3 Gründe, warum klassisches Datenmanagement an der DSGVO scheitert

Das Wort “Datenschutzgrundverordnung” führt aktuell landauf landab zu Schnappatmung bei Unternehmern. Plötzlich fragen sich alle, was sie eigentlich wirklich mit den personenbezogenen Daten von Kunden und potentiellen Kunden anstellen dürfen. Ist der Newsletterversand oder die Direktwerbung rechtmäßig? Dürfen die Daten für die Zielgruppenanalyse in der einen oder anderen Form genutzt werden?

Neben diesen rechtlich komplexen Fragen steht jedoch noch eine ganz andere Herausforderung: die technische Umsetzung.

  • Wie sollen Unternehmen erst einmal die Übersicht über personenbezogene Daten erlangen? Welche Daten liegen vor? Für welche Zwecke werden diese verwendet? Auf welcher rechtlichen Basis erfolgt die Datenspeicherung und -verarbeitung? Liegen vielleicht Daten in den Applikationen, die ich für meine Vertragserfüllung oder Verarbeitungszwecke gar nicht benötige oder abfragen darf (zum Beispiel zur Ethnie, Religion etc.)?
  • Wie können Unternehmen nachweisen, dass sie in all ihren Verarbeitungsprozessen DSGVO-konform agieren? Liegen alle Zustimmungen vor? Welche Daten wurden bereits gelöscht?
  • Und vor allem: Wie sollen Unternehmen die möglicherweise Tausenden Datenanfragen von Personen beantworten?

Stellen Sie sich vor, Menschen aus der ganzen EU fragen plötzlich bei Ihnen an, welche Daten Sie vorhalten und verarbeiten? Potentiell 512 Millionen EU-Bürger können nunmehr Auskunft über ihre Daten verlangen sowie Änderungen und Löschung der Daten fordern. Bei mehreren Dutzend bis Hundert Applikationen im Unternehmen wird das schnell unübersichtlich ‒ vom Arbeits- und Personalaufwand ganz zu schweigen.

Abb. 1: Die komplexe Datenlandschaft macht eine einfache Abbildung der komplexen Zusammenhänge mittels klassischer Datenmanagementkonzepte unmöglich

Abb. 1: Die komplexe Datenlandschaft macht eine einfache Abbildung der komplexen Zusammenhänge mittels klassischer Datenmanagementkonzepte unmöglich. Quelle: Eccenca

Übersicht und Handlungsfähigkeit in die Datenlandschaft bringen

Der Grund für den extrem hohen Aufwand ist in den gewachsenen IT-Strukturen in Unternehmen und den Geschäftsmodellen der Softwarehersteller zu suchen. Applikationen oder Backend-Systeme, in denen Daten gespeichert und verarbeitet werden, wurden abteilungs- und zweckspezifisch angeschafft. Jede Applikation verwaltet ihre Daten individuell und häufig in proprietären Datenformaten. Bestehende Datenmanagement-Ansätze bedeuten damit:

  1. Datensilos: Die personenbezogenen Daten liegen in einer Vielzahl verschiedener Applikationen vor, die nicht miteinander kompatibel sind.
  2. Hohe Kosten: Der Abgleich und die Verknüpfung erfordert selbst beim Einsatz von Data Lakes meist aufwendige Transformationsprozesse oder sehr teure Master-Data-Management-Systeme
  3. Datenwidersprüche: Eine sichere, automatisierte Synchronisierung unter allen Systemen ist nicht möglich. Verändern sich Daten in einer Applikation, kann eine Aktualisierung in anderen Applikation nicht sichergestellt werden.

Diese Eigenschaften aktuell typischer Datenmanagement-Ansätze zeigen im Zuge der DSGVO ihre Grenzen. Denn in der Regel liegen zu jeder erfassten Person die Daten in einer Vielzahl von Applikationen. Dort werden sie zu unterschiedlichen Zwecke verarbeitet und genutzt. Diese Datensilos und die Inkompatibilität der Applikationen untereinander führen zu einem extrem hohen Aufwand, wenn den Herausforderungen der DSGVO rechtlich sicher und den Kunden gegenüber zufriedenstellend begegnet werden soll. Die wenigsten Unternehmen können beispielsweise die Verknüpfung zwischen den legalen Grundlagen, erlaubten Verarbeitungsprozessen und eigentlichen Datensätzen herstellen. Kurz: Es fehlt die Daten- und Konformitätstransparenz.

Um diese Verbindung applikationsübergreifend sichtbar machen zu können, braucht es deshalb eine Datenlandkarte. Diese Karte visualisiert die zu einer Person im Unternehmen vorliegenden Daten vollständig, lückenlos und verknüpft jedes Datenobjekt mit den Verarbeitungsprozessen und rechtlichen Grundlagen (Vertrag, Einwilligung, Gesetze). Im Datenmanagement wird deshalb auch vom Data Mapping gesprochen.

Um dieses Mapping im Unternehmen zu realisieren, müssen die Daten bisher aufwendig aus ihren Datensilos herausgeholt werden. Eine Alternative bietet jedoch die semantische Anreicherung der bestehenden Daten mit Metadaten. Diese werden in einem zentralen Datenkatalog verwaltet, ohne die Quelldaten selbst zu berühren. Mit Hilfe der Metadaten-Landkarte können integrative Abfragen zu Personen, Prozessen und Processing Purposes über das komplette Unternehmen hinweg nahezu in Echtzeit gestellt und beantwortet werden. Die Landkarte ermöglicht die umfassende Beantwortung dieser Fragen, ohne selbst ein DSGVO Risiko zu erzeugen und ohne Last auf Personal und Quell-Systeme zu verursachen.

