Good Contents Are Everywhere, But Here, We Deliver The Best of The Best.Please Hold on!
Your address will show here +12 34 56 78
Allgemein, Microsoft
Wir sprechen mit unserem Head of Customer Success Center und Microsoft MVP Thomas Pött über Veränderungen im IT-Sektor. Den zweiten Teil finden Sie hier.

 

Was auch angesichts des Fachkräftemangels wohl ein lohnender Ansatz ist.

Genau. Man nimmt das Minimal-Maximal-Prinzip als Ansatz. Also die Zielsetzung, dass wir mit dem geben Aufwand oder Personalstamm produktiver werden und einen höheren Output erreichen.

Dadurch muss sich ein IT-Systemhaus aber stärker an die Produzenten der Software und Hardware binden. Entsteht dadurch nicht ein Risiko?

Auf jeden Fall. Es wird immer mehr erforderlich, dass die Consultants die Technologien verstehen, die Technik aber nicht mehr in den Vordergrund stellen, sondern die Anwendbarkeit auf Businessprozesse herausstellen. Das Risiko heutzutage ist, dass Mitarbeiter unter Umständen an den Anforderungen des Business-Prozessconsulting scheitern. Das heißt, dass sie nicht das Verständnis aufbringen, wie Technologie Businessprozesse unterstützt und sie dadurch nicht die Kapazität oder Möglichkeit haben, in die höherwertigen Services einzusteigen.

Ich habe dafür ein schönes Beispiel: Während früher Telegramme von einem Reiter übermittelt wurden, und ich als Nachrichtenübermittler reiten können musste, musste ich irgendwann morsen können, ein Telefon bedienen, E-Mails schreiben und so weiter. Ich muss meine Komfortzone verlassen wollen und offener werden, um neue Vorgehensweisen sowie neues Verständnis für den Kunden und sein Potenzial mitzuentwickeln. Es wird Mitarbeiter geben, die womöglich auf der Strecke bleiben, weil ihnen Grundlagen im Verständnis für das Prozessmanagement fehlen.

Das ist aber eher ein internes Risiko. Wie sieht es denn mit dem externen Risiko aus? Ich binde mich an einen Hersteller und bei diesem entstehen Probleme, wie zum Beispiel Datenschutzlecks oder eine Software, die nicht in Ordnung ist. Wie kann ich solche Risiken abfedern?

Das ist eine ziemlich kritische Frage. Sollte einer dieser Hersteller dieses Problem wirklich haben, würde er unter Umständen daran sogar pleitegehen können. Wenn wir aber sehen, dass diese Hersteller aufgrund der Standardisierung sehr viel Marge realisieren, die sie in Sicherheit und Stabilität zurückinvestieren, dann haben sie auch verstanden, dass deren ganzes Businessmodell gefährdet ist, wenn wider Erwarten ein Sicherheitsrisiko auftritt. Dadurch ist einer der Kernprozesse dieser Anbieter, alles Menschenmögliche zu tun und große Summen Geld zu investieren, um Sicherheit zu gewährleisten. Aus meiner persönlichen Sicht ist das Risiko daher gering.

Wenn man sich vor Augen führt, dass Microsoft pro Jahr rund 1,5 Milliarden US-Dollar für Sicherheit aufbringt, ist in Summe damit viel mehr Geld in Sicherheit investiert, als es viele kleinere Einzelunternehmen tun könnten. Diese Sicherheit kommt allen zugute und daher ist die Chance, dass dieses Risiko eintritt, in einem minimalen Rahmen. Auch aufgrund der Ausfall- und Sicherungsmechanismen, ist ein Totalausfall unwahrscheinlich.

 

Nehmen wir an, viele IT-Unternehmen greifen die Argumentation auf und wandeln sich zu einem Channel-Partner. Besteht dann nicht die Gefahr, dass es zu einer Oligopolisierung des Marktes kommt, der am Ende nur von zwei bis drei großen Playern bestimmt wird?

Ja, das kann passieren, wobei es Innovationen gibt, da es ein Verdrängungswettbewerb ist. Aber es bietet auch wesentlich größere Möglichkeiten, in einem Nischensegment zu wachsen und individuelle neue Lösungen oder Technologien zu positionieren. Diese haben dann die gleiche Vielfalt, wie es sie im traditionellen IT-Business auch in der Vergangenheit gab. Genauso wird es auch in der cloudbasierten Welt sein. Es ist ein interessantes Thema. Man hat immer gesagt, dass Arbeitsplätze und Technologien verschwinden werden. Aber die Innovationen der letzten 100 Jahre haben kontinuierlich gezeigt, dass immer etwas Neues entstanden ist, wenn an einer anderen Stelle etwas verschwand.

Den nicht eingetretenen Wegfall von Arbeitsplätzen durch die Automatisierung könnte man aber auch damit begründen, dass gleichzeitig die Dienstleistungsbranche gewachsen ist und somit viele neue Arbeitsplätze entstanden. Bist du überzeugt, dass sich solche Möglichkeiten weiterhin ergeben werden?

Ja, die werden sich immer ergeben. Die Menschheit entwickelt sich weiter. Ich glaube, dass im Prinzip jeder Mensch das Potenzial hat, andere Arbeiten auszuführen. Wenn man überlegt, dass wir im Schnitt nur 40 Jahre arbeiten, dann ist das nicht wirklich viel. Es wäre etwas Anderes, wenn wir 100 oder 200 Jahre arbeiten müssten. Aber so ist es eine relativ kurze Zeitspanne im Leben, sodass hier immer wieder innovative Ideen nachkommen werden. Es gibt keinen Bereich, in dem man sagen würde, dass man das damals mit der Automatisierung der Industrie schon gehabt hätte. Früher haben hunderttausende Menschen nicht an Maschinen, sondern von Hand gearbeitet. Später kamen größere Maschinen hinzu, die hunderte bis tausende von Mitarbeitern ersetzt haben. Trotzdem gab es neue Beschäftigungsverhältnisse und das wird immer so bleiben. Ich glaube nicht, dass da ein Ende in Sicht ist. Das wäre sehr unrealistisch.

Um das zusammenzufassen: Es kann sein, dass es zu Oligopolen kommt, aber es eröffnet auch gleichzeitig Nischen für Unternehmen, um dieses Oligopol wieder aufzubrechen?

Absolut. So wird es passieren. Man sieht es auch an den großen Industriefirmen. Die große Firma Siemens, mit vielen Mitarbeitern und Geschäftsfeldern, wird immer kleiner, obwohl es eine der größten Marktmächte war. Genauso ist es zum Beispiel bei Mitsubishi oder ähnlichen Unternehmen. Es wird etwas absterben, aber es bilden sich andere Firmen, die in diesem oder einem neuen Tätigkeitsgebiet ansetzen. In zehn oder zwanzig Jahren wird es wieder Firmen in neuen Segmenten geben, die auch Microsoft, Google oder HP überholen werden.

 Der letzte der vier Teile über die Zukunft der IT-Firmen erscheint hier in einer Woche.

0

Allgemein, Microsoft

Wir sprechen mit unserem Head of Customer Success Center und Microsoft MVP Thomas Pött über Veränderungen im IT-Sektor. Den ersten Teil finden Sie hier.

