Digitalisierung ¦ Cybersecurity – Sensibilisierung – Mehrschichtige Sicherheitsstrategie

Die Sicherheitsfrage lässt sich nicht auf Knopfdruck oder mittels nur einem System lösen, und es gibt keine Universallösung für alle Sicherheitsprobleme in der Vision von «Security automation». Die umfassende Verteidigung mittels einer mehrschichtigen Sicherheit und Ausrichtung auf «security automation» in der nötigen Tiefe und Ganzheitlichkeit ist jedoch eine Strategie, bei der mithilfe zahlreicher Mechanismen und mehreren Schutzebenen das Ausmass eines Angriffs und das Schadenspotenzial gedämpft oder entschleunigt wird, der darauf abzielt, unberechtigten Zugriff auf personen- oder firmensensitive Informationen zu erlangen.

>> Publizierter Artikel bei „Schwyzer Gewerbe“

CyberSecurity – Single Sign On SSO – Sicherheit gegen gefährdenden Passwort- und Rechte-Wildwuchs

Passwort- und Rechte-Wildwuchs und eine steigende Akzeptanz der Cloud bewirken einen verstärkten Trend zum sogenannten Single-Sign-On SSO.
Diese Authentifizierungsmethode kann durch den Bedienerkomfort und die zentrale Verwaltung auch die Sicherheits- und Compliance-Anforderungen umfassend optimieren.

Im privaten und zunehmend auch geschäftlichen Umfeld kennt man gewisse Sign-In-Varianten über soziale Netzwerke wie Facebook, Twitter, Google, Amazon oder Microsoft als prominente SSO-Plattformen für den integrierten Zugang zu unterschiedlichen Services und Rechten.

Im Unternehmensumfeld wird SSO beispielsweise genutzt, um Nutzern einen integrierten, möglichst simplifizierten Zugriff auf eigene Web- oder Cloud-Anwendungen auf internen Servern oder in der (Hybrid)Cloud zu gewähren. Teilweise wird der Zugang mittels erweiterten Authentifizierungsmechanismen wie z.B. MFA (Multi Factor Authentication) oder 2FA (Two Factor Authentication) per Tokens, SMS, Email, Smartphone Authenticator Apps und dergleichen zusätzlich abgesichert. (ähnlich wie bei modernem eBanking).

Publizierter Artikel bei KSGV Gewerbeverband Schwyz

ksgv.ch – Gewerbeverband – CyberSecurity Sensilibisierung – SingleSignOn SSO MFA – Ausgabe Okt 2018 – Fridels_BLOG_F@R

Cybersecurity – Der Virenschutz hat ausgedient!?

ksgv.ch – Gewerbeverband – Virenschutz hat ausgedient – Ausgabe Mai 2018 – Fridels_BLOG_F@R

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der “massiven Interkonnektion”, integrierten Schnittstellen und „Collaboration“.

Durch diese sprunghafte und dynamische Weiterentwicklung und völlig neuen Anforderungen an die Mobilität der Mitarbeiter hat der früher vielfach ausreichende Fokus auf die «Sicherheit der Geräte / Hardware» mittels einem Virenschutz längst ausgedient und entspricht längst nicht mehr dem «Stand der Technik».

In der heutig vielfach angestrebten System-Architektur mit der Strategie auf der Basis von «Security by design» zugunsten der gesamtheitlichen ICT-Sicherheit steht die «umfassende Sicherheit des Benutzers» mit dessen Identität, Zugriff, Berechtigungen, Richtlinien und erweiterten Anforderungen an z.B. Verschlüsselung und Self-Service im Vordergrund.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen mit auch sicherer Programmierung mit entsprechendem Fokus auf maximales, auditierbares «Security by design» / «privacy by design» / „Stand der Technik“ unterstützt werden. Durch diesen gesamtheitlichen Ansatz kann dem Ziel der bestmöglichen «Angriffs- und Betriebs-Sicherheit von ICT-Systemen» am besten Rechnung getragen werden.

Die Datenschutz-Regulationen wie z.B. CH-DSG oder EU-DSGVO / GDPR erfordern zudem weitergehende und vorallem nachweisbare Prozesse mit der Sicherstellung von maximalen Datenschutz- / Privacy-Aspekten zugunsten der personenbezogenen Daten.

Solche zunehmenden Anforderungen lassen sich selbsterklärend nicht mehr mit einfachen Virenschutz-Massnahmen bzw. ausgedientem Geräte-Schutz abdecken und bedürfen einen anderen, gesamtheitlichen System-Design-Ansatz.

Durch die stark gestiegene Mobilität der EDV-Benutzer, gestiegenen Sicherheitsanforderungen und die zunehmend verteilten ICT-Systemen in Hybrid Clouds oder Public Clouds ist es empfehlenswert, auch die entsprechenden zentralisierten und vollintegrierten Gesamt-Verwaltungs-Lösungen im Umfeld von «Mobility & Security aus der Cloud» zu beziehen als Service.

Durch solche integrierten Cloud-Lösungen auf Basis «Stand der Technik» und maximalen Erfüllungsgraden von international anerkannten Standards oder Sicherheits-Zertifizierungen können entsprechende Regulations- und Strategie-Anforderungen weitgehend erreicht werden.

Mittels integrierten Funktionalitäten in Bereichen des Monitorings und Reportings können mittels Früherkennung und «predictive advanced analytics / threat protection» gar Trends im Zeitalter der dynamischen Bedrohungslagen früher erkannt und dadurch auch die Eintrittswahrscheinlichkeit und Schadenspotential früher und sehr effektiv reduziert werden.

Dass dann hierbei auch entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit gleichgelagerten Technologien (z.B. „cognitive Security“ , „predictive Security“) zum Zuge kommen müssen und der klassische, einfache «Geräte-Virenschutz» nicht mehr genügt liegt nahe.

Weitergehende Funktionalitäten in Richtung von Software-Verteilung oder Provisionierung und gar automatischer Installation von ganzen Arbeitsumgebungen zugunsten der Homogenisierung, Standardisierung und Automatisierung runden solche cloud-basierten Gesamtlösungen ab.

Mittels zusätzlicher Sensibilisierung der EDV-Anwender bezüglich CyberSecurity mit stufengerecht erklärten Beispielen / KnowHow-Transfer rund um Gefahren wie z.B. Phishing-Mails, Trojaner, Social Engineering, Verhaltensansweisungen im Internet und beim Datenaustausch kann das Gesamt-Schutzniveau zusätzlich optimiert werden zugunsten der System-Resilienz (z.B. Angriffs- und Betriebs-Sicherheit)

CyberSecurity: Sicherheit in hybrid clouds / verteilten Systemen

Traditionelle Technologien und Strategien lassen sich kombinieren mit neuen Tools aus der Cloud.

Bei dem Lösungsansatz „best out of all clouds“ mittels Kombination von gut orchestrierten Lösungen aus allen Clouds lassen sich gar auch stufenweise Altlasten / Legacy Umgebungen und generell Shadow-IT abbauen und modernisieren.

Zudem kann konzeptionell – je nach Klassifikation von Schutzobjekten und Schutzniveaus – eine bessere Risiko-Verteilung und optimierte Resilienz des Gesamtsystems entstehen im Rahmen des Risiko-Managements.

Mittels entsprechenden Monitoring-Systemen (OnPrem / Hybrid / Public Cloud) und rollenbasiert ausgerichtete Dashboards entsteht eine neue Dimension von proaktivem Controlling und Prozessen im immer wichtig werdenden Incident Response Plan / Business Recovery System.

Solche dokumentierten Systeme mit auch Reporting- und Alerting-Funktionalitäten stellen dann erweitert ebenfalls eine gute Hilfe und Basis dar für ICT-Assessments und ICT-Audits.

Security by design in „massive interconnected“ Systems – BIM – SmartCity – IoT – eHealth

Die Industrie 4.0 und die entsprechende Digitalisierung der Planungs- und Bau-Prozesse mittels BIM fordert integrierte und robuste Prozesse als Rückgrat der “massive interconnected”, integrierten Schnittstellen und Collaboration.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen / sicherem Coding mit dem Fokus auf maximales, auditierbares «Security by design» / „Stand der Technik“ mit dem Ziel der bestmöglichen Angriffs- und Betriebs-Sicherheit bei maximalen Datenschutz- / Privacy-Aspekten unterstützt werden.

Ein solches denkbares «Security minded» Modell mit möglichst der Anwendung eines umfassenden „full stack security“ auf allen Ebenen dient auch als Sensibilisierung / Mindset zur maximalen Sicherheits-Orientierung und Auditierbarkeit in Systemarchitekturen mit allen Akteuren. Entsprechende Akteure Mensch – Prozesse – Technologie sind gemäss deren Stärken und Schwächen zu befähigen und passend einzusetzen.

Der «Plattform Kapitalismus» und die «massive Interkonnektion» im Rahmen der Digitalisierung und „verteilte Systeme“ wie auch z.B. BIM, CAx, Gebäudetechnik / Gebäudeleitsystem GLS, SmartCity, SmartHome, IoT, Big Data, eHealth ePDG Stammgemeinschaften, Künstliche Intelligenz AI, «Cyberphysical Systems» und „personenbezogenen Daten“ hinterlassen grundlegende technische und prozessuale Konzept- und Security-Fragen. Erschwerend kommt dazu, dass dann diese „verteilten Systeme“ zusätzlich aus regulatorischen oder normativen Compliance-Anforderungen auch noch gar möglichst lückenlos «managed» und «auditiert» werden müssen.

Nächste (R)Evolutions-Stufen der „Industrie 4.0“ / „Digitalisierung“ in Bereichen wie „Künstliche Intelligenz KI / AI“ werden grosse und neuartige Chancen zur „business model maturity“ und „data monetization“ generieren aber auch Risiken und Abhängigkeiten von „verteilten, massive interconnected Systemen“ zur Folge haben.

Jede Medaille hat bekanntlich immer 2 Seiten. Eine solche sogenannte „Dual-Use-Technologie“ wird automatisch auch leider wiederum die „dunkle Seite der Macht“ weiterentwickeln in Richtung von „Malicious Use of Artificial Intelligence“ (die bösartige Nutzung von AI) und daraus werden ernsthafte Risiken und grosse interdisziplinäre Herausforderungen für alle Akteure erwachsen bei der „falschen“ Verwendung neuer mächtigen Technologien.

Dass dann hierbei entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit der gleichgelagerten Technologie (z.B. „cognitive Security“ , „predictive Security“)  zum Zuge kommen müssen liegt nahe. Hierbei wird auch im Rahmen der geforderten Interdisziplinarität eine „neue“ hilfreiche Transparenz über Sicherheits-Lücken / -Massnahmen und „best practices“ vonnöten sein zwischen den Technologie-Giganten, Staaten bzw. zwischen allen Akteuren.

Auch Grundsätze zur „Informations Ethik“ werden hier hilfreich sein in einer nötigen gesamtheitlichen Betrachtung und entsprechenden Massnahmen zur Förderung oder Erhaltung der „privacy by design“ bzw. zum Schutz von „personenbezogenen Daten“ der Daten-Subjekte.

Unterschiedliches Verständnis und Verwendung von entsprechenden Begrifflichkeiten (nur schon Security, Privacy, Plattform, Cloud, Open) verunsichern viele Akteure und bedürfen einer gemeinsamen Verständnisfindung und nachhaltige Sensibilisierung.

Neue und noch teilweise in Vernehmlassung stehende Regulationen > Gesetze aus Bundesbern zu Datenschutz-Aspekten (z.B. DSG, e-ID) sind noch nicht spruchreif und die möglichst europäisch / international orientierte Umsetzung (z.B. EU-DSGV0 / GDPR mit auch Privacy by design / Privacy by default / security by design, ePrivacy, eIDAS elektronische Signatur, ePDG) bzw. offene Formulierungen in Richtung „Stand der Technik“ noch verbesserungsfähig.

Ein reiner «Schweizer Datenschutz oder Schweizer Standard» in der Regulierung / Standardisierung / Normierung ist aktiv zu verhindern (bzw. mittels Orientierung an „Stand der Technik“ und europäische Standards und Regulationen zu optimieren), verbannt die Zukunft ins Ausland und es gehen adaptierbare Innovationen und Entwicklungen (auch Aufträge) im Ausland verloren ansonsten. Dass es letztlich hierbei auch um das marktrelevante Thema der Innovationskraft und des Business Maturitäts-Levels geht liegt auf der Hand.

Im Rahmen der «Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken NCS» und auch Nachfolge-Strategie NCS 2 werden ebenfalls adaptierbare Resultate und „best practices“ von den kritischen Infrastrukturen wie z.B. Kraftwerke, Stromversorgung, Flugverkehr, Verkehr, Militär, Spitäler zu erwarten sein welche wiederum auch den möglichst offen formulierte „Stand der Technik“ mitprägen.

Entsprechend möglichst offen formulierte «Open Systems / Standards» verlangen nach möglichst offener (cross-connect, transparency) aber zugleich möglichst sicherer Collaboration der Akteure (Mensch und Prozesse) mittels „verteilten Systemen“ und basierend auf „Stand der Technik“ als Widerspruch von möglichst isolierten, geschlossenen Systemen bei möglichst maximalen Sicherheits-Stufen.

Das Herz / Core-System gilt es zu intelligent orchestriert zu schützen

Das immer schneller pochende und geforderte „Herz des Core-Systems“ ist die Verfügbarkeit durch optimierte Angriffs- und Betriebs-Sicherheit der „massiven Interkonnektion der verteilten Systeme“.
Zunehmend sind geforderte Verfügbarkeiten und adäquate Ausfallszenarien abhängig von solchen „intelligent orchestrierten (Teil)Systemen“.
Damit alle einzelnen Kettenglieder der Wertschöpfungskette die forderten Dienste und Verfügbarkeit liefern können bedarf es unteranderem auch die Betrachtung der einzelnen „Akteure und Layers der Interkonnektion“.

OSI-Layer als eines von vielen Beispielen der nötigen Gesamtbetrachtung von der Collaboration von „verteilten Systemen“

Ein solches anerkanntes und hier im Kontext bewusst gewähltes, als einfach verständliches Modell ist das „OSI-Modell“. Das international seit über 30 Jahren bewährte OSI-Model ist ein Referenzmodell für Netzwerkprotokolle in der Betrachtung als Schichtenarchitektur der einzelnen Komponenten einer möglichst verlässlichen Kommunikation. Zweck des OSI-Modells ist, Kommunikation über unterschiedlichste technische, verteilte Systeme hinweg zu ermöglichen und die Weiterentwicklung zu begünstigen. Dazu definiert dieses Modell sieben aufeinander folgende Schichten (engl. layers) mit jeweils eng begrenzten Aufgaben zur auch Optimierung von Fehlersuchen und Spezialisierungen.

Im Rahmen der Gesamtbetrachtung der Verfügbarkeit und auch Angriffs- und Betriebs-Sicherheit eines verteilten Systems kommt auch mit dem Beispiel des OSI-Modells sehr klar und gut zum Vorschein, dass z.B. beginnend mit der Verkabelung / Übertragungsmedium (OSI-Layer 0 > 1) bis hoch zur Applikation (OSI-Layer 7) jede Ebene / jeder Akteur inkl. dem inoffiziellen OSI-Layer 8 (der Anwender / Mensch / künftig AI und „cyberphysical Systems“) eine relevante und vitale Rolle einnimmt in der Sicherheit und Verfügbarkeit von verteilten Systemen.

Es ist unschwer zu erkennen, dass viele Fach-Artikel, Produkte, Technologien und auch Hypes sich sehr fokussiert mit „nur“ den höheren OSI-Layern befassen, also mit z.B. der Anwendungsschicht (OSI-Layer 7) und dem Anwender selber (inoffizieller OSI-Layer 8).

Genau darum ist es wichtig, dass ebene sämtliche technische Komponenten, Schichten und prozessuale Methoden, Akteure (also eben als gewähltes Beispiel ALLE OSI-Layer 1 bis 8) bzw. alle Aspekte betrachtet werden.

Weitere Informationen und Checklisten
.

Speziell mit eben der gesamtheitlichen Sicht auf den «Plattform Kapitalismus» und der stetig erhöhten Anforderung an die Verfügbarkeit und Angriffs- und Betriebs-Sicherheit der «massiven Interkonnektion» müssen alle diese Akteuren auch in einer nachhaltigen Interdisziplinarität noch besser miteinander abgestimmt werden mit dem Fokus auf „Stand der Technik“.

