AI Readiness Strategie – KI-Goldgräber-Rausch mit „digitalen“ Schaufeln

Chancen und Herausforderungen in der Digitalisierung, Hyperautomation und Cybersecurity

Die Digitalisierung und der Einsatz von Künstlicher Intelligenz (KI) bieten Unternehmen enorme Chancen, bringen aber auch Herausforderungen mit sich. Als Entscheider und Unternehmer ist es wichtig, sich mit den Risiken und Chancen auseinanderzusetzen, um fundierte Entscheidungen treffen zu können.
Vielfach sind die theoretische Vorstellungen der derzeit inflationär gehypten «KI Readiness» seitens der GL / VR und den Medien gegenüber der damit beauftragten IT-Abteilung / IT-Dienstleister in der Praxis mitunter nicht gerade harmonisch übereinstimmend und entsprechend nicht so einfach praktisch adaptierbar.
Die effektive Adoption birgt dann entsprechende Herausforderungen und gar Gefahren in der seitens GL / VR gewünschten Agilität gegenüber den Sicherheitsaspekten, Datenschutz/Datensicherheit, Compliance und letztlich vorallem auch der Datenqualität.
Entsprechend braucht es hier zuerst eine umfassende Definition bzw. Anpassung der ICT-Strategie mit Elementen rund um die «KI Readiness», umsetzbare und durch alle Akteure verstandene Regeln («rules before tools») und umfassende Kenntnisse der firmenkritischen oder personensensitiven Daten und Rechte («know your data & rights»).

KI birgt Risiken und Chancen in sich, wie eine Wolke Regen oder Aufhellung / Sonne
Das „riskante Minenfeld des KI-Einsatzes“ erfordern adäquat auch strategische Überlegungen zur eigenen Digital-Transformation und weitergehendem Business Development.
Eine besondere Herausforderung stellt die mitunter potentiell unbändig agierende KI auch in der dynamischen Cybersecurity Bedrohungslage und speziell im Datenschutz / Datensicherheit dar. Ist die KI hier ein „wütender und gefährlicher Feind“ oder ein „regelnder oder schützender Verbündeter“? Werden wir gar vom „Regen in die Traufe“ geraten?

Balance in Regulationen, Innovationen und Sicherheit?
Der in der EU auf den weiteren Weg der Verabschiedung und Anwendung gebrachte «AI-Act» sieht einen sogenannten risikobasierten Ansatz mit 4 Kategorien (verbotene, hochriskante, geringriskante und minimale KI) mit entsprechenden Pflichten und Sanktionen vor. Einfach erklärt mit der Grundlage von Risikobewertungen vor den Zulassungen und mit einer möglichst förderlichen Ausgewogenheit von z.B. dem Vertrauen in neue AI-Dienste oder Produkte. Das sollte möglichst auch Chancen und Potentiale von z.B. Startups und der Open Source Community ermöglichen und gerade im Vornhinein solche auch relevanten und zukunftsorientierten Innovationen und Weiterentwicklungen nicht zu träge machen oder zu lange blockieren.
Es gilt, die Balance zwischen Überregulierung, Innovation und Sicherheit zu finden, wobei die Einhaltung von technischen und ethischen Regeln und der Schutz von speziell personenbezogenen und firmenkritischen Daten unumgänglich sind.

Die KI ist eine weitere Experten-Person / Copilot im Team und bei Entscheidungen
Die KI sollte bei den Unternehmen derzeit nicht mehr und nicht weniger sein als eine weitere Experten-Person / Meinung / Stimme am Tisch für hoffentlich besseren Entscheidungen / Schritte in eine effektiv auch adaptierbare Richtung der weiteren Digital Transformation und Hyperautomation, basierend von auch «best practices» und der Orientierung an den „Stand der Technik“

Agilität, Sprints, Mittelstrecke und (Halb)Marathon

Beim agilen Start und ersten Sprints mit der KI / Digital Transformation gibt es immer wieder erfreuliche sogenannte «Quick wins» / «low hanging fruits» mit bewährten, adaptierbaren Anwendungsfällen «best practices» / «use cases». (Anwendungsfälle). Jedoch sollte schon beim Start klar und geklärt sein, dass das nachhaltige, strategische Ziel mit entsprechenden Ausdauerphasen erst am Ende des (Halb)Marathons zu erwarten ist.
Nach den ersten Sprints / Adaptionen braucht es dann Ausdauer, Prioritäten und auch entsprechende, nicht nur „halbherzige“ Investitionen in Personal, Ausbildung, Zeit, Qualität und auch Services / Lizenzen, um weitere Effizienzsteigerungen und Automatisierungsgrade zu erreichen.

Wandlungsfähigkeit und lebenslanges Lernen in der eigenen Goldmine
Die derzeit wichtigsten Herausforderungen an die involvierten Akteure und betroffenem Personal sind die Wandlungsfähigkeit und lebenslanges Lernen, um mit den massiven Entwicklungen Schritt zu halten. Nicht nur lesen / theoretisieren sondern auch selber probieren / anwenden (neu zu erlernende «baby steps» um gross zu werden in der neuen Realität) sind vonnöten, zum umfassenderen Verstehen / «Beschreiten» und Begreifen der KI-Revolution und adaptierbaren «use cases» (Anwendungsfälle). Als Analogie: auch der KI fehlt schliesslich «noch» die erweitert angewandte Robotik und Sensorik in deren «baby steps» für das umfassendere «Begreifen» der Welt.
Mit entsprechenden Trainings und je nach Abhängigkeit mit auch dem gezielten Aufbau von internen «Powerusers» und «Low Code»-Anwendern können weitere Optimierungen und Effizienzsteigerungen erzielt werden. Dieser vorallem intern relevante Knowhow Aufbau/-Transfer unterstützt die Unabhängigkeit und «Fördervoraussetzung» der mitunter bisher noch nicht umfassend genutzten «Goldmine des Firmen-Wissen/-Daten».
Wie damals im «Goldrausch in der USA» ist die Goldgräber-Stimmung mit auch entsprechenden Investments im Zeitalter der KI, Datenanalyse und Hyperautomatisierung erneut aufgeflammt. Nun jedoch mit aber anderen und eher digitalen Werkzeugen («toolsets» / «skillsets» / «mindsets», Software, Hardware) anstelle mit damaligen, aber schon zu deren früheren Zeiten «sehr einträglichen» Goldgräber-Schaufeln.

Business Intelligence / Excellence mit KI-oder Digital-DNA-Gütesiegel?
Als Entscheider und Unternehmer ist es entsprechend wichtig, sich mit solchen Chancen und aber auch Herausforderungen der Digitalisierung, Hyperautomatisierung und des KI-Einsatzes auseinanderzusetzen und ernsthaft zu investieren. Damit können die im Ziel wirkenden Weichen für eine erfolgreiche Zukunft bis hin zur «Business Excellence“ mit gar einem „KI- oder Digital-DNA-Gütesiegel» frühzeitig aufgebaut, vorbereitet und dann auch zum richtigen Zeitpunkt korrekt gestellt werden. Letztlich ist auch im Fachkräfte-Mangel dadurch die Arbeitgeber Attraktivität schon bei der Rekrutierung, Lehrlings- und Talent-Förderung und speziell für «Wissensarbeitende» ein bewerbbarer Wettbewerbs-Vorteil.

blog-fridel-rickenbacher_ai-readiness-goldrausch-april-2024 Herunterladen

AI Readiness Strategie – «Un-Hype the Hype» mit Fokus auf Compliance & Security – Teil 3

Der Hype rund um die künstliche Intelligenz (KI / AI) und der sogenannten, inflationär referenzierten «AI Readiness / AI Strategie» zeigen bei vielen Organisationen auch nicht gemachte Hausaufgaben auf. Wie schon länger die «Digital Transformation» ist auch die «künstliche Intelligenz (KI/AI)» bzw. die entsprechende «AI Readiness» letztlich eine forcierte, immer dynamisch werdende Komponente / Weiterentwicklung gemäss «Stand der Technik».

Nebst der technischen Dynamik bezüglich «Stand der Technik» ist die organisatorische Dynamik in Zukunft kaum mehr zu schaffen wenn eine Zukunfts-Kompetenz wie z.B. die «Wandlungsfähigkeit» fehlt im «Mindset» der betroffenen Akteure.

Teil 3- Strategisches Daten- und App-Management – «know your data and apps»

Die KI ist stark abhängig bzw. aufbauend von den Daten und den Anwendungen, die sie speist, die sie nutzt und trainiert. Daher ist es für eine Organisation unerlässlich, ein strategisches Daten- und App-Management aufzubauen und weiterzuentwickeln. Dieses soll die Qualität, die Sicherheit, die Compliance und die Nachhaltigkeit der Daten und der Anwendungen gewährleisten in einer möglichst nachhaltigen Weiterentwicklung und Spezialisierung mit der diesbezüglich unterstützenden KI. Ein strategisches Daten- und App-Management sollte folgende Beispiel-Aspekte umfassen:

Datenschutz: Eine Organisation sollte die Einhaltung der Datenschutzgesetze / Regulationen und -richtlinien sicherstellen, welche die Verarbeitung personenbezogener oder firmenkritischen Daten regeln oder beeinflussen. Dabei sollte sie auch die Rechte und Interessen der Betroffenen respektieren und schützen, wie z.B. das Recht auf Auskunft, Berichtigung, Löschung, Widerspruch, Datenminimierung und Datenübertragbarkeit. Dazu gehören auch Konzepte und Ansätze von z.B. «privacy by design» oder «privacy by default». Die sogenannte «Datenschutzfolgenabschätzung» (DPIA) als ein unumgängliches Verzeichnis bzw. Instrument zur Risikobewertung von Datenverarbeitungen nach der EU-Datenschutz-Grundverordnung (DSGVO) ist hier ebenso ein wichtiges Element zur Vorabbewertung bestimmter Verarbeitungsvorgänge, um das Risiko von besonders schützenswerten, personenbezogenen Daten zu erkennen, zu bewerten und zu bewältigen,
Datensicherheit: Ebenso muss die Sicherheit der Daten und der Anwendungen gewährleistet werden, welche die KI speist und nutzt. Dabei sollte die Organisation geeignete technische und organisatorische Maßnahmen ergreifen, um die Daten und die Anwendungen vor unbefugtem Zugriff, Verlust, Beschädigung, Manipulation oder Missbrauch bis hin zu auch z.B. Erpressung durch Cybercrime-Organisationen zu schützen. Dazu gehören wiederum z.B. «Security by design», «security by default», die Verschlüsselung, die Authentifizierung, die Zugriffskontrolle und die Überwachung bzw. das Monitoring.
Compliance: Es ist wichtig, Prozesse zur Auswahl und Qualität von KI- und Cloud-Systemen, Risikoklassifizierung, Dokumentation, Einhaltung von Regulatorien, Informations- und Transparenzpflichten zu etablieren. Zunehmend ist speziell die möglichst automatisierte Überwachung und bei Bedarf Erzwingung der Einhaltung datenschutz-, datensicherheits-technischer, rechtlicher und ethischer Rahmenbedingungen zu etablieren und sicherzustellen. Bei den zunehmenden Komplexitäten bei Berechtigungen, Zugängen, Datenablagen, Freigaben / «Oversharing», Schnittstellen bis hin zu auch kritischen Datenabflüssen mit Folgeschaden-Potential etc. sind entsprechende organisatorische und technische (bei Bedarf auch automatisiert erzwingbare) Richtlinien mitunter unumgänglich gemäss «Stand der Technik» und «best practices».

Auftragsverarbeiter- und Kernapplikations-Verzeichnis: Nicht nur aus regulatorischen Notwendigkeiten sollte ein Verzeichnis geführt werden, welches alle Auftragsverarbeiter / Kern-Applikations-Lieferanten und entsprechende relevante Partner auflistet, die im Rahmen der KI-Nutzung personenbezogene oder firmensensitive Daten – auch speziell entwickelte Algorithmen / Codes / Scripts / Apps etc. – im Auftrag der Organisation verarbeiten, speichern oder auch supporten. Dabei sollte sie auch die Art, den Umfang, den Zweck und die Dauer der Datenverarbeitung sowie die Gewährleistungen für die Einhaltung der Datenschutzvorschriften, «Stand der Technik» oder akzeptierte «best practices» / «good practices» dokumentieren. Diese Verzeichnisse sind ebenso einzelne, wichtige Bestandteile für eine «Business Kontinuitäts Planung» (BCP) bzw. hilfreich bei Vorfällen und Massnahmen im Rahmen vom sogenannten «Incident Response Management / Planning»
KnowHow-Management: Speziell das Wissen / Dokumentation und die spezialisierten Fähigkeiten über die Daten und die entwickelten Anwendungen / Algorithmen / Modelle, die die KI speist und nutzt, sollte dokumentiert, intern auf möglichst mehrere KnowHow-Träger / Keyuser / Poweruser verteilt und gepflegt werden. Dieses KnowHow-Management sollte je nach Abhängigkeit auch gar auditierbar sein von Dritten oder neuen Partnern. Dabei sollten auch die Kompetenzen und die Verantwortlichkeiten für die Daten- und App-Verwaltung klar definiert und verteilt werden auf «mehrere KnowHow-Träger», bei Bedarf und je nach Kritikalität auch unterstützt durch externe Spezialisten. Dazu gehören z.B. auch die erweiterte Daten- und App-Modellierung, -Bereinigung, -Anreicherung, -Analyse, -Visualisierung / Dokumentation und -Aktualisierung bei kritischen Kernapplikationen. Solche spezielle Massnahmen sind mitunter sehr relevant auch bei speziell schützenswerten Anwendungen und Methoden gegenüber Mitbewerbern (Intellectual Property / geistiges Eigentum).
Evaluationen von neuen Systemen / Tools / ERP: Eine Organisation sollte die Eignung und die Auswirkungen von neuen Systemen, Tools oder ERP, die die KI speisen oder nutzen, sorgfältig prüfen und bewerten. Dabei sollten auch die Anforderungen und die Erwartungen aller Stakeholder und vorallem internen Akteuren / Anwender berücksichtigt und einbezogen werden. Dazu gehören z.B. die Integration in KI-/Cloud-Systemen, Kompatibilität (zu z.B. Cloud-Lösungen), Schnittstellen-/API-Unterstützung, App-Verfügbarkeit auf diversen Plattformen, Funktionalität, Benutzerfreundlichkeit, Kompatibilität, Skalierbarkeit, Automatisierungsoptionen, Kosten bis gar hin zur messbaren Leistung und Nachhaltigkeit des zukunftsorientierten Nutzens. Diese Evaluation muss entsprechend in mehreren Aspekten weiter gehen bis hin zur auch z.B. Unterstützung der maximierten Angriffs- und Betriebssicherheit, Datenschutz, Datensicherheit, Compliance in der dynamischen Bedrohungslage gemäss «Stand der Technik». Speziell im Trend von «LowCode» / «NoCode» werden immer mehr Fragen und Anforderungen gestellt in den Evaluationen in Richtung von «make or buy» in der Kombination von neuen Lösungen («buy») mit einzelnen selber oder unterstützt erstellten Apps, KI-Tools, Automatisierungen und Optimierungen («make»).

blog-fridel-rickenbacher_ai-readiness-strategie-unhype-hype-compliance-teil3-maerz-2024 Herunterladen

AI Readiness Strategie – «Un-Hype the Hype» mit Fokus auf Regeln und Adoption

«Rules before Tools» – Regeln bevor neue Werkzeuge zum Einsatz kommen

Bevor eine Organisation die KI implementiert und anwendet, sollte sie jedoch einige grundlegende Regeln und auch ICT Security Policy / Compliance Definitionen («know your data and rights» beachten, die den Datenschutz / Datensicherheit, die Qualität und die Nachhaltigkeit bis hin zur Ethik der KI und Digital-DNA-Transformation gewährleisten. Folgende Beispiele einer solchen Regeln / Grundlagen können hier helfen:

ICT Security & Dataprotection Policy: Vor der Einführung / Adoption von neuen Tools sollte eine klare und konsistente Richtlinie für die Informationssicherheit (Datenschutz und Datensicherheit) haben, die die Ziele, die Verantwortlichkeiten, die Regeln, Weisungen, Maßnahmen und die Kontrollen für den Schutz der Daten, Berechtigungen und der Systeme vor internen und externen Bedrohungen definiert. Dabei sollte sie auch die spezifischen Risiken und Herausforderungen berücksichtigen, die die KI mit sich bringt, wie z.B. die Anfälligkeit für Manipulation, die Abhängigkeit von Drittanbietern, Urheberrechtsfragen, Schutz von personenbezogenen oder firmenkritischen Informationen und bis hin zur gar einer Unvorhersehbarkeit (Systemgläubigkeit) des Verhaltens oder Outputs mit Folgenauswirkungen.
Sensibilisierung und Aufklärung: Das Bewusstsein und das Verständnis für die KI (und speziell hier immer wieder auch für die nicht zu vergessende «Cybersecurity Sensibilisierung») sollte bei allen Anwendern / Stakeholdern / Akteuren aktiv gefördert werden, die von der KI betroffen sind oder die KI bzw. deren Anwendung auch mitgestalten können. Dabei sollte sie nicht nur die Vorteile und die Chancen, sondern auch die Grenzen und die Risiken der KI transparent und ehrlich kommunizieren, um falsche Erwartungen, Ängste und Widerstände zu vermeiden. Erst mit einem richtigen, an die Organisation angepasstem «Mindset» (Einstellung, Richtung der Gedanken) und ausgewogenen Rahmenbedingungen (z.B. auch passendes «toolset» und «skillset) kann erst die passende KI Anwendung und Innovation zielführend Einzug halten mittels einer sogenannten «Adoption» und auch gezieltem «Prototyping» rund um identifizierte, lohnenswerte «use cases» (Anwendungsfälle).
Critical Thinking / gesunder Menschenverstand: Das mit der fortlaufenden Digitalisierung immer kritischer werdende Denken sogenanntes «Critical Thinking» und die Urteilsfähigkeit muss bei allen Anwendern / Stakeholdern / Akteuren geprägt und sensibilisiert werden, die mit der KI interagieren oder letztlich abschliessend entscheiden müssen. Dabei sollte sie nicht nur die technischen und funktionalen Aspekte, sondern auch die ethischen und sozialen Auswirkungen der KI berücksichtigen, um verantwortungsvolle und nachhaltige Entscheidungen (am Ende entscheidet immer noch der Mensch) zu treffen bei der Anwendung / Weiternutzung / Weitergabe von KI Outputs.
Die mitunter gefährliche Systemgläubigkeit bei vorallem AI Fehlinformationen / Desinformationen aber auch bei Social Engineering / Cybercrime / Deep Fake Attacken ist mittels neuer Kompetenzen wie z.B. „Critical Thinking“ oder auch durch dem guten alten „gesunden Menschenverstand“ zu reduzieren -> Ein Prinzip findet hier auch Anwendung «Zero trust, always verify». Der gesunde Menschenverstand / «Common sense» ist auch kulturell und gesellschaftlich unterschiedlich geprägt über Generationen und entsprechend sehr komplex. Dieses Selbstverständnis bezüglich genau diesem Verstand für uns Menschen ist auch für die «stärkste» KI sehr schwer oder (noch) gar nicht zu verstehen.
Schulungen und neue Kompetenzen: Die sich anzupassenden Kompetenzen und Fähigkeiten bei allen Anwendern / Stakeholdern / Akteuren müssen weiterentwickelt werden, die die KI nutzen oder die KI mit-gestalten müssen oder «dürfen». Dabei sollte sie nicht nur die fachlichen und methodischen Kenntnisse, sondern auch die persönlichen und sozialen Fertigkeiten («Toolset», «Skillset») vermitteln, um die KI effektiv und effizient zu bedienen, zu überwachen, zu verbessern und zu innovieren. Speziell bei den Schulungen und Erlangen von neuen Kompetenzen muss seitens der Organisation auch entsprechend investiert werden in dedizierte (nicht nur parallele) Zeit und Prioritäten in z.B. gezieltem «Prototyping» rund um identifizierte, lohnenswerte «use cases» (Anwendungsfälle). Empfehlenswert ist auch die Definition und Aufbau von internen «PowerUsers» («Influencer») welche das Wissen möglichst intern auf- und ausbauen und auch der ganzen Belegschaft (potentielle «Followers») als Erstansprechpartner zur Verfügung stehen beim Aufbau und Ausbau vom möglichst am besten passenden «Toolset» / «Skillset» / «Mindset».
Menschen werden nicht einfach so durch die KI ersetzt, jedoch werden Menschen eher mal «ersetzt» mit Menschen welche mit KI / Tools umgehen und interagieren können mittels einem «smarten Dialog und Interaktion» anstelle «statischem Anwenden von beschränkten Tools und unstrukturierten Daten». Wie früher erwähnt: Nebst der technischen Dynamik bezüglich «Stand der Technik» ist die organisatorische Dynamik in Zukunft kaum mehr zu schaffen wenn eine Zukunfts-Kompetenz wie z.B. die «Wandlungsfähigkeit» fehlt im «Mindset» der betroffenen Akteure.
LowCode / NoCode: Die Zugänglichkeit, Qualität und die Benutzerfreundlichkeit der KI bzw. Tools sollte optimiert und trainiert werden, indem Plattformen, Werkzeuge, Apps, Vorlagen angeboten werden, die es den Anwendern / Stakeholdern / Akteuren ermöglichen, KI-basierte Tools ohne oder mit wenig Programmierkenntnissen (LowCode) zu nutzen, erstellen, zu konfigurieren und zu modifizieren. Genau hier braucht es aber mitunter ein sehr vertieftes, «menschliches» Grundverständnis und genaue Analyse-/ Beschreibungskompetenz des zu lösenden Problems oder zur z.B. erreichenden Optimierung / Automatisierung / Effizienzsteigerung.
Dabei sollte die Organisation aber auch die Qualität und die Zuverlässigkeit sicherstellen, indem sie Standards und Richtlinien für die Entwicklung, die Prüfung und die Freigabe solcher KI Anwendungen auf Basis von «NoCode» / «LowCode» festlegt.

