ICT-Audit und Controlling: Innovationen durch Risk-Management

audit

Kontrollen über Kontrollen = Bestandteil der unabhängigen Qualitätssicherung, aber auch echte Sicherheit ?
Seit Jahren entstanden immer mehr ICT-Kontroll-Methoden oder Vorgaben seitens der ICT-Industrie, Regulatorien oder auch seitens einzelnen Branchen-Verbänden.
Bei vielen Firmen in der Schweiz wurden meist seitens der Treuhänder, Revisions-Stellen, Auditoren oder des eigenen Verwaltungsrates an gewisse Standards angelehnte interne Kontrollsysteme (IKS) aufgebaut und eingeführt.
Viele dieser Kontrollsysteme bedienen sich an generischen und aber zum Glück auch an spezialisierteren Fragestellungen rund um ICT-Prozesse und ICT-Risk Management. Firmenvitale Prüfpunkte rund um z.B. ICT-Gesamt-Sicherheit, Datensicherheit, Datensicherungs-Prozesse, Social Engineering, Mensch als Sicherheits-Faktor 1, KnowHow-Transfer, Mitarbeiter-Eintritt / Mitarbeiter-Austritt, ICT Security Polices, Internet-Nutzungs-Richtlinien, Datenklassifizierungen etc. wurden mehr oder minder darin abgedeckt und dann aber vielfach dann „einfach abgehakt“
>> siehe auch anderer Artikel Sicherheits-Anforderung versus eigener Sicherheits-Sensibilität

Einige Firmen reagieren darauf und lassen sich durch externe Fachexperten eine Zweitmeinung bilden im Sinne eines Mehraugenprinzips bei dem zunehmend organisationskritischen ICT-Prozess-Bereich.

Gut orchestrierte Theorie- und Praxis-Anwendung schafft echter Mehrnutzen
Aus eigener jahrelanger Beobachtung und eigener Anwendung und Beratung in solchen ICT-Audits oder Zweitmeinungs-Abgaben erhärtete sich der Eindruck und Fakt, dass viele dieser Kontrollsystemen teilweise in gewissen kritischen Bereichen zu wenig tief oder zu wenig weit in der Tragweite gehen.
Die besten Expertisen und Audits sind immer solche, die Theorie (Methoden, Standards, Prozesse) und Praxis (Systemtechnik, Systemengineering, Automatisierung) auf der Basis von z.B. „Best Practices“ oder selber angewandten Prozessen abdecken.
Ein echter Mehrnutzen – und nicht nur eben das „Abhaken“ von theoretisch basierten Kontroll-Listen – kann entstehen wenn der ICT-Auditor gemeinsam mit den Systemverantwortlichen echte Schwachpunkte und Verbesserungs-Potentiale analysiert, testet und dann effektiv auch einführt. Hierzu gilt es, sämtliche Hands-On-Praxis und besten Erfahrungen von anderen Kunden, der eigenen Infrastruktur-Umgebung und von allen taktisch gut ausgewählten KnowHow-Trägern zu nutzen und massgeschneidert passend in die ICT-Organisation einzuführen. Daraus muss letztlich ein echter Mehrnutzen (und zwar nicht nur aus Sicht des ICT-Auditoren…) entstehen für z.B. die ICT-Organisation, ICT-Automatisierung, Führungs-Ebene und den Revisions-Stellen / Treuhändern und letztlich dem Risk-Management.

Performance- und Penetration-Tests
Es gibt viele Möglichkeiten, vorgegebene Sicherheits-Standards und Compliance-Vorgaben intern oder extern überprüfen zu lassen. Je nach Sicherheits-Anforderungen oder Vorgaben des IKS kann es nötig sein, erweiterte Test-Szenarien zu definieren und prüfen zu lassen durch die externe ICT-Serviceorganisation oder externe, darauf spezialisierte Dienstleister.
Auf dem Markt gibt es viele Anbieter und ab und an entpuppen sich preisgünstige Angebote als reine, simple Security Scans mit gängigen technischen Tools aber ohne weitergehende Ueberprüfung dahinter – mit auch Lerneffekten und best practices technischen Massnahmen als Gegenwert der Ueberprüfung.

Ansatz von Szenarientechnik und Herausforderungen von dynamischen Bedrohungslagen
Weitere Erfahrungswerte aus erlebten und gesehenen Krisen und Super-GAUs zeigten auf, dass das Spannungsfeld von Theorie und Praxis sich immer mehr akzentuierten in Richtung von angewandten Szenarien-Techniken im Bereich von Planung, Ueberwachung und Controlling.
Vermeintlich einfache Fragen wie zum Beispiel: (bewusst einige Beispiele für die Verdeutlichung)
„Was passiert ab wann bei einem Internet-Zugangs-Ausfall“
„Was passiert und wird eingeleitet bei einem Stromausfall welcher länger dauert als 1 Stunde ?“
„Welche Systeme und ICT-basierte Prozesse können wie weitergeführt werden bei einem Komplett- oder Teil-Ausfall der ICT-Systemumgebung“
„Zu welchem Zeitpunkt muss der Uebergangs-Betrieb mit welchen „analogen“ Prozessen oder auf dem „Papierweg“ weitergeführt werden und welche Kunden oder Organisationen (z.B. Zoll, Spedi, Transport, Behörden, Geschäftsleitung, Verwaltungsrat, Presse) müssen wie informiert werden“
„Wie lange kann die Prozess-Landschaft ohne ICT-Business Unterstützung (wenn überhaupt und wie?) funktionieren“
„Wieviele voll- oder halb-automatische System-Redundanz wird benötigt im Gesamt-System oder klassifizierten Teil-Systemen“
„Was für Zusatz-Massnahmen sind nötig für die aktuelle, dynamische Bedrohungslage gegenüber des neu bekannten Sicherheits-Problems xy“
„Können die eingesetzten Sicherheits-Infrastrukturen wie z.B. Internet-Firewall, Mail-Filterung, Content-Ueberwachung, Viren-Malware-Filterung etc. entsprechende brauchbare proaktive Alarmierungen oder Trends reporten und auswerten. Oder braucht es uebergeordnete Monitoring-Systeme?“
„Was ist das verlangte Service Level Agreement von externen Dienstleistern hinsichtlich Reaktions- (MTTR, Mean time to react) oder Reparatur-Zeiten (MTTR, Mean time to repair)“
„Was passiert wie schnell bei einem schweren Mitarbeiter-Datensicherheits- oder EDV-Nutzungs-Verstoss gemäss ICT Security Policy“
„Sind die Mitarbeiter genügend sensibilisiert, aufgeklärt und geschult zu Basis-ICT-Sicherheits-Prozessen“
„Was passiert wenn es mehrere Fehler gibt bei den Backup-Prozessen oder Backup-Wiederherstellungs-Prozessen“
„Was passiert ab wann bei einem externen oder internen gezielten Hacker- / Trojaner-Angriff“ „Gibt es ein Change Management fuer kontrollierte Systemaenderungen“
„Sind die eingesetzten EDV-Mittel genuegend dokumentiert und die entsprechenden Versicherungen / Versicherungssummen darauf korrekt ausgerichtet“
„Ist der KnowHow-Transfer bzw. Wissenstraeger-Abhaengigkeit genuegend geregelt und sichergestellt“
„Ist die physische Server-Raum-Sicherheit genuegend sicher fuer einfache Einbrueche oder Sabotagen“
„Ist die externe sichere Backup-Aufbewahrung sichergestellt“