Einige, bewusst einfache Beispiele (ohne Anspruch auf Vollständigkeit) zur Verständnisförderung:

  • Keine „massive Interkonnektion“ ohne verfügbare, verlässliche Stromversorgung im Haus / Gebäude / Quartier / Ort / Region / smartGrid / smartEnergy / Schwarm-Versorgung oder Staat.
  • mit Sensoren und IoT-Elemente durchwachsene CyberCity funktioniert nicht ohne Internet, Netzwerk, Strom oder gar benötigte redundant ausgelegte, ausfallgesicherte Netze oder neue Services und Technologien wie 5G.
  • DoS / DDoS Distributed Denial of Service Attacken mittels z.B. Botnetzen und auch beauftragt aus dem „Darknet“ können durch Überlasten oder auch Gegenmassnahmen wie temporär Sperren / Blockaden die Verfügbarkeit der vernetzten oder zentralisierten Systeme reduzieren.
  • Verfügbarkeitsverluste oder vitale Unterbrüche durch mindere Qualität von eingesetzten (Aktiv)Komponenten und Netzwerkkabeln.
  • Suboptiomal orchestriertes oder zu wenig zugunsten Angriffs- und Betriebs-Sicherheit optimiertes Common Data Environment (CDE) oder deren Schnittstellen / Microservices / Middleware / API
  • Bestandesaufnahme, Dokumentation, Lizenzen Verwaltung, Rechtedefinitionen, Daten- und Risiken-Klassifizierungen in einem nachvollziehbaren und beweisbaren Register für den ganzen «Data Life Cycle»
  • Aspekte und Massnahmen zu «system design by weakest user» z.B. auf Baustelle (?) oder ? à „user centric security“
  • Multilayer Security“-Gesamtsystem Ansatz zur Verständigung der möglichen prozessualen und technischen Ansatzpunkte und Notwendigkeiten einer gesamtheitlichen Sicherheits-Strategie. Über den Perimeter bis in den Kern zum „Mission Critical Asset“
  • Adäquate Backup- und Verschlüsselungs-Strategie je nach z.B. Daten-Klassifizierungen (z.B. Schutz von kritischen Daten gegen z.B. auch Verschlüsselungs-Trojaner oder lange nicht entdeckter „Malicous Code“), Aufbewahrung (10 Jahre), Archivierung und Datenschutzregulationen (z.B. Recht auf Löschung)
  • Geräte-, System- und Services-Monitoring mit auch „predicted“ Maintenance und „behaviour analysis“ als proaktives Früherkennungssystem und erste maschinenunterstützte Abwehrlinie.
  • Fokus und offene Formulierungen in ICT-Strategie und ICT-Planung in Richtung „Stand der Technik“, „security by design“, „security by default“, Daten- und Rechte-Minimierung
  • Fehlendes Business Recovery System & Business Contingency Planning
  • ICT-Risk Management, ICT-Risk-Versicherungswesen
  • Gesamtheitliche ICT-Strategie oder nur schon ICT-Planung, Führungsverantwortung (GL und VR) zu CyberSecurity.
  • KnowHow-Management, Personenabhängigkeiten und Stellvertretungen
  • Massnahmen gegen Anti-Shadow-IT (do NOT build new legacy systems)
  • Mitarbeiter Sensibilisierung und Training zur sicheren und effizienten Collaboration – Unkenntnis schafft Unsicherheit …
  • Personal Analytics mittels Assessment und Tests bei Rekrutierung / Anstellung oder Arbeit / Aufgaben / KnowHow in kritischen Projekten
  • Der Akteur Mensch kann (muss!) mittels dem Fakt(or) der möglichst Reduzierung der „human interaction“ und technischen und prozessualen Unterstützung des Automatisierungsgrads werden.

Entsprechend ist die nötige Sicherheits Strategy  BASS (Built Asset Security Strategy) die erste und wichtige Grundlage für eine der vielen Organisations Informations Anforderung OIR der ICT-Gesamtsicherheits-Architektur. Hier legt man die Basis wie die interne oder organisationsübergreifende Architektur adressierte Sicherheitsaspekte definiert und regelt. Diese soll möglichst offen formuliert sich an „Security by design“ und „Stand der Technik“ anlehnen und dadurch aufgefordert dynamisch bleiben in der fortwährenden Dynamik der Bedrohungslage in der CyberSecurity.

Unabhängig vom effektiv benötigtem Umfang und Anwendungstiefe je nach Projekt lohnt es sich in jedem Falle, diese Grundlagen zu definieren und eine umfassende Klassifizierung bezüglich z.B. Schutzniveau, Schutzklasse, Schadenspotential, personenbezogenen Daten umzusetzen und zu unterhalten. Je nach benötigten Überwachungsparameter können mittels adäquaten unterstützenden Automatismen oder Monitoring-Systemen oder Monitoring-Methoden wie z.B. SCADA (Supervisory Control and Data Acquisition) oder Cloud-Monitoring-Systemen das operative bzw. „on going“ Sicherheits-Level (Betriebs- und Angriffs-Sicherheit) integriert überwacht werden.

Mit einem weiteren Hilfsmittel und Methode wie z.B.  BASMP (Built Asset Security Management), der Sicherheits Bewertung AIR (asset of information requirements of security) kann man entsprechende Anwendungsgrade erkennen und anwenden.

Damit ein solches Gesamt-System funktioniert und wirklich gelebt werden kann ist mittels entsprechenden weiteren Massnahmen und KnowHow-Transfer auch die Sicherheit auf Stufe der  Anwender (EIR employer’s information requirements of security) speziell zu integrieren in einem wiederkehrenden, «security minded» Sensibilisierungs-Prozess.

Damit auch externe dritte Akteure die gemeinsame Verantwortung des definierten Gesamt-Sicherheitssystem mittragen können müssen diese möglichst früh sensiblisiert, involviert, befähigt und bei Bedarf sogar zertifiziert werden.

Letztlich kann nach der möglichst umfassenden Integration aller Akteure (inkl. auch Vertragsrelevanzen) und entsprechenden Datenschutzfolgenabschätzungen auch die Organisation und Prozesse definiert werden für ein Incident Response Management mit Vorgaben für z.B. Sicherheitsvorfälle, Meldepflichten, Definition des Data Protection Officers DPO, Krisenkommunikation.

Aufgrund der Komplexität des Security Themas in einer Gesamtsicht ist es unumgänglich, die Zuständigkeit und Verantwortung je nach Projekt und teilnehmenden Akteure neu zu definieren innerhalb der teilnehmenden Akteuren (mit teilweise schon Erfahrungen und adaptierbaren «best practices» hierbei) oder externen Dienstleistern.

Je nach Umfang des Projektes oder Vertrages kann es mitunter nötig sein, weitergehende Analysen und präventive Massnahmen evaluieren zu lassen durch weitere Fachbereichs-Spezialisten für z.B. juristische, vertrags-technische, finanz-technische, ICT-security-technische Aspekte um evaluierte, absehbar weitergehende vitale Risiken zu minimieren.

Die Projektanforderung (das Was) rund um die Sicherheit sind adressiert in der  Sicherheits Bewertung AIR (asset of information requirements of security) und unterscheiden sich bzw. müssen gemappt bzw. stufengerecht adaptiert werden auf die Stufe der  Anwender (das Wie > EIR employer’s information requirements of security).

Bei vielen Bereichen sind unterschiedliche oder nicht abschliessende Definitionen erkennbar bei welchen nicht alles eindeutig festgestellt ist für das «Was», «Wie» und «Wann» und sind deshalb genauer zu definieren, um darauf basierend, auch die adäquat zur Verfügung zu stehenden Services rund um ICT bzw. Security orchestrieren zu können je nach Projekt. Hierzu sollten Elemente und Orientierungspunkte entsprechende schutzklassen-gerechte Anwendung finden aus Normen, Frameworks, Methoden wie z.B. PAS1192-5, CPNI, CEN, ISO (z.B. 27xxx), BSI, BS, OSSTMM, IFC, ITIL, CobIT, NIST, NCSC und anderen internationalen Standards.

Ein höherer BIM-Maturity-Level bzw. „Business Model Maturity“ kann grundsätzlich nur ganzheitlich erarbeitet, erreicht und erhalten werden, wenn alle Elemente auf dem adäquat angepassten Level durchgängig prozessual und technologisch passen und funktionieren >> also auch eine entsprechend passende Maturität der Gesamtsicherheit (Security Maturity Level)

Weitere Artikel:

https://fridelonroad.wordpress.com/2017/11/19/cybersecurity-und-sicherheit-ist-eine-gemeinsam-geteilte-verantwortung-security-awareness-7/

https://fridelonroad.wordpress.com/2018/02/08/bim-startet-durch-es-stellt-sich-aber-die-frage-nach-der-sicherheit/

https://fridelonroad.wordpress.com/2018/03/06/shre-to-evolve-45-licht-in-die-jahrelang-dynamisch-gewachsene-schatten-informatik-shadow-it/

https://fridelonroad.wordpress.com/2018/02/08/100-sicher-ist-die-digitalisierung-ist-durchgestartet-und-etabliert-sich-aber-ist-diese-technologisch-99-sicher-genug/

https://fridelonroad.wordpress.com/2018/01/05/shre-to-evolve-44-ict-glossar-teil-2-sensibilisierung-und-verstaendnisfoerderung-in-digitalisierung/

https://fridelonroad.wordpress.com/2016/01/24/the-bim-bang-heiliger-bim-bam-das-streben-nach-business-excellence-transformiert-die-bauindustrie/

https://fridelonroad.wordpress.com/2014/10/09/99-sicherheit-mensch-prozesse-technologie-risk-management/

swissICT – swiss IT Magazine – Digitalisierung und Automatisierung sind keine Schreckgespenster

Publizierter Artikel bei swissICT / Swiss IT Magazine im Rahmen der Digitalisierungs-Serie von swissICT Redaktions-Mitglied Fridel Rickenbacher.

„Digitalisierung und Automatisierung sind keine Schreckgespenster“ Susanne Ruoff, Konzernleiterin der Schweizerischen Post

Staatsnahe Betriebe sind im Zeitalter von Digitalisierung und Industrie 4.0 mit ganz spezifischen Interessensansprüchen konfrontiert. Susanne Ruoff, Konzernleiterin der Schweizerischen Post, sagt im Interview, wie sie die Herausforderungen in den neuen internationalen, digitalen Märkten meistern will. Fridel Rickenbacher hat nachgefragt und hatte da noch „ein paar Fragen“ 😉

ITM2017_12_SwissICT_Magazin-Digitalisierung-POST-CEO-Ruoff_Interview

 

Privacy, Security, Anonymity, Infoethik > all about your Safety? or not?

image.observing

Meine persönliche Meinung und teilweise auch Teil-Resignation:

Es gibt wahrscheinlich kein Themenbereich (z.B. Safety, Security, Privacy, Anonymity) in welchem die Diskussion und Fachmeinungen so unterschiedlicher nicht sein könnten …

Erschwerend kommt dazu, dass es hier dann gleichzeitig auch noch um Grundsätze / Aspekte der Gesellschaft, Ethik und Grundsatz-Rechte geht.

Wenn man hier dann noch diese Aspekte sogar noch «digitalisiert» (Digital-Gesellschaft, Informations-Ethik…) unter der unaufhörlichen Transformation in die voll-digitalisierte Gesellschaft wird es nicht einfacher a) eine persönliche, b) eine technisch fachliche und c) eine gesellschaftlich mitverantwortende Stellung zu beziehen und mit aller Konsequenz zu vertreten

Auch ich habe eine Art «Mission» … in meinem Falle ist mein Credo «share to evolve» … und hier beginnt schon ein Universum zu erwachsen an Widersprüchen… und dann eben auch mitunter (Teil)Resignationen in z.B. auch der digitalen Ignoranz… obwohl ich KONSEQUENT und IMMER ASAP (wenn ich eine Innovation als adaptionsfähig erachte für mich oder auch mein Umfeld / Kunden) sämtlich mir verfügbaren technologischen Features nutze wie z.B. Emailsignierung, Emailverschlüsselung, Multifactor Authentication MFA, PGP, TrueCrypt, Festplattenverschlüsselung, OS-Verschlüsselung, Datenverschlüsselung, BIOS-Security, TPM, Festplatten-Sperre etc.

Wie wahrscheinlich alle von unseren Fachexperten-Gruppen-Teilnehmern teile ich Wissen und Erfahrungen mit Gleichgesinnten, Kunden, Coachees, Sparringpartnern, Zuhörer, Leser, Interessierten und erkenne hier eine gewisse zwingende technische und persönliche Offenheit / Hinwegsetzung hinweg über alle Grenzen der oben genannten Aspekte…

Wie können wir als Experten erwarten, dass auch jene Experten mit auch teilweise bekannten, gefährlichen Halbwissen (geschweige den Standard-Informations-Workers…) sich konsequent an einzelne, technisch nutzbare Basis-Hilfsmittel oder Basis-Regeln halten …

Wenn ….

  • Der Plattform-Kapitalismus und globale Allianzen von z.B. Google, Amazon, Microsoft, Alibaba so einladend / vermeintlich kostenlos ist und täglich unteranderem mit der persönlichen Privacy bezahlt wird … und dann die bereits bezahlte Rechnung mit der Privacy dann auch noch weitergereicht wird an den Meistbietenden für z.B. Advertising, Adressenvermarktung, Nutzerverhalten, Predicted Computing etc.
  • Das offiziell, deklariert letzte Windows 10 / Office (als ein Beispiel von vielen „Mainstream“-Produkten) dann metamorphiert zu einem ongoing «Windows / Office as a service» und dann wiederum alles sieht, erkennt, sammelt, aktualisiert, updated und vorhersagt – und eben die Meisten das ja sogar wollen bzw. in deren Convenience das als nützlich betrachten und die daraus provozierten, SEHR GROSSEN Themen der Privacy, Security, Safety, Anonymity dann mitunter auch naiv missachten oder vergessen.
  • Cloud-Dienste wie Google, Amazon, Microsoft, Office-Suites bzw. grundsätzlich alle Cloud-Services von jedem Benutzer überall, geräte- und standort-unabhängig und ohne (Medien)Unter-Bruch seamless genutzt werden wollen… mit entsprechenden laufenden Data- / Analytic-Streams quer über das ganze Internet-Universum und über alle System- und Geografie-Grenzen hinweg
  • Die Digitalisierung und digitale Gesellschaft ihren Tribut fordert und die (R)Evolution und Innovation unaufhörlich uns alle zu letztlich freiwillige oder unfreiwillige Bewohner macht von «smart cities» mit einer lückenlosen Überwachung und schwindelerregenden Sensoren-Dichte … zu weit? Dann lasst uns doch mal ansonsten all die anderen «smart citizens» betrachten mit all ihren uneingeschränkt akzeptierten «wearables», «activity trackers» und «smartphones» zulasten derer Privacy (je nach technischer und persönlicher (Fein)Einstellung…)
  • Es wird künftig weitere Zweiklassen-Gesellschafts-Formen geben: die voll-digitalisierten Digital-Natives mit Big Data Wissen (technokratische Elite ? mit aber niedriger Selbstkontrolle der persönlichen Daten) und die teil-offline-rückgeführten Abwender (mit bewusst höherer Selbstkontrolle der persönlichen Daten) – mit dann aus Sicht des Big Data als unberechenbares, da nicht erfasstes Risiko deklariert (?!)
  • wie erreichen wir dann diese beiden Extreme in welcher Form ??? …Ich erzähle hier ja nicht viel Neues… aber nur schon der viel interne Diskurs bei Fachexperten-Gruppen und «Meinungsgrätschen» vor jeglichem Kontakt mit der Aussenwelt / Bildungspyramide / Kunde sagt mir persönlich schon einiges aus zum Punkt der (Teil)Resignation der digitalen Ignoranz…
  • und ja: ich (hoffentlich wir alle) kämpfen unermüdlich dagegen an und wollen nicht resignieren… und wir wollen auch unsere Zuhörer / Nachahmer nicht vergraulen und nicht verlieren… aber wir tun gut hier allenfalls genau darum auch andere Wege und Kompromisse zu finden – und wenn es nur kleine Schritte oder Phasen sind.
  • «I have nothing to hide, so who worry? Or so many people think. If you are so sure, then please email me (unencrypted…) all your usernames and passwords for all your email and social media accounts … i didn’t think so»
  • Privacy and anonymity are not the same thing… genau darum sind alle so verunsichert und wir müssen ihnen helfen aber zuerst uns selber einig werden / Beschlussfassung finden und halt mal auch über den Schatten springen unserer eigenen vermeintlichen Missionen… und dann halt mit ersten stufengerechten auch GANZ EINFACHEN Teil-Schritten beginnen wie eben z.B. Internet-Nutzungs-Regeln, die gute alte „Netiquette“, Kennwortsicherheit, Email-Signierung, electronicID und dann auch Email-Verschlüsselung / Aufklärung zu den verschiedenen Formen der Cloud-Services etc.

Evolving from system management to services management with „best out of all clouds“

itsm-landing-pg_shutterstock_106100270

Erst wenn “Licht” in die jahrelang dynamisch gewachsene <Schatten-Informatik>  (Shadow IT) gelangt, kann die befreite Basis und nötige Transformation entstehen für neue Geschäftsmodelle.