Compliance: Eine Organisation sollte die Rechtmäßigkeit und die Konformität der KI gewährleisten, indem sie die geltenden Gesetze, Vorschriften, eigenen Organisationsrichtlinien, ICT Security & Dataprotection Policy («know your data») und Normen einhält, die die KI regulieren oder beeinflussen. Dabei sollte sie auch die Anforderungen und Erwartungen der Anwender / Stakeholder / Akteure erfüllen, die die KI bzw. deren Outputs überwachen oder bewerten, wie z.B. die Behörden, die Kunden, die Partner und die Gesellschaft.
Business Continuity Planning: Die businesskritische Verfügbarkeit und die Widerstandsfähigkeit (Resilienz) und letztlich die Angriffs- und Betriebssicherheit der IT / KI bzw. den darauf basierten Tools / Apps / Schnittstellen muss sichergestellt werden, indem entsprechende Pläne und Maßnahmen (z.B. «Business Contingency Planning») für den Fall von Störungen, Ausfällen, Katastrophen und auch Datenschutz- / Cybercrime-Vorfälle vorbereitet (inkl. auch Krisen-Kommunikationskonzept), die die KI beeinträchtigen oder unterbrechen können. Dabei sollten auch die Alternativen und die Notfalllösungen (z.B. Notfall-Betrieb während Incident Response / Business Recovery, halb-automatische Betrieb etc.) bereitgestellt und getestet werden, die die KI / Tools überbrücken, ersetzen oder ergänzen können, wenn die KI nicht oder «falsch» funktioniert oder nicht verfügbar ist.
Datenschutz-Folgenabschätzung: Die zu schützende Privatsphäre und die Persönlichkeitsrechte der Anwender / Stakeholder / Akteure / Kunden / Mitarbeiter haben höchste Priorität, indem auch z.B. die potenziellen Auswirkungen der KI auf die Verarbeitung personenbezogener oder firmenkritischen Daten analysiert und bewertet werden mit entsprechenden Massnahmen und Szenarien in einer Datenschutz-Folgenabschätzung und auch z.B. Auftragsdatenverarbeiterverzeichnis / Kernapplikationsverwaltung. Dabei sollten auch Maßnahmen / Prinzipien definiert und ergriffen werden können, die die Risiken und die Nachteile der KI / Cybersecurity generell minimieren oder beseitigen, wie z.B. Security by design, security by default, privacy by design, privacy by default, die Anonymisierung, die Pseudonymisierung, die Verschlüsselung und die Löschung der Daten.
Digital–DNA Codex -> Effizienz als gemeinsames Ziel: Zusammengefasst aus allen diesen Regeln und Massnahmen sollte auch ein Digital-DNA-Codex / ICT Weisungen entstehen und verabschiedet werden aus einem gemeinsamen und für die Organisation passenden Verständnis für die möglichst effiziente und sichere Zusammenarbeit. Dieses Regelwerk fasst dann die best passenden Anwendungen, Standards und Qualitätsanforderungen zusammen im orchestrierten «Toolset», «Skillset» und «Mindset» der Organisation zugunsten der Fokussierung auf «Effizienz» bis hin zu strategischen Ziel einer «Hyperautomation».

Ein solcher «echt gelebter und angewandter» DigitalDNACodex/ DigitalisierungsMaturität kann ja zukünftig gar als Gütesiegel und UnterscheidungsMerkmal kommuniziert und beworben werden im Wettbewerb.

Das kann mitunter auch bei der diesbezüglich zunehmend relevanten Arbeitgeber Attraktivität, Rekrutierung im Fachkräftemangel und strategischem Talentmanagement hilfreich sein.

blog-fridel-rickenbacher_ai-readiness-strategie-unhype-hype-teil2-februar-2024 Herunterladen

AI Readiness Strategie – «Un-Hype the Hype» mit Fokus auf «Stand der Technik»

Eine AI Readiness Strategie ist eine wichtige Planungsgrundlage, welche mitunter beschreibt, wie eine Organisation die KI in ihre bestehenden und zukünftigen Geschäftsmodelle adaptieren und integrieren kann. Dabei geht es nicht nur um die Auswahl und Implementierung von KI-Tools, sondern auch um die Anpassung der organisatorischen Strukturen, Prozesse und Kulturen an die neuen Anforderungen und Möglichkeiten, die die KI mit sich bringt. In Wissen und Relation, dass die KI «nur» ein unterstützendes, aber sehr sehr mächtiges Tool ist in einem «intelligent orchestrierten» Gesamtsystem braucht es hier eine sehr differenzierte Betrachtung und organisationsfokussierte Evaluation. Eine «AI Readiness» sollte ein integriertes Kern-Element der «agilen Planung in der ICT-Strategie / Digital-DNA-Transformation» darstellen und folgende Beispiel-Elemente / Aspekte berücksichtigen:

Wert-Realisierungs- und Adoption-Planung Eine solche definiert mitunter, wie das Unternehmen den Nutzen der künstlichen Intelligenz / Digital-DNA-Transformation in Schritten realisieren, messen und maximieren will, welche lohnenswerten Initiativen priorisiert und eingeführt werden sollen, welche Chancen und Innovationen effektiv in die Infrastruktur / Kultur adaptiert werden, welche Ressourcen benötigt werden, und wie der Erfolg (z.B. in Effizienzsteigerung, Qualität, Produkteoptimierungen, Kundenzufriedenheit, neue Kompetenzen etc.) aber auch die Akzeptanz oder das Vertrauen der betroffenen Akteure bewertet werden.
Erweiterte Entscheidungsgrundlagen: Um die KI zu verstehen und zu nutzen, sollte eine Organisation zuerst die mitunter seit Jahrzehnten angewachsene, teilweise unstrukturierte Datenqualität und -verfügbarkeit bereinigen, reorganisieren und erhöhen, die Datenanalyse und -interpretation verbessern und die Datenkommunikation und -visualisierung vereinfachen. Dabei sollte sie auch die KI als einen Partner / Support-Technologie betrachten, welche die menschliche Intuition und Kreativität ergänzen und erweitern kann nach einer solchen initialen «know your data»-Phase (Kenne deine Daten) für danach realisierbare, optimierte und letztlich darauf basierende präzisere Entscheidungsgrundlagen in der Zukunft.
Business Intelligence and Excellence: Um die KI zu bewerten und zu verbessern, sollte eine Organisation die Leistung und den Wert der KI bzw. deren Impacts auf die Organisation messen und überwachen, relevante und hilfreiche Feedback- und Lernschleifen etablieren und die kontinuierliche Verbesserung fördern. Dabei sollte sie auch die KI als einen mithelfenden Treiber für Innovation und Exzellenz betrachten, welche gar auch neue Geschäftschancen und weitergehende Wettbewerbsvorteile schaffen kann. Aber auch hier ist entscheidend, dass es für diesen Aspekt «keine gute künstliche Intelligenz / Algorithmen / Tools geben kann ohne die menschliche Intelligenz als Grundlage».
Prototyping: Um die Potenziale und Grenzen der KI zu erkunden, sollte eine Organisation experimentierfreudig sein und verschiedene KI-Lösungen / Tools / Apps testen, evaluieren und iterieren. Dies natürlich immer auch in Abhängigkeit der möglichen Rahmenbedingungen je nach Branche und geltenden Regulationen. Dabei sollte sie sich nicht nur auf die technische Machbarkeit, sondern auch auf die ethische Vertretbarkeit, die rechtliche Konformität und die wirtschaftliche Rentabilität der KI-Projekte konzentrieren. Dies auch speziell mit «baby steps» / «fail fast» in der Erarbeitung / Prototyping von «Use Cases» (identifizierte Anwendungsfälle welche z.B. Optimierungen und Effizienzsteigerungen in der Organisation mit sich bringen nach deren Verankerung in den Prozessen). Bei Bedarf bewusst mit auch dem Ansatz von «fail fast» im Sinne von «vielen Anläufen und Versuchen von Tests / Iterationen mit schnellen, aber auch sofort korrigierbaren Erkenntnissen zugunsten von erst genau dadurch realisierbarem Lernprozess»
Effizienz: Um KI effektiv und effizient zu nutzen, sollte eine Organisation ihre bestehenden Geschäftsprozesse analysieren und optimieren, um unnötige Komplexität, Redundanz und Verschwendung zu reduzieren zugunsten dem Effizienz-Ziel. Dabei sollte sie auch die KI als einen Faktor berücksichtigen, der die Prozesse beschleunigen, vereinfachen und verbessern kann im entsprechendem daraus sich hoffentlich auch weiterentwickelbaren «Toolset» / «Skillset» und «Mindset» der Organisation.
Automation: Um die KI zu skalieren und zu standardisieren, sollte eine Organisation die Automatisierung von Routineaufgaben und Entscheidungen anstreben, die von der KI besser und schneller erledigt werden können als von Menschen. Dabei sollte sie aber auch die menschliche Kontrolle und Überwachung der KI sicherstellen z.B. auch mit «Critical Thinking», um Fehler, Missbrauch und letztlich gar einen Vertrauensverlust in solche neuesten Technologien zu vermeiden.

KI als weiteres «Zünglein an der Waage» für digitale Verwaltung bis zu eGovernment?
Die KI und Digital-DNA-Transformation bietet nicht nur für die Privatwirtschaft, sondern auch für die öffentliche Verwaltung viele Möglichkeiten, die Leistung, die Effizienz und die Qualität der Dienstleistungen zu verbessern und die Zufriedenheit, die Partizipation (z.B. Digitale Bürgernähe) und das Vertrauen der Bürgerinnen und Bürger zu erhöhen. Doch wie kann die öffentliche Verwaltung die KI nutzen, ohne die Komplexität, die Sicherheit, die Compliance und die Transparenz zu beeinträchtigen? In diesem Abschnitt werden einige Herausforderungen und Lösungsansätze für das eGovernment mit KI und Digital-DNA-Transformation erörtert:

Komplexität des Applikationsportfolios: Die öffentliche Verwaltung verfügt oft über ein sehr umfangreiches und heterogenes Applikationsportfolio, das aus verschiedenen Systemen, Plattformen, Schnittstellen und Datenbanken besteht, die teilweise veraltet, inkompatibel oder redundant sind. Dies erschwert die Integration, die Aktualisierung und die Erweiterung der Applikationen mit KI und Cloud Services. Eine mögliche (aber sehr theoretische…) Lösung ist die Vereinheitlichung, die Vereinfachung / strategische Konsolidierung und die Standardisierung des Applikationsportfolios, z.B. durch die Nutzung von Cloud-Diensten, die Modularisierung von Systemen, die Harmonisierung von Schnittstellen und die Konsolidierung von Datenbanken. Aufgrund auch z.B. der Komplexität und auch je nach Grösse dauern solche Projekte mehrere Jahre im Vergleich zu kleineren, teilweise agileren Organisationen und KMU.
Legacy Applikationen und entsprechende Prozesse: Die öffentliche Verwaltung nutzt oft Legacy Applikationen, die auf veralteten Technologien, Architekturen oder Paradigmen basieren, die nicht für die KI geeignet oder anpassbar sind. Dies verhindert die Nutzung, die Anpassung und die Verbesserung der Applikationen mit KI. Eine mögliche Lösung ist die schrittweise Modernisierung, die (Teil)Migration oder die Ablösung der Legacy Applikationen, z.B. durch die Nutzung von NoCode/LowCode Plattformen, Middleware, Schnittstellen, die Umstellung auf Microservices, die Einführung von KI-Modulen oder die dann aber sehr zeit- und kostenintensive Entwicklung von neuen Applikationen.
Datenschutz- und Compliance-Vorgaben: Die öffentliche Verwaltung unterliegt oft strengen Datenschutz- und Compliance-Vorgaben, die die Verarbeitung personenbezogener Daten oder sensibler Informationen regeln oder einschränken. Dabei muss sie auch die Rechte und Pflichten der Bürgerinnen und Bürger sowie der Aufsichtsbehörden beachten und erfüllen. Eine mögliche Lösung bzw. Grundlage für weitere Schritte ist die Anwendung von Datenschutz-Folgenabschätzungen, die die potenziellen Auswirkungen der KI auf die Privatsphäre und die Persönlichkeitsrechte analysieren und bewerten, sowie die Implementierung von Security by design, security by default, privacy by design, privacy by default, die die datenschutzfreundlichsten Einstellungen und Maßnahmen vorsehen und umsetzen.
Langjährige Software- und Partner-Verträge: Die öffentliche Verwaltung ist oft an langjährige Software- und Partner-Verträge gebunden, die die Nutzung, die Anpassung und die Erneuerung der Applikationen mit KI und Cloud Services einschränken, verzögern oder verhindern. Dabei muss sie auch die Kosten, die Nutzungsbedingungen und die Haftungsfragen berücksichtigen und klären. Eine langwieriger Prozess und steiniger Weg (teilweise mit dann Neuevaluationen und Ausschreibungen verbunden) ist die Verhandlung, die Anpassung oder die Kündigung der Software- und Partner-Verträge, die Flexibilisierung von Lizenzmodellen, die Vereinbarung von weitergehenden Service-Level-Agreements in der der Uebergangsphase (teilweise mit auch anderen, unterstützenden Partnern) oder die Ausübung von Exit-Klauseln.
Statische ICT Strategie versus Agile ICT Planungsstrategie: Die öffentliche Verwaltung verfolgt oft eine historisch gewachsene, gegebene, statische ICT Strategie, die die Ziele, die Maßnahmen und die Ressourcen für die Nutzung, die Anpassung und die Erneuerung der Applikationen mit KI und Cloud Services nicht uneingeschränkt / nicht zu agil definieren oder aktualisieren kann. Dabei muss sie auch die Dynamik, die Unsicherheit und die Komplexität des technologischen Wandels berücksichtigen und antizipieren. Eine möglicher, aber natürlich sehr theoretischer Ansatz ist die Entwicklung, die Implementierung und die Überprüfung einer agilen ICT Strategie zugunsten der Antizipierung der herrschenden Dynamik im technologischen Universum, z.B. durch die Nutzung von Szenario-Planung, die Etablierung von Prototyping / Feedback-Schleifen, die Förderung von Experimentier-Räumen (Fail fast, NoCode / LowCode) oder die Anwendung von gar auch agilen und Lean-Startup-Methoden.

+++

«Rules before Tools» – Regeln bevor neue Werkzeuge zum Einsatz kommen

Bevor eine Organisation die KI implementiert und anwendet, sollte sie jedoch einige grundlegende Regeln und auch ICT Security Policy / Compliance Definitionen beachten, die den Datenschutz / Datensicherheit, die Qualität und die Nachhaltigkeit bis hin zur Ethik der KI und Digital-DNA-Transformation gewährleisten. Folgende Beispiele einer solchen Regeln / Grundlagen können hier helfen:

ICT Security Policy: Eine Organisation sollte eine klare und konsistente Richtlinie für die Informationssicherheit (Datenschutz und Datensicherheit) haben, die die Ziele, die Verantwortlichkeiten, die Regeln, Weisungen, Maßnahmen und die Kontrollen für den Schutz der Daten, Berechtigungen und der Systeme vor internen und externen Bedrohungen definiert. Dabei sollte sie auch die spezifischen Risiken und Herausforderungen berücksichtigen, die die KI mit sich bringt, wie z.B. die Anfälligkeit für Manipulation, die Abhängigkeit von Drittanbietern, Urheberrechtsfragen, Schutz von personenbezogenen oder firmenkritischen Informationen und bis hin zur gar einer Unvorhersehbarkeit des Verhaltens oder Outputs mit Folgenauswirkungen.
Sensibilisierung und Aufklärung: Eine Organisation sollte das Bewusstsein und das Verständnis für die KI bei allen Stakeholdern / Akteuren fördern, die von der KI betroffen sind oder die KI bzw. deren Anwendung auch mitgestalten können. Dabei sollte sie nicht nur die Vorteile und die Chancen, sondern auch die Grenzen und die Risiken der KI transparent und ehrlich kommunizieren, um falsche Erwartungen, Ängste und Widerstände zu vermeiden. Erst mit einem richtigen, an die Organisation angepasstem «Mindset» (Einstellung, Richtung der Gedanken) und ausgewogenen Rahmenbedingungen kann erst die passende KI Anwendung und Innovation zielführend Einzug halten.
Critical Thinking / gesunder Menschenverstand: Eine Organisation sollte das kritische Denken «Critical Thinking» und die Urteilsfähigkeit bei allen Stakeholdern / Akteuren stärken, die mit der KI interagieren oder letztlich abschliessend entscheiden müssen. Dabei sollte sie nicht nur die technischen und funktionalen Aspekte, sondern auch die ethischen und sozialen Auswirkungen der KI berücksichtigen, um verantwortungsvolle und nachhaltige Entscheidungen zu treffen bei der Anwendung / Weiternutzung / Weitergabe von KI Outputs.
Die mitunter gefährliche Systemgläubigkeit bei vorallem AI Fehlinformationen aber auch bei Social Engineering / Cybercrime Attacken ist mittels neuer Kompetenzen wie z.B. „Critical Thinking“ oder auch durch dem guten alten „gesunden Menschenverstand“ zu reduzieren -> Ein Prinzip findet hier auch Anwendung «Zero trust, always verify». Der gesunde Menschenverstand / «Common sense» ist auch kulturell und gesellschaftlich unterschiedlich geprägt über Generationen und entsprechend sehr komplex. Dieses Selbstverständnis bezüglich diesem Verstand für uns Menschen ist auch für die «stärkste» KI sehr schwer oder (noch) gar nicht zu verstehen.
Schulungen und neue Kompetenzen: Eine Organisation sollte die Kompetenzen und Fähigkeiten bei allen Stakeholdern / Akteuren entwickeln, die die KI nutzen oder die KI gestalten müssen. Dabei sollte sie nicht nur die fachlichen und methodischen Kenntnisse, sondern auch die persönlichen und sozialen Fertigkeiten («Toolset», «Skillset») vermitteln, um die KI effektiv und effizient zu bedienen, zu überwachen, zu verbessern und zu innovieren. Menschen werden nicht einfach so durch die KI ersetzt, jedoch werden Menschen gar mal «ersetzt» mit Menschen welche mit KI umgehen und interagieren können. Wie früher erwähnt: Nebst der technischen Dynamik bezüglich «Stand der Technik» ist die organisatorische Dynamik in Zukunft kaum mehr zu schaffen wenn eine Zukunfts-Kompetenz wie z.B. die «Wandlungsfähigkeit» fehlt im «Mindset» der betroffenen Akteure.
NoCode / LowCode: Eine Organisation sollte die Zugänglichkeit, Qualität und die Benutzerfreundlichkeit der KI erhöhen und trainieren, indem sie Plattformen, Werkzeuge, Apps, Vorlagen anbietet, die es den Stakeholdern / Akteuren ermöglichen, KI-basierte Tools ohne oder mit wenig Programmierkenntnissen zu erstellen, zu konfigurieren und zu modifizieren. Genau hier braucht es aber mitunter ein sehr vertieftes, «menschliches» Grundverständnis und genaue Analyse-/Beschreibungskompetenz des zu lösenden Problems oder zur z.B. erreichenden Optimierung / Automatisierung / Effizienzsteigerung.
Dabei sollte die Organisation aber auch die Qualität und die Zuverlässigkeit sicherstellen, indem sie Standards und Richtlinien für die Entwicklung, die Prüfung und die Freigabe solcher KI Anwendungen auf Basis von «NoCode» / «LowCode» festlegt.
Compliance: Eine Organisation sollte die Rechtmäßigkeit und die Konformität der KI gewährleisten, indem sie die geltenden Gesetze, Vorschriften, Organisationsrichtlinien, ICT Security Policy und Normen einhält, die die KI regulieren oder beeinflussen. Dabei sollte sie auch die Anforderungen und Erwartungen der Stakeholder / Akteure erfüllen, die die KI bzw. deren Outputs überwachen oder bewerten, wie z.B. die Behörden, die Kunden, die Partner und die Gesellschaft.
Business Continuity Planning: Eine Organisation sollte die Verfügbarkeit und die Widerstandsfähigkeit (Resilienz) und letztlich die Angriffs- und Betriebssicherheit der KI bzw. den darauf basierten Tools / Apps / Schnittstellen sicherstellen, indem sie Pläne und Maßnahmen für den Fall von Störungen, Ausfällen, Katastrophen und auch Datenschutz- / Cybercrime-Vorfälle vorbereitet, die die KI beeinträchtigen oder unterbrechen können. Dabei sollte sie auch die Alternativen und die Notfalllösungen (z.B. Notfall-Betrieb während Incident Response / Business Recovery, halb-automatische Betrieb etc.) bereitstellen, die die KI ersetzen oder ergänzen können, wenn die KI nicht oder «falsch» funktioniert oder nicht verfügbar ist.
Datenschutz-Folgenabschätzung: Eine Organisation sollte die Privatsphäre und die Persönlichkeitsrechte der Stakeholder / Akteure / Kunden / Mitarbeiter schützen, indem sie die potenziellen Auswirkungen der KI auf die Verarbeitung personenbezogener oder firmenkritischen Daten analysiert und bewertet. Dabei sollte sie auch die Maßnahmen ergreifen, die die Risiken und die Nachteile der KI minimieren oder beseitigen, wie z.B. Security by design, security by default, privacy by design, privacy by default, die Anonymisierung, die Pseudonymisierung, die Verschlüsselung und die Löschung der Daten.

Strategisches Daten- und App-Management – «know your data and apps»

Die KI ist stark abhängig bzw. aufbauend von den Daten und den Anwendungen, die sie speist, die sie nutzt und trainiert. Daher ist es für eine Organisation unerlässlich, ein strategisches Daten- und App-Management aufzubauen und weiterzuentwickeln, welches die Qualität, die Sicherheit und die Nachhaltigkeit der Daten und der Anwendungen gewährleistet in einer möglichst nachhaltigen Weiterentwicklung und Spezialisierung mit der diesbezüglich unterstützenden KI. Ein strategisches Daten- und App-Management sollte folgende Beispiel-Aspekte umfassen:

Datenschutz: Eine Organisation sollte die Einhaltung der Datenschutzgesetze und -richtlinien sicherstellen, die die Verarbeitung personenbezogener oder firmenkritischen Daten regeln oder beeinflussen. Dabei sollte sie auch die Rechte und Interessen der Betroffenen respektieren und schützen, wie z.B. das Recht auf Auskunft, Berichtigung, Löschung, Widerspruch, Datenminimierung und Datenübertragbarkeit. Dazu gehören auch Konzepte und Ansätze von z.B. «privacy by design» oder «privacy by default».
Datensicherheit: Eine Organisation sollte die Sicherheit der Daten und der Anwendungen gewährleisten, die die KI speist und nutzt. Dabei sollte sie geeignete technische und organisatorische Maßnahmen ergreifen, um die Daten und die Anwendungen vor unbefugtem Zugriff, Verlust, Beschädigung, Manipulation oder Missbrauch bis hin zu auch z.B. Erpressung durch Cybercrime-Organisationen zu schützen. Dazu gehören z.B. «Security by design», «security by default», die Verschlüsselung, die Authentifizierung, die Zugriffskontrolle und die Überwachung.
Auftragsdatenverarbeiter-Verzeichnis: Eine Organisation sollte ein Verzeichnis führen, welches alle Auftragsdatenverarbeiter / Kern-Applikations-Lieferanten und entsprechende relevante Partner auflistet, die im Rahmen der KI-Nutzung personenbezogene oder firmensensitive Daten – auch speziell entwickelte Algorithmen / Codes / Scripts / Apps etc. – im Auftrag der Organisation verarbeiten oder speichern. Dabei sollte sie auch die Art, den Umfang, den Zweck und die Dauer der Datenverarbeitung sowie die Gewährleistungen für die Einhaltung der Datenschutzvorschriften, «Stand der Technik» oder akzeptierte «best practices» / «good practices» dokumentieren.
KnowHow-Management: Eine Organisation sollte das Wissen / Dokumentation und die spezialisierten Fähigkeiten über die Daten und die entwickelten Anwendungen, die die KI speist und nutzt, aufbauen und – auch gar extern durch Dritte auditierbar – pflegen. Dabei sollte sie auch die Kompetenzen und die Verantwortlichkeiten für die Daten- und App-Verwaltung klar definieren und verteilen auf «mehrere KnowHow-Träger», bei Bedarf und je nach Kritikalität auch unterstützt durch externe Spezialisten. Dazu gehören z.B. auch die erweiterte Daten- und App-Modellierung, -Bereinigung, -Anreicherung, -Analyse, -Visualisierung / Dokumentation und -Aktualisierung bei kritischen Kernapplikationen. Solche spezielle Massnahmen gelten auch erweitert bei speziell schützenswerten Anwendungen und Methoden gegenüber Mitbewerbern (Intellectual Property / geistiges Eigentum).
Evaluationen von neuen Systemen / Tools / ERP: Eine Organisation sollte die Eignung und die Auswirkungen von neuen Systemen, Tools oder ERP, die die KI speisen oder nutzen, sorgfältig prüfen und bewerten. Dabei sollte sie auch die Anforderungen und die Erwartungen aller Stakeholder und vorallem internen Akteuren berücksichtigen und einbeziehen. Dazu gehören z.B. die Integration in KI-/Cloud-Systemen, Kompatibilität, Schnittstellen-Unterstützung, nutzbare API, App-Verfügbarkeit auf diversen Plattformen, Funktionalität, die Benutzerfreundlichkeit, die Kompatibilität, die Skalierbarkeit, die Kosten, die messbare Leistung und Nachhaltigkeit des zukunftsorientierten Nutzens. Diese Evaluation muss in mehreren Aspekten weiter gehen bis hin zur auch z.B. Unterstützung der maximierten Angriffs- und Betriebssicherheit, Datenschutz, Datensicherheit in der dynamischen Bedrohungslage gemäss «Stand der Technik»

Arbeitgeberattraktivität mittels Digital-DNA-Maturität im Fachkräftemangel

Die KI erfordert nicht nur eine technologische, sondern auch eine kulturelle Transformation in den Organisationen. Daher ist es für eine Organisation schon länger essentiell, eine attraktive, visible Arbeitgebermarke zu entwickeln, welche die Digital-DNA-Maturität widerspiegelt und entsprechend gar auch die «am besten passenden» Fachkräfte anzieht, motiviert und bindet, die für die KI-Nutzung erforderlich sind. Eine attraktive Arbeitgebermarke bei auch entsprechend zu forcierenden Visibilität im Marktumfeld sollte folgende Beispiel-Aspekte umfassen:

Talent Management: Eine Organisation sollte ein systematisches und strategisches Talent Management fördern, welches die Identifizierung, die Rekrutierung, die Entwicklung, die Förderung und die Bindung der Fachkräfte für die KI-Nutzung und Digital-DNA-Transformation ermöglicht. Freie Getränke, frisches Obst, HomeOffice-Optionen und leistungsgerechte Entlöhnung reichen hier längst nicht mehr bzw. sind auch mittlerweilen vorausgesetzter Standard im harten Wettbewerb im Rahmen des Fachkräftemangels.
Innovations Kultur: Eine Organisation sollte eine innovationsfreundliche, möglichst auch digitalisierte Kultur («Mindset») haben, welche die Kreativität, die Experimentierfreude («Fail Fast»), die Risikobereitschaft und die Lernfähigkeit der Fachkräfte für die KI-Nutzung unterstützt und auch gar der Mitgestaltung belohnt. Dabei sollte sie auch die Zusammenarbeit, den Austausch und die Vernetzung der Fachkräfte über Abteilungen, Funktionen und Hierarchien hinweg erleichtern und anregen, z.B. auch mit guten alten ERFA (Erfahrungsaustausch Gruppen)
Future Skilling: Eine Organisation sollte eine kontinuierliche und zielgerichtete Weiterbildung und bei Bedarf gezielte Umschulung der Fachkräfte für die KI-Nutzung und Digital-DNA-Transformation anbieten und ermöglichen. Dabei sollte auch der aktuelle und vorallem zukünftige Kompetenzbedarf und -lücken analysiert und adressiert werden. Dazu gehören z.B. die technischen, die methodischen, die persönlichen und die sozialen Kompetenzen. Man kann es nicht genug wiederholen: Nebst der technischen Dynamik bezüglich «Stand der Technik» ist die organisatorische Dynamik in Zukunft kaum mehr zu schaffen wenn eine Zukunfts-Kompetenz wie z.B. die «Wandlungsfähigkeit» fehlt im «Mindset» der betroffenen Akteure.
Toolset/Skillset/Mindset: Eine Organisation sollte die passenden Werkzeuge «Toolset», Fähigkeiten «Skillset» und Einstellungen «Mindset» für die Digital-DNA-Transformation und KI-Nutzung entwickeln, möglichst allen bereitstellen und proaktiv fördern gemäss auch «Stand der Technik». Dabei sollte sie auch die Anpassungsfähigkeit, die Flexibilität und die Agilität der Fachkräfte für die Digital-DNA-Transformation und KI-Nutzung stärken und fordern. Dazu gehören z.B. die Plattformen, die Apps, die Vorlagen, die Frameworks, die Algorithmen, die Daten, die Modelle, die Schnittstellen, die Prozesse, die Methoden, die Prinzipien, die Werte und die darauf aufgebauten Visionen und realisierbaren Innovationen.

«Ohne oder mit KI» das neue Gütesiegel?

Die Frage, ob eine Organisation ohne oder mit KI arbeitet, wird immer relevanter und entscheidender für ihren Erfolg und ihr Image im hartumkämpften Wettbewerb und speziell auch dem Fachkräftemangel. Dabei geht es nicht nur um die technologische Kompetenz, sondern auch um die strategische Ausrichtung, die kunden- und mitarbeiter-orientierte Differenzierung und die gesellschaftliche Verantwortung. Eine Organisation, die mit KI und Digital-DNA-Transformation arbeitet, sollte daher folgende Beispiel-Aspekte beachten:

Mehrwerte / Use cases messbar machen: Eine Organisation sollte die konkreten Ziele und Nutzen definieren, die sie mit der KI und Digital-DNA-Transformation erreichen will, und diese anhand von messbaren Indikatoren / Adoption Scoring überprüfen und bewerten. Dabei sollte sie auch die Kosten, die Risiken und die Nebenwirkungen der KI berücksichtigen und minimieren. Dazu gehören z.B. die Verbesserung der Qualität, der Effizienz, der Kundenzufriedenheit, der Innovation, der Wettbewerbsfähigkeit, der Arbeitgeberattraktivität und der Nachhaltigkeit.
Digitale Kunden- und Bürgernähe: Eine Organisation sollte die Bedürfnisse, die Erwartungen und die Präferenzen der Kunden und der Bürger verstehen, antizipieren und erfüllen, indem sie die KI und Digital-DNA-Transformation nutzt, um personalisierte, relevante und wertvolle Dienstleistungen und Produkte anzubieten (wie z.B. 7x24h Digitaler Schalter, Self Services, Mehrwert Portal). Dabei sollte sie auch die Transparenz, die Fairness und die Sicherheit der KI und Digital-DNA-Transformation gewährleisten und die Einwilligung, die Mitgestaltung, die Kontrolle und das Feedback der Kunden und der Bürger ermöglichen und respektieren.

AI Regulationen gegen die Angst oder zugunsten der Hoffnung

Die KI wirft nicht nur technische, sondern auch ethische, rechtliche und soziale Fragen und Herausforderungen auf, die eine angemessene Regulierung erfordern, um die Sicherheit, die Qualität und die Akzeptanz der KI zu sichern und zu fördern. Dabei geht es nicht nur um die Beschränkung, sondern auch um die Ermöglichung, die Förderung und die Orientierung der KI. Eine Organisation, die mit KI arbeitet, sollte daher folgende Beispiel-Aspekte beachten:

Datenschutz-Regulationen: Eine Organisation sollte die Einhaltung der Datenschutz-Regulationen sicherstellen, die die Verarbeitung personenbezogener oder firmenkritischer Daten durch die KI regeln oder beeinflussen. Dabei sollte sie auch die Rechte und Interessen der Betroffenen respektieren und schützen, wie z.B. das Recht auf Auskunft, Berichtigung, Löschung, Widerspruch und Datenübertragbarkeit. Dazu gehören z.B. die Datenschutz-Grundverordnung (DSGVO) der EU, die seit 2018 gilt, die Datenschutz-Prinzipien-Regelung (DPGR) der Schweiz, die seit 2018 gilt, und das neue Datenschutzgesetz (DSG) der Schweiz, das seit dem 1. September 2023 in Kraft ist.
Weitere neueste «AI ACT» Regulationsvorstösse der EU: Eine Organisation sollte die neuesten «AI ACT»-Regulationsvorstösse der EU beachten, die die Entwicklung, den Einsatz und die Überwachung der KI regeln oder beeinflussen. Dabei sollte sie auch die Anforderungen und Erwartungen der Behörden, der Kunden, der Partner und der Gesellschaft erfüllen und einbeziehen. Die EU hat im April 2023 einen Vorschlag für eine Verordnung über künstliche Intelligenz vorgelegt, der einen risikobasierten Ansatz verfolgt, der die KI in vier Kategorien einteilt: verbotene, hochriskante, geringriskante und minimale KI, und der entsprechende Pflichten und Sanktionen festlegt. Der Vorschlag zielt darauf ab, eine Balance zwischen Innovation und Sicherheit zu finden, indem er die Entwicklung und den Einsatz von KI fördert, die dem Wohl der Menschen und der Gesellschaft dient, und gleichzeitig die Grundrechte, die Werte und die Regeln der EU achtet und schützt. Der Vorschlag muss noch vom Europäischen Parlament und dem Rat angenommen werden, bevor er in Kraft treten kann.
Noch keine weitergehende Schweizer AI Regulationen: Die Schweiz hat bisher kein spezifisches Gesetz zur Regelung von KI, sondern wendet die bestehenden Gesetze und Vorschriften an, die für die KI relevant sind, wie z.B. das Datenschutzgesetz, das Urheberrechtsgesetz, das Strafgesetzbuch oder das Haftpflichtgesetz. Die Schweiz beobachtet jedoch die Entwicklungen auf internationaler Ebene, insbesondere in der EU, und prüft, ob Anpassungen oder Ergänzungen des Schweizer Rechtsrahmens erforderlich sind. Die Schweiz beteiligt sich auch aktiv an der Gestaltung von internationalen Standards und Normen für KI, z.B. im Rahmen der OECD, der UNO oder des Europarats.

Um die Sicherheit von neuen, mächtigeren KI-Modellen zu gewährleisten, hat OpenAI ein Sicherheitskonzept namens Preparedness Framework vorgelegt, das Modelle in verschiedene Risikostufen einteilt und gegebenenfalls sogar die Weiterentwicklung verbietet.

Preparedness Framework: Ein Sicherheitskonzept von OpenAI, das KI-Modelle in verschiedene Risikostufen einteilt und gegebenenfalls die Weiterentwicklung verbietet¹.
Scorecards: Ein Bewertungssystem, das ein Modell nach vier Kriterien (Cybersecurity, CBRN, Überredungskunst und Modell-Autonomie) in Risikostufen zwischen “tief” und “kritisch” einstuft².
Preparedness Team: Ein spezielles Team, das die Modelle entsprechend untersucht und einstuft, sowie potenziellen missbräuchlichen Einsatz überwacht und registriert³.
Ziel: Die Sicherheit und Verantwortung von immer leistungsfähigeren KI-Modellen zu gewährleisten, die “katastrophale Risiken” mit sich bringen könnten⁴.

Swiss AI Initiative ETH Zürich, mit Supercomputer in der Schweiz / Tessin

Die ETH Zürich hat im Dezember 2023 die Swiss AI Initiative lanciert, die das Ziel hat, die Schweiz als weltweit führenden Standort für die Entwicklung und Nutzung einer transparenten und vertrauenswürdigen KI zu positionieren. Die Initiative bündelt das Fachwissen von rund einem Dutzend Schweizer Universitäten, Fachhochschulen und Forschungseinrichtungen und will neue Large-Language-Modelle (LLMs) entwickeln und trainieren, die auf Transparenz und Open Source basieren. Die Initiative will auch grundlegende Fragestellungen bei der Entwicklung und Nutzung von LLMs klären, wie z.B. die ethischen, rechtlichen und sozialen Auswirkungen der KI. Zudem will die Initiative die Wissenschaft, die Industrie und die Politik zusammenbringen, um gemeinsam die Entwicklung und den Einsatz der KI in der Schweiz mitzugestalten und voranzutreiben.

Eine zentrale, technische Rolle in der Swiss AI Initiative spielt ein neuer Supercomputer, der im Tessin im Swiss National Supercomputing Centre (CSCS) der ETH Zürich installiert werden soll. Der Supercomputer soll eine Rechenleistung von mehr als 100 Petaflops haben und zu den schnellsten und energieeffizientesten der Welt gehören. Der Supercomputer soll allen Schweizer Hochschulen und Forschungsanstalten zur Verfügung stehen und die Entwicklung und das Training von LLMs ermöglichen und beschleunigen. Der Supercomputer soll auch die Zusammenarbeit und den Austausch zwischen den verschiedenen Akteuren im Bereich der KI fördern und die Schweizer Neutralität und Unabhängigkeit in der KI-Forschung stärken.
Diese Initiative hat entsprechend letztlich auch den Zweck, eine möglichst gute Alternative und Unabhängigkeit gegenüber markt-mit-bestimmenden Monopolisten wie z.B. Microsoft, Amazon, Google, Meta (wenigstens theoretisch) zu wahren oder zu erlangen.

blog-fridel-rickenbacher_ai-readiness-strategie-unhype-hype-januar-2024 Herunterladen

Digitalisierung braucht Sensibilisierung: Keine künstliche Intelligenz ohne menschliche Intelligenz

Der Hype rund um die künstliche Intelligenz (KI / AI) und der sogenannten «AI readiness» braucht vorallem auch mitunter eine «gehörige Portion» menschliche Intelligenz und hoffentlich auch ein kritischer, gesunder Menschenverstand. Dies speziell in der Erarbeitung und mitgestaltbaren Umsetzung der betroffenen, involvierten Belegschaft und Akteuren einer angestrebten Digital-DNA-Strategie zur Digital Transformation

Keine Addition sondern intelligent orchestrierte Kombination

Künstliche Intelligenz (KI / AI) ist eine der wichtigsten Technologien der Gegenwart und Zukunft und mausert sich zunehmend zu einem sehr relevanten Teilbereich vom globalen «Stand der Technik» über alle Grenzen hinweg. Sie bietet enorme Möglichkeiten für Innovation, Effizienz und Wettbewerbsfähigkeit in verschiedenen Bereichen und Branchen. Doch KI / AI ist nicht nur eine technische Herausforderung, sondern mitunter auch eine sehr menschliche. Denn ohne menschliche Intelligenz bzw. deren sehr wichtigen Mitgestaltung von digital unterstützen Prozessen kann KI / AI nicht ihr volles Potenzial entfalten. Die Künstliche Intelligenz ist entsprechend auch hier keine reine Addition zu bestehenden Massnahmen und Prozessen sondern sollte als intelligent orchestrierte Kombination von «Mensch und Maschine» mitgestaltet werden.