Vielfach vergessen: Controlling des ICT-Vertragswesens und SLA / OLA
Ein sehr wichtiger und aber leider vielfach zu wenig dokumentierter Teilbereich identifiziere ich bei vielen auditierten Organisationen im Bereich des ICT-Vertrags- und Versicherungs-Wesens.
Um die Gesamt-Sicherheit und letztlich die System-Verfügbarkeit allumfassend beurteilen zu können, müssen auch die entsprechend klassifizierten Vertragsnehmer hinsichtlich deren Service Level Agreements (SLA) / Reaktionszeiten / Gewährleistungen geprüft werden.
Vielfach wird dann auch unterlassen, dass nebst den klassichen SLA-Betrachtungen teilweise auch übergeordnete sogenannte OLA (Operation Level Agreements) nach noch schärferen Kriterien und Reaktionszeiten abgeschlossen werden müssen damit die SLAs (interne oder externe) überhaupt abdeckbar sind. Etwelche Verträge oder Gewährleistungen sind mitunter aufgrund nicht passenden internen oder externen SLA / OLA eigentlich gar einhaltbar und würden weiteren Negativ-Punkte in einem detaillierten ICT-Audit oder IKS abgeben.

Immer wichtigerer Teil-Aspekt legale Software-Nutzung und Software-Lizenzierung
Der Kunde ist verantwortlich für die lückenlose Lizenzierung sämtlich eingesetzter Software, Tools auf seinen genutzten Umgebungen vor Ort oder auf den Cloud-Plattformen des Cloud-Services-Dienstleister. Der Kunde bewahrt die entsprechenden Lizenz-Keys, Lizenz-Papiere, Volumen-Lizenzen-Informationen / Zugänge oder anderweitige Belege auf und übermittelt diese zu Beginn der Zusammenarbeit als z.B. Scan oder Mail an den ICT-Support- oder Cloud-Services-Dienstleister für den Lizenz-Nachweis und Dokumentation.
Lokale Lizenzenänderungen sind ebenfalls entsprechend laufend zu melden.
Als speziell genannte Beispiele für die kundenseitige Verantwortlichkeit gehören hierzu z.B. Microsoft Office, Microsoft Windows, Microsoft Server Palette, Datenbanksoftware, Apps, Virenschutz, Grafikbearbeitung, CAx, Entwicklungsumgebungen, Microsoft Volumen-Lizenzen und allfällig zusätzlich benötigte Client-Zugriffs-Lizenzen.
Der Kunde informiert sich bei Unklarheiten zur lokalen Lizenzierung in dessen Umgebung / Netzwerk / Domaine / Arbeitsgruppe (z.B. Upgrade- / Down-Grade-Rechte, Versionen, Anzahl benötigter Lizenzen etc.) proaktiv und direkt bei dessen Softwarelieferanten. Der ICT-Support- oder Cloud-Services-Dienstleister kann ihn hierbei (meist kostenpflichtig) unterstützen.
Aufwändungen für allfällige Lizenzen-Audits / Dokumentationen / Abklärungen / Besprechungen seitens der Software-Lieferanten wie z.B. Microsoft sind in jedem Fall kostenpflichtig und nicht abgedeckt seitens der ICT-Support- oder Cloud-Services-Dienstleister.
Der Kunde nimmt explizit zur Kenntnis, dass bei allfälligen Lizenzierungs- / Rechts-Verstössen der Kunde rechtlich direkt belangt würde seitens der Software-Lieferanten wie z.B. Microsoft und der ICT-Support- oder Cloud-Services-Dienstleister hierauf keinen Einfluss hat.
Spezielle Cloud-Services-Lizenzen welche der Kunde je nach Vertrag durch seine Services mietet und separat bezahlt via a) dem Microsoft SPLA-Agreement oder b) Microsoft Online Services (z.B. Office 365, MS Azure, Windows Intune) oder c) Volumen-Lizenz-Verträgen werden vielfach seitens der ICT-Support- oder Cloud-Services-Dienstleister verwaltet und monatlich reported. Allfällige Änderungen bei diesen gemäss separater Vertrags- und Verrechnungs-Positionen gemieteten Software, Benutzerzahlen, Versionen sind unverzüglich an den ICT-Support- oder Cloud-Services-Dienstleister zu melden für die lückenlose und genaue Lizenzen-Reporting-Anforderung.
Auch hier ist es vielfach so, dass Ueber- / Unter-Lizenzierung zu grossen negativen oder positiven Potentialen führen kann in den Bereichen wie Kosten, rechtlichen Angriffsflächen oder letztlich Compliance-Themen.
Es gibt einige auf SAM (Software Asset Management) spezialisierte Firmen, Dienstleistungen und Tools die (lieber vor…) während einem Audit eingesetzt werden können.
Vielfach entstehen vorallem in der heutigen Bandbreite der Lizenierungsoptionen nennenswerte Innovationen im Lizenzierungsbereich z.B. reine Miete, Miete-Kauf, günstigere Kauf-Optionen und auch Lizenzierung mit weitergehenden Zusatzservices und Zusatzrechten (wie Office365 für den Bereich der Office-Lizenzierung oder Windows Intune für den Bereich der Windows- und Endpoint-Protection-Lizenzierung)