Zudem ermöglichen Bearbeitungskomponenten die zentrale Anpassung und Ergänzungen von Daten. Auf Dashboards kann die allgemeine DSGVO-Konformität im Unternehmen dargestellt und überprüft werden.

Abb. 2: Dashboard mit KPIs zum <p>Reporting der DSGVO-Compliance (hier: in Microsoft BI Power Desktop)

Abb. 2: Dashboard mit KPIs zum Reporting der DSGVO-Compliance (hier: in Microsoft BI Power Desktop). Quelle: Eccenca

Semantisches Datenmanagement braucht keine neue IT

Der Ansatz des semantischen Datenmanagements erfordert keinen zusätzlichen Ausbau der IT-Landschaft im Unternehmen. Anstelle die bestehende IT komplett aufzubohren, wird vielmehr ein semantisches Dach über die IT-Infrastruktur gezogen. Über Schnittstellen und Importfunktionen, werden die im Unternehmen vorliegenden Daten in dem zentralen Datenkatalog mit Informationen über die Daten angereichert und referenziert (siehe Abb. 1). Als Datenformat wird hierbei das universelle RDF-Format genutzt.

Jede Applikation im Unternehmen kann Daten in diesen zentralen Datenkatalog importieren und aus ihm exportieren.

Damit entsteht nicht nur ein zentrales Datenmanagementsystem, das die bestehende IT- und Arbeitsprozesse nicht stört. Die zentrale, semantische Datenhaltung garantiert auch eine zeit-, ressourcen- und kosteneffiziente Umsetzung ihrer Rechte und Pflichten im Rahmen der DSGVO. Nicht zuletzt bildet das semantische Datenmanagement die Basis einer sinnvollen Big-Data-Strategie, die auf eine echte Wiederverwendbarkeit und Integration von Unternehmensdaten setzt. Die DSGVO ist für das unternehmerische Big-Data-Management eigentlich nur der Anfang.

Ausnahmen von Windows Defender für Hyper-V

Wollen Sie das nicht, können Sie die Ausnahmen auch deaktivieren. Dazu verwenden Sie die PowerShell und folgenden Befehl:

Set-MpPreference -DisableAutoExclusions $true

Die Ausnahmen für Hyper-V sind besonders wichtig. Hier scannt Windows Defender folgende Dateitypen nicht:

*.vhd

*.vhdx

*.avhd

*.avhdx

*.vsv

*.iso

*.rct

*.vmcx

*.vmrs

Zusätzlich werden folgende Verzeichnisse nicht gescannt:

%ProgramData%\Microsoft\Windows\Hyper-V

%ProgramFiles%\Hyper-V

%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots

%Public%\Documents\Hyper-V\Virtual Hard Disks

Besonders wichtig sind darüber hinaus die folgenden Prozesse:

%systemroot%\System32\Vmms.exe

%systemroot%\System32\Vmwp.exe

Firewallregeln für SQL Server steuern

Das beginnt bereits bei der Installation des Servers, geht über Einstellungen in der Verwaltung, und muss auch bei der Anbindung von Clients beachtet werden. Häufig erscheint bei der Installation von SQL-Server zum Beispiel ein Fehler, dass die Windows-Firewall die entsprechenden Ports für SQL Server blockiert. Diese können Sie nachträglich aber immer noch freischalten. Die Warnungen können Sie daher übergehen, müssen aber nach der Installation nacharbeiten. Im MSDN sind ebenfalls Informationen zu den einzelnen Ports von SQL Server zu finden (https://msdn.microsoft.com/en-us/library/cc646023.aspx).

Um die entsprechenden Ausnahmen für die Remoteverwaltung einzutragen, verwenden Sie zum Beispiel folgenden Befehl:

netsh advfirewall firewall add rule name=“SQL Server“ dir=in action=allow program=“C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Binn\sqlservr.exe“ enable=yes profile=domain

Der Pfad ist abhängig von der eingesetzten SQL-Server-Version

Da auf Core-Servern der SQL Server Konfigurations-Manager nicht funktioniert, können Sie das TCP/IP-Protokoll in der Registry ändern. Dazu setzen Sie den Wert HKLM\SOFTWARE\Microsoft>Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQLServer\SuperSocketNetLib\Tcp auf 1. Anschließend starten Sie den Server neu. Standardmäßig ist nach der Installation von TCP/IP in SQL Server 2012/2014 und auch SQL Server 2016 aber ohnehin aktiviert. Sie sollten dennoch wissen, wie Sie den Wert steuern, wenn Sie die Installation über eine Konfigurationsdatei durchführen.

Sie müssen die Windows-Firewall auf dem Server konfigurieren, damit SQL-Server kommunizieren kann:

netsh advfirewall firewall add rule name = SQLPorttcp dir = in protocol = tcp action = allow localport = 1433-1434 remoteip = localsubnet profile = DOMAIN

netsh advfirewall firewall add rule name = SQLPortudp dir = in protocol = udp action = allow localport = 1433-1434 remoteip = localsubnet profile = DOMAIN

Zusätzlich aktivieren Sie über sconfig noch die Remoteverwaltung für den Server. Hier sollten Sie am besten alle vier Punkte zulassen, die der Assistent auflistet.

