Infos zum Start & Grundlagen
EinleitungOrganisation, Kanäle und MixesPosts, Karten & Content TypenRollen für NutzendeCommunity FunktionenMobile Apps & Web AppFunktions-& LeistungsbeschreibungTech StackSupportDatenschutz
Grundlage Datenschutzkonzept(e)NutzungsauswertungVerwaltung Zugangsdaten der NutzendenPersonenbezogene Daten und DatenkategorienInhalte in App und WebAuftragsdatenverarbeiterTOMsInformationssicherheit
Informationssicherheit bei tchopSicherheitsrichtlinie ISO27001 ZertifikatSicherer ZugangSchwachstellenanalyseRisikoanalyseKommunikationsmatrixApp Customization & Deployment
Bereitstellung AppsMobile App Deployment & Vertrieb
App CustomizationApp UpdatesSSO via SAMLSSO via Open ID ConnectAnalytics & Reporting
Grundlagen KPIsAnalytics DashboardProjektsteuerung
Arbeitspakete & TimelineEnablementLaunch & OnboardingBetriebsratBeispiele & VorlagenSonstiges
Feature RoadmapLanguages
EnglishRisikoanalyse
Hintergrund
Unternehmen sollten vor der Einführung einer neuen Mitarbeiter-App eine zumindest einfache, ggf. eine ausführlichere Risikobewertung durchführen, um potenzielle Sicherheitslücken und Datenschutzprobleme zu identifizieren. Durch eine solche Bewertung können Unternehmen sicherstellen, dass das neue App-Angebot den geltenden Gesetzen und internen Vorgaben entspricht und keine sensiblen Unternehmensdaten gefährdet werden.
Darüber hinaus hilft die Risikobewertung, die Kompatibilität der App mit bestehenden IT-Systemen zu überprüfen und mögliche negative Auswirkungen auf die Sicherheit der relevanten internen Systeme zu erkennen. Indem potenzielle Risiken im Voraus erkannt und adressiert werden, können Unternehmen die Sicherheit ihrer Daten gewährleisten und gleichzeitig die Vorteile neuer Technologien effektiv nutzen.
Zu den Kunden von tchop gehören große Unternehmen wie Krankenkassen oder Automobilhersteller. Für diese spielt Informationssicherheit eine zentrale Rolle. Wir haben daher viel Erfahrung mit solchen Prozessen und Abstimmungen. Dabei bringen wir uns auch gerne jederzeit aktiv mit in die Erstellung einer dedizierten Risikobewertung ein, liefern Details und Dokumente und können mit der Erfahrung von vielen solcher Projekte hier oft nützlichen Input liefern.
Formell obliegt die Risikoanalyse natürlich dem Unternehmen und den dort verantwortlichen Abteilungen.
Untersuchungsgegenstand und Assets
Jede Risikobewertung beginnt mit der Analyse des Untersuchungsgegenstands und der relevanten Assets, weil diese der Ausgangspunkt für das Verständnis des Umfangs und der spezifischen Risiken sind, die mit einem bestimmten Projekt, System oder Prozess verbunden sind. Der Untersuchungsgegenstand definiert, was genau untersucht wird, in diesem Falle bspw. der Einführung einer neuen Mitarbeiter App.
Die Assets hingegen sind die wertvollen Ressourcen innerhalb dieses Untersuchungsgegenstands, wie Daten, Hardware, Software, geistiges Eigentum oder auch die Mitarbeiter selbst. Durch die Identifizierung und Bewertung der im Rahmen des Projekts relevanten Assets können Unternehmen verstehen, welche Ressourcen geschützt werden müssen und welche potenziellen Bedrohungen für diese Assets bestehen.
Dies ist ein entscheidender Schritt, um die Sicherheitsanforderungen zu bestimmen und geeignete Schutzmaßnahmen zu ergreifen.