Innovationen durch Audits und Risk-Management
Die Erfahrung zeigt, dass durch das proaktive Anwenden und Akzeptieren von gemeinsam definierten Prozessen oder IKS – mit eben auch Blick nach vorne oder auf neue adaptierbare Technologien und Methoden – durchaus auch Innovationen entstehen in einer solchen fortwährenden Transformation in eine Art „Business Excellence in der ICT“.
Dies auch unter dem Aspekt, dass sich mehrere Sichten, Bedürfnisse, Expertisen und Erfahrungswerte vereinen und das „möglichst Beste aus der Praxis und Theorie“ einbringen in dann ein echtes und vorallem dann angewandtes IKS / Audit-System.

100% Sicherheit gibt es nicht – der Rest ist reines Risk-Management und nicht Technologie
Diverse Ansätze / Methoden / Compliance Anforderungen wie z.B. Business Recovery System (BRS), Disaster Recovery Tests, Contingency Plan, IKS oder Prozesse nach CobIT, ITIL, ISACA, ISO, IEC27001, IEC17799, SOX, IT GSHB können schon sehr viel an generischen Risiken und entsprechenden Gegenmassnahmen abdecken. Jedoch sind diese eben „nur generisch“ und müssen massgeschneidert an die effektive Firmen-ICT-Prozesslandschaft angewandt und an die ICT-Teilziele der Firmen-Gesamt-Strategie angelehnt werden.
Es bleiben immer Rest-Risiken übrig welche im Risk-Management abgebildet werden müssen.
Innerhalb des Risk-Management-System geht um einen laufenden Loop von „Erkennung“, „Bewertung und Klassifizierung“, „Managen“ und „Ueberwachung und Kommunikation“
Ich neige bei vielen Controlling-Systemen und Audits zu sagen: „Das ist vieles abdeckbar mit Prozessen, ICT-Technologien und vorallem Tests. Die anderen Rest-Risiken gehören ins Risk-Management und haben nicht mehr ausschliesslich was mit ICT-Technologie zu tun. Sicherheit ist keine reine Technologie-Frage sondern eine Kombination von wiederkehrenden Prozessen in einem Gesamt-ICT-Audit-System“

ICT Transformation + Innovation = (Hybrid)Cloud2

 

hybrid-cloud
Im Spannungsfeld der Möglichkeiten und Bedürfnissen von EDV- / Cloud-Services und Anwendern ist eine gemeinsame Bereitschaft zur Transformation nötig

EDV-Lösungen / Cloud-Services und EDV-Organisationen mit deren derzeit gegebenen Services werden zunehmend gefordert von z.B. auch den EDV-Anwendern selber. Hierbei spielen Fach-Themen wie z.B. ByoD (Bring your own Device), PcIT (People centric IT), Consumerization oder nicht immer mit den Firmen-Regeln vereinbare Anwender-Anspruch an z.B. Webmail, Daten-Synchronisation (z.B. Dropbox, iCloud, OneDrive), Social Media (z.B. Facebook, Twitter, Skype, Xing, Blog) oder offener Firmen-Internet-Zugang gewichtige Rollen.

Die zunehmend gewünschte Verschmelzung von den unterschiedlich genutzten Geräte- / Form-Faktoren wie Firmen-PC, HomeOffice-PC, Ultrabook, Tablet, Smartphone sind weitere Treiber dieser Entwicklung und den mittlerweilen entsprechend grossen Angeboten von Cloud-Services, Apps und Geräten. Neuere und intuitivere Bedienungskonzepte, Software-/App-Generationen mit verschmelzenden Bedienungsoberflächen und künftig immer weniger Betriebssystem-Versionen (z.B. noch 1 Betriebssystem auf allen genutzten Geräten …) eröffnen ein riesiges weiteres Innovations-Potential.

Der entsprechende „Wandlungsdruck der Informatik“ – nennen wir es mal „Transformation“ – in ein neues Informatik-Zeitalter mit jeweilig an die Firmenstrategie orientierte ICT-Strategie hält schon länger an. Auch hier ist die Führungsebene in der unveränderten Pflicht, den Informatik-Bereich in dieser Transformation zu unterstützen oder deren Entscheide zu prägen / steuern oder auch kritisch zu hinterfragen. ICT wird vielfach leider immer noch als reine Kostenstelle und leider nicht als strategischer, innovations-treibender Vorteil gegenüber Mitbewerber betrachtet.

Viele EDV-Organisation aber auch deren EDV-Anwender sind entsprechend noch längst nicht auf (oder in) irgendeiner „Wolke 7“ bzw. nutzen die bereits jetzt vorhandenen bestehenden Möglichkeiten der jetzigen EDV-Prozessen mit „angezogener Handbremse“ zulasten der Arbeits-Effizienz und Flexibilität / verlangten Mobilität.