SQL Server können Sie in der PowerShell remote über das Netzwerk verwalten. Dazu müssen Sie aber auf dem entsprechenden Computer die Verwaltungstools für SQL Server 2012/2014/2016 und neuer über die Installations-DVD installieren und die Remoteverwaltung für den Server im SQL Server-Konfigurations-Manager aktivieren und auch in der PowerShell. Verwenden Sie auch den Befehl Enable-PSRemoting -force.

Der Befehl aktiviert auch die Ausnahmen in der Windows-Firewall. Außerdem müssen Sie in der Windows-Firewallsteuerung in der Systemsteuerung folgende Ausnahmen aktivieren, damit der Zugriff über das Netzwerk funktioniert:

Datei- und Druckerfreigabe

Remotedienstverwaltung

Windows-Remoteverwaltung

Windows-Remoteverwaltung (Kompatibilität)

Windows-Verwaltungsinstrumentation (WMI)

Der Server-Broker des SQL-Servers nutzt den Port 4022. Auch dieser muss über die Firewall freigeschaltet werden, wenn Dienste nicht funktionieren. Welcher Port auf Ihrem SQL-Server genutzt wird, erfahren Sie über die Abfrage:

SELECT name, protocol_desc, port, state_desc

 FROM sys.tcp_endpoints

 WHERE type_desc = ‚SERVICE_BROKER‘

Technik-Lernen on demand

Wer digital lernen möchte, findet eine große Auswahl von Gratis-Angeboten im Netz. Zwar helfen offene Online-Kurse und Youtube-Tutorials dabei, auf dem Laufenden zu bleiben. Sie sind aber auch Zeitfresser. Bezahltes ist didaktisch oft besser aufbereitet und schneller zu absolvieren.

E-Learning schön und gut. Aber dann bitte so, dass wirklich gelernt wird. Bewegtbilder bieten nämlich keinen wirklichen Lernzuwachs: „Wer Filme konsumiert, bleibt passiv. Das Gelernte sollte aber möglichst schnell praktisch angewandt werden, damit sich Wissen festigen kann“, bestätigt Christoph Igel, Wissenschaftlicher Leiter des Educational Technology Lab des Deutschen Forschungszentrums für Künstliche Intelligenz.

„Wir gehen weg von klassischen Schulungen, in denen Faktenwissen gelernt oder Prozesse vermittelt wurden. Heute sind handlungsorientiertes Lernen am Arbeitsplatz und der Aufbau von Erfahrungswissen gefragt“, weiß der habilitierte Verhaltensforscher und Professor für Bildungstechnologie. Dieses Lernen am Arbeitsplatz setzt der E-Learning-Anbieter IMC vorbildlich um. Wer sich konkret auf ein Mitarbeitergespräch oder eine Preisverhandlung vorbereiten will, sollte nach dem Karteikarten-Prinzip vorgehen: Informationen, die kurz zusammengefasst und sofort einsetzbar sind. Die Experten für digitale Bildung bieten beispielsweise eine Funktion, in der sehr schnell einsetzbare Informationsbausteine zu verschiedenen Themen abrufbar sind. Für konkrete Situationen sind hier die wichtigsten Regeln übersichtlich dargestellt und frischen die Methodenkompetenz direkt vor dem Termin noch einmal auf. „Diese Einheiten verzichten auf jeden Schnickschnack. Sie sind Fakten pur“, sagt Christian Wachter, Vorstand von IMC.

Kurze Lerneinheiten für Zwischendurch

Massive Open Online Courses (MOOCs) sind meist 90 Minuten lang und behandeln ein bestimmtes Themengebiet in epischer Breite. Große Universitäten weltweit wollen die Lehrveranstaltungen berühmter Professoren in voller Länge online für alle verfügbar machen. Wer wie die meisten Macher akutem Zeitmangel ausgesetzt ist, setzt eher auf Microlearning. In kleinen Häppchen konsumieren sich Themen nämlich verträglicher. Deshalb bieten E-Learning-Anbieter vermehrt kurze Einheiten. „Zehn Minuten sind das Maximum“, sagt Wachter. Dass die Zeit immer knapper wird und der Wissensdurst größer, ist ein allgemeines Phänomen. „Es gilt, Inhalte intelligent aufzubereiten, damit sie auch genutzt werden. Niemand ist anspruchsvoller als ein Mitarbeiter mit knappem Zeitbudget“, weiß Wachter. Für den Macher von E-Learning-Content geht der Trend zu kleinteiligen, mobil verfügbaren Lernformaten. Diese „Nuggets“ können Videos von nicht mehr als fünf Minuten sein, oder kleine interaktive Trainings, mit Aufgaben zu einem bestimmten Thema.

Themenvielfalt: Führungskräfte wollen Gesamtüberblick

Je höher Manager in der Hierarchie stehen, desto mehr müssen sie mitreden können, etwa bei Megatrends in der Wirtschaft. Wichtig ist also ein Anbieter mit einem breiten Wissensspektrum. Oder der Zugriff auf unterschiedliche Lernplattformen. Nach dem Motto: Meine Persönlichkeit entwickle ich mit Gratis-Angeboten weiter, Faktenwissen nehme ich von prominenten Vorbildern in bezahlten Quick Talk Videos (z.B. von Pink University) auf.

