CyberSecurity: Sicherheit in hybrid clouds / verteilten Systemen

Traditionelle Technologien und Strategien lassen sich kombinieren mit neuen Tools aus der Cloud.

Bei dem Lösungsansatz „best out of all clouds“ mittels Kombination von gut orchestrierten Lösungen aus allen Clouds lassen sich gar auch stufenweise Altlasten / Legacy Umgebungen und generell Shadow-IT abbauen und modernisieren.

Zudem kann konzeptionell – je nach Klassifikation von Schutzobjekten und Schutzniveaus – eine bessere Risiko-Verteilung und optimierte Resilienz des Gesamtsystems entstehen im Rahmen des Risiko-Managements.

Mittels entsprechenden Monitoring-Systemen (OnPrem / Hybrid / Public Cloud) und rollenbasiert ausgerichtete Dashboards entsteht eine neue Dimension von proaktivem Controlling und Prozessen im immer wichtig werdenden Incident Response Plan / Business Recovery System.

Solche dokumentierten Systeme mit auch Reporting- und Alerting-Funktionalitäten stellen dann erweitert ebenfalls eine gute Hilfe und Basis dar für ICT-Assessments und ICT-Audits.

Security by design in „massive interconnected“ Systems – BIM – SmartCity – IoT – eHealth

Die Industrie 4.0 und die entsprechende Digitalisierung der Planungs- und Bau-Prozesse mittels BIM fordert integrierte und robuste Prozesse als Rückgrat der “massive interconnected”, integrierten Schnittstellen und Collaboration.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen / sicherem Coding mit dem Fokus auf maximales, auditierbares «Security by design» / „Stand der Technik“ mit dem Ziel der bestmöglichen Angriffs- und Betriebs-Sicherheit bei maximalen Datenschutz- / Privacy-Aspekten unterstützt werden.

Ein solches denkbares «Security minded» Modell mit möglichst der Anwendung eines umfassenden „full stack security“ auf allen Ebenen dient auch als Sensibilisierung / Mindset zur maximalen Sicherheits-Orientierung und Auditierbarkeit in Systemarchitekturen mit allen Akteuren. Entsprechende Akteure Mensch – Prozesse – Technologie sind gemäss deren Stärken und Schwächen zu befähigen und passend einzusetzen.

Der «Plattform Kapitalismus» und die «massive Interkonnektion» im Rahmen der Digitalisierung und „verteilte Systeme“ wie auch z.B. BIM, CAx, Gebäudetechnik / Gebäudeleitsystem GLS, SmartCity, SmartHome, IoT, Big Data, eHealth ePDG Stammgemeinschaften, Künstliche Intelligenz AI, «Cyberphysical Systems» und „personenbezogenen Daten“ hinterlassen grundlegende technische und prozessuale Konzept- und Security-Fragen. Erschwerend kommt dazu, dass dann diese „verteilten Systeme“ zusätzlich aus regulatorischen oder normativen Compliance-Anforderungen auch noch gar möglichst lückenlos «managed» und «auditiert» werden müssen.

Nächste (R)Evolutions-Stufen der „Industrie 4.0“ / „Digitalisierung“ in Bereichen wie „Künstliche Intelligenz KI / AI“ werden grosse und neuartige Chancen zur „business model maturity“ und „data monetization“ generieren aber auch Risiken und Abhängigkeiten von „verteilten, massive interconnected Systemen“ zur Folge haben.

Jede Medaille hat bekanntlich immer 2 Seiten. Eine solche sogenannte „Dual-Use-Technologie“ wird automatisch auch leider wiederum die „dunkle Seite der Macht“ weiterentwickeln in Richtung von „Malicious Use of Artificial Intelligence“ (die bösartige Nutzung von AI) und daraus werden ernsthafte Risiken und grosse interdisziplinäre Herausforderungen für alle Akteure erwachsen bei der „falschen“ Verwendung neuer mächtigen Technologien.

Dass dann hierbei entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit der gleichgelagerten Technologie (z.B. „cognitive Security“ , „predictive Security“)  zum Zuge kommen müssen liegt nahe. Hierbei wird auch im Rahmen der geforderten Interdisziplinarität eine „neue“ hilfreiche Transparenz über Sicherheits-Lücken / -Massnahmen und „best practices“ vonnöten sein zwischen den Technologie-Giganten, Staaten bzw. zwischen allen Akteuren.

Auch Grundsätze zur „Informations Ethik“ werden hier hilfreich sein in einer nötigen gesamtheitlichen Betrachtung und entsprechenden Massnahmen zur Förderung oder Erhaltung der „privacy by design“ bzw. zum Schutz von „personenbezogenen Daten“ der Daten-Subjekte.

Unterschiedliches Verständnis und Verwendung von entsprechenden Begrifflichkeiten (nur schon Security, Privacy, Plattform, Cloud, Open) verunsichern viele Akteure und bedürfen einer gemeinsamen Verständnisfindung und nachhaltige Sensibilisierung.

Neue und noch teilweise in Vernehmlassung stehende Regulationen > Gesetze aus Bundesbern zu Datenschutz-Aspekten (z.B. DSG, e-ID) sind noch nicht spruchreif und die möglichst europäisch / international orientierte Umsetzung (z.B. EU-DSGV0 / GDPR mit auch Privacy by design / Privacy by default / security by design, ePrivacy, eIDAS elektronische Signatur, ePDG) bzw. offene Formulierungen in Richtung „Stand der Technik“ noch verbesserungsfähig.

Ein reiner «Schweizer Datenschutz oder Schweizer Standard» in der Regulierung / Standardisierung / Normierung ist aktiv zu verhindern (bzw. mittels Orientierung an „Stand der Technik“ und europäische Standards und Regulationen zu optimieren), verbannt die Zukunft ins Ausland und es gehen adaptierbare Innovationen und Entwicklungen (auch Aufträge) im Ausland verloren ansonsten. Dass es letztlich hierbei auch um das marktrelevante Thema der Innovationskraft und des Business Maturitäts-Levels geht liegt auf der Hand.

Im Rahmen der «Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken NCS» und auch Nachfolge-Strategie NCS 2 werden ebenfalls adaptierbare Resultate und „best practices“ von den kritischen Infrastrukturen wie z.B. Kraftwerke, Stromversorgung, Flugverkehr, Verkehr, Militär, Spitäler zu erwarten sein welche wiederum auch den möglichst offen formulierte „Stand der Technik“ mitprägen.

Entsprechend möglichst offen formulierte «Open Systems / Standards» verlangen nach möglichst offener (cross-connect, transparency) aber zugleich möglichst sicherer Collaboration der Akteure (Mensch und Prozesse) mittels „verteilten Systemen“ und basierend auf „Stand der Technik“ als Widerspruch von möglichst isolierten, geschlossenen Systemen bei möglichst maximalen Sicherheits-Stufen.

Das Herz / Core-System gilt es zu intelligent orchestriert zu schützen

Das immer schneller pochende und geforderte „Herz des Core-Systems“ ist die Verfügbarkeit durch optimierte Angriffs- und Betriebs-Sicherheit der „massiven Interkonnektion der verteilten Systeme“.
Zunehmend sind geforderte Verfügbarkeiten und adäquate Ausfallszenarien abhängig von solchen „intelligent orchestrierten (Teil)Systemen“.
Damit alle einzelnen Kettenglieder der Wertschöpfungskette die forderten Dienste und Verfügbarkeit liefern können bedarf es unteranderem auch die Betrachtung der einzelnen „Akteure und Layers der Interkonnektion“.

OSI-Layer als eines von vielen Beispielen der nötigen Gesamtbetrachtung von der Collaboration von „verteilten Systemen“

Ein solches anerkanntes und hier im Kontext bewusst gewähltes, als einfach verständliches Modell ist das „OSI-Modell“. Das international seit über 30 Jahren bewährte OSI-Model ist ein Referenzmodell für Netzwerkprotokolle in der Betrachtung als Schichtenarchitektur der einzelnen Komponenten einer möglichst verlässlichen Kommunikation. Zweck des OSI-Modells ist, Kommunikation über unterschiedlichste technische, verteilte Systeme hinweg zu ermöglichen und die Weiterentwicklung zu begünstigen. Dazu definiert dieses Modell sieben aufeinander folgende Schichten (engl. layers) mit jeweils eng begrenzten Aufgaben zur auch Optimierung von Fehlersuchen und Spezialisierungen.

Im Rahmen der Gesamtbetrachtung der Verfügbarkeit und auch Angriffs- und Betriebs-Sicherheit eines verteilten Systems kommt auch mit dem Beispiel des OSI-Modells sehr klar und gut zum Vorschein, dass z.B. beginnend mit der Verkabelung / Übertragungsmedium (OSI-Layer 0 > 1) bis hoch zur Applikation (OSI-Layer 7) jede Ebene / jeder Akteur inkl. dem inoffiziellen OSI-Layer 8 (der Anwender / Mensch / künftig AI und „cyberphysical Systems“) eine relevante und vitale Rolle einnimmt in der Sicherheit und Verfügbarkeit von verteilten Systemen.

Es ist unschwer zu erkennen, dass viele Fach-Artikel, Produkte, Technologien und auch Hypes sich sehr fokussiert mit „nur“ den höheren OSI-Layern befassen, also mit z.B. der Anwendungsschicht (OSI-Layer 7) und dem Anwender selber (inoffizieller OSI-Layer 8).

Genau darum ist es wichtig, dass ebene sämtliche technische Komponenten, Schichten und prozessuale Methoden, Akteure (also eben als gewähltes Beispiel ALLE OSI-Layer 1 bis 8) bzw. alle Aspekte betrachtet werden.

Weitere Informationen und Checklisten
.

Speziell mit eben der gesamtheitlichen Sicht auf den «Plattform Kapitalismus» und der stetig erhöhten Anforderung an die Verfügbarkeit und Angriffs- und Betriebs-Sicherheit der «massiven Interkonnektion» müssen alle diese Akteuren auch in einer nachhaltigen Interdisziplinarität noch besser miteinander abgestimmt werden mit dem Fokus auf „Stand der Technik“.

Einige, bewusst einfache Beispiele (ohne Anspruch auf Vollständigkeit) zur Verständnisförderung:

  • Keine „massive Interkonnektion“ ohne verfügbare, verlässliche Stromversorgung im Haus / Gebäude / Quartier / Ort / Region / smartGrid / smartEnergy / Schwarm-Versorgung oder Staat.
  • mit Sensoren und IoT-Elemente durchwachsene CyberCity funktioniert nicht ohne Internet, Netzwerk, Strom oder gar benötigte redundant ausgelegte, ausfallgesicherte Netze oder neue Services und Technologien wie 5G.
  • DoS / DDoS Distributed Denial of Service Attacken mittels z.B. Botnetzen und auch beauftragt aus dem „Darknet“ können durch Überlasten oder auch Gegenmassnahmen wie temporär Sperren / Blockaden die Verfügbarkeit der vernetzten oder zentralisierten Systeme reduzieren.
  • Verfügbarkeitsverluste oder vitale Unterbrüche durch mindere Qualität von eingesetzten (Aktiv)Komponenten und Netzwerkkabeln.
  • Suboptiomal orchestriertes oder zu wenig zugunsten Angriffs- und Betriebs-Sicherheit optimiertes Common Data Environment (CDE) oder deren Schnittstellen / Microservices / Middleware / API
  • Bestandesaufnahme, Dokumentation, Lizenzen Verwaltung, Rechtedefinitionen, Daten- und Risiken-Klassifizierungen in einem nachvollziehbaren und beweisbaren Register für den ganzen «Data Life Cycle»
  • Aspekte und Massnahmen zu «system design by weakest user» z.B. auf Baustelle (?) oder ? à „user centric security“
  • Multilayer Security“-Gesamtsystem Ansatz zur Verständigung der möglichen prozessualen und technischen Ansatzpunkte und Notwendigkeiten einer gesamtheitlichen Sicherheits-Strategie. Über den Perimeter bis in den Kern zum „Mission Critical Asset“
  • Adäquate Backup- und Verschlüsselungs-Strategie je nach z.B. Daten-Klassifizierungen (z.B. Schutz von kritischen Daten gegen z.B. auch Verschlüsselungs-Trojaner oder lange nicht entdeckter „Malicous Code“), Aufbewahrung (10 Jahre), Archivierung und Datenschutzregulationen (z.B. Recht auf Löschung)
  • Geräte-, System- und Services-Monitoring mit auch „predicted“ Maintenance und „behaviour analysis“ als proaktives Früherkennungssystem und erste maschinenunterstützte Abwehrlinie.
  • Fokus und offene Formulierungen in ICT-Strategie und ICT-Planung in Richtung „Stand der Technik“, „security by design“, „security by default“, Daten- und Rechte-Minimierung
  • Fehlendes Business Recovery System & Business Contingency Planning
  • ICT-Risk Management, ICT-Risk-Versicherungswesen
  • Gesamtheitliche ICT-Strategie oder nur schon ICT-Planung, Führungsverantwortung (GL und VR) zu CyberSecurity.
  • KnowHow-Management, Personenabhängigkeiten und Stellvertretungen
  • Massnahmen gegen Anti-Shadow-IT (do NOT build new legacy systems)
  • Mitarbeiter Sensibilisierung und Training zur sicheren und effizienten Collaboration – Unkenntnis schafft Unsicherheit …
  • Personal Analytics mittels Assessment und Tests bei Rekrutierung / Anstellung oder Arbeit / Aufgaben / KnowHow in kritischen Projekten
  • Der Akteur Mensch kann (muss!) mittels dem Fakt(or) der möglichst Reduzierung der „human interaction“ und technischen und prozessualen Unterstützung des Automatisierungsgrads werden.

Entsprechend ist die nötige Sicherheits Strategy  BASS (Built Asset Security Strategy) die erste und wichtige Grundlage für eine der vielen Organisations Informations Anforderung OIR der ICT-Gesamtsicherheits-Architektur. Hier legt man die Basis wie die interne oder organisationsübergreifende Architektur adressierte Sicherheitsaspekte definiert und regelt. Diese soll möglichst offen formuliert sich an „Security by design“ und „Stand der Technik“ anlehnen und dadurch aufgefordert dynamisch bleiben in der fortwährenden Dynamik der Bedrohungslage in der CyberSecurity.

Unabhängig vom effektiv benötigtem Umfang und Anwendungstiefe je nach Projekt lohnt es sich in jedem Falle, diese Grundlagen zu definieren und eine umfassende Klassifizierung bezüglich z.B. Schutzniveau, Schutzklasse, Schadenspotential, personenbezogenen Daten umzusetzen und zu unterhalten. Je nach benötigten Überwachungsparameter können mittels adäquaten unterstützenden Automatismen oder Monitoring-Systemen oder Monitoring-Methoden wie z.B. SCADA (Supervisory Control and Data Acquisition) oder Cloud-Monitoring-Systemen das operative bzw. „on going“ Sicherheits-Level (Betriebs- und Angriffs-Sicherheit) integriert überwacht werden.

Mit einem weiteren Hilfsmittel und Methode wie z.B.  BASMP (Built Asset Security Management), der Sicherheits Bewertung AIR (asset of information requirements of security) kann man entsprechende Anwendungsgrade erkennen und anwenden.

Damit ein solches Gesamt-System funktioniert und wirklich gelebt werden kann ist mittels entsprechenden weiteren Massnahmen und KnowHow-Transfer auch die Sicherheit auf Stufe der  Anwender (EIR employer’s information requirements of security) speziell zu integrieren in einem wiederkehrenden, «security minded» Sensibilisierungs-Prozess.

Damit auch externe dritte Akteure die gemeinsame Verantwortung des definierten Gesamt-Sicherheitssystem mittragen können müssen diese möglichst früh sensiblisiert, involviert, befähigt und bei Bedarf sogar zertifiziert werden.

Letztlich kann nach der möglichst umfassenden Integration aller Akteure (inkl. auch Vertragsrelevanzen) und entsprechenden Datenschutzfolgenabschätzungen auch die Organisation und Prozesse definiert werden für ein Incident Response Management mit Vorgaben für z.B. Sicherheitsvorfälle, Meldepflichten, Definition des Data Protection Officers DPO, Krisenkommunikation.

Aufgrund der Komplexität des Security Themas in einer Gesamtsicht ist es unumgänglich, die Zuständigkeit und Verantwortung je nach Projekt und teilnehmenden Akteure neu zu definieren innerhalb der teilnehmenden Akteuren (mit teilweise schon Erfahrungen und adaptierbaren «best practices» hierbei) oder externen Dienstleistern.

Je nach Umfang des Projektes oder Vertrages kann es mitunter nötig sein, weitergehende Analysen und präventive Massnahmen evaluieren zu lassen durch weitere Fachbereichs-Spezialisten für z.B. juristische, vertrags-technische, finanz-technische, ICT-security-technische Aspekte um evaluierte, absehbar weitergehende vitale Risiken zu minimieren.

Die Projektanforderung (das Was) rund um die Sicherheit sind adressiert in der  Sicherheits Bewertung AIR (asset of information requirements of security) und unterscheiden sich bzw. müssen gemappt bzw. stufengerecht adaptiert werden auf die Stufe der  Anwender (das Wie > EIR employer’s information requirements of security).

Bei vielen Bereichen sind unterschiedliche oder nicht abschliessende Definitionen erkennbar bei welchen nicht alles eindeutig festgestellt ist für das «Was», «Wie» und «Wann» und sind deshalb genauer zu definieren, um darauf basierend, auch die adäquat zur Verfügung zu stehenden Services rund um ICT bzw. Security orchestrieren zu können je nach Projekt. Hierzu sollten Elemente und Orientierungspunkte entsprechende schutzklassen-gerechte Anwendung finden aus Normen, Frameworks, Methoden wie z.B. PAS1192-5, CPNI, CEN, ISO (z.B. 27xxx), BSI, BS, OSSTMM, IFC, ITIL, CobIT, NIST, NCSC und anderen internationalen Standards.

Ein höherer BIM-Maturity-Level bzw. „Business Model Maturity“ kann grundsätzlich nur ganzheitlich erarbeitet, erreicht und erhalten werden, wenn alle Elemente auf dem adäquat angepassten Level durchgängig prozessual und technologisch passen und funktionieren >> also auch eine entsprechend passende Maturität der Gesamtsicherheit (Security Maturity Level)

Weitere Artikel:

https://fridelonroad.wordpress.com/2017/11/19/cybersecurity-und-sicherheit-ist-eine-gemeinsam-geteilte-verantwortung-security-awareness-7/

https://fridelonroad.wordpress.com/2018/02/08/bim-startet-durch-es-stellt-sich-aber-die-frage-nach-der-sicherheit/

https://fridelonroad.wordpress.com/2018/03/06/shre-to-evolve-45-licht-in-die-jahrelang-dynamisch-gewachsene-schatten-informatik-shadow-it/

https://fridelonroad.wordpress.com/2018/02/08/100-sicher-ist-die-digitalisierung-ist-durchgestartet-und-etabliert-sich-aber-ist-diese-technologisch-99-sicher-genug/

https://fridelonroad.wordpress.com/2018/01/05/shre-to-evolve-44-ict-glossar-teil-2-sensibilisierung-und-verstaendnisfoerderung-in-digitalisierung/

https://fridelonroad.wordpress.com/2016/01/24/the-bim-bang-heiliger-bim-bam-das-streben-nach-business-excellence-transformiert-die-bauindustrie/

https://fridelonroad.wordpress.com/2014/10/09/99-sicherheit-mensch-prozesse-technologie-risk-management/

100% «sicher» ist: BIM ist durchgestartet und etabliert sich. Aber ist BIM technologisch 99% «sicher» genug?

„100% «sicher» ist: BIM ist durchgestartet und etabliert sich. Aber ist BIM technologisch 99% «sicher» genug?“

Fridel Rickenbacher
Unternehmer, geschäftsführender Partner, VR, Fachgruppen-/Verbands-Aktivist und Partner, Akteur und Projektleiter bauen-digital.ch für die These «BIM ICT-Architektur- / Security- / Audit-Framework > Security minded building information modelling».