Das strukturierte, meist langfristig statische ICT-Management, Prozesse, Standardisierung und auch Mitarbeiter-Schulungs-Stand steht vielfach im Widerspruch zu der gängigen Ansicht der Anwender, dass viele neue Funktionen oder Cloud-Services „einfach“, „schnell“ per „plug and play“ etabliert werden können.

Das gemeinsame zu vereinbarende Ziel dieser unterschiedlichen Ansichten, gegebenen Möglichkeiten, Lieferanten – und im Mittelpunkt stehenden Anwendern – sollte in Richtung einer passenden ICT-Transformation mit auch einem sinnvollen Mass an ICT-Innovation gehen. Ein entsprechend nachhaltiger – mitunter auch „mutiger“ innovativer – Mehrwert muss realistisch erreichbar sein mit allen beteiligten Anwendern, Prozessen und bestehenden zu optimierenden oder neuen Systemen. Die entsprechende Schulung von Anwendern, speziell auch der Sensibilisierung zur aktiven Mitarbeit im Thema Sicherheit und Know-How-Transfer zwischen internen und externen Services-Lieferanten ist dabei ein entscheidender Teil-Faktor um nicht in eine firmen-kritische Abhängigkeit von Personen oder Services zu geraten.

Eine zu transformierende ICT-Umgebung muss in aller „begeisternden Euphorie“ beherrschbar bleiben für die Service-/Support-Organisation. Dabei gilt es firmen-vitale Fach-Aspekte sauber zu definieren, zu dokumentieren und kontrollierbar zu halten wie z.B. Sicherheit / Datenschutz, Security Policies für Mitarbeiter, Prozesse, Risk Management / IKS, Audit / Compliance, Business Support, Disaster Recovery / BRS.

Letztlich sollte auch ein neues internes oder externes Service Level Agreement (SLA, OLA) massgeschneidert vereinbart werden. Rechtliche Unklarheiten oder Unsicherheiten mit z.B. externen (Cloud)Services sind bei Bedarf speziell abzuklären und in die Vertrags- / SLA-Definitionen zu integrieren. Je nach vorhandener oder künftiger angestrebter Qualitäts-Sicherung (QM,TQM) können hier auch erweiterte Service-Management-Aspekte von z.B. ITIL oder CMDB (serviceorientierte Configuration Management Datenbank) eingeführt werden.

Infolge der zunehmenden Granularität und Verteilung der (Hybrid)Cloud-Services ist es ratsam, spezielle Massahmen in in den Bereichen Technologie und Prozessen zu etablieren. Hierzu gehören auch spezielle Massnahmen in der Mitarbeiter-Sensibilisierung durch Informationen und Schulungen gegen die sehr dynamischen Bedrohungslagen/ Cyber-Security in Nutzungs-Themen wie z.B. Internet, Email, Webmail, Social Media, Datenschutz, Datenaustausch, Smartphone-Einsatz, HomeOffice-Nutzung, Spam-Problematik und letztlich Social Engineering (einfach gesagt gezielte Attacken / Sicherheitsprobleme via/durch Mitarbeiter).

Migrationen und Transformationen bieten auch Chancen für weitere Standardisierungen, Homogenisierung, Innovationen und Weiterentwicklungen in Prozessen. Neuere, laufend weiterentwickelte (Hybrid)Cloud-Services wie nur schon neue, bisher ungenutzte Produkte-Funktionen, prozess-orientierte Dokumentenmanagementsysteme (DMS), Business Intelligence (BI, Big Data / Data Mining) oder Enterprise Social Media können hierbei weitere wertvolle und effizienz-steigernde Mehrwerte generieren in der Prozesslandschaft.

Viele ICT-Serviceorganisationen erkennen darin letztlich auch Chancen als eine Art „Überlebensfaktor“ im Vergleich zu anderen internen oder externen Mitbewerben oder Cloud-Lösungen. Hierbei werden zunehmend auch externe ICT-Coaches, „Cloud Solution Experts“ oder „Solution Brokers“ konsultiert für „Das Beste aus den Clouds“ bzw. „Hybrid Cloud Lösungen“.

Die auch durch Cloud-Services verbundene zunehmende “Entgrenzung der Arbeit” (Stichwort: Arbeit nicht nur innerhalb der “Firmengrenzen” mehr sondern eben überall und wiederum “Hier und Jetzt”) verlangt natürlich auch entsprechende definierte ICT-Weisungen, ICT-Sicherheitsrichtlinien und ICT-Controlling-Mechanismen für z.B. Compliance / Datenschutz innerhalb von z.B. IKS (Internes Kontrollsystem) oder QM-Prozessen.

Nichts ohne ICT-Strategie!
Dass dabei diese neue Arbeitsform und letztlich “Business-Support durch ICT” definiert und gestützt werden muss innerhalb der anzupassenden oder zu etablierenden ICT-Strategie liegt auf der Hand. Die ICT-Strategie ist entsprechend aufgrund des zunehmend firmen-vitalen ICT-Prozesses abzuleiten von der jeweiligen Firmen-Strategie. Relevant ist auch, dass seitens der Führungs-Ebene diese ICT-Strategie und deren Auswirkungen pro-aktiv unterstützt und laufend traktandiert werden. Hierbei wird endlich und zurecht dem ICT-Prozess nicht nur ein reiner Kosten-Faktor hinterlegt in der Gesamtverantwortung sondern eben auch eine adäquate Firmen-Vitalitäts-Bemessung.

Gemeinsam mit allen Beteiligten und festgehalten in der ICT-Strategie könnte dann ein laufendes, übergeordnetes Ziel der ICT ins Auge gefasst werden in Richtung von selbsterklärenden Begrifflichkeiten wie „Reducing, Unlocking, Accelerating, Benefit“.

Moderne, attraktive Arbeitsplätze – mit verbessertem ICT-Business Support – sind zunehmend auch positiv wirkende Faktoren bei der Personal-Rekrutierung im ausgetrockneten Fachkräfte-Arbeitsmarkt und letztlich der Arbeitgeber- / Arbeitsplatz-Attraktivität.