Hier finden Sie beispielhaften Input für die Risikoanalyse einer neuen Mitarbeiter App für mobile Endgeräte und das Web. Dies sind natürlich nur Beispielinhalte, die auf den konkreten Fall, die individuelle Zielsetzung und die genauen Anforderungen hin angepasst bzw. erweitert werden müssen.
Beispiel: Untersuchungsgegenstand & AssetsRisikoszenarien
Ein weiterer wichtiger Schritt ist meist die Analyse von Risikoszenarien und damit verbundenen Prozessen.
Grundsätzlich ist bei der Betrachtung zwischen den mobilen Apps und der Web App zu unterscheiden. Die mobilen Apps bringen dahingehend in der Regel im betrieblichen Umfeld neue Fragestellungen und Herausforderungen mit sich, da sie auch auf privaten Endgeräten installiert werden. Diese Endgeräte werden nicht durch das Unternehmen kontrolliert. Daraus ergeben sich zwangsläufig Risiken, die es zu betrachten gilt.
Bei den mobilen Apps ergibt sich zudem das Problem, dass der Zugriff auf die Inhalte und die tchop Plattform - anders als bei der Web App - nicht über entsprechendes IP Whitelisting geschützt werden kann. Mitarbeitende sollen ja auch ausserhalb des Firmennetzes Zugriff unterwegs haben.
tchop bietet grundsätzlich viele unterschiedliche Optionen und Maßnahmen (bspw. Nutzung der Biometric-ID bei jedem App Start) sowohl den Vertrieb der und den Zugang zu den Apps zu technisch best möglichst schützen. Abgesehen von einer möglichen SSO Anbindung, braucht unsere Lösung eigentlich keine technische Anbindung an ein Unternehmenssystem. Natürlich sind solche Integrationen denkbar, aber aus Sicherheitsgründen kommen sie meist ohnehin nicht in Frage. Prinzipiell sind sie in der Regel aber auch nicht nowendig für den Betrieb eines attraktiven App Angebots.
Hier finden Sie beispielhaften Input für potenzielle Risikoszenarien einer neuen Mitarbeiter App für mobile Endgeräte und das Web. Auch dies sind natürlich nur Beispielinhalte, die auf den konkreten Fall, die individuelle Zielsetzung und die genauen Anforderungen hin angepasst bzw. erweitert werden müssen.
Beispiel: Risikoszenarien (Prozesse)Risikobehandlungsplan
Im letzten Schritt müssen Unternehmen einen Risikobehandlungsplan verabschieden. Dieser Schritt ist entscheidend, da er die Umsetzung konkreter Maßnahmen zur Risikominderung, -übertragung, -vermeidung oder -akzeptanz umfasst. Der Risikobehandlungsplan basiert auf den Ergebnissen der Risikoanalyse und -bewertung und zielt darauf ab, identifizierte Risiken auf ein akzeptables Maß zu reduzieren.
Dies kann die Implementierung bestimmter Sicherheitsmaßnahmen bei der Zugagnskontrolle, die Änderung von Geschäftsprozessen, Schulungen für Mitarbeiter oder die Einführung zusätzlicher Sicherheitsrichtlinien und -verfahren umfassen. Jede ausgewählte Maßnahme sollte darauf abzielen, die Wahrscheinlichkeit eines Risikoereignisses zu verringern oder dessen potenzielle Auswirkungen abzumildern.
Hier finden Sie beispielhaften Maßnahmen zur Risikobehandlung. Auch dies sind natürlich nur Beispielinhalte, die auf den konkreten Fall, die individuelle Zielsetzung und die genauen Anforderungen hin angepasst bzw. erweitert werden müssen.
Beispiel: RisikobehandlungsplanNatürlich bringen wir uns mit der Erfahrung der Einführung vieler unternehmensinterner Lösungen jederzeit aktiv mit in diesen Prozess ein. Dabei sind wir zuversichtlich, dass sich ein passender, effizienter Weg für Ihr Unternehmen finden lässt.