Jahrzehntelang mussten mangels echter Alternativen die Business-Prozess-/Anforderungen abgebildet werden mit lokalen ICT-Support-Prozessen und auch bis dato funktionierenden und stets als robustes “Rückgrat” fungierenden “best practices” basierten System-Umgebungen.
Viele Hypes und Trends in Bereichen wie “bring your own devices (byod)”, “new economy”, “cloud computing” und der stetig (längs überfälligen…) aufholenden Industriealisierung und Automatisierung in der ICT veränderten auch die seitens Mitarbeiter und Führungsebene angewachsenen Bedürfnisse im “Fokus des Nutzens versus Technologie”

ICT in den Führungsgremien – Innovation und Marketing in der ICT
Als eine weitere “disruptive” Entwicklung im fortwährenden Kampf der Diversifizierung im Mitbewerber-Markt war die Umkehr der Kräfteverhältnisse. Früher war die Basis von neuen halbwegs durchgängigen und umsetzbaren Prozesse und Produktion mit-gelegt worden seitens der damals zur Verfügung stehenden ICT-Lösungen. Seit längerer Zeit müssen sich geradezu umgekehrt die ICT-Support-Prozesse richten an den Anforderungen des dynamischen Marktumfeldes (z.B. time to market) und adaptierbaren Innovationen. Diese Paradigmawechsel hatte (zum Glück…) auch die Folge, dass ICT-KnowHow gefragt war in der Führungsebene für auch Themen wie IT-Strategie, Compliance, Risk.

(R)Evolution auch im ICT-KnowHow
Dieses ICT-KnowHow in der Führungsebene hat sich mittlerweile innert kurzer Zeit (und auch angetrieben durch die massivst laufend (r)evolutionierten  Cloud Services) ebenfalls bereits wieder verändert vom ursprünglich gegebenen eher technischen ICT-KnowHow zum nun eher services- und nutzungs-orientierten Prozess-KnowHow.
Im Fokus stehen zunehmend die Nutzungs-Aspekte, Anwender – und letztlich die Kunden -und entsprechend änderten sich die gesuchten Qualitäten von reinen Spezialisten zu Generalisten mit auch “nicht-technischen”, aber prozessualen Kenntnissen.

Take back control and then evolve … – hervor unter dem Pult und dann offen für die Welt
Die vielen “unter den Pulten” gewachsenen und auch gelagerten (…) ICT-Systeme sind in vielen Fällen selbstverständlich erweiterbar und kombinierbar mit/als Hybrid-Cloud-Services. Mittlerweile sich stark veränderte Marktbedürfnisse, “time to market”-Aspekte und auch die oben beschriebenen Anforderungen der Führung / Firmeninhaber / Aktionären machen es nicht einfacher, die vielfach sonst schon “eher blockierten” Systeme in der verlangten Zeit und Qualität zu transformieren.
Die lückenlose Transparenz und letztlich volle Kontrolle zurückzugewinnen – bei auch besser bewertbarem Risiko-Management – ist entsprechend und verständlicherweise teilweise verbunden, mit der schrittweisen Transformation auf zukunftsorientierte, budgetierbare und skalierbare Hybrid Cloud Services.

Betriebssicherheit (Safety) und Angriffssicherheit (Security) durch/in der Cloud
Unter dem Aspekt von z.B. “Schatten-Informatik (shadowIT)”, Anforderungen von “new economy”, Abhängigkeit von Mitarbeiter / KnowHow-Träger und entsprechenden Qualitätsaspekten und sich stark veränderten Bedrohungslage sind auch in diesen Aspekten die Anforderungen an die entsprechenden Prozesse und Systeme im Sicherheitsbereich und im Risk-Management-System hochkomplex geworden.
Diese Herausforderungen welche auch zunehmend getrieben sind durch Revisions-Stellen, Audits, Complianceanforderungen (z.B. DSG, DSGVO / GDPR) – und der mittlerweilen zunehmend wahrgenommenen Verantwortung auf Führungsebene – zeigen ebenfalls zu einem neuen Trend. Der Trend zur Ausfall-Risiko-Optimierung und Gewaltentrennung (Unabhängigkeit von “internen” Maschinen und “internen” Menschen) durch Nutzung von externen, orchestrierbaren Services in Bereichen wie Security, Systemredundanzen, Disaster Recovery Services, standortgetrenntes Backup, Monitoring und Alarmierung und auch Servicedesk as a Service.

Neue Freiheitsgrade und Potentiale durch Fokus auf orchestrierbare Services gegenüber kopf-abhängiges System-Management
Passend orchestrierte Hybrid Cloud Services und völlig neue (bisher nur erschwert erreichbare) Managed Services und dosierte Öffnung zur “new economy” / neue Geschäftsmodelle ermöglichen auch neue Fokussierungs-Möglichkeiten. Dadurch entsteht auch die Chance und Herausforderung, effizient “Licht in die Schatten-Informatik” zu bringen. Die Verlässlichkeit, Standard und Sicherheit der Analogie zum “Strom aus der Steckdose” oder des “Wasser aus dem Wasserhahn” ergibt auch in der ICT die Möglichkeit, sich auf die Nutzung oder «Genuss des Stroms oder Wassers» zu konzentrieren (eine Art Services Management).
Diese Analogie sollte und wird auch entsprechend immer mehr Einzug halten in den ICT-Umgebungen und mit-helfen, neue Konzentrationen zu ermöglichen auf gelieferten Services von hoch-standardisierten / spezialisierten Anbieter. Dieser reinen Nutzung im Gegensatz zu reiner selbstproduzierter, mitunter aufwändiger Technik mit teilweisen Defiziten in der Verfügbarkeit bzw. Lieferbedingungen (Wasser aus dem selbstgegrabenen Wasserloch ? und Strom produziert vom eigenen Dynamo ?)
Dadurch können die Kernkompetenzen und die internen Prozesse weiter optimiert und die dosierte Weiterentwicklung zu neu adaptierbaren Geschäftsmodellen vorangetrieben werden. Dies auch mit der Befreiung und Entlastung der bisher teilweise “blockierten” KnowHow-Trägern oder “festgefahrenen” Systemen mit bisher beschränkten Skalierung.

“best out of all clouds” und «Stand der Technik»
Um sich als Konsument im Dschungel der unterschiedlichsten und nicht immer vergleichbaren Angeboten zurechtzufinden braucht es z.B. Vergleichstests, Angebotsportale, erfahrene Berater oder aber Gesamtanbieter (Solution Brokers, Managed Services Anbieter) mit entsprechenden weitergehend unterstützenden Branchenerfahrungen und Referenzen. Solche erfahrene und auch offizielle zertifizierte Gesamtanbieter – welche dann auch als Gesamtansprechpartner (single point of contact) sämtliche Herausforderungen abdecken, Probleme beheben und vorallem die besten Lösungen finden – haben sich über Jahre und aus eigenen Erfahrungen / entsprechendem Branchenwissen, die am besten orchestrierbaren und bestens bewährten Services aufgebaut. Da solche Gesamtanbieter teilweise dann auch über die entsprechenden zertifizierten Kompetenzen und spezielle Support-Verträge mit den Services-Lieferanten, haben profitiert der Kunde zusätzlich. Dieses “unbezahlbare” und aber für Kunden mittlerweile nutzbare Wissen, Skalierung und letztlich Vorteil gegenüber Mitbewerbern stellt den Anspruch sicher, dass die Endlösung wirklich basiert auf den maximalst bewährten, standardisierten und automatisierten “Managed Cloud Services” mit dynamischem Fokus auf «Stand der Technik». Durch genau solche auf “best out of all clouds” basierten Lösungen bleibt die Lösung standardisierbar, skalierbar, beherrschbar und letztlich auch unabhängig von den Anbietern. Aufgrund dieser zukunftsorientierten Nutzung entsteht eine nachhaltige Lösung mit fortwährenden Bestreben zum «Stand der Technik» und Einhalten von Compliance Anforderungen wie z.B. DSG, DSGVO / GDPR.

“Innovativ mit-denken, qualitativ handeln”
Dieser auf den ersten Blick einfach aussehende Idee, Anspruch und denkbare Anforderung für eine normale Weiterentwicklung von Prozessen oder Geschäftsideen funktionieren eben nur wenn man sich von möglichst vielen unterstützenden Themen (wie eben Wasser, Strom, Cloud…) entlasten und sich befreit, ungestört konzentrieren kann auf den «Reifegrad des eigenen Geschäftsmodells».

Change und Innovations Management inklusive
Viele solche Projekte gehen mitunter viel weiter und je nach Erfahrungen des gewählten Service Providers kann dieser den Kunden auch weitergehender beraten und begleiten. Weitergehend eben als nur die einmalige Planung, Migration und Betrieb der orchestrierten Cloud-Lösung sondern viel mehr auch im nötigen Change Management, Nutzungsoptimierung, Bewertung und Weiterentwicklung von adaptierbaren Innovationen oder Aufbau von neuen Basen für neue Geschäftsmodellen.

Zu guter letzt und wiederkehrend… Training, Befähigung und Weiterentwicklung
Bekanntlicherweise wird nur jeweils ein Bruchteil der effizienzsteigernden Features genutzt. Es ist lohnenswert durch eine fortwährende Nutzungsoptimierung, die enthaltenen, mit-lizenzierten Features mittels entsprechenden Lösungs-Demonstrationen und darauf aufbauenden Trainings und “best practices”-Workshops, diese Zusatz-Nutzen-Aspekte zugänglich zu machen. Die laufenden Services- / Features-Weiterentwicklungen können dann auch einfacher / kontinuierlich in der eigenen Weiterentwicklung / Effizienzsteigerung der Organisation nach-geschult und integriert werden.
Letztlich führen solche Werkzeuge / Möglichkeiten / Effizienzsteigerungen mitunter auch zur Optimierung und Unterstützung der Arbeitgeber-Attraktivität und Mitarbeiter-Motivation.

Adaptierte Innovation und Evolving in der Bauindustrie-Informatik

civil22

Der Wandlungsdruck in allen Business-Prozessen (z.B. heruntergebrochen auch in der Planungs-/Büro-Automatisation) aufgrund aktuellen und künftigen Anforderungen und Potentialen des Marktes, Auftraggeber, Mitbewerber, Regulatorieren setzen unteranderem auch die maximal effizient funktionierenden Hilfsmittel (z.B. passend orchestrierte ICT- / Cloud-Services) voraus.

Trends wie Mobility, Cloud (z.B. „People centric ICT“), Information (Stichworte BIM, Datenaustausch, GIS, BigData, IoT, App Economy, Baudigitalisierung) Social (Stichworte z.B. Outputs / Impacts laufend „liken“ und bewerten von Akteuren und an z.B. Mitarbeiter-Gesprächen miteinbeziehen) werden weitere Impacts auf „digital economy“ bzw. neue Business-Modelle im ganzen Planungs- und Bau-Prozess mit-prägen.

Die Unternehmen brauchen zunehmend eine durch Spezialisten passend orchestrierte „Insel der Ordnung“ in einer chaotisch dynamischen und dauer-hypenden Cloud-Welt. Traditionelle, auch interne ICT-Services und Ansätze stossen hierbei immer mehr (oder schon länger …) an ihre Grenzen.

Dass dabei sich immer mehr eine „Maxime der Spezialisierung auf die Kernkompetenzen“ die Gesamtdienstleistung auf mehrere hochspezialisierte Dienstleister (z.B. Partner, Subunternehmer) oder Services (z.B. „best out of all clouds“) stützt und nicht mehr alles alleine beherrscht werden kann (Nutzungs-Fokus versus Eigenbetriebs-Fokus, make or buy) kristallisiert sich immer mehr heraus.

Bei vielen Organisationen werden (müssen…) intern, nachvollziehbare und verständlich auch so dynamisch gewachsene Schatten-Informatik-Umgebungen zukunfts-ausgerichtet re-organisiert zugunsten der nötigen Optimierung, Transparenz, Transformation, Risiko-Management, Safety/Security und letztlich mitunter auch Chance der Rückgewinnung von Kontrolle und Vertrauen seitens der dafür verantwortlichen Führungsebene.

Die Daten-Intensität / -Dichte und Weiterentwicklungen in den Bereichen der innovativen Co-Information-Worker-Arbeitsmodelle und (Cloud)-Technologien fordern auch die Arbeitgeber, deren eingesetzten ICT-Services (und in Zukunft zunehmend auch „machine learning based“ unterstütztem Informations-Management) bezüglich deren Arbeitnehmer-Attraktivität und „war for talents“ (eine der massgebenden Zukunftsaufgaben der Unternehmen). Dieser Krieg um die besten bzw. passendsten Mitarbeiter wird auch im Bereich des HRM geprägt sein von dynamischer Individualität (als Megatrend), flexiblem Freiheitsgrad und komplexer Vereinbarkeit.

Ein Unternehmen beherbergt letztlich die Mitarbeiter welches es verdient (das beruht theoretisch auf Gegenseitigkeit… theoretisch). Ein Mitarbeiter welcher hierbei mit den besten Strategien, Prozessen, Services, Technologien, Apps, Pocket-Office, Dashboards, Reportings unterstützt wird und dabei weniger Reibungsverluste infolge z.B. ineffizienter / arbeitszeit-verschwenderischen Arbeitsweise zu beklagen hat wird besser an den gemeinsamen Firmen- und Projekt-Zielen mittragen können und dies letztlich motivierter auch wollen…
Unternehmen bzw. deren bereitgestellten Services könnten es schaffen, die künftige Arbeit als eine Art in allen Belangen „optimiertes Konsumerlebnis“ zu erleben. Dieses „Konsumerlebnis“ könnte es (leider…) auch schaffen in dosierter und zielgruppen-basierter Form, die teilweise digitalen Abstinenzler (z.B. in Freizeit oder generell) zu erreichen.

Ein mitunter dadurch entstehender gemeinsamer Willen und Bereitschaft entsprechende Wissens- und KnowHow-Transfer-Gemeinschaften intern und bei Bedarf auch extern (z.B. mittels andockbare Schnittstellen, Services, Collaboration, Apps, Selfservices) zu bilden kann zusätzlich helfen die Kosten zu reduzieren und letztlich die Personen-/Wissensträger-Abhängigkeiten zu optimieren.

Es kann eine völlig neue Innovations-Fähigkeit und auch Service-Qualität des Unternehmens entstehen welche wiederum die vorausgesetzte Basis ermöglicht für künftige, immer flexibler werdende Arbeitsgemeinschaften in der digitalisierteren Bauindustrie.

Die schon länger bekannte Forderung nach der geräte- und standort-unabhängige Arbeitsweise (auch bring your own device / bring your own desaster … byod) – nämlich genau „hier und jetzt“ bzw. wenn das beste Arbeits-Ergebnis erzielt werden kann – wird noch weitere Ausprägungen in einer 7x24h-Information-Worker-Gesellschaft mit sich bringen und dadurch Bereiche wie wiederum Safety (Betriebs-Sicherheit, Verfügbarkeit) und Security (Angriffs-Sicherheit, Datenschutz) weiter fordern.

Aufgabenfelder, Massnahmen:

– ICT-Strategie, ICT-Planung, ICT-Risk, ICT-Transformation, ICT-Innovation angelehnt und zur Unterstützung der Firmen-Strategie thematisieren in z.B. Workshops, Weiterbildung

– Anwendungs-spezifische Workshops, Kurse, Webcasts fuer optimerbare Büro-Automatisation, Planungs-Prozesse (PP) mittels best practises von denkbar „KnowHow-transfer-bereiten“ und sich weiterentwickelten Vorzeige-Organisationen (Wissens-Community-Gedanke)

– Zukunfts- und Ideen- / Impuls-Workshops für Aufzeigen, Erkennen und gar Adaptieren von aktuellen oder zukünftigen Trends

Data Loss Prevention DLP – vom erkanntem Daten-Leck zum dosierbaren Daten-Ventil

dlp3dlp

Als Grundlage – und bei weitergehendem Informations-Interesse als „nur“ dem Artikel-Haupt-Thema – für meine persönliche Philosophie zum schier unfassbar grossen Big Thema Security / Safety / Risk Management referenziere ich meinen publizierten Artikel bei ISACA Chapter Switzerland im SWISS IT MAGAZINE
>> 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf

Viele Produkte und Technologien rund um DLP – wo bleiben der Mensch und die Prozesse?
Sämtliche Bemühungen in technischer und prozessmässiger Hinsicht zur „beinahen“ Verhinderung oder eher „nur“ Behinderung von Daten-Lecks bzw. Entwendung oder Nutzen-Veränderung von firmen- oder personen-sensitiven Daten scheinen zunehmend reine eher reaktive Symptombekämpfungen anstelle proaktive integrierte Ursachenbekämpfungen zu sein. Hierbei steht einmal mehr der Mensch und die Prozesse im Vordergrund und im Fokus der Wirkung am Ziel.