Der Trend der künftigen Arbeitweise zeigt zunehmend auf eine dynamische Projektarbeit im Gegensatz zum bisherigen starren Aufgabenbereich. Für diese Dynamik werden auch entsprechende Werkzeuge und Technologien benötigt von modernen Cloud-Umgebungen.
Die Mitarbeiter-Kultur und Projekt-Strukturen werden sich entsprechend anpassen und die Mitarbeiter-Team-Zusammensetzungen in den Projekten werden gezielter mittels ausgewählten „Wissens-Projekt-Arbeiter“ gezielt zusammengesetzt.
Der laufende interne KnowHow-Transfer und proaktive Informations-Austausch – unterstützt mit Austausch-Begegnungsmöglichkeiten auf Enterprise Social Media Plattformen oder an Meetings / Events – wird dann eine der wichtigen Aufgaben für die Führungsebene werden für die Motiviations- und Retensions-Bemühungen vom Human-Kapital.
Diese wohl zu dosierende Form wird auch den Arbeitsort und Arbeitsplatz der Projekt-Mitarbeiter mittelfristig prägen und flexibler machen.

Wenn sich dann letztlich alle Betroffenen zu auch aktiven motivierten Beteiligten (Mensch und Maschine) transformieren lassen entsteht ein gemeinsamer Konsens und die Organisation ist dann sozusagen „ready to transform / to (hybrid)cloud2“ mit echtem Mehrnutzen und Nachhaltigkeit – bei maximierten “Business-Support durch ICT.

>> Siehe daraus publizierter Artikel im „Management Magazin“ von SIA Schweizerischer Ingenieur und Architekten Verein
Management-Magazine_3_2014_GER_FRA

>> Siehe daraus publizierter Artikel / Gast-Kolumne „Rigi-Anzeiger“
Artikel-Rigianzeiger-Hybrid-Cloud-Transformation-Kolumne-2014_05_02

http://rigianzeiger.ch/transformation-in-ein-neues-informatik-zeitalter/

ICT-Business Support-Prozesse und Transformation in der Bauwirtschaft und Baulebenszyklus

bauinformatik_nextgen_ict_bauprozess

Alt bewährt – in Stein gemeisselt – aber noch zeitgemäss ?
Auf meinem ersten Bildungsweg in den Bereichen Bau-, Bauinformatik und Immobilien wurde noch viel mehr „analog“ aber mit „eigenem Köpfchen ohne dutzende von fehlerkorrigierenden digitalen Helfen im Hintergrund“ geplant und gearbeitet am Reissbrett, auf Skizzen, auf Plaupausen, Handnotizen, Baustellen-Rapporten, mit Schreibmaschine verfassten Werkverträge, handgeschriebenen Leistungs-Ausmassen oder Submissions-Unterlagen.
Die Mentalität von schnell was machen und ansonsten wieder zurück mittels „Zurück-Befehlen in Programmen“ gab es damals noch nicht. Komplexere Planelemente oder grafische Grundelemente wie nur schon einfache Linien von A nach B waren nicht gerade „in Stein gemeisselt“ aber fanden mittels Tintentusche eine permanente Druchdringung des verwendeten Planpapiers und mussten mühsam (wenn die Anzahl der Korrekturen dies überhaupt zuliessen je nach Dicke des Papiers …) weggekratzt oder wegradiert werden. So war die Art und Weise des täglichen Planungs- und Arbeit-Prozesses in den vielen Planungs- / Ingenieur- und Architektur-Büros und auch Baustellen-Büros eine fundamentale andere als der heutige mittels EDV-Unterstützung.

Bauinformatik per Lochkarte und 5.25″ Diskette
Es gab sie damals: die sagenumwobenen Monstermaschinen mit den super-ergonomischen Röhrenmonitoren und der grünen Schrift auf schwarzem Hintergrund welche vielfach genutzt wurden für Baustatik und Berechnungen.
Aber auch hier: eine entsprechende Statik-Berechnung musste – man staunt – schon vor der mehrstündigem Berechnungs-Lauf-Prozess sauber durchdacht und vorsimuliert sein im Kopf oder auf dem Papier. Mehrere Fehler durfte man sich nicht erlauben aufgrund der Laufzeiten, Lieferfristen und beschränkter Verfügbarkeit der Maschinerie. Auch musste man dann jeden Rechnungslauf sauber eintragen in einem Papierprotokoll für die interne und externe Abrechnung… Kaum mehr vorstellbar was das abgebildet auf den heutigen Umgang mit der EDV zur Folge hätte.

Planung und Verantwortung – ohne digitale Helfer wie Notebook, Smartphone, Internet, CAD, Projektprogramme
Das methodische, logische Vorgehen und vorallem das „zu Ende Denken“ mit allen Konsequenzen und darauf resultierenden Verantwortung prägte die Arbeitweise und letztlich den damaligen Bauprozess.
Ein „Gut zur Ausführung“ eines Planes oder ein vor Ort auf der Baustelle / Immobilie erteiltes „OK“ war nicht mehr so schnell korrigierbar ohne Smartphone, ohne Internet, ohne Email. Die Arbeit war viel bewusster und nachhaltiger. Es gab – im Gegensatz zu den heutigen Programmen – keine „Trial and Error“-Moeglichkeit mit einfachen Vor-Simulationen oder 3D-Visualisierungen – die Schritte mussten sozusagen auf Anhieb sitzen.