Die Industrie 4.0 und die entsprechende Digitalisierung der Planungs- und Bau-Prozesse mittels BIM fordert integrierte und robuste Prozesse als Rückgrat der “massive interconnected”, integrierten Schnittstellen und Collaboration.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen / sicherem Coding mit dem Fokus auf maximales, auditierbares «Security by design» mit dem Ziel der bestmöglichen Angriffs- und Betriebs-Sicherheit bei maximalen Datenschutz- / Privacy-Aspekten unterstützt werden.

Ein solches denkbares «Security minded» Modell dient auch als Sensibilisierung / Mindset zur maximalen Sicherheits-Orientierung und Auditierbarkeit in Systemarchitekturen mit allen Akteuren. Entsprechende Akteure Mensch – Prozesse – Technologie sind gemäss deren Stärken und Schwächen zu befähigen und passend einzusetzen.

Jedes digital unterstützte ist bekanntlich nur so gut wie das schwächste Glied in der «massive interconnected» Kette. Ein einzelnes Ketten-Glied oder Zahnrad im Getriebe kann bei Problemen entsprechende vitale Verfügbarkeitsdefizite zur Folge haben mit leicht vorstellbaren, kostspieligen Auswirkungen auf die digitalen Planungs- und Bau-Prozesse.

Im Zeitalter der totalen Vernetzung (“massive interconnection”) nimmt ebenfalls der Bereich “Sicherheit von verteilten Systemen” einen sehr grossen und mitunter auch business kritischen Stellenwert ein.

Hierbei sind auch übergreifende Verwaltungs-Parameter wie Zugang / Identität / Rechte / Privacy / Verschlüsselung/ Klassifizierung einzubeziehen.

Mittels einem möglichst trenderkennenden, gar vorausschauendem Monitoring- und Reporting-System kann die Resilienz eines solchen Gesamtsystem zusätzlich unterstützt und optimiert werden.

Der Anspruch von möglichst «Open Systems / Standards» und auch «Datenhoheit der Datensubjekte» verlangt nach ebenso möglichst offener (cross-connect, transparency) aber zugleich möglichst sicherer Datenbehandlung / Collaboration der Akteure (Mensch und Prozesse). Dies leider als nicht überall vereinbarer Widerspruch zwischen Offenheit und jedoch möglichst isolierten, geschlossenen Systemen bei möglichst maximalen Sicherheits-Stufen.

Hierzu sollen möglichst produkte- und methoden-neutrale Ansätze / Fragestellungen zu nachhaltigen Lösungen führen zugunsten von optimierter Angriffs- und Betriebs-Sicherheit.

Basierend auf gängige Industriestandards (Stand der Technik) wäre es anzustreben, dass jede Firmen- / Projekt-Grösse solche entsprechende “best practices” adaptierbaren kann.

Durch das Inventarisieren und Klassifizieren von Systemen / Schnittstellen und Daten können rasch und effizient erste Grundlagen und Schritte vollzogen und erreicht werden auf dem Weg zum Ziel der für BIM nötigen integrierten, sicheren Collaboration. Je nach Vernetzung des Gesamtsytems sind möglichst auch firmen-, system- und organisations-übergreifende Aspekte zu bewerten.

Durch ein solches prozessuales und technisches Register sind auch erste unterstützende Grundlagen und erste Tätigkeitsnachweise geschaffen für kommende Regulationen rund um den Datenschutz (z.B. CH-DSG, EU-DSGVO/GDPR, ePrivacy). Deren immer weitergehenden Anforderungen für Auskunftspflichten, Auskunftsperson, Beweispflicht, Meldungsprozess, Datenschtzfolgeabschätzung, Audit von übergeordneten Rechten von Daten-Subjekten bedürfen entsprechend einer umfassenden Beurteilung und Nachweis.

Eine nachhaltige ICT-System- und Methoden-Entwicklung sollte möglichst offen formuliert gestaltet und ausgerichtet werden im Sinne der sich laufend dynamisch weiterentwickelndem «Stand der Technik / state of the art technology» und Datenschutz-Anforderungen. Solche «offenen» Formulierungen sind schon länger zu beobachten, auch in Bereich von Vernehmlassungen zu Normen und Gesetzen oder Vertragsbestimmungen.

Im Zuge der sich rasant weiterentwickelnden Technologien rund um auch Artificial Intelligence / Künstliche Intelligenz (AI / KI) oder dem Teilbereich “Machine Learning (ML)” liegt es in Zukunft auf der Hand, dass entsprechende Cyberattacken, Staats-/Industrie-Spionage oder weitere Innovationen und Hypes solche fortwährenden, offen formulierte Orientierungen an «Stand der Technik / state of the art technology» unumgänglich und matchentscheidend machen.

Themengezielte Orientierungen an aktuelle “Stand der Technik” / “best practices” Adaptionen wie die britische PAS 1192-5:2015 (derzeit als Beispiel einer der wenigen Orientierungspunkte im Bereich des BIM-Maturity-Levels für diesen Teilaspekt ICT / Security) sind weitere Hilfsmittel und Orientierungspunkte auf dem Weg einer nachhaltigen, aber möglichst offenen Gesamtsystem-Entwicklung. Ebenfalls unumgängliche Anlehnungen an Datenschutz Regulationen in der Schweiz und Europa zu Aspekten wie z.B. Datenschutz CH-DSG, EU-DSGVO / GDPR, e-Privacy, Elektronische Identität CH-e-ID, elektronische Identifizierung EU-eIDAS sind sehr relevant.

Eine entsprechend intelligent orchestrierte, vollintegrierte ICT-Gesamtarchitektur / Framework mit Maximierung von Angriffs- und Betriebs-Sicherheit wird zu einer mittragenden Säule in diesem Anwendungsfall für die interdisziplinäre Erreichung des möglichst höchsten BIM-Maturity Levels. Branchen- oder themenspezifische Audits oder gar Zertifizierungen dienen hierbei als weitergehende Qualitätsmerkmale und Differenzierungs-Elemente im dynamischen Marktumfeld.

100% sicher ist ebenfalls: Es gibt keine 100% Sicherheit – für nichts und niemanden.

Die Krux von BIM bzw. Digitalisierung: Neue Geschäftsmodelle im Digitalisierung Zeitalter mit zunehmendem Fokus auf «data monetization» und “business model maturity” basieren zunehmend jedoch zu 100% auf integrierte Akteure, Prozesse, Daten und Systeme und deren sicherzustellenden Verfügbarkeiten.

 

The BIM bang?! Heiliger BIM Bam? Das Streben nach Business Excellence transformiert die Bauindustrie

the-bim-bang

BIM ist Realität und weckt Hoffnung in eine adaptierbare Innovation
Die Interessengemeinschaft „Bauen Digital Schweiz“ ist offiziell gegründet worden an der Swissbau in Basel. Nebst bereits bestehenden, älteren Vorstössen, anderen Organisationen und bereits „pionier-artig tätigen“ Firmen der Bauindustrie weckt dies weitere Hoffnungen und Erwartungshaltungen in dieses verheissungsvolle Kapitel der transformationellen, industriellen (R)Evolution und auch Nachholbedarf.

Sie erreichen den Artikel auch unter folgenden Links:

http://www.sustainblog.ch/20162220/the-bim-bang-heiliger-bim-bam-das-streben-nach-business-excellence-transformiert-die-bauindustrie

http://internet-fuer-architekten.de/the-bim-bang-heiliger-bim-bam-das-unermuedliche-streben-nach-business-excellence-transformiert-die-Bauindustrie

Wandlungsdruck zur Transformation, Innovation und Digitalisierung
Der Wandlungsdruck in allen Businessprozessen aufgrund aktuellen und künftigen BIM-Anforderungen (beginnend bei Wettbewerben oder Ausschreibungen) und auch noch ungenutzten Produktivitätspotentialen erzwingen entsprechende stufengerechte Massnahmen in Richtung von digitalisierten Bau-, Planungs- und Betriebs-Prozessen.
Wer glaubt, diese vermeintlich nur temporär existente „Wolke“ vorbeiziehen lassen zu können, wird sich definitiv „vom Regen in der Traufe“ wiederfinden und die anstehenden und vorallem künftige Potentiale des Bauindustrie-Marktes verpassen.
Hierbei dürfte den meisten Experten klar sein, dass auch regulatorische oder normative Vorgaben den Weg in diese bauindustrielle Transformation klar vorgeben werden wie es bekanntlich in anderen Ländern schon zwingend ist.

Breitere Akzeptanz durch adaptierbarer Praxisnutzen?
Wenn es die diversen Fachgruppen, normativen Vorgaben oder Interessengemeinschaften schaffen, stufengerechte – und wirklich auch adaptierbare – sinnvolle Hilfsmittel, Merkblätter, Tools zu etablieren wird der breiteren Akzeptanz in hoffentlich jeder Grösse von Planungsbüros wenig im Wege stehen.
Die jahrzehntelang gelebten, eigenen Bürostandards (auch mitunter mangels eben adaptierbaren Tools) vermögen die künftigen BIM-Anforderungen nicht mehr einfach so abdecken. Hier ist ein grosser Bedarf und ein grosses Potential an zukunftsorientierter Modernisierung.

Nichts ohne Standardisierungen und Normierungen
Im nationalen und vor allem internationalen bzw. immer professionelleren Wettbewerb der „challenge-gewohnten“ Planern und Gebäudetechnikern sind dringlichst griffige und adaptierbare Standards und Normen zu entwickeln und zu etablieren.
Einige bereits im BIM-Thema „pionierartig“ tätige Unternehmen stellen die Speerspitze dieser (R)Evolution dar und engagieren sich verdankenswerterweise zum Glück auch in Interessengemeinschaften („best practices“), Fachgruppen, Berufsgruppen oder im Normenwesen (Regulierung).
Entsprechende Fach- und Impulsveranstaltungen finden immer besseren Anklang und Nachahmer.

Akzeptanz und Verbreitung – beginnend bei der Ausbildungspyramide
Die besagten, teilweise jahrzehntelang funktionierenden und gelebten Büro- oder auch Softwarelieferanten-Standards können in der Realität meist leider nur mit frischem, modernen Wissen von Lehrlingen, Studenten, neu rekrutierten Fachkräften oder neuen Partnern weiterentwickelt werden.
Umso wichtiger ist es, dass die Ausbildungs- und Weiterbildungs-Basis zu den BIM-Themen möglichst rasch und in naher Mit- und Zusammenarbeit mit den Bildungsstätten implementiert und gefördert werden.
Das speziell in der Schweiz unverändert sehr beliebte und statistisch gesehen offenbar sehr erfolgreiche Dual-Bildungssystem im Bereich z.B. der Zeichner- / Berufs-Lehren sollte auch entsprechend reformiert werden mit neuen Fach-Kompetenzen oder Fach-Ausrichtungen.

Dichte und Intensität der vernetzten Datennutzung und digitalen Supportprozesse
Die bereits jetzt schon allgegenwärtige Nutzungstiefe von digitalen Helfern in den Planungs-, Bau- und Betriebs-Prozessen wird massivst an Dichte und Intensität zunehmen. Dies wird auch Auswirkungen haben auf die Bauinformatik und deren Support-Prozessen.
Hierbei werden weitere Herausforderungen in Bereichen von z.B. der geräte- und standortunabhängigen Vernetzung und der interdisziplinären Zusammenarbeit in verteilten, internationalisierten Projektteams und Stakeholders einzelne bestehende und auch neue Berufsbilder (z.B. Operator, BIM-Manager, Data Analyst, Technology architect) der Bauindustrie nachhaltig verändern oder gestalten.
Unschwer ist erkennbar, dass eine solche Transformation nur mit gut aufeinander abgestimmten, unterschiedlichsten Faktoren zu einer Art „vernetzungsbasiertem“ Erfolg führen kann. Diese vernetzungsbasierte und interdisziplinäre Weiterentwicklung könnte einzelne Lücken der gesamten Wertschöpfungskette digitalisiert schliessen.

Expertise, Entwerfen, Entwickeln, Zeichnen, Kreativität – nicht alles ist (zum Glück) digitalisierbar
Trotz der herrschenden Euphorie und mitunter auch blinder „Systemgläubigkeit“ sollte das Selbstbewusstsein und Notwendigkeit für das „ursprüngliche“ Berufshandwerk und Expertise nicht verloren oder vergessen werden.
In einem zunehmend globalisierten – und ev. mal im BIM-Bereich strenger regulierten – Wettbewerb werden genau diese verbleibenden und weiterzupflegenden Expertisen zu diversifizierenden „analogen“ Merkmalen verhelfen in der „digitalen“ Revolution und „Industrie 4.0 Economy“. BIM verlangt unverändert nach Expertise und Erledigung der einzelnen (und teilweise neuen) Teil-Projektarbeiten – nun einfach mit noch grösserer Präzision und integrierter Qualität.

Umdenken und Wertschätzung nötig – bei allen Akteuren in der Bauindustrie
Die künftigen Anforderungen der intensiver geprägten und z.B. früher in Vorprojekt-Phase startenden Zusammenarbeiten könnten die klassischen Planungs- und Bau-Prozesse nachhaltig verändern in Richtung von „shared benefits and shared risks“.
Das könnte ebenfalls zur Folge haben, dass entsprechende (Zusatz-)Aufwändungen in der Vorprojekt- oder Prototyp-Phase bereits der Bauherr / Besteller gemeinsam mitträgt und ja auch bereits in dieser Phase schon echte Gegenwerte erhält und Mehrnutzen daraus generieren kann.
Diese Änderung zu einer Art „integrated project delivery“ mit entsprechend riesigem Potential (z.B. direkt vom BIM-Modell auf die Produktionsstrasse / 3D-Druck / CNC-CAM / Fertigung oder Simulation / Facility Management System) bedarf auch entsprechende Anpassungen in den Bereichen Honorarordnung und Urheberrechte.
Diverse Aspekte – unabhängig von der „prozesstechnischen oder technologischen“ Betrachtungsweise – in Fragen wie: Wer ist „owner of benefits“ ? – Wer trägt das Gesamt-Risiko des angewandten BIM-Modells ?

Transformation und Innovation helfen beim Krieg um Talente – “war for talents”
Ein Unternehmen beherbergt letztlich die Mitarbeiter welches es verdient (das beruht theoretisch auf Gegenseitigkeit…). Ein Mitarbeiter welcher hierbei mit den besten Strategien, Prozessen, Services, Technologien unterstützt wird und dabei weniger Reibungsverluste infolge z.B. ineffizienter / arbeitszeitverschwenderischen Arbeitsweise, Defiziten in der Work-Life-Balance zu beklagen hat wird besser an den gemeinsamen Firmen- und Projekt-Zielen mittragen können und dies letztlich motivierter auch wollen… Wenn diese Attraktivitäten auch noch in einer gut positionierten Transformations- / BIM-Strategie gebündelt anzutreffen sind, steigert das ebenfalls die Arbeitgeber- / Arbeitgeber-Attraktivität zugunsten der Rekrutierung und Retension von Talenten und Nachwuchs.
Die Arbeit ist dank den bereits heutigen und künftigen Technologien eine sinnvolle Aufgabe und nicht mehr nur ein funktioneller Ort. Durch eine entsprechende Transformation könnte diesem Trend der Standortunabhängigkeit eine dosierte und auch gewinnversprechende Wendung herbeigeführt werden. Ein Gewinn kann in der nicht immer nur monetär zu wertenden Optik hierbei nur schon das “Ernten der investierten Saat” in Form von z.B. Vernetzung, Wissenstransfer, gemeinsamer Forschung und Weiterentwicklung, besseren Vermarktung oder auch “Zufalls-Neben-Produkte” sein.

Quo vadis mit/nach BIM – Nächste Generation der digitalen Baurationalisierung
Der ganze Bau-Lebenszyklus wird zunehmend voll-digitalisiert. Die Nutzungsphase der Bauten steht ebenfalls in einer Transformation in Richtung von „Smart / connected Home“ und auch „digital unterstütztes oder betreutes Wohnen“.
Das entsprechende Planen und Modellieren von Raum, Leben, Nutzung – bis hin zu möglichst vorgängig ebenfalls attributiertem Rückbau und Recycling – wird immer mehr gepaart mit Technologie-Aspekten und entsprechend hierfür benötigten, neu mitarbeitenden, interdisziplinär agierenden Technologieexperten.
In Bezug auf auch die demografisch bedingte Weiterentwicklungen von Lebens- und Nutzungsräumen in z.B. Heimbetreuung, Pflegezentren, Generationswohnräumen werden künftig auch Inputs von Fachexperten aus den Bereichen Gesundheit, Pflege oder Psychologie einen Einfluss einnehmen bis zurück in den Entwurf, Planung und Bau.

App Economy, Services, Cloud, Big Data, IoT, SmartCities
Im Zuge der zu erwartenden weitergehenden, totalen Vernetzung von dynamisch integrierten Daten-Quellen aller am Planungs- und Bauprozess beteiligten Firmen, Lieferanten (Systeme, Bauteile, Elemente, Komponenten, Baustoffe etc.), Unternehmen, Subunternehmen, Produzenten wird allenfalls ein zentralisierter, „intelligenter moderner Marktplatz“ entstehen aus welchem dann der Planer die entsprechenden Planungs- und Bauelemente auswählen und integrieren kann in den Entwurf und Planung.
Hierbei könnte es zu einer Weiterentwicklung kommen in welcher dann die Lieferanten die BIM-konformen Daten in einer Art „Bring-Schuld-Prinzip“ anliefern und dynamisch aktuell halten und auch eben „mit-verantworten“ müssen.
Ein solches sicheres Rückgrat der Bau-Digitalisierung für Raum und Leben – künftig davon abhängigen „smart cities“ – müsste dann entsprechend in Bezug auf Angriffs- und Betriebssicherheiten basiert sein auf modernen und auch offenen Hybrid-Cloud-Systemen.
Dabei spielen Entwicklungen in den Bereichen von BigData, IoT (Internet of Everything) und auch von „App Economy“ und „Market Places“ eine gewichtige Rolle.
Die Nutzung von „IoT“ durch z.B. Sensoren, Drohnen, Gebäudeleitsysteme GLS oder Robotik im Planungs-, Bau- und Betriebs-Prozess setzt integrierte und beherrschbare Daten und sichere Systeme voraus.
Man stelle sich vor, dass dann im Zuge der Weiterentwicklungen im Bereich „Monetizing“ oder „App Economy“ plötzlich ein Daten-, Normen-, Software- oder Bauelementlieferant volltransparent auch per App oder Store kommentiert, „liked“ oder „favorisiert“ werden kann – und dies seitens Planer, Unternehmer, Eigentümer, Bewohner oder Immobilienbewirtschafter.
Im Bereich von „Big Data“ werden riesige, per „Data Mining“ und „Data Analytics“ ausgewertete Datenmengen der „Big BIM Data Cloud“ mithelfen die Prozesse laufend weiterzuentwickeln.
In Fachthemen von z.B. Nachkalkulation, Optimierungen, Normenwesen, Entscheidungen oder gar Unterstützung mittels „Predicted Computing“ in Simulationen oder Frühwarnsystemen z.B. auch für die Gebäudebewirtschaftung werden weitere Forschungs- und Entwicklungsfelder entstehen.

„Big BIM Data Cloud“ wird zur Innovationsmaschine ?
Es könnte sich eine Art „Big BIM Data Cloud“ etablieren welche durchaus auch Unterstützung und Potential bieten könnte für Themen im Bereich „Nachhaltigkeit“, „Cleantech“, moderne Gebäudeleitsysteme / Facility Management oder eben „smart / connected home“ und letztlich volldigitalisierten „smart cities“ mit volldigitalisierten Nutzern.
Eine konsequent gefolgte oder gelebte Transformation oder BIM-Idee – angelehnt an die Firmenstrategie – wird mit entsprechend strategisch gelegten Visionen und Missionen auch im Bereich des Innovationsmanagement diverse Optimierungen und neue Chancen am Markt etablieren.
Hierbei entstehen vorderhand entsprechende Investitionen und Kosten für alle Beteiligten und fordert letztlich auch eine Portion Mut um in Richtung von neuen Ufern aufzubrechen.
Das Erreichen dieser neuen Ufern werden dann mittelfristig mittels Effizienzsteigerungen und Qualitätsoptimierungen belohnt.