Angriffs- und Betriebs-Sicherheits-Krieg auf höchstem Niveau – Mensch immerschwächer werdendes Glied in der Kette
Die sehr raffinierten Angriffs- und Verteidigungs-Methoden im Kontext von z.B. auch Zeitfaktoren / Multifaktor-Anmeldungen / Berechenbarkeit / Eintrittswahrscheinlichkeiten / Verschlüsselung scheinen mittlerweilen auf einem Höchst-Niveau abzulaufen – jenseits in dieser Betrachtung vom sicherheits-technisch immer schwächer werdenden Glied in der Kette – des Menschen selber.
Der grösste Schaden – es gibt genügend Beispiele seit längerer Zeit – basiert meist auf einer raffiniert aufgebauten und von langer Hand geplanter Angriffs-Strategie basierend auf  einer „Vertrauens-Bildung zwischen Angreifer und Opfer“.
Hierbei können folgende stichwortartig aufgelistete sehr einfache Fälle als Referenz dienen:
– Mail-Anhang mit bösartigem Code von einem (gefälschten) Bekannten öffnen
– Zugangs-Kennwort per Telefon, Webseite, Socialmedia, Email oder gar Zuruf bekanntgeben
– Kennwörter an beliebten Orten öffentlich zugänglich machen (Tastatur, Pult, Tasche etc.)
– Arbeitsplatz ungesperrt hinterlassen und den Zugang ermöglichen für Kollegen oder Externe
– „Unsicheres“ Daten austauschen per Webmail, Socialmedia, Smartphone, Wechseldatenträger
– Social Engineering – extern aber auch von intern …

Patt-Situation – Informations-Schutz versus Menschen-Schutz – was schützen und klassifizieren wir zuerst ?
Wo nun die Organisationen / Führungsebene beginnen sollten im Teil-Bereich von „Data Loss Prevention DLP“  ist demnach nicht einfach zu beantworten bevor man überhaupt weiss was „schützenswerte“ Informationen sind mittels einer zuerst nötigen Basis-Arbeit der Daten-Klassifikation.
Aufgrund dieser Klassifikation (auf die genaue Methode und Ansätze wird hier nicht eingegangen) entsteht dann ein klareres und überschaubareres Gesamt-Bild der schützenswerten Objekten und deren Einstufungen in z.B. Eintrittswahrscheinlichkeit, Risiken, Schadenspotential. Daraus sollten sich dann eine hoffentlich beherrschbarere Gesamtsicht entstehen mit z.B. Massnahmen, Compliance-Anforderungen, Auswirkungen auf Mitarbeiter Security Policy und Risk-Management / Audit.

Datenschutz und Persönlichkeits-Rechte – und trotzdem auch Schutz-Recht von Firmen-Eigentum ?
Zum Schutze und als Basis der (hoffentlich) gemeinsamen Interessen – auf der einen Seite des Mitarbeiters und dessen z.B. Persönlichkeits-Rechten und auf der anderen Seite der Firma und deren z.B. „intellectual property“ – sollte eine gemeinsame Vereinbarung in Form einer „ICT Security Policy / ICT Weisungen“ verabschiedet und als verbindlicher Bestandteil zum Arbeitsvertrag unterzeichnet werden.
Diese Spielregeln können letztlich kein Daten-Leck verhindern jedoch dient diese vorallem auch der Sensibilisierung und Aufklärung zu betriebs-vitalen oder gar betriebs-hoch-kritischen Gefahren, Regeln und Massnahmen.
Dabei ist auch die Balance zu finden zwischen den Rechten beider Partner (Arbeitnehmer und Arbeitnehmer oder auch Kunden und Service-Anbieter) unter Wahrung der Persönlichkeitsrechten und Balance zwischen Vertrauen und genau zu beschreibenden Kontroll- und Verteidigungs-Mechanismen (z.B. mehrstufig, anonymisiert, Trends, Baselines, Anomalien, Traffic-Controlling, Filterungen, Blockaden, Alerting).

Sensibilisierung via ICT Security Policy verschwindet nach der Unterzeichnung
ICT Security Policies als Bestandteil zum Arbeitsvertrag werden a) nur vor dem Start des Arbeitsverhältnisses unterzeichnet, b) geraten dann schnell in Vergessenheit, c) beinhalten vielfach keinen offenen ergänzbaren Bereich für die die hoch-dynamischen Bedrohungs-Lagen und d) sollten eine Arbeitspapier als Ausgangslage für weitergehende, wiederkehrende Schulungen und Sensibilisierungen. Hierbei reichen vielfach nur schon ausgewählte und auf die Firma adaptiert kommentierte, einfache Beispiele von Daten- und Sicherheits-Lecks von anderen betroffenen Organisationen und auch entsprechende juristisch strafrechtliche Auswirkungen.
Es sollte dadurch selbsterklärend sein, dass dann mitunter auch „naive“ Aussagen oder Ausreden im Sinne von „das war mir gar nicht bewusst oder das hat mir niemand so explizit gesagt“ nicht mehr einfach akzeptiert werden.

Lange Rede rund um… und nun: Am Schluss kommt „nur“ noch die Technologie
Und eine Wiederholung mehr: 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf
Zuerst umfassend sensibilisierte Mitarbeiter (Mensch) und klassifizierte schützenswerte Informationen (Maschinen, Prozesse) bilden dann die beherrschbare Basis für dann ein umfassend orchestrierte und bewusst vielschichtig aufgebaute Gesamtlösung.

Data Loss Prevention – best out of breed and out of best practices
Alleine die Aufzählung von verschiedenen Ansätzen, Methoden, Produkten würde jeglichen Rahmen sprengen dieses Impuls-Artikels. Ich beschränke mich hiermit auf die stichwortartige Aufzählungen von gewissen Ansätzen, Szenarien und einfach erklärten Ideen:
– Sehr hohe Priorität sollte dem „Schutz der digitalen Identität“ zugewandt werden – z.B. bei Kennwort-Richtlinien, Kennwort-Manager-Software, Multifactor-Anmeldung, One Time Token, Devices, Cloud-Dienste etc. damit hier nicht mittels einem „zentralen Einfalls-Tor alle anderen Zugänge und Angriffs-Schutz-Mechanismen“ ausgehebelt werden …
– Filterung, Ueberwachung und Sperren von WLAN-, Smartphone-, Internet- und Webbrowser-Zugänge und Berechtigungen für die proaktive Verhinderung von unerwünschten oder gefährlichen Webseiten- oder Internet-Aufrufen
– Software- und/oder Hardware-Verschlüsselung von z.B. Festplatten, Wechseldatenträger, Smartphones, Emails, Dokumenten (z.B. Bitlocker)
– Transportregeln auf Basis des Email-Systems welche per Voll-Text-Inhalts-Filterung gewisse geschützte und so klassifizierte Mails oder Anhänge sperrt / umleitet oder archiviert
– Automatische Disclaimer-Erzwingung oder PopUp-Fenster-Anzeige im Mail-Programm an den Anwender (proaktive Sensibilisierung) bei allen ausgehenden Emails oder bei klassifizierten Informationen
– Automatische Email- und Datenaustausch-Verschlüsselung (und auch z.B. Sender-Identitäts-Nachweis) ohne Einwirkung des Senders und Empfängers
– Verschlüsselungs-Punkte in der ganzen Kette der Kommunikation (User to Services, Daten zwischen Datencentern, Daten auf Datenträgern, End-to-End-Verschlüsselung von User zu User)
– Geschützte Output-Umgebungen mit Druck / Scan per Kennwort, Keycard, Token
– Compliance-Einschränkungen von z.B. Smartphone für Kamera, Bluetooth, NFC, WLAN, Cloud, Apps, Socialmedia, Speicher-Einschränkungen, Kennwort- und Geräte-Sperr-Vorgaben und Remote Löschungen
– Device Management Lösungen oder Software-Agents auf Clients für z.B. Sperre von Printscreens, Copy Paste Sperre je nach Anwendung, Software-Compliance-Kontrollen, AppLocker
– Zentral verwaltete, proaktive Endpoint Protection Lösungen welche zusammen mit neuartigen Internet-Firewalls auch Anomalien aufspüren oder Base-Line-Vergleiche sicherstellen kann (Stichwort: Trojaner, RootKits, Viren, Würmer, Schläfer, Kennwort-Logger, Spionage-Tools, Datenströme
– Baseline-Compliance-Vergleiche von zugelassenen und unerwünschten / nachträglich installierten Tools / Malware / Apps mit entsprechender Alarmierung
– Fingerprinting, Watermarking, Metadaten-Kennzeichnung, Keywords für das Filtern und Aufspüren von Informations-(Ab)flüssen oder Missbrauch
– Erweiterte Right Management Services (RMS) oder Digital / Information Right Services (DRM, IRS) welche eine sehr hohe, erweiterte Granularität von z.B. Dokumenten-Rechte / Schutz beim Empfänger steuern kann (z.B. Regelung von Autorisierung / Weitergabe / Druck / Speicherung / Protokollierung / Gültigkeitsdauer)

– Je nach Informations-Klassifizierung und Risk-Management gar erweiterte Massnahmen mittels einem „Intellectual Property Management“ System zum erweitertem Schutz von firmenvitalen Geisteseigentum.

– Letztlich: strategisch bewusstes Auslagern / Archivieren oder Sichern / Spiegeln von (Teil)Daten / Zusatz-Backups oder ganzen Systemen auf viel leistungsfähigere und ausfallsicherer orchestrierbare Public Cloud Dienste für die Reduktion von internen (grösseren…) Gefahren in einem lokalen Betrieb und lokalem physischen Datenzugang (Analogie: Die Suche nach der berüchtigten Nadel – aus Sicht eines Angreifers – in einem BigData-Heuhaufen und in einem reissenden Daten-Strom kann schwieriger sein als Firmendaten gezielt an einer Firmen- oder System-Lokation angreifen versuchen …) –> Enhanced Cybersecurity with Big Data …

Vom erkanntem Daten-Leck zum dosierbaren Daten-Ventil ?? und es tropft weiter …
Mittels einigen genannten Beispielen aber vorallem mittels einer eigens aufgebauten und an die zu schützenden Organisation angepasstes Szenarien- / Frage-Framework sollten rasch die klassifizierten und priorisierten, schützenswerten Informationen und deren Schwachstellen (Lecks, Leaks) erkannt werden können für entsprechende stufenweise eingeführten Gegenmassnahmen für die möglichst grosse Reduktion von Informations-Missbräuchen / Abfluss (Loss).

Data Loss Prevention im Spannungsfeld zu Data Leak Management bzw. „offener“ Informations-Verbreitung / -Nutzungsänderung in der künftigen New Economy
Auch hier wird am Schluss eine Teilmenge von Risiken übrigbleiben welche im Risk-Mangement bewertet / überwacht und kontrolliert werden muss. Denn das Daten-Ventil tropft immer irgendwo weiter und weiter …
In einem teilweise (un)beherrschbarem Wachstum und derer Weiterentwicklung von z.B. Big Data, Internet of things (IoT) und Daten-Universum werden sich auch Business Modelle ändern (müssen) für einen offeneren – dann aber geregeltem und in einen mehrwert-generierenden – Informations-Austausch.
Bisher schützenswerte, klassifizierte Informationen / Datenbanken / Produkte / Schnittstellen / Standards / Normierungen / Apps / geistiges Eigentum finden – basierend auf einem neuen (r)evolutionierten Business-Modell – neue und mehrwert-generierende Services-Nutzungs-Kanäle für den Anbieter / Nutzer.

Digital Health durch IoT und Wearables – potential future and war for tracked, (un)trusted well(ill)ness ?

wearables3

Digital Health durch IoT und Wearables

Digitale und vorausgesagte Ziele innerhalb einer Systemgläubigkeit sollten nicht die physischen und psychischen Signale und gegebenen indiviuellen Grenzen übersteigen“

Antreibende Peitsche ohne Leder Seit mehreren Jahren sind zunehmend viele Menschen „versklavt“ mit einem activity tracker oder wearable. Wenn dieses Teil eine Verlängerung aus Leder hätte wäre es eher eine weitere „antreibende Peitsche“ im Mythos des sonst schon anspruchsvollen und herausfordernden Work-Life-Balance.

Wearables und IoT als Basis für „Digital Health“ Pulsmesser, Fitnessuhren, Watt-Leistungsmesser, GPS-Trackers kennen wir seit Jahren und zusammen mit den parallel laufenden hoch-technologisierten Weiterentwicklungen von z.B. Sensoren, Chips, Smartphones, Apps, Cloud, Wearables, Internet der Dinge, Künstliche Intelligenz, Bluetooth, WLAN, NFC entstehen neue Möglichkeiten für andere Anwendungen und Formfaktoren.

Der Drang nach übertriebener Wellness führt zur Illness ? Per laufenden Warnmeldungen (Mikroverletzungen) der Wearables bezüglich zu wenigen Bewegungen pro Zeiteinheit wird man allenfalls mal zum hyper-aktiven Wellness-Abhängigen. Durch weitere Messparameter und dann auch Vorhersagen wie z.B. Puls, Schlafphasen, Kalorienverbrauch wird man noch mehr fremdgesteuert im Bezug auf Einschlaf- / Aufweckphasen, Bewegung, Arbeit und Essverhalten. Aus meiner Sicht ist auch hier wieder mal die Frage nach dem ertragbaren Mass und Verhältnismässigkeit gefragt um sich nicht noch weiter fremdsteuern zu lassen im heutigen Mainstream von Internet, Social Media, Mail, Smartphone und letztlich der Systemgläubigkeit.

Die „Big Mother“ passt auf uns Kinder und unsere Digital Health Data auf oder eben nicht ? Im Zuge der weiter voranschreitenden Globalisierung speziell in den Bereichen von Cloud, Big Data, App Economy und Plattform-Daten-Kapitalismus wie z.B. Microsoft, Google, Amazon, Apple werden wir uns auch Fragen stellen müssen was irgendwann mal an sinnvollen oder weniger sinnvollen / unerwünschten Daten in falsche Hände geraten. Dabei geht es aus meiner Ansicht nicht um den Fakt, dass unsere Daten so oder so überall sicher und gleichzeitig auch unsicher sind sondern viel mehr um die Frage wie weit wir alle als Datenlieferanten die Beherrschbarkeit der Datenauswerter mitgestalten können. Beispiele welche in Zukunft Themen werden könnten: – Wollen wir aus Präventionsgründen unsere Vitaldaten laufend übermitteln an ein Medical-Center für Trends, Auffälligkeiten oder gar Warnungen und Notfall-Eskalationen? – Wie weit vertrauen wir an unsererseits hoffentlich wissentlich zugelassene Datenauswerter wie z.B. Krankenkassen, Versicherungen, Banken, Pflegeinrichtungen, Arbeitgeber, Rekrutierung, Behörden, Staat welche dann im Gegenzug das „Personen- / Gesundheits-Risiko“ dann hoffentlich belohnen mit tieferen Prämien / Risiko-Bewertung? – Werden wir künftig in den CVs von Kandidaten / Projektteilnehmern auch Fitness- und Activity-Werte vorfinden und teilweise einbeziehen in Entscheide und Risiko-Abwägungen? …

Regulatorisch gesteuerte Berechenbarkeit und Überwachung von Personen(Daten) Hoffen wir, dass in 10 oder 20 Jahren die Staats-Bevormundung (z.B. übergeordnete Staats-Krankenkassen oder Versicherungen) durch regulatorische Effekte oder globale Markt- / Risiko-Absprachen eine weitergehende Berechenbarkeit nicht zu gross wird von uns zunehmend datenliefernden Menschen.

Mensch und Maschine verschmelzen: Brain Computer Interface, Biosensor Chips Die zunehmende Distanz vom technischen rasanten Fortschritt zur langsamen Adaptionsmöglichkeit des Menschen (slow Evolution, Human Interface) und des menschlichen Gehirns (zu tiefe Nutzung des Potentials) hinterlässt schwer überwindbare Brücken (über welche wir gehen wollen und müssen…). Solche Brücken scheinen mittels der digitalen Transformation (Cloud, Big Data, Supercomputing, Künstliche Intelligenz) teilweise überbrückbar werden. Letzten Endes werden bereits jetzt schon vorhandene und funktionierende Konzept der Robotik und Biosensoren / Advanced Interfaces (z.B. SmartGlass, SmartLenses, eInk oder implantierte Chips) weitere Potentiale oder gar Notwendigkeiten generieren. Eine Art Brain Computer Interface für die noch direktere Koppelung (die Brücke…) von Sensoren, Human Interfaces, Processing scheint nicht mehr einfach nur eine Utopie (z.B. eInk) zu sein.