„Es kommt nach wie vor auf Faktenwissen an. Es bildet den Sockel, auf den Mitarbeiter aufbauen können“, beobachtet IMC-Chef Wachter. Sind die Wissenslücken gefüllt, geht es anschließend um die Methodik, das eigene Wissen in die richtigen Bahnen zu lenken.

Informell lernt es sich besser

Viele Entscheider tun sich schwer mit Weiterbildung. Denn das Tagesgeschäft ist so fordernd, dass es viel wichtiger ist, als Firefighter unterwegs zu sein, als sich mit Wissen zu beschäftigen, das wir vielleicht erst in einigen Monaten brauchen. Erkennt das Gehirn Weiterbildung jedoch nicht als solche, geht Lernen wie von allein. Unser Denkapparat merkt sich Sachverhalte besser und die Motivation ist größer.

Das Startup Neocosmo sieht sich als Experte für das Vermitteln von Wissen mit Freizeitcharakter. Mit professionell aufgemachten Magazinen, die Mitarbeiter abonnieren. Genauso wie sie es auch in ihrer Freizeit mit Mode- oder Autozeitschriften tun. „Lesen ist neurologisch gesehen, eine der besten Methoden, Wissen aufzunehmen“, sagt Gründer Volker Zimmermann. Der promovierte Wirtschaftsinformatiker weiß, dass es im klassischen E-Learning eigentlich verpönt ist, mit langen Artikeln und Texten zu arbeiten und setzt den Platzhirschen seinen neuen Ansatz entgegen.

Wettbewerbsorientierte Führungskräfte bei ihrem Spieltrieb packen. Das versuchen Anbieter webbasierter Lernprogramme mit Gamification. Das sind spielerische Elemente in denen beispielsweise eine Tabelle der besten Teilnehmer zum Mitmachen motiviert. Die Community honoriert es, wenn Nutzer Aufgaben absolvieren oder Tests bestehen. Forscher Professor Igel hält Gamification für äußerst sinnvoll: „Wer bei Ratespielen oder Wettbewerben lernt, behält Fakten besser und bleibt motiviert.“

Solar lohnt sich noch

2018 ist wieder ein gutes Solar-Jahr: Die Kosten für Dachanlagen sind in den letzten Monaten weiter gesunken. Insgesamt im zweistelligen Prozentbereich. Die Einspeisevergütung bleibt stabil, die Strompreise ebenfalls. Schon ohne Eigenverbrauch sind Anlagen sinnvoll. Und wer seinen grünen Strom selbst nutzt, kann die Rentabilität weiter erhöhen.

Derzeit zahlen Bauherren für eine gewerbliche Aufdachanlage unter 1.000 Euro pro Kilowatt Peak Leistung, je nach Größe. Auf diese Weise kostet der selbst erzeugte Strom zwischen acht und zehn Cent inklusive Zuschläge, Finanzierungskosten und laufendem Aufwand für Wartung oder Reparaturen.

Außerdem ist die Einspeisevergütung für den nicht selbst genutzten Sonnenstrom stabil geblieben. Die festen Vergütungssätze für Anlagen bis 100 kWp bzw. die anzulegenden Werte nach dem Marktprämienmodell für Anlagen bis 750 kWp sind jeweils für 20 Jahre ab Anlagenerstellung stabil. Das bedeutet Berechenbarkeit der Einnahmen und eine Möglichkeit, seine Investition langfristig zu planen. Während das Solar Cluster Baden-Württemberg bei kleineren Anlagen von einer Gesamtrendite um die sechs Prozent spricht, wagt sich Solarunternehmen Goldbeck Solar bei größeren Anlagen etwas weiter aus dem Fenster: Im Idealfall und bei perfekter Ausrichtung sprechen die Hirschberger von satten zwölf Prozent Rendite. „So oder so sprechen wir hier nicht von Risikokapital“, sagt Jann Binder, Geschäftsführer des Solar Clusters BW. Für eine sichere Anlage liegen sechs Prozent weit über vergleichbaren Investments.

Den geringer werdenden Investitionskosten stehen gleichbleibende Einnahmen gegenüber. So wächst die Attraktivität von Aufdachanlagen zusehends. Der Eigenverbrauch des Solarstroms vom Dach erhöht die ohnehin schon attraktive Rendite der Volleinspeisung. Der Strompreis ist zwar derzeit stabil, wird aber über die kommenden 20 Jahre mit hoher Wahrscheinlichkeit steigen. „Dem Eigenverbrauch gehört die Zukunft“, sagt Goldbeck Solar-Geschäftsführer Björn Lamprecht. Denn die Stromversorger verlangen von Gewerbetreibenden derzeit rund 18 Cent pro Kilowattstunde.

Bei der Marktlage sind sich BSW-Solar, das Solarcluster BW und Goldbeck Solar aber einig: Die Nachfrage nach Photovoltaikanlagen auf Gebäuden ist in den letzten Monaten spürbar gestiegen. Und zwar um mehr als 20 Prozent. Die Akteure glauben, dass dieser Trend weiter anhalten wird. „Wir spüren, dass vor allem energetische Gesamtlösungen auf dem Vormarsch sind“, sagt Lamprecht.