 

Warum muss es sich denn wandeln?

Unternehmen boten Business-Prozessberatungen an und haben damit Unternehmen optimiert. Da wir heute aber standardisierte Applikationen und Softwareangebote aus der Cloud nutzen können, müssen wir den Kunden hinsichtlich seiner Prozesse beraten.

Deutlich wird es am Beispiel eines Modern Workplace. Ein Modern Workplace bedeutet viel mehr, als nur Office365 zu nutzen. Es beinhaltet auch, dass Büroräume angepasst und Mitarbeitern kreative Freiheit gewährt wird. Diese Freiheiten müssen in einem Prozessrahmen von der Unternehmensberatung angepasst werden, damit das Unternehmen aus den hierarchischen Strukturen ausbricht und die Kreativität sowie Flexibilität der Mitarbeiter im Sinne der Zielsetzung des Unternehmens – also des primären Businessprozesses – flexibel genutzt werden kann. Um diese Prozesse im Unternehmen umsetzen zu können, muss ein IT-Systemhaus diese Beratung leisten und sollte dabei nicht mehr die Soft- oder Hardware in den Vordergrund stellen. Wobei ich dabei in der Regel schon nicht mehr von Hardware spreche. Hardware unterstellt sich diesen Prozessen.

Inwiefern ergeben sich daraus aber Wachstumsmöglichkeiten für ein Systemhaus?

Das Wachstumspotenzial ist nicht mehr durch einen er-kam-sah-und-siegte-Prozess getrieben. Das heißt, dass man etwas beim Kunden begonnen, es umgesetzt und installiert hat und der Kunde danach versucht, es am Leben zu erhalten. Heute ist die langfristige Bindung nach dem OPEX-Modell relevant. Somit ergibt sich ein regelmäßiges Bezahlen, um Innovationen, die innerhalb dieser standardisierten Offerings geboten werden, beim Kunden in neue flexible Businessprozesse oder -modelle zu installieren.

Das ist zwar eine Handlungsoption, erklärt aber noch nicht konkret die Wachstumsmöglichkeit.

Ja, die Wachstumsmöglichkeit entsteht durch die Chance, mit langfristigen Kundenbeziehungen kontinuierliche Einnahmen zu kreieren. Damit kann in ein Replikationsmodell eingestiegen werden: also nicht nur ein Projekt, das heute 100.000€ einbringt, abgeschlossen ist und sechs oder sieben Jahre keine weiteren Umsätze schafft. Heute werden fortlaufend kleinere Bereiche beim Kunden umgesetzt, die in Summe durch das kontinuierliche Engagement mit dem Kunden mehr Marge und Umsatz ermöglichen.

Daraus ergeben sich aber sicher auch Änderungen in der Herangehensweise an den Kunden.

Sowohl der Vertrieb als auch das daran angeschlossene Customer-Success -Management müssen in Zukunft die Rolle des Trusted Advisors einnehmen. Das heißt, Vertrauen auf einer anderen Ebene mit dem Kunden aufzubauen, sodass – basierend auf langfristigen Engagements mit dem Kunden – Verbesserungen der Arbeitsprozesse bei ihm angegangen, analysiert und umgesetzt werden können. Auch ein Vertriebsmitarbeiter muss verstehen, dass er dem Kunden nicht mehr ein Produkt, sondern das Vertrauen verkauft und dass die Berater und Lösungen, die wir im Portfolio haben, genau diese Veränderungen und Optimierungen in den Businessprozessen beim Kunden maßgeblich unterstützen. Diese Optimierungen setzen bei Kunden mehr Zeit und Kapazitäten frei, um mit dem gegebenen Mitarbeiterstamm mehr zu produzieren.


Der nächste der vier Teile über die Zukunft der IT-Firmen erscheint hier in einer Woche.

0

Allgemein, Microsoft

Wir sprechen mit unserem Head of Customer Success Center und Microsoft MVP Thomas Pött über Veränderungen im IT-Sektor.

Hallo Thomas, schön dass du Zeit hast. Fangen wir doch ganz grundlegend an. Was ist für dich ein Channel-Partner?

Ein Channel-Partner fokussiert insbesondere auf Kundensegmente und versucht, Leistungen in diesem Segment zu positionieren und dort auch breit zu streuen.

Wo ziehst du die Grenzen zwischen einem Channel-Partner und einem klassischen Vertriebspartner?

Das ist eine schwere Frage, die nicht so leicht zu beantworten ist. Ein Vertriebspartner vertreibt dedizierte Lösungen von einem Hersteller. Der Channel-Partner ist eher eigenständig und veredelt Lösungsansätze, um diese – versehen mit Mehrwerten – in einem breiten Segment zu positionieren.

Welche Vorteile kann der Wandel zu einem Channel-Partner für ein IT-Systemhaus mit sich bringen?

Die Vorteile liegen besonders im Ansatz des Trusted Advisors. Ein Channel-Partner baut über den sogenannten breiten Lösungsansatz für und mit dem Kunden einen Bereich neu auf, indem der Channel-Partner die Business-Transformation und Businessprozesse des Kunden betrachtet. Diese befüllt der Channel-Partner mit standardisierten Lösungen. Er wird dadurch eher zu einer Unternehmensberatung. Dabei werden Prozesse des Kunden beleuchtet und optimiert, um hier die Bedarfstransformationen einzelner Fachbereiche mit den standardisierten Lösungen und Prozessen schnellstmöglich bedienen zu können.
Ein Trusted Advisor ist in diesem Zusammenhang ein Kundenberater, der auf einem hohen professionellen Level anstrebt, den Kunden ganzheitlich zu verstehen und ihn ermutigt, neue Wege zu gehen. Er gibt dem Kunden Ideen, Prozesse anzupassen oder zu flexibilisieren. Er ist die Person des Vertrauens, um die Schaffung der Flexibilität im Unternehmen auch mitgehen zu können. Deswegen ist der Trusted Advisor auch das Bindeglied zwischen den Fachabteilungen und der Geschäftsführung beim Kunden. Er ist es aber auch, der die IT unterstützt und ermutigt, neue Wege zu gehen. Auf der Seite des Channel-Partners ist der Trusted Advisor das Bindeglied zwischen Vertrieb, Delivery und der Business-Developement-Unit. Er muss eine hochinnovative und sehr kreativ denkende Person mit dem entsprechenden menschlichen Einfühlungsvermögen sein. Um nicht zu sagen: eine eierlegende Wollmilchsau.

Der Begriff des „breiten Lösungsansatzes“ ist schwer greifbar. Kannst du ihn bitte erklären?

In einer Cloud gibt es Standardangebote, die in einem festen Rahmen nutzbar sind und dennoch Flexibilität bieten, um die Anforderungen der Prozesse aus den einzelnen Fachabteilungen des Kunden maßgeblich realisieren zu können. Schauen wir uns die Fachabteilungen eines beispielhaften Kunden an: eine Personalabteilung hat andere Prozesse und Anforderungen, die mit standardisierten Cloudlösungen abgedeckt werden müssen, als eine Entwicklung oder Produktionsstrecke.