Gretchenfrage: who takes the lead?
Wird nun der Architekt, Ingenieur, Fachplaner oder gar eines Berufsbild z.B. BIM-Manager oder BIM-Koordinator einenübergeordneten Lead im BIM-Bereich übernehmen?
Oder wird sich im Rahmen von auch Knowledge / Information Management eine separate Stabstelle etablieren (je nach Organisationsgrösse) oder gar externe, eingekaufte Expertisen (Konzentration auf Kernkompetenzen) vonnöten sein?
Je nach Weiterentwicklung im BIM-Bereich und unter dem Aspekt „shared benefits and shared risks“ könnte eine solche bewusste Gewaltentrennung auch seitens des Bestellers, Versicherers, Investors, Behörden gar vorausgesetzt werden in Zukunft.

Evolving from system management to services management with „best out of all clouds“

itsm-landing-pg_shutterstock_106100270

Erst wenn “Licht” in die jahrelang dynamisch gewachsene <Schatten-Informatik>  (Shadow IT) gelangt, kann die befreite Basis und nötige Transformation entstehen für neue Geschäftsmodelle.

Jahrzehntelang mussten mangels echter Alternativen die Business-Prozess-/Anforderungen abgebildet werden mit lokalen ICT-Support-Prozessen und auch bis dato funktionierenden und stets als robustes “Rückgrat” fungierenden “best practices” basierten System-Umgebungen.
Viele Hypes und Trends in Bereichen wie “bring your own devices (byod)”, “new economy”, “cloud computing” und der stetig (längs überfälligen…) aufholenden Industriealisierung und Automatisierung in der ICT veränderten auch die seitens Mitarbeiter und Führungsebene angewachsenen Bedürfnisse im “Fokus des Nutzens versus Technologie”

ICT in den Führungsgremien – Innovation und Marketing in der ICT
Als eine weitere “disruptive” Entwicklung im fortwährenden Kampf der Diversifizierung im Mitbewerber-Markt war die Umkehr der Kräfteverhältnisse. Früher war die Basis von neuen halbwegs durchgängigen und umsetzbaren Prozesse und Produktion mit-gelegt worden seitens der damals zur Verfügung stehenden ICT-Lösungen. Seit längerer Zeit müssen sich geradezu umgekehrt die ICT-Support-Prozesse richten an den Anforderungen des dynamischen Marktumfeldes (z.B. time to market) und adaptierbaren Innovationen. Diese Paradigmawechsel hatte (zum Glück…) auch die Folge, dass ICT-KnowHow gefragt war in der Führungsebene für auch Themen wie IT-Strategie, Compliance, Risk.

(R)Evolution auch im ICT-KnowHow
Dieses ICT-KnowHow in der Führungsebene hat sich mittlerweile innert kurzer Zeit (und auch angetrieben durch die massivst laufend (r)evolutionierten  Cloud Services) ebenfalls bereits wieder verändert vom ursprünglich gegebenen eher technischen ICT-KnowHow zum nun eher services- und nutzungs-orientierten Prozess-KnowHow.
Im Fokus stehen zunehmend die Nutzungs-Aspekte, Anwender – und letztlich die Kunden -und entsprechend änderten sich die gesuchten Qualitäten von reinen Spezialisten zu Generalisten mit auch “nicht-technischen”, aber prozessualen Kenntnissen.

Take back control and then evolve … – hervor unter dem Pult und dann offen für die Welt
Die vielen “unter den Pulten” gewachsenen und auch gelagerten (…) ICT-Systeme sind in vielen Fällen selbstverständlich erweiterbar und kombinierbar mit/als Hybrid-Cloud-Services. Mittlerweile sich stark veränderte Marktbedürfnisse, “time to market”-Aspekte und auch die oben beschriebenen Anforderungen der Führung / Firmeninhaber / Aktionären machen es nicht einfacher, die vielfach sonst schon “eher blockierten” Systeme in der verlangten Zeit und Qualität zu transformieren.
Die lückenlose Transparenz und letztlich volle Kontrolle zurückzugewinnen – bei auch besser bewertbarem Risiko-Management – ist entsprechend und verständlicherweise teilweise verbunden, mit der schrittweisen Transformation auf zukunftsorientierte, budgetierbare und skalierbare Hybrid Cloud Services.

Betriebssicherheit (Safety) und Angriffssicherheit (Security) durch/in der Cloud
Unter dem Aspekt von z.B. “Schatten-Informatik (shadowIT)”, Anforderungen von “new economy”, Abhängigkeit von Mitarbeiter / KnowHow-Träger und entsprechenden Qualitätsaspekten und sich stark veränderten Bedrohungslage sind auch in diesen Aspekten die Anforderungen an die entsprechenden Prozesse und Systeme im Sicherheitsbereich und im Risk-Management-System hochkomplex geworden.
Diese Herausforderungen welche auch zunehmend getrieben sind durch Revisions-Stellen, Audits, Complianceanforderungen (z.B. DSG, DSGVO / GDPR) – und der mittlerweilen zunehmend wahrgenommenen Verantwortung auf Führungsebene – zeigen ebenfalls zu einem neuen Trend. Der Trend zur Ausfall-Risiko-Optimierung und Gewaltentrennung (Unabhängigkeit von “internen” Maschinen und “internen” Menschen) durch Nutzung von externen, orchestrierbaren Services in Bereichen wie Security, Systemredundanzen, Disaster Recovery Services, standortgetrenntes Backup, Monitoring und Alarmierung und auch Servicedesk as a Service.

Neue Freiheitsgrade und Potentiale durch Fokus auf orchestrierbare Services gegenüber kopf-abhängiges System-Management
Passend orchestrierte Hybrid Cloud Services und völlig neue (bisher nur erschwert erreichbare) Managed Services und dosierte Öffnung zur “new economy” / neue Geschäftsmodelle ermöglichen auch neue Fokussierungs-Möglichkeiten. Dadurch entsteht auch die Chance und Herausforderung, effizient “Licht in die Schatten-Informatik” zu bringen. Die Verlässlichkeit, Standard und Sicherheit der Analogie zum “Strom aus der Steckdose” oder des “Wasser aus dem Wasserhahn” ergibt auch in der ICT die Möglichkeit, sich auf die Nutzung oder «Genuss des Stroms oder Wassers» zu konzentrieren (eine Art Services Management).
Diese Analogie sollte und wird auch entsprechend immer mehr Einzug halten in den ICT-Umgebungen und mit-helfen, neue Konzentrationen zu ermöglichen auf gelieferten Services von hoch-standardisierten / spezialisierten Anbieter. Dieser reinen Nutzung im Gegensatz zu reiner selbstproduzierter, mitunter aufwändiger Technik mit teilweisen Defiziten in der Verfügbarkeit bzw. Lieferbedingungen (Wasser aus dem selbstgegrabenen Wasserloch ? und Strom produziert vom eigenen Dynamo ?)
Dadurch können die Kernkompetenzen und die internen Prozesse weiter optimiert und die dosierte Weiterentwicklung zu neu adaptierbaren Geschäftsmodellen vorangetrieben werden. Dies auch mit der Befreiung und Entlastung der bisher teilweise “blockierten” KnowHow-Trägern oder “festgefahrenen” Systemen mit bisher beschränkten Skalierung.

“best out of all clouds” und «Stand der Technik»
Um sich als Konsument im Dschungel der unterschiedlichsten und nicht immer vergleichbaren Angeboten zurechtzufinden braucht es z.B. Vergleichstests, Angebotsportale, erfahrene Berater oder aber Gesamtanbieter (Solution Brokers, Managed Services Anbieter) mit entsprechenden weitergehend unterstützenden Branchenerfahrungen und Referenzen. Solche erfahrene und auch offizielle zertifizierte Gesamtanbieter – welche dann auch als Gesamtansprechpartner (single point of contact) sämtliche Herausforderungen abdecken, Probleme beheben und vorallem die besten Lösungen finden – haben sich über Jahre und aus eigenen Erfahrungen / entsprechendem Branchenwissen, die am besten orchestrierbaren und bestens bewährten Services aufgebaut. Da solche Gesamtanbieter teilweise dann auch über die entsprechenden zertifizierten Kompetenzen und spezielle Support-Verträge mit den Services-Lieferanten, haben profitiert der Kunde zusätzlich. Dieses “unbezahlbare” und aber für Kunden mittlerweile nutzbare Wissen, Skalierung und letztlich Vorteil gegenüber Mitbewerbern stellt den Anspruch sicher, dass die Endlösung wirklich basiert auf den maximalst bewährten, standardisierten und automatisierten “Managed Cloud Services” mit dynamischem Fokus auf «Stand der Technik». Durch genau solche auf “best out of all clouds” basierten Lösungen bleibt die Lösung standardisierbar, skalierbar, beherrschbar und letztlich auch unabhängig von den Anbietern. Aufgrund dieser zukunftsorientierten Nutzung entsteht eine nachhaltige Lösung mit fortwährenden Bestreben zum «Stand der Technik» und Einhalten von Compliance Anforderungen wie z.B. DSG, DSGVO / GDPR.

“Innovativ mit-denken, qualitativ handeln”
Dieser auf den ersten Blick einfach aussehende Idee, Anspruch und denkbare Anforderung für eine normale Weiterentwicklung von Prozessen oder Geschäftsideen funktionieren eben nur wenn man sich von möglichst vielen unterstützenden Themen (wie eben Wasser, Strom, Cloud…) entlasten und sich befreit, ungestört konzentrieren kann auf den «Reifegrad des eigenen Geschäftsmodells».

Change und Innovations Management inklusive
Viele solche Projekte gehen mitunter viel weiter und je nach Erfahrungen des gewählten Service Providers kann dieser den Kunden auch weitergehender beraten und begleiten. Weitergehend eben als nur die einmalige Planung, Migration und Betrieb der orchestrierten Cloud-Lösung sondern viel mehr auch im nötigen Change Management, Nutzungsoptimierung, Bewertung und Weiterentwicklung von adaptierbaren Innovationen oder Aufbau von neuen Basen für neue Geschäftsmodellen.

Zu guter letzt und wiederkehrend… Training, Befähigung und Weiterentwicklung
Bekanntlicherweise wird nur jeweils ein Bruchteil der effizienzsteigernden Features genutzt. Es ist lohnenswert durch eine fortwährende Nutzungsoptimierung, die enthaltenen, mit-lizenzierten Features mittels entsprechenden Lösungs-Demonstrationen und darauf aufbauenden Trainings und “best practices”-Workshops, diese Zusatz-Nutzen-Aspekte zugänglich zu machen. Die laufenden Services- / Features-Weiterentwicklungen können dann auch einfacher / kontinuierlich in der eigenen Weiterentwicklung / Effizienzsteigerung der Organisation nach-geschult und integriert werden.
Letztlich führen solche Werkzeuge / Möglichkeiten / Effizienzsteigerungen mitunter auch zur Optimierung und Unterstützung der Arbeitgeber-Attraktivität und Mitarbeiter-Motivation.

Adaptierte Innovation und Evolving in der Bauindustrie-Informatik

civil22

Der Wandlungsdruck in allen Business-Prozessen (z.B. heruntergebrochen auch in der Planungs-/Büro-Automatisation) aufgrund aktuellen und künftigen Anforderungen und Potentialen des Marktes, Auftraggeber, Mitbewerber, Regulatorieren setzen unteranderem auch die maximal effizient funktionierenden Hilfsmittel (z.B. passend orchestrierte ICT- / Cloud-Services) voraus.

Trends wie Mobility, Cloud (z.B. „People centric ICT“), Information (Stichworte BIM, Datenaustausch, GIS, BigData, IoT, App Economy, Baudigitalisierung) Social (Stichworte z.B. Outputs / Impacts laufend „liken“ und bewerten von Akteuren und an z.B. Mitarbeiter-Gesprächen miteinbeziehen) werden weitere Impacts auf „digital economy“ bzw. neue Business-Modelle im ganzen Planungs- und Bau-Prozess mit-prägen.

Die Unternehmen brauchen zunehmend eine durch Spezialisten passend orchestrierte „Insel der Ordnung“ in einer chaotisch dynamischen und dauer-hypenden Cloud-Welt. Traditionelle, auch interne ICT-Services und Ansätze stossen hierbei immer mehr (oder schon länger …) an ihre Grenzen.

Dass dabei sich immer mehr eine „Maxime der Spezialisierung auf die Kernkompetenzen“ die Gesamtdienstleistung auf mehrere hochspezialisierte Dienstleister (z.B. Partner, Subunternehmer) oder Services (z.B. „best out of all clouds“) stützt und nicht mehr alles alleine beherrscht werden kann (Nutzungs-Fokus versus Eigenbetriebs-Fokus, make or buy) kristallisiert sich immer mehr heraus.

Bei vielen Organisationen werden (müssen…) intern, nachvollziehbare und verständlich auch so dynamisch gewachsene Schatten-Informatik-Umgebungen zukunfts-ausgerichtet re-organisiert zugunsten der nötigen Optimierung, Transparenz, Transformation, Risiko-Management, Safety/Security und letztlich mitunter auch Chance der Rückgewinnung von Kontrolle und Vertrauen seitens der dafür verantwortlichen Führungsebene.

Die Daten-Intensität / -Dichte und Weiterentwicklungen in den Bereichen der innovativen Co-Information-Worker-Arbeitsmodelle und (Cloud)-Technologien fordern auch die Arbeitgeber, deren eingesetzten ICT-Services (und in Zukunft zunehmend auch „machine learning based“ unterstütztem Informations-Management) bezüglich deren Arbeitnehmer-Attraktivität und „war for talents“ (eine der massgebenden Zukunftsaufgaben der Unternehmen). Dieser Krieg um die besten bzw. passendsten Mitarbeiter wird auch im Bereich des HRM geprägt sein von dynamischer Individualität (als Megatrend), flexiblem Freiheitsgrad und komplexer Vereinbarkeit.

Ein Unternehmen beherbergt letztlich die Mitarbeiter welches es verdient (das beruht theoretisch auf Gegenseitigkeit… theoretisch). Ein Mitarbeiter welcher hierbei mit den besten Strategien, Prozessen, Services, Technologien, Apps, Pocket-Office, Dashboards, Reportings unterstützt wird und dabei weniger Reibungsverluste infolge z.B. ineffizienter / arbeitszeit-verschwenderischen Arbeitsweise zu beklagen hat wird besser an den gemeinsamen Firmen- und Projekt-Zielen mittragen können und dies letztlich motivierter auch wollen…
Unternehmen bzw. deren bereitgestellten Services könnten es schaffen, die künftige Arbeit als eine Art in allen Belangen „optimiertes Konsumerlebnis“ zu erleben. Dieses „Konsumerlebnis“ könnte es (leider…) auch schaffen in dosierter und zielgruppen-basierter Form, die teilweise digitalen Abstinenzler (z.B. in Freizeit oder generell) zu erreichen.

Ein mitunter dadurch entstehender gemeinsamer Willen und Bereitschaft entsprechende Wissens- und KnowHow-Transfer-Gemeinschaften intern und bei Bedarf auch extern (z.B. mittels andockbare Schnittstellen, Services, Collaboration, Apps, Selfservices) zu bilden kann zusätzlich helfen die Kosten zu reduzieren und letztlich die Personen-/Wissensträger-Abhängigkeiten zu optimieren.

Es kann eine völlig neue Innovations-Fähigkeit und auch Service-Qualität des Unternehmens entstehen welche wiederum die vorausgesetzte Basis ermöglicht für künftige, immer flexibler werdende Arbeitsgemeinschaften in der digitalisierteren Bauindustrie.

Die schon länger bekannte Forderung nach der geräte- und standort-unabhängige Arbeitsweise (auch bring your own device / bring your own desaster … byod) – nämlich genau „hier und jetzt“ bzw. wenn das beste Arbeits-Ergebnis erzielt werden kann – wird noch weitere Ausprägungen in einer 7x24h-Information-Worker-Gesellschaft mit sich bringen und dadurch Bereiche wie wiederum Safety (Betriebs-Sicherheit, Verfügbarkeit) und Security (Angriffs-Sicherheit, Datenschutz) weiter fordern.

Aufgabenfelder, Massnahmen:

– ICT-Strategie, ICT-Planung, ICT-Risk, ICT-Transformation, ICT-Innovation angelehnt und zur Unterstützung der Firmen-Strategie thematisieren in z.B. Workshops, Weiterbildung

– Anwendungs-spezifische Workshops, Kurse, Webcasts fuer optimerbare Büro-Automatisation, Planungs-Prozesse (PP) mittels best practises von denkbar „KnowHow-transfer-bereiten“ und sich weiterentwickelten Vorzeige-Organisationen (Wissens-Community-Gedanke)

– Zukunfts- und Ideen- / Impuls-Workshops für Aufzeigen, Erkennen und gar Adaptieren von aktuellen oder zukünftigen Trends

the „always ONline“ knowledge worker, supported by board, Big Data and IoT

digital-worker

People Centric ICT als Basis für die digitale Transformation
In Zukunft werden in ICT-nahen Berufen und Ausbildungen immer mehr Fähigkeiten benötigt, bei welchen der Mensch als seitens von Maschinen supportetem Anwender (People Centric ICT) im Mittelpunkt der angestrebten digitalen Transformation steht.
Die People centric ICT muss aber auch weiterentwickelt werden in Bereichen wie effizientere Collaboration (z.B. Ergänzung und Reduktion vom klassischem Email mit anderen Plattformen oder „machine learning“ Support-Prozessen) und auch optimierten Workplaces / Büroarchitektur (z.B. Massnahmen zur weiteren Reduktion von Ablenkungen und Optimierung der Arbeits-Konzentration, friendlyworkplaces) und Gesundheitsmanagement generell (z.B. Stressprävention, Fit at Work, Absenzenmanagement, Work-Life-Balance bzw. Online-Offline-Balance)
siehe auch: https://fridelonroad.wordpress.com/2014/07/02/ict-offline-ein-ding-der-unmoglichkeit/

War for talents + war against Brain-Drain – Austausch von high potentials
Solches Expertenwissen – kombiniert mit dem Lösungs-, Anwender- und User Experience-Fokus – ist jetzt schon rar und könnte noch akzentuiert schwieriger werden zu rekrutieren.
Die Arbeitgeber-Attraktivität bzw. Beliebtheitsgrad von solchen „digitalisierten Unternehmen“ wird zunehmend wichtig und seitens der Firmenstrategie angestrebt werden müssen.
Der „war for talents“ verlangt demnach auch einiges ab vom Arbeitgeber, Personalentwicklung in Bezug auf eine möglichst tiefe Mitarbeiter-Fluktuation und kleinstmöglichem KnowHow-Brain-Drain in solchen zunehmend firmenvitalen und „zu schonenden“ Schlüsselpositionen als beschränkte Ressourcen.
Dabei sind auch wir als politische und wirtschaftliche Mitglieder in einem demokratischen System, als Staaten und einem (Binnen)Markt gemahnt und gar in der Pflicht dafür besorgt zu sein, dass wir uns nicht abwenden oder isolieren von einem potentiellen und letztlich gewinnbringenden Austausch von solchen „high potentials“ mit irgendwelchen Initiativen oder regulatorischen Bestimmungen.
Diese beschränkten Ressourcen bedürfen auch weitere Unterstützungen in den Firmen mittels einer völlig neuen Form von Sparring und auch Gesundheitsmanagement / Work-Life-Balance (Gesundheit bringt mehr Leistung).
siehe auch: https://fridelonroad.wordpress.com/2014/07/02/ict-offline-ein-ding-der-unmoglichkeit/