Menschliche Intelligenz ist die Fähigkeit, Wissen zu erwerben, zu verarbeiten, zu nutzen, zu optimieren und zur weiteren Weiterentwicklung zu teilen («share to evolve»). Sie umfasst kognitive, vorallem emotionale, soziale und kreative Aspekte. Menschliche Intelligenz ist die Basis für das Lernen, das Verstehen, das Entscheiden und das Handeln (in den Ursprüngen «Angriff oder Flucht»). Sie ist auch die Quelle für die ethischen, moralischen und gesellschaftlichen Werte, die die Anwendung und mitunter Regulation von KI mitgestalten, leiten und bei Bedarf begrenzen sollten.
Wenn diese «menschliche Intelligenz» dann unterstützt wird mit einem laufend anzupassenden Toolset, Skillset kann entsprechend letztlich auch daraus ein anderer «Mindset» entstehen – eben auch in Richtung einer Koexistenz mit neuen (R)Evolutions-Stufen und Maturitäten.

«AI Readiness» das neue Credo und Avantgarde – mit vielen Hausaufgaben

Die sogenannte und derzeit inflationär referenzierte «AI Readiness» ist die Fähigkeit, KI erfolgreich zu implementieren und zu nutzen. «AI readiness» erfordert nicht nur technische Kompetenzen, sondern auch organisatorische, kulturelle und strategische Faktoren. AI Readiness braucht wie gesagt vorallem auch menschliche Intelligenz, um die folgenden, stets komplexer werdenden Herausforderungen zu meistern:

Die Definition von klaren und relevanten Zielen, die mit der Vision, der Mission und den Werten der Organisation übereinstimmen und auch der Firmen- / Digital-DNA-Strategie angelehnt ist. Die laufend mitunter unterjährigen Weiterentwicklungen und Evolutions-Schritte verlangen hier eher eine «agile Planung» anstelle ein zu statische, klassische Strategie.
Die Auswahl und Anpassung der geeigneten KI-/AI-Lösungen / Cloud & Security Services, die den Bedürfnissen, Anforderungen und Erwartungen sämtlicher Akteuren entsprechen und von denen vorallem auch effektiv akzeptiert, angewandt und mitgestaltet werden.
Der Fokus hier ist sicherlich auch speziell auf die davon betroffenen Belegschaft und Anwender zu legen in deren erweiterbaren Toolset / Skillset und Mindset.
Die Integration von KI /AI in die bestehenden Prozesse, Systeme und Strukturen, die eine reibungslose und effektive Zusammenarbeit zwischen «Menschen und Maschinen» (auch nur schon «Mensch und Tools / Apps / Codes») ermöglichen.
Die Förderung einer lernenden und innovativen Kultur, die die kontinuierliche Verbesserung, Anpassung, Automatisierung und Erneuerung von KI /AI unterstützt.
Die Sicherstellung der Qualität, Zuverlässigkeit, Sicherheit, Transparenz und Verantwortlichkeit von KI / AI, die das Vertrauen, die Akzeptanz und die Zufriedenheit / Motivation der Nutzer und Kunden erhöhen.
Die Berücksichtigung der ethischen, rechtlichen und sozialen Auswirkungen von KI /AI, die die Werte, Rechte und Interessen der Menschen und der Gesellschaft respektieren und schützen.
Die technischen und organisatorischen Massnahmen in Bereichen von Datenschutz, Datensicherheit, Regulation, Compliance, ICT Richtlinien zugunsten einer maximierten Angriffs- und Betriebssicherheit und letztlich der Gesamtsystem-Resilienz.
Speziell auch im ICT Risk Management, im sogenannten «Business Continuity Planning» und im Datenschutzthema in der Datenschutz-Folgenabschätzung / im Auftragsdaten Verarbeiter Verzeichnis gibt es weitere Notwendigkeiten abzubilden.
Daraus werden weitergehende Herausforderungen zu meistern sein in Richtung von «Knowledge-Management von effizienzsteigernden Tools / Skills / Mindset» im Sinne von gar Schutz von Betriebsgeheimnissen / «Best practices» bis hin zum «Schutz von AI Assets»

Die Geschichte wiederholt sich: Es gibt nur EIN Weg – der GEMEINSAME Weg von «Mensch und Maschine»
Künstliche Intelligenz ist eine mächtige und transformative Technologie, die viele Chancen und Herausforderungen / Hausaufgaben für Organisationen und Gesellschaften bietet und mit sich bringt. Um KI / AI erfolgreich zu implementieren und zu nutzen, ist nicht nur technische, sondern vorallem auch die mitgestaltende, menschliche Intelligenz und Akzeptanz / Motivation erforderlich. Die Menschliche Intelligenz ist und bleibt der Schlüsselfaktor für die sogenannte «AI readiness» und die Digital-DNA-Strategie, welche die digitale Transformation / Automatisierung ermöglichen und beschleunigen.
Wie es schon startete in früheren «industriellen Revolutionen» mit der Zusammenarbeit mit Werkzeugen, Tieren, Mechanisierung, Wasser- und Dampf-Kraft, Motoren, Elektrizität über Computer, Elektronik, Automatisierung, Vernetzung bis hin zu cyber-physikalischen Systemen, maschinellem Lernen. Es geht nun wiederum aber viel dynamischer und viel schneller und komplexer in grossen Schritten (hoffentlich ohne zu grosse Stolpergefahren) weiter in Richtung Mensch-Roboter-Kollaboration und letztlich der «möglichst kooperativen Koexistenz zwischen der menschlichen & künstlichen Intelligenz».

Auch die Flugzeuge der Zukunft brauchen einen Pilot und einen Co-Pilot

Das Flugzeug der Zukunft ist bereits länger auf dem Rollfeld am (durch)starten und alle sollten einen passenden Platz finden am richtigen Ort.

«Sein oder nicht sein, das ist hier die Frage» von William Shakespeare klingt zugegebenermassen sehr tragisch in diesem Kontext, jedoch sollten wir den besten Pilot und Co-Pilot an Board dieses «Fluges zu einer neuen Zukunft und Dimension» platzieren.

Die «Frage» gemäss Shakespeare könnte gar übersetzt werden im Flugzeug Cockpit zum «Sein oder Schein» bzw. der Definition welcher kooperierende Pilot oder Co-Pilot nun der führende Hauptakteur «ist / scheint» und welchen der 2 Cockpit Plätze einnimmt. Wer ist der Pilot oder Co-Pilot? Der Mensch oder die Maschine / KI?

blog-rickenbacher_ai-readiness-co-pilot-dezember_2023 Herunterladen

Konjunkturbeobachtung des H+I 2023 – Der Schwyzer Wirtschaftsverband

Im Sinne einer Dienstleistung führt der H+I – Der Schwyzer Wirtschaftsverband jährlich ein Konjunkturbeobachtungsgespräch durch. Gegenstand dieser Beobachtungen sind Antworten auf Fragen aus der Wirtschaft des Kantons Schwyz. Sie bezwecken, die wirtschaftliche Lage näher zu diskutieren und sowohl die H+I-Mitglieder als auch die Öffentlichkeit darüber zu informieren. Im Rahmen einer Gesprächsrunde, an der UnternehmerInnen und Persönlichkeiten aus der Schwyzer Wirtschaft teilnehmen, wird das Thema besprochen. Die Zusammensetzung der Gesprächsrunde gewährleistet eine kompetente und aktuelle Beurteilung der Wirtschaftslage aus Sicht der beteiligten Personen und im Sinne eines Querschnittes durch die Schwyzer Wirtschaft.

Inputs, Beobachtungen und Fachmeinungen seitens Fridel Rickenbacher gemäss Presseartikel / PDF-Datei vom Jahr 2023 in diesem Artikel:

konjunkturbeobachtung_pressetext_fridel-rickenbacher_2023 Herunterladen

Digitalisierung braucht Sensibilisierung: Auch das «digitale» Wasser findet seinen Weg

Der «Stand der Technik» und die «zunehmende Regulation» findet seinen Weg – wie Wasser
Bei der Digitalisierung und speziell in Bereichen Cybersecurity und Künstlicher Intelligenz (KI/AI) ist es ähnlich wie beim Wasser. Es wird seinen Weg irgendwie finden und zum Ziel vor- oder/und eindringen.
Es liegt weiterhin und fortwährend an uns, den Weg dieses grösser werdenden Flusses mitzugestalten oder gar möglichst passend zu leiten.

Der weiter stark angestiegene «Hacktivismus» (diese finden ihren Weg ebenfalls wie das Wasser…) der höchst professionell agierenden und leider sehr «erfolgreichen» Cybercrime-Organisationen war entsprechend auch dazu passend wieder im Fokus des halbjährlichen NCSC-Berichtes (Nationale Zentrum für Cybersicherheit).
Akzentuiert geprägt seit dem Jahre 2018 mittels der europäischen Datenschutz Grund Verordnung (DSGVO / GDPR) und nun auch teilweise adaptiert und nun definitiv in Kraft getreten seit dem 1. September 2023 mittels dem neuen schweizerischen Datenschutz-Gesetz (CH-DSG) finden sich juristische und natürliche Personen mit weiteren Regulationen und Herausforderungen konfrontiert.

Nicht gemachte Hausaufgaben in «Stand der Technik» und dynamischen Bedrohungslagen
Vor allem rund um Datenschutz, Datensicherheit, ICT-Risiko Management, ICT-Strategie, zugunsten der optimierten Angriffs- und Betriebs-Sicherheit und zum «Schutz der digitalen Identität» ergeben sie weitere technische und organisatorische Hausaufgaben.
Viele der wertstiftenden Potentiale zugunsten von «Secure Modern Work» (sicheres, modernes und effizientes Arbeiten) bei möglichst passendem «Automatisierungs-Grad» sind entsprechend noch komplexer geworden und nur effektiv erschliessbar mit entsprechenden Prioritäten und Budget (Zeit und Geld).
Die hohe Dynamik von Umweltfaktoren wie z.B. Wirtschaft, Gesellschaft, Cybersecurity, Geopolitik, Stand der Technik verlangt entsprechend auch eine hohe Agilität und Flexibilität in entsprechenden organisatorischen und technischen Massnahmen bis hin zu einer immer agiler werdenden ICT-Planung / ICT-Strategie.

Die Künstliche Intelligenz (KI/ AI) – Fluch oder Segen / Evolution oder Revolution ?
Künstliche Intelligenz (KI) ist ein Thema, das mitunter viele Fragen aufwirft. Es gibt sowohl Befürworter als auch Kritiker. Einige glauben, dass KI mehr als eine Evolution bzw. eine regelrechte Revolution in der Technologie darstellt, während andere befürchten, dass sie zu einem gar schlimmeren und noch schlechter berechenbaren Fluch als bisherige «Dunkle Seiten der Macht» (wie eben z.B. Cybercrime) werden könnte. Die effektiv eintretende Wahrheit und Realität in unserem Privat- und Geschäfts-Leben liegt wahrscheinlich irgendwo dazwischen.
Was aber definitiv wie beim Datenschutz / Datensicherheit und diesbezüglich speziell beim «Schutz der digitalen Identität» eine weitere Hausaufgabe sein wird ist möglichst ein guter Schutz und Kontrolle von sogenannten «AI / KI Assets».
Ein Ansatz besteht darin, einen Rechtsrahmen für KI zu schaffen, der die Verwendung von KI-Systemen regelt und sicherstellt, dass sie sicher und ethisch möglichst einwandfrei sind. Ein weiterer Ansatz besteht darin, die Sicherheit von KI-Systemen durch die Verwendung von Sicherheitsmechanismen wie Verschlüsselung, Zugriffskontrollen, Authentifizierung und entsprechendem Monitoring zu erhöhen. Hierbei kommen auch Grundsatzprinzipien wie z.B. «security & privacy by default / by design» und entsprechenden ICT-Security Policies / Anwendungsrichtlinien zum Einsatz welche dann hoffentlich auch «good und best practices» gemäss jeweiligem «Stand der Technik» mitprägen und möglichst breite und akzeptierte Anwendung finden.

Booster-Impfung zugunsten Stand der Technik, KnowHow und Halbwert-Zeit des Wissens
Eine Impfung sollte möglichst freiwillig sein und bleiben. Regulatorische Vorgaben und anerkannter «Stand der Technik» / «Best Practices» rund um den Datenschutz und Datensicherheit in Hybrid Cloud Umgebungen, zwingen jedoch zunehmend zu einer «Impfung mit neuem Wissen in technologischen und prozessualen Standards».
Spezielle (R)Evolution-Stufen wie z.B. das «plötzlich sehr nah greifbare und nutzbare Universum von KI / AI» mit deren Chancen und Risiken und weitere «Regulationen rund um Datenschutz / Datensicherheit» im Zuge der dynamischen Bedrohungslage der Cybersecurity sollten möglichst allen Akteuren per fortwährender Sensibilisierung noch näher gebracht werden.
Vor allem auch der Faktor Mensch als wichtigster Akteur und Betroffener sollte gezieltes KnowHow, Sensibilisierung und den höchsten Stellenwert erhalten, als Mitgestalter einer solchen Forcierung oder Weiterentwicklung in der «Digital Transformation».
Die Halbwerts-Zeit einer solchen «Digital-DNA-Booster-Impfung» mittels z.B. KnowHow-Transfer oder «Stand der Technik», nimmt stetig ab und bedürfen einer nachhaltigen (Kampagnen)Planung und proaktiven Förderung.

Es gibt nicht DIE EINE «Digital-DNA» in einer Organisation – aber irgendeine muss es sein

“Digital DNA” ist ein Begriff und auch eine Methodik in einer Digital Transformation, der sich auf die Fähigkeiten und Kompetenzen bezieht, die für die Arbeit in einer digitalen und möglichst schlanken / automatisierten Organisation erforderlich sind. Es gibt drei diesbezügliche Hauptkomponenten des “Digital DNA”: Mindset, Skillset und Toolset
Eine solche «Digital-DNA» ist speziell immer relevanter geworden bezüglich den mitunter laufenden technologischen Weiterentwicklungen (speziell derzeit auch KI / AI), Herausforderungen und «nicht mehr verschiebbaren Hausaufgaben»
Daraus kann ein regelrechtes Framework / Methodik (bis hin zur Verankerung im QMS) entstehen für die Effizienzsteigerung im Rahmen der Digital Transformation durch intelligente Orchestrierung und seitens Akteuren mitentwickelter Kombination von Cloud- / ICT- und AI-Lösungen und internen und externen Anwendungen / Anweisungen.

Mindset: Das Mindset bezieht sich auf die Einstellung und Richtung der Denkweise, die erforderlich ist, um in einer digitalen Umgebung erfolgreich zu sein – speziell auch im Teamwork. Ein digitales Mindset erfordert Offenheit, Flexibilität und die Fähigkeit, schnell zu lernen und sich an Veränderungen anzupassen welche man auch mitgestalten und mitprägen kann.

Skillset: Das Skillset bezieht sich auf die Fähigkeiten und Kenntnisse, die erforderlich sind, um in einer digitalen Umgebung erfolgreich zu sein – in z.B. der Selbstorganisation oder auch im Teamwork. Dazu gehören technische Fähigkeiten wie Grundlagenverständnis, Fachbegriffkenntnisse, erweiterte Anwendungskenntnisse bis hin zu gar einfachen modularen, vorlagenbasierten Programmierung / App-Erstellung / Flow-Generierung, Datenanalyse und Cybersicherheit sowie Soft Skills wie Kommunikation, Zusammenarbeit, Problemlösung und Prototyping.

Toolset: Das Toolset bezieht sich auf die Werkzeuge und Technologien, die in einer digitalen Umgebung verwendet werden. Dazu gehören Softwareanwendungen, Apps, Vorlagen, Flows, Cloud-Plattformen aber auch soziale Medien, mobile Geräte und Security-Technologien.

Es ist wichtig und mitunter auch beinahe gar unumgänglich geworden, alle drei Komponenten des “Digital DNA” passend für die eigene Organisation zu entwickeln, um in einer digitalen Umgebung und im globaler werdenden Wettbewerb (spez. beim Fachkräftemangel können entscheidende Unterschiede entstehen bei z.B. Rekrutierung in eine Organisation mit einer «hohen und attraktiven DIGITAL-DNA-Maturität» im Vergleich zu anderen Arbeitgebern) erfolgreicher zu werden und zu bleiben. Dabei gibt es eben für jede Organisation zu berücksichtigende, unterschiedliche Rahmenbedingungen und angestrebte / erreichbare Maturitäts-Stufen (Reifegrade) je nach auch z.B. Arbeitsplatz / Jobprofil / Arbeitsumfeld / Branche / Automatisierung-Potentiale und Regulationsvorgaben.

https://www.socialintents.com/api/socialintents.1.3.js#2c9fa6c38bdb7069018c05e496a31695

blog-rickenbacher_weg-des-digitalen-wassers-november_2023 Herunterladen

Konjunkturbeobachtung des H+I – Der Schwyzer Wirtschaftsverband

hi-konjunkturbeobachtung_pressetext_2022-sits-fridel-rickenbacher Herunterladen

Interview Gewerbeverein GV «Ein Idiot mit einem Plan schlägt ein Genie ohne Plan.»

Den Schlusspunkt (eher Schlussgang…) der Generalversammlung des Gewerbe-vereins Schwyz setzte Marco Zörner mit einem spannenden Interview mit IT-Experte Fridel Rickenbacher zum Thema Cyber-Security.

Wie steht es um die (Cyber-)Sicherheit der KMU in der Schweiz?

«Es sind unterschiedliche Ausprägungen anzutreffen, zwischen unbewusster Inkompetenz und entsprechend falschem Vertrauen in eine vermeintliche Sicherheit bis zur rühmlichen proaktiven Orientierung und Investitionsbereitschaft in den Stand der Technik», laut Rickenbacher. Die Sensibilisierung und Notwendigkeiten rund um die Effizienzsteigerung mittels der Digitalisierung oder der Cybersicherheit würde wenigstens zunehmend erkannt und akzeptiert. Die Digitalisierung bzw. Transformation sei nicht aufzuhalten und damit auch die mit ihr verbundenen Risiken und Chancen. «Beten und Gottes-Vertrauen rund um Cyber-Security reicht leider schon lange nicht mehr,» mahnte Rickenbacher. Das sogenannte «Null-Vertrauen-Prinzip» (Zero Trust) in der digitalen Welt sei mitunter eine unumgängliche Grundregel geworden. Und hierzu gehöre auch das kritische Hinterfragen, Ueberprüfen oder Zurückfragen im Zweifelsfalle via bewusst einem anderen Kommunikations-Kanal wie z.B. dem guten alten Telefon!