Betrachten wir aber nochmal die IT-Handels- und –systemhäuser, bei denen potenziell eine Transformation ansteht. Wie sieht es hierbei mit Besonderheiten aus?

Im klassischen Sinn handelte ein IT-Handelshaus mit Hardware, wohingegen der Wandel zum typischen Systemhaus schon der nächste Schritt war und Hardware mit Software bestückt wurde. Das passierte auf der Basis von bestimmten Backoffice- und ERP-Systemen, um diese an den Kunden zu verkaufen und möglichst individuell anzupassen. Allerdings immer mit der Einschränkung, dass das Unternehmen sich dem Standardprozess dieser Software unterordnet. Nach diesem Prinzip funktionierte ein klassisches Systemhaus. Irgendwann gab es Consultants, also Berater und dieser Berater erklärte den Kunden, wie Systeme technisch aufgesetzt werden. Der Wandel heute bedeutet, dass sich ein Systemhaus mehr zu einer Unternehmensberatung verändern muss. Dieser geht vor allem mit Anforderungen an Softwareentwickler einher. Sie sind notwendig, um spezialisierte sowie auf Cloud-Technologien basierende Applikationen zu entwickeln und somit den Businessprozess zu unterstützen. Hier ist besonders zu erwähnen, welchen Mehrwert künstliche Intelligenz, maschinelles Lernen und BOTs für Kunden bieten.


Der nächste der vier Teile über die Zukunft der IT-Firmen erscheint hier in einer Woche.

0

Microsoft, Security

Ab dem 25. Mai wird in diesem Jahr wird eine neue Verordnung angewendet, die den Umgang mit personenbezogenen Daten neu regelt. In dieser Serie werden wir einen Ausschnitt der neuen Regelung vorstellen. Anschließend werden diese mit praktischen Tipps und Hinweisen zu hilfreichen Werkzeugen ergänzt, damit der Umstieg auf neue und gesetzeskonforme Arbeitsabläufe gelingt.

Teil 3: Transparenz als ein Grundsatz der DSGVO

Gerade die Artikel der DSGVO, in welchen von den Verantwortlichen Transparenz gefordert wird, halten für Unternehmen Stolpersteine bereit. So zum Beispiel der Artikel 12, welcher Unternehmen verpflichtet, allen von der Datenverarbeitung betroffenen Personen eine Vielzahl von Informationen in Bezug auf die Datenverarbeitung „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“ (Art. 12 Abs. 1). Die Auflistung der weiteren Informationen, die betroffenen Personen zugänglich gemacht werden müssen, sind in der DSGVO ebenfalls aufgelistet (vgl. u.a. Art. 13, 14, 15 DSGVO). Das hat zur Folge, dass es stets durchführbar sein muss, in einfacher Form aus großen Datensätzen oder Datenbanken spezielle Informationen zu isolieren, exportieren und der betroffenen Person zur Verfügung zu stellen. Zur Erinnerung: Auch dieser Vorgang fällt wieder unter die Dokumentationspflicht und muss daher nachvollziehbar ablaufen. Anschließend muss eine Konvertierung der Daten in ein für Laien lesbares Format erfolgen (vgl. Art. 20 Abs. 1), da nicht einfach ein unformatierter Datenbankauszug versendet werden kann. Hierbei entstehen für Firmen enorme Zeitaufwendungen, falls sie unvorbereitet mit vielen Anfragen konfrontiert sind und noch kein System zur einfachen Abarbeitung dieser Anfragen einsetzen. Alle diese immer wiederkehrenden Workflows müssen maschinell ablaufen, da sie zu viel Arbeitskraft erfordern, wenn jeder Schritt von Mitarbeitern einzeln auszuführen ist. Der Zugriff betroffener Personen auf Ihre Daten darf ebenfalls nicht behindert werden. Es ist im Gegenteil explizit die Pflicht zur Erleichterung des Zugriffs vorgeschrieben, der nur in Ausnahmefällen verweigert werden darf (vgl. Art. 12 Abs. 2).

Datensicherheit trotz bekannter Lücken

Ein zusätzlicher mit Problemen behafteter Punkt ist das Thema Sicherheit. Besonders durch die jüngsten Sicherheitslücken bei Prozessoren („Meltdown“ und „Spectre“), von denen fast alle Geräte betroffen sind, zeigen sich auch in der öffentlichen wie medialen Diskussion die Hürden bei der Etablierung sicherer Systeme. Die DSGVO erklärt jedoch ein „angemessenes Schutzniveau“ (vgl. Art. 32 Abs. 1 DSGVO) für personenbezogene Daten zur Pflicht. Schluderige Sicherheitssysteme riskieren daher nicht mehr nur den Ruf von Firmen, sondern stellen auch explizit einen Gesetzesverstoß da. Unternehmen sollten daher allerspätestens jetzt über die Implementierung geeignete Sicherheitssysteme nachdenken und diese so bald wie möglich in ihre Infrastruktur integrieren und dann gemäß üblicher Standards und den Regeln der DSGVO stets auf dem aktuellsten Stand halten (vgl. Art. 3 Abs. 1d DSGVO).

Der nächste Beitrag erscheint in einer Woche zur gleichen Uhrzeit.

Haftungsausschluss
Dieser Beitrag dient der Darstellung technischer Lösungsmöglichkeiten, er berührt aber auch juristische Problemstellungen. Es stellt ausdrücklich keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.
Die im Rahmen dieses Beitrags zur Verfügung gestellten Informationen halten wir nach Möglichkeit vollständig und aktuell. Wir können jedoch keinerlei Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen geben.
Der Beitrag kann jederzeit und ohne vorherige Ankündigung geändert, ergänzt oder gelöscht werden.
Falls der Beitrag direkte oder indirekte Links auf die Onlineangebote Dritter enthält, so übernehmen wir weder eine Verantwortung für den Inhalt dieser Angebote, noch für deren Richtigkeit, Aktualität oder Vollständigkeit. Wir haben keinerlei Einfluss auf den Inhalt oder die Gestaltung der Onlineangebote Dritter, daher liegt die Verantwortung für den Inhalt eines solchen Angebots stets bei dessen Betreiber bzw. Anbieter.
0

Cloud, Microsoft

Immer wieder erleben wir als IT-Dienstleister, wie viele unserer Kunden mit sich ringen, wenn es um das Thema Cloudservices geht. Viele scheinen die betriebswirtschaftlichen Benefits von Office 365 und Microsoft 365 nicht genau zu erkennen. Umso schöner, wenn Kunden nach ihrer eigenen Analyse mit dem Wunsch auf Implementierung von selbst auf uns zu kommen. Ein besonders erzählenswertes Beispiel, ist das eines Administrators (39) aus einem mittelständigen Verlagshaus:

Als gestresster Europäer bin ich in dieses kleine Bergdorf am Fuße des Himalayas gekommen. Kein Handyempfang, kein Netz, keine Supporttickets – nur die alte Meditationsglocke des Klosters bestimmt den Rhythmus der Tage und das Rufen der Mulis stört hin und wieder die ausgedehnte Stille. Heute dann das erste Gespräch mit dem alten Meister. Aus seinem Gesicht lachten mir kleine wache Augen zwischen den unzähligen, Gebirgsfalten entgegen. Er erzählte mir von den sieben einfachen Schritten, um in jeder Hinsicht Vollkommenheit zu erlangen und ich lauschte gebannt. Bei einem heißen Masala-Tee mit fantastischem Ausblick blicke ich nun auf das wolkenverhangene Tal unter mir, lasse das Gespräch nachwirken und verstehe auf einmal, dass diese Prinzipien überall ihre Geltung haben – in jedem Projekt, in jedem Prozess, im Leben selbst. Inspiriert lasse ich meiner Phantasie freien Lauf.