Verlassen können sich Unternehmer mit Solaranlage auf die Einspeisevergütung. Auf 20 Jahre festgeschrieben, beträgt diese derzeit 10,6 Cent pro Kilowattstunde für den Leistungsanteil zwischen 40 und 100 KWp. Für die darunter liegenden Leistungsteile gibt es anteilig höhere Vergütungssätze. Eine 100 kW-Anlage bekommt also nicht 10,61 sondern 11,15 ct/kWh. Kleinere Anlagen über 40 und unter 100 kW bekommen entsprechend noch mehr.

Wer den eigenen Solarstrom verbraucht und dafür keinen Netzstrom kaufen muss, spart die Differenz zwischen Stromgestehungskosten und Stromeinkauf abzüglich der anteilig zu entrichtenden EEG Umlage. Im Ergebnis erzielt der Verbrauch des Solarstroms vom eigenen Industriedach daher einen Gewinn von rund sieben Cent. Der Gewinn durch Einspeisung ist höchstens halb so groß. „Man muss den Solarstrom nicht selbst verbrauchen, wenn es aber einfach möglich ist, verbessert das die Rendite-Situation“, fasst Binder zusammen.

Speicherlösungen steht Binder noch kritisch gegenüber. „Natürlich brauchen wir Menschen, die hinter dieser Technologie stehen und durch Ihre Investition in Speicher die Lernkurve beschleunigen sowie Speicherpreise reduzieren. Nutzt man Speicher nur zur Eigenverbrauchserhöhung, dann erhöhen sie die Rendite der Gesamtanlage derzeit nicht.“ Wenn Speicher jedoch gleichzeitig für andere Zwecke eingesetzt werden, beispielsweise zur Reduktion der Spitzenlast eines Industriebetriebs, dann ist ein Blick auf Speicherlösungen lohnend.

Ein Thema, mit dem sich gewerbliche Anlagenbetreiber ebenfalls auseinandersetzen müssen: Direktvermarktung. Ab einer Größe von 100 KWp muss der Strom selbst verbraucht oder direkt vermarktet werden. Über das Marktprämienmodell und die direkte Vermarktung können über einen erfahrenen Energiehändler auch für Anlagen bis 750 KWp ähnliche Erträge pro KWh erwirtschaftet werden. Oftmals kann ein geschickter Vermarkter einen höheren Preis erzielen, als die feste EEG-Umlage.

„Bevor heiter drauf los digitalisiert wird, gilt es, das Ausmaß der Digitalisierung zu erfassen.“

Während die einen noch darüber nachsinnen, wie und wo sie digitalisieren können, haben die anderen längst Prozesse mit Hilfe digitaler Tools überarbeitet und effizienter gemacht – sie profitieren bereits von ihrem Tatendrang. Insbesondere kleine und mittelständische Unternehmen drohen derzeit ins Hintertreffen zu geraten, weil häufig der Treiber fehlt. Da sieht es bei den großen Brüdern, den Konzernen, schon ganz anders aus. Digitalisierung ist dort Chefsache und wird von einem eigenen Digital Chief Officer vorangetrieben. Diese Entwicklung ist einerseits erfreulich und ist andererseits Grund zur Sorge. Immerhin könnte sich gerade der deutsche Mittelstand deutliche Wettbewerbsvorteile gegenüber der internationalen Konkurrenz sichern, wenn Prozesse effizienter gemacht und völlig neue Geschäftsmodelle entwickelt werden. Die Wertschöpfung beginnt im digitalen Zeitalter schließlich nicht erst beim Produkt, sondern schon bei der Entwicklung vorgelagerter oder nachgelagerter Prozesse entlang der gesamten Wertschöpfungskette.

Die uralte Skepsis gegenüber Veränderungen

Eines wird deutlich: Der Druck steigt, weil viele nicht schnell genug sind oder nicht wissen, wo sie beginnen sollen, sich allein gelassen fühlen oder immer noch skeptisch sind. Die Skepsis gegenüber Veränderungen ist freilich so alt wie die Menschheit selbst, dennoch hat die Menschheit gelernt diese und auch sich selbst immer wieder zu überwinden. Das ist auch jetzt gefragt. Bevor allerdings heiter drauf los digitalisiert werden kann, gilt es, das Ausmaß der Digitalisierung zu erfassen. Digitalisierung bedeutet mehr als vernetzte Komponenten. Digitalisierung bedeutet Kommunikation – von Maschinen, Geräten und anderen Produktionseinheiten miteinander. Dieser Informationsaustausch vernetzter Teilnehmer im Internet der Dinge führt zu einer völlig neuen Effizienz und einem gänzlich neuen Produktionsbegriff.

Es ist selbsterklärend, dass Digitalisierungsvorhaben vor diesem Hintergrund kein Selbstzweck sind, sondern mit einer klaren Zielsetzung verbunden sein müssen. Was will ein Unternehmen mit Hilfe digitalisierter Prozesse erreichen? Effizienz? Neue Geschäftsmodelle? Entlastungen für Mitarbeiter? Gleichzeitig gilt es auch mögliche Risikofaktoren zu identifizieren, damit böse Überraschungen auf der „Digital Journey“ ausbleiben. Ein Blick von außen ist an dieser Stelle sicherlich kein Muss, er kann aber dabei helfen, mögliche Potenziale zu identifizieren und Startszenarien zu definieren.