«Wir dürfen nicht vergessen: die meisten sicherheitsrelevanten Probleme oder Ausgangspunkte für erfolgreiche Cyberangriffe entstehen nicht durch Technologie oder Maschinen, sondern die Schwachstelle ist oft der Mensch, meist aus Nachlässigkeit oder einer Art gefährlicher Systemgläubigkeit» erklärte Rickenbacher. Man müsse nur mal den Umgang mit Passwörtern oder Systemzugängen detaillierter studieren und man erkennt, dass Sicherheitslücken meist beim Mensch beginnen. «Bei leider immer noch unglaublichen rund 80 bis 90 Prozent aller Angriffe hilft der Anwender, sprich Mitarbeiter, aktiv unbewusst mit, den Angreifern ein mitunter fatales Erfolgserlebnis zu verschaffen.» Meist sei es ein zu schneller unbedachter, reflexartiger Klick auf einen Link, einen potentiell gefährlichen Anhang oder aber auch ein zu schwaches, nicht mit weiteren Faktoren geschütztes Passwort oder Systemzugang ohne weitergehende Schutzmassnahmen, was fatale Folgen habe auf die persönliche digitale Identität oder die gesamte Organisation / Firma.
«Cybersecurity und die entsprechende Mitarbeiter-Sensibilisierung ist nicht nur ein Status, sondern ein laufender, essentieller Prozess» betont Rickenbacher eingängig.

Aufruf an alle Akteure in der Firma: «Start thinking! Stop clicking!».

Der frühere, klassische Viren- und Firewall-Schutz habe längst ausgedient und sei nicht mehr auf dem «Stand der Technik». Die seit Jahren aktiven und leider unverändert erfolgreicher werdenden Angriffe wie Social Engineering, Phishing Mails oder vorallem auch sogenannte APT (Advanced Persistent Threat) bedürften einem Umdenken. Unternehmen müssten durch ihr Verhalten und laufenden Investitionen dafür sorgen, dass die Resilienz (Widerstandsfähigkeit) des Unternehmens gegenüber Systemausfällen oder Cyberangriffen erhöht werde. «Zuerst kritischer denken und erst danach ungestresst und korrekt handeln».

Im weiteren empfiehlt und ermahnt Rickenbacher folgendes: «Eine laufende, proaktive Orientierung zugunsten dem „Stand der Technik“ mit z.B. Mitarbeiter-Cybersecurity-Re-Sensibilisierung, überwachter und automatisierter Endpunkt-Sicherheit (EDR / XDR), mehrstufiger Backup-Strategie, Identitäts-/Zugangs-Berechtigungs-Schutz bis hin zu gar «Security & Threat Intelligence» etc. sind mitunter auch Basis-Voraussetzungen für Compliance, Risk Management, Audits, Revisionen und Cybersecurity-Versicherungen.»

Kennwort- und Systemzugangs-Richtlinien und diese mit weiteren Faktoren besser schützen

Angriffe via gehacktes Passwort seien oft einfach, da Firmenanwender aus Bequemlichkeit im privaten und geschäftlichen Umfeld dieselben oder ähnliche, herleitbare Passwörter verwenden würden. «Solche Fehler wirken sich meist knallhart aus bzw. werden schamlos ausgenutzt.» Sie liessen sich aber vermeiden: Etwa durch Systeme, die einen regelmässigen Wechsel bzw. Ueberprüfen der Passwörter, Zugangsrechte und bei diesen eine vorgegebene Komplexität oder weiteren Prüf-Faktor (MFA, CA) erzwingen würden. Das Implementieren und auf dem «Stand der Technik» halten der nötigen Massnahmen und Tools in diesem Bereich und der sehr dynamischen Cybersecurity-Bedrohungslage sollte so selbstverständlich sein wie der «Helm auf der ewigen Baustelle oder auf dem Velo».

Cyber-Security ist Chefsache und muss proaktiv geplant und verwaltet werden

Natürlich hätten die meisten Firmen inzwischen begriffen, wie anfällig die modernen Technologien und vorallem die Mitarbeiter auf Sicherheitsrisiken und Sicherheitslecks sind. Es gäbe aber leider auch immer noch viele Firmen, die glaubten, sie könnten sicherheitsrelevante Themen einfach und in «nur guter Hoffnung» an die Informatik-Abteilung delegieren. Dabei müsste sich das gesamte Management mit diesen Themen befassen – auch damit, wie man im Falle einer Cyberkrise reagiert mittels einer sogenannten Geschäfts Kontinuitäts Planung (BCP) bzw. Vorfall-Reaktionsplanung auf Sicherheitsvorfälle (IR).
«Unter der längst überfälligen Akzeptanz, dass Cybersecurity endlich zu den Top-Geschäfts-Risiken gehören sind entsprechende weitergehende Massnahmen unumgänglich. Ein fortwährend optimierter Schutz zugunsten der Angriffs- und Betriebssicherheit ist mittlerweilen eine interdisziplinäre Angelegenheit geworden unter Mithilfe und Involvierung von internen und externen Mitarbeitern und Partnern.» mahnt Rickenbacher.

Aus einer IT-Planung über eine klassische IT-Strategie seien viele Organisationen übergegangen zu einer «eher agilen Strategie» aufgrund auch der hohen Dynamik in der Bedrohungslage, im Rahmen der Digital Transformation und den sprunghaften Technologie Entwicklungen.

Typisch, die Informatik und vorallem die Cybersicherheit kommt meist erst am Schluss

Am Ende der langen GV konnte sich Rickenbacher folgende humorvoll betonte Aussage nicht verkneifen: «Ist wieder typisch, dass Cybersecurity erst am «Schluss» kommt und dann noch weniger Zeit als geplant erhält. Jetzt dürfen wir aber nur hoffen, dass wir aber halt in diesem verkürzten und gestressten «Schlussgang» nicht zu überrascht platt aufs Kreuz gelegt werden von Cybercrime bzw. unseren nicht gemachten aber durchaus schon länger bekannten Hausaufgaben. Schon länger werden nicht nur die technischen IT-Diagramme sondern viel mehr spezialisiert die Organigramme angegriffen mittels dem Angriffsvektor «Social Engineering». Aus entsprechend nicht gemachten Hausaufgaben in der Informatik / Cybersecurity macht Cybercrime seit Jahren ein zunehmend lukratives Geschäftsmodell»

schwyzer-gewerbe-interview-cybersecurity-fridel-rickenbacher-august-2022 Herunterladen

Booster-Impfung für Cybersecurity und Digitalisierung

Vom Problem zur verpassten Chance
Bekanntlich hatte auch das äusserst professionelle und erfolgreiche «Business Modell CyberCrime» auf der «dunklen Seite der Macht» aber auch der mitunter erzwungene «Reifegrad der Digital Transformation oder Hybrid Cloud», in den letzten 2 Jahren von mehreren, mitunter parallel zur Covid-Pandemie verlaufenden Wellen, wiederum massive Risiken, komplexe Probleme und auch Chancen hervorgebracht. Viele dieser alten und neuen Probleme sowie Chancen sind bekannt aber mitunter noch immer ungelöst.

Nicht gemachte Hausaufgaben in dynamischen Bedrohungslagen
Die weiter voranschreitende «Massive Interconnection» im Universum von IoT «Internet of Things Dinge» bzw IoE «Internet of Everything», in der Kollaboration in Hybrid Cloud Services (z.B. Microsoft 365, speziell Microsof Teams, Microsoft Azure und anderen Cloud Services) und in der virtuellen Welt von Socialmedia, hat zu den bereits älteren Hausaufgaben viele weitere und komplexer gewordene Herausforderungen generiert. Vor allem rund um Datenschutz, Datensicherheit, ICT-Risiko Management, ICT-Strategie, zugunsten der optimierten Angriffs- und Betriebs-Sicherheit und zum «Schutz der digitalen Identität». Viele der wertstiftenden Potentiale zugunsten einer möglichen ICT-Strategie / Vision / Mission von «Secure Modern Work» (sicheres, modernes, automatisiertes und effizientes Arbeiten) sind entsprechend schwer erschliessbar, aufgrund zu vielen nicht gemachten Hausaufgaben.

Booster-Impfung zugunsten Stand der Technik, KnowHow und Halbwert-Zeit des Wissens
Eine Impfung sollte möglichst freiweillig sein und bleiben. Regulatorische Vorgaben und anerkannter «Stand der Technik» / «Best Practices» rund um den Datenschutz und Datensicherheit in Hybrid Cloud Umgebungen, zwingen jedoch zunehmend zu einer «Impfung mit neuem Wissen in technologischen und prozessualen Standards». Dass dabei euch speziell das ICT-Risk Management und Aufbau / Pflege von «business contingency planning (BCP)» und «incident response planning (ICP)» schon länger Standard bzw. «Stand der Technik» ist, hält zum Glück Einzug in die ICT-Strategie, Planung, Budget und auch Verantwortung in der Führungs- und Entscheidungs-Ebene. Vorallem auch der Faktor Mensch als wichtigster Akteur und Betroffener sollte gezieltes KnowHow, Sensibilisierung und den höchsten Stellenwert erhalten, als Mitgestalter einer solchen Forcierung oder Weiterentwicklung in der «Digital Transformation». Die Halbwerts-Zeit einer solchen «Digital-DNA-Booster-Impfung» mittels z.B. KnowHow-Transfer oder «Stand der Technik», nimmt stetig ab und bedarf eine nachhaltige (Kampagnen)Planung und proaktive Förderung.

Cybersecurity + Digitalisierung Sensibilisierung zugunsten Gesamtsystem-Resilienz & Digtal-DNA-Transformation

Die massgeschneiderte Aufklärung und Informations- / Trainings-Kampagne rund um die Chancen und Risiken in den Bereichen von Cybersecurity, Datenschutz/Datensicherheit, digitaler Identität und effizienzsteigernden Digitalisierung ist essentiell, auf diesem anspruchsvollen «Hochseil-Akt» und zur gemeinsamen Meisterung eines möglichst verletzungsfreien «Spagat zwischen Security, Effizienz und moderner Anwender-Erfahrung». Mittels einer ausgewogenen Mitgestaltungsmöglichkeit kann auch ein gutes und hilfreiches Mass einer «gemeinsamen Mitverantwortung rundum Cybersecurity- Resilienz und Digitalisierung» etabliert und in die «Digital-DNA» der Organisation / Transformation verankert werden.

Der Traum der hybriden Arbeitswelt wird zur Realität und das Cybersecurity-Risiko zum gefürchtesten Albtraum
Die Covid-Pandemie und die Ukraine-Krise haben gezeigt, dass unvorhersehbare Ereignisse tatsächlich jederzeit eintreffen und jeden hart treffen können. Im dritten Jahr des unveränderten Ausnahmezustandes von ursprünglich der Covid-Pandemie und nun rund um die Auswirkungen der Ukraine-(Welt)-Krise wird hoffentlich nachhaltige Massnahmen und Lerneffektive hinterlassen. Es bleibt auch zu hoffen, dass der näher greifbare, realisierbare Traum einer möglichst effizienten und hybride Arbeitswelt bzw. «Digitalisierungs Grad» nicht zu stark verflüchtigt oder nicht verdrängt wird wegen der derzeit grössten Sorge der meisten Unternehmen, des Alptraums eines «Cybersecurity / Cybercrime Vorfalls». Man sollte bewusst «gross planen» und möglichst «unbegrenzt träumen» mit entsprechenden «best practices gemäss Stand der Technik», um das Beste auch bewusst und gezielt aus solchen Ausnahmezuständen mit viel Adaptions- und Lern-Potential rauszuholen und weiter zu entwickeln.

«start thinking, stop clicking – stop being naive, stay aware – get and stay smart»
Weiterhin gutgläubig/naiv zu bleiben und sich den bekannten Herausforderungen und Hausaufgaben nicht bewusst(er) und ernsthafter zu widmen, wird immer härter bestraft in der beschleunigten Technologie-Weiterentwicklung und deren erhöhten Komplexität.

Eine konsequent angewandte Grundsatz-Regel von «start thinking, stop clicking» (zuerst mit-denken und erst dann klicken und handeln mit gesundem Menschenverstand) kann ganz viele Cybersecurity-Risiken, speziell im beliebten und negativ «erfolgreichsten» Angriffsvektor von «Social Engineering» reduzieren oder gar verhindern helfen.
Selber sensibilisiert und vorallem «smart» zu werden und vorallem zu bleiben im Universum der «massiven Interkonnektion» bzw. «smart connected world», Internet generell, Internet der Dinge / Internet von allem, Social Media, und letztlich in der «hybriden Privat- und Arbeits-Welt» ist eine Generations-Herausforderung. Der Umgang mit der eigenen «digitalen Souveränität», einer nicht zu hoher «Systemgläubigkeit» und dem Schutz der persönlichen «digitalen Identität» – zunehmend geprägt mit auch (Sicherheits)Faktoren rund um Biometrie bis zur Verhaltens-Biometrie – wird möglichst bald «en vogue» oder gar zum «persönlichen und sozialen Verhaltens-Codex» in einem «next gen» Knigge 5.0. Naivität und Fahrlässigkeit in Wissen der persönlichen, digitalen Angreifbarkeit und auch zulasten der Organisation / Gesellschaft (z.B. Lösegeld zahlen infolge nicht gemachten Hausaufgaben in die gefährliche Kriegskasse von Cybercrime) muss entsprechend leider zunehmend auch als asozial eingestuft werden.

Internet + Internet der Dinge = Wissen / Kontrolle / Macht der Welt
Damit nicht andere Organisationen, Akteure oder gar Staaten alles Wissen, Kontrolle und Macht zu stark vereinen, ist die persönliche «digitale Souveränität» (auch von Staaten, Organisationen, Firmen etc.) im «digitalen Raum» und speziell in der eigenen «digitalen Identität» entsprechend essentiell und einer der wichtigsten Herausforderungen und übergeordneten «Hausaufgaben mit weiter noch folgenden Prüfungen» in der Zukunft. Charles Darwin’s Zitat «survival of the fittest» wird in der zunehmend rasanten (R)Evolution und mitunter hinterher hängenden Adaption der Technologie und speziell in der Digitalisierung einen neuen Stellenwert erlangen.

Publizierter Artikel als PDF-Datei https://fridelonroad.files.wordpress.com/2022/05/booster-impfung-fuer-cybersecurity-und-digitalisierung-mai-2022.pdf

Cybercrime Jahresausblick – Mehrfach-Erpressung & DeepFake

Bekanntlich hatte auch das dunkle Business Modell CyberCrime in den letzten 2 Jahren von mehreren, mitunter parallel zur Covid-Pandemie verlaufenden Wellen leider wiederum massive Zuwächse und Erfolge verzeichnet.

Die Covid-Pandemie hat vieles verändert und erzwungen – auch die Digital Transformation
Viele Organisationen haben einerseits grosse Fortschritte realisieren können (müssen) zugunsten der möglichst optimierten Angriffs- und Betriebs-Sicherheit in der Dynamik der professionell organisierten Cybercrime-Akteure und andererseits auch im Bereich der forcierten Transformation in eine zunehmend digital unterstützte und effizienzsteigernden Arbeitsmethodik / Mindset im z.B. Home Office, Team Zusammenarbeit, geräte- und standort-unabhängiges mobiles Arbeiten oder auch mittels Automatisation generell.

Die System- und Services-Abhängigkeit und angepasste Planungs-Notwendigkeit nimmt weiter zu

Der business-relevante und business-kritische Anteil der eingesetzten Systeme, Services, Schnittstellen, Verbindungen, Apps hat weiter stark zugenommen. Dies hat auch Auswirkungen auf die entsprechende Planung und Massnahmen gegen Ausfälle oder Angriffe im Rahmen eines sogenanntem «Business Contingency Planning» oder «Incident Response Management». In einer solchen Planung – auch als Erweiterung des «Risk Management» – ist möglichst gut zu inventarisieren, klassifizieren, schützen, abbilden, planen mit welchen organisatorischen oder technischen Massnahmen eine solche Systemabhängigkeit je nach Ausfall, Vorfall oder Angriff organisiert, optimiert, kommuniziert, überbrückt und letztlich möglichst bewältigt werden kann. Ein planloser und orientierungsloser Zustand ohne entsprechende organisatorische oder technische Vorkehrungen kann mitunter als fahrlässig betrachtet werden. Auch Versicherungen und auch spezialisierte Cybersecurity-Versicherungen haben aufgrund der dynamischen Bedrohungslage und bedrohlichen Weiterentwicklungen der Cybercrime-Akteure diverse Vorbehalte, Abmahnungen oder auch vorsorgliche Erneuerungs-Kündigungen verständlicherweise initiieren müssen.

Challenges und neue schwieriger werdende Hausaufgaben in nächster Zeit
Im Bereich des gefürchteten und leider sehr erfolgreichen Angriffs-Vektors «Erpressungs-Software» (ransomware) / «Verschlüsselungs-Trojaner» (cryptotraojaner) gibt es bedenkliche, sich negativ auswirkende Innovationen. Wo früher Daten oder Software «nur» verschlüsselt und dadurch unbrauchbar wurden, ist schon länger diese Erpressungs-Taktik sehr erfolgreich weiterentwickelt worden, in eine «doppelte Erpressung» (double extortion) mittels zusätzlich entwenden und gar angedrohtem veröffentlichen der gestohlenen Daten zur Erhöhung der Erfolgsquote der Erpressungsversuchs.
Leider ist bereits auch die «dreifache Erpressung» (triple extortion) eine weitere Innovations-Stufe bei welcher solche Daten im Falle einer Nicht-Bezahlung des Erpressungsgeldes auch zum Kauf angeboten werden bzw. gar an Geschäftspartner, Mitbewerber, Kunden etc. zugänglich gemacht werden. .
Dieses Beispiel lässt einem hoffentlich erahnen, dass solche klassifizierte bzw. kritische Daten, welche entwendet werden, wenigstens möglichst gut geschützt sind mittels adäquaten Massnahmen im Bereich der Datensicherheit und Datenschutz. z.B. mittels Verschlüsselung, Data Loss Prevention, Information Rights Management, Information Compliance bzw. Management und Einschränkungen im Bereich Zugang und Berechtigungen zu denselben etc.
Das relativ einfache Prinzip von «need to know» bzw. «kleinst möglichste Berechtigung oder Zugang» auf business-kritische oder personen-bezogene Daten kann hier das Schadenspotential stark mindern. Z.B. wenn «Hans Muster» angegriffen bzw. seine digital Identität missbraucht wird, er jedoch keine unnötigen Zugänge und Berechtigungen auf solche Daten hat und sein Zugang / seine Rechte bzw. seine digitale Identität entsprechend wenig sieht, wenig entwenden oder wenig anrichten kann.

Auch in nächster Zeit wird weiterhin erfolgeich «gephisht» mittels «Phishing Attacken» bzw. «Social Engineering Taktiken» und entsprechenden, immer besser gefälschten und teilweise kontextpassenden Anfragen mittels Email, Webseite, Anrufen, SMS, Mobile Messaging.
Der bereits wieder in die Jahre gekommene «digitale Enkeltrick» mit cleverer Erschleichung von personenbezogenen Daten, Kennwörter, Zugängen, firmenkritischen Informationen etc. oder manipulativer Drängung zu gefährlichen Aktionen, Zahlungen oder Zulassen von gefährlichen Remote-Support-Zugängen hat leider ebenfalls einiges an Weiterentwicklungen zu bieten.
Es gibt auch hier eine «dunkle Seite der Macht im Bereich der Technologie», welche sich dann mittels Künstlicher Intelligenz (KI / AI) bzw. «machine learning (ML) weiter aufmunitioniert und mittels sogenanntem «deep fake» dann mittels täuschend ähnlicher Stimme, Sprachnachrichten, Bilder, Videos eine weitere «Schreckens-Zeitalter-Dimension» des «Social Engineering» eingeläutet hat.