In Gedanken sehe ich zurück auf meinen Arbeitsplatz in Deutschland. Hier könnte ich diese Erkenntnis auch praktisch anwenden. Die abschließende Bewertung von Microsoft 365 für unser Verlagshaus steht gerade aus und bietet sich als ein erstes Projekt geradezu an. Über dieses ganzheitliche und cloudbasierte Software-Paket der weltgrößten Softwareschmiede hatte ich bereits kurz vor meinem Abflug im Angebot unseres IT-Partners gelesen.

1.       Betrachte dein Schicksal

Verstehen Sie mich nicht falsch: Ich mag meine Arbeit als Admin in der Firma. Ich betrachte alle IT als einen konsolidierten Ausdruck der mentalen Leistungen des Menschen – als ein extrem hilfreiches Werkzeug, um unseren Verstand zu erweitern und zu entlasten. Einzig der ständige Umbau dieser Strukturen und die enorme technische Anpassungsleistung in einer immer komplexer werdenden und sich wandelnden Welt stehen diesem Grundgedanken, wie ich finde, diametral entgegen. Jedes Jahr kommen unzählige neue Updates, Bedrohungen, Datenschutzgesetze, Technologien und mobile Geräte hinzu, die meine Arbeit komplexer und aufwendiger machen. Unsere gesamte Infrastruktur fragmentiert sich über die Jahre in einzelne Cloudservices, On-Premise-Ressourcen und diverse mobile sowie stationäre Clients. Meine eigenen Projekte und andere kundenbezogene Aufgaben leiden bereits darunter. Niemand kann sich derart zerteilen und wir benötigen auf lange Sicht wohl noch weitere Mitarbeiter, um unsere Infrastruktur weiter auf diesem Level betreiben zu können. Natürlich, ohne dass dadurch ein zusätzlicher Gewinn im Kundengeschäft zu erwarten wäre.

2.       Hinterfrage deine Strategie

Unsere monatlichen Aufwände (TCO) für einen Arbeitsplatz betragen ca. 230,- € (ohne Strom, Miete, Heizung etc.). Darin enthalten sind alle Kosten für die gesamte Infrastruktur. Also für Hardware, Softwarelizenzen, Support, Absicherung, Administration, Setup und Dokumentation. Aus Sicherheits- und Datenschutzbedenken haben wir bisher auf einen All-in Cloudansatz bei Microsoft verzichtet. Ein eigener Server-Stack bildet daher das Herz unserer Infrastruktur. Mitarbeiter im Außendienst greifen per VPN auf das Unternehmensnetz, ihre Daten, Telefonie und das Intranet zu. Für all diese Services betreiben wir verschiedene Server-Dienste. Hinzu kommt eine recht lockere BYOD-Politik. Mitarbeiter bringen ihre eigene Devices mit und nutzen darauf z. B. Exchange, um auch mobile wichtige Daten und Termine verfügbar zu haben. Die Sicherheitsrisiken sind dadurch natürlich größer. Zudem sind unsere Server schon etwas veraltet und wir füllen die funktionalen Lücken mit Drittanbieter-Lösungen auf. Doch deren Wartung und die Beschäftigung mit all diesen Themen kostet immer mehr Zeit. Und mit der steigenden Komplexität verteuern sich auch unsere Updatekosten. Hinzu kommen von extern immer höhere Anforderungen an den Datenschutz und an die IT-Sicherheit. Allein dadurch sind unsere TCO letztes Jahr um ca. 12% gestiegen. Da stellt sich mir aus betriebswirtschaftlicher Sicht schon die Frage, ob das noch der richtige Weg ist. Der Meister würde sagen: Im stetig universellen Wandel von Erschaffung und Auflösung befinden wir uns derzeit eher am Beginn der auflösenden Phase. Die Zeit für eine neue Strategie bricht an.

3.       Entdecke neue Möglichkeiten

Eine Alternativlösung wäre das neue Produkt und Servicepaket Microsoft 365.  Das Bundle verspricht eine intelligente und sichere Komplettlösung für die bestmögliche Unterstützung unserer Mitarbeiter. Um Microsoft 365 zu verstehen, sollte man zunächst wissen, was Office 365 ist. Ich habe das so verstanden, dass Office 365 eine cloudbasierte Variante der Microsoft Office Produkte ist, die in einem SaaS-Modell nutzerbezogen angemietet wird und durch vielfältige Zusatzfunktionen sowie Apps sehr nützliche Features, wie z. B. mobiles Filesharing, Dokumentenmanagement, Collaboration-Funktionen, Business Intelligence Features und detaillierte Nutzungsanalysen bietet.

Mit dem neuen Paket hat man nochmal etwas draufgelegt. Mit Microsoft 365 erhält man nun neben den Office 365 Features auch das aktuellste Windows, umfangreiche und zentrale Verwaltungstools für Nutzer und Geräte, Self Service PC-Bereitstellungsfunktionen, Automatismen für Roll-Out und die Installation von Office Apps, geräteübergreifenden und EU-konformen Datenschutz sowie Malware Protection, eine WLAN-unabhängige Dokumenten-Cloud für Mobilgeräte (1 TByte pro Nutzer) und neue Eingabeformen (z. B. Sprachsteuerung). Im Prinzip wird das komplette softwareseitige Client Management mit cloudbasierten Tools erledigt und das zugehörige Feature-Paket ist so umfangreich, dass es den Umfang meiner Ausführungen bei weitem sprengen würde.

4.       Wähle deinen Weg

Wie ich mich erinnere, kommt Microsoft 365 in zwei verschiedenen Ausführungen: Business und Enterprise. Die günstigere Business-Variante eignet sich vor allem für KMU, bei denen die Nutzerzahlen unterhalb von 300 liegen. Hier ist eine parallele Integration eigener On-Premise-Infrastrukturen, wie Active Directory-Domänen-Controller, SharePoint-Server nicht vorgesehen. Das Identitäts- und Zugriffsmanagement erfolgt also rein cloudbasiert. Dafür gibt es eine vereinfachte Verwaltungsoberfläche, über die alle Nutzer, Devices und Richtlinien komfortabel administriert werden können. Eigentlich bereits ideal für uns, wenn wir auf unsere eigenen Server verzichten wollen.

