements program responsibilities , and individual custodians are responsible for carrying out required tasks during E-D discovery event responsibilities. How to be proactive 1. Design Doing day-to-day run-time activities according to some plan versus the plan itself 2.

Pre-trigger What you do after a discovery event has started vs. Overall Program Strategy The overall vision and strategy for litigation readiness. This strategy should address existing visions and strategies for enterprise content management ECM and for records management RM , and should address any gaps that may exist. This strategy should also establish general principles for the level of resources the organization will apply to the program at a high level.

Governance and Operations The governance structure and operational structure s for implementing the litigation readiness strategy. Includes roles, responsibilities, program governance metrics, policies, procedures, and guidelines. Information Organization The manner in which information is organized.

This includes a content taxonomy or organizational hierarchy, a record plan and retention schedule, and a content map of the organizations electronically stored information ESI and content repositories. This can include specialist tools for e-Discovery as well as technologies and capabilities for ECM, records management, and email management.

Because of the ways in which information is capturedand how it flows across the enterprise, everyone has a role to play in how it is governed. Many of the most important roles are played by individuals fairly junior in the organization. They typically play a key role data capture stage and often causeor see-errors on a first-hand basis.

Certain individuals need to be dedicated to IG. The IG approach should define an organizational structure that most effectively handles the complexities of both integration and IM across the whole of the organization.

Of course, there will typically be some degree of centralization as information flows across the business. However, this organizational model need not be a single, hierarchical team. The common standards, methods, architecture, and collaborative techniques so central to IG allow this model to be implemented in a wide variety of models: Organizations should provide assessment tools and techniques to progressively refine these new models over time. An IG program should include a common set of activities, tasks, and deliverables.

Doing so builds specific IM-based competencies. This enables greater reuse of artifacts and resources, not to mention higher productivity out of individuals. It also manifests the commonalities of different IM initiatives across the organization. A common definition of terms, domain values, and their relationships is one of the fundamental building blocks of IG.

This should go beyond a traditional data dictionary. It should include a lexicon of unstructured content. Defining common messaging interfaces allows for easy inclusion of data in motion. Business and technical definitions should be represented and, just as important, the lineage between them easy to navigate.

An IM architecture should be defined for the current-state, transition points, and target vision. The inherent complexity of this initiative will require the representation of this architecture through multiple views. This is done in Krutchens Model. Use of architectural design patterns and common component models are key aspects of good governance. This architecture must accommodate dynamic and heterogeneous technology environments that, invariably, will quickly adapt to new requirements.

An IG approach should be comprehensive in its scope, covering structured data and unstructured content. It should also include the entire lifecycle of information. This begins with its initial creation, including integration across systems, archiving, and eventual destruction. This comprehensive scope can only achieved with an architecture-driven approach and well-defined roles and responsibilities. Organizations should place a very high value on their information assets.

As such, they will view their organization as significantly de-valued when these assets are unknownor poorly defined. An IVA assigns an economic value to the information assets held by an organization. It must also measure whether the return outweighs the cost, as well as the time required to attain this return.

In this vein, current methods are particularly immature, although some rudimentary models do exist. In this case, industry models must greatly improve, much like what has occurred in the past ten years in the infrastructure space. Senior leaders to manage their information, and deal with related issues. CIOs, for example, must face a host of business users who increasingly demand relevant, contextual information. At this same time, leadership teams often blame failures on bad data.

To this end, the quality of data and the systems that produce that data are being scrutinized now more than ever before. CMOs are being asked to grow revenues with less human resources. New regulations around the management of information have prevented many organizations from being effective. Senior leaders must work towards a common goal of improving information while concurrently appreciating that IM is still immature as a discipline.

The bottom line is that there will be some major challenges ahead. In the majority of cases, the most difficult aspect of IM can be stated very simply: The current-state is often unknown, even at an architectural or model level. The larger the organization, the more complex this problem typically becomes. Historical quantification through common architectural models and quantitative assessments of data and content are key aspects of establishing a known baseline.

Only then can organizations move forward. For such a significant task, this assessment must be conducted progressivelynot all at once.

An IG program will need to address complex issues across the organization. Improvements will typically be measured over months and years, not days. As a result, a strategic approach is required. A comprehensive program can be implemented over long periods of time through multiple release cycles. The strategic approach will allow for flexibility to change.

However, the level of detail will still be meaningful enough to effectively deal with complex issues. It is not always cost-effective to fix all issues in a certain area.

An IG program should explicitly plan to revisit past activities. It should build on a working baseline through audits, monitoring, technology re-factoring, and personnel training. Organizations should look for opportunities to release early, release often.

At the same time, though, they should remember what this means from planning and budgeting perspectives. While an IG program involves putting standards in place, it must utilize its inherent pragmatism and flexibility for change. A strong governance process does not mean that exceptions cant be granted.