Orchestrator als digitaler Lotse auf Führungsebene für den maximalen Business-Support durch ICT
Damit viele solche Herausforderungen und deren Auswirkungen in der „Transformation zur digitalen Economy und digitalen Gesellschaft“ beherrschbar bleiben braucht es auch auf der Führungsebene auf Stufe der Vorgesetzten, Geschäftsführung und Verwaltungsräten entsprechende Innovationen.
Eine Art Chef oder besser gesagt intelligent agierender Orchestrator für „das Digitale“ (CDO – Chief Digital Officer) in einer Organisation kann und wird mitentscheidend sein für den nachhaltigen Erfolg und Innovationskraft in der immer kompetetiver werdenden Mitbewerberschaft und eben diesem Umbau (geleitet durch einen digitalen Bauleiter) auf ein transformiertes Geschäftsmodell.
Diese vielfältige Querschnittsaufgabe kann mitunter auch abteilungsübergreifendes (Teil)Wissen voraussetzen und bedarf auch an einem hohen Mass an Change Management Fähigkeiten und Mindset eines Generalisten.
Eine solchen „Bauleiter für das Digitale“ sollte auch Erfahrungen oder Affinitäten haben in den Bereichen Technologien, Leadership, Marketing, Verkauf, Personal, Kundenbetreuung mitbringen damit die Betroffenen überzeugend und nachhaltig begeistert werden können zu „mitbrennenden“ Beteiligten.
Dabei muss sich nicht die Frage gestellt werden ob nun dieser „Chef für das Digitale“ eine wichtigere Rolle hat in der Firmenführung sondern viel mehr um die Frage wie kooperative die einzelnen CxO an diesen gemeinsamen Zielen zusammenarbeiten und entsprechende Projekte und Budget sprechen.
siehe auch: https://fridelonroad.wordpress.com/2014/09/26/ceo-cfo-cmo-gegen-oder-mit-cio-hauptsache-business-prozess-support-durch-ict/

Vorsprung durch Knowledge Workers, Wissen, Transformation und Innovation
Ein befähigter und nachhaltig begeisterter Knowledge Worker, ausgestattet mit den besten Werkzeugen (best of all) und unterstützt mit den besten Supportprozessen (z.B. ICT, HRM, Board) kann durchaus matchentscheidend sein ein einem digitalisierten Geschäftsmodell durch Transformationen und Innovationen.
Damit diese beschränkten, menschlichen Ressourcen sehr gezielt und effektiv eingesetzt werden können bedarf es zunehmend Unterstützungen von Technologien / Ansätzen wie z.B. Mobility, Cloud, Mobile Apps, neuer Bedienungskonzepte, Machine Learning, Big Data, Internet of things (IoT) und letztlich „kontextual basierte smart digital assistants“ je nach Aufgabenbereich.
Wie weit ein solches dann auch „Human Interface“ gehen kann – siehe auch:
https://fridelonroad.wordpress.com/2014/10/31/wearables-human-interface-potential-future-and-war-for-tracked-untrusted-wellillness/

Digital Assistant versus Human Assistent – big data as a new co-worker ?
Wie weit ein Mitarbeiter als persönlicher Assistent sinnvoll und effektiv unterstützt oder gar ersetzt werden kann ist natürlich auch abhängig von der Aufgabe und Funktion des Mitarbeiters oder Ziele des jeweiligen Projektes.
Trotzdem wird in den künftigen Ansätzen von Big Data, Machine Learning, IoT immer mehr an Fleissarbeit, Vorarbeiten, Informationsaufbereitungen, (Vor)Auswertungen, Trends, Berechenbarkeit (auch Arbeitszeit- und Leistungs-Erfassung… falls diese dann überhaupt noch den gleichen Stellenwert haben werden …) – und letztlich Human Assistant – sinnvoll ergänzt oder gar ersetzt werden können. Big Data – mit allen den immer mehr nutzbaren Potentialen – könnte eine Art „super digital assistant“ werden.
siehe auch: https://fridelonroad.wordpress.com/2014/07/06/big-data-better-data-or-not/

Digitalisierung jedes Geschäftsmodelles digitalisiert auch Prozesse und Mitarbeiter
Letztlich setzt die Digitalisierung eine Unmenge an Daten, daraus extrahierten nutzbaren Informationen und Herausforderungen an Informations-Management-Prozessen voraus welche einen neuen Typus von (r)evolutioniertem Mindset in den Organisationen voraussetzt.
Dabei scheint mir besonders ein differenzierendes Merkmal entscheidend zu werden:  Die Bereitschaft und Fähigkeit den neuen Rohstoff des Wissens und Informationen auch pro-aktiv zu teilen und dadurch weiterzuentwicklen – „share to evolve“
Es werden neue Karriere-Pfade – eine Art „big data career“ – ermöglicht werden für Knowledge Workers mit den besten Fähigkeiten aus diesen Tools, neuen darauf ausgerichteten internen oder externen Ausbildungen mehr als andere zu extrahieren als neue Fachexperten im Bereich Information Management.
Es liegt auf der Hand, dass in dieser volldigitalisierten Welt immer wieder auch die Gesamt-Sicherheits-Aspekte (Betriebs-Sicherheit und Angriffs-Sicherheit) betrachtet werden müssen damit ein Vorfall oder Ausfall (Stichwort Black Out) nicht ein ganzes System – oder einen einzelnen Knowledge Worker – zum Wanken oder Fallen bringen kann.
siehe auch: https://fridelonroad.wordpress.com/2014/10/09/99-sicherheit-mensch-prozesse-technologie-risk-management/
oder
https://fridelonroad.wordpress.com/2014/10/27/kommentar-digitale-transformation-innere-betriebssicherheit-versus-externe-angriffssicherheit/

Data Loss Prevention DLP – vom erkanntem Daten-Leck zum dosierbaren Daten-Ventil

dlp3dlp

Als Grundlage – und bei weitergehendem Informations-Interesse als „nur“ dem Artikel-Haupt-Thema – für meine persönliche Philosophie zum schier unfassbar grossen Big Thema Security / Safety / Risk Management referenziere ich meinen publizierten Artikel bei ISACA Chapter Switzerland im SWISS IT MAGAZINE
>> 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf

Viele Produkte und Technologien rund um DLP – wo bleiben der Mensch und die Prozesse?
Sämtliche Bemühungen in technischer und prozessmässiger Hinsicht zur „beinahen“ Verhinderung oder eher „nur“ Behinderung von Daten-Lecks bzw. Entwendung oder Nutzen-Veränderung von firmen- oder personen-sensitiven Daten scheinen zunehmend reine eher reaktive Symptombekämpfungen anstelle proaktive integrierte Ursachenbekämpfungen zu sein. Hierbei steht einmal mehr der Mensch und die Prozesse im Vordergrund und im Fokus der Wirkung am Ziel.

Angriffs- und Betriebs-Sicherheits-Krieg auf höchstem Niveau – Mensch immerschwächer werdendes Glied in der Kette
Die sehr raffinierten Angriffs- und Verteidigungs-Methoden im Kontext von z.B. auch Zeitfaktoren / Multifaktor-Anmeldungen / Berechenbarkeit / Eintrittswahrscheinlichkeiten / Verschlüsselung scheinen mittlerweilen auf einem Höchst-Niveau abzulaufen – jenseits in dieser Betrachtung vom sicherheits-technisch immer schwächer werdenden Glied in der Kette – des Menschen selber.
Der grösste Schaden – es gibt genügend Beispiele seit längerer Zeit – basiert meist auf einer raffiniert aufgebauten und von langer Hand geplanter Angriffs-Strategie basierend auf  einer „Vertrauens-Bildung zwischen Angreifer und Opfer“.
Hierbei können folgende stichwortartig aufgelistete sehr einfache Fälle als Referenz dienen:
– Mail-Anhang mit bösartigem Code von einem (gefälschten) Bekannten öffnen
– Zugangs-Kennwort per Telefon, Webseite, Socialmedia, Email oder gar Zuruf bekanntgeben
– Kennwörter an beliebten Orten öffentlich zugänglich machen (Tastatur, Pult, Tasche etc.)
– Arbeitsplatz ungesperrt hinterlassen und den Zugang ermöglichen für Kollegen oder Externe
– „Unsicheres“ Daten austauschen per Webmail, Socialmedia, Smartphone, Wechseldatenträger
– Social Engineering – extern aber auch von intern …

Patt-Situation – Informations-Schutz versus Menschen-Schutz – was schützen und klassifizieren wir zuerst ?
Wo nun die Organisationen / Führungsebene beginnen sollten im Teil-Bereich von „Data Loss Prevention DLP“  ist demnach nicht einfach zu beantworten bevor man überhaupt weiss was „schützenswerte“ Informationen sind mittels einer zuerst nötigen Basis-Arbeit der Daten-Klassifikation.
Aufgrund dieser Klassifikation (auf die genaue Methode und Ansätze wird hier nicht eingegangen) entsteht dann ein klareres und überschaubareres Gesamt-Bild der schützenswerten Objekten und deren Einstufungen in z.B. Eintrittswahrscheinlichkeit, Risiken, Schadenspotential. Daraus sollten sich dann eine hoffentlich beherrschbarere Gesamtsicht entstehen mit z.B. Massnahmen, Compliance-Anforderungen, Auswirkungen auf Mitarbeiter Security Policy und Risk-Management / Audit.

Datenschutz und Persönlichkeits-Rechte – und trotzdem auch Schutz-Recht von Firmen-Eigentum ?
Zum Schutze und als Basis der (hoffentlich) gemeinsamen Interessen – auf der einen Seite des Mitarbeiters und dessen z.B. Persönlichkeits-Rechten und auf der anderen Seite der Firma und deren z.B. „intellectual property“ – sollte eine gemeinsame Vereinbarung in Form einer „ICT Security Policy / ICT Weisungen“ verabschiedet und als verbindlicher Bestandteil zum Arbeitsvertrag unterzeichnet werden.
Diese Spielregeln können letztlich kein Daten-Leck verhindern jedoch dient diese vorallem auch der Sensibilisierung und Aufklärung zu betriebs-vitalen oder gar betriebs-hoch-kritischen Gefahren, Regeln und Massnahmen.
Dabei ist auch die Balance zu finden zwischen den Rechten beider Partner (Arbeitnehmer und Arbeitnehmer oder auch Kunden und Service-Anbieter) unter Wahrung der Persönlichkeitsrechten und Balance zwischen Vertrauen und genau zu beschreibenden Kontroll- und Verteidigungs-Mechanismen (z.B. mehrstufig, anonymisiert, Trends, Baselines, Anomalien, Traffic-Controlling, Filterungen, Blockaden, Alerting).

Sensibilisierung via ICT Security Policy verschwindet nach der Unterzeichnung
ICT Security Policies als Bestandteil zum Arbeitsvertrag werden a) nur vor dem Start des Arbeitsverhältnisses unterzeichnet, b) geraten dann schnell in Vergessenheit, c) beinhalten vielfach keinen offenen ergänzbaren Bereich für die die hoch-dynamischen Bedrohungs-Lagen und d) sollten eine Arbeitspapier als Ausgangslage für weitergehende, wiederkehrende Schulungen und Sensibilisierungen. Hierbei reichen vielfach nur schon ausgewählte und auf die Firma adaptiert kommentierte, einfache Beispiele von Daten- und Sicherheits-Lecks von anderen betroffenen Organisationen und auch entsprechende juristisch strafrechtliche Auswirkungen.
Es sollte dadurch selbsterklärend sein, dass dann mitunter auch „naive“ Aussagen oder Ausreden im Sinne von „das war mir gar nicht bewusst oder das hat mir niemand so explizit gesagt“ nicht mehr einfach akzeptiert werden.

Lange Rede rund um… und nun: Am Schluss kommt „nur“ noch die Technologie
Und eine Wiederholung mehr: 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf
Zuerst umfassend sensibilisierte Mitarbeiter (Mensch) und klassifizierte schützenswerte Informationen (Maschinen, Prozesse) bilden dann die beherrschbare Basis für dann ein umfassend orchestrierte und bewusst vielschichtig aufgebaute Gesamtlösung.

Data Loss Prevention – best out of breed and out of best practices
Alleine die Aufzählung von verschiedenen Ansätzen, Methoden, Produkten würde jeglichen Rahmen sprengen dieses Impuls-Artikels. Ich beschränke mich hiermit auf die stichwortartige Aufzählungen von gewissen Ansätzen, Szenarien und einfach erklärten Ideen:
– Sehr hohe Priorität sollte dem „Schutz der digitalen Identität“ zugewandt werden – z.B. bei Kennwort-Richtlinien, Kennwort-Manager-Software, Multifactor-Anmeldung, One Time Token, Devices, Cloud-Dienste etc. damit hier nicht mittels einem „zentralen Einfalls-Tor alle anderen Zugänge und Angriffs-Schutz-Mechanismen“ ausgehebelt werden …
– Filterung, Ueberwachung und Sperren von WLAN-, Smartphone-, Internet- und Webbrowser-Zugänge und Berechtigungen für die proaktive Verhinderung von unerwünschten oder gefährlichen Webseiten- oder Internet-Aufrufen
– Software- und/oder Hardware-Verschlüsselung von z.B. Festplatten, Wechseldatenträger, Smartphones, Emails, Dokumenten (z.B. Bitlocker)
– Transportregeln auf Basis des Email-Systems welche per Voll-Text-Inhalts-Filterung gewisse geschützte und so klassifizierte Mails oder Anhänge sperrt / umleitet oder archiviert
– Automatische Disclaimer-Erzwingung oder PopUp-Fenster-Anzeige im Mail-Programm an den Anwender (proaktive Sensibilisierung) bei allen ausgehenden Emails oder bei klassifizierten Informationen
– Automatische Email- und Datenaustausch-Verschlüsselung (und auch z.B. Sender-Identitäts-Nachweis) ohne Einwirkung des Senders und Empfängers
– Verschlüsselungs-Punkte in der ganzen Kette der Kommunikation (User to Services, Daten zwischen Datencentern, Daten auf Datenträgern, End-to-End-Verschlüsselung von User zu User)
– Geschützte Output-Umgebungen mit Druck / Scan per Kennwort, Keycard, Token
– Compliance-Einschränkungen von z.B. Smartphone für Kamera, Bluetooth, NFC, WLAN, Cloud, Apps, Socialmedia, Speicher-Einschränkungen, Kennwort- und Geräte-Sperr-Vorgaben und Remote Löschungen
– Device Management Lösungen oder Software-Agents auf Clients für z.B. Sperre von Printscreens, Copy Paste Sperre je nach Anwendung, Software-Compliance-Kontrollen, AppLocker
– Zentral verwaltete, proaktive Endpoint Protection Lösungen welche zusammen mit neuartigen Internet-Firewalls auch Anomalien aufspüren oder Base-Line-Vergleiche sicherstellen kann (Stichwort: Trojaner, RootKits, Viren, Würmer, Schläfer, Kennwort-Logger, Spionage-Tools, Datenströme
– Baseline-Compliance-Vergleiche von zugelassenen und unerwünschten / nachträglich installierten Tools / Malware / Apps mit entsprechender Alarmierung
– Fingerprinting, Watermarking, Metadaten-Kennzeichnung, Keywords für das Filtern und Aufspüren von Informations-(Ab)flüssen oder Missbrauch
– Erweiterte Right Management Services (RMS) oder Digital / Information Right Services (DRM, IRS) welche eine sehr hohe, erweiterte Granularität von z.B. Dokumenten-Rechte / Schutz beim Empfänger steuern kann (z.B. Regelung von Autorisierung / Weitergabe / Druck / Speicherung / Protokollierung / Gültigkeitsdauer)

– Je nach Informations-Klassifizierung und Risk-Management gar erweiterte Massnahmen mittels einem „Intellectual Property Management“ System zum erweitertem Schutz von firmenvitalen Geisteseigentum.

– Letztlich: strategisch bewusstes Auslagern / Archivieren oder Sichern / Spiegeln von (Teil)Daten / Zusatz-Backups oder ganzen Systemen auf viel leistungsfähigere und ausfallsicherer orchestrierbare Public Cloud Dienste für die Reduktion von internen (grösseren…) Gefahren in einem lokalen Betrieb und lokalem physischen Datenzugang (Analogie: Die Suche nach der berüchtigten Nadel – aus Sicht eines Angreifers – in einem BigData-Heuhaufen und in einem reissenden Daten-Strom kann schwieriger sein als Firmendaten gezielt an einer Firmen- oder System-Lokation angreifen versuchen …) –> Enhanced Cybersecurity with Big Data …

Vom erkanntem Daten-Leck zum dosierbaren Daten-Ventil ?? und es tropft weiter …
Mittels einigen genannten Beispielen aber vorallem mittels einer eigens aufgebauten und an die zu schützenden Organisation angepasstes Szenarien- / Frage-Framework sollten rasch die klassifizierten und priorisierten, schützenswerten Informationen und deren Schwachstellen (Lecks, Leaks) erkannt werden können für entsprechende stufenweise eingeführten Gegenmassnahmen für die möglichst grosse Reduktion von Informations-Missbräuchen / Abfluss (Loss).

Data Loss Prevention im Spannungsfeld zu Data Leak Management bzw. „offener“ Informations-Verbreitung / -Nutzungsänderung in der künftigen New Economy
Auch hier wird am Schluss eine Teilmenge von Risiken übrigbleiben welche im Risk-Mangement bewertet / überwacht und kontrolliert werden muss. Denn das Daten-Ventil tropft immer irgendwo weiter und weiter …
In einem teilweise (un)beherrschbarem Wachstum und derer Weiterentwicklung von z.B. Big Data, Internet of things (IoT) und Daten-Universum werden sich auch Business Modelle ändern (müssen) für einen offeneren – dann aber geregeltem und in einen mehrwert-generierenden – Informations-Austausch.
Bisher schützenswerte, klassifizierte Informationen / Datenbanken / Produkte / Schnittstellen / Standards / Normierungen / Apps / geistiges Eigentum finden – basierend auf einem neuen (r)evolutionierten Business-Modell – neue und mehrwert-generierende Services-Nutzungs-Kanäle für den Anbieter / Nutzer.

ISACA 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management

cloud-big-data-mega-stream-security

>> Publizierter Artikel im Swiss IT Magazine / Swiss IT Reseller von ISACA ITM2014_09_ISACA_03

Der Titel dieses Artikels will aussagen, dass es die 100% Sicherheit nicht gibt – der Rest ist reines Risk-Management und nicht Technologie
Diverse Ansätze / Empfehlungen / Methoden / Compliance Anforderungen / Regulatoren / Zertifizierungen wie z.B. Business Recovery System (BRS), Disaster Recovery Tests, Contingency Plan, CISA, CISM, ISO 22301/BCMS, IKS oder Prozesse nach CobIT, ITIL, ISACA, ISO, IEC27001 ISMS, IEC17799, SOX, IT GSHB, DSG, VDSG können schon sehr viel an generischen Risiken und entsprechenden Gegenmassnahmen abdecken.
Jedoch sind diese eben “nur generisch” und müssen massgeschneidert an die effektive Firmen-ICT-Prozesslandschaft angewandt und an die ICT-Teilziele (z.B. mittels ICT-Governance) der Firmen-Gesamt-Strategie angelehnt werden.
Es bleiben immer Rest-Risiken übrig welche im Risk-Management abgebildet und verwaltet werden müssen – und dies auf Ebene der Führung oder Verwaltungsrat.
Innerhalb des Risk-Management-System / ICT-Governance geht es um einen laufenden Loop von “Erkennung”, “Bewertung und Klassifizierung”, “Managen” und “Ueberwachung und Kommunikation”
Ich neige bei vielen Controlling-Systemen und Audits zu sagen: “Es ist vieles abdeckbar mit den Akteuren Menschen, Prozessen, ICT-Technologien und vorallem Baseline / Tests / Monitoring. Die anderen Rest-Risiken gehören ins Risk-Management und haben nicht mehr ausschliesslich etwas mit ICT-Technologie zu tun. Sicherheit ist keine reine Technologie-Frage sondern eine Kombination von wiederkehrenden Prozessen in einem Gesamt-ICT-Audit-System”

DatenSCHUTZ in der DatenFLUT ?
Ein kleines Rinnsal und dessen bescheidener Wasserfluss mit Sicht auf den Grund zu überwachen, ist einfacher als ein grosser Fluss mit einem reissenden und mitunter auch wellenden und zunehmend jährlich anwachsenden Wasserstrom ohne Sicht auf den Grund …
Diese einfache Analogie zeigt das zunehmende Problem auf, in diesem Datenschutz- und Sicherheits-Bereich im Zeitalter der hochdynamischen Entwicklung in Bereichen wie z.B. Cloud, Big Data, Internet der Dinge und letztlich der fortschreitenden digitalen Transformationsprozessen.