Die Enterprise-Option hebt einige Beschränkungen der Business-Version auf. Neben dem Mischbetrieb aus On-Premise und Cloud-Ressourcen, bietet Microsoft hier erweiterte Lizenzen für sein OS und die Office Apps an. Verbesserte Formen der Zusammenarbeit wie Microsoft Teams, Telefonie und die Zusammenarbeit an Dokumenten in Echtzeit gehören genauso zum Paket wie verbesserte Mobilitäts- und Sicherheitsfunktionen sowie erweiterte Datenschutzgarantien. Microsoft 365 Enterprise kommt als Plan E3 und Plan E5. Gegenüber dem Plan E3 hat E5 ein Audiokonferenz- und Telefonsystem integriert, besitzt einen erhöhten Bedrohungs- und Informationsschutz, bietet das Azure Active Directory in der Version P1 statt in der P2 und liefert neben den üblichen Telemetriedaten auch die Business Intelligence Tools Power BI und MyAnalytics. Die Enterprise-Version kann also auch eine Option sein. Umso besser ich mich, mein Business und seine Ziele kenne, desto leichter fällt mir hier die Entscheidung.

5.       Entfalte deine Kräfte

Microsoft verspricht geringere TCO beim Betrieb der Clients durch den Einsatz von konsolidierten Lösungen, dem einfachen Management, der Nutzung der Self Service-Funktionen und dem Wegfall des Betriebs eigener Infrastrukturen. Das erscheint logisch. Das bereits reine SaaS-Angebote bei richtiger Strategie oftmals günstiger als On-Premise-Lizenzen sind, wurde schon oft gezeigt. Wenn nun ganze Teile unserer ohnehin zu modernisierenden Infrastruktur in der Cloud gemanagt werden, fallen natürlich jede Menge direkte und indirekte Folgekosten weg. Auch bei uns sieht diese Bilanz positiv aus. Schon allein, dass ich weiterhin unsere IT allein stemmen könnte, zieht die Zahlen ins Positive.

Wie sieht es mit dem Return-on-Invest aus? Bereits für Office 365 hat Microsoft mit einer beauftragten Studie belegt, dass für KMU nach 3 Jahren ein ROI von 154 % zu erwarten ist. Für Microsoft 365 ist aufgrund des höher angesiedelten Service Levels auf der Clientebene sehr wahrscheinlich mit einer Freisetzung noch höherer Potentiale zu rechnen. Zudem sind viele der Features des Pakets darauf ausgelegt, direkt die Zusammenarbeit in Teams und das nahtlose, mobile Arbeiten zu verbessern, was sich deutlich in erhöhter Kreativität und Produktivität niederschlagen sollte. So könnten wir unsere Kräfte maximal auf unsere Aufgaben konzentrieren und unsere Umsätze ganz natürlich steigern. In der Ruhe liegt die Kraft – mal wieder.

6.       Lass alle profitieren

Dank der bereits durch Office 365 bewährten Collaboration Tools wie Yammer, SharePoint Online und Microsoft Teams käme es zur unternehmensweiten Vernetzung von Inhalten, Personen und Dokumenten. Soziale und organisatorische Strukturen in der Firma würden direkt abgebildet – gut für Zusammengehörigkeit und Orientierung. Mit den KI-Features und den Telemetrie-Tools könnten wir Dokumente schneller verfügbar haben, mehr Synergien erzeugen und individuelle Leistungsfeedbacks erhalten. Durch neue Arbeitsmethoden, wie Freihandschrift, Sprachbefehl oder Touchsteuerung auf den mobilen Devices bekommen unsere Mitarbeiter die Möglichkeit, unmittelbarer und damit unbeschwerter zu arbeiten. Unbeschwerter wird für mich auch die Administration und Verwaltung unserer IT-Ressourcen durch die einfache und integrierte Verwaltungsmöglichkeit an einer Stelle sein. Unser Unternehmen wird durch die gemanagte Infrastruktur auf die jeweils besten Sicherheitsmethoden zurückgreifen können, für komplexe BYOD-Szenarien gewappnet und beim Thema Datenschutz dank GDPR-Garantien (EU-richtlinienkonformer Datenschutz) zukunftssicher aufgestellt sein. Und nicht nur ich werde deswegen ruhiger schlafen können. Zu guter Letzt könnten wir auch auf unsere langjährige Partnerschaft mit unserem IT-Dienstleister setzen. Als direkter Microsoft Partner kann er den Weg ebnen und uns bei der Einführung von Microsoft 365 unterstützen. Als alter Hardware-Hase wäre ich mit der Umstellung zunächst doch ziemlich überlastet und auch unser Partner wird sich mit diesem Deal sicher arrangieren können. Mit des Meisters Worten: Wann immer du deinen Weg gehst und nicht stur am Alten festhältst, werden alle in deiner Umgebung davon profitieren.

7.       Loslassen und aufsteigen

Jetzt erinnere ich mich auch an die zusätzlichen Leistungen unseres IT-Partners, die uns im Zuge der Microsoft 365-Anfrage genannt wurden. Konkret ging es darum, selbst die verbleibende Client Hardware komplett zu leasen und damit das Workplace Outsourcing komplett zu machen. Jegliche hardwarebezogene Leistung wie Beschaffung der neusten Geräte, Wartung, Support und Recycling würde der Anbieter übernehmen und uns natürlich in allen Fragen zu Microsoft 365 wie gewohnt zur Seite stehen. Würde mein Job dadurch überflüssig? Eher nicht. Als Admin für Microsoft 365 gibt es immer noch viel zu tun, aber ich müsste mich nicht jedem kleinen Hardware-Problem widmen, sondern würde unsere Infrastruktur einfach virtuell managen. Vorbei die Zeit der stundenlangen und oft frustrierenden Lösungssuche in diversen Fachforen und auf Dokumentationsseiten. Die gewonnene Zeit könnte ich in meine Kundenprojekte und meine berufliche Karriere stecken. In diesem Fall wäre das Loslassen tatsächlich der Schlüssel zum Erfolg.

Während mir das alles klar wird, blicken meine Augen tief versunken ins Tal hinab. Doch langsam komme ich wieder an – im Hier und Jetzt. Es ist schon komisch. Nach all den Jahren bin ich hier oben, auf dem Dach der Welt, sozusagen in der Cloud auf die Cloud gekommen. Die Meditationsglocke ruft mich zurück ins Kloster. Ich erhebe mich und ein Lächeln liegt auf meinem Gesicht, als ich mir vorstelle, wie ich das Ganze auf Arbeit präsentiere.

0

Hallo Rico Seidel. Vielen Dank, dass Du Dir heute Zeit für dieses Interview genommen hast. Vielleicht kannst Du zunächst einmal etwas zu Deiner Person hier im Unternehmen sagen. Welche Position hast Du bei Trans4mation inne und was sind Deine Aufgaben?

Ich bin IT-Consultant bei Trans4mation. Meine Aufgabenbereiche umfassen hauptsächlich Netzwerkinfrastrukturen und deren Sicherheit, jedoch auch die generellen Sicherheitsbelange von komplexen IT-Umgebungen. Daraus folgend nehme ich hier im Unternehmen die Rolle des CISO (Chief Information Security Officer) war. Das heißt ich bin Hauptansprechpartner für das Thema IT-Sicherheit bei Trans4mation und schaffe zusammen mit dem Datenschutzbeauftragten die spezifischen Grundlagen, damit dieses Thema im Unternehmen Beachtung findet.