Rather, key individuals and groups need to know exceptions are occurringand why. The Continuous Improvement approach grants initial workarounds. These then have to be re-factored at a later point in order to balance short-term business priorities.

Measuring the effectiveness of an IG program requires tools to capture assets and performance. Just as application development and service delivery tools exist, organizations need a way to measure information assets, actions, and their behaviors. To support the provision of high quality care by promoting the effective and appropriate use of information.

To encourage responsible staff to work closely together, preventing duplication of effort and enabling more efficient use of resources. To develop support arrangements and provide staff with appropriate tools and support to enable them to discharge their responsibilities to consistently high standards. To enable organisations to understand their own performance and manage improvement in a systematic and effective way.

To provide interpretative advice and guidance To provide NHS organisations with a means of self assessing performance against key aspects of information governance, the toolkit contains a set of six initiatives or work areas as described below.

Here are what we might call and information governance problems: The digital landfill problem We have 50, or , or 1, TBs of documents all over the place in our various systems. How do we sort through it all and responsibly retain or dispose appropriately within our budget constraints? How do we do information governance on our dynamic, sometimes chaotic systems of engagement? They use social media, mobile devices and the cloud. Were feeling our way with some deliberate initiatives to move our business forward - but theyre also growing organically within and outside our organization.

So our problem has three parts: How do we prepare for and respond to litigation and other discovery, given 1 and 2 above? Be clear about what problems any Best Practices were designed to solve and were actually successful in solving. For a first approximation, we might divide history into five problem periods: Recognize that every option worth considering has Pros and lots of Cons. The norm is that few options are excellent, even if executed flawlessly, and no options in ECM or RM are executed flawlessly.

There are always deviations from the roadmap and compromises. So your decision making has to be subtle. You are deciding among options the best of which is good but not great. Or you are choosing the least bad option. Therefore, downsides or Cons to an option are relevant and often important - but they should not kill the option. Objections are just line items in the Cons column of your evaluation, to be weighed first against the Pros and then against all the other contending options.

Define your RM initiative objectives your ends so that they meet your organizations needs and they are achievable. Achievability means that you probably have to reduce the scope from what you might accomplish if you had less restrictive budget constraints, less likelihood of initiative failure, with less negative impact from such failure.

Records management includes both managing a retention schedule policy and executing or enforcing or fulfilling it. Execution today involves doing classification, retention and disposition of the files in a number of ECM systems and other repositories in the organization.

Thats a problem that folks are still wrestling with. Being pragmatic means that you should be creative and rigorous. Neue Standards und RegularienDr. Ulrich KampffmeyerRecords Management Fachtag , GovernanceDer Begriff Governance bezeichnet Standards beziehungsweise spezielle Rahmenbedingungen fr Strukturen und Prozesse der Fhrung, Verwaltung und berwachung brsennotierter Unternehmen.

Gilt auch fr groe GmbHs und andere Gesellschaftsformen. Es ist ein systematisches Verfahren, das in verschiedensten Bereichen Anwendung findet, zum Beispiel bei Unternehmensrisiken Kreditrisiken Finanzanlagerisiken Umweltrisiken Versicherungstechnischen Risiken Technische Risiken.

Risikomanagement fr Organisationen und Systeme: Bei "Compliance" geht es um die "Erfllung", "Entsprechung" bzw. ISO und Konventionen, die klar definiert worden sind. Compliance beschreibt die Einhaltung der gesetzlichen,unternehmensinternen und vertraglichen Regelungen. AuswirkungenGrundstzlich gelten alle gesetzlichen, rechtlichen undregulativen Vorgaben auch in der elektronischen Welt. Hufig sind die Anforderungen de IT-Welt jedoch nochnicht oder nicht direkt enthalten und mssen daheradquat abgeleitet werden.

Es gibt einfach zu viele Records Management Standards. Den aktuellen Zustand der Erfassung und des Managements von Metadaten in Unternehmen oder darber hinaus zuermitteln Prioritten zu setzen was zu bearbeiten ist und wann Hauptanforderungen aus ISO Funktionsanalyse Zerlegen der Funktionen in Prozesse , und 2.

Overview and statement of principles ISO Einheitliche und weltweit geltende Standards Sicherheit und Compliance-Anforderungen entsprechend bei gewissenhafter Anwendung Compliance auf nationaler und internationaler Ebene Untersttzung im Risk Management, sowie im Reputation Management Weniger redundante Informationen im Unternehmen Konsistenter Informationsfluss Weniger Verwaltungsaufwand etc..

Principles and Functional Requirements for Records in Electronic Office EnvironmentsDas Ziel des Standards ist es, global einheitlichePrinzipien und funktionelle Anforderungen anSoftware, die zum Erzeugen und Managen von elektronischen Records eingesetzt wird, zu definieren.