Es muss sich für ein produzierendes Unternehmen beispielsweise nicht lohnen im Rahmen eines solchen Ansatzes den gesamten Maschinenbestand zukunftsfähig zu machen – auch wenn das auf den ersten Blick einfach, trendbewusst und naheliegend erscheint. Eine völlig neue Produktion kann hinsichtlich des Wettbewerbs schnell Vorteile geltend machen. Auch wenn die notwendigen Investitionen auf den ersten Blick immens erscheinen, zahlen sie sich langfristig aus und setzen das Unternehmen von der Konkurrenz ab. Im Zuge derartiger Überlegungen sollten Unternehmen jedoch nicht vergessen, das interne Potenzial zu nutzen. Hier können interdisziplinäre und themenspezifische Think Tanks nach dem Design Thinking-Prinzip ein guter Ansatz sein – der ist mit wenig Aufwand und Kosten verbunden und lässt sich schnell realisieren. Vielfalt ist in diesem Kontext nicht nur aus Imagegründen positiv, sondern bringt auch neue Denkansätze und Innovationen ans Licht, die sonst vielleicht nie entdeckt worden wären.

Jetzt handeln ist überlebenswichtig

Fakt ist, die Digitalisierung lässt sich weder aussitzen noch vereinnahmen und jedes Unternehmen muss für sich das passende Digitalisierungskonzept finden, ob mit oder ohne externe Hilfe. Wichtig ist indes jetzt zu handeln, um zu verhindern, dass die Wertschöpfung in Zukunft dort stattfindet, wo die Digitalisierung weniger kritisch betrachtet, sondern schlichtweg umgesetzt – in den USA und in China.

*Volker Altwasser arbeitet bei der expertplace networks Group AG.

Wie sichert man Netzwerke für die IoT-Revolution?

Dass sich Hacker durch mit dem Netzwerk verbundene Geräte Zugriff verschaffen können, ist nicht neu.  Alarmierend jedoch ist die Anzahl von IoT-Geräten, die Endbenutzer an den Arbeitsplatz mitbringen und an Unternehmensnetzwerke anschließen. Einige Mitarbeiter tun dies zudem, ohne ihre IT-Abteilung zu benachrichtigen.

IT-Profis müssen sich daher die Frage stellen: „Wie können wir uns vor Geräten schützen, von denen wir nicht wissen, dass sie überhaupt existieren?“

Die wahren Herausforderungen

Das Problem für IT-Profis ist nicht nur die schiere Zahl der unkontrollierten IoT-Geräte am Arbeitsplatz, sondern auch der Gerätetyp selbst. Bei näherer Betrachtung gibt es Probleme bei den technologischen Grundlagen dieser Geräte, die direkt zu Sicherheitslücken führen.

Häufig sind mobile IoT-Geräte, wie beispielsweise Wearables, die an den Arbeitsplatz gebracht werden, relativ günstig und auf Einsatz in Unternehmen.

Das bedeutet, es fehlt ihnen an relevanten Sicherheitsmerkmalen. Eine Sicherheitssoftware ist für Endverbraucher nicht in der Lage die höheren Anforderungen eines Unternehmens zu erfüllen. Wenn diese Geräte mit an den Arbeitsplatz genommen werden, ermöglichen sie Sicherheitslücken, die sich relativ einfach ausnutzen lassen.

Ebenso sind viele IoT-Geräte für Endverbraucher nicht für automatische Updates ausgelegt und aufgrund veralteter Sicherheitssoftware oft ungeschützt – ohne dass Endverbraucher davon wissen. Deswegen gibt es immer mehr Netzwerke, die so konfiguriert sind, dass sie nicht genehmigte Geräte identifizieren und den jeweiligen Port abschalten, um potenziellen Bedrohungen entgegenzutreten.

Die Komplexität eines solchen Netzwerks erfordert jedoch spezialisierte Sicherheitsexperten, die aber eher in größeren Unternehmen anzutreffen sind. Für IT-Profis, die nicht in solchen Umgebungen arbeiten, ist es wichtig, den vollständigen Überblick darüber zu behalten, wer und was auf Ihr Netzwerk zugreift.

Vier Schritte, um Angreifern voraus zu bleiben

Angesichts der vielfältigen Herausforderungen, mit denen IT-Profis heutzutage bei IoT-fähigen Geräten konfrontiert sind, ist anzunehmen, dass sie einen aussichtslosen Kampf führen. Ja, die Liste der Anschlussgeräte wächst kontinuierlich weiter. Dies bedeutet jedoch nicht, dass es zu spät ist, eine effektive Strategie anzuwenden, um weitere Sicherheitsprobleme zu vermeiden. Nachfolgend sind einige Ansätze für die Entwicklung einer solchen Strategie aufgeführt:

  • Erstellen einer Richtlinie für die Geräteverwaltung: Eine Richtlinie, die Grundsätze für die Integration von IoT-Geräten und die Verbindung zum Netzwerk festlegt, hilft bei der Optimierung des Verwaltungsprozesses.
  • Entwickeln eines Überprüfungsprozesses für neue Geräte: Bei jedem verbundenen Gerätetyp sollten sich IT-Profis fragen: „Sollte mein Unternehmen dieses Gerät im Netzwerk zulassen?“ Es könnte bekannte Schwachstellen in Verbindung mit bestimmten Geräten geben, auf die man achten sollte, und es kann sogar bestimmte Geräte geben, die den Zugriff auf sichere Daten erfordern und von daher verboten werden müssen.
  • Herstellen voller Netzwerktransparenz: Die Spezifizierung jedes Geräts, das derzeit mit dem drahtlosen Unternehmensnetzwerk verbunden ist, sollte Priorität haben, um den jeweiligen Bedrohungsgrad zu bestimmen. Diese Aufgabe kann durch eine Reihe von umfassenden Netzwerkmanagement- und Überwachungstools unterstützt werden. Diese Tools können nicht nur einen Überblick geben, wer und was mit dem Netzwerk verbunden ist, sondern auch wo und wann diese verbunden waren.
  • Erstellen von Benutzerdokumenten:Im Falle eines Datenverstoßes wird die Fehlerbehebungszeit erheblich reduziert, wenn das Gerät und seine Benutzer schnell gefunden werden können. Dies wird am besten durch den Einsatz von Benutzerdokumenten erreicht, in denen festgelegt ist, wer für die einzelnen Geräte zuständig ist.

Von diesen Unterlagen profitiert das gesamte Unternehmen und legt die Verantwortung in die Hände von Endbenutzern, da diese regelmäßig und eigenständig die Sicherheitssoftware ihrer Geräte aktualisieren müssen.

Vorsicht walten lassen

Achtsam zu sein ist vielleicht der beste Ratschlag, den man anderen IT-Profis zum Thema IoT-Revolution geben kann. Ein Blick auf die aktuelle Cyberkriminalität hilft dabei, ein Bewusstsein für die Methoden heutiger Cyberkrimineller zu bekommen. IT-Experten profitieren von diesem Wissen, da sie dadurch genau wissen, worauf sie Ihr Netzwerk vorbereiten sollten.

Sicherzugehen, dass die IoT-Revolution am Arbeitsplatz nicht zu Sicherheitsproblemen führt, ist eine gewaltige Aufgabe, die aber für den Datenschutz unerlässlich ist. Die oben aufgezeigten Ansätze stellen sicher, dass die Strategie zur Verwaltung der Geräte zweckmäßig ist und Unternehmen so die Vorteile von IoT nutzen können.

Vorbereiten der Zertifikatänderung auf dem Exchange-Server

  1. Klicken Sie auf das Pluszeichen im Fenster, um den Assistenten für die Installation von Zertifikaten zu starten.
  2. Im nächsten Schritt des Assistenten geben Sie den Namen ein, mit dem das Zertifikat angezeigt werden soll.
  3. Auf der nächsten Seite legen Sie fest, dass Sie untergeordnete Domänen mit dem Zertifikat anbinden wollen. Setzen Sie nur eine Domäne ein, ist das nicht notwendig.
  4. Danach wählen Sie den Exchange-Server aus, auf dem Sie die Anforderung des Zertifikats speichern wollen.
  5. Auf dem nächsten Fenster wählen Sie die Serverdienste aus.  Klicken Sie auf jeden Serverdienst und auf das Stiftsymbol. Geben Sie für jeden Dienst, den vollständigen DNS-Namen an, mit dem auf den Server zugegriffen wird.
  6. Danach erhalten Sie eine Zusammenfassung aller DNS-Namen, die mit dem Zertifikat verknüpft werden.
  7. Anschließend geben Sie den Namen der Organisation und einige Daten zum Unternehmen ein.
  8. Danach speichern Sie die Anforderung als Textdatei in einer Freigabe im Netzwerk. Mit dieser Datei fordern Sie das Zertifikat anschließend an.
  9. Sie sehen im Exchange Admin Center den Status des Zertifikats als Ausstehende Anforderung.

Im nächsten Schritt öffnen Sie das Webfrontend des Zertifikatausstellers:

  1. Verwenden Sie die Active Directory-Zertifikatdienste, erreichen Sie diese über die Adresse „https://<Servername>/certsrv“.
  2. Wählen Sie „Ein Zertifikat anfordern“ und anschließend „erweiterte Zertifikatanforderung“.
  3. Wählen Sie die Option „Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein“.
  4. Im nächsten Fenster geben Sie im Feld „Gespeicherte Anforderung“ den Text der req-Datei ein, die Sie im Vorfeld erstellt haben. Sie öffnen die Datei im Editor und kopieren den Inhalt in die Zwischenablage. Sie müssen den kompletten Text der Datei verwenden.
  5. Wählen Sie als Zertifikatvorlage „Webserver“ und klicken Sie auf „Einsenden“.
  6. Anschließend laden Sie das Zertifikat als .cer-Datei herunter und speichern diese auf dem Exchange-Server.

Als Nächstes integrieren Sie das neue Zertifikat in Exchange. Dazu arbeiten Sie wieder mit dem Exchange Admin Center:

  1. Klicken Sie auf „Server/Zertifikate“.
  2. Klicken Sie auf das Zertifikat in der Konsole mit dem Status „Ausstehende Anforderung“ und danach auf „Abschließen“.
  3. Wählen Sie die heruntergeladene CER-Datei aus und schließen Sie den Vorgang ab. Das Zertifikat wird danach als „Gültig“ angezeigt.