Das «Internet der Dinge» (IoT) bzw. einfach gesagt die «massive Interkonnektion von jedem Ding auf dieser Welt» wird erwachsen und kann nebst den riesigen positiven Potentialen jedoch auch zum «Internet der Bedrohungen» werden ohne entsprechendes präventives Management und interdisziplinärer Zusammenarbeit aller vernetzten Akteure und Hersteller in diesem riesigen Feld.
Eine solche «massive Interkonnektion» welches schon lange unser Leben, Welt, Heim, Firmen durchwächst und teilweise auch unerwünscht zu stark bzw. «datenschutz-technisch zu heikel» Daten sendet, empfängt bzw. verbindet birgt ein nicht zu unterschätzendes Potential von gezielten oder mitunter auch unmotivierten Systemüberlastungen oder Sicherheitslücken bis hin zu sogenannten «Distributed Denial of Service» (DDoS) Attacken von ganzen Industriezweigen oder Industrielieferanten bei auch entsprechenden Unterbrüchen oder Ausfällen von ganzen Internet-Hauptverbindungen oder -Regionen.

Viele Cybercrime Organisationen setzen schon länger wieder verstärkt auf «Trojanische Pferde» und habe weitere Wege gefunden, die bei vielen Organisationen verbesserte Resilenz gegen Angriffe oder Ausfälle von langer Hand strategisch geplant zu umgehen. Solche hochspezialisierte Malware, Software, Zero Day Exploit, Komponenten etc. werden dann illegal eingepflanzt und wortwörtlich mittels einem «trojanischen Pferd» eingepflanzt in die Supply Chain, Partner oder Softwareanbieter des gezielten Kunden oder gar in den ganzen Kundenkreis des Supply Chain Partners.
Durch diesen hochspezialisierten Angriffsvektor gelingt es den Cybercrime Akteuren zunehmend, mittels sozusagen der «Hintertür» (backdoor) in die Zielorganisation einzudringen weil der anzugreifenden Endkunde dem Supply Chain Partner / Softwareanbieter «vertraut» bzw. technisch mittels Schnittstellen, Verbindungen oder eben mittels Software und Software-Updates dadurch «gefährlich verbunden» ist und die eingeschleuste gefährliche Software-/Komponente/-Update nicht oder zu spät bemerkt

Das seit Jahren sehr erfolgreiche «Business Model mit den nicht gemachten Hausaufgaben» entwickelt sich rasant und erschreckend weiter. Die Cybercrime Organisationen sind zunehmend spezialisiert und nutzen ebenfalls zunehmend und erfolgreich hoch-spezialisierte Sub-Unternehmer in deren Netzwerk. Diese sehr geschickte Orchestrierung von Spezialisten und hochspezialisierten Sub-Unternehmen gründet auf ausgeklügelte Strategien und Planungen. Man darf nur hoffen, dass alle dadurch bedrohten Organisationen ebenfalls entsprechende Strategien und Planungen («Business Contingency Planning» oder «Incident Response Management») gegen diese dynamische Bedrohungslage aufbauen und laufend weiterentwicklend gemäss «Stand der Technik»
Ein Zitat vom Jahrhundert-Kapitalist Warren Buffet sollte das treffend ermahnen und in Erinnerung rufen können:
«An idiot with a plan can beat a genius without a plan.» -> Ein Idiot mit einem Plan kann ein Genie schlagen ohne Plan»

Alles bleibt beim Alten und mitunter bei Mittätern

Letztlich bleibt alles beim Alten. Solange die Cybercrime Akteure und Organisationen mittels deren Angriffen und Erpressungen weiterhin so erfolgreich unterwegs sind und immer wieder mehr und mehr «neues» Geld erwirtschaften damit, wird diese 7x24h-Challenge weiterhin vielen Personen deren Schlaf rauben. (auf dem Bild ist der «CISO» der sogenannte, dafür zuständige «Chief Information Security Officer»)
Solange leider viele Organisationen durch die bekannten, jedoch nicht gemachten Hausaufgaben gezwungen werden auf solche Erpressungs-Forderungen oder gefährliche Aktionen, Zahlungen, Datenverlusten, Datenschutzverletzungen etc. einzugehen werden diese leider mitunter zu einer «speziellen Art von Mittäter». Ist das gar eine «überspitzt interpretierte» Art von «asozialem Verhalten» ?

Publizierter Artikel als PDF-Datei

cybercrime-jahresausblick-mehrfach-erpressung-deepfake_januar_2022 Herunterladen

Trotz neuen Herausforderungen durch Corona-Pandemie gestärkt, resilient und optimistisch

Im Sinne einer Dienstleistung führt der H+I jährlich eine Konjunkturbeobachtung mittels einer Diskussionsrunde aller eingeladenen Beteiligten durch. Gegenstand der Konjunkturbeobachtung sind Antworten auf Fragen aus der Wirtschaft des Kantons Schwyz. Sie bezwecken, die wirtschaftliche Lage näher zu diskutieren und sowohl die H+I-Mitglieder als auch die Öffentlichkeit darüber zu informieren. Die Auswahl der befragten Unternehmen gewährleistet – aus Sicht der beteiligten Personen und im Sinne eines Querschnittes durch die Schwyzer Wirtschaft – eine kompetente, aktuelle Beurteilung der Wirtschaftslage im Kanton Schwyz.

Auf Seiten 12 bis 14 durfte ich aus der Warte und Perspektive der ICT- / Cloud- / Security- / Transformations-Branche Inputs und Fachmeinungen geben.

Konjunkturbeobachtung_Pressetext_2021

CyberCrime – das Geschäftsmodell mit nicht gemachten Hausaufgaben

Man kann Befürworter oder Gegner sein von Hausaufgaben im Schulsystem.
Aber wenn es um dringliche Hausaufgaben rund um Schwachstellen geht zugunsten der optimierten Angriffs- und Betriebssicherheit im Rahmen der CyberSecurity-Massnahmen eher nicht …
Die «Benotung dieser speziellen, nicht gemachten Hausaufgaben» in Zeiten der derzeit sehr dynamischen Bedrohungslage kann dann «sehr schlecht und suboptimal ausfallen» bei einem entsprechenden Vorfall, bis hin zu Erpressung, Betriebsausfall, Datenschutz- / Datensicherheits-Verletzungen und Reputationsschaden.

Einschleichen von Risiken und Schwachstellen und deren harte Benotung
In der Analogie wird man irgendwann bestraft bei einer grossen Prüfung (z.B. Hacking, Social Engineering, Kryptotrojaner, Datenschutzverletzung etc.) wenn man nicht laufend die (Haus)Aufgaben machte und dadurch auch mittels repetetiven Übungen und Tests (Cyberdefense-Massnahmen, Risk Management, Incident Response Management) bis zu dieser «grossen Prüfung» sich darauf vorbereitete. Wie ein sogenanntes «trojanisches Pferd» welches sich unbemerkt einschleicht und dann am Tag X bei der «grossen Prüfung» dann aus dem «geschützten Inneren» zuschlägt und z.B. Daten oder Systeme verschlüsselt, manipuliert, entwendet oder beschädigt und dann entsprechend «harte und schlechte Noten» hinterlässt im ausgestelltem Zeugnis von z.B. Medien , Kunden, Mitarbeitern oder gar Strafverfolgung.

Challenges und neue Hausaufgaben durch und nebst Corona-Pandemie
In der ersten und folgenden Corona-Lockdown-Wellen potenzierte sich der Anteil der «dynamischen» Homeoffice-Workforce inner kürzester Zeit. Viele Organisationen waren entsprechend stark herausgefordert und mitunter auch überfordert in technologischen und prozessualen Aspekten der Aufrechterhaltung einer möglichst optimierten Betriebs- und Angriffs-Sicheit und Widerstandsfähigkeit (Resilienz) der ICT-Gesamtorganisation.
Die Transformation von Mensch, Technologie und Prozessen wurde «zwangsläufig so gut wie es eben geht» mit den vorhandenen Ressourcen und Budget forciert. Im Risk-Management und in der ICT-Strategie / ICT-Planung konnten aufgrund der hohen Dynamik, Planungsunsicherheiten und Erwartungshaltungen mitunter nicht alle Aspekte gemäss «best practices» bzw. «Stand der Technik» vollumfänglich adressiert und sichergestellt werden. Hier bedarf es entsprechende, mitunter auch gar kuzfristigere Anpassungen und Neujustierungen in der ICT-Strategie, ICT-Planung , Risk Management, Incident Response Management und weitergehende Massnahmen anhand der dynamischen Bedrohungslage und technologischen Weiterentwicklung.

Eine der effektivsten Waffen gegen Cybercrime: DIE „Human CyberSecurityResilience Firewall“

Auch die seit Jahren sehr relevante Sensibilisierung der Mitarbeiter zu solchen Risiken und wichtiger Mitverantwortung sollte weiter forciert und ausgebaut werden. Einfache Merksätze im Bereich der Mitarbeiter Cybersecurity-Sensibilisierung wie z.B. «start thinking – stop clicking» in Bereichen wie Email, Internet, Social Engineering-Attacken etc. helfen zwar grundsätzlich, Hausaufgaben rund um Strategien / Schutz-Konzepte / Ansätze wie «zero trust oder never trust, always verify» zu unterstützen, reichen aber bei Weitem nicht mehr aus ohne weitere Begleitung und weitere umfassendere Massnahmen.

Wenn es gelingt, den seitens vorallem auch Anwender mitgetragenen Spagat zu schaffen zwischen der Anwendererfahrung (User Experience), implementierten prozessualen und technischen Sicherheitsmassnahmen (Datensicherheit und Datenschutz zugunsten maximierter Angriffs- und Betriebssicherheit und optimiertem Schutz der digitalen Identität) kann zusätzlich mittels der Cybersecurity-Resilienz-Sensibilisierung, der Mitarbeiter gewonnen und motiviert werden für die geteilte und gemeinsam getragene Cybersecurity-Resilienz-Mitverantwortung.

Dadurch entsteht eine der effektivsten Waffen gegen Cybercrime: DIE „Human CyberSecurityResilience Firewall“

Beim nationalen Zentrum für Cybersicherheit (NCSC) explodieren die Meldungen zu Cybervorfällen
Wöchentlich sind weitere Fälle in den Medien verfolgbar zu erfolgten Cybervorfällen und derem Umgang in jeder Branche, jeder Firmengrösse und auch bei vermeintlich «sicheren» Organisationen und bekannten Firmennamen. Im Vergleich zum Vorjahr sind es x-tausend zusätzliche Vorfälle welche verzeichnet wurden. Ob es nun über 50% oder über 100% mehr sind (z.B. aufgrund vereinfachtem Meldeverfahren, verbesserter Cyber-Maturität der Organisationen und höherer Sensibilisierung etc.) als im Vorjahr sind ist letztlich irrelevant für die dringlichste Notwendigkeit, die besagten «dringlichen Hausaufgaben» anzugehen und sich dadurch auf die «grossen, kommenden Prüfungen» (die da kommen werden…) möglichst gut vorzubereiten.

Cybersicherheit und Transformation – als Investition mehr als ein notwendiges Übel

Der Führung und den Entscheidern sollte klar sein oder dabei geholfen werden, dass die meist als nur Kostenfaktor wahrgenommene ICT (und speziell zunehmend auch die Cybersicherheit und Digitalisierung) ein gewinnbringendes Investment werden kann und nicht einfach nur ein passiver Budgetposten bleiben muss. An das jeweilige Business angepasste Investitionen in diesen Bereichen sind letztlich auch nötige impulsgebende Entwicklungsschritte in die digitale Maturität der Unternehmen, Mitarbeiter und eingesetzten Technologien.

Die technologiegetriebene digitale Transformation kann und sollte eine wichtige Rolle bei der Bewältigung der Auswirkungen auf Mitarbeitende, Kundinnen und Kunden, ganze Wertschöpfungskette und Prozesslandschaft spielen, um das Unternehmen stärker aus der Krise und Challenges herauszubilden.

Die neuen Hausaufgaben sind gekommen um zu bleiben

Die hybride und digitalisierte Arbeit ist in Form eines Tsunami und parallel zu den Corona-Wellen gekommen, um zu bleiben.
Als entscheidendes Rückgrat der künftigen grenzenlosen Kollaboration und digitalisierten Arbeitsformen werden dabei die resiliente Geschäftskontinuität bezüglich Datenschutz / Datensicherheit sowie der optimierte Schutz der digitalen Identität fungieren. Hiefür braucht es entsprechend Rahmenbedingungen – mitunter eben auch (nicht zu viele) Regulationen – mit teilweise noch «sträflich grossem» Nachhol- und Aufklärungsbedarf.
Die hochgelobte Selbstorganisation, speziell in «digitalisierten» Organisationen / Homeoffice braucht derzeit spezielle Führung und passende, abgesicherte Rahmenbedingungen.
Speziell die mitunter tendenziöse Desinformations- und Ablenkungs-Gefahr (z.B. Fake-News, «alternative facts», Corona-Pandemie) durch das Internet, Socialmedia und Medien generell ist zu beachten in den anspruchsvollen Phasen der sozialen Distanz und Isolation (auch Homeoffice).
Viele Probleme, Herausforderungen und Veränderungen sind derzeit speziell zu meistern, nicht nur FUER andere, sondern speziell derzeit möglichst gemeinsam MIT Betroffenen & Beteiligten.

Mittels einer geförderten, neuen Kombinationen von Toolset / Skillset / Mindset (letztlich auch zugunsten von «lifelong learning») wird die Organisation und die involvierten Akteure (Influencers und Followers) reifer für die Transformation zur Digitalisierung und Effizienzsteigerung.

Begeisterung und Innovationskraft aufrechterhalten trotz vielen anderen Hausaufgaben, neuen Challenges und Prioritäten
Die Begeisterung und Begeisterungsfähigkeit für Neues / Anderes / Innovationen sollten trotz den Challenges und Krisen möglichst aufrecht erhalten werden bzw. nicht verloren gehen.
Wieder mal mehr begeisternde Erfolgsstories wären förderlich, auch für das Mindset und «relative» Justierung des Wertesystems.
Eine neue Kultur des Gelingens und des Erfolges sollte die derzeitige Kultur des („eher“) Scheiterns und der Unsicherheiten ablösen.
Verbundenheit, Wertschätzung und Vertrauen in der „neuen technologisierten“ Distanz zu Mitarbeiter & Menschen sind wichtiger geworden in der künftigen Zusammenarbeit (Collaboration) und mehr als nur Floskeln in Hochglanz- / Werbe-Prospekten.
Diese Verantwortung im und am Ganzen sollten möglichst alle «befähigt und dabei unterstützt» mit-tragen. Sich möglichst in «Mitverantwortung fürs Ganze» und «Verzicht auf kleinere Prioritäten» üben gehört mitunter zur «Avantgarde» in der fortwährenden Cybercrime-Challenge und Corona-Pandemie.

«Fides» (Glauben, Vertrauen, Hoffen) und «amor fati» (Liebe zum Schicksal) reichen längst nicht mehr aus (nicht nur in Corona-Challenge…) ohne selber pro-aktiv und präventiver zu werden, mitzuhelfen und sich solidarisch zu zeigen im Ganzen.
Die «mitunter harte Benotung» wird eben nicht mehr nur von der «Karma-Fee» oder «Lehrerschaft» gemacht an das Individium sondern an die ganze, mitverantwortliche Gemeinschaft / Organisation.

Den ganzen publizierten Artikel können Sie gerne lesen im PDF-Anhang:

CyberCrime – das Geschäftsmodell mit nicht gemachten Hausaufgaben.

«Cybersecurity – als Investition mehr als ein notwendiges Übel»

Schutz und Sicherheit sind wesentliche Elemente der Ausgestaltung der Digitalisierung.
Gemäss Fridel Rickenbacher, Unternehmer, Senior Consultant und aktiv in diversen Branchen-, Fachverbänden und Redaktionen, sollten auch diese Investitionen als Chance betrachtet werden.

Den ganzen publizierten Artikel können Sie gerne lesen via der offiziellen Webseite des „Bundesamt für Kommunikation (BAKOM)“ im dortigen Infomailing-Bereich:

https://www.bakom.admin.ch/bakom/de/home/das-bakom/medieninformationen/bakom-infomailing/bakom-infomailing-51.html

https://www.digitaldialog.swiss/de/dialog/cybersicherheit-als-investition-mehr-als-ein-notwendiges-uebel

«DIE PANDEMIE HAT GEZEIGT, DASS UNVORHERSEHBARE EREIGNISSE TATSÄCHLICH EINTREFFEN KÖNNEN»

Die swissICT Redaktion, Fridel Rickenbacher hat mit Max Klaus, Stv. Leiter Operative Cybersicherheit OCS und Stv. Leiter Melde- und Analysestelle Informationssicherung MELANI des Nationalen Zentrums für Cybersicherheit NCSC beim Eidg. Finanzdepartement EFD, gesprochen.

Aufgrund der Corona Pandemie sind aktuell digitale Technologien, auch als Unterstützung weiterer Geschäftsmodell-Transformationen und Innovationen, für die Verwaltungsräte eine der obersten strategischen Geschäftsprioritäten. Dazu gehören auch die Investitionen in optimiertes Kundenerlebnis bzw. Kundenbindung und die Verwaltung, Unterstützung und Schutz der Remote-Belegschaft in deren verstärkten HomeOffice-Phasen.

Beinahe parallel zu den bisherigen Corona-Wellen – oder gar eher mittels grösseren Tsunamis – machten sich auch die Cybercrime-Akteure noch verstärkter und erfolgreicher an deren sehr lukrativem Werk mit grösserer krimineller Energie und immer ausgefeilteren Angriffsstrategien.

Die möglichst sichere Digitalisierung, Geschäftsmodell-Transformationen und speziell auch die digital unterstützte, abgesicherte Home-Office-Arbeit ist offenbar ebenfalls angesteckt worden von der Corona-Pandemie. Mit was für digitalen Nebenwirkungen müssen wir rechnen aus Sicht?

Max Klaus: Insbesondere während des Lockdowns (Wochen 12 – 19/2021) kam es zu zahlreichen Cybervorfällen, welche sich die Pandemie zunutze machen wollten. Das NCSC hat unverzüglich ein Monitoring hochgefahren, um betrügerische und/oder schadhafte Websites mit .ch-Domain zu identifizieren. Nach eingehender Prüfung aller Domains wurden nachweislich schadhafte und/oder betrügerische Websites in Zusammenarbeit mit den Providern und mit Switch vom Netz genommen.

Angreifer machen sich oft aktuelle Ereignisse (Pandemie, Naturkatastrophen, sportliche Grossanlässe usw.) zunutze, um mit ihren betrügerischen Mails (z.B. Phishing) mehr Glaubwürdigkeit zu erreichen und somit den Kreis potenzieller Opfer zu vergrössern.

Bezüglich Home-Office liegen die Herausforderungen für viele Unternehmen vor allem in einer sicheren Verbindung ins Unternehmensnetzwerk. Zu Beginn der Pandemie waren viele Unternehmen diesbezüglich überfordert, weil sie sich nicht mit solchen Szenarien auseinandergesetzt hatten. Ein weiterer wichtiger Punkt in diesem Zusammenhang ist der Umgang mit Unternehmensdaten auf privaten Geräten. Hier ist es unerlässlich, dass Unternehmen klare Prozesse und Vorschriften definieren, wie mit solchen Daten resp. mit privaten Geräten umzugehen ist, zum Beispiel wenn diese entsorgt werden sollen. Das NCSC hat auf seiner Website eine Checkliste für den sicheren Umgang mit Home-Office publiziert.

Die Digitalisierung von Prozessen in allen Branchen und in der Verwaltung schreitet mit grosser Dynamik voran. Es entstehen laufend neue Möglichkeiten, Prozesse, Abhängigkeiten, neue Chancen, aber auch Risiken. Was für Empfehlungen oder Erfahrungen sehen Sie zu dieser Dynamik?

Max Klaus: Die Pandemie hat gezeigt, dass unvorhersehbare Ereignisse tatsächlich eintreffen können. Deshalb sollte sich jedes Unternehmen regelmässig mit Risiken aller Art befassen und die Eintretenswahrscheinlichkeit definieren. Schlanke Prozesse helfen, auch kurzfristige Strategieanpassungen effizient vorzunehmen. Insbesondere für unternehmenskritische Systeme sollten laufend Risikoanalysen durchgeführt werden. Risikomanagement gehört als Thema in die Geschäftsleitung, die auch die bewusst in Kauf genommenen Restrisiken abzusegnen hat.

