Security by design in „massive interconnected“ Systems – BIM – SmartCity – IoT – eHealth

Die Industrie 4.0 und die entsprechende Digitalisierung der Planungs- und Bau-Prozesse mittels BIM fordert integrierte und robuste Prozesse als Rückgrat der “massive interconnected”, integrierten Schnittstellen und Collaboration.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen / sicherem Coding mit dem Fokus auf maximales, auditierbares «Security by design» / „Stand der Technik“ mit dem Ziel der bestmöglichen Angriffs- und Betriebs-Sicherheit bei maximalen Datenschutz- / Privacy-Aspekten unterstützt werden.

Ein solches denkbares «Security minded» Modell mit möglichst der Anwendung eines umfassenden „full stack security“ auf allen Ebenen dient auch als Sensibilisierung / Mindset zur maximalen Sicherheits-Orientierung und Auditierbarkeit in Systemarchitekturen mit allen Akteuren. Entsprechende Akteure Mensch – Prozesse – Technologie sind gemäss deren Stärken und Schwächen zu befähigen und passend einzusetzen.

Der «Plattform Kapitalismus» und die «massive Interkonnektion» im Rahmen der Digitalisierung und „verteilte Systeme“ wie auch z.B. BIM, CAx, Gebäudetechnik / Gebäudeleitsystem GLS, SmartCity, SmartHome, IoT, Big Data, eHealth ePDG Stammgemeinschaften, Künstliche Intelligenz AI, «Cyberphysical Systems» und „personenbezogenen Daten“ hinterlassen grundlegende technische und prozessuale Konzept- und Security-Fragen. Erschwerend kommt dazu, dass dann diese „verteilten Systeme“ zusätzlich aus regulatorischen oder normativen Compliance-Anforderungen auch noch gar möglichst lückenlos «managed» und «auditiert» werden müssen.

Nächste (R)Evolutions-Stufen der „Industrie 4.0“ / „Digitalisierung“ in Bereichen wie „Künstliche Intelligenz KI / AI“ werden grosse und neuartige Chancen zur „business model maturity“ und „data monetization“ generieren aber auch Risiken und Abhängigkeiten von „verteilten, massive interconnected Systemen“ zur Folge haben.

Jede Medaille hat bekanntlich immer 2 Seiten. Eine solche sogenannte „Dual-Use-Technologie“ wird automatisch auch leider wiederum die „dunkle Seite der Macht“ weiterentwickeln in Richtung von „Malicious Use of Artificial Intelligence“ (die bösartige Nutzung von AI) und daraus werden ernsthafte Risiken und grosse interdisziplinäre Herausforderungen für alle Akteure erwachsen bei der „falschen“ Verwendung neuer mächtigen Technologien.

Dass dann hierbei entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit der gleichgelagerten Technologie (z.B. „cognitive Security“ , „predictive Security“)  zum Zuge kommen müssen liegt nahe. Hierbei wird auch im Rahmen der geforderten Interdisziplinarität eine „neue“ hilfreiche Transparenz über Sicherheits-Lücken / -Massnahmen und „best practices“ vonnöten sein zwischen den Technologie-Giganten, Staaten bzw. zwischen allen Akteuren.

Auch Grundsätze zur „Informations Ethik“ werden hier hilfreich sein in einer nötigen gesamtheitlichen Betrachtung und entsprechenden Massnahmen zur Förderung oder Erhaltung der „privacy by design“ bzw. zum Schutz von „personenbezogenen Daten“ der Daten-Subjekte.

Unterschiedliches Verständnis und Verwendung von entsprechenden Begrifflichkeiten (nur schon Security, Privacy, Plattform, Cloud, Open) verunsichern viele Akteure und bedürfen einer gemeinsamen Verständnisfindung und nachhaltige Sensibilisierung.

Neue und noch teilweise in Vernehmlassung stehende Regulationen > Gesetze aus Bundesbern zu Datenschutz-Aspekten (z.B. DSG, e-ID) sind noch nicht spruchreif und die möglichst europäisch / international orientierte Umsetzung (z.B. EU-DSGV0 / GDPR mit auch Privacy by design / Privacy by default / security by design, ePrivacy, eIDAS elektronische Signatur, ePDG) bzw. offene Formulierungen in Richtung „Stand der Technik“ noch verbesserungsfähig.

Ein reiner «Schweizer Datenschutz oder Schweizer Standard» in der Regulierung / Standardisierung / Normierung ist aktiv zu verhindern (bzw. mittels Orientierung an „Stand der Technik“ und europäische Standards und Regulationen zu optimieren), verbannt die Zukunft ins Ausland und es gehen adaptierbare Innovationen und Entwicklungen (auch Aufträge) im Ausland verloren ansonsten. Dass es letztlich hierbei auch um das marktrelevante Thema der Innovationskraft und des Business Maturitäts-Levels geht liegt auf der Hand.

Im Rahmen der «Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken NCS» und auch Nachfolge-Strategie NCS 2 werden ebenfalls adaptierbare Resultate und „best practices“ von den kritischen Infrastrukturen wie z.B. Kraftwerke, Stromversorgung, Flugverkehr, Verkehr, Militär, Spitäler zu erwarten sein welche wiederum auch den möglichst offen formulierte „Stand der Technik“ mitprägen.

Entsprechend möglichst offen formulierte «Open Systems / Standards» verlangen nach möglichst offener (cross-connect, transparency) aber zugleich möglichst sicherer Collaboration der Akteure (Mensch und Prozesse) mittels „verteilten Systemen“ und basierend auf „Stand der Technik“ als Widerspruch von möglichst isolierten, geschlossenen Systemen bei möglichst maximalen Sicherheits-Stufen.

Das Herz / Core-System gilt es zu intelligent orchestriert zu schützen

Das immer schneller pochende und geforderte „Herz des Core-Systems“ ist die Verfügbarkeit durch optimierte Angriffs- und Betriebs-Sicherheit der „massiven Interkonnektion der verteilten Systeme“.
Zunehmend sind geforderte Verfügbarkeiten und adäquate Ausfallszenarien abhängig von solchen „intelligent orchestrierten (Teil)Systemen“.
Damit alle einzelnen Kettenglieder der Wertschöpfungskette die forderten Dienste und Verfügbarkeit liefern können bedarf es unteranderem auch die Betrachtung der einzelnen „Akteure und Layers der Interkonnektion“.

OSI-Layer als eines von vielen Beispielen der nötigen Gesamtbetrachtung von der Collaboration von „verteilten Systemen“

Ein solches anerkanntes und hier im Kontext bewusst gewähltes, als einfach verständliches Modell ist das „OSI-Modell“. Das international seit über 30 Jahren bewährte OSI-Model ist ein Referenzmodell für Netzwerkprotokolle in der Betrachtung als Schichtenarchitektur der einzelnen Komponenten einer möglichst verlässlichen Kommunikation. Zweck des OSI-Modells ist, Kommunikation über unterschiedlichste technische, verteilte Systeme hinweg zu ermöglichen und die Weiterentwicklung zu begünstigen. Dazu definiert dieses Modell sieben aufeinander folgende Schichten (engl. layers) mit jeweils eng begrenzten Aufgaben zur auch Optimierung von Fehlersuchen und Spezialisierungen.

Im Rahmen der Gesamtbetrachtung der Verfügbarkeit und auch Angriffs- und Betriebs-Sicherheit eines verteilten Systems kommt auch mit dem Beispiel des OSI-Modells sehr klar und gut zum Vorschein, dass z.B. beginnend mit der Verkabelung / Übertragungsmedium (OSI-Layer 0 > 1) bis hoch zur Applikation (OSI-Layer 7) jede Ebene / jeder Akteur inkl. dem inoffiziellen OSI-Layer 8 (der Anwender / Mensch / künftig AI und „cyberphysical Systems“) eine relevante und vitale Rolle einnimmt in der Sicherheit und Verfügbarkeit von verteilten Systemen.

Es ist unschwer zu erkennen, dass viele Fach-Artikel, Produkte, Technologien und auch Hypes sich sehr fokussiert mit „nur“ den höheren OSI-Layern befassen, also mit z.B. der Anwendungsschicht (OSI-Layer 7) und dem Anwender selber (inoffizieller OSI-Layer 8).

Genau darum ist es wichtig, dass ebene sämtliche technische Komponenten, Schichten und prozessuale Methoden, Akteure (also eben als gewähltes Beispiel ALLE OSI-Layer 1 bis 8) bzw. alle Aspekte betrachtet werden.

Weitere Informationen und Checklisten
.

Speziell mit eben der gesamtheitlichen Sicht auf den «Plattform Kapitalismus» und der stetig erhöhten Anforderung an die Verfügbarkeit und Angriffs- und Betriebs-Sicherheit der «massiven Interkonnektion» müssen alle diese Akteuren auch in einer nachhaltigen Interdisziplinarität noch besser miteinander abgestimmt werden mit dem Fokus auf „Stand der Technik“.

Einige, bewusst einfache Beispiele (ohne Anspruch auf Vollständigkeit) zur Verständnisförderung:

  • Keine „massive Interkonnektion“ ohne verfügbare, verlässliche Stromversorgung im Haus / Gebäude / Quartier / Ort / Region / smartGrid / smartEnergy / Schwarm-Versorgung oder Staat.
  • mit Sensoren und IoT-Elemente durchwachsene CyberCity funktioniert nicht ohne Internet, Netzwerk, Strom oder gar benötigte redundant ausgelegte, ausfallgesicherte Netze oder neue Services und Technologien wie 5G.
  • DoS / DDoS Distributed Denial of Service Attacken mittels z.B. Botnetzen und auch beauftragt aus dem „Darknet“ können durch Überlasten oder auch Gegenmassnahmen wie temporär Sperren / Blockaden die Verfügbarkeit der vernetzten oder zentralisierten Systeme reduzieren.
  • Verfügbarkeitsverluste oder vitale Unterbrüche durch mindere Qualität von eingesetzten (Aktiv)Komponenten und Netzwerkkabeln.
  • Suboptiomal orchestriertes oder zu wenig zugunsten Angriffs- und Betriebs-Sicherheit optimiertes Common Data Environment (CDE) oder deren Schnittstellen / Microservices / Middleware / API
  • Bestandesaufnahme, Dokumentation, Lizenzen Verwaltung, Rechtedefinitionen, Daten- und Risiken-Klassifizierungen in einem nachvollziehbaren und beweisbaren Register für den ganzen «Data Life Cycle»
  • Aspekte und Massnahmen zu «system design by weakest user» z.B. auf Baustelle (?) oder ? à „user centric security“
  • Multilayer Security“-Gesamtsystem Ansatz zur Verständigung der möglichen prozessualen und technischen Ansatzpunkte und Notwendigkeiten einer gesamtheitlichen Sicherheits-Strategie. Über den Perimeter bis in den Kern zum „Mission Critical Asset“
  • Adäquate Backup- und Verschlüsselungs-Strategie je nach z.B. Daten-Klassifizierungen (z.B. Schutz von kritischen Daten gegen z.B. auch Verschlüsselungs-Trojaner oder lange nicht entdeckter „Malicous Code“), Aufbewahrung (10 Jahre), Archivierung und Datenschutzregulationen (z.B. Recht auf Löschung)
  • Geräte-, System- und Services-Monitoring mit auch „predicted“ Maintenance und „behaviour analysis“ als proaktives Früherkennungssystem und erste maschinenunterstützte Abwehrlinie.
  • Fokus und offene Formulierungen in ICT-Strategie und ICT-Planung in Richtung „Stand der Technik“, „security by design“, „security by default“, Daten- und Rechte-Minimierung
  • Fehlendes Business Recovery System & Business Contingency Planning
  • ICT-Risk Management, ICT-Risk-Versicherungswesen
  • Gesamtheitliche ICT-Strategie oder nur schon ICT-Planung, Führungsverantwortung (GL und VR) zu CyberSecurity.
  • KnowHow-Management, Personenabhängigkeiten und Stellvertretungen
  • Massnahmen gegen Anti-Shadow-IT (do NOT build new legacy systems)
  • Mitarbeiter Sensibilisierung und Training zur sicheren und effizienten Collaboration – Unkenntnis schafft Unsicherheit …
  • Personal Analytics mittels Assessment und Tests bei Rekrutierung / Anstellung oder Arbeit / Aufgaben / KnowHow in kritischen Projekten
  • Der Akteur Mensch kann (muss!) mittels dem Fakt(or) der möglichst Reduzierung der „human interaction“ und technischen und prozessualen Unterstützung des Automatisierungsgrads werden.

Entsprechend ist die nötige Sicherheits Strategy  BASS (Built Asset Security Strategy) die erste und wichtige Grundlage für eine der vielen Organisations Informations Anforderung OIR der ICT-Gesamtsicherheits-Architektur. Hier legt man die Basis wie die interne oder organisationsübergreifende Architektur adressierte Sicherheitsaspekte definiert und regelt. Diese soll möglichst offen formuliert sich an „Security by design“ und „Stand der Technik“ anlehnen und dadurch aufgefordert dynamisch bleiben in der fortwährenden Dynamik der Bedrohungslage in der CyberSecurity.

Unabhängig vom effektiv benötigtem Umfang und Anwendungstiefe je nach Projekt lohnt es sich in jedem Falle, diese Grundlagen zu definieren und eine umfassende Klassifizierung bezüglich z.B. Schutzniveau, Schutzklasse, Schadenspotential, personenbezogenen Daten umzusetzen und zu unterhalten. Je nach benötigten Überwachungsparameter können mittels adäquaten unterstützenden Automatismen oder Monitoring-Systemen oder Monitoring-Methoden wie z.B. SCADA (Supervisory Control and Data Acquisition) oder Cloud-Monitoring-Systemen das operative bzw. „on going“ Sicherheits-Level (Betriebs- und Angriffs-Sicherheit) integriert überwacht werden.

Mit einem weiteren Hilfsmittel und Methode wie z.B.  BASMP (Built Asset Security Management), der Sicherheits Bewertung AIR (asset of information requirements of security) kann man entsprechende Anwendungsgrade erkennen und anwenden.

Damit ein solches Gesamt-System funktioniert und wirklich gelebt werden kann ist mittels entsprechenden weiteren Massnahmen und KnowHow-Transfer auch die Sicherheit auf Stufe der  Anwender (EIR employer’s information requirements of security) speziell zu integrieren in einem wiederkehrenden, «security minded» Sensibilisierungs-Prozess.

Damit auch externe dritte Akteure die gemeinsame Verantwortung des definierten Gesamt-Sicherheitssystem mittragen können müssen diese möglichst früh sensiblisiert, involviert, befähigt und bei Bedarf sogar zertifiziert werden.

Letztlich kann nach der möglichst umfassenden Integration aller Akteure (inkl. auch Vertragsrelevanzen) und entsprechenden Datenschutzfolgenabschätzungen auch die Organisation und Prozesse definiert werden für ein Incident Response Management mit Vorgaben für z.B. Sicherheitsvorfälle, Meldepflichten, Definition des Data Protection Officers DPO, Krisenkommunikation.

Aufgrund der Komplexität des Security Themas in einer Gesamtsicht ist es unumgänglich, die Zuständigkeit und Verantwortung je nach Projekt und teilnehmenden Akteure neu zu definieren innerhalb der teilnehmenden Akteuren (mit teilweise schon Erfahrungen und adaptierbaren «best practices» hierbei) oder externen Dienstleistern.

Je nach Umfang des Projektes oder Vertrages kann es mitunter nötig sein, weitergehende Analysen und präventive Massnahmen evaluieren zu lassen durch weitere Fachbereichs-Spezialisten für z.B. juristische, vertrags-technische, finanz-technische, ICT-security-technische Aspekte um evaluierte, absehbar weitergehende vitale Risiken zu minimieren.

Die Projektanforderung (das Was) rund um die Sicherheit sind adressiert in der  Sicherheits Bewertung AIR (asset of information requirements of security) und unterscheiden sich bzw. müssen gemappt bzw. stufengerecht adaptiert werden auf die Stufe der  Anwender (das Wie > EIR employer’s information requirements of security).

Bei vielen Bereichen sind unterschiedliche oder nicht abschliessende Definitionen erkennbar bei welchen nicht alles eindeutig festgestellt ist für das «Was», «Wie» und «Wann» und sind deshalb genauer zu definieren, um darauf basierend, auch die adäquat zur Verfügung zu stehenden Services rund um ICT bzw. Security orchestrieren zu können je nach Projekt. Hierzu sollten Elemente und Orientierungspunkte entsprechende schutzklassen-gerechte Anwendung finden aus Normen, Frameworks, Methoden wie z.B. PAS1192-5, CPNI, CEN, ISO (z.B. 27xxx), BSI, BS, OSSTMM, IFC, ITIL, CobIT, NIST, NCSC und anderen internationalen Standards.

Ein höherer BIM-Maturity-Level bzw. „Business Model Maturity“ kann grundsätzlich nur ganzheitlich erarbeitet, erreicht und erhalten werden, wenn alle Elemente auf dem adäquat angepassten Level durchgängig prozessual und technologisch passen und funktionieren >> also auch eine entsprechend passende Maturität der Gesamtsicherheit (Security Maturity Level)

Weitere Artikel:

https://fridelonroad.wordpress.com/2017/11/19/cybersecurity-und-sicherheit-ist-eine-gemeinsam-geteilte-verantwortung-security-awareness-7/

https://fridelonroad.wordpress.com/2018/02/08/bim-startet-durch-es-stellt-sich-aber-die-frage-nach-der-sicherheit/

https://fridelonroad.wordpress.com/2018/03/06/shre-to-evolve-45-licht-in-die-jahrelang-dynamisch-gewachsene-schatten-informatik-shadow-it/

https://fridelonroad.wordpress.com/2018/02/08/100-sicher-ist-die-digitalisierung-ist-durchgestartet-und-etabliert-sich-aber-ist-diese-technologisch-99-sicher-genug/

https://fridelonroad.wordpress.com/2018/01/05/shre-to-evolve-44-ict-glossar-teil-2-sensibilisierung-und-verstaendnisfoerderung-in-digitalisierung/

https://fridelonroad.wordpress.com/2016/01/24/the-bim-bang-heiliger-bim-bam-das-streben-nach-business-excellence-transformiert-die-bauindustrie/

https://fridelonroad.wordpress.com/2014/10/09/99-sicherheit-mensch-prozesse-technologie-risk-management/

Advertisements

ICT-Business Support-Prozesse und Transformation in der Bauwirtschaft und Baulebenszyklus

bauinformatik_nextgen_ict_bauprozess

Alt bewährt – in Stein gemeisselt – aber noch zeitgemäss ?
Auf meinem ersten Bildungsweg in den Bereichen Bau-, Bauinformatik und Immobilien wurde noch viel mehr „analog“ aber mit „eigenem Köpfchen ohne dutzende von fehlerkorrigierenden digitalen Helfen im Hintergrund“ geplant und gearbeitet am Reissbrett, auf Skizzen, auf Plaupausen, Handnotizen, Baustellen-Rapporten, mit Schreibmaschine verfassten Werkverträge, handgeschriebenen Leistungs-Ausmassen oder Submissions-Unterlagen.
Die Mentalität von schnell was machen und ansonsten wieder zurück mittels „Zurück-Befehlen in Programmen“ gab es damals noch nicht. Komplexere Planelemente oder grafische Grundelemente wie nur schon einfache Linien von A nach B waren nicht gerade „in Stein gemeisselt“ aber fanden mittels Tintentusche eine permanente Druchdringung des verwendeten Planpapiers und mussten mühsam (wenn die Anzahl der Korrekturen dies überhaupt zuliessen je nach Dicke des Papiers …) weggekratzt oder wegradiert werden. So war die Art und Weise des täglichen Planungs- und Arbeit-Prozesses in den vielen Planungs- / Ingenieur- und Architektur-Büros und auch Baustellen-Büros eine fundamentale andere als der heutige mittels EDV-Unterstützung.

Bauinformatik per Lochkarte und 5.25″ Diskette
Es gab sie damals: die sagenumwobenen Monstermaschinen mit den super-ergonomischen Röhrenmonitoren und der grünen Schrift auf schwarzem Hintergrund welche vielfach genutzt wurden für Baustatik und Berechnungen.
Aber auch hier: eine entsprechende Statik-Berechnung musste – man staunt – schon vor der mehrstündigem Berechnungs-Lauf-Prozess sauber durchdacht und vorsimuliert sein im Kopf oder auf dem Papier. Mehrere Fehler durfte man sich nicht erlauben aufgrund der Laufzeiten, Lieferfristen und beschränkter Verfügbarkeit der Maschinerie. Auch musste man dann jeden Rechnungslauf sauber eintragen in einem Papierprotokoll für die interne und externe Abrechnung… Kaum mehr vorstellbar was das abgebildet auf den heutigen Umgang mit der EDV zur Folge hätte.

Planung und Verantwortung – ohne digitale Helfer wie Notebook, Smartphone, Internet, CAD, Projektprogramme
Das methodische, logische Vorgehen und vorallem das „zu Ende Denken“ mit allen Konsequenzen und darauf resultierenden Verantwortung prägte die Arbeitweise und letztlich den damaligen Bauprozess.
Ein „Gut zur Ausführung“ eines Planes oder ein vor Ort auf der Baustelle / Immobilie erteiltes „OK“ war nicht mehr so schnell korrigierbar ohne Smartphone, ohne Internet, ohne Email. Die Arbeit war viel bewusster und nachhaltiger. Es gab – im Gegensatz zu den heutigen Programmen – keine „Trial and Error“-Moeglichkeit mit einfachen Vor-Simulationen oder 3D-Visualisierungen – die Schritte mussten sozusagen auf Anhieb sitzen.

Digitalisierung des Bauprozesses mit Bauinformatik und Schnittstellen
Zunehmend hielten PCs / Macintoshs Einzug in die Planungsbüros und blieben nicht nur den Architekten, Ingenieure oder Büroinhaber vorbehalten sondern auch die Zeichner / Konstrukteure und zum Glück auch Lehrlinge durften davon profitieren in der Firma und in den Ausbildungsstätten. Modernere Software-Generationen für die Auftragsbearbeitung, Leistungserfassung, Ausschreibung, Werkvertragswesen, Abrechnung folgten zugunsten der weiteren Digitalisierung des Bauprozesses und letztlich des Business-Supports durch ICT.
Die unterschiedlichen CAD- und Auftragsbearbeitungs-Software verlangten nach standardisierten Schnittstellen und Austauschformaten für den Datenaustausch zwischen den Projektbeteiligten und zwischen den unterschiedlichen Software-Anbietern.

Die Planungs- und Leistungsbeschriebs-Unterlagen wurden datentechnisch „um Dimensionen“ erweitert mit 3D, Layers, standardisierten seitens Hersteller gelieferten Bibliotheks-Elementen, Kosten und letztlich einer Explosion von Datenzuwachs. Wie wir schon in der Wirtschaftsinformatik lernten stellte sich genau hier die Grundsatzfrage „Wann und mit welcher Business-Logik werden aus Daten verwertbare Informationen?“

Nichts ohne Standardisierungen und Normierungen
In meiner unverändert laufenden Tätigkeit seit über 13 Jahren in der Kommission für Informatik und Normenwesen beim Schweizerischen Ingenieur- und Architekten Verein http://www.sia.ch durften wir entsprechende schweizerische Normen / Merkblätter / Empfehlungen für die Fachbereiche wie CAD, Datenaustausch, Prozesse erarbeiten und verabschieden in verschiedenen Arbeitsgruppen und Publikationen.
Eines der grössten Spannungsfelder war die Tatsache, dass in der normativen Fachlehre meistens „zurück geschaut“ und „darauf basierend definiert“ wird auf das jahrelang Bewährte und wir uns konfrontiert sahen, genau diesen bisher üblichen Blick auf Jahre oder gar Jahrzente alte Normen / Standards in die entgegengesetzte Richtung in die Zukunft zu fokussieren und Widerstände zu überwinden in die Richtung der „Akzeptant mit fachlicher Penetranz“
Wir mussten auch feststellen, dass auch aufgrund einiger verstaubten Normen und Merkblätter schon einige grössere Firmen, Softwareanbieter oder professionelle Bauherren eigene, interne Standards etabliert hatten aus der Dringlichkeit und der fortgeschrittenen Entwicklung des Bauprozesse.

Bau-Industrie-Standards wurden reformiert – EDV-Standards schon länger
Einige Industrie- und SIA-Normen / Standards / Schnittstellen wie z.B. SIA 451, DXF, CAD-Merkblätter, NPK, BKP, eBKP bedurften einer Reformation auf prozess-mässiger und auch technologischer Ebene unter Berücksichtigung möglichster aller Verbände und Interessen-Gruppen wie auch Bauherren, Generalunternehmer, Immobilien-Bewirtschafter, Investoren, Banken.
Der Wandlungsdruck auch vom europäischen Einflussbereich der CEN-(DIN)-Normen hielt auch hier Einzug und es mussten immer mehr Interessen abgewägt und abgedeckt werden auf einer möglichst neutralen und produkte-neutralen, strategischen Ebene – aber immer wieder und zunehmend unterstützt und automatisiert durch Bauinformatik.

Transformations-Hemmnisse verhinderten aktiven Teilnahme und Optimierungs-Potentiale
Auf meinem zweiten Bildungsweg in den Bereichen Wirtschaftsinformatik / Engineering / Internet-Technologien sprach man schon Ende der Neunzigerjahre z.B. von „reformierendem“ Outsourcing / Application Service Providing (ASP) und andere Branchen transformierten sich bereits damals oder schneller in diese Richtung. Die Baubranche bzw. die damaligen noch bestehenden Abhängigkeiten von älteren sogenannten Legacy-Systemen, internen Standards oder nicht einfach so migrierbaren EDV-Prozessen verhinderten damals die grossflächige Teilnahme in dieser fortschreitenden Industrialisierung mit sich damals etablierenden neuen EDV-Standards. >> siehe separater publizierter Artikel

Akzeptanz und Verbreitung – beginnend bei der Ausbildungs-Pyramide
Die Verbreitung und Anwendung von neuen Normen / Standards und business-unterstützenden ICT-Prozessen waren nur sinnvoll und nachhaltig zu etablieren via der mehrstufigen Ausbildungs-Pyramide (Ausbildung, Weiterbildung etc.), der Verbreitung via Fachverbänden und dies begleitet mit den entsprechenden Merkblättern und Normen. Diese verzögerte Verbreitung und der Widerstand von bereits eigens etablierten Standards stellte eine weitere Herausforderung dar in der sich stetig verändernden Halb-Werts-Zeit des Fachwissens und der entsprechenden Akzeptanz und Adaptions-Müdigkeit.

Unterstützungs-Prozesse wie ICT, Normen-Adaptionen, Standard-Etablierungen – zu unrecht als reiner Kostenfaktor / zu recht als Nicht-Top-Prio der Nachfolgeregelung betrachtet
Jahrzentelang wurden entsprechende hochgelebte Standards teilweise aus unberechtigter Angst vor Zusatzkosten / neuen ICT-Prozessen oder Kontroll-Verlust am Leben erhalten und neue Chancen und Innovations-Potential verpasst.
Es schien beinahe unmöglich zu sein, die heiligen internen Standards / Prozesse / Vorlagen für Pläne / Leistungsverzeichnisse / Werkverträge / Bibliotheken zu ändern aufgrund auch von teilweise konzeptionell falsch aufgebauten Basis-Sets und Definitionen welche auseinanderbrechen zu drohten. Meinungen und Aussagen wie z.B. „Funktioniert ja alles und wir bauen seit Jahren so“ und „Uns fehlen die gesamtschweizerischen etablierten Standards und das Einführungswissen für eine strukturierte, effiziente Umstellung“ war dann eine gängige Ausprägung dieser Transformationsmüdigkeit.
Viele der betroffenen Organisationen befanden sich zusaetzlich auch in einer Uebergangslösung oder Phase der Nachfolge-Regelung seitens der Firmen-Inhabern und verständlicherweise waren vielfach die Prioritäten derweil anders gesetzt.

Der ganze Bau-Lebenszyklus wurde zunehmend voll-digitalisert
Entlang des ganzen Bau-Lebenszyklus mehrten sich zunehmend mehr professionell, monetär orientierte Interessen-Gruppen wie Investoren, professionelle Bauherren, Immobilienbewirtschafter, Gesamt-Systemanbieter und Banken / Versicherungen.
Die prozess-technischen und technologischen Anforderungen an die Outputs / Inputs aller Projektbeteiligten wurden komplexer und dynamischer und der entsprechende Minimal-Standard als an diesem Bauprozess teilnehmendes Unternehmen stieg rapide an.
Die eingeläutete (R)Evolution wurde begleitet von einer Reihe von neuen Produkten, Prozessen und Normen / Merkblätter. An der Baurationalisierung waren diverse Institutionen, Verbände und auch Firmen / Organisationen wie der SIA http://www.sia.ch und CRB http://www.crb.ch aktiv beteiligt.

Konzentration auf die Kernprozesse und Outsourcing von Supportprozessen
Der zunehmende Komplexitäts-Grad des Gesamt-Prozesses und Lebenszyklus verlangte nach interdisziplinären Zusammenarbeiten und teilweise auch auf Konzentrationen auf Kernkompetenzen und Hochspezialisierungen in Teilbereichen.
Hierzu wurden auch vermehrt für solche Supportprozesse entsprechend externe Berater / Systeme / Support hinzugezogen um das „Beste von Allem“ zu erhalten und nutzen zu können.
Hierzu gehörte auch der Bereich der Informatik >> siehe separater publizierter Artikel

Nächste Generation der digitalen Baurationalisierung
Neuere vielversprechende und visionäre Standards in Richtung BIM (Gebäudedatenmodellierung) stellen weitere Herausforderungen und riesige Potentiale dar.
Es bleibt zu hoffen, dass hier die entsprechende Wandlungsbereitschaft und Adaptierungsgeschwindigkeit rascher und effizienter erfolgen kann mit möglichst allen interdisziplinär zusammenarbeitenden Interessengemeinschaften und unter den Vorgaben und Vorarbeiten von der internationalen Organisation buildingSmart und dem offenen Standard openBIM. Das Basisdatenmodell IFC (Industry Foundation Classes) zur digitalen Beschreibung von Gebäudemodellen weckt grosse Hoffnung, dass der digitale Informationsfluss während des ganzen Lebenzyklus eines Bauwerkes weiter (r)evolutioniert wird.

Visionen und Chancen – ueber Big Data und Cloud zum gemeinsamen Erfolg
Rund 70% der schweizerischen Bauwerke sind aelter als 30 Jahre und stehen vor baldigen Umnutzungen, Renovationen oder gar Neubauphasen. Es bleibt zu hoffen, dass diese riesige Menge an zu erhebenden Daten für z.B. Renovation, Altlastensanierungen, Umnutzungen in wenigstens minimaler Detaillierungsstufe vorhanden sind und genutzt werden können … Es ist eher was Anderes zu erwarten … und genau kann man die Schwierigkeiten und Herausforderungen erkennen.
Meine persönliche Vision ist, dass man künftig z.B. zu jeder Zeit des Entstehungs- und Nutzungs-Prozesses entlang des Lebenszyklus zugreifen kann auf zentral (z.B. Immobilienbewirtschafter) oder dezentral (z.B. Baustoff- oder Bauteil-Lieferanten) gehaltene Informationen von Bauwerken.
Weitere Entwicklungen in den Bereichen wie „Internet of things“ bei welchem jedes Gerät künftig vernetzt und integriert werden kann in Facility Management Systemen oder nur schon in einer einfachen Heim-Vernetzung ermöglichen weiteren Innovationen und Potentiale.

Potentielle Einsatzmöglichkeiten von Big Data / BIM-Anwendungen
Folgende Use Cases sehe ich persönlich als Beispiele:

– Ein Planungsbüro, Baustellenbüro wird viel flexibler bei der Einrichtung und Unterhalt von stationären oder mobilen Arbeitsplätzen für die Mitarbeiter oder Projekt-Ausführungsorte. Der Mobile Workplace wird spätestens dann vollumfassend realisierbar und effizient nutzbar.
Die Arbeitsweise wird zumindest dann technologisch (r)evolutioniert und kann dann mit passenden Best Practices Anwendungen oder massgeschneiderten Prozessen (passend auf die jeweilige Organisation) ausgeschöpft werden.

– Ein Kalkulator, Projekt-/Bau-Leiter, Projektcontroller hat schon waehrend der Bauphase laufende Rueckmeldungen seitens z.B. der mobilen Leistungserfassung in die Kostenrechung, Nachkalkulation und immer wichtigerer Kostenplanung und Steuerung.

– Ein Immobilien-Verwalter kann während einer Objektbesichtigung mit dem Eigentümer direkt per Smartphone / Tablet / Notebook auf Pläne, Uebergabeprotokolle, Dokumentationen, Wartungs-Kontroll-Listen, Anleitungen zu eingebauten Geräten, Kennwerten, Messwerten vom Facility Management System oder Energie- / Verbrauchskosten zugreifen und direkt z.B. Reparaturaufträge, Aufträge an Hauswärte oder Dienstleister verwalten und erteilen.

– Eine  Immobilien-Bewertung oder Immobilien-Sanierung kann mittels Zugriff und Uebersicht auf Baumaterialien, Altlasten, Hersteller-Informationen oder ganzen Bauteilgruppen dazu beitragen die Kosten- und Ausführungs-Planungen stark zu optimieren.

– Ein Architekt oder Fachplaner kann auf einen Klick ermitteln welche Baustoffe, Bauteile, Bauelemente oder Geräte  in welcher Anzahl und Qualität verbaut werden oder wurden – mit auch seitens Produzenten online aktualisierten Werten zu z.B. Seriennummern, Chargenummern, Rezepturen, Produktedokumentationen, Nachweisen, CO2-Werten, Produkte-Haftpflicht-Themen.

– Expertisen rund um bauphysikalische, baubiologische oder bautechnische Beurteilungen werden mittels zugänglichen Basisdaten zu Bauteilen / Werten / Baustoffen / Pläne unterstützt.
Ergebnisse und Empfehlungen zum untersuchten Objekt könnten rückfliessen in den Bauobjekt-Datensatz für künftige Weiternutzung und History.

– Sanierungen oder Rückbauten wären mit guter Informationsbasis genauer planbar in den Bereichen Planung, Kosten, Ausführung oder Altlasten-Sanierungs-Massnahmen.

– Versicherungs- / Schadenfall-Abklärungen würden effizienter und genauer.

– Ein Service-Dienstleiter fuer z.B. Klima, Aufzuege, Heizung, Solaranlage, Smart Metering sieht sofort – oder via Gebaeudeleit-System / MSR – welche Elemente fehlerhaft oder defekt sind oder aufgrund von z.B. Serienfehlern ersetzt oder nachgebessert werden muessen.
Nebst dem zentral abrufbaren Elemente-Kataloges eines Objektes könnte man auch gängige Industrie-Standards wie RFID / NFC nutzen um direkt vor Ort entsprechende freigegebene Informationen zu einem Bauteil abrufen zu können.

– Ein Fensterbauer, Küchenbauer, Sanitäreinrichter, Schreiner kann innerhalb von Renovationen / Umbauarbeiten auf Basis-Datensaetze des urspruenglichen Werkvertrag-Vertrags-Unternehmers und dessen eingesetzten Elementen und Modulen zugreifen fuer eine effizientere Offertstellung, Kalkulation und Ausfuehrung.

– Ein Zimmermann, Holzbauer, Fassadenbauer hat Zugriff auf Plaene, Nachweise, Berechnungen fuer die Renovationsarbeiten.

– Ein Bauherr oder Investor oder Facility Management Dienstleister (FM) kann zugreifen auf seitens Gebäude-Sensorik unterstützten Key Performance Indexes (KPI) zur Erhebung von z.B. Performance-Beurteilungen, Wirtschaftlichkeitsberechnungen, Zinsberechnungs-Nachweisen oder Steuernachweisen.

– Statistiken und Erhebungen seitens Bund, Behoerden und Ämter sind autonom – selbstverstaendlich mit zuvor wissentlich freigegebenen und so klassfizierten Daten-Teilbereichen (z.B. XML, IFC, Metadaten oder ganze Datensaetze, Plaene, Dokumente) – bedienbar fuer weitere Kostenoptimierungen auf Seite des Bauherren, Bewirtschafters und Behörden.

– Bewilligungsverfahren bezueglich Kosten und vorallem Durchlaufzeiten koennten stark optimiert und vereinfacht werden auf Seite des Bauherren, Planer und Bauamt.

– Bei der Bauobjekt-Nutzungsphase sind sehr viele Visionen und Technologien auf dem Markt verfügbar in Richtung „Betreutes Wohnen für z.B. ältere Menschen welche länger in den eigenen 4 Wänden anstelle in einem Pflegezentrum verbringen wollen“, intelligentes Wohnen, kommunizierende Haushaltsgeräte für automatisches Ordering von z.B. Service, Bestellungen, Reparaturen und dergleichen. Auch hier kommen die Visionen und Ansätze „Internet der Dinge“, „Fiber to the home (ftth)“ und letztlich „totale Haus-Vernetzung“ zum Zuge.

Qualitätssicherung
Letztlich und zusammengefasst entsteht eine bessere Qualität des Gesamten – unterstützt mit qualitativ und massgeschneidert aufbereiteten, zentral konsolidierten Informationen. Während des gesamten Baulebenszyklus wird dadurch auch die Qualitätssicherung optimiert und beherrschbarer.

Sicherheit ist gewährleistet und definierbar
Selbstverstaendlich waere dann in einem solchen System sehr klare Richtlinien und Einstellungsmoeglichkeiten unabdingbar fuer einen restriktiven Datenschutz zugunsten der Sicherheit. Die Klassifizierung von Daten fuer z.B. Public (Behoerden, Bund, Statistik) oder Private (Eigentuemer, Bewirtschafter, Datenmanager, Servicedienstleister) wuerde dies technisch und zentral ueberwachbar unterstuetzen.

10 Jahre Aufbewahrungs-Pflicht und revisionssichere Archivierung
Im weiteren waeren dann auch Themen der 10 Jahre Aufbewahrungspflicht von auftrags- oder system-relevanten Informationen abgedeckt. Dabei waere dadurch neu auch die revisionssichere Archivierung realisierbar.

Eine Art „Building Smart Cloud“ – auch zur Unterstützung der „Cleantech“-Zukunft
Letztlich wird man basierend auf diesen einzelnen Use Cases schnell erkennen, dass ein künftiges System welches auf einem intelligent orchestriertem Cloud-System basiert, eine schier unbegrenzte Anzahl von Potentialen erschliesst oder Nutzungsformen unterstützt z.B. von mobile Worklpaces, Apps, Webservices, Cloud, Big Data.
Durch solche optimierte Prozesse und auch Unterstützung der Automatisierung in der Bauindustrie entlang des ganzen Lebenszyklus werden auch Ansätze von „Cleantech“ gefördert und/oder gar ermöglicht durch die Einsparmöglichkeiten in allen Bereichen des Gesamtaufwandes / Energie / Kosten / Qualität.