Der Bereich IT-Sicherheit ist ja wie alle Konzepte in der digitalen Welt in stetigem Wandel. Was hat sich denn in den letzten Jahren auf diesem Gebiet getan und wie ist die aktuelle Bedrohungslage einzuschätzen?

Nun, verändert hat sich vor allem die öffentliche Wahrnehmung von IT-Sicherheit. Immer häufiger werden Fälle von Internetkriminalität publik. Ob „geleakte“ Bilder vom Prominenten, gestohlene Nutzerdaten von etablierten Unternehmen oder der „Bundestagshack“ – Beispiele hierfür gibt es viele. Zudem hat die NSA-Spähaffäre das gesellschaftliche Vertrauen in die Daten- und Kommunikationssicherheit erschüttert. Nun ist also den meisten klar: Da gibt es Probleme, die nicht nur theoretischer Natur sind, sondern von denen jeder ganz konkret betroffen sein kann.

 

„Gerätevielfalt, komplexe Vernetzung
und starke Systemabhängigkeit sind
die Basis heutiger Bedrohungsszenarien.“

 

Tatsächlich ist die Bedrohungslage bis heute immer weiter angewachsen, vor allem durch die immer größere Anzahl an unterschiedlichen Devices und den immer umfassenderen Übergriff von IT-Systemen, sowohl im Privat- als auch im Unternehmensbereich. Schaut man sich einfach einmal an, wie groß der Bezug zu IT-Systemen vor 10 Jahren (2005) war und vergleicht dies mit dem heutigen Zustand, ist dieser natürlich enorm angewachsen. Selbst kleinere Unternehmen nutzen mittlerweile vernetzte IT-Systeme, ob bei der Lohnbuchhaltung in der Personalabteilung oder bis hin zu vollständig automatisierten Produktionsstrecken in mittelständischen Unternehmen – ohne Informationstechnik funktioniert heute gar nichts mehr. Dabei haben sich immer stärkere Abhängigkeiten ergeben. Beispielsweise von Mailsystemen, von Terminverwaltungsdiensten, von zentraler Datenhaltung und teilweise von rudimentärsten Dingen, wie z.B. einer elektronischen Zutrittsverwaltung zum Firmengebäude. Auch in privaten Bereich kann man diese Entwicklung sehen: Früher waren Mobiltelefone zum reinen Telefonieren und für das Versenden von SMS gedacht – heute führt man mit dem Smartphone einen mobilen Computer mit sich. Zudem geht der Trend zunehmend zur Heimautomatisierung, wo über eine zentrale Steuerung auf verschiedene Funktionen der Wohnungseinrichtung zugegriffen wird. All diese Einsatzszenarien und die Gerätevielfalt haben exponentiell zugenommen. Durch die gewachsen Komplexität, können vom Einzelnen kaum noch alle Schwachstellen und potentielle Risiken überblickt werden und die Durchführung fachgerechter Schutzmaßnahmen übersteigt häufig das eigene Know-how. Insgesamt resultiert hieraus eine vergrößerte Angriffsfläche und ein teilweise sehr hohes Sicherheitsrisiko  – d.h. die Wahrscheinlichkeit von erfolgreichen Angriffen durch Hacker erhöht sich.

Wie kann man sich typische Hacker den vorstellen? Was sind das für Menschen?

Den typischen Hacker gibt es eigentlich nicht. Grundsätzlich unterscheiden sich Hacker zunächst hinsichtlich ihrer Ziele beim Ausnutzen von Systemschwachstellen. Hier haben wir zum einen junge technikaffine Menschen, die sich einfach erst einmal ausprobieren wollen. Zum anderen gibt es aber auch Gruppen die Hacking betreiben, um daraus einen finanziellen Vorteil zu ziehen.

 

„Hacking an sich, ist ja noch nicht schlechtes.“

 

Bei der ersten Gruppe handelt es sich meist um Menschen, die an IT interessiert sind, ähnlich den Elektronikbastlern in ihren Hobbywerkstätten. Sie wollen schauen wie ein System funktioniert und was man damit machen kann. Hacking an sich, ist ja noch nicht schlechtes. Es kann auch bedeuten, dass man ein System betrachtet und denkt, dass es eigentlich mehr könnte. Um dies zu erreichen, versucht man die Kontrolle über das System zu erlangen und es durch Modifikation dazu zu bringen genau das zu tun, was man beabsichtigt. Das ist dann auch schon Hacking. Hier steht vor allem der Spaß an der Technik im Vordergrund und diese Form des Hackings ist eben nicht darauf ausgerichtet Schaden zu verursachen oder finanzielle Gewinne zu erbeuten. Manchmal werden auf diese Weise sogar kritische Schwachstellen in Systemen und Softwareprodukten entdeckt, die dann an den Hersteller gemeldet werden können. Dies hat schon oft eine sicherheitsrelevante Verbesserung der Produkte ermöglicht. Bei diesen sogenannten White-Hats ist der Focus dann auch eher auf die fachspezifische Reputation gerichtet. Aber natürlich gibt es auch das Hacking der sogenannten Black-Hats, wo es darum geht Sicherheitslücken und Schwachstellen in Systemen auszuspähen, um Daten zu kompromittieren. Beispielsweise kommt es seit Jahren verstärkt zum Versand von Trojaner-E-Mails, die beim Öffnen eine Malware installieren, welche die gesamte Festplatte verschlüsseln kann. Erst nach Zahlung eines Lösegelds wird der Schlüssel zum Entschlüsseln der Daten an den Dateneigentümer übermittelt. Solche Bedrohungen können sich im Unternehmensbereich bis zur gezielten Industriespionage entwickeln.

Kann man Aussagen darüber treffen, wie groß der jeweilige Anteil von Attacken durch Black-Hats und White-Hats ist?

Nein, definitiv nicht. Hier zeigt sich die Komplexität im Bereich IT-Sicherheit: Die wirklich „guten“ Angriffe sind nur sehr schwer zu erkennen. Solche Angriffe sind so verschleiert, dass sie kaum auffallen. Wenn ein Angriff „gut“ durchgeführt ist, z.B. unter Ausnutzung von Zero-Day Exploits und zusätzlich unter Einsatz von Stealth-Mechaniken, kann es passieren, dass unzureichend konfigurierte IDS-/IPS-Systeme (Intrusion Detection und Prevention Systeme) nicht getriggert werden und der Angriff somit unbemerkt bleibt. Daher gibt es eine hohe Dunkelziffer, die valide Aussagen über die Häufigkeit von Angriffen nur schwer ermöglicht. Meist tauchen erfolgreiche Angriffe auch erst in der Statistik auf, wenn entsprechend negative Auswirkungen auf den Unternehmensbetrieb beobachtet wurden.

 

„Die wirklich guten Angriffe sind
nur sehr schwer zu erkennen.“

 

Welche Auswirkungen könnte ein Angriff auf ein Unternehmen haben?