Digitalisierung des Bauprozesses mit Bauinformatik und Schnittstellen
Zunehmend hielten PCs / Macintoshs Einzug in die Planungsbüros und blieben nicht nur den Architekten, Ingenieure oder Büroinhaber vorbehalten sondern auch die Zeichner / Konstrukteure und zum Glück auch Lehrlinge durften davon profitieren in der Firma und in den Ausbildungsstätten. Modernere Software-Generationen für die Auftragsbearbeitung, Leistungserfassung, Ausschreibung, Werkvertragswesen, Abrechnung folgten zugunsten der weiteren Digitalisierung des Bauprozesses und letztlich des Business-Supports durch ICT.
Die unterschiedlichen CAD- und Auftragsbearbeitungs-Software verlangten nach standardisierten Schnittstellen und Austauschformaten für den Datenaustausch zwischen den Projektbeteiligten und zwischen den unterschiedlichen Software-Anbietern.

Die Planungs- und Leistungsbeschriebs-Unterlagen wurden datentechnisch „um Dimensionen“ erweitert mit 3D, Layers, standardisierten seitens Hersteller gelieferten Bibliotheks-Elementen, Kosten und letztlich einer Explosion von Datenzuwachs. Wie wir schon in der Wirtschaftsinformatik lernten stellte sich genau hier die Grundsatzfrage „Wann und mit welcher Business-Logik werden aus Daten verwertbare Informationen?“

Nichts ohne Standardisierungen und Normierungen
In meiner unverändert laufenden Tätigkeit seit über 13 Jahren in der Kommission für Informatik und Normenwesen beim Schweizerischen Ingenieur- und Architekten Verein http://www.sia.ch durften wir entsprechende schweizerische Normen / Merkblätter / Empfehlungen für die Fachbereiche wie CAD, Datenaustausch, Prozesse erarbeiten und verabschieden in verschiedenen Arbeitsgruppen und Publikationen.
Eines der grössten Spannungsfelder war die Tatsache, dass in der normativen Fachlehre meistens „zurück geschaut“ und „darauf basierend definiert“ wird auf das jahrelang Bewährte und wir uns konfrontiert sahen, genau diesen bisher üblichen Blick auf Jahre oder gar Jahrzente alte Normen / Standards in die entgegengesetzte Richtung in die Zukunft zu fokussieren und Widerstände zu überwinden in die Richtung der „Akzeptant mit fachlicher Penetranz“
Wir mussten auch feststellen, dass auch aufgrund einiger verstaubten Normen und Merkblätter schon einige grössere Firmen, Softwareanbieter oder professionelle Bauherren eigene, interne Standards etabliert hatten aus der Dringlichkeit und der fortgeschrittenen Entwicklung des Bauprozesse.

Bau-Industrie-Standards wurden reformiert – EDV-Standards schon länger
Einige Industrie- und SIA-Normen / Standards / Schnittstellen wie z.B. SIA 451, DXF, CAD-Merkblätter, NPK, BKP, eBKP bedurften einer Reformation auf prozess-mässiger und auch technologischer Ebene unter Berücksichtigung möglichster aller Verbände und Interessen-Gruppen wie auch Bauherren, Generalunternehmer, Immobilien-Bewirtschafter, Investoren, Banken.
Der Wandlungsdruck auch vom europäischen Einflussbereich der CEN-(DIN)-Normen hielt auch hier Einzug und es mussten immer mehr Interessen abgewägt und abgedeckt werden auf einer möglichst neutralen und produkte-neutralen, strategischen Ebene – aber immer wieder und zunehmend unterstützt und automatisiert durch Bauinformatik.

Transformations-Hemmnisse verhinderten aktiven Teilnahme und Optimierungs-Potentiale
Auf meinem zweiten Bildungsweg in den Bereichen Wirtschaftsinformatik / Engineering / Internet-Technologien sprach man schon Ende der Neunzigerjahre z.B. von „reformierendem“ Outsourcing / Application Service Providing (ASP) und andere Branchen transformierten sich bereits damals oder schneller in diese Richtung. Die Baubranche bzw. die damaligen noch bestehenden Abhängigkeiten von älteren sogenannten Legacy-Systemen, internen Standards oder nicht einfach so migrierbaren EDV-Prozessen verhinderten damals die grossflächige Teilnahme in dieser fortschreitenden Industrialisierung mit sich damals etablierenden neuen EDV-Standards. >> siehe separater publizierter Artikel

Akzeptanz und Verbreitung – beginnend bei der Ausbildungs-Pyramide
Die Verbreitung und Anwendung von neuen Normen / Standards und business-unterstützenden ICT-Prozessen waren nur sinnvoll und nachhaltig zu etablieren via der mehrstufigen Ausbildungs-Pyramide (Ausbildung, Weiterbildung etc.), der Verbreitung via Fachverbänden und dies begleitet mit den entsprechenden Merkblättern und Normen. Diese verzögerte Verbreitung und der Widerstand von bereits eigens etablierten Standards stellte eine weitere Herausforderung dar in der sich stetig verändernden Halb-Werts-Zeit des Fachwissens und der entsprechenden Akzeptanz und Adaptions-Müdigkeit.

Unterstützungs-Prozesse wie ICT, Normen-Adaptionen, Standard-Etablierungen – zu unrecht als reiner Kostenfaktor / zu recht als Nicht-Top-Prio der Nachfolgeregelung betrachtet
Jahrzentelang wurden entsprechende hochgelebte Standards teilweise aus unberechtigter Angst vor Zusatzkosten / neuen ICT-Prozessen oder Kontroll-Verlust am Leben erhalten und neue Chancen und Innovations-Potential verpasst.
Es schien beinahe unmöglich zu sein, die heiligen internen Standards / Prozesse / Vorlagen für Pläne / Leistungsverzeichnisse / Werkverträge / Bibliotheken zu ändern aufgrund auch von teilweise konzeptionell falsch aufgebauten Basis-Sets und Definitionen welche auseinanderbrechen zu drohten. Meinungen und Aussagen wie z.B. „Funktioniert ja alles und wir bauen seit Jahren so“ und „Uns fehlen die gesamtschweizerischen etablierten Standards und das Einführungswissen für eine strukturierte, effiziente Umstellung“ war dann eine gängige Ausprägung dieser Transformationsmüdigkeit.
Viele der betroffenen Organisationen befanden sich zusaetzlich auch in einer Uebergangslösung oder Phase der Nachfolge-Regelung seitens der Firmen-Inhabern und verständlicherweise waren vielfach die Prioritäten derweil anders gesetzt.