Die digitale Transformation und Wandlungsdruck der Informationsgesellschaft hat interdisziplinäre Auswirkungen – auch im Sicherheits-Bereich
Die heutigen und vorallem die künftige Bedürfnisse und dessen Auswirkungen der Informationsgesellschaft betrifft mittlerweilen globale Prozesse, Technologien und lassen sich nicht mehr isoliert betrachten und abdecken. Es braucht zunehmend interdisziplinäre Zusammenarbeiten von Akteuren von z.B. Gesellschaft, Politik, Technologie, Wissenschaft, Ausbildung (z.B. nur schon Sensibilisierung zu Sicherheitsthemen) und auch Spezialthemen wie auch Psychologie oder Management-Ansätze damit dieses entstehende Next Generation Informationsuniversum an Mensch und Maschine mehr Nutzen als Schaden mit sich bringt und so gut es (hoffentlich noch) geht auch beherrschbar bleibt – auch eben in datenschutz- und sicherheits-technischen Aspekten  und auch Auswirkungen auf die jeweilige ICT-Firmenstrategie und Firmen-Compliance- und Governance-Anforderungen.
Der entsprechende „Wandlungsdruck der Informatik“ – nennen wir es mal „Transformation“ – in ein neues Informatik-Zeitalter mit jeweilig an die Firmenstrategie orientierte ICT-Strategie hält schon länger an. Auch hier ist die Führungsebene in der unveränderten Pflicht, den Informatik-Bereich in dieser Transformation zu unterstützen oder deren Entscheide zu prägen / steuern oder auch kritisch zu hinterfragen. ICT (und auch die ICT-Sicherheit) wird vielfach leider immer noch als reine Kostenstelle und leider nicht als strategischer, innovations-treibender Vorteil gegenüber Mitbewerber betrachtet.

The new Economy versprach und vernichtete vieles… Wertschöpfung durch „sichere“ ICT
Vor zirka 15 Jahren versprachen viele Berater, Strategien, Firmen, Leadership-Methoden, Führung ein ungeahntes Potential in den Bereichen Internet, E-Business etc. und viele Firmen, Organisationen, Technologien wuchsen ins Unermessliche an ohne auch z.B. die Prozesse, Sicherheit, Risiken und nötigen Organisationsanpassungen zu prüfen und anzupassen.
Die DOT.COM-Blase platzte entsprechend und auch die ICT-Industrie litt stark darunter als damals als reiner Kostenfaktor und Wertvernichter deklariertes notwendiges Uebel.
Damit die ICT zunehmend entscheidend unterstützen kann zur Wertschöpfung und Effizienzsteigerung / Business-Support braucht es immer noch entsprechende überzeugende „Missionarsarbeit“ und zunehmende abgesicherte / überwachte Prozesse aufgrund der zunehmend business-kritischen ICT.

Ein Teil des Internet – Internet ein Teil von uns – Big Brother is watching us in our „smart“ homes
Vor nicht allzu langer Zeit war das unsichere Internet isoliert begrenzt auf einen Firmen- oder Heim-Computer. Mit der fortschreitenden Entwicklung von Internet- / Cloud-Lösungen und wachsender Mobilität mittels z.B. Smartphones, Notebooks, HomeOffice-Arbeit schwindete die Grenze zwischen Privat und Business zunehmend – und letztlich auch die Gesamt-Sicherheit.
Weitere Entwicklungen im Bereich der Heimvernetzung und letztlich „Internet der Dinge“ wird dazu beitragen, dass wir nicht mehr nur ein Teil des Internets sind sondern das Internet ein Teil von uns wird. Dass dann hierbei Unmengen von (hoffentlich) erwünschten und auch unerwünschten Informationen in alle Richtungen fliessen werden im gesamten Haushalt / Haustechnik / HomeOffice-Firmen-EDV / Privat-EDV und speziell auch Kinder-EDV wird weitere Fragen und Herausforderungen der beherrschbaren Sicherheit aufwerfen.
Nur noch dies: globale Internet-Industriegiganten wie z.B. CISCO, Google, Microsoft, Amazon, Siemens sind aufgrund Ihrer Landesherkunft und deren dominanten Verbreitung im Internet und wachsenden totalen Vernetzung, auf Internet-Core-Infrastruktur-Bereichen und dem künftigen „Internet der Dinge“ letztlich überall „allzu sehr heimisch“ in unseren Haushalten, Firmen und Netzwerken – und immer wieder mit dem irgendwo hinterlegten „Master-Passepartout-Datenschlüssel“ ausgestattet genau zu beobachten … oder werden diese gar mal genötigt, regulatorisch vorgegebene Staats-Trojaner zu „akzeptieren“ oder „mit zu implementieren“ (?)
Hoffen wir doch, dass künftig die Hacker nicht via Kühlschrank zu uns kommen oder deren eigene Leibspeisen zu uns nach hause bestellen … oder uns ein- oder raus-sperren via Türen-Management-System.
Unsere „connected smart homes“ mögen zwar irgendwann smart sein… aber auch wirklich sicher ??

Der Schutz der digitalen Identität im 21. Jahrhundert – ein „multifaktoreller“ Widerspruch ?!
Ein Megatrend des plattformübergreifenden „Single Sign On (SSO) / Anmeldung mit nur einer Anmeldung“ im Zuge der standort- und geräte-unabhängigen Zugangsmöglichkeiten auf z.B. Cloud, Social Media, Apps, Firma, Kreditkarte via allen Geräten wie Smartphones, Tablets, Notebooks, PC, Heimgeräte eröffnet völlig neue Konform-Stufen bei auch unschwer zu erkennenden, erhöhten Sicherheits-Gefahren.
Eine sehr grosse Herausforderung wird der künftige Schutz genau dieses zunehmend, konsolidiert zentralen Einstiegspunktes sein, der ja auch irgendwann mal nebst z.B. dem reinen Datenzugang auch weitergehende sehr personensensitive Informationen wie z.B. Bankzugänge, Gesundheitsinformationen, Familie, Kinder schützen wird (hoffentlich).
Dass hier vorallem in den Bereichen wie Social Media (Facebook, Twitter etc.) und Email dermassen unnötig und gefährlich viele personensensitive Daten bereits jetzt schon fahrlässig öffentlich (und teilweise unaufgefordert…) verteilt werden erschwert auch hier der Spagat zwischen Fahrlässigkeit und Sicherheitsanforderung. Leider ist der „gläserne“ Mensch im Internet nicht schwer sichtbar, nur weil er aus Glas ist… im Gegenteil: er macht sich meist selbstverschuldet selber „extrem gläsern“ und sichtbar…
Auch muss zur Kenntnis genommen werden, dass die eigene Identität nicht mehr genügend geschützt ist mir „nur“ Benutzername und Kennwort und es wenigstens jetzt schon z.B. Einmal-Anmelde-Verfahren (OneTimeToken, OTP) gibt.
Den Bedrohungen des 21. Jahrhunderts ist die Authentifizierung per einfacher oder auch zweifacher Anmeldung nicht mehr gewachsen. Eine neue Generation – von gar bewusst system-verteilten und voneinander unabhängigen, nicht konzentriert angreifbaren – (Cloud)-Anmeldelösungen mit dynamischer Multifaktor-Authentifizierung und Authorisierung ist unumgänglich. Diese können dann noch mehrstufig verstärkt werden mit z.B. kontextbasierten Verhaltensmustern, Standortbezogenheit und Echtzeit-Token an persönliche Devices.

Sicherheitsoptimierung durch (Hybrid)Cloud oder Big Data ?
Im Zuge der aktuellen Erkenntnissen rund um die verschiedenen Nachrichtendienste und deren grenzenlosen Datenzugangs-Möglichkeiten und dem offenbaren Trend von „jeder bespitzelt jeden“ stellen sich einige Grundsatzfragen.
Eine Private Cloud ist schon längstens nicht mehr „privat“ – sei es durch Schwachstellen in den Bereichen Prozesse, Technologie oder vorallem  des Menschen / Mitarbeiter – oder eben durch die Nachrichtendienste und künftig der Staaten mit z.B. Staatstrojanern (?)
Wäre aus diesem Aspekt dann die Auslagerung von einzelnen ICT-Themen in die Public Cloud / Hybrid Cloud „sicherer“ und „beherrschbarer“ wenn nur schon mal einer der Haupt-Sicherheits-Risiko-Faktor „Mitarbeiter“ und lokale Prozesse ausgelagert sind?
Eine gezielt, isolierter Sicherheits-Schwachstellen-Angriff auf eine Firmen-ICT-Infrastruktur (inkl. auch physisch vor Ort oder per Social Engineering / Trojaner / Malware etc.) ist natürlich viel einfacher als ein eher ungezielter, nicht isolierbarer Angriff auf eine Public Cloud oder „Mega Cloud“. Die Analogie bei der „Mega Cloud“ zur mühsamen und eher unendlichen Suche nach der bekannten Nadel (Firmendaten) im dann aber SEHR grossen Heuhaufen (Cloud) ist hier mehr als angebracht.
Und leider müssen hier noch weitere Fakten (oder alte Paradigmen) adressiert werden:
Der Datenstandort wird zunehmend irrelevant für die teilweise schon jetzigen oder dann künftigen immer globaler werdenden Sicherheitsfragen.
Zunehmend lassen CH-Firmen sicherheits-relevante Systeme von externen oder gar ausländischen Serviceorganisationen betreiben – inkl. auch grenzüberschreitendem Informationsaustausch.
Ein „sicherer“ Weg (als bisher…) in einen ICT-Transformations-Prozess / Cloud kann also auch – trotz allen anderslautenden Meldungen – gerade darum eine gut orchestrierte Kombination von (Hybrid)Cloud-Lösungen und Managed Services sein. Hier könnte der Ansatz „the very best out of all Clouds“ ein gangbarer Weg sein wenn diese mittels den nötigen Prozessen, Technologien, Mitarbeiter und Risk-Management / ICT-Governance gestützt werden von der Führungsebene und letztlich der Firmen-Strategie und davon abgeleitet der ICT-Strategie.

Kontrollen über Kontrollen = Bestandteil der unabhängigen Qualitätssicherung, aber auch echte Sicherheit ?
Seit Jahren entstanden immer mehr ICT-Kontroll-Methoden oder Vorgaben seitens der ICT-Industrie, Regulatoren oder auch seitens einzelnen Branchen-Verbänden.
Bei vielen Firmen in der Schweiz wurden meist seitens der Treuhänder, Revisions-Stellen, Auditoren oder des eigenen Verwaltungsrates an gewisse Standards angelehnte interne Kontrollsysteme (IKS) aufgebaut und eingeführt.
Viele dieser Kontrollsysteme bedienen sich an generischen und aber zum Glück auch an spezialisierteren Fragestellungen rund um ICT-Prozesse und ICT-Risk Management. Firmenvitale Prüfpunkte rund um z.B. ICT-Gesamt-Sicherheit, Datensicherheit, Datensicherungs-Prozesse, Social Engineering, Mensch als Sicherheits-Faktor 1, KnowHow-Transfer, Mitarbeiter-Eintritt / Mitarbeiter-Austritt, ICT Security Polices, Internet-Nutzungs-Richtlinien, Datenklassifizierungen etc. wurden mehr oder minder darin abgedeckt und dann aber vielfach dann “einfach abgehakt”

Gut orchestrierte Theorie- und Praxis-Anwendung schafft echter Mehrnutzen
Aus eigener jahrelanger Beobachtung und eigener Anwendung und Beratung in solchen ICT-Audits oder Zweitmeinungs-Abgaben erhärtete sich der Eindruck und Fakt, dass viele dieser Kontrollsystemen teilweise in gewissen kritischen Bereichen zu wenig tief oder zu wenig weit in der Tragweite gehen.
Die besten Expertisen und Audits / ICT-Governance sind immer solche, die Theorie (Methoden, Standards, Prozesse) und Praxis (Systemtechnik, Systemengineering, Automatisierung) auf der Basis von z.B. “Best Practices” oder selber angewandten Prozessen abdecken.
Ein echter Mehrnutzen – und nicht nur eben das “Abhaken” von theoretisch basierten Kontroll-Listen – kann entstehen wenn der ICT-Auditor gemeinsam mit den Systemverantwortlichen echte Schwachpunkte und Verbesserungs-Potentiale analysiert, testet und dann effektiv auch einführt. Hierzu gilt es, sämtliche Hands-On-Praxis und besten Erfahrungen von anderen Kunden, der eigenen Infrastruktur-Umgebung und von allen taktisch gut ausgewählten KnowHow-Trägern zu nutzen und massgeschneidert passend in die ICT-Organisation einzuführen. Daraus muss letztlich ein echter Mehrnutzen (und zwar nicht nur aus Sicht des ICT-Auditoren…) entstehen für z.B. die ICT-Organisation, ICT-Automatisierung, Führungs-Ebene und den Revisions-Stellen / Treuhändern und letztlich dem Risk-Management.

Und trotzdem: Innovationen durch Audits und Risk-Management
Die Erfahrung zeigt, dass durch das proaktive Anwenden und Akzeptieren von gemeinsam definierten Prozessen oder IKS – mit eben auch Blick nach vorne oder auf neue adaptierbare Technologien und Methoden – durchaus auch Innovationen entstehen in einer solchen fortwährenden Transformation in eine Art “Business Excellence in der ICT”.
Dies auch unter dem Aspekt, dass sich mehrere Sichten, Bedürfnisse, Expertisen und Erfahrungswerte vereinen und das “möglichst Beste aus der Praxis und Theorie” einbringen in dann ein echtes und vorallem dann angewandtes IKS / Audit-System.
Eine daraus realisierbare Standardisierung, Automatisierung, Changemanagement oder Homogenisierung von ICT-Prozessen oder ICT-Infrastrukturen kann ein weiteres Nebenprodukt sein hierbei.

Performance- und Sicherheits-Penetration-Tests mit Baselining – einer ist keiner.
Es gibt viele Möglichkeiten, vorgegebene Sicherheits-Standards und Compliance-Vorgaben intern oder extern überprüfen zu lassen. Je nach Sicherheits-Anforderungen oder Vorgaben des IKS kann es nötig sein, erweiterte Test-Szenarien zu definieren und prüfen zu lassen durch die externe ICT-Serviceorganisation oder externe, darauf spezialisierte Dienstleister.
Auf dem Markt gibt es viele Anbieter und ab und an entpuppen sich preisgünstige Angebote als reine, simple Security Scans mit gängigen technischen Tools aber ohne weitergehende Ueberprüfung dahinter – mit auch Defiziten in denLerneffekten und best practices technischen Massnahmen als Gegenwert der Ueberprüfung.
Die eingangs im Artikel angesprochene Analogie zum DatenSCHUTZ in der DatenFLUT (reissender Wasserstrom) zeigt die schwierige Herausforderung auf bei solchen Tests und verlangt immer mehr nach hochspezialisierten Managed Security Services Dienstleistern welche mit z.B. nur Evaluationen von Baselines und dem fortwährenden Monitoring dieser Baselines dann Auffälligkeiten (zu grosser oder zu kleiner Fisch im Fluss…) / Angriffsmuster erkennen, eskalieren und verhindern können – im Gegensatz zum einmaligen Penetration Scan ohne Trends oder brauchbare Vergleiche zu Baselines.
Nebst dem reinen systemtechnischen Ansatz werden auch zunehmend immer mehr z.B. Prozess-, Informationsmanagement- und ICT-Forensik-Spezialisten involviert um möglichst ein breitgefächertes Sensorium aufzubauen.

Ansatz von Szenarientechnik und Herausforderungen von dynamischen Bedrohungslagen
Weitere Erfahrungswerte aus erlebten und gesehenen Krisen und Super-GAUs zeigten auf, dass das Spannungsfeld von Theorie und Praxis sich immer mehr akzentuierten in Richtung von angewandten Szenarien-Techniken im Bereich von Planung, Ueberwachung und Controlling.
Vermeintlich einfache Fragen wie zum Beispiel: (bewusst einige einfache Beispiele für die Verdeutlichung)
“Was passiert ab wann bei einem Internet-Zugangs-Ausfall”
“Was passiert und wird eingeleitet bei einem Stromausfall welcher länger dauert als 1 Stunde ?”
“Welche Systeme und ICT-basierte Prozesse können wie weitergeführt werden bei einem Komplett- oder Teil-Ausfall der ICT-Systemumgebung”
“Zu welchem Zeitpunkt muss der Uebergangs-Betrieb mit welchen “analogen” Prozessen oder auf dem “Papierweg” weitergeführt werden und welche Kunden oder Organisationen (z.B. Zoll, Spedi, Transport, Behörden, Geschäftsleitung, Verwaltungsrat, Presse) müssen wie informiert werden”
“Wie lange kann die Prozess-Landschaft ohne ICT-Business Unterstützung (wenn überhaupt und wie?) funktionieren”
“Wieviele voll- oder halb-automatische System-Redundanz wird benötigt im Gesamt-System oder klassifizierten Teil-Systemen”
“Was für Zusatz-Massnahmen sind nötig für die aktuelle, dynamische Bedrohungslage gegenüber des neu bekannten Sicherheits-Problems xy”
“Können die eingesetzten Sicherheits-Infrastrukturen wie z.B. Internet-Firewall, Mail-Filterung, Content-Ueberwachung, Viren-Malware-Filterung etc. entsprechende brauchbare proaktive Alarmierungen oder Trends reporten und auswerten. Oder braucht es übergeordnete Monitoring-Systeme?”
“Was ist das verlangte Service Level Agreement von externen Dienstleistern hinsichtlich Reaktions- (MTTR, Mean time to react) oder Reparatur-Zeiten (MTTR, Mean time to repair)”
“Was passiert wie schnell bei einem schweren Mitarbeiter-Datensicherheits- oder EDV-Nutzungs-Verstoss gemäss ICT Security Policy”
“Sind die Mitarbeiter genügend sensibilisiert, aufgeklärt und geschult zu Basis-ICT-Sicherheits-Prozessen”
“Was passiert wenn es mehrere Fehler gibt bei den Backup-Prozessen oder Backup-Wiederherstellungs-Prozessen”
“Was passiert ab wann bei einem externen oder internen gezielten Hacker- / Trojaner-Angriff” “Gibt es ein Change Management für kontrollierte Systemaenderungen”
“Sind die eingesetzten EDV-Mittel genügend dokumentiert und die entsprechenden Versicherungen / Versicherungssummen darauf korrekt ausgerichtet”
“Ist der KnowHow-Transfer bzw. Wissenstraeger-Abhaengigkeit genuegend geregelt und sichergestellt”
“Ist die physische Server-Raum-Sicherheit genuegend sicher fuer einfache Einbrueche oder Sabotagen”
“Ist die externe sichere Backup-Aufbewahrung sichergestellt”

Die Gesamt-Sicherheit braucht auch eine Gesamt-Rahmen-Sicht
Die Gesamt-Sicherheit ist einem gesamten Rahmen zu sehen – beginnen tut diese aber sicherlich in der internen, selbstkritischen Betrachtung von eigenen Prozessen und Infrastrukturen und erst danach bzw. wenn das bereinigt, geklärt, definiert und kontrolliert ist sollte man den Fokus erweitern in Richtung der externen Abhängigkeiten, Hackern, Cloud etc.
Die ICT-Gesamtsicherheit bzw. letztlich die ICT-Strategie ist ein umfassender Gesamt-Prozess und Verantwortlichkeit auf der Führungsebene und nicht nur eine Ansammlung von Technologien / Produkten / Tools.
Der Faktor Mensch ist unter diesem Aspekt wichtiger und heikler als der Faktor Maschine.
Dabei ist auch der übrigbleibende Aspekt des Risk-Managements sehr wichtig.
Eine 100% Sicherheit bei Mensch und Maschine gibt es nicht und wird es nie geben und hier ist es die Aufgabe der Führungsebene oder Kontroll-Gremien (Audit, IKS, Controlling) genau diese Rest-Risiken zu identifizieren, zu werten, zu testen und mit gangbaren präventiven Massnahmen und Prozessen zu reduzieren und sporadisch zu prüfen (so gut es geht eben …)
Aus diesen Aspekten heraus empfehle ich: Bevor irgendwelcher externer, technischer Schutzwall aufgebaut wird, sollte man als Basis die internen Prozesse / Sicherheit / Risk-Management optimieren und möglichst „zukunftsgewappnet“ transformieren.

Eine „sichere“ Informations-Zukunft und nachhaltiges System-Wachstum braucht ein „sicheres“ interdisziplinär abgestütztes Rückgrat
Letztlich ist es so, dass „sichere“ ICT-Services / ICT-Prozesse das Rückgrat sind von „modern Business“ und der voranschreitenden digitalen Transformations-Prozessen und dem ansteigenden Wandlungsdruck.
Auch die Globalisierung / New Economy ist mitunter mitverantwortlich für einen schon lange andauernden, grenzüberschreitenden Informations-Austausch. Und hier sprechen wir von unterschiedlichsten Grenzen (z.B. Geografie, Systeme, Private-Business, Politik, Behörden, Gesellschaft, Bildung, Health, Wissenschaft, Wirtschaft, Märkte) welche zunehmend nur in einer interdisziplinären Zusammenarbeit möglichst gut „abgesichert“ werden können mit allen Akteuren und dem gemeinsamen Ziel eines nachhaltigen, sicheren Global-System-Wachstums.

CEO / CFO / CMO gegen oder mit CIO: Hauptsache Business Prozess Support durch ICT

cio-cfo-ceo

Gretchenfrage – Who is the chief of the Next Digital Economy ?
Die Gretchenfrage ob nun künftig in den (sich in Transformation befindlichen) Organisationen eine neue Hack-Ordnung in den Entscheidungs-Gremien entstehen ist eher schwer abschliessend zu beantworten.

Jedoch ist es eher unumstritten, dass in künftigen Anforderungen der Next Digital Economy an die dynamische Flexibilität der Organisationen zunehmend auch gewisse Marktvorteile und Effizienz-Steigerungen mittels gut orchestrierten ICT-Prozessen vonnöten sind.

Aus meiner Sicht und Erfahrung wird die Wichtigkeit des Mitgestaltungs-Rechts des ICT-Bereiches auf der Stufe der Führungsebene von entscheidender Bedeutung in der laufenden digitalen Transformationen von vielen Geschäftsprozessen.

Budget by services
Dabei wird die Budget-Verantwortung einer Renaissance gleichkommen und sich zunehmend wiederfinden in den fachspezifischen Abteilungen oder Services-Bezügern welche als Direktbetroffene „am besten wissen“ was sie in welcher Qualität an Services brauchen – und aber auch die entsprechende Verantwortung dafür wahrnehmen können in fachtechnischer Hinsicht.

Durch diese Involvierung in Entscheidungs- und Budget-Prozessen – und letztlich auch Risiken – kann eine neue „Stärke und Wettbewerbs-Vorteil am Markt“ entstehen und die Organisation kann mittels guten Ideen in eine völlig neue Richtung des Innovations-Managements aufbrechen.

Knowledge Management – best out of the internal knowhow
Hierbei stellt sich dann eher nicht mehr die Frage ob nun der CEO / CFO / CMO oder CIO in gewissen ICT-nahen Bereichen / Entscheiden die hauptbestimmende Rolle einnimmt sondern vielmehr die Aufgabe der Führungsebene die geeignetesten internen (oder externen) Experten proaktiv und mitbestimmend einzubeziehen.

Mittels genau diesem gebündelten KnowHow(-Transfer) kann der wachsenden Komplexität der unterschiedlichsten Services-Anforderungen sichergestellt werden, dass möglichst alle davon Betroffenen in einem proaktiven Dialog zu Beteiligten gemacht werden können.
„Business Excellence“ wird zwar schon seit Jahren immer wieder gerne verwendet von vielen Beratern / Coaches kann aber funktionieren wenn die Organisation mit allen Betroffenen und Beteiligten die jeweils für sich passendste und auch lebbare Business-Support-Transformation findet.

Chef für Digitales
„Nur ein“ Chef für Digitales zu definieren scheint aufgrund der schier unendlichen Bandbreite der „digitalen“ Potentiale nicht mehr zu genügen – im „analogen“ Gleichklang zum zu grossen Risiko, ein firmenvitales Wissen auf „nur“ einen KnowHow-Träger zu belassen.

Neues Experten-Wissen gefragt – neue Führungsmethoden und Mindset nötig
Im Zuge der transformatorischen (R)Evolution muss auch neues Wissen extrahiert und retensiert werden können von neuen Spezialisten in den Bereichen wie Mobile, User Experience, Anwenderfokus, Cloud und Data Sciences (Big Data).
Diese neuen Mitarbeiter-Profile werden – auch aufgrund der anfangs dünn gesäten Auswahl – entsprechend andere Anforderungen an die Arbeitgeber-Attraktivität stellen und entsprechend auch die HR-Abteilungen und Führungsebenen vor neue Herausforderungen führen und aber auch Chancen von echten, neuen Innovationen ermöglichen.

Interdisziplinäre Zusammenarbeit nötig
So kristalliert sich heraus, dass solche Weiterentwicklungen entsprechend eine übergeordnete, interdisziplinäre Zusammenarbeit voraussetzt zwischen allen CxO – und dies sicherlich auch teilweise über die eigenen fachlichen Grenzen hinaus in neue zu ergründende (Grenz)Bereiche.

Entscheidungs-Hoheiten und Daten-Kontrollgrade schwinden
Vorallem auch der Fakt, dass die künftigen Entscheidungs-Hoheiten und auch Daten-Kontrollgrade nicht mehr ausschliesslich durch Menschen gegeben sind sondern zunehmend unterstützt und geprägt werden durch Maschinen (Big Data) wird so manche Führungsebene herausfordern und Mindsets verändern.

Gemeinsames Ziel aller CxO sollte sein: Eine gemeinsam erschaffene „Insel der Ordnung“ in einer chaotisch dynamischen, digitalen Cloud-Welt

Big Data = Better Data or not ? box of pandora

Word Cloud "Big Data"
Big Data ist aus meiner Sicht die „Veredelung vom Informations-Rohmaterial“ für das „new Business“ – sind aber diese Informations-Extraktionen die besseren Informationen bzw. was für Auswirkungen scheinen sich zu akzentuieren ?

Es werden einige anspruchsvolle Herausforderungen auf uns zuzukommen um den Nutzen von „Big Data“ adäquat ermöglichen und unterstützen zu können:

– Reicht nur 1 „Mensch“ (nicht wertend gedacht aber wir sind ja schliesslich keine hochspezialisierten Informations-Verarbeitungsmaschinen) um Erst-Auswertungen und Erst-Analysen aufzubereiten als Management Summary oder Reports ? oder ist dieser „nur“ 1 Mensch zu unterstützen mit mehreren Menschen oder „Machine learning“ zur Extraction (auch schon bei der Definition von z.B. Metadaten) von möglichst neutralen und sachlichen, nicht beeinflussten Informationen ?

– Im Rahmen der IT-Strategie wird Big Data und deren Auswirkungen und Innovationen ein aufgrund der hohen Relevanz ein weiteres Hauptthema werden.

– Sicherheit ist ebenfalls ein BIG Thema bei Big Data in einzelnen Beispielen wie:
–> Wer und was kann diese Datenvoluminas noch beherrschbar kontrollieren und (un)wissentliche Fehlinputs / Fehl-Datenströme filtern und eskalieren?
–> Social Engineering beim Big Data könnte verursachen, dass Spezialisten im Big Data Umfeld infiltriert oder missbraucht werden könnten für fatal falsche Trends und Auswertungen (Stichworte: Terrorbekaempfung, Fahndung, Militaers, Börse, Forschung, Medizin, Staatsentscheidungen etc.)
–> Zusätzliche Sicherheitsmechanismen wie z.B. Multifactor-Authentication, Multifactor-Release oder bewusst verteilte Systeme (z.B. Gewalten-Trennung von Daten-Speicherung / Daten-Verarbeitung / Daten-Releases / Daten-Archivierung / Daten-Sicherheits-Services etc.) scheinen unumgänglich zu werden für den gesicherten Zugang bzw. (oder gar zuvor mehrfachbewerteten) Auswertungen
–> Information Governance als nötiger, erweiterter Teilbereich
–> Big Data = Basis für auch totale (zu regulierende…) Staats-Trojaner-Ueberwachung?
–> Welcher Staat oder Firma hält wo was für Hintertürchen offen?
>> siehe zum Thema Sicherheit ein anderer publizierter Artikel für ISACA im Swiss IT MagazineITM2014_09_ISACA_03

– Die Aspekte rund um „Wissen ist Macht“ werden noch akzentuierter und Weltmächte mit grossen Ressourcen wie Bodenschätze, Öl, Energie, Wasser werden den gleichen Wettbewerbsvorteil und Informationsvorsprung mit dem neuen „Öl der Zukunft“ – dem Big Data – aufbauen und erweitern wollen.

– Wieviele Regulationen auf nationaler oder gar internationaler Ebene sind nötig oder vertretbar für die Beherrschbarkeit (Geht das überhaupt??) von Potentialen oder auch Gefahren von Big Data?

– Das vermeintliche „Recht auf Vergessen“ aller digitalen Spuren scheint nur schon technisch nicht mehr möglich zu sein aufgrund der unerschöpflichen Bandbreite und Anzahl von „Big Data Datensammlern“

– Das „Internet der Dinge“ als weiterer Faktor wird weitere Inputs und Innovationen ermoeglichen.

– Neue Anforderungen an die künftigen Apps, User Interfaces, User Experience in Bezug auf Darstellung / Modellierbarkeit / Formfaktoren / Bedienungskonzepten –> Analogie: ein einfaches Excel oder Powerpoint reicht nicht mehr für dynamisch präsentierbare und report-gerechte bzw. verständliche Darstellungen von immer komplexer werdenden Informations-Extraktionen (?)

– Chancengleichheit: haben ALLE (oder genügend) Menschen aus allen Bevölkerungsschichten, Ethnien und Staaten einen adäquaten und fairen Zugang zu den Technologien rund um Big Data ? –> das ist ja bereits beim „uralten“ Internet noch in weiter Ferne …

– Neue Anforderungen an Datenbank-Typen, Speicher-Typen und Speicher- und Berechnungs-Orten der Daten aufgrund der Voluminas und Performance-Anforderungen (z.B. hochperformantes Supercomputing oder finanziell verkraftbareres Cloud Computing mit dynamisch mietbaren Workloads)

– Im Bereich der Ausbildung, Personal-Rekrutierung und Personal-Kapital-Management werden neue Spezialisten in Richtung „Big Data Scientist“ weitere Fragen und Herausforderungen generieren –> „Weitergehend zu prüfendes“ Vertrauen in Personen in zunehmend organisations-vitalen Schlüssel-Positionen –> Möglichst tiefe Fluktuations-Raten und KnowHow-Sicherstellung mittels z.B. attraktiven Mitarbeiter-Retensions-Innovationen werden zunehmend wettbewerbs-entscheidend

– Big Data ist aus meiner Sicht eine extrem mächtige und aber auch sehr gefährliche Waffe – ohne Regulatorien und ohne Pflicht eines Waffenscheins …

– „Big Data ist ein Versprechen oder gar Verbrechen (?!) für die vermeintliche Allwissenheit“ ??
–> es scheint, dass wir eine neue „Box of Pandora“ vor uns haben …

ICT-Online-Offline-Balance – ein Ding der (Un)möglichkeit?!

unerreichbar

Ein neues Berufsbild oder gar Berufung könnte « ICT-Offline-Therapie » werden im digitalen Informations-Austausch-Wahn und 7x24h-Online-Präsenz

Publizierter Artikel im Management Magazin von sia.ch MM_06_2014_ITBox

 Die Arbeit auf 7 Tage verteilen zu können mittels ICT-Technologien, ergibt grundsätzlich einen grossen Freiheitsgrad aber birgt auch eine Gefahr von einer zu einseitig entschwindenden Entgrenzung der Arbeit und Dauer-Erreichbarkeit. Es sollte uns selber (oder notfalls mit Hilfe von Spezialisten oder Technologien) gelingen, im Moment zu leben ohne ständig online zu sein in der unterschwelligen Furcht etwas verpassen zu können. „Fear of missing out“ ist schon ein gängiger Begriff um diesen krankhaften und optimierbaren Zustand erklären zu versuchen. Die fortwährende und vorallem auch immer dynamischer werdende Informationsflut und „Krieg der Informations- und Aufgaben-Delegation“ zwingt viele Personen und auch ICT-Systeme in die Knie aufgrund fehlenden Regeln, Workflows oder schlicht mangels gesundem Menschenverstand.

Sich selber einer Art „Informations-Diät“ zu erzwingen kann unterstützt werden mit einfachen Regeln oder Filtern in den gängigen Mail-, Social-Media- oder Collaborations-Programmen. Oder noch pragmatischer: Wer braucht wirklich die progressive „Push-Funktion“ auf dem Smartphone welches mehrmals pro Stunde eine „Mikroverletzung am Gehirn / Konzentration / Arbeit und letztlich Privatsphäre“ generiert? >> siehe auch anderen Artikel hierzu

Eine der besten aber effektiv-schwächsten Erfindungen im Internet-Zeitalter ist das Medium Email welches ohne Unterstützungen mittels z.B. Regeln, Workflows oder ergänzenden Ersatz-Systemen wie z.B. Yammer, OneNote, Sharepoint, Evernote, Delve sehr schnell zum „Work-Life-Balance“-Killer werden kann.

Die Privatsphäre wird mittels Email, Whatsapp, SMS, Facebook, Twitter sehr schnell missbraucht von fordernden Absendern welche kurz vor deren Feierabend noch eine dringliche Aufgabe mit sehr grosser Erwartungshaltung am nächsten frühen Morgen (oder gar am gleichen Abend) erledigt haben wollen und dabei mitunter auch eigene Versäumnisse, Projekt-Missstände oder verhinderbare Fehler bequem und vermeintlich ohne Konsequenzen delegieren versuchen.

Die Effektivität von digitalen Informationsmedien scheint aufgrund z.B. der begrenzten Aufnahme- und Bearbeitungs-Fähigkeit (auch Ablenkbarkeit oder begrenztem adaptiven Lernen) des menschlichen Gehirns zunehmend nur noch mit unterstützenden, zukünftigen Technologien wie z.B. strukturierterem Informationsaustausch mittels gemeinsam festgelegten Regeln / Workflows oder gar mittels „Künstliche Intelligenz / Machine Learning“ oder „Big Data / Data Mining“ sichergestellt zu werden.

Ein Wissensvorsprung und gar Wettbewerbsvorteile sind weitere Faktoren welche zu solchen neuen, unterstützenden ICT-Technologien führen.

Schliesslich können zunehmend leider nur „echte Maschinen“ den „working anytime and everywhere“ Menschen unterstützen im neuen „sharing focussed“ Informations-Austausch-Zeitalter welches zunehmend auf „extracted output“ und „customized work“ basiert – wenigstens während der Schlafenszeit oder Ruhepausen … also doch bald eher „Online-Offline-Balance“ anstelle „Work-Life“?

ICT Transformation + Innovation = (Hybrid)Cloud2

 

hybrid-cloud
Im Spannungsfeld der Möglichkeiten und Bedürfnissen von EDV- / Cloud-Services und Anwendern ist eine gemeinsame Bereitschaft zur Transformation nötig

EDV-Lösungen / Cloud-Services und EDV-Organisationen mit deren derzeit gegebenen Services werden zunehmend gefordert von z.B. auch den EDV-Anwendern selber. Hierbei spielen Fach-Themen wie z.B. ByoD (Bring your own Device), PcIT (People centric IT), Consumerization oder nicht immer mit den Firmen-Regeln vereinbare Anwender-Anspruch an z.B. Webmail, Daten-Synchronisation (z.B. Dropbox, iCloud, OneDrive), Social Media (z.B. Facebook, Twitter, Skype, Xing, Blog) oder offener Firmen-Internet-Zugang gewichtige Rollen.

Die zunehmend gewünschte Verschmelzung von den unterschiedlich genutzten Geräte- / Form-Faktoren wie Firmen-PC, HomeOffice-PC, Ultrabook, Tablet, Smartphone sind weitere Treiber dieser Entwicklung und den mittlerweilen entsprechend grossen Angeboten von Cloud-Services, Apps und Geräten. Neuere und intuitivere Bedienungskonzepte, Software-/App-Generationen mit verschmelzenden Bedienungsoberflächen und künftig immer weniger Betriebssystem-Versionen (z.B. noch 1 Betriebssystem auf allen genutzten Geräten …) eröffnen ein riesiges weiteres Innovations-Potential.

Der entsprechende „Wandlungsdruck der Informatik“ – nennen wir es mal „Transformation“ – in ein neues Informatik-Zeitalter mit jeweilig an die Firmenstrategie orientierte ICT-Strategie hält schon länger an. Auch hier ist die Führungsebene in der unveränderten Pflicht, den Informatik-Bereich in dieser Transformation zu unterstützen oder deren Entscheide zu prägen / steuern oder auch kritisch zu hinterfragen. ICT wird vielfach leider immer noch als reine Kostenstelle und leider nicht als strategischer, innovations-treibender Vorteil gegenüber Mitbewerber betrachtet.

Viele EDV-Organisation aber auch deren EDV-Anwender sind entsprechend noch längst nicht auf (oder in) irgendeiner „Wolke 7“ bzw. nutzen die bereits jetzt vorhandenen bestehenden Möglichkeiten der jetzigen EDV-Prozessen mit „angezogener Handbremse“ zulasten der Arbeits-Effizienz und Flexibilität / verlangten Mobilität.

Das strukturierte, meist langfristig statische ICT-Management, Prozesse, Standardisierung und auch Mitarbeiter-Schulungs-Stand steht vielfach im Widerspruch zu der gängigen Ansicht der Anwender, dass viele neue Funktionen oder Cloud-Services „einfach“, „schnell“ per „plug and play“ etabliert werden können.

Das gemeinsame zu vereinbarende Ziel dieser unterschiedlichen Ansichten, gegebenen Möglichkeiten, Lieferanten – und im Mittelpunkt stehenden Anwendern – sollte in Richtung einer passenden ICT-Transformation mit auch einem sinnvollen Mass an ICT-Innovation gehen. Ein entsprechend nachhaltiger – mitunter auch „mutiger“ innovativer – Mehrwert muss realistisch erreichbar sein mit allen beteiligten Anwendern, Prozessen und bestehenden zu optimierenden oder neuen Systemen. Die entsprechende Schulung von Anwendern, speziell auch der Sensibilisierung zur aktiven Mitarbeit im Thema Sicherheit und Know-How-Transfer zwischen internen und externen Services-Lieferanten ist dabei ein entscheidender Teil-Faktor um nicht in eine firmen-kritische Abhängigkeit von Personen oder Services zu geraten.

Eine zu transformierende ICT-Umgebung muss in aller „begeisternden Euphorie“ beherrschbar bleiben für die Service-/Support-Organisation. Dabei gilt es firmen-vitale Fach-Aspekte sauber zu definieren, zu dokumentieren und kontrollierbar zu halten wie z.B. Sicherheit / Datenschutz, Security Policies für Mitarbeiter, Prozesse, Risk Management / IKS, Audit / Compliance, Business Support, Disaster Recovery / BRS.

Letztlich sollte auch ein neues internes oder externes Service Level Agreement (SLA, OLA) massgeschneidert vereinbart werden. Rechtliche Unklarheiten oder Unsicherheiten mit z.B. externen (Cloud)Services sind bei Bedarf speziell abzuklären und in die Vertrags- / SLA-Definitionen zu integrieren. Je nach vorhandener oder künftiger angestrebter Qualitäts-Sicherung (QM,TQM) können hier auch erweiterte Service-Management-Aspekte von z.B. ITIL oder CMDB (serviceorientierte Configuration Management Datenbank) eingeführt werden.