Jeder Ausfall von betriebswichtigen Diensten und Anlagen, wie z.B. dem Mailsystem oder der Steuerungsanlage einer Produktionsstrecke kann gravierende Auswirkungen haben – sowohl finanziell, als auch organisatorisch. Die Herausforderung hier ist einfach, dass immer mehr Geräte, mit immer mehr Funktionalitäten und immer höheren Stellenwert, eine immer höher werdende Aufgabendichte erzeugen und natürlich Ausfälle dort zu gravierenden wirtschaftlichen Verlusten führen können. Sind Kommunikationswege (wie z.B. E-Mail) nicht mehr nutzbar, ist man gerade im Dienstleistungsbereich oft nicht mehr handlungsfähig. Die Folgen durch Datendiebstahl oder Informationslecks sind ebenfalls nicht zu unterschätzen. Der Verlust von sensiblen Daten kann gesamte Projekte ruinieren und die Existenz des Unternehmens selbst bedrohen. Zudem können sich Konkurrenten, die durch Spionage gesammelte Informationen über das Unternehmen erwerben, nachhaltige Wettbewerbsvorteile sichern.

Ok, dass klingt wirklich nach ernsten Problemen. Welchen Bereichen sollte man bei der unternehmensbezogenen IT-Sicherheit heute besondere Beachtung schenken?

Wichtige sicherheitsrelevante Themenfelder sind derzeit z.B. die zunehmende „Cloudifizierung“ von IT-Diensten und IT-Infrastrukturen, der Bereich Mobile Device Security sowie die sogenannte Data-Leakage-Prevention (Vermeidung bewusster und unbewusster Datenabflüsse). Auch klassische Maßnahmen, wie verlässliche Daten-Backups und zeitgemäße Firewall-Konzepte sollten berücksichtigt und neu durchdacht werden.

Dann lass uns gleich einmal mit der „Cloudifizierung“ beginnen. Wie ist die Nutzung von Cloud-Diensten aus der Perspektive von IT-Sicherheit zu bewerten? Sind Clouds sicher?

Clouds sind im Grunde genommen genauso sicher und unsicher, wie eigene IT-Infrastrukturen – nur eben in unterschiedlichen Bereichen. Zum Beispiel können Cloud-Anbieter eine viel größere Zuverlässigkeit bzw. Sicherheit bei der Datenverfügbarkeit garantieren. Meist sind mehrere Rechenzentren oder zumindest verschiedene Brandabschnitte vorhanden, in denen die Daten redundant vorgehalten werden und die Systeme werden von entsprechend qualifiziertem Personal betreut. Diese Sicherheit mit einer eigenen On-Premise-Struktur erreichen zu wollen, würde einiges an finanziellen, personellen und zeitlichen Aufwand bedeuten.

 

„An irgendeinem Punkt sind Daten
immer temporär unverschlüsselt.“

 

Der große Schwachpunkt von Cloud-Diensten gegenüber eigener Infrastruktur ist jedoch, dass alle Daten in irgendeiner Form erst in die  Cloud fließen und dort vorhanden sein müssen, bevor sie verarbeitet werden können. Und genau zu diesem Zeitpunkt entsteht ein Gefahrenpotential, dem man entsprechend entgegentreten sollte. In jedem Fall muss man seinem Cloud-Dienstleister ein gewisses Grundvertrauen entgegenbringen. Dies entlässt einen jedoch nicht aus der Verantwortung, den Anbieter zuvor eingehend auf sicherheitsrelevante Aspekte zu prüfen. Allerdings wird es immer technologieinhärente Sicherheitsrisiken geben, die man nicht hundertprozentig ausschließen kann.

Das heißt also, es wird niemals hundertprozentige Sicherheit in der Cloud geben?

Ich glaube hundertprozentige Sicherheit ist eine Utopie. Die gibt es nirgendwo, weder im Straßenverkehr, noch in einem anderen Lebensbereich. Natürlich kann man kann danach streben, aber letztlich ist das meiner Meinung nach nicht zu realisieren. Wonach ein Unternehmen in jedem Fall streben sollte, ist eine fundiertes Sicherheitskonzept. Das heißt eine vollumfängliche Analyse von potentiellen Risiken und Bedrohungen, sowie den möglichen Auswirken auf das Unternehmen bei einem daraus resultierenden Schadenseintritt. Darauf aufbauend kann ein Konzept hinsichtlich technologischer und betriebswirtschaftlicher Aufwände bei der Umsetzung gezielter Sicherheitsmaßnahmen erfolgen.

„Hundertprozentige Sicherheit ist eine Utopie.“


Generell ist es sinnvoll die Risiken von unabhängiger Stelle bewerten zu lassen. Trans4mation ist zum Beispiel als Dienstleister nicht daran interessiert nur sicherheitsrelevante Produkte zu verkaufen – was eine klare Herstellerperspektive wäre. In erster Linie möchten wir unsere Kunden gut beraten und eine Vertrauensbeziehung aufbauen. Dazu gehört dann eben auch zu sagen, dass diese oder jene Maßnahme aus unserer Sicht wenig Sinn macht auch wenn wir hierbei vielleicht ein gutes Geschäft machen könnten. Was würde es einem Unternehmen denn nützen moderne IDS/IPS-Systeme und Firewalls zu installieren, wenn auf der anderen Seite rudimentäre Sicherheitsmechanismen, wie ein funktionierendes Backup und ein kontrolliertes, zentrales Datenmanagement nicht gewährleistet sind? Bei solchen Bewertungen haben wir oftmals den umfassenderen Überblick.

Mobile Device Security hattest Du ja als einen weiteren Punkt genannt. Wie kann man denn den heutigen Mischbetrieb von stationären und mobilen Geräten in Unternehmen absichern – ist da überhaupt etwas machbar?

Das ist ebenfalls eine große Herausforderung für IT-Verantwortliche. Auf die rasante Entwicklung der letzten Jahre haben die IT-Abteilungen nicht immer zeitnah Antworten gefunden. Im Fall von E-Mails war es in der Vergangenheit so, dass diese von stationären Computern mittels Mailprogrammen abgerufen wurden. Mit dem Aufkommen von mobilen Endgeräten, wie Notebooks, Smartphones und Tablets wuchs natürlich auch der Bedarf, firmeninterne Dienste (z.B. E-Mail, SharePoint, Dateiablage) auch außerhalb des Unternehmens nutzen zu können. Man ist dann sehr schnell dazu übergangen das „irgendwie“ zu realisieren, ohne immer im Blick zu haben, was dies für die IT-Sicherheit des Unternehmens bedeutet. Immer mehr Firmen realisieren, dass es doch einer genaueren Betrachtung bedarf. Natürlich weil diese mobilen Devices verloren gehen, gestohlen werden und in falsche Hände geraten können. Dabei geht es nicht einmal um die Kosten für das physische Gerät selbst, sondern vielmehr um den Verlust der Daten, die auf diesem Gerät vorhanden waren. Vielleicht waren das hochsensible und sicherheitskritische Daten oder es gab kein Backup dieser Daten im Unternehmen. Oft sind damit Arbeitszeit und letztlich natürlich auch Geld verloren. Die wirtschaftlichen Schäden infolge von Datenverlust, digitaler Erpressung oder unautorisierter Datenweitergabe können wie gesagt beträchtlich sein.