Der ganze Bau-Lebenszyklus wurde zunehmend voll-digitalisert
Entlang des ganzen Bau-Lebenszyklus mehrten sich zunehmend mehr professionell, monetär orientierte Interessen-Gruppen wie Investoren, professionelle Bauherren, Immobilienbewirtschafter, Gesamt-Systemanbieter und Banken / Versicherungen.
Die prozess-technischen und technologischen Anforderungen an die Outputs / Inputs aller Projektbeteiligten wurden komplexer und dynamischer und der entsprechende Minimal-Standard als an diesem Bauprozess teilnehmendes Unternehmen stieg rapide an.
Die eingeläutete (R)Evolution wurde begleitet von einer Reihe von neuen Produkten, Prozessen und Normen / Merkblätter. An der Baurationalisierung waren diverse Institutionen, Verbände und auch Firmen / Organisationen wie der SIA http://www.sia.ch und CRB http://www.crb.ch aktiv beteiligt.

Konzentration auf die Kernprozesse und Outsourcing von Supportprozessen
Der zunehmende Komplexitäts-Grad des Gesamt-Prozesses und Lebenszyklus verlangte nach interdisziplinären Zusammenarbeiten und teilweise auch auf Konzentrationen auf Kernkompetenzen und Hochspezialisierungen in Teilbereichen.
Hierzu wurden auch vermehrt für solche Supportprozesse entsprechend externe Berater / Systeme / Support hinzugezogen um das „Beste von Allem“ zu erhalten und nutzen zu können.
Hierzu gehörte auch der Bereich der Informatik >> siehe separater publizierter Artikel

Nächste Generation der digitalen Baurationalisierung
Neuere vielversprechende und visionäre Standards in Richtung BIM (Gebäudedatenmodellierung) stellen weitere Herausforderungen und riesige Potentiale dar.
Es bleibt zu hoffen, dass hier die entsprechende Wandlungsbereitschaft und Adaptierungsgeschwindigkeit rascher und effizienter erfolgen kann mit möglichst allen interdisziplinär zusammenarbeitenden Interessengemeinschaften und unter den Vorgaben und Vorarbeiten von der internationalen Organisation buildingSmart und dem offenen Standard openBIM. Das Basisdatenmodell IFC (Industry Foundation Classes) zur digitalen Beschreibung von Gebäudemodellen weckt grosse Hoffnung, dass der digitale Informationsfluss während des ganzen Lebenzyklus eines Bauwerkes weiter (r)evolutioniert wird.

Visionen und Chancen – ueber Big Data und Cloud zum gemeinsamen Erfolg
Rund 70% der schweizerischen Bauwerke sind aelter als 30 Jahre und stehen vor baldigen Umnutzungen, Renovationen oder gar Neubauphasen. Es bleibt zu hoffen, dass diese riesige Menge an zu erhebenden Daten für z.B. Renovation, Altlastensanierungen, Umnutzungen in wenigstens minimaler Detaillierungsstufe vorhanden sind und genutzt werden können … Es ist eher was Anderes zu erwarten … und genau kann man die Schwierigkeiten und Herausforderungen erkennen.
Meine persönliche Vision ist, dass man künftig z.B. zu jeder Zeit des Entstehungs- und Nutzungs-Prozesses entlang des Lebenszyklus zugreifen kann auf zentral (z.B. Immobilienbewirtschafter) oder dezentral (z.B. Baustoff- oder Bauteil-Lieferanten) gehaltene Informationen von Bauwerken.
Weitere Entwicklungen in den Bereichen wie „Internet of things“ bei welchem jedes Gerät künftig vernetzt und integriert werden kann in Facility Management Systemen oder nur schon in einer einfachen Heim-Vernetzung ermöglichen weiteren Innovationen und Potentiale.

Potentielle Einsatzmöglichkeiten von Big Data / BIM-Anwendungen
Folgende Use Cases sehe ich persönlich als Beispiele:

– Ein Planungsbüro, Baustellenbüro wird viel flexibler bei der Einrichtung und Unterhalt von stationären oder mobilen Arbeitsplätzen für die Mitarbeiter oder Projekt-Ausführungsorte. Der Mobile Workplace wird spätestens dann vollumfassend realisierbar und effizient nutzbar.
Die Arbeitsweise wird zumindest dann technologisch (r)evolutioniert und kann dann mit passenden Best Practices Anwendungen oder massgeschneiderten Prozessen (passend auf die jeweilige Organisation) ausgeschöpft werden.

– Ein Kalkulator, Projekt-/Bau-Leiter, Projektcontroller hat schon waehrend der Bauphase laufende Rueckmeldungen seitens z.B. der mobilen Leistungserfassung in die Kostenrechung, Nachkalkulation und immer wichtigerer Kostenplanung und Steuerung.

– Ein Immobilien-Verwalter kann während einer Objektbesichtigung mit dem Eigentümer direkt per Smartphone / Tablet / Notebook auf Pläne, Uebergabeprotokolle, Dokumentationen, Wartungs-Kontroll-Listen, Anleitungen zu eingebauten Geräten, Kennwerten, Messwerten vom Facility Management System oder Energie- / Verbrauchskosten zugreifen und direkt z.B. Reparaturaufträge, Aufträge an Hauswärte oder Dienstleister verwalten und erteilen.

– Eine  Immobilien-Bewertung oder Immobilien-Sanierung kann mittels Zugriff und Uebersicht auf Baumaterialien, Altlasten, Hersteller-Informationen oder ganzen Bauteilgruppen dazu beitragen die Kosten- und Ausführungs-Planungen stark zu optimieren.