Bisherige Best Practices werden mitunter obsolet. Alles entwickelt sich sehr dynamisch, zum Beispiel wird Privacy by Design wichtiger. Genügen eher statische Regulatorien wie das neue Schweizer Datenschutzgesetz oder die EU-Datenschutzgrundverordnung noch oder braucht es andere Werkzeuge?

Max Klaus: Regulierungen auf Gesetzesstufe sind zwar statisch, sind aber sehr wichtige Grundlagen. So ist es beispielsweise sehr wichtig, dass es Datenschutzbestimmungen gibt. Wichtig ist nachher die Auslegung. Der Datenschutz darf zum Beispiel nicht zu Täterschutz verkommen. Ebenfalls ist Rechtssicherheit wichtig. Gerade bezüglich DSGVO herrscht bei vielen Schweizer Unternehmen Unsicherheit, weil es schwierig abzuschätzen ist, ob beispielsweise ein Onlineshop eines Schweizer Unternehmens der DSGVO unterliegt.

In diesen Bereich fällt auch die Frage nach einer Meldepflicht für Cybervorfälle, die es in der Schweiz aktuell noch nicht gibt. Davon ausgenommen sind gewisse regulatorische Bestimmungen, wie zum Beispiel diejenige der finma für den Finanzplatz Schweiz. Der Bundesrat hat aber im Dezember 2020 darüber informiert, dass es künftig in der Schweiz eine Meldepflicht für kritische Infrastrukturen geben soll. Die Ausgestaltung dieser Meldepflichtist zur Zeit Teil von Abklärungen innerhalb der Bundesverwaltung.

Technische Vorkehrungen reichen längst nicht mehr aus zugunsten einer optimierten Angriffs- und Betriebs-Sicherheit. Diese müssen umfassend auch mit prozessualen und methodischen Massnahmen unterstützt und speziell sensibilisiert werden. Auf was für spezielle Aspekte sollten Organisationen entsprechend achten und auditieren in deren «Riskmanagement» und «Incident Response & Business Recovery System»?

Max Klaus: Das kann von Unternehmen zu Unternehmen sehr unterschiedlich sein. Von zentraler Bedeutung ist die Erkenntnis, dass technische Massnahmen allein nicht mehr ausreichen. Organisatorische Massnahmen wie zum Beispiel BCM oder Krisenkommunikationskonzept sollten in allen Unternehmen implementiert und laufend angepasst werden.

Hochspezialisiertere Managed Security Services und Security Operations Center (SOC) – auch unterstützt mit künstlicher Intelligenz KI – sind effektive und proaktive Vorkehrungen im fortwährenden Kampf gegen die dynamischen Bedrohungslagen. Wo sehen Sie hier den Status, Chancen und Trends?

Max Klaus: In den letzten paar Jahren sind insbesondere SOC wie Pilze aus dem Boden geschossen. Für Unternehmen bieten solche Dienstleister die Chance, spezialisierte IT-Sparten an entsprechende Anbieter auszulagern statt diese selber aufzubauen, Personal zu rekrutieren usw. Vor Vertragsabschluss sollten aber zwingend Fragen zum Umgang mit der Security geklärt werden, zum Beispiel wer hat Zugang/Zugriff zu den Informationen; wie sieht der physische Schutz aus; usw.

Die digitale Mündigkeit und Maturität der Schweizer Bürger und digitale Souveränität der Schweiz im globalen Cyberraum und Globalisierung sind relevante Säulen im global umkämpften Markt und Zeiten von Cyberwar und Industriespionage. Wie steht es in diesen Aspekten um die Förderung, Aufklärung und Sensibilisierung der Schweizer Bürger und der möglichst sicheren Schweiz?

Max Klaus: Der Bund hat schon sehr früh die Notwendigkeit der Sensibilisierung und Ausbildung erkannt. In der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS 2018 – 2022) wird diesem Thema denn auch sehr viel Platz eingeräumt. Aktuell konnten dank der NCS bereits zahlreiche Ausbildungen im Bereich Cybersicherheit geschaffen werden:

Abschluss als ICT Security Expert mit eidgenössischem Diplom
Cyber Security Specialist mit eidgenössischem Fachausweis
Cyber Defence Campus der Schweizer Armee

Ausführliche Informationen finden sich auf der Website des NCSC.

Viele Unternehmen sind immer noch zentralisiert und hierarchisch unterwegs, die Märkte und Globalisierung sind aber eher dezentral und mitunter chaotisch. Ist die Dezentralisierung oder Demokratisierung einer der nächsten «Game Changer»?

Max Klaus: Ich bin der Auffassung, dass dies nicht unbedingt Einfluss auf die Cybersicherheit haben muss, solange die Unternehmen ihre Hausaufgaben machen. Insbesondere dezentrale Strukturen verlangen noch bessere Prozesse, um die Cybersicherheit im Griff zu behalten.

Zum Interviewpartner: Max Klaus ist seit 2002 für die Bundesverwaltung tätig und verfügt über einen Fachhochschulabschluss in Informatiksicherheit. Er arbeitete zunächst für die Projekte «Guichet Virtuel» und «Vote électronique» der Schweizerischen Bundeskanzlei. Nach 18 Monaten als Informatiksicherheitsbeauftragter im VBS ist er seit dem 1. September 2008 stellvertretender Leiter der Melde- und Analysestelle Informationssicherung MELANI. Seit dem 1. Juli 2020 ist er ausserdem stellvertretender Leiter Operative Cybersicherheit im Nationalen Zentrum für Cybersicherheit NCSC. In diesen Funktionen ist er hauptsächlich für die Öffentlichkeitsarbeit zuständig.

Disclaimer: Fridel Rickenbacher ist Senior Consultant bei eXecure AG, die zur Swiss IT Security Group gehört, die wiederum Firmenmitglied von swissICT ist. Fridel ist Mitglied der Arbeitsgruppe Redaktion.

Den ganzen publizierten Artikel können Sie gerne lesen auf der swissICT Homepage:

https://www.swissict.ch/die-pandemie-hat-gezeigt-dass-praktisch-unvorhersehbare-ereignisse-eintreffen-koennen/

HomeOffice und Digitalisierung – vom Privileg zur Verordnung

Ein Privileg (von lateinisch privilegium „Ausnahmegesetz, Vorrecht“) ist ein Vorrecht, das einer einzelnen Person oder einer Personengruppe zugeteilt wird.

Dieses Privileg wurde vielen Mitarbeitern, speziell im Dienstleistungssektor, zuteil.
Schon lange vor der Corona-Pandemie im Rahmen der Digitalisierung und dem Talentmanagement gehörte das Homeoffice zu einem modernen Jobprofil zugunsten von auch der potenzierten «Quadratur» der Work-Life-Balance.

Vom Wollen-Wollen zum Müssen-Wollen
In der ersten Corona-Lockdown-Welle potenzierte sich der Anteil der «liquid» Homeoffice-Workforce inner kürzester Zeit. Viele Organisationen waren entsprechend stark herausgefordert und mitunter auch überfordert in technologischen und prozessualen Aspekten von einer möglichst optimierten Betriebs- und Angriffs-Sicheit und Widerstandsfähigkeit (Resilienz) der IT-Gesamtorganisation.
Der damit auch eintretende Schub der Digitalisierung bzw. Effizienzsteigerung mittels den schier unerschöpflichen und dadurch auch unübersichtlichen Tools und Methoden konnte genutzt werden als «Steigbügelhalter in die Digitalisierung».
Diese «coolen» Tools (Toolset) und das vermeintlich «Neue Normale» konnten viele Mitarbeiter begeistern und motivieren, sich an dieser Transformation möglichst gut zu beteiligen.
Entsprechend konnte mit diesem, meistens cloudbasiertem Toolset auch die Fähigkeiten und Leistungsfähigkeiten (Skillset) der Mitarbeiter und der Teamarbeit optimiert werden.
Einhergehend mit dieser neuen optimierten Maturität (Reifegrad) dank des erweiterten Toolset und Skillset schafften gut geführte und begleitete Organisationen in deren Transformation auch ein anderes Mindset.
Und nun? Das neue Toolset, Skillset und Mindset etabliert und bewährt sich (hoffentlich nachhaltig). Die Zusammenarbeit (Collaboration) aus der Distanz mit dem Team, Partnern und Kunden birgt auch zunehmend spürbare Defizite der 1:1 Interaktionen am Arbeitsplatz.
Die Begeisterung und vermeintliche neue privilegsbasierte Freiheit im Homeoffice weicht bei einigen Organisationen vom anfänglichen «Wollen-Wollen» zum «Müssen-Wollen» – sei es durch Firmenvorgaben oder Bundesverordnung. Auch neue (alte) Ansätze mittels «Virtual Coffee Break» oder «Daily Online Team Meeting» vermögen zunehmend den fehlenden 1:1 Kontakt nicht mehr zu kompensieren.

Selbstorganisation und Agile / Lean Management braucht Nähe, Führung und Begleitung

Die hochgelobte Selbstorganisation und Ansätze aus Agile / Lean Management speziell in «digitalisierten» Organisationen / Homeoffice braucht derzeit spezielle Führung, Begleitung und passende Rahmenbedingungen, um nur schon auch z.B. die Gefahr von störenden «Mikroverletzungen durch die Digitalisierung» ausserhalb der «normalen und relevanten» Arbeitszeit zu reduzieren.
Entsprechend sollten auch mal die digitalen Tools möglichst regelmässig reduziert werden können. Und wenn es sich auch mal um ein «normales» Telefonat (anstelle z.B. Chat, Mail) oder corona-konformes, physisches Meeting handelt. Dies kann helfen, die unüberbrückbaren Defizite einer auch zu stark digital organisierten Zusammenarbeit zu mindern bzw. zu unterstützen. Und auch die mitunter in einer solchen Distanz verloren gegangenen Kommunikationselemente und letztlich auch Nähe und Vertrauen zur Organisation sollten wieder möglichst zurück gewonnen werden. Denn auch ein vermeintlich selbstorganisiertes Teammitglied ist eine mittragende Säule des organischen Ganzem und Widerstandsfähigkeit (Resilienz) des Gesamtsystems gegen weitere kommenden Herausforderungen.

Neuer angepasster Mindset anstelle ziellose «mentale Schrotflinte»
Entsprechend weichen auch starre, ältere Organisationsstrukturen und Erwartungen der neuen dynamischen «Evolution der Digitalisierung» mittels angepasster Ausgewogenheit von den vielen, inflationär verwendeten Begrifflichkeiten und Gegensätzen wie Work-Life, Online-Offline, Virtuell-Physisch, Pull-Push-Prinzip oder auch Agil-Starr.
Mit einer möglichst an die jeweilige Organisation angepasste Balance dieser massgeschneidert eingeführten Toolsets und trainierten Skillsets kann sich nachhaltig ein für möglichst alle Beteiligten / Betroffenen passender Mindset mit auch der Handschrift einer selbstlernenden Organisation etablieren. Denn «Wollen-Wollen» ist in jedem Falle besser als «Müssen-Wollen» geschweige denn eine ziellose, «mentale Schrotflinte in der vermeintlichen Selbstorganisation».

Den ganzen publizierten Artikel können Sie gerne lesen im PDF-Anhang:

HomeOffice und Digitalisierung – vom Privileg zur Verordnung – Feb 2021

Safety. Relevant. Software. Security by design. Secure Coding. CyberSecurity-Resilienz.

Die Digitalisierung von Prozessen in allen Branchen und in der Verwaltung schreitet mit grosser Dynamik voran. Es entstehen laufend neue Möglichkeiten, neue Prozesse, neue Abhängigkeiten, neue Risiken.
Altes wird obsolet und der dynamische «Stand der Technik» immer relevanter und herausfordernder.

Dies führte und führt zur Forderung, dass bereits in der Grundschule nicht nur IT-Anwenderwissen vermittelt werden soll. Auch sogenannte «Computational Skills» – das Verstehen und gar Entwickeln von Algorithmen und Datenstrukturen – sollen in den obligatorischen und sekundären Schulen im Lehrplan integriert werden. Das finden wir unterstützenswert und relevant für eine möglichst gute «digitale Mündigkeit» im Zeitalter der anzustreben-den «Cyber-Souveränität».

Die Frage kann man mit einer Analogie aus dem medizinischen Bereich analysieren: Ist jeder mit dem Grundschulwissen über den menschlichen Körper, mögliche Krankheitsbilder und Behandlungsmethoden befähigt, medizinische Diagnosen und Behandlungen durchzuführen? Hier lautet die Antwort klar: Nein. Aber alle sollen in Trivialfällen wie Schnupfen oder Grippe sich selbst helfen können und – be-sonders wichtig — genügend Wissen haben, um im Rahmen eines Grundverständnisses zwischen Trivial-fällen und ernsthafteren Symptomen unterscheiden zu können.

Zurück in die IT-Welt: Wenn wir eine sichere und verlässliche IT-Infrastruktur wollen, dann müssen wir vermutlich auch hier die nicht-trivialen Arbeiten den gut ausgebildeten oder höher spezialisierten Experten überlassen, Profis mit grösseren methodischen und Best-Practice-basierten Erfahrungen. Also muss die eingangs gestellte Frage auch mit Nein beantwortet werden.

Es ergeben sich aber damit sofort Folgefragen: Wie kann in Digitalisierungsfragen zwischen trivial und nicht-trivial unterschieden werden? Hat die Schweiz ein ausreichendes Bildungs- und vor allem auch Weiter- und Fortbildungssystem für IT-Experten?

Den ganzen Bericht / Whitepaper können Sie gerne lesen im PDF-Anhang:

paranor_white_paper_fridel-rickenbacher-FSIE-2020

Mit zuvielen Zielen jonglieren – «Fehlt nur noch das Zelt, dann wäre der Zirkus hier komplett»

Jonglieren ist als Bewegungskunst Teil der Artistik und gehört traditionell zu den Darbietungen des Zirkus beziehungsweise des Varietés. Jonglieren bezeichnet in erster Linie die Fertigkeit, mehrere Gegenstände wiederholt in die Luft zu werfen und wieder aufzufangen, so dass sich zu jedem Zeitpunkt mindestens einer der Gegenstände in der Luft befindet.

Vielen von uns wird es gelingen, dies allenfalls mit 3 Bällen zu tun, aber erst nach nicht unerheblichem Üben.

Wenn es nun aber nicht nur bei 3 Bällen bleiben soll und es mehr werden müssen? Wenn es dann in vielen Teilbereichen der persönlichen und geschäftlichen Zielen und Verantwortungsbereichen noch mehr oder gar mitunter zuviel zum jonglieren gibt wird es eher schwieriger mit der Zielfokussierung und Qualität der nachhaltigen Zielerreichung.

Die Planung und Umsetzung der Transformation / Digitalisierung mittels Jonglieren sollte auch gerade darum ein vom Management gesteuerter und vom mittleren Management aktiv unterstützter Prozess sein. Das Trennen und kompetenzabgestimmte Verteilen von solchen «Jonglier-Bällen» / Zielen auf Fach-, Management- und Unternehmer-Aufgaben kann mitentscheidend sein für die Nachhaltigkeit von ambitiösen Weiterentwicklungen und Kompetenzausprägungen.

«Fehlt nur noch das Zelt, dann wäre der Zirkus hier komplett» soll in Erinnerung rufen, dass in einer Zirkus-Organisation jede Person meist hochspezialisiert seine Aufgabe erfüllt in diesem «Zirkus-Zelt» bzw. Umfeld und nicht einfach so als spezialisierter «Tiger-Dompteur» emporsteigen kann zu einem «Hochseil-Akt» in Perfektion. Da oben auf dem «Hochseil-Akt» nützt dann die «Peitsche» auch nichts.

…

Den ganzen Artikel können Sie gerne lesen im PDF-Anhang Zuviele_Ziele_jonglieren_in_Transformation_Digitalisierung_Dezember_2020

Auswirkungen durch die Corona-Pandemie

Im Sinne einer Dienstleistung führt der H+I jährlich eine Konjunkturbeobachtung durch. Aufgrund der Corona-Vorschriften wurde die Konjunkturbeobachtung erstmals nicht in der Form einer Gesprächsrunde, sondern ausschliesslich mittels einer schriftlichen Befragung durchgeführt. Gegenstand der Konjunkturbeobachtung sind Antworten auf Fragen aus der Wirtschaft des Kantons Schwyz. Sie bezwecken, die wirtschaftliche Lage näher zu diskutieren und sowohl die H+I-Mitglieder als auch die Öffentlichkeit darüber zu informieren. Die Auswahl der befragten Unternehmen gewährleistet – aus Sicht der beteiligten Personen und im Sinne eines Querschnittes durch die Schwyzer Wirtschaft – eine kompetente, aktuelle Beurteilung der Wirtschaftslage im Kanton Schwyz.

Auf Seiten 16 und 17 durfte ich aus der Warte und Perspektive der ICT- / Cloud- / Security- / Transformations-Branche Inputs und Fachmeinungen geben.

konjunkturbeobachtung_auswirkungen-corona-pandemie Herunterladen

Digital-DNA-Codex – Effizienzsteigerung! Nicht nur Digitalisierung! – Bauen Digital Schweiz

Die Zusammenarbeit aller Akteure der Wertschöpfungskette ist für die erfolgreiche Durchsetzung der Digitalisierung zwingend.
BdCH / bSCH stellt mit seinem Netzwerk aus Unternehmen, Institutionen und Verbänden die Weichen dafür.
Das Know-How der Mitgliederfirmen ist gross und soll optimal präsentiert und genutzt werden.
Die Rubrik «Best Practice» gibt einen Überblick, welche Projekte in der Branche bereits durchgeführt wurden und wo die Herausforderungen liegen.
Die Mitgliederfirmen stellen ein konkretes Projekt vor, zeigen die Chancen und Risiken auf und machen auf die Herausforderungen aufmerksam.
Nach dem Motto «Von Mitgliedern für Mitglieder» werden entlang spezifischer Projekte Lösungsansätze für die digitale Bau- und Immobilienwirtschaft aufgezeigt.

Mit Freude wurde eines unserer Projekte / langjährigem, sehr engagierten Kunden VANOLI GRUPPE aufgenommen in diesen offiziellen KnowHow-Austausch und best practices Katalog von Bauen Digital Schweiz à siehe gerne den Link und Screenshot unten

Den Beschrieb finden Sie ebenfalls im Link unten beim Projekttitel und Vision «Digital-DNA-Codex – Effizienzsteigerung! Nicht nur Digitalisierung!» und im PDF-Dokument mit Projektbeschrieb / Ausgangslage / Rahmenbedingungen / Herausforderungen und Nutzen

https://bauen-digital.ch/de/projekte/best-practice/

best-practice-digital-dna-codex-bauen-digital Herunterladen

Sichere Digitalisierung – offenbar ebenfalls angesteckt durch Corona

Knapp 70 Prozent der befragten Verwaltungsräte haben in einer aktuellen
Gartner-Studie angegeben, ihre digitalen Geschäftsinitiativen seit/während
und nach der Pandemie zu beschleunigen. Mehr als 65 Prozent rechnen
deshalb mit einem höheren Budget für die IT-Prozesse und Investitionen in
die Digitalisierung bzw. Effizienzsteigerungen.
Während in den Bereichen Marketing, Human Resources und Co.
gespart wird, profitieren auch andere Abteilungen von Corona.

Die technologiegetriebene digitale Transformation kann und sollte eine
wichtige Rolle bei der Bewältigung der Auswirkungen auf Mitarbeitende,
Kundinnen und Kunden, Lieferkette und breite Marken spielen, um das
Unternehmen stärker aus der Krise herauszuholen.

Die Planung und Umsetzung der Transformation / Digitalisierung sollte
auch gerade darum ein vom Management gesteuerter und vom mittleren
Management aktiv unterstützter Prozess sein. Das bzw. der diesbezügliche
Reifegrad der Digitalisierung der Organisationen wurde speziell in den
letzten Monaten ersichtlich und auch noch kommender Zeit weiterhin stark
(heraus)gefordert in technologischer und organisatorischer Hinsicht.