Infolge der zunehmenden Granularität und Verteilung der (Hybrid)Cloud-Services ist es ratsam, spezielle Massahmen in in den Bereichen Technologie und Prozessen zu etablieren. Hierzu gehören auch spezielle Massnahmen in der Mitarbeiter-Sensibilisierung durch Informationen und Schulungen gegen die sehr dynamischen Bedrohungslagen/ Cyber-Security in Nutzungs-Themen wie z.B. Internet, Email, Webmail, Social Media, Datenschutz, Datenaustausch, Smartphone-Einsatz, HomeOffice-Nutzung, Spam-Problematik und letztlich Social Engineering (einfach gesagt gezielte Attacken / Sicherheitsprobleme via/durch Mitarbeiter).

Migrationen und Transformationen bieten auch Chancen für weitere Standardisierungen, Homogenisierung, Innovationen und Weiterentwicklungen in Prozessen. Neuere, laufend weiterentwickelte (Hybrid)Cloud-Services wie nur schon neue, bisher ungenutzte Produkte-Funktionen, prozess-orientierte Dokumentenmanagementsysteme (DMS), Business Intelligence (BI, Big Data / Data Mining) oder Enterprise Social Media können hierbei weitere wertvolle und effizienz-steigernde Mehrwerte generieren in der Prozesslandschaft.

Viele ICT-Serviceorganisationen erkennen darin letztlich auch Chancen als eine Art „Überlebensfaktor“ im Vergleich zu anderen internen oder externen Mitbewerben oder Cloud-Lösungen. Hierbei werden zunehmend auch externe ICT-Coaches, „Cloud Solution Experts“ oder „Solution Brokers“ konsultiert für „Das Beste aus den Clouds“ bzw. „Hybrid Cloud Lösungen“.

Die auch durch Cloud-Services verbundene zunehmende “Entgrenzung der Arbeit” (Stichwort: Arbeit nicht nur innerhalb der “Firmengrenzen” mehr sondern eben überall und wiederum “Hier und Jetzt”) verlangt natürlich auch entsprechende definierte ICT-Weisungen, ICT-Sicherheitsrichtlinien und ICT-Controlling-Mechanismen für z.B. Compliance / Datenschutz innerhalb von z.B. IKS (Internes Kontrollsystem) oder QM-Prozessen.

Nichts ohne ICT-Strategie!
Dass dabei diese neue Arbeitsform und letztlich “Business-Support durch ICT” definiert und gestützt werden muss innerhalb der anzupassenden oder zu etablierenden ICT-Strategie liegt auf der Hand. Die ICT-Strategie ist entsprechend aufgrund des zunehmend firmen-vitalen ICT-Prozesses abzuleiten von der jeweiligen Firmen-Strategie. Relevant ist auch, dass seitens der Führungs-Ebene diese ICT-Strategie und deren Auswirkungen pro-aktiv unterstützt und laufend traktandiert werden. Hierbei wird endlich und zurecht dem ICT-Prozess nicht nur ein reiner Kosten-Faktor hinterlegt in der Gesamtverantwortung sondern eben auch eine adäquate Firmen-Vitalitäts-Bemessung.

Gemeinsam mit allen Beteiligten und festgehalten in der ICT-Strategie könnte dann ein laufendes, übergeordnetes Ziel der ICT ins Auge gefasst werden in Richtung von selbsterklärenden Begrifflichkeiten wie „Reducing, Unlocking, Accelerating, Benefit“.

Moderne, attraktive Arbeitsplätze – mit verbessertem ICT-Business Support – sind zunehmend auch positiv wirkende Faktoren bei der Personal-Rekrutierung im ausgetrockneten Fachkräfte-Arbeitsmarkt und letztlich der Arbeitgeber- / Arbeitsplatz-Attraktivität.

Der Trend der künftigen Arbeitweise zeigt zunehmend auf eine dynamische Projektarbeit im Gegensatz zum bisherigen starren Aufgabenbereich. Für diese Dynamik werden auch entsprechende Werkzeuge und Technologien benötigt von modernen Cloud-Umgebungen.
Die Mitarbeiter-Kultur und Projekt-Strukturen werden sich entsprechend anpassen und die Mitarbeiter-Team-Zusammensetzungen in den Projekten werden gezielter mittels ausgewählten „Wissens-Projekt-Arbeiter“ gezielt zusammengesetzt.
Der laufende interne KnowHow-Transfer und proaktive Informations-Austausch – unterstützt mit Austausch-Begegnungsmöglichkeiten auf Enterprise Social Media Plattformen oder an Meetings / Events – wird dann eine der wichtigen Aufgaben für die Führungsebene werden für die Motiviations- und Retensions-Bemühungen vom Human-Kapital.
Diese wohl zu dosierende Form wird auch den Arbeitsort und Arbeitsplatz der Projekt-Mitarbeiter mittelfristig prägen und flexibler machen.

Wenn sich dann letztlich alle Betroffenen zu auch aktiven motivierten Beteiligten (Mensch und Maschine) transformieren lassen entsteht ein gemeinsamer Konsens und die Organisation ist dann sozusagen „ready to transform / to (hybrid)cloud2“ mit echtem Mehrnutzen und Nachhaltigkeit – bei maximierten “Business-Support durch ICT.

>> Siehe daraus publizierter Artikel im „Management Magazin“ von SIA Schweizerischer Ingenieur und Architekten Verein
Management-Magazine_3_2014_GER_FRA

>> Siehe daraus publizierter Artikel / Gast-Kolumne „Rigi-Anzeiger“
Artikel-Rigianzeiger-Hybrid-Cloud-Transformation-Kolumne-2014_05_02

http://rigianzeiger.ch/transformation-in-ein-neues-informatik-zeitalter/

Public Cloud – Office365 – das (r)evolutionierte „4D-Printing“ / „Hier und Jetzt“ der Zusammenarbeit

cloud

Wir kennen das vom Einkauf im Dorfladen: „Was darf es sonst noch sein?!“ – „Darf es ein bisschen mehr sein?“ Die gleichen Fragen stellen sich derzeit in der ungemeinen (oder eher gemeinen unübersichtlichen…) Flut der Cloud-Services mit unglaublich „bisschen gar viel integriert mehr drin“. Das massgeschneiderte Orchestrieren und eine sauber vorbereitete Transformation kann sehr grossen Zusatz-Nutzen generieren bei Kleinstunternehmen, KMU und auch bei grossen Organisationen.

Aufgrund der Tatsache, dass vorallem ein grosser und wichtiger Teil der Kommunikation per Internet und Email schon immer über das grundsätzlich unsichere Internet abgewickelt wurde seit Jahren, freunden sich immer mehr „Sicherheitskeptiker“ an mit sogenannten Hybrid-Cloud-Lösungen bei welchen ein Teil der ICT-Services von einer lokalen ICT-Organisation (Private Cloud) und ein anderer Teil von einer externen ICT-Organisation (Public Cloud) als reiner Service bezogen wird.

Wenn man dann auch nicht die Gesamt-Kosten-Aspekte mit-betrachtet im Bereich von Kosten wie z.B. Infrastruktur, Serviceorganisation, Support und vorallem auch den konkurrenzlosen Hersteller-Direkt-Lizenzierungskosten kommt es nicht von ungefähr, dass der Erfolg und laufende technische Weiterentwicklung und das Wachstum dieser Public Services (z.B. Office365, SharePoint Online, Exchange Online, Yammer, OneDrive for Business, Microsoft Azure, Windows Intune, Lync Online) beeindruckend ist in den letzten Jahren.

Im Jahr 2009 starteten wir selber bei uns oder Kunden mit der damaligen Ur-Version vom heutigen Office365 – damals hiess es bisschen holperiger „Business Productivity Online Suite“ oder kurz BPOS. Die damalige Version war im Bereich der Online-Admin-Konsole und den technischen, integrativen Features um Welten entfernt von den heutigen, stark erweiterten Office365-Komplett-Lösung.

Die damalig eher technisch gegebene und „noch cloud-kritische“ Distanz und Unsicherheit wurde – in den folgend laufenden Services-Erweiterungen und richtiggehenden (R)Evolutions-Schritten der einzelnen Cloud-Anbietern – stufenweise abgebaut.
Fortan wurde in den entsprechenden (R)Evolutions-Schritten der Cloud-Services die organisatorische und technische „Hürde“ für diverse ICT-Organisationen und ICT-Infrastrukturen immer grösser, auf dem gleichen Level (Infrastruktur, Prozesse, KnowHow, Automatisierung, Qualität, Sicherheit, Kosten) dieser sehr schnellen Weiterentwicklung und kürzeren Versions-/Lebens-Zyklen mitzuhalten.

Auch muss festgehalten werden, dass das damalige „Orchestrieren“ der Cloud-Services mit den damalig verfügbaren Admin-Konsolen und Produkteversionen auf der Basis von Exchange 2007, SharePoint 2007, Office 2007 kein Vergleich ist mit den heutigen sehr ausgereiften und beinahe völlig mit OnPremise-Installationen verschmelzten Konsolen, Tools, Scripts und auch PowerShell. Weitere mächtige Erweiterungen und „Andockstellen“ von/für lokalen OnPremise-Umgebungen wie z.B. ADFS (Active Directory Federation Services), DirSync, Webservices, Connectors, Remote Powershell, MS Azure eröffnen weitere Flexibilitäts-Grade für eine stufenweise technische Transformation oder Koexistenz-Betrieb (z.B. bei stufenweisen Migrationen von mehreren Filialen oder Ländergesellschaften, Ausfallsicherheits-Massnahmen von z.B. Domaincontroller / HyperV Replica / Active Directory Services auf MS Azure).

Weitere neue Konzepte des SelfService-Gedanken mit User-Admin-Umgebung, administrations-delegierbaren RBAC (Rollenbasierten Zugriffskontrolle) für z.B. Microsoft-Partner (POR) oder Kunden-Admins, Service-Health-Status und integriertem Ticketing-Support-System decken weitgehenst unterschiedlichste Bedürfnisse von in einer Transformation stehenden ICT-Organisation ab.

In Bereich der Sicherheit stehen derweil weitere Features zur Verfügung wie z.B. SingleSignOn (SSO), Multifactor-Authentication, autonomer Kennwort-Reset mit mehrstufiger Sicherheit, Komplett-Verschlüsselung der Daten / Mails / Kommunikation / Transport und auch spezielle Richtlinien-Definitions-Möglichkeiten in den Bereichen wie Compliance / LegalHold / Ligitation / Archivierung / Journaling / Versionisierung. Hier wiederum kommen ebenfalls zentrale Enterprise-Lösungen zum Zuge wie z.B. Forefront, System Center, DPM, APP-V, MDOP welche sich vorallem kleinere und auch mittlere ICT-Organisationen monetär und auch knowhow-mässig nicht leisten können.
Ein weiterer fleissiger Helfer für ein zentralisiertes Device-Management, Endpoint-Protection , Inventarisierung, Compliance-Support, Lizenzierungs-Management von Clients / Tablets / Smartphones (Windows Phone, iOS, Android) namens Windows Intune rundet dann eine solche „Enterprise-Umgebung, erschwinglich für JEDER Organisation“ rund und integriert ab.

Kurzum aus technischen Aspekten: Darf es bisschen mehr sein? ¨> Ja bitte, wir können es uns sonst gar nicht selber leisten! Danke!

Die zunehmend gewünschte Verschmelzung von den unterschiedlich genutzten Geräte- / Form-Faktoren wie Firmen-PC, HomeOffice-PC, Ultrabook, Tablet, Smartphone sind weitere Treiber dieser Public-Cloud-Entwicklung und den mittlerweilen entsprechend grossen Service-Bandbreite von Public-Cloud-Services wie Office365.

Neuere und intuitivere Bedienungskonzepte, Software-/App-Generationen mit verschmelzenden Bedienungsoberflächen und künftig immer weniger Betriebssystem-Versionen (z.B. noch 1 Betriebssystem auf allen genutzten Geräten …) eröffnen ein riesiges weiteres Innovations-Potential der jetzt schon erstaunlichen Abdeckung der Office365-Palette.

Ebenfalls ist die laufende konsequente Weiterentwicklung der Webservices / Apps welche sich hersteller-unabhängig in allen modernen Webbrowsern, auf allen Tablets, Ultrabooks, Smartphones (Windows Phone, iOS, Android) und z.B. TV-Geräten nutzen lassen sehr beeindruckend.

So staunt man doch nicht schlecht wenn man plötzlich auf einem fremden PC ohne aktuelles Office drauf im Webbrowser mit z.B. Word Online (vormals Office Web Apps) beinahe vollwertig arbeiten kann. Bei entsprechender Subscription kann man ja immer noch bei Bedarf das Office-Packet per sogenannter Click-and-Run-Streaming-Technologie innert einzelner Minuten lokal als auch cloud-unabhängige Desktop-Version installieren lassen auf bis zu 5 Geräten pro Benutzer.

Durch die Collaborations-(R)Evolution und Office365-Erweiterungen wurden auch für Privat- oder KMU-Anwender gar nicht oder passiv genutzte Programme und verkannte geniale Funktionen wie z.B. OneNote, OneDrive (vormals SkyDrive), SharePoint, Lync, Yammer plötzlich sehr interessant und vorallem nützlich für die Effizienz-Steigerung und als weitere digitale Helfer. Der frühere hardware-mässige PDA (Personal Digital Assistent) ist nun plötzlich keine Hardware mehr sondern eher genial orchestrierte Cloud-Services die überall und ohne den verstaubten PDA nutzbar sind.

Die vielen genialen Funktionalitäten und völlig neuen Freiheitsgrade des persönlichen „Cloud Offices“ wo immer man ist werden dann auch erstaunlicherweise zu extrem günstigen Preisplänen angeboten. So kommt es nicht von ungefährt, dass viele ICT-Organisationen gewisse Lizenzierungs-Aktualisierungen oder Ergänzungen mittels den Office365-Lizenzierungs-Moeglichkeiten abdecken und davon kostenmässig profitieren.
Dass dann dabei dann plötzlich die durchschnittlichen cirka 3 Mitarbeiter-Geräte und auch noch das ganze HomeOffice lizenztechnisch abgedeckt ist mit 1 Subscription bringt natürlich auch die Kosten-Rechner und Budget-Owner auf den Plan.

Kurzum auch aus funktions- und lizenz-technischen Aspekten: Darf es bisschen mehr sein? > Ja bitte, wir können nun endlich echt geräte- und standort-unabhängig die modernsten Collaboration- / Cloud-Services einfach nutzen! Danke!

Die besten Lösungen bedürfen auch deren besten Anwendung für das Ausschöpfen möglichst aller Potentiale und Funktionalitäten.
In Kombination von möglichen Collaborations-Dreamteams wie z.B. Outlook / Exchange, OneNote, SharePoint, OneDrive und auch Yammer oder Lync entstehen mittels einer gut vorbereiteten Einführung, Orchestrierung, Schulung, Prozessadaptionen und laufender Weiterentwicklung ungeahnte neue Innovationen während dieser Transformation.
Das standortunabhängige, sehr nah integrierte Zusammenarbeiten genau aus den Anwendungen die man seit Jahrzenten selber kennt – wie eben nur schon Office –  entstehen plötzlich z.B. bisher brachliegende Verbindungen, neue Zusammenarbeitsformen, Integrations-Funktionen, virtuelle Workspaces, sichere Informations-Drehscheiben und letztlich eine komplett (r)evoutionierter und firmengelände-überwindender Kommunikations-Prozess.

Die Arbeit, Zusammenarbeit und Projekte werden in kurzer Zeit der Anwendung und gut begleiteter Schulung sehr schnell viel interaktiver und dynamischer.
Dokumente, Präsentationen, Berichte, Ideensammlungen, Mails sind plötzlich von überall, ab jedem Gerät und ohne Gedanken an die „Technologie“ oder „technischen Hürden“ nutzbar, veränderbar und zwar zu genau den Zeiten wo man die besten Ideen und Gedanken / Inputs hat!

Eine Art der Arbeitsmentalität „Hier und Jetzt“ und nicht erst morgen wenn ich den PC in der Firma gestartet habe und dann viel Spontan-Kreativtät oder unterschätzte Motivation / Arbeits-Energie verloren habe. Dass dabei die „Work-Life-Balance“-Kritiker wieder Vorbehalte haben ist verständlich. Jedoch helfen genau diese spontanen Möglichkeiten auch den Arbeitsalltag oder die Gesamt-Jahresarbeitszeit zu optimieren und aufzulockern. Es ist ja auch nicht gesund und schlaf- und erholungs-fördernd wenn man den Kopf voller nicht effizient niederschreibbarer wichtigen Gedanken hat, vielfach dadurch abwesend ist und dann wieder an den Arbeitsplatz oder HomeOffice hetzt um ja nichts zu vergessen innerhalb der Tagesarbeitszeit anstelle genau die Zeiten zu nutzen wo man kreativ ist, niemand stört, das soziale Umfeld oder Familie nicht beeinträchtigt oder irgendwo warten muss… wenn man es ganz intelligent und ausgeglichen gestaltet kann es durchaus sein, dass der Firmen-PC immer mehr warten muss auf seine Eingaben und der Mitarbeiter dann nur noch in der Firma ist für z.B. Projektbesprechungen, KnowHow-Transfer, Austausch, Schulungen und dadurch zunehmend flexibler wird in seiner Arbeitszeit-Gestaltung. Die Arbeitgeber-Attraktivität durch die Mitarbeiter-Zufriedenheit durch solche neuartige Arbeits-Modelle wird zunehmend firmenvital im künftigen modernen Humankapital-Management und im kompetetiven Markt.

Die auch durch Cloud-Services verbundene zunehmende „Entgrenzung der Arbeit“ (Stichwort: Arbeit nicht nur innerhalb der „Firmengrenzen“ mehr sondern eben überall und wiederum „Hier und Jetzt“) verlangt natürlich auch entsprechende definierte ICT-Weisungen, ICT-Sicherheitsrichtlinien und ICT-Controlling-Mechanismen für z.B. Compliance / Datenschutz innerhalb von z.B. IKS (Internes Kontrollsystem) oder QM-Prozessen.

Nichts ohne ICT-Strategie!
Dass dabei diese neue Arbeitsform und letztlich „Business-Support durch ICT“ definiert und gestützt werden muss innerhalb der anzupassenden oder zu etablierenden ICT-Strategie liegt auf der Hand. Die ICT-Strategie ist entsprechend aufgrund des zunehmend firmen-vitalen ICT-Prozesses abzuleiten von der jeweiligen Firmen-Strategie. Relevant ist auch, dass seitens der Führungs-Ebene diese ICT-Strategie und deren Auswirkungen pro-aktiv unterstützt und laufend traktandiert werden. Hierbei wird endlich und zurecht dem ICT-Prozess nicht nur ein reiner Kosten-Faktor hinterlegt in der Gesamtverantwortung sondern eben auch eine adäquate Firmen-Vitalitäts-Bemessung.

Kurzum auch aus arbeits-technischen Aspekten: Darf es bisschen mehr sein? > Ja bitte, wir können nun endlich echt die Arbeitszeit und Arbeitsgestaltung freier mitprägen und flexibilisieren! Danke!

Das (r)evolutionierte „4D-Printing“ / „Hier und Jetzt“ der Zusammenarbeit könnte entsprechend dann entstehen durch die 4. Dimension der Zeit > im übertragenen Sinne also „Hier und Jetzt“

ICT-Business Support-Prozesse und Transformation in der Bauwirtschaft und Baulebenszyklus

bauinformatik_nextgen_ict_bauprozess

Alt bewährt – in Stein gemeisselt – aber noch zeitgemäss ?
Auf meinem ersten Bildungsweg in den Bereichen Bau-, Bauinformatik und Immobilien wurde noch viel mehr „analog“ aber mit „eigenem Köpfchen ohne dutzende von fehlerkorrigierenden digitalen Helfen im Hintergrund“ geplant und gearbeitet am Reissbrett, auf Skizzen, auf Plaupausen, Handnotizen, Baustellen-Rapporten, mit Schreibmaschine verfassten Werkverträge, handgeschriebenen Leistungs-Ausmassen oder Submissions-Unterlagen.
Die Mentalität von schnell was machen und ansonsten wieder zurück mittels „Zurück-Befehlen in Programmen“ gab es damals noch nicht. Komplexere Planelemente oder grafische Grundelemente wie nur schon einfache Linien von A nach B waren nicht gerade „in Stein gemeisselt“ aber fanden mittels Tintentusche eine permanente Druchdringung des verwendeten Planpapiers und mussten mühsam (wenn die Anzahl der Korrekturen dies überhaupt zuliessen je nach Dicke des Papiers …) weggekratzt oder wegradiert werden. So war die Art und Weise des täglichen Planungs- und Arbeit-Prozesses in den vielen Planungs- / Ingenieur- und Architektur-Büros und auch Baustellen-Büros eine fundamentale andere als der heutige mittels EDV-Unterstützung.