– Ein Architekt oder Fachplaner kann auf einen Klick ermitteln welche Baustoffe, Bauteile, Bauelemente oder Geräte  in welcher Anzahl und Qualität verbaut werden oder wurden – mit auch seitens Produzenten online aktualisierten Werten zu z.B. Seriennummern, Chargenummern, Rezepturen, Produktedokumentationen, Nachweisen, CO2-Werten, Produkte-Haftpflicht-Themen.

– Expertisen rund um bauphysikalische, baubiologische oder bautechnische Beurteilungen werden mittels zugänglichen Basisdaten zu Bauteilen / Werten / Baustoffen / Pläne unterstützt.
Ergebnisse und Empfehlungen zum untersuchten Objekt könnten rückfliessen in den Bauobjekt-Datensatz für künftige Weiternutzung und History.

– Sanierungen oder Rückbauten wären mit guter Informationsbasis genauer planbar in den Bereichen Planung, Kosten, Ausführung oder Altlasten-Sanierungs-Massnahmen.

– Versicherungs- / Schadenfall-Abklärungen würden effizienter und genauer.

– Ein Service-Dienstleiter fuer z.B. Klima, Aufzuege, Heizung, Solaranlage, Smart Metering sieht sofort – oder via Gebaeudeleit-System / MSR – welche Elemente fehlerhaft oder defekt sind oder aufgrund von z.B. Serienfehlern ersetzt oder nachgebessert werden muessen.
Nebst dem zentral abrufbaren Elemente-Kataloges eines Objektes könnte man auch gängige Industrie-Standards wie RFID / NFC nutzen um direkt vor Ort entsprechende freigegebene Informationen zu einem Bauteil abrufen zu können.

– Ein Fensterbauer, Küchenbauer, Sanitäreinrichter, Schreiner kann innerhalb von Renovationen / Umbauarbeiten auf Basis-Datensaetze des urspruenglichen Werkvertrag-Vertrags-Unternehmers und dessen eingesetzten Elementen und Modulen zugreifen fuer eine effizientere Offertstellung, Kalkulation und Ausfuehrung.

– Ein Zimmermann, Holzbauer, Fassadenbauer hat Zugriff auf Plaene, Nachweise, Berechnungen fuer die Renovationsarbeiten.

– Ein Bauherr oder Investor oder Facility Management Dienstleister (FM) kann zugreifen auf seitens Gebäude-Sensorik unterstützten Key Performance Indexes (KPI) zur Erhebung von z.B. Performance-Beurteilungen, Wirtschaftlichkeitsberechnungen, Zinsberechnungs-Nachweisen oder Steuernachweisen.

– Statistiken und Erhebungen seitens Bund, Behoerden und Ämter sind autonom – selbstverstaendlich mit zuvor wissentlich freigegebenen und so klassfizierten Daten-Teilbereichen (z.B. XML, IFC, Metadaten oder ganze Datensaetze, Plaene, Dokumente) – bedienbar fuer weitere Kostenoptimierungen auf Seite des Bauherren, Bewirtschafters und Behörden.

– Bewilligungsverfahren bezueglich Kosten und vorallem Durchlaufzeiten koennten stark optimiert und vereinfacht werden auf Seite des Bauherren, Planer und Bauamt.

– Bei der Bauobjekt-Nutzungsphase sind sehr viele Visionen und Technologien auf dem Markt verfügbar in Richtung „Betreutes Wohnen für z.B. ältere Menschen welche länger in den eigenen 4 Wänden anstelle in einem Pflegezentrum verbringen wollen“, intelligentes Wohnen, kommunizierende Haushaltsgeräte für automatisches Ordering von z.B. Service, Bestellungen, Reparaturen und dergleichen. Auch hier kommen die Visionen und Ansätze „Internet der Dinge“, „Fiber to the home (ftth)“ und letztlich „totale Haus-Vernetzung“ zum Zuge.

Qualitätssicherung
Letztlich und zusammengefasst entsteht eine bessere Qualität des Gesamten – unterstützt mit qualitativ und massgeschneidert aufbereiteten, zentral konsolidierten Informationen. Während des gesamten Baulebenszyklus wird dadurch auch die Qualitätssicherung optimiert und beherrschbarer.

Sicherheit ist gewährleistet und definierbar
Selbstverstaendlich waere dann in einem solchen System sehr klare Richtlinien und Einstellungsmoeglichkeiten unabdingbar fuer einen restriktiven Datenschutz zugunsten der Sicherheit. Die Klassifizierung von Daten fuer z.B. Public (Behoerden, Bund, Statistik) oder Private (Eigentuemer, Bewirtschafter, Datenmanager, Servicedienstleister) wuerde dies technisch und zentral ueberwachbar unterstuetzen.

10 Jahre Aufbewahrungs-Pflicht und revisionssichere Archivierung
Im weiteren waeren dann auch Themen der 10 Jahre Aufbewahrungspflicht von auftrags- oder system-relevanten Informationen abgedeckt. Dabei waere dadurch neu auch die revisionssichere Archivierung realisierbar.

Eine Art „Building Smart Cloud“ – auch zur Unterstützung der „Cleantech“-Zukunft
Letztlich wird man basierend auf diesen einzelnen Use Cases schnell erkennen, dass ein künftiges System welches auf einem intelligent orchestriertem Cloud-System basiert, eine schier unbegrenzte Anzahl von Potentialen erschliesst oder Nutzungsformen unterstützt z.B. von mobile Worklpaces, Apps, Webservices, Cloud, Big Data.
Durch solche optimierte Prozesse und auch Unterstützung der Automatisierung in der Bauindustrie entlang des ganzen Lebenszyklus werden auch Ansätze von „Cleantech“ gefördert und/oder gar ermöglicht durch die Einsparmöglichkeiten in allen Bereichen des Gesamtaufwandes / Energie / Kosten / Qualität.