Lassen sich die Risiken, die durch den Einsatz von Mobile Devices entstehen, minimieren? Gibt es da Ansätze?

Realistisch gesehen muss man sagen: Das Rad der Zeit lässt sich nur schwer zurückdrehen. Wenn Mitarbeiter auf ihren Mobile Devices z.B. einmal ihren Firmen-E-Mail-Account genutzt haben, ist es nur sehr schwer möglich, ein Unternehmen davon überzeugen zu können, den Mitarbeitern diese Funktionalität wieder wegzunehmen und auf den wirtschaftlichen Zugewinn im Sinne von Homeoffice-Lösungen zu verzichten. Folglich ist es sinnvoll die potentiellen Risiken, die dadurch entstanden sind zu minimieren und Regelungen zu treffen, wie Mitarbeiter sich sicherheitskonform verhalten können.

„Das Rad der Zeit lässt sich nur schwer zurückdrehen.“

Beispielsweise könnte man sich, nach Durchführung eine Risikoanalyse, entscheiden ein sogenanntes Mobile-Device-Management einzusetzen, um z.B. über eine zentrale Verwaltung die Daten auf verlorengegangenen Devices remote löschen zu können.

Eine weitere Maßnahme wäre, das Gerät selbst erst einmal zu schützen. Also eine Regelung im Unternehmen zu etablieren, die festlegt, dass jedes Gerät passwortgeschützt sein muss – ob es nun durch eine PIN oder ein komplexes Passwort geschieht. Zusätzlich kann eine Regel definiert werden, dass nach einer bestimmten Anzahl von fehlgeschlagenen Login-Versuchen, die Daten auf dem Gerät automatisch gelöscht werden. Von den Herstellern gibt es hier bereits viele Funktionalitäten, die einen Teil dieser Maßnahmen auf dem Device umzusetzen. Aber in größeren Unternehmen, die eine Vielzahl von solchen Geräten aufweisen, sollte es eine Möglichkeit geben dies zentral über das Mobile-Device-Management zu steuern, um nicht jedes Device einzeln in die Hand nehmen zu müssen.

Gibt es dafür schon Lösungen auf dem Markt?

Ja, die gibt es natürlich. Und das ist jetzt ein Zweig der immer wichtiger wird. Im Grunde genommen reagiert die Industrie erst jetzt auf diese Vielzahl von Mobile Devices in den Unternehmen. Erst jetzt wird versucht dieser Gerätedichte und diesen enormen Datenmengen, die das Hoheitsgebiet des Unternehmens täglich risikobehaftet verlassen, beizukommen. Diese Lösungen sind meist allerdings noch auf einzelne Geräteklassen beschränkt und unterscheiden sich in Umfang und Funktionalität – je nach dem was man erreichen will. Auch hier ist eine umfassende Sicherheitsanalyse vor der Auswahl einer speziellen Lösung zu empfehlen.

Meine letzte Frage zielt auf das Thema Verschlüsselungstechniken als Strategie gegen Datenabflüsse. Wenn wir z.B. auf die E-Mail-Verschlüsselung blicken – warum hat sich das bis jetzt nicht wirklich durchgesetzt?

Da ist zum einen die Komplexität der Materie zu nennen. Es ist ohne ein gewisses Verständnis der zugrundeliegenden Technologie noch immer nicht ohne Weiteres möglich entsprechende Verschlüsselungstechnologien zu nutzen. Natürlich gibt es mehrere Ansätze, das für den Anwender so einfach wie möglich zu gestalten, aber scheinbar sind diese Ansätze noch nicht auf einem für die breite Masse akzeptablen Stand angekommen. Möglicherweise ist auch das individuelle Problembewusstsein noch zu gering dafür, dass Informationen in E-Mails, die dem Einzelnen vielleicht nicht so wichtig erscheinen, in ihrer kumulierten Masse und unter einem bestimmten Kontext betrachtet, dennoch wichtige Informationen über Personen und deren Beziehung, über Unternehmen und deren Geschäftskontakte sowie über laufende Projekte offenlegen können. Ich denke, dieser Mix aus fehlender Awareness und erhöhtem technologischen Aufwand, ist letztlich der Grund für die spärliche Verbreitung der Verschlüsselung im E-Mailverkehr. Dennoch bin ich davon überzeugt, dass IT-Sicherheit im Zweifel heute jeden betreffen kann, also sogar einen Eremiten auf dem Berg, der alles abschaltet, nichts nutzt und keine Daten anhäuft. Denn vielleicht muss dieser Eremit irgendwann einmal zum Arzt und braucht dann doch seine Gesundheitskarte, auf der Informationen über ihn gespeichert sind, die nach dem Scannen auch über das Netz kommuniziert werden könnten. So hinterlässt jeder von uns einen analysierbaren „Schweif“ an Informationen in der digitalen Welt.

Das ist interessant und führt mich zu dem Gedanken, dass man vielleicht als digitaler Eremit erst recht auffällt. Sozusagen als Lücke in einem riesigen Datensatz.

Dort bewegen wir uns dann allerdings wirklich im Bereich der Verhaltensanalyse. Ist eine Person, die bestimmte Handlungen unterlässt, welche jedoch die meisten anderen Personen in ihrem Umfeld ausführen, dadurch schon auffällig? Solch eine Person, könnte z.B. mit jedem telefonieren, außer mit einer bestimmten anderen Person, mit der sie sich nur verschlüsselte Emails schreibt. Zum Beispiel könnte dies für einen Angreifer schon ein Hinweis auf den Wert der Information sein. Wenn der Angreifer wahrnimmt, dass der gesamte Datenverkehr eines Unternehmens unverschlüsselt ist, ausgenommen eines bestimmten Kommunikationspfades, dann könnte genau dieser Kanal erst interessant für ihn werden, weil er dort vielleicht den Austausch von Betriebsgeheimnissen vermutet. So wird es dem Angreifer sogar noch wesentlich einfacher gemacht seine Attacke gerichtet zu fahren. Eine effektive Gegenmaßnahme wäre es dann, alles zu verschlüsseln – das Wichtige genauso wie das weniger Wichtige. Der Angreifer muss im Zweifel nun auch alle Daten entschlüsseln – was einen deutlich höheren Aufwand für ihn bedeutet. Damit wird es zunehmend unattraktiver das Unternehmen auf dieser Ebene anzugreifen. Genau solche Punkte würde ich mit einem Unternehmen in einer Risikoanalyse durchgehen. Welche Werte hat das Unternehmen? Wie werden diese kommuniziert? Welchen Wert könnten diese Informationen für potentielle Angreifer haben und was müsste er an Aufwand betreiben, um an diese Informationen zu gelangen? Letztlich können wir daraus genau ableiten, wie hoch wir die Schwelle für den Angreifer setzen müssen, um den Angriff für ihn unattraktiv zu machen. Dies wäre aus meiner Sicht ein erster, wichtiger Schritt zu einer Erhöhung der IT-Sicherheit, den ich jedem modernen Unternehmen empfehle.


Rico Seidel, vielen Dank für dieses Interview.

Dieses Interview führte Robert Otto.

0