Die IT ist aber nicht die einzige Abteilung, die profitiert. Auch in den Bereichen Mergers and Acquisitions, Umstrukturierung, Produktentwicklung sowie Forschung und Entwicklung rechnen die Verwaltungsräte mit einem höheren Budget als sonst.
Es scheint, dass der «Angriff nach vorne» und die Forcierung von weiteren
Innovationen als wichtige Massnahmen anerkannt und verabschiedet werden.

Aufgrund der Coronapandemie sind aktuell digitale Technologien, auch
als Unterstützung weiterer Geschäftsmodell-Transformationen und Innovationen, für die Verwaltungsräte eine der obersten strategischen Geschäftsprioritäten.
Dazu gehören auch die Investitionen in optimiertes Kundenerlebnis bzw. Kundenbindung und die Verwaltung der Remote- Belegschaft in deren verstärkten HomeOffice-Phasen.

Fast alle Verwaltungsräte erwarten während und nach der Pandemie
eine stärkere Zusammenarbeit unter den funktionalen Führungskräften
und eine Innovation im Rahmen der Organisationstransformation durch
technologieunterstütztes Teamwork.
Mehr als die Hälfte der Befragten gab an, dass zunehmend CIOs (Chief Information Officer) oder auch IT-Leiter als endlich akzeptierte Sparring-
Partner für Führungskräfte in deren bisher mitunter eher flach ausgeprägten Lernkurve neuer Technologien fungieren.

Förderlich wäre wenn die Organisation entsprechend über einen definierten Innovations-Prozess und motivierende
Rahmenbedingungen verfügt, so dass kontinuierlich digitale
Innovationen entstehen, die positiv aufgenommen werden und weiteren
Challenges (nicht nur «Corona-Challenge») entgegen treten können.
Viele Organisationen nutzen die Corona-Challenge als «Innovationstreiber» in deren Digitalisierung und Geschäftsmodell-Transformation.

Daneben sollte man versuchen, den Leuten gewisse Ängste vor der Digitalisierung zu nehmen. Deshalb sollte man nicht nur von Digitalisierung sprechen oder diese «versprechen»,
sondern mehr von «Effizienzsteigerung durch die Digitalisierung».
Das ist ein Thema, das jede Organisation interessiert.
Die Digitalisierung kann und muss Effizienz herbeiführen, und
das möglichst sicher und umfassend.

Das Vertrauen aller Akteure in die Prozesse und Technologie aber auch gegenüber internen «Vormachern/Influencers» ist ebenfalls matchentscheidend hierbei um interne «Nachmacher/Followers» nachhaltig gewinnen zu können. Die bisherige, klassische Organisationsform muss dafür gar entsprechend je nach Abteilung
von einer streng hierarchischen «Controlling Struktur» zu einer «Empowering/Befähigungs Struktur» transformiert werden.

Die Digitalisierung und Transformation ist kein linearer Prozess sondern
viel mehr «Baby steps an der Kletterwand mit unterschiedlichen Pfaden
und Ziel zum höheren Level». Und bei diesem iterativen Prozess wird
die integrale IT-Sicherheit von selbst ein wichtiges Thema und integraler
Bestandteil der gesamten Transformation und Entwicklung.
Die nötige Agilität, neue Arbeitsmethodik mittels auch «use cases» / «prototyping» und auch eine andere «Richtung der Gedanken und des eigenen Mindsets» kann mit Methoden/Vorgehensmodell
wie z.B. «Lean Management», «Design Thinking», «experimentation», «Prototyping», «Scrum» unterstützt werden.

Beinahe parallel zur ersten Corona-Welle – oder gar eher mittels einem
grösseren Tsunami – machten sich auch die Cybercrime-Akteure wieder
und mitunter noch verstärkter/erfolgreicher an deren sehr lukrativem Werk mit grosser krimineller Energie und immer ausgefeilteren Angriffsvektoren.
Die fortschreitende Digitalisierung birgt entsprechend komplexer werdende Chancen und auch strenger zu überwachendes Risiko-Management.
Speziell im CyberSecurity-Thema.

Publizierter Print-Artikel im „Gewerbe Schwyz“ Sichere Digitalisierung – offenbar ebenfalls angesteckt durch Corona

Corona- und Digitalisierungs-Challenge als das «Neue Normale»

Publizierter Print-Artikel im „Gewerbe Schwyz“ Digitalisierung Cybersecurity HomeOffice Corona new normal

Die Planung und Umsetzung der Transformation / Digitalisierung sollte ein vom Management gesteuerter und vom mittleren Management aktiv unterstützter Prozess sein. Das bzw. der diesbezügliche Reifegrad der Digitalisierung der Organisationen wurde speziell in den letzten Monaten ersichtlich und auch noch kommender Zeit weiterhin stark (heraus)gefordert in technologischer und organisatorischer Hinsicht.

Speziell auch in der jetzigen «Corona- und dadurch befeuerten Digitalisierungs-Challenge» stellen solche wichtigen Voraussetzungen das «Rückgrat der möglichst resilienten «Homeoffice-Normalität» bzw. der EDV-unterstützten Digitalisierungs-Prozesse» dar.

Tatsächlich aber schaffen solche ausgerichtete, umfassende Cloud-Lösungen ebenso umfassende Schwachstellen und Einfallstore für dynamische und ausgeklügelte Angriffsvektoren / Akteure von CyberCrime. Mit dem Corona-Lockdown wurden zeitgleich viele Cybercrime-Akteure viel stärker und spürbar aktiv. Wie das Corona-Virus sind auch die verstärkten CyberCrime-Aktivitäten gekommen um leider hartnäckig zu bleiben.

Durch die Corona-Pandemie haben die Arbeitsbelastung, Sicherheitsprobleme und Kommunikationsherausforderungen für IT-Teams stark zugenommen – und dies deutlich und zusätzlich herausfordernd auch ausserhalb der normalen «Büro-Arbeitszeiten». Vielfach mussten kurzfristige und dynamischer Anforderungen auch gar ausserhalb der technischen und ressourcentechnischen Möglichkeiten und Normen (Stand der Technik, best practices) realisiert werden zulasten der Gesamtsicherheit.

Eine noch nie dagewesene Anforderung an die IT-Teams führte mitunter dazu, dass mangels Alternativen die Organisationen nur noch im auch gefährlichen Modus «Flug auf Sicht» agieren konnten . Sie waren und sind damit beschäftigt, für die Mitarbeiter im Homeoffice Sicherheit und Benutzerproduktivität in Einklang zu bringen – teilweise mit nur beschränkten Ressourcen und auch vielen, mitunter kritischen und schwer kontrollierbaren Provisorien.

Viele Organisationen vermeldeten, dass durch die teilweise kurzfristige, aber länger schon überfällige / offene Umstellung auf Homeoffice viele und bisher nicht im Fokus stehende Sicherheitsprobleme zugenommen hätten.

Viele Mitarbeiter und ICT-Support-Fachkräfte bewerteten mangelnde Kommunikation (Stichwort „Flug auf Sicht“ und mit mangelnder Planung oder Defiziten in bestehender Umgebung) oder fehlende Kommunikations-Tools als die grösste Herausforderung während der Corona-Challenge.

Interessant sind auch noch Feedbacks aus Sicht der Anwender auf die grössten „Probleme“ im Homeoffice und dazu, was zu Unterbrechungen bei der Arbeit, etwa bei Videokonferenzen, geführt hat: 50% hatten mit Internet-Aussetzern oder generellen Zugangs-Unterbrüchen (Stichwort überlastete oder noch nicht umfassend darauf ausgerichtete ICT-Umgebungen) zu kämpfen. Bei 47% führten Kinder (hierzu gibt es ein legendäres Youtube-Video…) zu Unterbrechungen, bei 36% Haustiere und bei 33% ein Partner/eine Partnerin oder ein Mitbewohner. Bei 19% war es die Post oder eine Lieferdienst, der an der Haustüre klingelte.

Förderlich wäre wenn die Organisation entsprechend über einen definierten Innovations-Prozess und motivierende Rahmenbedingungen verfügt, so dass kontinuierlich digitale Innovationen entstehen, die positiv aufgenommen werden und weiteren Challenges (nicht nur «Corona-Challenge») entgegen treten können. Viele Organisationen nutzen die Corona-Challenge als «Innovationstreiber» in der deren Digitalisierung.

Ein anderes Thema ist die technologische «Flughöhe in der Digitalisierung» dieser nun speziell geforderten Führungs- und Entscheidungs-Ebene. Es ist deshalb wichtig, dass sich auch speziell die Leute auf der Führungs- und Entscheidungs-Ebene in gewissem Mass mit der Materie befassen und versuchen, mit dem rasant sich entwickelnden Stand der Technik mitzuhalten. Natürlich speziell jetzt in der «Steigbügel-Phase der nicht risikolosen aber chancenreichen Digitalisierung dank der Corona-Phase»

Daneben sollte man versuchen, den Leuten gewisse Ängste vor der Digitalisierung zu nehmen. Deshalb sollte man nicht nur von Digitalisierung sprechen oder diese «versprechen», sondern mehr von «Effizienzsteigerung durch die Digitalisierung». Das ist ein Thema, das jede Organisation interessiert. Die Digitialisierung kann und muss Effizienz herbeiführen, und das möglichst sicher und umfassend. Das Vertrauen aller Akteure in die Prozesse und Technologie ist ebenfalls matchentscheidend hierbei.

Mittels einer geförderten, neuen Kombinationen von Toolset / Skillset / Mindset (letztlich auch zugunsten «lifelong learning») wird die Organisation und die involvierten Akteure reifer für die Transformation zur Digitalisierung.
Die Digitalisierung und Transformation ist keine lineare Leiter sondern viel mehr «Baby steps an der Kletterwand mit unterschiedlichen Pfaden zum Ziel zum höheren Level». Und bei diesem iterativen Prozess wird die IT-Sicherheit von selbst ein wichtiges Thema und integraler Bestandteil der gesamten Transformation und Entwicklung. Die nötige Agilität, neue Arbeitsmethodik mittels auch «use cases» / «prototyping» und auch eine andere «Richtung der Gedanken und des eigenen Mindsets» kann mit Methoden / Vorgehensmodell wie z.B. «Lean Management», «Design Thinking», «Scrum» unterstützt werden.

Die Digitalisierung ist nicht aufzuhalten (was speziell auch in der «Corona-Challenge» ersichtlich wurde), und damit auch die mit ihr verbundenen Risken und Chancen. Die Organisation, welche sich digital ausrichtet, muss neben aller Expertise im eigenen Fachbereich auch die Bereiche Digitalisierung / Hybrid-Cloud / Datensicherheit / Datenschutz und Widerstandsfähigkeit der ganzen Organisation berücksichtigen, also Cybersecurity und Resilienz. Das Implementieren der nötigen Massnahmen und Tools in diesem Bereich sollte so selbstverständlich sein wie der «Helm auf der Baustelle» oder der «Sitzgurt im Auto» und hoffentlich nun nicht mehr basieren auf «Flug auf Sicht» sondern möglichst zum «Neuen Normalen» erwachsen.

Publizierter Print-Artikel im „Gewerbe Schwyz“ Digitalisierung Cybersecurity HomeOffice Corona new normal

Resiliente und sichere Hybrid-Cloud: Rückgrat und Steigbügel des Homeoffice und Digitalisierung – speziell auch in Corona-Phase

Resiliente und sichere Hybrid-Cloud: Rückgrat und Steigbügel des Homeoffice und Digitalisierung – speziell auch in Corona-Phase

Publizierter Print-Artikel im „Gewerbe Schwyz“ CyberSecurity-Resilienz – Digitalisierung Cybersecurity HomeOffice Corona April 20

An Diskussionen, in den Medien oder in Digitalisierungs-Projekten wird viel von «Cloud» gesprochen, von App- und Daten-Clouds, auf die alle von überall aus, immer verfügbar und möglichst sicher Zugriff haben. Aber niemand fragt nach der Integrität, Datensicherheit und dem Datenschutz dieser Cloud und der dort verwalteten Apps, Daten und auch digitalen Identitäten. Oder was passiert, wenn diese Cloud mehrere Tage ausfällt? Man begnügt sich mitunter mit der meist naiven Annahme, dass der Software-Entwickler und/oder Anbieter, beziehungsweise Betreiber der Cloud die nötigen Vorkehrungen zugunsten der Angriffs- und Betriebssicherheit gemäss «Stand der Technik» sicherlich umfassend getroffen hat. Speziell auch in der jetzigen «Corona-Phase» stellen solche wichtigen Voraussetzungen das «Rückgrat der möglichst resilienten Homeoffice-Phase bzw. der EDV-unterstützten Digitalisierungs-Prozesse» dar.

…

Für die konkrete Umsetzung der Digitalisierung, und der begleitenden IT-Security, gibt es eine Reihe von «Best Practices» an denen man sich orientieren kann. Umsetzen sollte man die grosse Entwicklung in sogenannten «Baby Steps». Man darf den Leuten nicht alles mittels einer «Druckladung» als Zwang überstülpen. Die Organisation soll schrittweise Erfahrungen sammeln, über möglichst viele messbaren «Use Cases» (Anwendungsfälle) im Rahmen der Transformation und Innovation. So lässt sich die Digitalisierung schrittweise implementieren und die betroffenen Mitarbeitenden können Erfahrungen sammeln und werden Teil der Transformation.

…

Mittels einer geförderten, neuen Kombinationen von Toolset / Skillset / Mindset wird die Organisation und die involvierten Akteure reifer für die Transformation zur Digitalisierung.
Die Digitalisierung und Transformation ist keine lineare Leiter sondern viel mehr eine «Kletterwand mit unterschiedlichen Pfaden zum Ziel zum höheren Level». Und bei diesem iterativen Prozess wird die IT-Sicherheit von selbst ein wichtiges Thema und integraler Bestandteil der gesamten Transformation und Entwicklung. Die nötige Agilität, neue Arbeitsmethodik und auch eine andere «Richtung der Gedanken und des eigenen Mindsets» kann mit Methoden / Vorgehensmodell wie z.B. «Scrum» unterstützt werden.

…

Während also Digitalisierung – und speziell Homeoffice-Phase – überall auf der Agenda steht, hat der Aspekt der Sicherheit und Widerstandskraft mittels Angriffs- und Betriebssicherheit noch nicht den gebührenden und vorallem jetzt sehr kritischen Stellenwert. Man erkennt jedoch auch, dass bei den Firmen ein Umdenken beginnt. Die Leute sind eher bereit, komplexe Texte in Technologie- und Digitalisierungs-Themen zu lesen und ein paar Fachbegriffe (der Begriff «HomeOffice» gibt es ja auch nicht erst seit der «Corona-Phase»…) im Internet nachschauen um gewisse Themen besser zu verstehen. Die Notwendigkeit ist bei immer mehr Entscheidungsträgern angekommen. Mitunter hat leider erst die Corona-Phase definitiv diese Notwendigkeit drastisch verstärkt und gar tragischerweise beflügelt

Publizierter Print-Artikel im „Gewerbe Schwyz“ CyberSecurity-Resilienz – Digitalisierung Cybersecurity HomeOffice Corona April 20

Digitalisierung – CybersecurityResilienz – Sensibilisierung : Wer BIM und sichere Mobilität will, muss sich schützen

Wer BIM und sichere Mobilität will, muss sich schützen

An BIM führt in der Baubranche bald kein Weg mehr vorbei. Doch rund um BIM und Digitalisierung ist kaum von den Bedrohungen die Rede, die im Netz lauern: Schutz vor Internet-Gangstern ist zentral, und die wirksamste Massnahme heisst Vorbeugung.

Keine Digitalisierung ohne Cloud, hier ist die kollaborierende Schnittstelle zwischen den Baubeteiligten. Und ebenso aus der Cloud bezieht man heutzutage nötige Funktionalitäten für umfassende Sicherheitssysteme, die regelmässig aktualisiert und aus der Cloud überwacht werden müssen. Zugleich begibt man sich dafür aber ins grundsätzlich unsichere Internet, das ist das Paradoxum.

PDF-Artikel aus dem Baublatt Baublatt-BIM-Digitalisierung-CyberSecurity-Fridel-Rickenbacher

Publizierter Print-Artikel im „Baublatt“ https://www.baublatt.ch/baubranche/cyber-security-wer-bim-sagt-muss-sich-schuetzen

Digitalisierung – CybersecurityResilienz – Sensibilisierung : Corona- Tipps, wie auch Ihre IT-Organisation gesund bleibt

Corona-Virus, Risiken für die Gesundheit, aber auch für Organisation und IT

https://bauen-digital.ch/de/projekte/corona-antworten-der-bau-und-immobilienwirtschaft-auf-die-aktuelle-situation/

Mittels gefälschten E-Mails und Posts zum Thema Coronavirus versuchen Cyberkriminelle zurzeit, Geräte / Organisationen zu infizieren und die Schadsoftware namens AgentTesla oder andere CryptoTrojaner zu verbreiten. Als gefälschter Absender der verschickten E-Mails wird das Bundesamt für Gesundheit (BAG) angegeben. MELANI ruft die Bevölkerung dringend dazu auf, solche E-Mails zu ignorieren, keine Anhänge zu öffnen und keinesfalls auf Links zu klicken oder unüblichen Anweisungen zu folgen. Werden dennoch Anhänge geöffnet, Links angeklickt bzw. Webseiten geöffnet, so wird sehr wahrscheinlich Malware (z.B. CryptoTrojaner, Rootkits, Keylogger) platziert, vorallem falls keine integrierten, überwachten IT-Sicherheitssysteme gemäss „Stand der Technik“ implementiert sind. Diese Malware ermöglicht den Angreifern z.B. den vollen Fernzugriff auf den Computer und Passwörter oder gar personen- und firmen-sensitive Daten können ausgelesen, verschlüsselt oder manipuliert werden. Falls Sie versehentlich eine solche E-Mail oder integrierten Links / Webseiten geöffnet haben sollten, schalten Sie umgehend Ihren Computer aus und informieren Sie die IT-Supportorganisation / IT-Betreuung.Wechseln Sie anschliessend umgehend Ihre Passwörter bzw. folgen Sie den Anweisungen der IT-Supportorganisation / IT-Betreuung gemäss allenfalls implementiertem, weitergehenden „Incident Response Management“.

Speziell auch in jetziger Phase von intensiverem, mobilen Remote- und HomeOffice-Zugang wegen den CORONA-Virus-Massnahmen sind klassische Schutzmechanismen stark gefährdet, herausgefordert und mitunter auch überfordert ohne weitergehende Schutzmassnahmen.
Hier sind speziell die angreifbaren, mitunter temporär geöffneten und teilweise (noch) zu schwach geschützten Remote-Zugänge auf die Firmenumgebung, Servers, Applikationen, Daten in der gesamten Risiko-Betrachtung speziell zu bewerten und zu begegnen derzeit.In solchen Zeiten ist es speziell wichtig, dass auch eine umfassende und nachhaltige Cybersecurity-Resilienz-Sensibilisierung aller Mitarbeiter – unabhängig von reinen technischen, zusätzlichen Sondermassnahmen – aktiv genutzt werden kann zugunsten der optimierten Angriffs- und Betriebs-Sicherheit.
Wenn es gelingt, den seitens vorallem auch Anwender mitgetragenen Spagat zu schaffen zwischen der Anwendererfahrung (User Experience), implementierten Sicherheitsmassnahmen (Datensicherheit und Datenschutz zugunsten maximierter Angriffs- und Betriebssicherheit und optimiertem Schutz der digitalen Identität) kann zusätzlich mittels der Cybersecurity-Resilienz-Sensibilisierung, der Mitarbeiter gewonnen und motiviert werden für die geteilte Cybersecurity-Resilienz-Mitverantwortung.

Dadurch entsteht die effektivste Waffe gegen Cybercrime: DIE „Human CyberSecurityResilience Firewall“

Publizierter Print-Artikel in „Schwyzer Gewerbe“ CyberSecurity-Resilienz – Start Thinking Stop Clicking 0320