MoReq sollte als europische Empfehlung fr das Records Management bei Dokumenten der Verwaltungen der europischen Mitgliedsstaaten und der europischen Kommission dienen. Eine entsprechende Verankerung in Verordnungen oder Richtlinien ist jedoch nie erfolgt. MoReq wurde im Jahr verffentlicht und seit dem in zahlreiche Sprachen bersetzt. MoReq war nicht durch technische Spezifikationen, einTestverfahren und eine Zertifizierung gesttzt. Die Entwicklung und die Zertifizierung von MoReq2 wurdedefacto eingestellt.

The XSD is for capturing and communicating attribute profiles to permit flexible attribution of certain types of Records Management Objects. Elektronische Schriftgutverwaltung E-Akte einschlielich der elektronischen Langzeitspeicherung und Aussonderung Elektronische Prozessuntersttzung durch: OkeVaDas Organisationskonzept ist nach dem Baukastensystem aufgebaut. Die folgenden Bausteine sind verfgbar: Schriftgutverwaltung die deutsche bersetzung aus der ISO trifft es weder begrifflich noch von der Philosophie noch funktional.

Jedochdas neue Organisationskonzept ist bereits jetzt wieder mit Sonderlocken berfrachtet. Management Autorisierung und Rechenschaftspflicht2. Verfahrensdokumentation um Records zu managen3. Zuverlssigkeitsprfung elektronischer Records gem den gesetzlichen Regelungen4. Produktionsbereitschaft the prime directive 6. Records die erfasst und aufbewahrt sind gem im blichenordnungsgemen Geschftsgang und System Integritt, dies sind die Schlsselstze des Evidence Acts in Kanada7.

Aufbewahrungsdauer und Vernichtung von elektronischen Records8. Backup und Records System Recovery9. Ulrich Kampffmeyer Stuttgart, Records and Records Management Principles: An antelope running wild on the plains of Africa should not be considered a document, she rules. But if it were to be captured, taken to a zoo and made an object of study, it has been made into a document.

It has become physical evidence being used by those who study it. Not only that, but scholarly articles written about the antelope are secondary documents, since the antelope itself is the primary document. What is a document? Definition Record ISO , Part 1 Information created, received, and maintained as evidence and information by an organization or person, in pursuance of legal obligations or in the transaction of business. These attributes separate records from other types of documents and information objects.

Ulrich Kampffmeyer Records Management: Definition Records Management ISO , Part 1 Field of management responsible for the efficient and systematic control of the creation, receipt, maintenance, use and disposition of records, including processes for capturing and maintaining evidence of and information about business activities and transactions in the form of records.

A key element of records management is compliance with legal, regulatory, business, ethical and other requirements. Dedicated classification and declaration of information as record Classification systems, filing plans or other filing structures for organized filing of informations Thesaurus or controlled glossary-based unambiguous indexing of informations Management of Retention Schedules and Deletion Schedules Protection of information according to their qualities, to some extent up to individual content components in records Use of international, industry-specific or at least enterprise-wide standardized metadata that clearly identifies and describes stored business content.

Record Keeping includes the management of information objects with regard to the recent and future regulatory and legal requirements for companies as well as to supporting measures to minimize risks. Records Keeping can be seen as basis for Records Management Source: The senior executive in charge should establish a method to design and implement a structure to support the recordkeeping program.

Governance structure should be established for program development and implementation. Necessary components include an accountable person and a developed program. A recordkeeping program should have documented and approved policies and procedures to guide its implementation.

Auditability enables the program to validate its mission and be updated as appropriate. Integrity of records in a recordkeeping environment should include the following: Correctness of and adherence to the policies and procedures of the organization Reliability of the information management training and direction given to the employees who interact with all systems Reliability of the records created An acceptable audit trail Reliability of the systems that control the recordkeeping including hardware, network infrastructure, and software PROJECT CONSULT Unternehmensberatung Dr.

The duty of compliance affects a recordkeeping system in two ways: The recordkeeping system must contain information showing that the organizations activities are conducted in a lawful manner. The recordkeeping system is itself subject to legal requirements such as requirements to maintain tax or other records.

Know what information must be entered into its records to demonstrate that its activities are being conducted in a lawful manner Enter that information into its records in the manner prescribed by law Maintain its records in the manner and for the time prescribed by law Records Management: Organizations must have the ability to identify, locate, and retrieve the records and related information required to support its ongoing business activities.

These records are used by: Individuals and groups to reference, share, and support their work Legal and compliance for discovery and regulatory review purposes Numerous corporate functions to validate management decisions and account for the resources of the organization.

The retention program is based on the concept that information has a life cycle, which is the time period from the creation of a record to its final disposition. Organizations make retention decisions based on the content and purpose of records.

Retention periods are determined by following these requirements: At the completion of the retention period for an organizations records, the records must be designated for disposition: