Privacy + Security: CH-DSG, CH-e-ID, EU-DSGVO, EU-GDPR – all for „the best privacy by design“ ?!

Chance wahrnehmen – auch für die Digitalisierung
Der Prozess zum Erlangen der GDPR-Compliance bis 25. Mai 2018 ist eine Chance, sich mit der Sicherheit und dem Schutz der eigenen Daten kritisch auseinanderzusetzen, Licht in die «ShadowIT» zu bringen und dadurch auch mehr Kontrolle zu erlangen und Vertrauen zu schaffen. Man sollte hier begleitet werden von der Analyse (z.B. Risiko- und Compliance-Bewertung) über das Ergreifen geeigneter technischer und organisatorischer Massnahmen (z.B. auch Datenschutz-Sensibilisierungs-Trainings und detaillierte Aufklärung der Mitarbeiter und Kunden bezüglich z.B. Einsatz von „work analytics / monitoring“ mittels Technologien wie „data loss prevention DLP“, „legal hold“, „data classification / encryption“, next Generation Firewall NGWF“, „unified threat Management UTM, „mobile device Management MDM“, „bring your own device BYOD“) bis hin zur Erfolgskontrolle (z.B. auch Assessments, Penetration-Tests).

Vertrauen in Erfahrung und Engagement – Der Kunde profitiert von Erfahrungen 
Durch langjährigen Erfahrungen aus z.B. eigenem Rechencenter-Betrieb und des ICT-Beratungs-Angebots für Organisationen sollten spezialisierte Anbieter engagieren für die Bedürfnisse und zukunftsorientierten Massnahmen. Zusätzlich sollte der Anbieter als sehr engagierter, zertifizierter Partner auf aktuellste Entwicklungen und spezieller Zusammenarbeit / Service Level Agreement SLA mit den Technologie-Anbietern basieren. Allenfalls auch mittels zusätzlichen Verbandsaktivitäten und Fachexperten-Gruppenmitgliedschaften in speziell auch aktuellen Gesetzesvernehmlassungen und normativen Bereichen sollte diese Expertise weiter durch das aktuellste Wissen / Networking gefördert werden.

Die nötigen Schritte – mit Unterstützung von Partnern

  • Analyse + Klassifizierung: Wo sind welche persönliche, kritische Daten im Unternehmen?
  • Regulieren + Labeling: Zugang zu und Verarbeitung von persönlichen Daten
  • Schutz und Audit der Datensicherheit in technischer und organisatorischer Sicht
  • Berichte, Anfragehandling, Automatisierung, Dokumentation, Monitoring, Alarmierung

Diese teilweise umfassende Massnahmen können ebenfalls als weitere Chance und Mehrwert erstklassigen Schutz bieten vor Klagen im Hinblick auf geistiges Eigentum (intellectual property IP) und vor Risiken in der Cloud. In partnerschaftlicher Zusammenarbeit mit unseren Kunden sind wir bestrebt, ein Umfeld zu schaffen, in dem Entwickler, Unternehmer, Unternehmen und Kunden „vertrauensvoll und geschützt“ Innovationen schaffen können in einem „Security Development LifeCycle“.

Aktualisierte oder neue Regulationen wie die in der Schweiz in Vernehmlassung stehenden Datenschutzgesetz (CH-DSG), Elektronische Identität (CH-e-ID), Bundesgesetz über das elektronische Patientendossier (CH-EPDG) und auch europäische / internationale Gesetze und Standards wie die Datenschutz-Grundverordnung (EU-DSGVO) / General Data Protection Regulation (EU-GDPR) haben anspruchsvolle und je nach Business Modell (z.B. bezüglich dem Umgang und Nutzung von personensensitiven Daten) tiefgreifende Auswirkungen und möglichst frühzeitige Massnahmen zur Folge in der Organisation / Prozesse / ICT-Prozesse bis hin zur Firmen- und ICT-Strategie. Beim EU-DSGVO / GDPR ist das als Beispiel bis spätestens dem 15. Mai 2018 der Fall.

Mittels Regeln soll die Verarbeitung von personenbezogenen Daten (auch Datenhoheit, Daten-Selbst- oder Mit-Bestimmung, Datenlöschung, privacy by design, privacy by default) durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Dass hierbei das Binnenland Schweiz sich im Rahmen der eigenen Regulation nicht abschotten darf und kann ist aus meiner Sicht selbsterklärend. Schliesslich muss sich auch die Schweiz im Rahmen der Industrie 4.0 / Digitalisierung orientieren an Europa bzw. internationale Standards und nur dadurch von adaptierbare Innovationen von neuesten Entwicklungen in den Bereichen wie z.B. CyberSecurity, Privacy, Clouds, AI, Big Data, Data Science mitprofitieren kann im globalen Wettbewerb.

Was das in der Praxis bedeutet erfährt derzeit eine inflationäre Meinungsbreite. Folgend einige persönliche Meinungen:

Eigentlich kann der Datenschutz als Hochseil-Balanceakt und Gratwanderung zwischen den Unternehmensanforderungen in Zeiten der Digitalisierung und des Erfüllungsgrades der zunehmenden Bürokratie verstanden werden. Die Frage nach dem Fangnetz oder Balance-Werkzeug (z.B. von Strategie, Technologie und Prozessen) ist berechtigt.

Obwohl derzeit noch keine ausreichende Langzeit-Daten oder Erfahrungswerte vorhanden sind kann man eigentlich derzeit nur eine weitere Meinung einnehmen oder kundtun bzw. derzeit in “security minded best practices” Prozess- und Technologie-Gestaltung vorbereiten und stufenweise einführen. Dabei sollte man auch eine gewisse Flexibilität für die anzunehmende Dynamik der weiteren Entwicklung beibehalten in der entsprechenden ICT-Gesamtarchitektur.

Derzeit gehören sicherlich die Aspekte des benötigten Datenschutzbeauftragten DSB / “data protection officer” DPO und der denkbaren Datenschutzverletzungen zur Risikominimierung (“data breach notification”) / Datenschutzfolgenabschätzungen (wird zu einem Teilbereich von “Risk Management”, internen Kontrollsystemen IKS oder “Incident Response Management”) zu den ersten praktischen Prioritäten. Bei den offiziellen Gesetzes-Vernehmlassungen zum CH-DSG , CH-e-ID, CH-EDPG seitens Bundesbern (bei welchem ich mit grossem Eigen- und Unternehmer-Interesse mitwirkte in Taskforces seitens isss.ch) ist entsprechende diesbezügliche Anpassung oder nötige Orientierung an die europäische Gesetzesgebung bzw. internationalen Standards abzusehen. Ungeachtet dessen kommt (zum Glück, aber jedoch nur wenigstens…) unverändert die einzuhaltende Pflicht gemäss CH-OR zur Anwendung von “Treue und Sorgfaltspflicht” beim Umgang mit Daten von Kunden und Geschäftspartnern.

In Anbetracht der umfassenden Überarbeitung und Zukunftsausrichtung von Privacy / Datenschutz ist natürlich erkennbar, dass prinzipiell ALLE Unternehmen, Branchen, Anbieter, Provider betroffen sind und alle zu “Hochseil-Tänzern” (hoffentlich mit besagtem Fangnetz oder Balance-Werkzeug) werden (müssen). Speziell genannt seien auch das Gesundheitswesen (eHealth, EPDG), Schulen, Universitäten, Personalwesen (HR Analytics, Recruiting, Assessment, Work Analytics), Platform-Economy (z.B. CRM, Nutzerverhalten, Einkaufsverhalten, Social Media / Engagement Analytics) und generell die “digitale Gesellschaft”.

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der integrierten Collaboration – auch auf Basis von ICT-Systemen / Clouds und Schnittstellen mit dem Fokus auf maximale, auditierbare Angriffs- und Betriebs-Sicherheit bei maximalen Datenschutz- / Privacy-Aspekten.

Es sollen möglichst produkte- und methoden-neutrale Ansätze / Fragestellungen, aber basierend auf Regulationen / Industriestandards und durch jede Firmen- / Projekt-Grösse adaptierbare «best practices» umfassend / verständlich aufgezeigt und passend eingeführt werden. Und zwar so automatisiert und integriert, dass der betroffene Anwender, Geschäftspartner oder Kunde dadurch nicht gestört oder eingeschränkt wird, jedoch zu den relevanten Auswirkungen im Bilde ist, informiert wird und die transparente Kontrolle erhält und behält bei Bedarf. Dabei sollten auditierbare Prozess-Zyklen unter den Aspekten «identify + classification» / «labeling» / «protection» / «share» / «monitoring + logging» / «report + auditing» beachtet werden.

Der «Plattform Kapitalismus» und die «massive Interkonnektion» im Rahmen der Industrie 4.0 / Digitalisierung und neuen Universen wie auch IoT, Big Data, Data Science, Künstliche Intelligenz AI, «Cyberphysical Systems» hinterlassen Konzept- und Security-Fragen welche dann auch «managed» und «auditiert» werden müssen.

Ein reiner «Schweizer Datenschutz» in der Regulierung / Standardisierung ist aktiv zu verhindern, verbannt die Zukunft ins Ausland und es gehen adaptierbare Innovationen und Entwicklungen (auch Aufträge) im Ausland verloren ansonsten.

Im Rahmen der «Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken NCS» (Fridel Rickenbacher ist ebenfalls Akteur) werden ebenfalls adaptierbare «Outcomes» (der bisherigen 16 verabschiedeten und kommenden Massnahmen) von den kritischen Infrastrukturen wie z.B. Kraftwerke, Stromversorgung, Flugverkehr, Verkehr, Spitäler, Grossbauten zu erwarten sein. Die zweite Auflage des NCS wird derzeit erarbeitet und bis Ende 2017 sollten weitere Details hierzu verfügbar sein.

Seit letztes Jahr laufende «Digitalisierungstest der Schweizer Gesetze» seitens SECO Bern (siehe Interview seitens Fridel Rickenbacher mit Dr. Eric Scheidegger) bilden ein weitere Grundlage für kommende Standards und Merkblätter oder gar Normierungen in allen Bereichen.

«Open Systems / Open Standards» verlangen nach möglichst offener (cross-connect, transparency) aber zugleich möglichst sicherer Collaboration der Akteure (Mensch und Prozesse) als Widerspruch von möglichst isolierten, geschlossenen Systemen bei möglichst maximalen Sicherheits-Stufen.

Ein «Security minded» Modell dient auch als Sensibilisierung / Mindset zur maximalen Sicherheits-Orientierung und Auditierbarkeit in Systemarchitekturen mit allen Akteuren (Mensch – Prozesse – Technologie – unter Betrachtung der physischen und logischen Sicherheit).

Eine intelligent orchestrierte, vollintegrierte ICT-Gesamtarchitektur mit Maximierung von Angriffs- und Betriebs-Sicherheit wird zur einer mittragenden Säule für die Industrie 4.0 / neue Geschäftsmodelle bzw. in diesem Anwendungsfall für die Erreichung des höchsten «Maturity Levels» / Reifegrades von bestehenden oder neuen «Business Models» / Geschäftsmodellen.

Die Zukunft wird geprägt werden von (hoffentlich) security minded «Business Model Maturity Empowering» oder «Data Monetization» von allen «Business Models» / Geschäftsmodellen mittels ICT, Big Data, AI, Data Science.

Der Betriff «Data Monetization» oder ganz einfach übersetzt «Daten zu Erfolg bringen und zu Geld machen» zeigt einen anspruchsvollen Weg (oder gar Widerspruch?!) auf von Fachbereichen (Hochseil-Akt wie besagt…) wie «Privacy & Security», «Information Ethics» oder Ideen / Konzepte / Visionen der «digitalen Gesellschaft» oder auch «Open Data».

 

Advertisements

ICT-Online-Offline-Balance – ein Ding der (Un)möglichkeit?!

unerreichbar

Ein neues Berufsbild oder gar Berufung könnte « ICT-Offline-Therapie » werden im digitalen Informations-Austausch-Wahn und 7x24h-Online-Präsenz

Publizierter Artikel im Management Magazin von sia.ch MM_06_2014_ITBox

 Die Arbeit auf 7 Tage verteilen zu können mittels ICT-Technologien, ergibt grundsätzlich einen grossen Freiheitsgrad aber birgt auch eine Gefahr von einer zu einseitig entschwindenden Entgrenzung der Arbeit und Dauer-Erreichbarkeit. Es sollte uns selber (oder notfalls mit Hilfe von Spezialisten oder Technologien) gelingen, im Moment zu leben ohne ständig online zu sein in der unterschwelligen Furcht etwas verpassen zu können. „Fear of missing out“ ist schon ein gängiger Begriff um diesen krankhaften und optimierbaren Zustand erklären zu versuchen. Die fortwährende und vorallem auch immer dynamischer werdende Informationsflut und „Krieg der Informations- und Aufgaben-Delegation“ zwingt viele Personen und auch ICT-Systeme in die Knie aufgrund fehlenden Regeln, Workflows oder schlicht mangels gesundem Menschenverstand.

Sich selber einer Art „Informations-Diät“ zu erzwingen kann unterstützt werden mit einfachen Regeln oder Filtern in den gängigen Mail-, Social-Media- oder Collaborations-Programmen. Oder noch pragmatischer: Wer braucht wirklich die progressive „Push-Funktion“ auf dem Smartphone welches mehrmals pro Stunde eine „Mikroverletzung am Gehirn / Konzentration / Arbeit und letztlich Privatsphäre“ generiert? >> siehe auch anderen Artikel hierzu

Eine der besten aber effektiv-schwächsten Erfindungen im Internet-Zeitalter ist das Medium Email welches ohne Unterstützungen mittels z.B. Regeln, Workflows oder ergänzenden Ersatz-Systemen wie z.B. Yammer, OneNote, Sharepoint, Evernote, Delve sehr schnell zum „Work-Life-Balance“-Killer werden kann.

Die Privatsphäre wird mittels Email, Whatsapp, SMS, Facebook, Twitter sehr schnell missbraucht von fordernden Absendern welche kurz vor deren Feierabend noch eine dringliche Aufgabe mit sehr grosser Erwartungshaltung am nächsten frühen Morgen (oder gar am gleichen Abend) erledigt haben wollen und dabei mitunter auch eigene Versäumnisse, Projekt-Missstände oder verhinderbare Fehler bequem und vermeintlich ohne Konsequenzen delegieren versuchen.

Die Effektivität von digitalen Informationsmedien scheint aufgrund z.B. der begrenzten Aufnahme- und Bearbeitungs-Fähigkeit (auch Ablenkbarkeit oder begrenztem adaptiven Lernen) des menschlichen Gehirns zunehmend nur noch mit unterstützenden, zukünftigen Technologien wie z.B. strukturierterem Informationsaustausch mittels gemeinsam festgelegten Regeln / Workflows oder gar mittels „Künstliche Intelligenz / Machine Learning“ oder „Big Data / Data Mining“ sichergestellt zu werden.

Ein Wissensvorsprung und gar Wettbewerbsvorteile sind weitere Faktoren welche zu solchen neuen, unterstützenden ICT-Technologien führen.

Schliesslich können zunehmend leider nur „echte Maschinen“ den „working anytime and everywhere“ Menschen unterstützen im neuen „sharing focussed“ Informations-Austausch-Zeitalter welches zunehmend auf „extracted output“ und „customized work“ basiert – wenigstens während der Schlafenszeit oder Ruhepausen … also doch bald eher „Online-Offline-Balance“ anstelle „Work-Life“?

ICT-Audit und Controlling: Innovationen durch Risk-Management

audit

Kontrollen über Kontrollen = Bestandteil der unabhängigen Qualitätssicherung, aber auch echte Sicherheit ?
Seit Jahren entstanden immer mehr ICT-Kontroll-Methoden oder Vorgaben seitens der ICT-Industrie, Regulatorien oder auch seitens einzelnen Branchen-Verbänden.
Bei vielen Firmen in der Schweiz wurden meist seitens der Treuhänder, Revisions-Stellen, Auditoren oder des eigenen Verwaltungsrates an gewisse Standards angelehnte interne Kontrollsysteme (IKS) aufgebaut und eingeführt.
Viele dieser Kontrollsysteme bedienen sich an generischen und aber zum Glück auch an spezialisierteren Fragestellungen rund um ICT-Prozesse und ICT-Risk Management. Firmenvitale Prüfpunkte rund um z.B. ICT-Gesamt-Sicherheit, Datensicherheit, Datensicherungs-Prozesse, Social Engineering, Mensch als Sicherheits-Faktor 1, KnowHow-Transfer, Mitarbeiter-Eintritt / Mitarbeiter-Austritt, ICT Security Polices, Internet-Nutzungs-Richtlinien, Datenklassifizierungen etc. wurden mehr oder minder darin abgedeckt und dann aber vielfach dann „einfach abgehakt“
>> siehe auch anderer Artikel Sicherheits-Anforderung versus eigener Sicherheits-Sensibilität

Einige Firmen reagieren darauf und lassen sich durch externe Fachexperten eine Zweitmeinung bilden im Sinne eines Mehraugenprinzips bei dem zunehmend organisationskritischen ICT-Prozess-Bereich.

Gut orchestrierte Theorie- und Praxis-Anwendung schafft echter Mehrnutzen
Aus eigener jahrelanger Beobachtung und eigener Anwendung und Beratung in solchen ICT-Audits oder Zweitmeinungs-Abgaben erhärtete sich der Eindruck und Fakt, dass viele dieser Kontrollsystemen teilweise in gewissen kritischen Bereichen zu wenig tief oder zu wenig weit in der Tragweite gehen.
Die besten Expertisen und Audits sind immer solche, die Theorie (Methoden, Standards, Prozesse) und Praxis (Systemtechnik, Systemengineering, Automatisierung) auf der Basis von z.B. „Best Practices“ oder selber angewandten Prozessen abdecken.
Ein echter Mehrnutzen – und nicht nur eben das „Abhaken“ von theoretisch basierten Kontroll-Listen – kann entstehen wenn der ICT-Auditor gemeinsam mit den Systemverantwortlichen echte Schwachpunkte und Verbesserungs-Potentiale analysiert, testet und dann effektiv auch einführt. Hierzu gilt es, sämtliche Hands-On-Praxis und besten Erfahrungen von anderen Kunden, der eigenen Infrastruktur-Umgebung und von allen taktisch gut ausgewählten KnowHow-Trägern zu nutzen und massgeschneidert passend in die ICT-Organisation einzuführen. Daraus muss letztlich ein echter Mehrnutzen (und zwar nicht nur aus Sicht des ICT-Auditoren…) entstehen für z.B. die ICT-Organisation, ICT-Automatisierung, Führungs-Ebene und den Revisions-Stellen / Treuhändern und letztlich dem Risk-Management.

Performance- und Penetration-Tests
Es gibt viele Möglichkeiten, vorgegebene Sicherheits-Standards und Compliance-Vorgaben intern oder extern überprüfen zu lassen. Je nach Sicherheits-Anforderungen oder Vorgaben des IKS kann es nötig sein, erweiterte Test-Szenarien zu definieren und prüfen zu lassen durch die externe ICT-Serviceorganisation oder externe, darauf spezialisierte Dienstleister.
Auf dem Markt gibt es viele Anbieter und ab und an entpuppen sich preisgünstige Angebote als reine, simple Security Scans mit gängigen technischen Tools aber ohne weitergehende Ueberprüfung dahinter – mit auch Lerneffekten und best practices technischen Massnahmen als Gegenwert der Ueberprüfung.

Ansatz von Szenarientechnik und Herausforderungen von dynamischen Bedrohungslagen
Weitere Erfahrungswerte aus erlebten und gesehenen Krisen und Super-GAUs zeigten auf, dass das Spannungsfeld von Theorie und Praxis sich immer mehr akzentuierten in Richtung von angewandten Szenarien-Techniken im Bereich von Planung, Ueberwachung und Controlling.
Vermeintlich einfache Fragen wie zum Beispiel: (bewusst einige Beispiele für die Verdeutlichung)
„Was passiert ab wann bei einem Internet-Zugangs-Ausfall“
„Was passiert und wird eingeleitet bei einem Stromausfall welcher länger dauert als 1 Stunde ?“
„Welche Systeme und ICT-basierte Prozesse können wie weitergeführt werden bei einem Komplett- oder Teil-Ausfall der ICT-Systemumgebung“
„Zu welchem Zeitpunkt muss der Uebergangs-Betrieb mit welchen „analogen“ Prozessen oder auf dem „Papierweg“ weitergeführt werden und welche Kunden oder Organisationen (z.B. Zoll, Spedi, Transport, Behörden, Geschäftsleitung, Verwaltungsrat, Presse) müssen wie informiert werden“
„Wie lange kann die Prozess-Landschaft ohne ICT-Business Unterstützung (wenn überhaupt und wie?) funktionieren“
„Wieviele voll- oder halb-automatische System-Redundanz wird benötigt im Gesamt-System oder klassifizierten Teil-Systemen“
„Was für Zusatz-Massnahmen sind nötig für die aktuelle, dynamische Bedrohungslage gegenüber des neu bekannten Sicherheits-Problems xy“
„Können die eingesetzten Sicherheits-Infrastrukturen wie z.B. Internet-Firewall, Mail-Filterung, Content-Ueberwachung, Viren-Malware-Filterung etc. entsprechende brauchbare proaktive Alarmierungen oder Trends reporten und auswerten. Oder braucht es uebergeordnete Monitoring-Systeme?“
„Was ist das verlangte Service Level Agreement von externen Dienstleistern hinsichtlich Reaktions- (MTTR, Mean time to react) oder Reparatur-Zeiten (MTTR, Mean time to repair)“
„Was passiert wie schnell bei einem schweren Mitarbeiter-Datensicherheits- oder EDV-Nutzungs-Verstoss gemäss ICT Security Policy“
„Sind die Mitarbeiter genügend sensibilisiert, aufgeklärt und geschult zu Basis-ICT-Sicherheits-Prozessen“
„Was passiert wenn es mehrere Fehler gibt bei den Backup-Prozessen oder Backup-Wiederherstellungs-Prozessen“
„Was passiert ab wann bei einem externen oder internen gezielten Hacker- / Trojaner-Angriff“ „Gibt es ein Change Management fuer kontrollierte Systemaenderungen“
„Sind die eingesetzten EDV-Mittel genuegend dokumentiert und die entsprechenden Versicherungen / Versicherungssummen darauf korrekt ausgerichtet“
„Ist der KnowHow-Transfer bzw. Wissenstraeger-Abhaengigkeit genuegend geregelt und sichergestellt“
„Ist die physische Server-Raum-Sicherheit genuegend sicher fuer einfache Einbrueche oder Sabotagen“
„Ist die externe sichere Backup-Aufbewahrung sichergestellt“

Vielfach vergessen: Controlling des ICT-Vertragswesens und SLA / OLA
Ein sehr wichtiger und aber leider vielfach zu wenig dokumentierter Teilbereich identifiziere ich bei vielen auditierten Organisationen im Bereich des ICT-Vertrags- und Versicherungs-Wesens.
Um die Gesamt-Sicherheit und letztlich die System-Verfügbarkeit allumfassend beurteilen zu können, müssen auch die entsprechend klassifizierten Vertragsnehmer hinsichtlich deren Service Level Agreements (SLA) / Reaktionszeiten / Gewährleistungen geprüft werden.
Vielfach wird dann auch unterlassen, dass nebst den klassichen SLA-Betrachtungen teilweise auch übergeordnete sogenannte OLA (Operation Level Agreements) nach noch schärferen Kriterien und Reaktionszeiten abgeschlossen werden müssen damit die SLAs (interne oder externe) überhaupt abdeckbar sind. Etwelche Verträge oder Gewährleistungen sind mitunter aufgrund nicht passenden internen oder externen SLA / OLA eigentlich gar einhaltbar und würden weiteren Negativ-Punkte in einem detaillierten ICT-Audit oder IKS abgeben.

Immer wichtigerer Teil-Aspekt legale Software-Nutzung und Software-Lizenzierung
Der Kunde ist verantwortlich für die lückenlose Lizenzierung sämtlich eingesetzter Software, Tools auf seinen genutzten Umgebungen vor Ort oder auf den Cloud-Plattformen des Cloud-Services-Dienstleister. Der Kunde bewahrt die entsprechenden Lizenz-Keys, Lizenz-Papiere, Volumen-Lizenzen-Informationen / Zugänge oder anderweitige Belege auf und übermittelt diese zu Beginn der Zusammenarbeit als z.B. Scan oder Mail an den ICT-Support- oder Cloud-Services-Dienstleister für den Lizenz-Nachweis und Dokumentation.
Lokale Lizenzenänderungen sind ebenfalls entsprechend laufend zu melden.
Als speziell genannte Beispiele für die kundenseitige Verantwortlichkeit gehören hierzu z.B. Microsoft Office, Microsoft Windows, Microsoft Server Palette, Datenbanksoftware, Apps, Virenschutz, Grafikbearbeitung, CAx, Entwicklungsumgebungen, Microsoft Volumen-Lizenzen und allfällig zusätzlich benötigte Client-Zugriffs-Lizenzen.
Der Kunde informiert sich bei Unklarheiten zur lokalen Lizenzierung in dessen Umgebung / Netzwerk / Domaine / Arbeitsgruppe (z.B. Upgrade- / Down-Grade-Rechte, Versionen, Anzahl benötigter Lizenzen etc.) proaktiv und direkt bei dessen Softwarelieferanten. Der ICT-Support- oder Cloud-Services-Dienstleister kann ihn hierbei (meist kostenpflichtig) unterstützen.
Aufwändungen für allfällige Lizenzen-Audits / Dokumentationen / Abklärungen / Besprechungen seitens der Software-Lieferanten wie z.B. Microsoft sind in jedem Fall kostenpflichtig und nicht abgedeckt seitens der ICT-Support- oder Cloud-Services-Dienstleister.
Der Kunde nimmt explizit zur Kenntnis, dass bei allfälligen Lizenzierungs- / Rechts-Verstössen der Kunde rechtlich direkt belangt würde seitens der Software-Lieferanten wie z.B. Microsoft und der ICT-Support- oder Cloud-Services-Dienstleister hierauf keinen Einfluss hat.
Spezielle Cloud-Services-Lizenzen welche der Kunde je nach Vertrag durch seine Services mietet und separat bezahlt via a) dem Microsoft SPLA-Agreement oder b) Microsoft Online Services (z.B. Office 365, MS Azure, Windows Intune) oder c) Volumen-Lizenz-Verträgen werden vielfach seitens der ICT-Support- oder Cloud-Services-Dienstleister verwaltet und monatlich reported. Allfällige Änderungen bei diesen gemäss separater Vertrags- und Verrechnungs-Positionen gemieteten Software, Benutzerzahlen, Versionen sind unverzüglich an den ICT-Support- oder Cloud-Services-Dienstleister zu melden für die lückenlose und genaue Lizenzen-Reporting-Anforderung.
Auch hier ist es vielfach so, dass Ueber- / Unter-Lizenzierung zu grossen negativen oder positiven Potentialen führen kann in den Bereichen wie Kosten, rechtlichen Angriffsflächen oder letztlich Compliance-Themen.
Es gibt einige auf SAM (Software Asset Management) spezialisierte Firmen, Dienstleistungen und Tools die (lieber vor…) während einem Audit eingesetzt werden können.
Vielfach entstehen vorallem in der heutigen Bandbreite der Lizenierungsoptionen nennenswerte Innovationen im Lizenzierungsbereich z.B. reine Miete, Miete-Kauf, günstigere Kauf-Optionen und auch Lizenzierung mit weitergehenden Zusatzservices und Zusatzrechten (wie Office365 für den Bereich der Office-Lizenzierung oder Windows Intune für den Bereich der Windows- und Endpoint-Protection-Lizenzierung)

Innovationen durch Audits und Risk-Management
Die Erfahrung zeigt, dass durch das proaktive Anwenden und Akzeptieren von gemeinsam definierten Prozessen oder IKS – mit eben auch Blick nach vorne oder auf neue adaptierbare Technologien und Methoden – durchaus auch Innovationen entstehen in einer solchen fortwährenden Transformation in eine Art „Business Excellence in der ICT“.
Dies auch unter dem Aspekt, dass sich mehrere Sichten, Bedürfnisse, Expertisen und Erfahrungswerte vereinen und das „möglichst Beste aus der Praxis und Theorie“ einbringen in dann ein echtes und vorallem dann angewandtes IKS / Audit-System.

100% Sicherheit gibt es nicht – der Rest ist reines Risk-Management und nicht Technologie
Diverse Ansätze / Methoden / Compliance Anforderungen wie z.B. Business Recovery System (BRS), Disaster Recovery Tests, Contingency Plan, IKS oder Prozesse nach CobIT, ITIL, ISACA, ISO, IEC27001, IEC17799, SOX, IT GSHB können schon sehr viel an generischen Risiken und entsprechenden Gegenmassnahmen abdecken. Jedoch sind diese eben „nur generisch“ und müssen massgeschneidert an die effektive Firmen-ICT-Prozesslandschaft angewandt und an die ICT-Teilziele der Firmen-Gesamt-Strategie angelehnt werden.
Es bleiben immer Rest-Risiken übrig welche im Risk-Management abgebildet werden müssen.
Innerhalb des Risk-Management-System geht um einen laufenden Loop von „Erkennung“, „Bewertung und Klassifizierung“, „Managen“ und „Ueberwachung und Kommunikation“
Ich neige bei vielen Controlling-Systemen und Audits zu sagen: „Das ist vieles abdeckbar mit Prozessen, ICT-Technologien und vorallem Tests. Die anderen Rest-Risiken gehören ins Risk-Management und haben nicht mehr ausschliesslich was mit ICT-Technologie zu tun. Sicherheit ist keine reine Technologie-Frage sondern eine Kombination von wiederkehrenden Prozessen in einem Gesamt-ICT-Audit-System“

Public Cloud – Office365 – das (r)evolutionierte „4D-Printing“ / „Hier und Jetzt“ der Zusammenarbeit

cloud

Wir kennen das vom Einkauf im Dorfladen: „Was darf es sonst noch sein?!“ – „Darf es ein bisschen mehr sein?“ Die gleichen Fragen stellen sich derzeit in der ungemeinen (oder eher gemeinen unübersichtlichen…) Flut der Cloud-Services mit unglaublich „bisschen gar viel integriert mehr drin“. Das massgeschneiderte Orchestrieren und eine sauber vorbereitete Transformation kann sehr grossen Zusatz-Nutzen generieren bei Kleinstunternehmen, KMU und auch bei grossen Organisationen.

Aufgrund der Tatsache, dass vorallem ein grosser und wichtiger Teil der Kommunikation per Internet und Email schon immer über das grundsätzlich unsichere Internet abgewickelt wurde seit Jahren, freunden sich immer mehr „Sicherheitskeptiker“ an mit sogenannten Hybrid-Cloud-Lösungen bei welchen ein Teil der ICT-Services von einer lokalen ICT-Organisation (Private Cloud) und ein anderer Teil von einer externen ICT-Organisation (Public Cloud) als reiner Service bezogen wird.

Wenn man dann auch nicht die Gesamt-Kosten-Aspekte mit-betrachtet im Bereich von Kosten wie z.B. Infrastruktur, Serviceorganisation, Support und vorallem auch den konkurrenzlosen Hersteller-Direkt-Lizenzierungskosten kommt es nicht von ungefähr, dass der Erfolg und laufende technische Weiterentwicklung und das Wachstum dieser Public Services (z.B. Office365, SharePoint Online, Exchange Online, Yammer, OneDrive for Business, Microsoft Azure, Windows Intune, Lync Online) beeindruckend ist in den letzten Jahren.

Im Jahr 2009 starteten wir selber bei uns oder Kunden mit der damaligen Ur-Version vom heutigen Office365 – damals hiess es bisschen holperiger „Business Productivity Online Suite“ oder kurz BPOS. Die damalige Version war im Bereich der Online-Admin-Konsole und den technischen, integrativen Features um Welten entfernt von den heutigen, stark erweiterten Office365-Komplett-Lösung.

Die damalig eher technisch gegebene und „noch cloud-kritische“ Distanz und Unsicherheit wurde – in den folgend laufenden Services-Erweiterungen und richtiggehenden (R)Evolutions-Schritten der einzelnen Cloud-Anbietern – stufenweise abgebaut.
Fortan wurde in den entsprechenden (R)Evolutions-Schritten der Cloud-Services die organisatorische und technische „Hürde“ für diverse ICT-Organisationen und ICT-Infrastrukturen immer grösser, auf dem gleichen Level (Infrastruktur, Prozesse, KnowHow, Automatisierung, Qualität, Sicherheit, Kosten) dieser sehr schnellen Weiterentwicklung und kürzeren Versions-/Lebens-Zyklen mitzuhalten.

Auch muss festgehalten werden, dass das damalige „Orchestrieren“ der Cloud-Services mit den damalig verfügbaren Admin-Konsolen und Produkteversionen auf der Basis von Exchange 2007, SharePoint 2007, Office 2007 kein Vergleich ist mit den heutigen sehr ausgereiften und beinahe völlig mit OnPremise-Installationen verschmelzten Konsolen, Tools, Scripts und auch PowerShell. Weitere mächtige Erweiterungen und „Andockstellen“ von/für lokalen OnPremise-Umgebungen wie z.B. ADFS (Active Directory Federation Services), DirSync, Webservices, Connectors, Remote Powershell, MS Azure eröffnen weitere Flexibilitäts-Grade für eine stufenweise technische Transformation oder Koexistenz-Betrieb (z.B. bei stufenweisen Migrationen von mehreren Filialen oder Ländergesellschaften, Ausfallsicherheits-Massnahmen von z.B. Domaincontroller / HyperV Replica / Active Directory Services auf MS Azure).

Weitere neue Konzepte des SelfService-Gedanken mit User-Admin-Umgebung, administrations-delegierbaren RBAC (Rollenbasierten Zugriffskontrolle) für z.B. Microsoft-Partner (POR) oder Kunden-Admins, Service-Health-Status und integriertem Ticketing-Support-System decken weitgehenst unterschiedlichste Bedürfnisse von in einer Transformation stehenden ICT-Organisation ab.

In Bereich der Sicherheit stehen derweil weitere Features zur Verfügung wie z.B. SingleSignOn (SSO), Multifactor-Authentication, autonomer Kennwort-Reset mit mehrstufiger Sicherheit, Komplett-Verschlüsselung der Daten / Mails / Kommunikation / Transport und auch spezielle Richtlinien-Definitions-Möglichkeiten in den Bereichen wie Compliance / LegalHold / Ligitation / Archivierung / Journaling / Versionisierung. Hier wiederum kommen ebenfalls zentrale Enterprise-Lösungen zum Zuge wie z.B. Forefront, System Center, DPM, APP-V, MDOP welche sich vorallem kleinere und auch mittlere ICT-Organisationen monetär und auch knowhow-mässig nicht leisten können.
Ein weiterer fleissiger Helfer für ein zentralisiertes Device-Management, Endpoint-Protection , Inventarisierung, Compliance-Support, Lizenzierungs-Management von Clients / Tablets / Smartphones (Windows Phone, iOS, Android) namens Windows Intune rundet dann eine solche „Enterprise-Umgebung, erschwinglich für JEDER Organisation“ rund und integriert ab.

Kurzum aus technischen Aspekten: Darf es bisschen mehr sein? ¨> Ja bitte, wir können es uns sonst gar nicht selber leisten! Danke!

Die zunehmend gewünschte Verschmelzung von den unterschiedlich genutzten Geräte- / Form-Faktoren wie Firmen-PC, HomeOffice-PC, Ultrabook, Tablet, Smartphone sind weitere Treiber dieser Public-Cloud-Entwicklung und den mittlerweilen entsprechend grossen Service-Bandbreite von Public-Cloud-Services wie Office365.

Neuere und intuitivere Bedienungskonzepte, Software-/App-Generationen mit verschmelzenden Bedienungsoberflächen und künftig immer weniger Betriebssystem-Versionen (z.B. noch 1 Betriebssystem auf allen genutzten Geräten …) eröffnen ein riesiges weiteres Innovations-Potential der jetzt schon erstaunlichen Abdeckung der Office365-Palette.

Ebenfalls ist die laufende konsequente Weiterentwicklung der Webservices / Apps welche sich hersteller-unabhängig in allen modernen Webbrowsern, auf allen Tablets, Ultrabooks, Smartphones (Windows Phone, iOS, Android) und z.B. TV-Geräten nutzen lassen sehr beeindruckend.

So staunt man doch nicht schlecht wenn man plötzlich auf einem fremden PC ohne aktuelles Office drauf im Webbrowser mit z.B. Word Online (vormals Office Web Apps) beinahe vollwertig arbeiten kann. Bei entsprechender Subscription kann man ja immer noch bei Bedarf das Office-Packet per sogenannter Click-and-Run-Streaming-Technologie innert einzelner Minuten lokal als auch cloud-unabhängige Desktop-Version installieren lassen auf bis zu 5 Geräten pro Benutzer.

Durch die Collaborations-(R)Evolution und Office365-Erweiterungen wurden auch für Privat- oder KMU-Anwender gar nicht oder passiv genutzte Programme und verkannte geniale Funktionen wie z.B. OneNote, OneDrive (vormals SkyDrive), SharePoint, Lync, Yammer plötzlich sehr interessant und vorallem nützlich für die Effizienz-Steigerung und als weitere digitale Helfer. Der frühere hardware-mässige PDA (Personal Digital Assistent) ist nun plötzlich keine Hardware mehr sondern eher genial orchestrierte Cloud-Services die überall und ohne den verstaubten PDA nutzbar sind.

Die vielen genialen Funktionalitäten und völlig neuen Freiheitsgrade des persönlichen „Cloud Offices“ wo immer man ist werden dann auch erstaunlicherweise zu extrem günstigen Preisplänen angeboten. So kommt es nicht von ungefährt, dass viele ICT-Organisationen gewisse Lizenzierungs-Aktualisierungen oder Ergänzungen mittels den Office365-Lizenzierungs-Moeglichkeiten abdecken und davon kostenmässig profitieren.
Dass dann dabei dann plötzlich die durchschnittlichen cirka 3 Mitarbeiter-Geräte und auch noch das ganze HomeOffice lizenztechnisch abgedeckt ist mit 1 Subscription bringt natürlich auch die Kosten-Rechner und Budget-Owner auf den Plan.

Kurzum auch aus funktions- und lizenz-technischen Aspekten: Darf es bisschen mehr sein? > Ja bitte, wir können nun endlich echt geräte- und standort-unabhängig die modernsten Collaboration- / Cloud-Services einfach nutzen! Danke!

Die besten Lösungen bedürfen auch deren besten Anwendung für das Ausschöpfen möglichst aller Potentiale und Funktionalitäten.
In Kombination von möglichen Collaborations-Dreamteams wie z.B. Outlook / Exchange, OneNote, SharePoint, OneDrive und auch Yammer oder Lync entstehen mittels einer gut vorbereiteten Einführung, Orchestrierung, Schulung, Prozessadaptionen und laufender Weiterentwicklung ungeahnte neue Innovationen während dieser Transformation.
Das standortunabhängige, sehr nah integrierte Zusammenarbeiten genau aus den Anwendungen die man seit Jahrzenten selber kennt – wie eben nur schon Office –  entstehen plötzlich z.B. bisher brachliegende Verbindungen, neue Zusammenarbeitsformen, Integrations-Funktionen, virtuelle Workspaces, sichere Informations-Drehscheiben und letztlich eine komplett (r)evoutionierter und firmengelände-überwindender Kommunikations-Prozess.

Die Arbeit, Zusammenarbeit und Projekte werden in kurzer Zeit der Anwendung und gut begleiteter Schulung sehr schnell viel interaktiver und dynamischer.
Dokumente, Präsentationen, Berichte, Ideensammlungen, Mails sind plötzlich von überall, ab jedem Gerät und ohne Gedanken an die „Technologie“ oder „technischen Hürden“ nutzbar, veränderbar und zwar zu genau den Zeiten wo man die besten Ideen und Gedanken / Inputs hat!

Eine Art der Arbeitsmentalität „Hier und Jetzt“ und nicht erst morgen wenn ich den PC in der Firma gestartet habe und dann viel Spontan-Kreativtät oder unterschätzte Motivation / Arbeits-Energie verloren habe. Dass dabei die „Work-Life-Balance“-Kritiker wieder Vorbehalte haben ist verständlich. Jedoch helfen genau diese spontanen Möglichkeiten auch den Arbeitsalltag oder die Gesamt-Jahresarbeitszeit zu optimieren und aufzulockern. Es ist ja auch nicht gesund und schlaf- und erholungs-fördernd wenn man den Kopf voller nicht effizient niederschreibbarer wichtigen Gedanken hat, vielfach dadurch abwesend ist und dann wieder an den Arbeitsplatz oder HomeOffice hetzt um ja nichts zu vergessen innerhalb der Tagesarbeitszeit anstelle genau die Zeiten zu nutzen wo man kreativ ist, niemand stört, das soziale Umfeld oder Familie nicht beeinträchtigt oder irgendwo warten muss… wenn man es ganz intelligent und ausgeglichen gestaltet kann es durchaus sein, dass der Firmen-PC immer mehr warten muss auf seine Eingaben und der Mitarbeiter dann nur noch in der Firma ist für z.B. Projektbesprechungen, KnowHow-Transfer, Austausch, Schulungen und dadurch zunehmend flexibler wird in seiner Arbeitszeit-Gestaltung. Die Arbeitgeber-Attraktivität durch die Mitarbeiter-Zufriedenheit durch solche neuartige Arbeits-Modelle wird zunehmend firmenvital im künftigen modernen Humankapital-Management und im kompetetiven Markt.

Die auch durch Cloud-Services verbundene zunehmende „Entgrenzung der Arbeit“ (Stichwort: Arbeit nicht nur innerhalb der „Firmengrenzen“ mehr sondern eben überall und wiederum „Hier und Jetzt“) verlangt natürlich auch entsprechende definierte ICT-Weisungen, ICT-Sicherheitsrichtlinien und ICT-Controlling-Mechanismen für z.B. Compliance / Datenschutz innerhalb von z.B. IKS (Internes Kontrollsystem) oder QM-Prozessen.

Nichts ohne ICT-Strategie!
Dass dabei diese neue Arbeitsform und letztlich „Business-Support durch ICT“ definiert und gestützt werden muss innerhalb der anzupassenden oder zu etablierenden ICT-Strategie liegt auf der Hand. Die ICT-Strategie ist entsprechend aufgrund des zunehmend firmen-vitalen ICT-Prozesses abzuleiten von der jeweiligen Firmen-Strategie. Relevant ist auch, dass seitens der Führungs-Ebene diese ICT-Strategie und deren Auswirkungen pro-aktiv unterstützt und laufend traktandiert werden. Hierbei wird endlich und zurecht dem ICT-Prozess nicht nur ein reiner Kosten-Faktor hinterlegt in der Gesamtverantwortung sondern eben auch eine adäquate Firmen-Vitalitäts-Bemessung.

Kurzum auch aus arbeits-technischen Aspekten: Darf es bisschen mehr sein? > Ja bitte, wir können nun endlich echt die Arbeitszeit und Arbeitsgestaltung freier mitprägen und flexibilisieren! Danke!

Das (r)evolutionierte „4D-Printing“ / „Hier und Jetzt“ der Zusammenarbeit könnte entsprechend dann entstehen durch die 4. Dimension der Zeit > im übertragenen Sinne also „Hier und Jetzt“

ICT-Business Support-Prozesse und Transformation in der Bauwirtschaft und Baulebenszyklus

bauinformatik_nextgen_ict_bauprozess

Alt bewährt – in Stein gemeisselt – aber noch zeitgemäss ?
Auf meinem ersten Bildungsweg in den Bereichen Bau-, Bauinformatik und Immobilien wurde noch viel mehr „analog“ aber mit „eigenem Köpfchen ohne dutzende von fehlerkorrigierenden digitalen Helfen im Hintergrund“ geplant und gearbeitet am Reissbrett, auf Skizzen, auf Plaupausen, Handnotizen, Baustellen-Rapporten, mit Schreibmaschine verfassten Werkverträge, handgeschriebenen Leistungs-Ausmassen oder Submissions-Unterlagen.
Die Mentalität von schnell was machen und ansonsten wieder zurück mittels „Zurück-Befehlen in Programmen“ gab es damals noch nicht. Komplexere Planelemente oder grafische Grundelemente wie nur schon einfache Linien von A nach B waren nicht gerade „in Stein gemeisselt“ aber fanden mittels Tintentusche eine permanente Druchdringung des verwendeten Planpapiers und mussten mühsam (wenn die Anzahl der Korrekturen dies überhaupt zuliessen je nach Dicke des Papiers …) weggekratzt oder wegradiert werden. So war die Art und Weise des täglichen Planungs- und Arbeit-Prozesses in den vielen Planungs- / Ingenieur- und Architektur-Büros und auch Baustellen-Büros eine fundamentale andere als der heutige mittels EDV-Unterstützung.

Bauinformatik per Lochkarte und 5.25″ Diskette
Es gab sie damals: die sagenumwobenen Monstermaschinen mit den super-ergonomischen Röhrenmonitoren und der grünen Schrift auf schwarzem Hintergrund welche vielfach genutzt wurden für Baustatik und Berechnungen.
Aber auch hier: eine entsprechende Statik-Berechnung musste – man staunt – schon vor der mehrstündigem Berechnungs-Lauf-Prozess sauber durchdacht und vorsimuliert sein im Kopf oder auf dem Papier. Mehrere Fehler durfte man sich nicht erlauben aufgrund der Laufzeiten, Lieferfristen und beschränkter Verfügbarkeit der Maschinerie. Auch musste man dann jeden Rechnungslauf sauber eintragen in einem Papierprotokoll für die interne und externe Abrechnung… Kaum mehr vorstellbar was das abgebildet auf den heutigen Umgang mit der EDV zur Folge hätte.

Planung und Verantwortung – ohne digitale Helfer wie Notebook, Smartphone, Internet, CAD, Projektprogramme
Das methodische, logische Vorgehen und vorallem das „zu Ende Denken“ mit allen Konsequenzen und darauf resultierenden Verantwortung prägte die Arbeitweise und letztlich den damaligen Bauprozess.
Ein „Gut zur Ausführung“ eines Planes oder ein vor Ort auf der Baustelle / Immobilie erteiltes „OK“ war nicht mehr so schnell korrigierbar ohne Smartphone, ohne Internet, ohne Email. Die Arbeit war viel bewusster und nachhaltiger. Es gab – im Gegensatz zu den heutigen Programmen – keine „Trial and Error“-Moeglichkeit mit einfachen Vor-Simulationen oder 3D-Visualisierungen – die Schritte mussten sozusagen auf Anhieb sitzen.

Digitalisierung des Bauprozesses mit Bauinformatik und Schnittstellen
Zunehmend hielten PCs / Macintoshs Einzug in die Planungsbüros und blieben nicht nur den Architekten, Ingenieure oder Büroinhaber vorbehalten sondern auch die Zeichner / Konstrukteure und zum Glück auch Lehrlinge durften davon profitieren in der Firma und in den Ausbildungsstätten. Modernere Software-Generationen für die Auftragsbearbeitung, Leistungserfassung, Ausschreibung, Werkvertragswesen, Abrechnung folgten zugunsten der weiteren Digitalisierung des Bauprozesses und letztlich des Business-Supports durch ICT.
Die unterschiedlichen CAD- und Auftragsbearbeitungs-Software verlangten nach standardisierten Schnittstellen und Austauschformaten für den Datenaustausch zwischen den Projektbeteiligten und zwischen den unterschiedlichen Software-Anbietern.

Die Planungs- und Leistungsbeschriebs-Unterlagen wurden datentechnisch „um Dimensionen“ erweitert mit 3D, Layers, standardisierten seitens Hersteller gelieferten Bibliotheks-Elementen, Kosten und letztlich einer Explosion von Datenzuwachs. Wie wir schon in der Wirtschaftsinformatik lernten stellte sich genau hier die Grundsatzfrage „Wann und mit welcher Business-Logik werden aus Daten verwertbare Informationen?“

Nichts ohne Standardisierungen und Normierungen
In meiner unverändert laufenden Tätigkeit seit über 13 Jahren in der Kommission für Informatik und Normenwesen beim Schweizerischen Ingenieur- und Architekten Verein http://www.sia.ch durften wir entsprechende schweizerische Normen / Merkblätter / Empfehlungen für die Fachbereiche wie CAD, Datenaustausch, Prozesse erarbeiten und verabschieden in verschiedenen Arbeitsgruppen und Publikationen.
Eines der grössten Spannungsfelder war die Tatsache, dass in der normativen Fachlehre meistens „zurück geschaut“ und „darauf basierend definiert“ wird auf das jahrelang Bewährte und wir uns konfrontiert sahen, genau diesen bisher üblichen Blick auf Jahre oder gar Jahrzente alte Normen / Standards in die entgegengesetzte Richtung in die Zukunft zu fokussieren und Widerstände zu überwinden in die Richtung der „Akzeptant mit fachlicher Penetranz“
Wir mussten auch feststellen, dass auch aufgrund einiger verstaubten Normen und Merkblätter schon einige grössere Firmen, Softwareanbieter oder professionelle Bauherren eigene, interne Standards etabliert hatten aus der Dringlichkeit und der fortgeschrittenen Entwicklung des Bauprozesse.

Bau-Industrie-Standards wurden reformiert – EDV-Standards schon länger
Einige Industrie- und SIA-Normen / Standards / Schnittstellen wie z.B. SIA 451, DXF, CAD-Merkblätter, NPK, BKP, eBKP bedurften einer Reformation auf prozess-mässiger und auch technologischer Ebene unter Berücksichtigung möglichster aller Verbände und Interessen-Gruppen wie auch Bauherren, Generalunternehmer, Immobilien-Bewirtschafter, Investoren, Banken.
Der Wandlungsdruck auch vom europäischen Einflussbereich der CEN-(DIN)-Normen hielt auch hier Einzug und es mussten immer mehr Interessen abgewägt und abgedeckt werden auf einer möglichst neutralen und produkte-neutralen, strategischen Ebene – aber immer wieder und zunehmend unterstützt und automatisiert durch Bauinformatik.

Transformations-Hemmnisse verhinderten aktiven Teilnahme und Optimierungs-Potentiale
Auf meinem zweiten Bildungsweg in den Bereichen Wirtschaftsinformatik / Engineering / Internet-Technologien sprach man schon Ende der Neunzigerjahre z.B. von „reformierendem“ Outsourcing / Application Service Providing (ASP) und andere Branchen transformierten sich bereits damals oder schneller in diese Richtung. Die Baubranche bzw. die damaligen noch bestehenden Abhängigkeiten von älteren sogenannten Legacy-Systemen, internen Standards oder nicht einfach so migrierbaren EDV-Prozessen verhinderten damals die grossflächige Teilnahme in dieser fortschreitenden Industrialisierung mit sich damals etablierenden neuen EDV-Standards. >> siehe separater publizierter Artikel

Akzeptanz und Verbreitung – beginnend bei der Ausbildungs-Pyramide
Die Verbreitung und Anwendung von neuen Normen / Standards und business-unterstützenden ICT-Prozessen waren nur sinnvoll und nachhaltig zu etablieren via der mehrstufigen Ausbildungs-Pyramide (Ausbildung, Weiterbildung etc.), der Verbreitung via Fachverbänden und dies begleitet mit den entsprechenden Merkblättern und Normen. Diese verzögerte Verbreitung und der Widerstand von bereits eigens etablierten Standards stellte eine weitere Herausforderung dar in der sich stetig verändernden Halb-Werts-Zeit des Fachwissens und der entsprechenden Akzeptanz und Adaptions-Müdigkeit.

Unterstützungs-Prozesse wie ICT, Normen-Adaptionen, Standard-Etablierungen – zu unrecht als reiner Kostenfaktor / zu recht als Nicht-Top-Prio der Nachfolgeregelung betrachtet
Jahrzentelang wurden entsprechende hochgelebte Standards teilweise aus unberechtigter Angst vor Zusatzkosten / neuen ICT-Prozessen oder Kontroll-Verlust am Leben erhalten und neue Chancen und Innovations-Potential verpasst.
Es schien beinahe unmöglich zu sein, die heiligen internen Standards / Prozesse / Vorlagen für Pläne / Leistungsverzeichnisse / Werkverträge / Bibliotheken zu ändern aufgrund auch von teilweise konzeptionell falsch aufgebauten Basis-Sets und Definitionen welche auseinanderbrechen zu drohten. Meinungen und Aussagen wie z.B. „Funktioniert ja alles und wir bauen seit Jahren so“ und „Uns fehlen die gesamtschweizerischen etablierten Standards und das Einführungswissen für eine strukturierte, effiziente Umstellung“ war dann eine gängige Ausprägung dieser Transformationsmüdigkeit.
Viele der betroffenen Organisationen befanden sich zusaetzlich auch in einer Uebergangslösung oder Phase der Nachfolge-Regelung seitens der Firmen-Inhabern und verständlicherweise waren vielfach die Prioritäten derweil anders gesetzt.

Der ganze Bau-Lebenszyklus wurde zunehmend voll-digitalisert
Entlang des ganzen Bau-Lebenszyklus mehrten sich zunehmend mehr professionell, monetär orientierte Interessen-Gruppen wie Investoren, professionelle Bauherren, Immobilienbewirtschafter, Gesamt-Systemanbieter und Banken / Versicherungen.
Die prozess-technischen und technologischen Anforderungen an die Outputs / Inputs aller Projektbeteiligten wurden komplexer und dynamischer und der entsprechende Minimal-Standard als an diesem Bauprozess teilnehmendes Unternehmen stieg rapide an.
Die eingeläutete (R)Evolution wurde begleitet von einer Reihe von neuen Produkten, Prozessen und Normen / Merkblätter. An der Baurationalisierung waren diverse Institutionen, Verbände und auch Firmen / Organisationen wie der SIA http://www.sia.ch und CRB http://www.crb.ch aktiv beteiligt.

Konzentration auf die Kernprozesse und Outsourcing von Supportprozessen
Der zunehmende Komplexitäts-Grad des Gesamt-Prozesses und Lebenszyklus verlangte nach interdisziplinären Zusammenarbeiten und teilweise auch auf Konzentrationen auf Kernkompetenzen und Hochspezialisierungen in Teilbereichen.
Hierzu wurden auch vermehrt für solche Supportprozesse entsprechend externe Berater / Systeme / Support hinzugezogen um das „Beste von Allem“ zu erhalten und nutzen zu können.
Hierzu gehörte auch der Bereich der Informatik >> siehe separater publizierter Artikel

Nächste Generation der digitalen Baurationalisierung
Neuere vielversprechende und visionäre Standards in Richtung BIM (Gebäudedatenmodellierung) stellen weitere Herausforderungen und riesige Potentiale dar.
Es bleibt zu hoffen, dass hier die entsprechende Wandlungsbereitschaft und Adaptierungsgeschwindigkeit rascher und effizienter erfolgen kann mit möglichst allen interdisziplinär zusammenarbeitenden Interessengemeinschaften und unter den Vorgaben und Vorarbeiten von der internationalen Organisation buildingSmart und dem offenen Standard openBIM. Das Basisdatenmodell IFC (Industry Foundation Classes) zur digitalen Beschreibung von Gebäudemodellen weckt grosse Hoffnung, dass der digitale Informationsfluss während des ganzen Lebenzyklus eines Bauwerkes weiter (r)evolutioniert wird.

Visionen und Chancen – ueber Big Data und Cloud zum gemeinsamen Erfolg
Rund 70% der schweizerischen Bauwerke sind aelter als 30 Jahre und stehen vor baldigen Umnutzungen, Renovationen oder gar Neubauphasen. Es bleibt zu hoffen, dass diese riesige Menge an zu erhebenden Daten für z.B. Renovation, Altlastensanierungen, Umnutzungen in wenigstens minimaler Detaillierungsstufe vorhanden sind und genutzt werden können … Es ist eher was Anderes zu erwarten … und genau kann man die Schwierigkeiten und Herausforderungen erkennen.
Meine persönliche Vision ist, dass man künftig z.B. zu jeder Zeit des Entstehungs- und Nutzungs-Prozesses entlang des Lebenszyklus zugreifen kann auf zentral (z.B. Immobilienbewirtschafter) oder dezentral (z.B. Baustoff- oder Bauteil-Lieferanten) gehaltene Informationen von Bauwerken.
Weitere Entwicklungen in den Bereichen wie „Internet of things“ bei welchem jedes Gerät künftig vernetzt und integriert werden kann in Facility Management Systemen oder nur schon in einer einfachen Heim-Vernetzung ermöglichen weiteren Innovationen und Potentiale.

Potentielle Einsatzmöglichkeiten von Big Data / BIM-Anwendungen
Folgende Use Cases sehe ich persönlich als Beispiele:

– Ein Planungsbüro, Baustellenbüro wird viel flexibler bei der Einrichtung und Unterhalt von stationären oder mobilen Arbeitsplätzen für die Mitarbeiter oder Projekt-Ausführungsorte. Der Mobile Workplace wird spätestens dann vollumfassend realisierbar und effizient nutzbar.
Die Arbeitsweise wird zumindest dann technologisch (r)evolutioniert und kann dann mit passenden Best Practices Anwendungen oder massgeschneiderten Prozessen (passend auf die jeweilige Organisation) ausgeschöpft werden.

– Ein Kalkulator, Projekt-/Bau-Leiter, Projektcontroller hat schon waehrend der Bauphase laufende Rueckmeldungen seitens z.B. der mobilen Leistungserfassung in die Kostenrechung, Nachkalkulation und immer wichtigerer Kostenplanung und Steuerung.

– Ein Immobilien-Verwalter kann während einer Objektbesichtigung mit dem Eigentümer direkt per Smartphone / Tablet / Notebook auf Pläne, Uebergabeprotokolle, Dokumentationen, Wartungs-Kontroll-Listen, Anleitungen zu eingebauten Geräten, Kennwerten, Messwerten vom Facility Management System oder Energie- / Verbrauchskosten zugreifen und direkt z.B. Reparaturaufträge, Aufträge an Hauswärte oder Dienstleister verwalten und erteilen.

– Eine  Immobilien-Bewertung oder Immobilien-Sanierung kann mittels Zugriff und Uebersicht auf Baumaterialien, Altlasten, Hersteller-Informationen oder ganzen Bauteilgruppen dazu beitragen die Kosten- und Ausführungs-Planungen stark zu optimieren.

– Ein Architekt oder Fachplaner kann auf einen Klick ermitteln welche Baustoffe, Bauteile, Bauelemente oder Geräte  in welcher Anzahl und Qualität verbaut werden oder wurden – mit auch seitens Produzenten online aktualisierten Werten zu z.B. Seriennummern, Chargenummern, Rezepturen, Produktedokumentationen, Nachweisen, CO2-Werten, Produkte-Haftpflicht-Themen.

– Expertisen rund um bauphysikalische, baubiologische oder bautechnische Beurteilungen werden mittels zugänglichen Basisdaten zu Bauteilen / Werten / Baustoffen / Pläne unterstützt.
Ergebnisse und Empfehlungen zum untersuchten Objekt könnten rückfliessen in den Bauobjekt-Datensatz für künftige Weiternutzung und History.

– Sanierungen oder Rückbauten wären mit guter Informationsbasis genauer planbar in den Bereichen Planung, Kosten, Ausführung oder Altlasten-Sanierungs-Massnahmen.

– Versicherungs- / Schadenfall-Abklärungen würden effizienter und genauer.

– Ein Service-Dienstleiter fuer z.B. Klima, Aufzuege, Heizung, Solaranlage, Smart Metering sieht sofort – oder via Gebaeudeleit-System / MSR – welche Elemente fehlerhaft oder defekt sind oder aufgrund von z.B. Serienfehlern ersetzt oder nachgebessert werden muessen.
Nebst dem zentral abrufbaren Elemente-Kataloges eines Objektes könnte man auch gängige Industrie-Standards wie RFID / NFC nutzen um direkt vor Ort entsprechende freigegebene Informationen zu einem Bauteil abrufen zu können.

– Ein Fensterbauer, Küchenbauer, Sanitäreinrichter, Schreiner kann innerhalb von Renovationen / Umbauarbeiten auf Basis-Datensaetze des urspruenglichen Werkvertrag-Vertrags-Unternehmers und dessen eingesetzten Elementen und Modulen zugreifen fuer eine effizientere Offertstellung, Kalkulation und Ausfuehrung.

– Ein Zimmermann, Holzbauer, Fassadenbauer hat Zugriff auf Plaene, Nachweise, Berechnungen fuer die Renovationsarbeiten.

– Ein Bauherr oder Investor oder Facility Management Dienstleister (FM) kann zugreifen auf seitens Gebäude-Sensorik unterstützten Key Performance Indexes (KPI) zur Erhebung von z.B. Performance-Beurteilungen, Wirtschaftlichkeitsberechnungen, Zinsberechnungs-Nachweisen oder Steuernachweisen.

– Statistiken und Erhebungen seitens Bund, Behoerden und Ämter sind autonom – selbstverstaendlich mit zuvor wissentlich freigegebenen und so klassfizierten Daten-Teilbereichen (z.B. XML, IFC, Metadaten oder ganze Datensaetze, Plaene, Dokumente) – bedienbar fuer weitere Kostenoptimierungen auf Seite des Bauherren, Bewirtschafters und Behörden.

– Bewilligungsverfahren bezueglich Kosten und vorallem Durchlaufzeiten koennten stark optimiert und vereinfacht werden auf Seite des Bauherren, Planer und Bauamt.

– Bei der Bauobjekt-Nutzungsphase sind sehr viele Visionen und Technologien auf dem Markt verfügbar in Richtung „Betreutes Wohnen für z.B. ältere Menschen welche länger in den eigenen 4 Wänden anstelle in einem Pflegezentrum verbringen wollen“, intelligentes Wohnen, kommunizierende Haushaltsgeräte für automatisches Ordering von z.B. Service, Bestellungen, Reparaturen und dergleichen. Auch hier kommen die Visionen und Ansätze „Internet der Dinge“, „Fiber to the home (ftth)“ und letztlich „totale Haus-Vernetzung“ zum Zuge.

Qualitätssicherung
Letztlich und zusammengefasst entsteht eine bessere Qualität des Gesamten – unterstützt mit qualitativ und massgeschneidert aufbereiteten, zentral konsolidierten Informationen. Während des gesamten Baulebenszyklus wird dadurch auch die Qualitätssicherung optimiert und beherrschbarer.

Sicherheit ist gewährleistet und definierbar
Selbstverstaendlich waere dann in einem solchen System sehr klare Richtlinien und Einstellungsmoeglichkeiten unabdingbar fuer einen restriktiven Datenschutz zugunsten der Sicherheit. Die Klassifizierung von Daten fuer z.B. Public (Behoerden, Bund, Statistik) oder Private (Eigentuemer, Bewirtschafter, Datenmanager, Servicedienstleister) wuerde dies technisch und zentral ueberwachbar unterstuetzen.

10 Jahre Aufbewahrungs-Pflicht und revisionssichere Archivierung
Im weiteren waeren dann auch Themen der 10 Jahre Aufbewahrungspflicht von auftrags- oder system-relevanten Informationen abgedeckt. Dabei waere dadurch neu auch die revisionssichere Archivierung realisierbar.

Eine Art „Building Smart Cloud“ – auch zur Unterstützung der „Cleantech“-Zukunft
Letztlich wird man basierend auf diesen einzelnen Use Cases schnell erkennen, dass ein künftiges System welches auf einem intelligent orchestriertem Cloud-System basiert, eine schier unbegrenzte Anzahl von Potentialen erschliesst oder Nutzungsformen unterstützt z.B. von mobile Worklpaces, Apps, Webservices, Cloud, Big Data.
Durch solche optimierte Prozesse und auch Unterstützung der Automatisierung in der Bauindustrie entlang des ganzen Lebenszyklus werden auch Ansätze von „Cleantech“ gefördert und/oder gar ermöglicht durch die Einsparmöglichkeiten in allen Bereichen des Gesamtaufwandes / Energie / Kosten / Qualität.