Umgekehrte Welt – neue technische Weltordnung – Computer Company search for best human talents … Wie würden wir umgehen – derzeit noch bisschen utopisch – wenn eine autonome „reine“ Computer Company in einem staatlich geschützten Umfeld dann „best human talents“ rekrutiert für deren zu überschreitenden Brücken? Selbsterklärend würden dann solche „reine“ Computer Companies nur die besten vernetzten Menschen finden der technokratischen Elite (siehe weiter unten) und die freiwilligen oder teilweise unfreiwilligen Abwender nicht finden (wollen) …

Vertrauen – Manipulation – Sicherheit Es wird ein neues Spannungsfeld geben in welchem immer mehr auch Fragen des Vertrauens gestellt werden in Bezug auf Data Security, Privacy, Manipulation seitens Anwender (ev. ist ein anderes Familienmitglied oder ein Haustier aktiver und manipulierbarer temporärer Träger des Daten-Trackers…) und Sicherheit seitens App- / Cloud-Servicedienstleister (sind das wirklich meine und nicht verfälschte Daten…) von solchen Wearables oder Daten-Auswertungen im Big Data Umfeld

Ethik muss auch Platz haben in der High Tech Informationsethik ist ein grundsätzlicher und noch ungelöster Aspekt der digitalen Gesellschaft in der Nutzung / Datenanalytik von digitalen Assistenten. Anstehende Evolutionsschritte der zuerst begrenzten Nutzung am Körper, über die Erweiterung auf den Wohn-, Arbeits- und Pflege-Raum bis hin zu einer digitalisierten „smart city“ fordert und prägt auch letztlich die dosierte Regulation und Entwicklung von auch eGovernment. Ein Code of Ethic oder Code of conduct im Rahmen dieser Weiterentwicklungen durch Spezialisten, Unternehmen oder Behörden wird weitere Spannungsfelder erzeugen.

Misstrauen – Ablehnung – Offline-Abseits – deklariertes unberechenbares Risiko Es wird künftig weitere Zweiklassen-Gesellschafts-Formen geben: die voll-digitalisierten Digital-Natives mit Big Data Wissen (technokratische Elite ? mit aber niedriger Selbstkontrolle der persönlichen Daten) und die teil-offline-rückgeführten Abwender (mit bewusst höherer Selbstkontrolle der persönlichen Daten) – mit dann auch Sicht des Big Data als unberechenbares, da nicht erfasstes Risiko deklariert (?!)

eSkin die modernen Tätowierungen und Wearables der digitalen Zukunft Es ist zu erwarten, dass auf oder unter die Haut platzierte, sogenannte eSkins mit Chips oder Sensoren eine moderne Form von Tätowierungen darstellen könnten. Es bleibt die Hoffnung, dass diese Anwendung – im Gegensatz zu einer Tätowierung – möglichst noch lange freiwillig bleibt …

Technologischer Fortschritt als Allerheil-Mittel für das kranke Gesundheitswesen ? Es ist anzunehmen, dass die vielen Chancen der Digitalisierung auch positive Auswirkungen und Unterstützung bieten kann in Themen wie z.B. Gesundheitsprävention, Unfallprävention. Auch im Rahmen der voranschreitenden Demografie und neuen Betreuungs- und Wohn-Konzepten wie „betreutes, digitalisiertes Wohnen“ oder „modernen Pflege“ nimmt die Digitalisierung und technlogische Fortschritt eine tragende Rolle ein. Weitere Regulatorien wie das EPDG (Bundesgesetz über das elektronische Patientendossier) verlangt nach einer intensiven, interdisziplinären Auseinandersetzung von unterschiedlichsten Experten / Task Forces für eine möglichst ausgewogene Stossrichtung in Bereichen wie Privacy, Data Security aber auch (informations)ethischen Aspekten. Digital eHealth könnte die Chance sein, um die „Zukunft vor der Vergangenheit zu schützen“ und nicht umgekehrt.

CEO / CFO / CMO gegen oder mit CIO: Hauptsache Business Prozess Support durch ICT

cio-cfo-ceo

Gretchenfrage – Who is the chief of the Next Digital Economy ?
Die Gretchenfrage ob nun künftig in den (sich in Transformation befindlichen) Organisationen eine neue Hack-Ordnung in den Entscheidungs-Gremien entstehen ist eher schwer abschliessend zu beantworten.

Jedoch ist es eher unumstritten, dass in künftigen Anforderungen der Next Digital Economy an die dynamische Flexibilität der Organisationen zunehmend auch gewisse Marktvorteile und Effizienz-Steigerungen mittels gut orchestrierten ICT-Prozessen vonnöten sind.

Aus meiner Sicht und Erfahrung wird die Wichtigkeit des Mitgestaltungs-Rechts des ICT-Bereiches auf der Stufe der Führungsebene von entscheidender Bedeutung in der laufenden digitalen Transformationen von vielen Geschäftsprozessen.

Budget by services
Dabei wird die Budget-Verantwortung einer Renaissance gleichkommen und sich zunehmend wiederfinden in den fachspezifischen Abteilungen oder Services-Bezügern welche als Direktbetroffene „am besten wissen“ was sie in welcher Qualität an Services brauchen – und aber auch die entsprechende Verantwortung dafür wahrnehmen können in fachtechnischer Hinsicht.

Durch diese Involvierung in Entscheidungs- und Budget-Prozessen – und letztlich auch Risiken – kann eine neue „Stärke und Wettbewerbs-Vorteil am Markt“ entstehen und die Organisation kann mittels guten Ideen in eine völlig neue Richtung des Innovations-Managements aufbrechen.

Knowledge Management – best out of the internal knowhow
Hierbei stellt sich dann eher nicht mehr die Frage ob nun der CEO / CFO / CMO oder CIO in gewissen ICT-nahen Bereichen / Entscheiden die hauptbestimmende Rolle einnimmt sondern vielmehr die Aufgabe der Führungsebene die geeignetesten internen (oder externen) Experten proaktiv und mitbestimmend einzubeziehen.

Mittels genau diesem gebündelten KnowHow(-Transfer) kann der wachsenden Komplexität der unterschiedlichsten Services-Anforderungen sichergestellt werden, dass möglichst alle davon Betroffenen in einem proaktiven Dialog zu Beteiligten gemacht werden können.
„Business Excellence“ wird zwar schon seit Jahren immer wieder gerne verwendet von vielen Beratern / Coaches kann aber funktionieren wenn die Organisation mit allen Betroffenen und Beteiligten die jeweils für sich passendste und auch lebbare Business-Support-Transformation findet.

Chef für Digitales
„Nur ein“ Chef für Digitales zu definieren scheint aufgrund der schier unendlichen Bandbreite der „digitalen“ Potentiale nicht mehr zu genügen – im „analogen“ Gleichklang zum zu grossen Risiko, ein firmenvitales Wissen auf „nur“ einen KnowHow-Träger zu belassen.

Neues Experten-Wissen gefragt – neue Führungsmethoden und Mindset nötig
Im Zuge der transformatorischen (R)Evolution muss auch neues Wissen extrahiert und retensiert werden können von neuen Spezialisten in den Bereichen wie Mobile, User Experience, Anwenderfokus, Cloud und Data Sciences (Big Data).
Diese neuen Mitarbeiter-Profile werden – auch aufgrund der anfangs dünn gesäten Auswahl – entsprechend andere Anforderungen an die Arbeitgeber-Attraktivität stellen und entsprechend auch die HR-Abteilungen und Führungsebenen vor neue Herausforderungen führen und aber auch Chancen von echten, neuen Innovationen ermöglichen.

Interdisziplinäre Zusammenarbeit nötig
So kristalliert sich heraus, dass solche Weiterentwicklungen entsprechend eine übergeordnete, interdisziplinäre Zusammenarbeit voraussetzt zwischen allen CxO – und dies sicherlich auch teilweise über die eigenen fachlichen Grenzen hinaus in neue zu ergründende (Grenz)Bereiche.

Entscheidungs-Hoheiten und Daten-Kontrollgrade schwinden
Vorallem auch der Fakt, dass die künftigen Entscheidungs-Hoheiten und auch Daten-Kontrollgrade nicht mehr ausschliesslich durch Menschen gegeben sind sondern zunehmend unterstützt und geprägt werden durch Maschinen (Big Data) wird so manche Führungsebene herausfordern und Mindsets verändern.

Gemeinsames Ziel aller CxO sollte sein: Eine gemeinsam erschaffene „Insel der Ordnung“ in einer chaotisch dynamischen, digitalen Cloud-Welt

Big Data = Better Data or not ? box of pandora

Word Cloud "Big Data"
Big Data ist aus meiner Sicht die „Veredelung vom Informations-Rohmaterial“ für das „new Business“ – sind aber diese Informations-Extraktionen die besseren Informationen bzw. was für Auswirkungen scheinen sich zu akzentuieren ?

Es werden einige anspruchsvolle Herausforderungen auf uns zuzukommen um den Nutzen von „Big Data“ adäquat ermöglichen und unterstützen zu können:

– Reicht nur 1 „Mensch“ (nicht wertend gedacht aber wir sind ja schliesslich keine hochspezialisierten Informations-Verarbeitungsmaschinen) um Erst-Auswertungen und Erst-Analysen aufzubereiten als Management Summary oder Reports ? oder ist dieser „nur“ 1 Mensch zu unterstützen mit mehreren Menschen oder „Machine learning“ zur Extraction (auch schon bei der Definition von z.B. Metadaten) von möglichst neutralen und sachlichen, nicht beeinflussten Informationen ?

– Im Rahmen der IT-Strategie wird Big Data und deren Auswirkungen und Innovationen ein aufgrund der hohen Relevanz ein weiteres Hauptthema werden.

– Sicherheit ist ebenfalls ein BIG Thema bei Big Data in einzelnen Beispielen wie:
–> Wer und was kann diese Datenvoluminas noch beherrschbar kontrollieren und (un)wissentliche Fehlinputs / Fehl-Datenströme filtern und eskalieren?
–> Social Engineering beim Big Data könnte verursachen, dass Spezialisten im Big Data Umfeld infiltriert oder missbraucht werden könnten für fatal falsche Trends und Auswertungen (Stichworte: Terrorbekaempfung, Fahndung, Militaers, Börse, Forschung, Medizin, Staatsentscheidungen etc.)
–> Zusätzliche Sicherheitsmechanismen wie z.B. Multifactor-Authentication, Multifactor-Release oder bewusst verteilte Systeme (z.B. Gewalten-Trennung von Daten-Speicherung / Daten-Verarbeitung / Daten-Releases / Daten-Archivierung / Daten-Sicherheits-Services etc.) scheinen unumgänglich zu werden für den gesicherten Zugang bzw. (oder gar zuvor mehrfachbewerteten) Auswertungen
–> Information Governance als nötiger, erweiterter Teilbereich
–> Big Data = Basis für auch totale (zu regulierende…) Staats-Trojaner-Ueberwachung?
–> Welcher Staat oder Firma hält wo was für Hintertürchen offen?
>> siehe zum Thema Sicherheit ein anderer publizierter Artikel für ISACA im Swiss IT MagazineITM2014_09_ISACA_03

– Die Aspekte rund um „Wissen ist Macht“ werden noch akzentuierter und Weltmächte mit grossen Ressourcen wie Bodenschätze, Öl, Energie, Wasser werden den gleichen Wettbewerbsvorteil und Informationsvorsprung mit dem neuen „Öl der Zukunft“ – dem Big Data – aufbauen und erweitern wollen.

– Wieviele Regulationen auf nationaler oder gar internationaler Ebene sind nötig oder vertretbar für die Beherrschbarkeit (Geht das überhaupt??) von Potentialen oder auch Gefahren von Big Data?

– Das vermeintliche „Recht auf Vergessen“ aller digitalen Spuren scheint nur schon technisch nicht mehr möglich zu sein aufgrund der unerschöpflichen Bandbreite und Anzahl von „Big Data Datensammlern“

– Das „Internet der Dinge“ als weiterer Faktor wird weitere Inputs und Innovationen ermoeglichen.

– Neue Anforderungen an die künftigen Apps, User Interfaces, User Experience in Bezug auf Darstellung / Modellierbarkeit / Formfaktoren / Bedienungskonzepten –> Analogie: ein einfaches Excel oder Powerpoint reicht nicht mehr für dynamisch präsentierbare und report-gerechte bzw. verständliche Darstellungen von immer komplexer werdenden Informations-Extraktionen (?)

– Chancengleichheit: haben ALLE (oder genügend) Menschen aus allen Bevölkerungsschichten, Ethnien und Staaten einen adäquaten und fairen Zugang zu den Technologien rund um Big Data ? –> das ist ja bereits beim „uralten“ Internet noch in weiter Ferne …

– Neue Anforderungen an Datenbank-Typen, Speicher-Typen und Speicher- und Berechnungs-Orten der Daten aufgrund der Voluminas und Performance-Anforderungen (z.B. hochperformantes Supercomputing oder finanziell verkraftbareres Cloud Computing mit dynamisch mietbaren Workloads)

– Im Bereich der Ausbildung, Personal-Rekrutierung und Personal-Kapital-Management werden neue Spezialisten in Richtung „Big Data Scientist“ weitere Fragen und Herausforderungen generieren –> „Weitergehend zu prüfendes“ Vertrauen in Personen in zunehmend organisations-vitalen Schlüssel-Positionen –> Möglichst tiefe Fluktuations-Raten und KnowHow-Sicherstellung mittels z.B. attraktiven Mitarbeiter-Retensions-Innovationen werden zunehmend wettbewerbs-entscheidend

– Big Data ist aus meiner Sicht eine extrem mächtige und aber auch sehr gefährliche Waffe – ohne Regulatorien und ohne Pflicht eines Waffenscheins …

– „Big Data ist ein Versprechen oder gar Verbrechen (?!) für die vermeintliche Allwissenheit“ ??
–> es scheint, dass wir eine neue „Box of Pandora“ vor uns haben …

Public Cloud – Office365 – das (r)evolutionierte „4D-Printing“ / „Hier und Jetzt“ der Zusammenarbeit

cloud

Wir kennen das vom Einkauf im Dorfladen: „Was darf es sonst noch sein?!“ – „Darf es ein bisschen mehr sein?“ Die gleichen Fragen stellen sich derzeit in der ungemeinen (oder eher gemeinen unübersichtlichen…) Flut der Cloud-Services mit unglaublich „bisschen gar viel integriert mehr drin“. Das massgeschneiderte Orchestrieren und eine sauber vorbereitete Transformation kann sehr grossen Zusatz-Nutzen generieren bei Kleinstunternehmen, KMU und auch bei grossen Organisationen.

Aufgrund der Tatsache, dass vorallem ein grosser und wichtiger Teil der Kommunikation per Internet und Email schon immer über das grundsätzlich unsichere Internet abgewickelt wurde seit Jahren, freunden sich immer mehr „Sicherheitskeptiker“ an mit sogenannten Hybrid-Cloud-Lösungen bei welchen ein Teil der ICT-Services von einer lokalen ICT-Organisation (Private Cloud) und ein anderer Teil von einer externen ICT-Organisation (Public Cloud) als reiner Service bezogen wird.

Wenn man dann auch nicht die Gesamt-Kosten-Aspekte mit-betrachtet im Bereich von Kosten wie z.B. Infrastruktur, Serviceorganisation, Support und vorallem auch den konkurrenzlosen Hersteller-Direkt-Lizenzierungskosten kommt es nicht von ungefähr, dass der Erfolg und laufende technische Weiterentwicklung und das Wachstum dieser Public Services (z.B. Office365, SharePoint Online, Exchange Online, Yammer, OneDrive for Business, Microsoft Azure, Windows Intune, Lync Online) beeindruckend ist in den letzten Jahren.

Im Jahr 2009 starteten wir selber bei uns oder Kunden mit der damaligen Ur-Version vom heutigen Office365 – damals hiess es bisschen holperiger „Business Productivity Online Suite“ oder kurz BPOS. Die damalige Version war im Bereich der Online-Admin-Konsole und den technischen, integrativen Features um Welten entfernt von den heutigen, stark erweiterten Office365-Komplett-Lösung.

Die damalig eher technisch gegebene und „noch cloud-kritische“ Distanz und Unsicherheit wurde – in den folgend laufenden Services-Erweiterungen und richtiggehenden (R)Evolutions-Schritten der einzelnen Cloud-Anbietern – stufenweise abgebaut.
Fortan wurde in den entsprechenden (R)Evolutions-Schritten der Cloud-Services die organisatorische und technische „Hürde“ für diverse ICT-Organisationen und ICT-Infrastrukturen immer grösser, auf dem gleichen Level (Infrastruktur, Prozesse, KnowHow, Automatisierung, Qualität, Sicherheit, Kosten) dieser sehr schnellen Weiterentwicklung und kürzeren Versions-/Lebens-Zyklen mitzuhalten.

Auch muss festgehalten werden, dass das damalige „Orchestrieren“ der Cloud-Services mit den damalig verfügbaren Admin-Konsolen und Produkteversionen auf der Basis von Exchange 2007, SharePoint 2007, Office 2007 kein Vergleich ist mit den heutigen sehr ausgereiften und beinahe völlig mit OnPremise-Installationen verschmelzten Konsolen, Tools, Scripts und auch PowerShell. Weitere mächtige Erweiterungen und „Andockstellen“ von/für lokalen OnPremise-Umgebungen wie z.B. ADFS (Active Directory Federation Services), DirSync, Webservices, Connectors, Remote Powershell, MS Azure eröffnen weitere Flexibilitäts-Grade für eine stufenweise technische Transformation oder Koexistenz-Betrieb (z.B. bei stufenweisen Migrationen von mehreren Filialen oder Ländergesellschaften, Ausfallsicherheits-Massnahmen von z.B. Domaincontroller / HyperV Replica / Active Directory Services auf MS Azure).

Weitere neue Konzepte des SelfService-Gedanken mit User-Admin-Umgebung, administrations-delegierbaren RBAC (Rollenbasierten Zugriffskontrolle) für z.B. Microsoft-Partner (POR) oder Kunden-Admins, Service-Health-Status und integriertem Ticketing-Support-System decken weitgehenst unterschiedlichste Bedürfnisse von in einer Transformation stehenden ICT-Organisation ab.

In Bereich der Sicherheit stehen derweil weitere Features zur Verfügung wie z.B. SingleSignOn (SSO), Multifactor-Authentication, autonomer Kennwort-Reset mit mehrstufiger Sicherheit, Komplett-Verschlüsselung der Daten / Mails / Kommunikation / Transport und auch spezielle Richtlinien-Definitions-Möglichkeiten in den Bereichen wie Compliance / LegalHold / Ligitation / Archivierung / Journaling / Versionisierung. Hier wiederum kommen ebenfalls zentrale Enterprise-Lösungen zum Zuge wie z.B. Forefront, System Center, DPM, APP-V, MDOP welche sich vorallem kleinere und auch mittlere ICT-Organisationen monetär und auch knowhow-mässig nicht leisten können.
Ein weiterer fleissiger Helfer für ein zentralisiertes Device-Management, Endpoint-Protection , Inventarisierung, Compliance-Support, Lizenzierungs-Management von Clients / Tablets / Smartphones (Windows Phone, iOS, Android) namens Windows Intune rundet dann eine solche „Enterprise-Umgebung, erschwinglich für JEDER Organisation“ rund und integriert ab.

Kurzum aus technischen Aspekten: Darf es bisschen mehr sein? ¨> Ja bitte, wir können es uns sonst gar nicht selber leisten! Danke!

Die zunehmend gewünschte Verschmelzung von den unterschiedlich genutzten Geräte- / Form-Faktoren wie Firmen-PC, HomeOffice-PC, Ultrabook, Tablet, Smartphone sind weitere Treiber dieser Public-Cloud-Entwicklung und den mittlerweilen entsprechend grossen Service-Bandbreite von Public-Cloud-Services wie Office365.

Neuere und intuitivere Bedienungskonzepte, Software-/App-Generationen mit verschmelzenden Bedienungsoberflächen und künftig immer weniger Betriebssystem-Versionen (z.B. noch 1 Betriebssystem auf allen genutzten Geräten …) eröffnen ein riesiges weiteres Innovations-Potential der jetzt schon erstaunlichen Abdeckung der Office365-Palette.

Ebenfalls ist die laufende konsequente Weiterentwicklung der Webservices / Apps welche sich hersteller-unabhängig in allen modernen Webbrowsern, auf allen Tablets, Ultrabooks, Smartphones (Windows Phone, iOS, Android) und z.B. TV-Geräten nutzen lassen sehr beeindruckend.

So staunt man doch nicht schlecht wenn man plötzlich auf einem fremden PC ohne aktuelles Office drauf im Webbrowser mit z.B. Word Online (vormals Office Web Apps) beinahe vollwertig arbeiten kann. Bei entsprechender Subscription kann man ja immer noch bei Bedarf das Office-Packet per sogenannter Click-and-Run-Streaming-Technologie innert einzelner Minuten lokal als auch cloud-unabhängige Desktop-Version installieren lassen auf bis zu 5 Geräten pro Benutzer.

Durch die Collaborations-(R)Evolution und Office365-Erweiterungen wurden auch für Privat- oder KMU-Anwender gar nicht oder passiv genutzte Programme und verkannte geniale Funktionen wie z.B. OneNote, OneDrive (vormals SkyDrive), SharePoint, Lync, Yammer plötzlich sehr interessant und vorallem nützlich für die Effizienz-Steigerung und als weitere digitale Helfer. Der frühere hardware-mässige PDA (Personal Digital Assistent) ist nun plötzlich keine Hardware mehr sondern eher genial orchestrierte Cloud-Services die überall und ohne den verstaubten PDA nutzbar sind.

Die vielen genialen Funktionalitäten und völlig neuen Freiheitsgrade des persönlichen „Cloud Offices“ wo immer man ist werden dann auch erstaunlicherweise zu extrem günstigen Preisplänen angeboten. So kommt es nicht von ungefährt, dass viele ICT-Organisationen gewisse Lizenzierungs-Aktualisierungen oder Ergänzungen mittels den Office365-Lizenzierungs-Moeglichkeiten abdecken und davon kostenmässig profitieren.
Dass dann dabei dann plötzlich die durchschnittlichen cirka 3 Mitarbeiter-Geräte und auch noch das ganze HomeOffice lizenztechnisch abgedeckt ist mit 1 Subscription bringt natürlich auch die Kosten-Rechner und Budget-Owner auf den Plan.

Kurzum auch aus funktions- und lizenz-technischen Aspekten: Darf es bisschen mehr sein? > Ja bitte, wir können nun endlich echt geräte- und standort-unabhängig die modernsten Collaboration- / Cloud-Services einfach nutzen! Danke!

Die besten Lösungen bedürfen auch deren besten Anwendung für das Ausschöpfen möglichst aller Potentiale und Funktionalitäten.
In Kombination von möglichen Collaborations-Dreamteams wie z.B. Outlook / Exchange, OneNote, SharePoint, OneDrive und auch Yammer oder Lync entstehen mittels einer gut vorbereiteten Einführung, Orchestrierung, Schulung, Prozessadaptionen und laufender Weiterentwicklung ungeahnte neue Innovationen während dieser Transformation.
Das standortunabhängige, sehr nah integrierte Zusammenarbeiten genau aus den Anwendungen die man seit Jahrzenten selber kennt – wie eben nur schon Office –  entstehen plötzlich z.B. bisher brachliegende Verbindungen, neue Zusammenarbeitsformen, Integrations-Funktionen, virtuelle Workspaces, sichere Informations-Drehscheiben und letztlich eine komplett (r)evoutionierter und firmengelände-überwindender Kommunikations-Prozess.

Die Arbeit, Zusammenarbeit und Projekte werden in kurzer Zeit der Anwendung und gut begleiteter Schulung sehr schnell viel interaktiver und dynamischer.
Dokumente, Präsentationen, Berichte, Ideensammlungen, Mails sind plötzlich von überall, ab jedem Gerät und ohne Gedanken an die „Technologie“ oder „technischen Hürden“ nutzbar, veränderbar und zwar zu genau den Zeiten wo man die besten Ideen und Gedanken / Inputs hat!

Eine Art der Arbeitsmentalität „Hier und Jetzt“ und nicht erst morgen wenn ich den PC in der Firma gestartet habe und dann viel Spontan-Kreativtät oder unterschätzte Motivation / Arbeits-Energie verloren habe. Dass dabei die „Work-Life-Balance“-Kritiker wieder Vorbehalte haben ist verständlich. Jedoch helfen genau diese spontanen Möglichkeiten auch den Arbeitsalltag oder die Gesamt-Jahresarbeitszeit zu optimieren und aufzulockern. Es ist ja auch nicht gesund und schlaf- und erholungs-fördernd wenn man den Kopf voller nicht effizient niederschreibbarer wichtigen Gedanken hat, vielfach dadurch abwesend ist und dann wieder an den Arbeitsplatz oder HomeOffice hetzt um ja nichts zu vergessen innerhalb der Tagesarbeitszeit anstelle genau die Zeiten zu nutzen wo man kreativ ist, niemand stört, das soziale Umfeld oder Familie nicht beeinträchtigt oder irgendwo warten muss… wenn man es ganz intelligent und ausgeglichen gestaltet kann es durchaus sein, dass der Firmen-PC immer mehr warten muss auf seine Eingaben und der Mitarbeiter dann nur noch in der Firma ist für z.B. Projektbesprechungen, KnowHow-Transfer, Austausch, Schulungen und dadurch zunehmend flexibler wird in seiner Arbeitszeit-Gestaltung. Die Arbeitgeber-Attraktivität durch die Mitarbeiter-Zufriedenheit durch solche neuartige Arbeits-Modelle wird zunehmend firmenvital im künftigen modernen Humankapital-Management und im kompetetiven Markt.

Die auch durch Cloud-Services verbundene zunehmende „Entgrenzung der Arbeit“ (Stichwort: Arbeit nicht nur innerhalb der „Firmengrenzen“ mehr sondern eben überall und wiederum „Hier und Jetzt“) verlangt natürlich auch entsprechende definierte ICT-Weisungen, ICT-Sicherheitsrichtlinien und ICT-Controlling-Mechanismen für z.B. Compliance / Datenschutz innerhalb von z.B. IKS (Internes Kontrollsystem) oder QM-Prozessen.

Nichts ohne ICT-Strategie!
Dass dabei diese neue Arbeitsform und letztlich „Business-Support durch ICT“ definiert und gestützt werden muss innerhalb der anzupassenden oder zu etablierenden ICT-Strategie liegt auf der Hand. Die ICT-Strategie ist entsprechend aufgrund des zunehmend firmen-vitalen ICT-Prozesses abzuleiten von der jeweiligen Firmen-Strategie. Relevant ist auch, dass seitens der Führungs-Ebene diese ICT-Strategie und deren Auswirkungen pro-aktiv unterstützt und laufend traktandiert werden. Hierbei wird endlich und zurecht dem ICT-Prozess nicht nur ein reiner Kosten-Faktor hinterlegt in der Gesamtverantwortung sondern eben auch eine adäquate Firmen-Vitalitäts-Bemessung.

Kurzum auch aus arbeits-technischen Aspekten: Darf es bisschen mehr sein? > Ja bitte, wir können nun endlich echt die Arbeitszeit und Arbeitsgestaltung freier mitprägen und flexibilisieren! Danke!

Das (r)evolutionierte „4D-Printing“ / „Hier und Jetzt“ der Zusammenarbeit könnte entsprechend dann entstehen durch die 4. Dimension der Zeit > im übertragenen Sinne also „Hier und Jetzt“

ICT-Business Support-Prozesse und Transformation in der Bauwirtschaft und Baulebenszyklus

bauinformatik_nextgen_ict_bauprozess

Alt bewährt – in Stein gemeisselt – aber noch zeitgemäss ?
Auf meinem ersten Bildungsweg in den Bereichen Bau-, Bauinformatik und Immobilien wurde noch viel mehr „analog“ aber mit „eigenem Köpfchen ohne dutzende von fehlerkorrigierenden digitalen Helfen im Hintergrund“ geplant und gearbeitet am Reissbrett, auf Skizzen, auf Plaupausen, Handnotizen, Baustellen-Rapporten, mit Schreibmaschine verfassten Werkverträge, handgeschriebenen Leistungs-Ausmassen oder Submissions-Unterlagen.
Die Mentalität von schnell was machen und ansonsten wieder zurück mittels „Zurück-Befehlen in Programmen“ gab es damals noch nicht. Komplexere Planelemente oder grafische Grundelemente wie nur schon einfache Linien von A nach B waren nicht gerade „in Stein gemeisselt“ aber fanden mittels Tintentusche eine permanente Druchdringung des verwendeten Planpapiers und mussten mühsam (wenn die Anzahl der Korrekturen dies überhaupt zuliessen je nach Dicke des Papiers …) weggekratzt oder wegradiert werden. So war die Art und Weise des täglichen Planungs- und Arbeit-Prozesses in den vielen Planungs- / Ingenieur- und Architektur-Büros und auch Baustellen-Büros eine fundamentale andere als der heutige mittels EDV-Unterstützung.

Bauinformatik per Lochkarte und 5.25″ Diskette
Es gab sie damals: die sagenumwobenen Monstermaschinen mit den super-ergonomischen Röhrenmonitoren und der grünen Schrift auf schwarzem Hintergrund welche vielfach genutzt wurden für Baustatik und Berechnungen.
Aber auch hier: eine entsprechende Statik-Berechnung musste – man staunt – schon vor der mehrstündigem Berechnungs-Lauf-Prozess sauber durchdacht und vorsimuliert sein im Kopf oder auf dem Papier. Mehrere Fehler durfte man sich nicht erlauben aufgrund der Laufzeiten, Lieferfristen und beschränkter Verfügbarkeit der Maschinerie. Auch musste man dann jeden Rechnungslauf sauber eintragen in einem Papierprotokoll für die interne und externe Abrechnung… Kaum mehr vorstellbar was das abgebildet auf den heutigen Umgang mit der EDV zur Folge hätte.

Planung und Verantwortung – ohne digitale Helfer wie Notebook, Smartphone, Internet, CAD, Projektprogramme
Das methodische, logische Vorgehen und vorallem das „zu Ende Denken“ mit allen Konsequenzen und darauf resultierenden Verantwortung prägte die Arbeitweise und letztlich den damaligen Bauprozess.
Ein „Gut zur Ausführung“ eines Planes oder ein vor Ort auf der Baustelle / Immobilie erteiltes „OK“ war nicht mehr so schnell korrigierbar ohne Smartphone, ohne Internet, ohne Email. Die Arbeit war viel bewusster und nachhaltiger. Es gab – im Gegensatz zu den heutigen Programmen – keine „Trial and Error“-Moeglichkeit mit einfachen Vor-Simulationen oder 3D-Visualisierungen – die Schritte mussten sozusagen auf Anhieb sitzen.

Digitalisierung des Bauprozesses mit Bauinformatik und Schnittstellen
Zunehmend hielten PCs / Macintoshs Einzug in die Planungsbüros und blieben nicht nur den Architekten, Ingenieure oder Büroinhaber vorbehalten sondern auch die Zeichner / Konstrukteure und zum Glück auch Lehrlinge durften davon profitieren in der Firma und in den Ausbildungsstätten. Modernere Software-Generationen für die Auftragsbearbeitung, Leistungserfassung, Ausschreibung, Werkvertragswesen, Abrechnung folgten zugunsten der weiteren Digitalisierung des Bauprozesses und letztlich des Business-Supports durch ICT.
Die unterschiedlichen CAD- und Auftragsbearbeitungs-Software verlangten nach standardisierten Schnittstellen und Austauschformaten für den Datenaustausch zwischen den Projektbeteiligten und zwischen den unterschiedlichen Software-Anbietern.

Die Planungs- und Leistungsbeschriebs-Unterlagen wurden datentechnisch „um Dimensionen“ erweitert mit 3D, Layers, standardisierten seitens Hersteller gelieferten Bibliotheks-Elementen, Kosten und letztlich einer Explosion von Datenzuwachs. Wie wir schon in der Wirtschaftsinformatik lernten stellte sich genau hier die Grundsatzfrage „Wann und mit welcher Business-Logik werden aus Daten verwertbare Informationen?“

Nichts ohne Standardisierungen und Normierungen
In meiner unverändert laufenden Tätigkeit seit über 13 Jahren in der Kommission für Informatik und Normenwesen beim Schweizerischen Ingenieur- und Architekten Verein http://www.sia.ch durften wir entsprechende schweizerische Normen / Merkblätter / Empfehlungen für die Fachbereiche wie CAD, Datenaustausch, Prozesse erarbeiten und verabschieden in verschiedenen Arbeitsgruppen und Publikationen.
Eines der grössten Spannungsfelder war die Tatsache, dass in der normativen Fachlehre meistens „zurück geschaut“ und „darauf basierend definiert“ wird auf das jahrelang Bewährte und wir uns konfrontiert sahen, genau diesen bisher üblichen Blick auf Jahre oder gar Jahrzente alte Normen / Standards in die entgegengesetzte Richtung in die Zukunft zu fokussieren und Widerstände zu überwinden in die Richtung der „Akzeptant mit fachlicher Penetranz“
Wir mussten auch feststellen, dass auch aufgrund einiger verstaubten Normen und Merkblätter schon einige grössere Firmen, Softwareanbieter oder professionelle Bauherren eigene, interne Standards etabliert hatten aus der Dringlichkeit und der fortgeschrittenen Entwicklung des Bauprozesse.

Bau-Industrie-Standards wurden reformiert – EDV-Standards schon länger
Einige Industrie- und SIA-Normen / Standards / Schnittstellen wie z.B. SIA 451, DXF, CAD-Merkblätter, NPK, BKP, eBKP bedurften einer Reformation auf prozess-mässiger und auch technologischer Ebene unter Berücksichtigung möglichster aller Verbände und Interessen-Gruppen wie auch Bauherren, Generalunternehmer, Immobilien-Bewirtschafter, Investoren, Banken.
Der Wandlungsdruck auch vom europäischen Einflussbereich der CEN-(DIN)-Normen hielt auch hier Einzug und es mussten immer mehr Interessen abgewägt und abgedeckt werden auf einer möglichst neutralen und produkte-neutralen, strategischen Ebene – aber immer wieder und zunehmend unterstützt und automatisiert durch Bauinformatik.

Transformations-Hemmnisse verhinderten aktiven Teilnahme und Optimierungs-Potentiale
Auf meinem zweiten Bildungsweg in den Bereichen Wirtschaftsinformatik / Engineering / Internet-Technologien sprach man schon Ende der Neunzigerjahre z.B. von „reformierendem“ Outsourcing / Application Service Providing (ASP) und andere Branchen transformierten sich bereits damals oder schneller in diese Richtung. Die Baubranche bzw. die damaligen noch bestehenden Abhängigkeiten von älteren sogenannten Legacy-Systemen, internen Standards oder nicht einfach so migrierbaren EDV-Prozessen verhinderten damals die grossflächige Teilnahme in dieser fortschreitenden Industrialisierung mit sich damals etablierenden neuen EDV-Standards. >> siehe separater publizierter Artikel

Akzeptanz und Verbreitung – beginnend bei der Ausbildungs-Pyramide
Die Verbreitung und Anwendung von neuen Normen / Standards und business-unterstützenden ICT-Prozessen waren nur sinnvoll und nachhaltig zu etablieren via der mehrstufigen Ausbildungs-Pyramide (Ausbildung, Weiterbildung etc.), der Verbreitung via Fachverbänden und dies begleitet mit den entsprechenden Merkblättern und Normen. Diese verzögerte Verbreitung und der Widerstand von bereits eigens etablierten Standards stellte eine weitere Herausforderung dar in der sich stetig verändernden Halb-Werts-Zeit des Fachwissens und der entsprechenden Akzeptanz und Adaptions-Müdigkeit.

Unterstützungs-Prozesse wie ICT, Normen-Adaptionen, Standard-Etablierungen – zu unrecht als reiner Kostenfaktor / zu recht als Nicht-Top-Prio der Nachfolgeregelung betrachtet
Jahrzentelang wurden entsprechende hochgelebte Standards teilweise aus unberechtigter Angst vor Zusatzkosten / neuen ICT-Prozessen oder Kontroll-Verlust am Leben erhalten und neue Chancen und Innovations-Potential verpasst.
Es schien beinahe unmöglich zu sein, die heiligen internen Standards / Prozesse / Vorlagen für Pläne / Leistungsverzeichnisse / Werkverträge / Bibliotheken zu ändern aufgrund auch von teilweise konzeptionell falsch aufgebauten Basis-Sets und Definitionen welche auseinanderbrechen zu drohten. Meinungen und Aussagen wie z.B. „Funktioniert ja alles und wir bauen seit Jahren so“ und „Uns fehlen die gesamtschweizerischen etablierten Standards und das Einführungswissen für eine strukturierte, effiziente Umstellung“ war dann eine gängige Ausprägung dieser Transformationsmüdigkeit.
Viele der betroffenen Organisationen befanden sich zusaetzlich auch in einer Uebergangslösung oder Phase der Nachfolge-Regelung seitens der Firmen-Inhabern und verständlicherweise waren vielfach die Prioritäten derweil anders gesetzt.

Der ganze Bau-Lebenszyklus wurde zunehmend voll-digitalisert
Entlang des ganzen Bau-Lebenszyklus mehrten sich zunehmend mehr professionell, monetär orientierte Interessen-Gruppen wie Investoren, professionelle Bauherren, Immobilienbewirtschafter, Gesamt-Systemanbieter und Banken / Versicherungen.
Die prozess-technischen und technologischen Anforderungen an die Outputs / Inputs aller Projektbeteiligten wurden komplexer und dynamischer und der entsprechende Minimal-Standard als an diesem Bauprozess teilnehmendes Unternehmen stieg rapide an.
Die eingeläutete (R)Evolution wurde begleitet von einer Reihe von neuen Produkten, Prozessen und Normen / Merkblätter. An der Baurationalisierung waren diverse Institutionen, Verbände und auch Firmen / Organisationen wie der SIA http://www.sia.ch und CRB http://www.crb.ch aktiv beteiligt.

Konzentration auf die Kernprozesse und Outsourcing von Supportprozessen
Der zunehmende Komplexitäts-Grad des Gesamt-Prozesses und Lebenszyklus verlangte nach interdisziplinären Zusammenarbeiten und teilweise auch auf Konzentrationen auf Kernkompetenzen und Hochspezialisierungen in Teilbereichen.
Hierzu wurden auch vermehrt für solche Supportprozesse entsprechend externe Berater / Systeme / Support hinzugezogen um das „Beste von Allem“ zu erhalten und nutzen zu können.
Hierzu gehörte auch der Bereich der Informatik >> siehe separater publizierter Artikel

Nächste Generation der digitalen Baurationalisierung
Neuere vielversprechende und visionäre Standards in Richtung BIM (Gebäudedatenmodellierung) stellen weitere Herausforderungen und riesige Potentiale dar.
Es bleibt zu hoffen, dass hier die entsprechende Wandlungsbereitschaft und Adaptierungsgeschwindigkeit rascher und effizienter erfolgen kann mit möglichst allen interdisziplinär zusammenarbeitenden Interessengemeinschaften und unter den Vorgaben und Vorarbeiten von der internationalen Organisation buildingSmart und dem offenen Standard openBIM. Das Basisdatenmodell IFC (Industry Foundation Classes) zur digitalen Beschreibung von Gebäudemodellen weckt grosse Hoffnung, dass der digitale Informationsfluss während des ganzen Lebenzyklus eines Bauwerkes weiter (r)evolutioniert wird.

Visionen und Chancen – ueber Big Data und Cloud zum gemeinsamen Erfolg
Rund 70% der schweizerischen Bauwerke sind aelter als 30 Jahre und stehen vor baldigen Umnutzungen, Renovationen oder gar Neubauphasen. Es bleibt zu hoffen, dass diese riesige Menge an zu erhebenden Daten für z.B. Renovation, Altlastensanierungen, Umnutzungen in wenigstens minimaler Detaillierungsstufe vorhanden sind und genutzt werden können … Es ist eher was Anderes zu erwarten … und genau kann man die Schwierigkeiten und Herausforderungen erkennen.
Meine persönliche Vision ist, dass man künftig z.B. zu jeder Zeit des Entstehungs- und Nutzungs-Prozesses entlang des Lebenszyklus zugreifen kann auf zentral (z.B. Immobilienbewirtschafter) oder dezentral (z.B. Baustoff- oder Bauteil-Lieferanten) gehaltene Informationen von Bauwerken.
Weitere Entwicklungen in den Bereichen wie „Internet of things“ bei welchem jedes Gerät künftig vernetzt und integriert werden kann in Facility Management Systemen oder nur schon in einer einfachen Heim-Vernetzung ermöglichen weiteren Innovationen und Potentiale.

Potentielle Einsatzmöglichkeiten von Big Data / BIM-Anwendungen
Folgende Use Cases sehe ich persönlich als Beispiele:

– Ein Planungsbüro, Baustellenbüro wird viel flexibler bei der Einrichtung und Unterhalt von stationären oder mobilen Arbeitsplätzen für die Mitarbeiter oder Projekt-Ausführungsorte. Der Mobile Workplace wird spätestens dann vollumfassend realisierbar und effizient nutzbar.
Die Arbeitsweise wird zumindest dann technologisch (r)evolutioniert und kann dann mit passenden Best Practices Anwendungen oder massgeschneiderten Prozessen (passend auf die jeweilige Organisation) ausgeschöpft werden.

– Ein Kalkulator, Projekt-/Bau-Leiter, Projektcontroller hat schon waehrend der Bauphase laufende Rueckmeldungen seitens z.B. der mobilen Leistungserfassung in die Kostenrechung, Nachkalkulation und immer wichtigerer Kostenplanung und Steuerung.

– Ein Immobilien-Verwalter kann während einer Objektbesichtigung mit dem Eigentümer direkt per Smartphone / Tablet / Notebook auf Pläne, Uebergabeprotokolle, Dokumentationen, Wartungs-Kontroll-Listen, Anleitungen zu eingebauten Geräten, Kennwerten, Messwerten vom Facility Management System oder Energie- / Verbrauchskosten zugreifen und direkt z.B. Reparaturaufträge, Aufträge an Hauswärte oder Dienstleister verwalten und erteilen.

– Eine  Immobilien-Bewertung oder Immobilien-Sanierung kann mittels Zugriff und Uebersicht auf Baumaterialien, Altlasten, Hersteller-Informationen oder ganzen Bauteilgruppen dazu beitragen die Kosten- und Ausführungs-Planungen stark zu optimieren.

– Ein Architekt oder Fachplaner kann auf einen Klick ermitteln welche Baustoffe, Bauteile, Bauelemente oder Geräte  in welcher Anzahl und Qualität verbaut werden oder wurden – mit auch seitens Produzenten online aktualisierten Werten zu z.B. Seriennummern, Chargenummern, Rezepturen, Produktedokumentationen, Nachweisen, CO2-Werten, Produkte-Haftpflicht-Themen.

– Expertisen rund um bauphysikalische, baubiologische oder bautechnische Beurteilungen werden mittels zugänglichen Basisdaten zu Bauteilen / Werten / Baustoffen / Pläne unterstützt.
Ergebnisse und Empfehlungen zum untersuchten Objekt könnten rückfliessen in den Bauobjekt-Datensatz für künftige Weiternutzung und History.

– Sanierungen oder Rückbauten wären mit guter Informationsbasis genauer planbar in den Bereichen Planung, Kosten, Ausführung oder Altlasten-Sanierungs-Massnahmen.

– Versicherungs- / Schadenfall-Abklärungen würden effizienter und genauer.

– Ein Service-Dienstleiter fuer z.B. Klima, Aufzuege, Heizung, Solaranlage, Smart Metering sieht sofort – oder via Gebaeudeleit-System / MSR – welche Elemente fehlerhaft oder defekt sind oder aufgrund von z.B. Serienfehlern ersetzt oder nachgebessert werden muessen.
Nebst dem zentral abrufbaren Elemente-Kataloges eines Objektes könnte man auch gängige Industrie-Standards wie RFID / NFC nutzen um direkt vor Ort entsprechende freigegebene Informationen zu einem Bauteil abrufen zu können.

– Ein Fensterbauer, Küchenbauer, Sanitäreinrichter, Schreiner kann innerhalb von Renovationen / Umbauarbeiten auf Basis-Datensaetze des urspruenglichen Werkvertrag-Vertrags-Unternehmers und dessen eingesetzten Elementen und Modulen zugreifen fuer eine effizientere Offertstellung, Kalkulation und Ausfuehrung.

– Ein Zimmermann, Holzbauer, Fassadenbauer hat Zugriff auf Plaene, Nachweise, Berechnungen fuer die Renovationsarbeiten.

– Ein Bauherr oder Investor oder Facility Management Dienstleister (FM) kann zugreifen auf seitens Gebäude-Sensorik unterstützten Key Performance Indexes (KPI) zur Erhebung von z.B. Performance-Beurteilungen, Wirtschaftlichkeitsberechnungen, Zinsberechnungs-Nachweisen oder Steuernachweisen.

– Statistiken und Erhebungen seitens Bund, Behoerden und Ämter sind autonom – selbstverstaendlich mit zuvor wissentlich freigegebenen und so klassfizierten Daten-Teilbereichen (z.B. XML, IFC, Metadaten oder ganze Datensaetze, Plaene, Dokumente) – bedienbar fuer weitere Kostenoptimierungen auf Seite des Bauherren, Bewirtschafters und Behörden.

– Bewilligungsverfahren bezueglich Kosten und vorallem Durchlaufzeiten koennten stark optimiert und vereinfacht werden auf Seite des Bauherren, Planer und Bauamt.

– Bei der Bauobjekt-Nutzungsphase sind sehr viele Visionen und Technologien auf dem Markt verfügbar in Richtung „Betreutes Wohnen für z.B. ältere Menschen welche länger in den eigenen 4 Wänden anstelle in einem Pflegezentrum verbringen wollen“, intelligentes Wohnen, kommunizierende Haushaltsgeräte für automatisches Ordering von z.B. Service, Bestellungen, Reparaturen und dergleichen. Auch hier kommen die Visionen und Ansätze „Internet der Dinge“, „Fiber to the home (ftth)“ und letztlich „totale Haus-Vernetzung“ zum Zuge.

Qualitätssicherung
Letztlich und zusammengefasst entsteht eine bessere Qualität des Gesamten – unterstützt mit qualitativ und massgeschneidert aufbereiteten, zentral konsolidierten Informationen. Während des gesamten Baulebenszyklus wird dadurch auch die Qualitätssicherung optimiert und beherrschbarer.

Sicherheit ist gewährleistet und definierbar
Selbstverstaendlich waere dann in einem solchen System sehr klare Richtlinien und Einstellungsmoeglichkeiten unabdingbar fuer einen restriktiven Datenschutz zugunsten der Sicherheit. Die Klassifizierung von Daten fuer z.B. Public (Behoerden, Bund, Statistik) oder Private (Eigentuemer, Bewirtschafter, Datenmanager, Servicedienstleister) wuerde dies technisch und zentral ueberwachbar unterstuetzen.

10 Jahre Aufbewahrungs-Pflicht und revisionssichere Archivierung
Im weiteren waeren dann auch Themen der 10 Jahre Aufbewahrungspflicht von auftrags- oder system-relevanten Informationen abgedeckt. Dabei waere dadurch neu auch die revisionssichere Archivierung realisierbar.

Eine Art „Building Smart Cloud“ – auch zur Unterstützung der „Cleantech“-Zukunft
Letztlich wird man basierend auf diesen einzelnen Use Cases schnell erkennen, dass ein künftiges System welches auf einem intelligent orchestriertem Cloud-System basiert, eine schier unbegrenzte Anzahl von Potentialen erschliesst oder Nutzungsformen unterstützt z.B. von mobile Worklpaces, Apps, Webservices, Cloud, Big Data.
Durch solche optimierte Prozesse und auch Unterstützung der Automatisierung in der Bauindustrie entlang des ganzen Lebenszyklus werden auch Ansätze von „Cleantech“ gefördert und/oder gar ermöglicht durch die Einsparmöglichkeiten in allen Bereichen des Gesamtaufwandes / Energie / Kosten / Qualität.

 

Ueberwachung total – big brother / Big Data is watching or doesn’t care ?

big-brother-ueberwachung-staatstrojaner Bedarf_Lupe_PC_Monitor_Untersuchung

Maßnahmen der Überwachung können der Erhöhung der Sicherheit des menschlichen Lebens dienen, der Beobachtung von Naturerscheinungen, militärisch-nachrichtendienstlichen Zwecken, oder dem Werterhalt von Bauwerken und Investitionen
Ach ja?!

So lange es sich um „reines“ Monitoring von z.B. Naturgefahren oder technischen Anlagen handelt haben wenige was dagegen. Hinsichtlich den durch diese Messungen und Auswertungen realisierbaren Vorhersagen oder Trendauswertungen  für die Verhinderung oder wenigstens Frühalarmierung von Ereignissen wie z.B. Brand, Einbruch, Flugverkehrsproblemen, Verkehrstaus oder dann in extremis Atom-Ereignis, Tsunami, Angriffen entstehen echte, nutzbare „Mehrwerte“. Oder: ein Monitoring oder Trend-Auffälligkeiten welche via einer sicherlich bald verfügbaren aktiven „Health-Card“ Menschenleben retten oder verlängern kann wird – mit noch offenen Sicherheits-Themen, Interessen- und Ethik-Konflikten – ein Mehrwert darstellen wenn diese sinnvoll eingesetzt würde.

Mehrwerte – für wen?
Diese Mehrwerte sind immer relativ zum Auswertenden. Früher waren diese dann laufend erweiterten Mehrwerte, Ueberwachungen und Inhalte für halt dann leider auch z.B. Fichen-Akten, Stasi und auch Wirtschafts-Spionage und letztlich die Staaten.
Trotzdem profitieren wir heute auch von diesen Mehrwerten. z.B. Videoaufzeichnungen zur Steigerung der Sicherheit von Tiefgaragen / Wertobjekten / öffentlichen Plätzen, Kreditkarten-Bezugs-/Sperren aufgrund von neuartigen Mechanismen wie z.B. Geo-Location / Einkaufs-Verhalten schützen uns von Kontenplünderungen oder Shop-Einkäufen ab fremden oder ungewohnten Standorten oder Identitäten. Oder: Was sagen die Ermittlungsbehörden heutzutage an den Angehörigen oder Eltern auf die Frage hin ob das allenfalls „mitentführte“ Smartphone geortet werden konnte bzw. wieso „um Gottes Willen“ nicht ??