Bauinformatik per Lochkarte und 5.25″ Diskette
Es gab sie damals: die sagenumwobenen Monstermaschinen mit den super-ergonomischen Röhrenmonitoren und der grünen Schrift auf schwarzem Hintergrund welche vielfach genutzt wurden für Baustatik und Berechnungen.
Aber auch hier: eine entsprechende Statik-Berechnung musste – man staunt – schon vor der mehrstündigem Berechnungs-Lauf-Prozess sauber durchdacht und vorsimuliert sein im Kopf oder auf dem Papier. Mehrere Fehler durfte man sich nicht erlauben aufgrund der Laufzeiten, Lieferfristen und beschränkter Verfügbarkeit der Maschinerie. Auch musste man dann jeden Rechnungslauf sauber eintragen in einem Papierprotokoll für die interne und externe Abrechnung… Kaum mehr vorstellbar was das abgebildet auf den heutigen Umgang mit der EDV zur Folge hätte.

Planung und Verantwortung – ohne digitale Helfer wie Notebook, Smartphone, Internet, CAD, Projektprogramme
Das methodische, logische Vorgehen und vorallem das „zu Ende Denken“ mit allen Konsequenzen und darauf resultierenden Verantwortung prägte die Arbeitweise und letztlich den damaligen Bauprozess.
Ein „Gut zur Ausführung“ eines Planes oder ein vor Ort auf der Baustelle / Immobilie erteiltes „OK“ war nicht mehr so schnell korrigierbar ohne Smartphone, ohne Internet, ohne Email. Die Arbeit war viel bewusster und nachhaltiger. Es gab – im Gegensatz zu den heutigen Programmen – keine „Trial and Error“-Moeglichkeit mit einfachen Vor-Simulationen oder 3D-Visualisierungen – die Schritte mussten sozusagen auf Anhieb sitzen.

Digitalisierung des Bauprozesses mit Bauinformatik und Schnittstellen
Zunehmend hielten PCs / Macintoshs Einzug in die Planungsbüros und blieben nicht nur den Architekten, Ingenieure oder Büroinhaber vorbehalten sondern auch die Zeichner / Konstrukteure und zum Glück auch Lehrlinge durften davon profitieren in der Firma und in den Ausbildungsstätten. Modernere Software-Generationen für die Auftragsbearbeitung, Leistungserfassung, Ausschreibung, Werkvertragswesen, Abrechnung folgten zugunsten der weiteren Digitalisierung des Bauprozesses und letztlich des Business-Supports durch ICT.
Die unterschiedlichen CAD- und Auftragsbearbeitungs-Software verlangten nach standardisierten Schnittstellen und Austauschformaten für den Datenaustausch zwischen den Projektbeteiligten und zwischen den unterschiedlichen Software-Anbietern.

Die Planungs- und Leistungsbeschriebs-Unterlagen wurden datentechnisch „um Dimensionen“ erweitert mit 3D, Layers, standardisierten seitens Hersteller gelieferten Bibliotheks-Elementen, Kosten und letztlich einer Explosion von Datenzuwachs. Wie wir schon in der Wirtschaftsinformatik lernten stellte sich genau hier die Grundsatzfrage „Wann und mit welcher Business-Logik werden aus Daten verwertbare Informationen?“

Nichts ohne Standardisierungen und Normierungen
In meiner unverändert laufenden Tätigkeit seit über 13 Jahren in der Kommission für Informatik und Normenwesen beim Schweizerischen Ingenieur- und Architekten Verein http://www.sia.ch durften wir entsprechende schweizerische Normen / Merkblätter / Empfehlungen für die Fachbereiche wie CAD, Datenaustausch, Prozesse erarbeiten und verabschieden in verschiedenen Arbeitsgruppen und Publikationen.
Eines der grössten Spannungsfelder war die Tatsache, dass in der normativen Fachlehre meistens „zurück geschaut“ und „darauf basierend definiert“ wird auf das jahrelang Bewährte und wir uns konfrontiert sahen, genau diesen bisher üblichen Blick auf Jahre oder gar Jahrzente alte Normen / Standards in die entgegengesetzte Richtung in die Zukunft zu fokussieren und Widerstände zu überwinden in die Richtung der „Akzeptant mit fachlicher Penetranz“
Wir mussten auch feststellen, dass auch aufgrund einiger verstaubten Normen und Merkblätter schon einige grössere Firmen, Softwareanbieter oder professionelle Bauherren eigene, interne Standards etabliert hatten aus der Dringlichkeit und der fortgeschrittenen Entwicklung des Bauprozesse.

Bau-Industrie-Standards wurden reformiert – EDV-Standards schon länger
Einige Industrie- und SIA-Normen / Standards / Schnittstellen wie z.B. SIA 451, DXF, CAD-Merkblätter, NPK, BKP, eBKP bedurften einer Reformation auf prozess-mässiger und auch technologischer Ebene unter Berücksichtigung möglichster aller Verbände und Interessen-Gruppen wie auch Bauherren, Generalunternehmer, Immobilien-Bewirtschafter, Investoren, Banken.
Der Wandlungsdruck auch vom europäischen Einflussbereich der CEN-(DIN)-Normen hielt auch hier Einzug und es mussten immer mehr Interessen abgewägt und abgedeckt werden auf einer möglichst neutralen und produkte-neutralen, strategischen Ebene – aber immer wieder und zunehmend unterstützt und automatisiert durch Bauinformatik.

Transformations-Hemmnisse verhinderten aktiven Teilnahme und Optimierungs-Potentiale
Auf meinem zweiten Bildungsweg in den Bereichen Wirtschaftsinformatik / Engineering / Internet-Technologien sprach man schon Ende der Neunzigerjahre z.B. von „reformierendem“ Outsourcing / Application Service Providing (ASP) und andere Branchen transformierten sich bereits damals oder schneller in diese Richtung. Die Baubranche bzw. die damaligen noch bestehenden Abhängigkeiten von älteren sogenannten Legacy-Systemen, internen Standards oder nicht einfach so migrierbaren EDV-Prozessen verhinderten damals die grossflächige Teilnahme in dieser fortschreitenden Industrialisierung mit sich damals etablierenden neuen EDV-Standards. >> siehe separater publizierter Artikel

Akzeptanz und Verbreitung – beginnend bei der Ausbildungs-Pyramide
Die Verbreitung und Anwendung von neuen Normen / Standards und business-unterstützenden ICT-Prozessen waren nur sinnvoll und nachhaltig zu etablieren via der mehrstufigen Ausbildungs-Pyramide (Ausbildung, Weiterbildung etc.), der Verbreitung via Fachverbänden und dies begleitet mit den entsprechenden Merkblättern und Normen. Diese verzögerte Verbreitung und der Widerstand von bereits eigens etablierten Standards stellte eine weitere Herausforderung dar in der sich stetig verändernden Halb-Werts-Zeit des Fachwissens und der entsprechenden Akzeptanz und Adaptions-Müdigkeit.

Unterstützungs-Prozesse wie ICT, Normen-Adaptionen, Standard-Etablierungen – zu unrecht als reiner Kostenfaktor / zu recht als Nicht-Top-Prio der Nachfolgeregelung betrachtet
Jahrzentelang wurden entsprechende hochgelebte Standards teilweise aus unberechtigter Angst vor Zusatzkosten / neuen ICT-Prozessen oder Kontroll-Verlust am Leben erhalten und neue Chancen und Innovations-Potential verpasst.
Es schien beinahe unmöglich zu sein, die heiligen internen Standards / Prozesse / Vorlagen für Pläne / Leistungsverzeichnisse / Werkverträge / Bibliotheken zu ändern aufgrund auch von teilweise konzeptionell falsch aufgebauten Basis-Sets und Definitionen welche auseinanderbrechen zu drohten. Meinungen und Aussagen wie z.B. „Funktioniert ja alles und wir bauen seit Jahren so“ und „Uns fehlen die gesamtschweizerischen etablierten Standards und das Einführungswissen für eine strukturierte, effiziente Umstellung“ war dann eine gängige Ausprägung dieser Transformationsmüdigkeit.
Viele der betroffenen Organisationen befanden sich zusaetzlich auch in einer Uebergangslösung oder Phase der Nachfolge-Regelung seitens der Firmen-Inhabern und verständlicherweise waren vielfach die Prioritäten derweil anders gesetzt.

Der ganze Bau-Lebenszyklus wurde zunehmend voll-digitalisert
Entlang des ganzen Bau-Lebenszyklus mehrten sich zunehmend mehr professionell, monetär orientierte Interessen-Gruppen wie Investoren, professionelle Bauherren, Immobilienbewirtschafter, Gesamt-Systemanbieter und Banken / Versicherungen.
Die prozess-technischen und technologischen Anforderungen an die Outputs / Inputs aller Projektbeteiligten wurden komplexer und dynamischer und der entsprechende Minimal-Standard als an diesem Bauprozess teilnehmendes Unternehmen stieg rapide an.
Die eingeläutete (R)Evolution wurde begleitet von einer Reihe von neuen Produkten, Prozessen und Normen / Merkblätter. An der Baurationalisierung waren diverse Institutionen, Verbände und auch Firmen / Organisationen wie der SIA http://www.sia.ch und CRB http://www.crb.ch aktiv beteiligt.

Konzentration auf die Kernprozesse und Outsourcing von Supportprozessen
Der zunehmende Komplexitäts-Grad des Gesamt-Prozesses und Lebenszyklus verlangte nach interdisziplinären Zusammenarbeiten und teilweise auch auf Konzentrationen auf Kernkompetenzen und Hochspezialisierungen in Teilbereichen.
Hierzu wurden auch vermehrt für solche Supportprozesse entsprechend externe Berater / Systeme / Support hinzugezogen um das „Beste von Allem“ zu erhalten und nutzen zu können.
Hierzu gehörte auch der Bereich der Informatik >> siehe separater publizierter Artikel

Nächste Generation der digitalen Baurationalisierung
Neuere vielversprechende und visionäre Standards in Richtung BIM (Gebäudedatenmodellierung) stellen weitere Herausforderungen und riesige Potentiale dar.
Es bleibt zu hoffen, dass hier die entsprechende Wandlungsbereitschaft und Adaptierungsgeschwindigkeit rascher und effizienter erfolgen kann mit möglichst allen interdisziplinär zusammenarbeitenden Interessengemeinschaften und unter den Vorgaben und Vorarbeiten von der internationalen Organisation buildingSmart und dem offenen Standard openBIM. Das Basisdatenmodell IFC (Industry Foundation Classes) zur digitalen Beschreibung von Gebäudemodellen weckt grosse Hoffnung, dass der digitale Informationsfluss während des ganzen Lebenzyklus eines Bauwerkes weiter (r)evolutioniert wird.

Visionen und Chancen – ueber Big Data und Cloud zum gemeinsamen Erfolg
Rund 70% der schweizerischen Bauwerke sind aelter als 30 Jahre und stehen vor baldigen Umnutzungen, Renovationen oder gar Neubauphasen. Es bleibt zu hoffen, dass diese riesige Menge an zu erhebenden Daten für z.B. Renovation, Altlastensanierungen, Umnutzungen in wenigstens minimaler Detaillierungsstufe vorhanden sind und genutzt werden können … Es ist eher was Anderes zu erwarten … und genau kann man die Schwierigkeiten und Herausforderungen erkennen.
Meine persönliche Vision ist, dass man künftig z.B. zu jeder Zeit des Entstehungs- und Nutzungs-Prozesses entlang des Lebenszyklus zugreifen kann auf zentral (z.B. Immobilienbewirtschafter) oder dezentral (z.B. Baustoff- oder Bauteil-Lieferanten) gehaltene Informationen von Bauwerken.
Weitere Entwicklungen in den Bereichen wie „Internet of things“ bei welchem jedes Gerät künftig vernetzt und integriert werden kann in Facility Management Systemen oder nur schon in einer einfachen Heim-Vernetzung ermöglichen weiteren Innovationen und Potentiale.

Potentielle Einsatzmöglichkeiten von Big Data / BIM-Anwendungen
Folgende Use Cases sehe ich persönlich als Beispiele:

– Ein Planungsbüro, Baustellenbüro wird viel flexibler bei der Einrichtung und Unterhalt von stationären oder mobilen Arbeitsplätzen für die Mitarbeiter oder Projekt-Ausführungsorte. Der Mobile Workplace wird spätestens dann vollumfassend realisierbar und effizient nutzbar.
Die Arbeitsweise wird zumindest dann technologisch (r)evolutioniert und kann dann mit passenden Best Practices Anwendungen oder massgeschneiderten Prozessen (passend auf die jeweilige Organisation) ausgeschöpft werden.

– Ein Kalkulator, Projekt-/Bau-Leiter, Projektcontroller hat schon waehrend der Bauphase laufende Rueckmeldungen seitens z.B. der mobilen Leistungserfassung in die Kostenrechung, Nachkalkulation und immer wichtigerer Kostenplanung und Steuerung.

– Ein Immobilien-Verwalter kann während einer Objektbesichtigung mit dem Eigentümer direkt per Smartphone / Tablet / Notebook auf Pläne, Uebergabeprotokolle, Dokumentationen, Wartungs-Kontroll-Listen, Anleitungen zu eingebauten Geräten, Kennwerten, Messwerten vom Facility Management System oder Energie- / Verbrauchskosten zugreifen und direkt z.B. Reparaturaufträge, Aufträge an Hauswärte oder Dienstleister verwalten und erteilen.

– Eine  Immobilien-Bewertung oder Immobilien-Sanierung kann mittels Zugriff und Uebersicht auf Baumaterialien, Altlasten, Hersteller-Informationen oder ganzen Bauteilgruppen dazu beitragen die Kosten- und Ausführungs-Planungen stark zu optimieren.

– Ein Architekt oder Fachplaner kann auf einen Klick ermitteln welche Baustoffe, Bauteile, Bauelemente oder Geräte  in welcher Anzahl und Qualität verbaut werden oder wurden – mit auch seitens Produzenten online aktualisierten Werten zu z.B. Seriennummern, Chargenummern, Rezepturen, Produktedokumentationen, Nachweisen, CO2-Werten, Produkte-Haftpflicht-Themen.

– Expertisen rund um bauphysikalische, baubiologische oder bautechnische Beurteilungen werden mittels zugänglichen Basisdaten zu Bauteilen / Werten / Baustoffen / Pläne unterstützt.
Ergebnisse und Empfehlungen zum untersuchten Objekt könnten rückfliessen in den Bauobjekt-Datensatz für künftige Weiternutzung und History.

– Sanierungen oder Rückbauten wären mit guter Informationsbasis genauer planbar in den Bereichen Planung, Kosten, Ausführung oder Altlasten-Sanierungs-Massnahmen.

– Versicherungs- / Schadenfall-Abklärungen würden effizienter und genauer.

– Ein Service-Dienstleiter fuer z.B. Klima, Aufzuege, Heizung, Solaranlage, Smart Metering sieht sofort – oder via Gebaeudeleit-System / MSR – welche Elemente fehlerhaft oder defekt sind oder aufgrund von z.B. Serienfehlern ersetzt oder nachgebessert werden muessen.
Nebst dem zentral abrufbaren Elemente-Kataloges eines Objektes könnte man auch gängige Industrie-Standards wie RFID / NFC nutzen um direkt vor Ort entsprechende freigegebene Informationen zu einem Bauteil abrufen zu können.

– Ein Fensterbauer, Küchenbauer, Sanitäreinrichter, Schreiner kann innerhalb von Renovationen / Umbauarbeiten auf Basis-Datensaetze des urspruenglichen Werkvertrag-Vertrags-Unternehmers und dessen eingesetzten Elementen und Modulen zugreifen fuer eine effizientere Offertstellung, Kalkulation und Ausfuehrung.

– Ein Zimmermann, Holzbauer, Fassadenbauer hat Zugriff auf Plaene, Nachweise, Berechnungen fuer die Renovationsarbeiten.

– Ein Bauherr oder Investor oder Facility Management Dienstleister (FM) kann zugreifen auf seitens Gebäude-Sensorik unterstützten Key Performance Indexes (KPI) zur Erhebung von z.B. Performance-Beurteilungen, Wirtschaftlichkeitsberechnungen, Zinsberechnungs-Nachweisen oder Steuernachweisen.

– Statistiken und Erhebungen seitens Bund, Behoerden und Ämter sind autonom – selbstverstaendlich mit zuvor wissentlich freigegebenen und so klassfizierten Daten-Teilbereichen (z.B. XML, IFC, Metadaten oder ganze Datensaetze, Plaene, Dokumente) – bedienbar fuer weitere Kostenoptimierungen auf Seite des Bauherren, Bewirtschafters und Behörden.

– Bewilligungsverfahren bezueglich Kosten und vorallem Durchlaufzeiten koennten stark optimiert und vereinfacht werden auf Seite des Bauherren, Planer und Bauamt.

– Bei der Bauobjekt-Nutzungsphase sind sehr viele Visionen und Technologien auf dem Markt verfügbar in Richtung „Betreutes Wohnen für z.B. ältere Menschen welche länger in den eigenen 4 Wänden anstelle in einem Pflegezentrum verbringen wollen“, intelligentes Wohnen, kommunizierende Haushaltsgeräte für automatisches Ordering von z.B. Service, Bestellungen, Reparaturen und dergleichen. Auch hier kommen die Visionen und Ansätze „Internet der Dinge“, „Fiber to the home (ftth)“ und letztlich „totale Haus-Vernetzung“ zum Zuge.

Qualitätssicherung
Letztlich und zusammengefasst entsteht eine bessere Qualität des Gesamten – unterstützt mit qualitativ und massgeschneidert aufbereiteten, zentral konsolidierten Informationen. Während des gesamten Baulebenszyklus wird dadurch auch die Qualitätssicherung optimiert und beherrschbarer.

Sicherheit ist gewährleistet und definierbar
Selbstverstaendlich waere dann in einem solchen System sehr klare Richtlinien und Einstellungsmoeglichkeiten unabdingbar fuer einen restriktiven Datenschutz zugunsten der Sicherheit. Die Klassifizierung von Daten fuer z.B. Public (Behoerden, Bund, Statistik) oder Private (Eigentuemer, Bewirtschafter, Datenmanager, Servicedienstleister) wuerde dies technisch und zentral ueberwachbar unterstuetzen.

10 Jahre Aufbewahrungs-Pflicht und revisionssichere Archivierung
Im weiteren waeren dann auch Themen der 10 Jahre Aufbewahrungspflicht von auftrags- oder system-relevanten Informationen abgedeckt. Dabei waere dadurch neu auch die revisionssichere Archivierung realisierbar.

Eine Art „Building Smart Cloud“ – auch zur Unterstützung der „Cleantech“-Zukunft
Letztlich wird man basierend auf diesen einzelnen Use Cases schnell erkennen, dass ein künftiges System welches auf einem intelligent orchestriertem Cloud-System basiert, eine schier unbegrenzte Anzahl von Potentialen erschliesst oder Nutzungsformen unterstützt z.B. von mobile Worklpaces, Apps, Webservices, Cloud, Big Data.
Durch solche optimierte Prozesse und auch Unterstützung der Automatisierung in der Bauindustrie entlang des ganzen Lebenszyklus werden auch Ansätze von „Cleantech“ gefördert und/oder gar ermöglicht durch die Einsparmöglichkeiten in allen Bereichen des Gesamtaufwandes / Energie / Kosten / Qualität.