Handy und GPS – Segen und Fluch
Zum Höhepunkt der Telefonüberwachung – mit damals noch einfachen und teilweise halt auch „hörbaren“ Abhörmethoden – gesellten sich neue Zielobjekte wie die kofferraumgrossen Natels dazu, begleitet mit weiteren tragbaren Sensoren wie GPS-Empfänger.
Der Start der totalen Mobilität und dadurch auch der totalen Ueberwachung verdanken wir unteranderem auch der laufenden Weiterentwicklung von den überall integrierten Sensoren.
Fortan war jeder mittels seinem Handy oder GPS-Empfänger relativ einfach auffindbar innerhalb der jeweiligen Sende-Zelle des Mobilfunkanbieters (damals noch relativ gross-maschig) oder der GPS-Koordinaten. Auch entstanden neue bequem per Webbrowser aufrufbare Funktionen wie z.B. das Auffinden des Smartphones auf einer Google-Karte mit einer Genauigkeit je nach Mobil-Funk-Zellen-Dichte von einzelnen hundert Metern (Dumm nur wenn jemand das macht für nicht nur sein eigenes Smartphone …)

Maschinen sandten dumme Signale / Roh-Daten – Menschen senden fixfertig auswertbare Informationen
Die fortschreitende rasche Weiterentwicklung des Internets, Smartphones, Social Media komprimierten die Informationsdichte und Informationskadenz der Teilnehmer und die Ueberwachenden musste nichts mehr gross auswerten … „Hallo Welt! Ich bin gerade im Kino Maxx in der Reihe 8 und später im Club X-Tra …“ Das Privatleben wurde zum Publicleben. Big Brother ursprünglich im Fernsehen – und später selbstverschudelt im Privatleben / Social Media … – wurde normal und akzeptiert. Und ploetzlich erachteten wir diese Art von Überwachung toll!

Generation XY – Ueberwachung ja (gerne sogar …) – Streetview? Nein!!
Diese Art von Exhibitionismus eröffneten nicht nur an den „bösen“ Ueberwacher ungeahnte Möglichkeiten … Die „guten“ Datensammler und Auswerter wie z.B. Google, Facebook, Twitter, Blogs, Xing, Amazon bekamen zunehmend gratis Informationen zugespielt zu Surf- und Einkaufs-Verhalten und offenbar hat niemand so  richtig was dagegen bzw. nimmt das stillschweigend hin. Die allgemeinen Geschäftsbedingungen werden ja eh nicht gelassen oder nicht vollständig verstanden – also mal einfach toleriert.
Umso mehr befremdend ist es wenn dann der Volksmund oder teilweise die gleichen Informations-Lieferanten (noch) Vorbehalte hegen gegen z.B. Google Streetview wo sie allenfalls sogar noch (ach wie schrecklich…) erkannt werden könnten auf einer Strassen-Aufnahme … Wie war das noch genau mit den hunderten von Privat-Fotos, Selfies auf Facebook etc. ?! Google mag ein „Daten-Kracke“ sein, aber die Online-Menschen sind regelrechte „Daten-Schleudern“

Wir ziehen uns schließlich auch keine schusssichere Weste an, bevor wir das Haus verlassen!
Also schützen wir uns (leider) auch meist nicht sonderlich speziell gegen Datenmissbräuchen im Internet oder Social Media Kanälen. Wir schützen unsere Daten nicht, wir schleudern diese in die ganze Welt!

„Oeffentliche“ No-Spy-Abkommen zwischen den Staaten mussten her – bei gleichzeitigem dadurch nötigem Rückzug in die „geheimen“ Dunkelkammern.
Fortan war die Ueberwachung und Spionage von Staaten, Firmen nicht mehr öffentlich (nur noch eben in den Dunkelkammern) erlaubt. Die Ueberwachung des Privatlebens – der Mensch und seine Intimsphäre – mussten nicht mehr geregelt werden: Dieses Privatleben war schon lange seitens der Menschen selber halb-öffentlich einsehbar und abonnierbar verfügbar auf mehreren Social Media Kanälen.

Böser BigBrother! Lieber Mitarbeiter!
Das Controlling in den Firmen in Bereichen wie Finanzen, Risiken, Prozessen wurde bald mal im Interesse der Organisation erweitert auf den Mitarbeiter.
Es bestanden jedoch noch viele Lücken und fehlende Gesetze, Vorschriften und letztlich nicht existente Arbeitsvertrags-Bestandteile welche diese Art von Mitarbeiter-Ueberwachung und Mitarbeiter-Controlling erschwerten und mitunter zu stümperhaften Massnahmen wie z.B. illegale Videoüberwachung an den verrücktesten Arbeitsbereichen, ebenfalls gesetzwidrige Anwender- und System-Aufzeichnungen oder Mail- und Internet-Verhaltens-Auswertungen führten. Sogenannte ICT-Security Policies für Mitarbeiter mit der klaren Kommunikation und technischen Hinweisen zu möglichen Auswertungen bei Verdachtsmomenten oder zum Schutze der Firmendaten / Firmennetzwerk sind bei weitem noch nicht verbreitet. Die bedarfsgerechte Entwicklung und Definition muss auch sauber begleitet sein von parallel laufenden Massnahmen wie z.B. Mitarbeiterinformation, Mitarbeiterschulung, Sensibilierungen oder gar entsprechenden Sicherheits-Tests. Das unverändert grösste Risiko in einer Organisation ist und bleibt der Mensch. Schon lange richten sich professionelle Attacken, Spionageversuche zielgerichtet und ausgeklügelt an die Mitarbeiter selber (sogenanntes „Social Engineering“). Es gibt diverse haarsträubende aber halt menschliche Erfolgs-Beispiele wie z.B. „Ich bin von der IT-Abteilung / von der Bank. Könnte ich kurz Ihr Zugangs-Kennwort haben?“, „Darf ich kurz auf Ihrem Bildschirm zugreifen per Fernsupport“, „bitte klicken Sie in diesem Mail auf den Link und geben Sie Ihre Daten ein“. Die andere dunklere und letztlich sicherheitstechnisch ausnutzbare Seite des Sicherheits-Faktors Mensch sind unteranderem auch Bestechlichkeit, Unzufriedenheit, Rache, Mobbing welche dann auch zu ungefragten Datenherausgaben / Sicherheitslücken führen können.

Rasterfahndung / Profiling / Auffallen (um jeden Preis?)
Wer die „Fenster-Rolladen“ die ganze Zeit unten hat ist auch im alltäglichen Leben auffallend und wird näher kontrolliert … Rasterfahndung-artige Ueberwachungen von Telefonaten / Emails / Internet-Verkehr nach Schlüsselwörtern wie „Bombe“, „Angriff“ waren natürlich speziell ein Thema nach dem Weltereignis 9/11. Eine neue und erweiterte Art von Profiling aufgrund von Datenerhebungen / Datenauswertungen im grossen Stil (Big Data, Data Mining) fand Einzug in der Staats-Ueberwachung. Viele Organisationen und Gruppierungen suchten dann entsprechend andere Wege in ebenfalls „Dunkelkammern“ und im Verborgenen. Diese vermeintliche Unauffälligkeit war in sich wieder auffällig. Die Frage stellt sich auch mal in die entgegengesetzte Richtung: Besteht eine „Art“ Sicherheit durch „taktische“ Offenheit.

Staats-Trojaner, Daten-Vorratsspeicherung – wieso auch: NSA machte das ohne Gesetz
Es scheint, dass ein gesundes Mass an sinnvoll vertretbarer Ueberwachung akzeptiert oder gar erwünscht ist aus genannten Gründen, Beispielen und gar Mehrwerten je nach der Art und Weise der Ueberwachung und Auswertung. Das ganze wird dann jedoch problematisch wenn dann gewisse Aktivitäten auf Vorrat und ohne erhärtete Verdachtsmomente erfolgen – der sogenannten „Vorrats-Datenspeicherung“ (ein Art von laufender Ueberwachung ohne Grund).
Auch ich kann davon mit einem Beispiel berichten als wir als Internet-Provider gegenüber des Bundes die Mailüberwachung aktivieren mussten. Diese Mailüberwachung zeichnete KEINEN laufenden Emailverkehr auf, konnte dann jedoch bei Bedarf und gemäss richterlichem Beschluss initiiert werden mit einem offiziellen Ablauf und vordefiniertem Prozess.
Es scheint jedoch – im nachhinein betrachtet – dass alle diese verabschiedeten und auferlegten Massnahmen im Verhältnis zur effektiven Eintrittswahrscheinlichkeit in einem unertragbaren Missverhältnis zum Aufwand und Administration stand.
Der Fall der Staats-Spionage seitens z.B. NSA (die werden nicht die einzigen sein …) hat einem aufgezeigt, dass eine vermeintliche oder staatlich vorgegebene Ueberwachungs-Massnahme absolut lächerlich erscheint im Vergleich zu den bereits seit Jahren laufenden anderen Aktivitäten in der globalisierte und total vernetzten Welt …

Cyberwar und Staats- / Firmen-Spionagen auf Befehl!
Es gibt viele Berichte und Hinweise (unteranderem vom CCC Chaos Computer Club und der Fachpresse), dass nachverfolgbar aus militärischen Einrichtungen / Geländen / Gebäuden riesengrosser Datenverkehr und gezielte Anfragen oder Angriffs-Versuche erfolgen mit einer minutiös geplanten und sehr systematischen (offenbar hoch-standardisierten) Vorgehensweise … und dies ja nachvollziehbar auf Befehl hin vom Staat oder Militärs / Firmen.
Auch sehr erfolgreich geführte und gewonnene Kriege mittels internetbasierten „Social Media Revolutionen“ oder „Shit Storms gegen Personen und Firmen“ sind ernstzunehmende Angriffs-Gefahren für alle.

Wettrüsten? Welche Mittel für den neuen, künftigen Krieg?
Man muss kein Militär-Experte sein um feststellen zu können, dass der „Gripen-Kauf“ in der Schweiz in Anbetracht der Eintrittswahrscheinlichkeit eines solchen kriegerischen Ereignisses THEORETISCH alle paar Jahrzente passieren kann… die Angriffe jedoch im Cyberwar von Staatstrojanern / Hackern / Internet-Spionage passieren PRAKTISCH TAEGLICH – und dies Tag und Nacht. Es stellt sich die Frage für was wir den als Beispiel eben unseren Luftraum schützen mit neuen „Gripen“ und aber die viele nähere – und bereits in unseren Privaträumen und Firmen eingeschleuste – Gefahr aus dem Internet und ebenso aus unseren eigenen Reihen (Staat, Bundespolizei) offenbar noch nicht adäquat bekämpfen?

Echte Gefahren und auch Staats-Uebungen müssen jedem Bürger zu denken geben!
Es kommt entsprechend nicht von ungefähr wenn der Bund in einem gross angelegten Uebungs-Szenario von folgenden Umständen ausgeht in deren Uebungs-Umgebung: „Ein Cyber-Angriff legt die Stromversorgung lahm und führt auch zu massiven Störungen und gar radioaktiven Austritten in Atom-Kraftwerken nach entsprechenden weiteren System-Ausfällen auf der Zeitachse“ … Was macht nun das Militär? Wo sind oder was nützen dann die neuen „Gripen“-Flugzeuge? Weiteres Beispiel: Was würde passieren wenn jemand die Wasserversorgung von Gross-Städten hinsichtlich der Sensoren, Hygiene auf technischer Ebene manipulieren würde (selbstverständlich auch die Ausfall-Sicherungen und Zusatz-Ueberwachungs-Mechanismen und auch simplen physikalischen / chemischen Systeme) mit dem Ziel das Wasser kontaminieren?

Neue Bundesstellen und Experten-Gruppen: Unterstützung oder nicht für das hoffentlich schon vorhandene Risk-Management und durchdachten Notfall-Szenarien?
Es gibt schon länger seitens Bund ins Leben gerufene Bundesstellen und auch neu einer speziellen Experten-Gruppen die sich mit den entsprechenden Risiken und Gegenmassnahmen befassen. Ich hoffe, dass diese Experten-Gruppen auch was hinterfragen bezüglich der landes-inneren Sicherheit oder Ueberwachungs-Gelüsten von manchen Politikern, Bund und Firmen selber. Experten-Gruppen sind immer so gut wie umfassend und möglichst breitgefächert diese aufgestellt ist und möglichst viele Querinputs aus den unterschiedlichsten Fragestellungen, Disziplinen und Gesamt-Risk-Management einbringen kann. Aus Interesse wurde auch ich vorstellig und wurde kontaktiert von 2 Personen von Bundesbern (übrigens auch andere Unternehmer-Kollegen) und informiert über das Interesse und die nächsten denkbaren Schritte der Experten-Gruppen-Bildung. Weder meine Unternehmer-Kollegen noch ich hörten wieder was – trotz auch höflichem Nachfragen … Wie wollen solche Bundes-Stellen die Landesgrenzen oder das Land schützen wenn nicht mal die x-tausenden von Firmen und Privat-Personen über adäquate Sicherheits-Technologien und Sicherheits-Prozesse verfügen und so die innere Sicherheit oder Einstiegs-Schleusen (Backdoors) jenseits der theoretisch geschützten Grenzen eröffnen und anbieten??!

Das Wettrüsten geht weiter nach der Schaffung von neuen Staats-Stellen, Experten-Gruppen („Menschen“) und Prozess-Definitionen mit neuen Technologien und „Maschinen“
Ein regelrechter Ueberwachungs- und Spionage-Boom floriert und Staats-Behörden wie halt auch die amerikanische NSA lässt die Muskeln spielen mit einer Riesen-Maschinerie von leistungsfähigsten Rechnern, Netzwerken, Analyse-Algorithmen.
Die staatlich geprüften und beauftragten Daten-Sammler, Daten-Schnüffler und Hackers entwickeln die Systeme weiter und verlangen / brauchen immer leistungsfähigere Systeme und Gross-Rechner. Das „Quanten-Computing“ ist schon längstens Realität in den Dunkelkammern und die entsprechende auswertbare Datenmenge (Stichworte: Big Data, Data Mining) ist gigantisch und die Auswertbarkeiten und Trefferquoten von Algorithmen erschreckend.

Schreckensgespenst Big Data aus der Dunkelkammer ?! Gutes Big Data, böses Big Data?
Für jedes durchaus positive Beispiel und Riesenpotential von Big Data / Data Mining im öffentlichen Leben / Privatsphäre fallen mir ebenso halt auch Horrorszenarien ein leider … aber: wir werden in gewissen Bereichen wie z.B. Forschung, Medizin, Umweltvorhersagen, Welternährung, , Kryptografie, Sicherheit, Innovationen nicht um das „gute“ Big Data drumherum kommen für nächste nötige echte (R)Evolutions-Stufen

Innovationen durch Big Data? Welt-Macht!?
Das automatisch fahrende GOOGLE-Auto welches – ausgestattet mit z.B. 64 Lasern – die Umgebung in Echtzeit erfasst und auswertet und zusammen mit vorhandenem Datenmaterial wie Google Maps, Google Streetview kombiniert und das Auto „automatisch“ fahren lässt wird schon länger erprobt und hat bereits eine Zulassung erhalten in der USA in Nevada.
Google scheint ja wirklich nett zu sein ?! Dass dabei jedoch gleichzeitig die Fahrzeuge aktuelle Echtzeit-Daten direkt zurückspeisen zum „Daten-Kracke“ Google liegt auf der Hand und stärkt die Daten-Macht und Markt-Position weiter… Wird mal aus solchen Daten-Machten eine Welt-Macht wie die USA oder Russland?

Schutz in Mega-Datacenters oder Mega-Clouds? Die Nadel im Heuhaufen finden
In Anbetracht von Themen wie Big Data und gezielten Personen- und Firmen-Spionagen muss man ja beinahe darüber nachdenken ob künftig der „beste“ Schutz gegeben ist bei möglichst den grössten Anbietern mit den grössten Datenmengen welche dann schwerer auszuwerten wären aufgrund der Datenmengen (Datenmenge pro Zeiteinheit versus Auswertbarkeit durch Daten-Schnüffler – oder einfachere Analogie: Die Nadel im Heuhaufen finden) Auch hier geht es letztlich nicht mehr um Technologie-Fragen sondern um das persönliche oder firmen-relevante Risk-Management. Das Risiko ist allgegenwärtig und muss richtig klassifiziert / bewertet zu den richtigen Schlüssen / Vorkehrungen und Gegenmassnahmen führen. Und dies muss nicht immer zwingend auf technischer Ebene erfolgen.

Zitate:
«Voltaire sagte vor 200 Jahren, die Gedanken sind frei. Nun gilt scheinbar: ‚Die Gedanken sind frei zugänglich»

Weiterlesen