Exchange-Zertifikate konfigurieren

Das ist zum Beispiel dann sinnvoll, wenn Sie diese Anforderung für das Einreichen bei der Zertifizierungsstelle eines Drittherstellers verwenden müssen. In diesem Fall verwenden Sie zum Beispiel die folgenden Befehle:

$RequestData = New-ExchangeCertificate -GenerateRequest -Server mail01 -SubjectName „c=com, S=germany, L=berlin, O=Contoso, OU=ex, CN=webmail.contoso.com“ -DomainName webmail.contoso.com,autodiscover.contoso.com -PrivateKeyExportable $true

Set-Content -path \\mail01\c$\download\ssl-request.req -value $RequestData

Dadurch erstellen Sie eine Textdatei, in welcher die Zertifikatsanforderung abgelegt ist. Auf Basis dieser Zertifikatsanforderung wird ein Zertifikat erstellt. Dieses können Sie ebenfalls in der Exchange Management Shell mit Exchange verbinden. Dazu kopieren Sie das heruntergeladene Zertifikat in das Verzeichnis, in das Sie bereits die Zertifikatsanforderung kopiert haben:

$Data = [Byte[]]$(Get-Content -Path „\\mail01\c$\download\webmail.cer“ -Encoding byte -ReadCount 0)

Import-ExchangeCertificate -Server mail01 -FileData $Data | Enable-ExchangeCertificate -Server mail01 -Services IIS

Das Problem dabei ist, dass kein Client dieser Zertifizierungsstelle vertraut, was in Zertifikatfehlermeldungen resultiert. In Exchange 2016 hat Microsoft das Problem aber entschärft, da sich die Server untereinander vertrauen. Sie müssen daher nicht unbedingt das Zertifikat anpassen. In produktiven Umgebungen ist es aber besser, wenn Sie auf Basis der Active Directory-Zertifikatdienste ein neues Zertifikat ausstellen lassen und für Exchange nutzen. Diese Einrichtung sollten Sie so schnell wie möglich nach der Installation durchführen.

Blockchain in der Produktion

In der Produktion sind, durch das Zusammenspiel verschiedener Zulieferer, mehrere Parteien zugange, die in verschiedene Transaktionen involviert sind. Erfolgt ein Produktionsschritt, kann sein korrekter Abschluss im Netzwerk überprüft werden. Das Ergebnis, die sogenannte Konsensfindung, wird jedem Teilnehmer des Netzwerks übermittelt und so dezentral abgelegt. Um den Produktionsprozess auf IT-Seite zu stören, genügt es somit nicht, eine zentrale Datenbank anzugreifen – die Daten sind an mehreren Punkten verfügbar. Auf diese Weise gewinnt man zusätzliche Sicherheit durch Redundanz der Daten, sogar bei Nutzung unsicherer Übertragungswege.

Die Daten können dabei komplett verschieden beschaffen sein. Einerseits fallen hier die Produktions- oder Messdaten an, andererseits können auch Verträge oder Abkommen mittels Blockchain sicher abgelegt werden. Durch den dezentralen Ansatz werden koordinierende Stellen, die sicherstellen, dass Transaktionen korrekt ablaufen, überflüssig. Das System überprüft sich sozusagen autark.

Big Data prädestiniert für Blockchain

Besonders bei Big-Data-Anwendungen eignet sich die Verwendung von Blockchain, denn hier steht eine enorme Menge an strukturierten und unstrukturierten Daten zur Verfügung. In einem Prozess mit vielen Teilnehmern wäre die zentrale Verwaltung dieser Daten zwar möglich, ein solches System wäre aber auch, weil eben nur ein System, leichter manipulier- und angreifbar als dezentrale Lösungen. Moderne Big-Data-Plattformen können durch ihre Beschaffenheit eben auch genau diese dezentral anfallende Datenbestände sicher verwalten und sind somit eine Grundlage für die Nutzung von Blockchains.

Transparenz ist ein weiterer, nicht zu unterschätzender Vorteil beim Einsatz von Blockchain. Durch den Wegfall eines zentralen Administrators nehmen die verschiedenen Akteure selbst am Management des Gesamtkonstrukts teil. So ist der Produktionsprozess effizienter, kostengünstiger und besser gegen Manipulationen gewappnet.

Darüber hinaus liefert die Blockchain auch im Anschluss an die Produktion besondere Vorzüge. Bei Verkauf und nach Auslieferung kann durch die Ausgabe eines Blockchain-Zertifikats sowohl die Echtheit des Produkts als auch die ordnungsgemäße Entsorgung nachgewiesen werden. Dies wäre eine Verlängerung der im Produktionsprozess notwendigen Informationsabläufe über die Lebensdauer des Produkts hinaus – zu annehmbaren Kosten – und kann gegenüber dem Käufer als Gütesiegel beworben werden. So kommt eine transparente Lieferkette zustande, die sowohl im Interesse des Herstellers, seiner Zulieferer als auch des Handels ist.

Die ersten Schritte in die Produktion hat Blockchain bereits hinter sich. Namhafte Automobilhersteller haben dieses Prinzip in ihre Fertigung bereits implementiert. Welche Erfahrungen sie damit machen und ob die Blockchain die in sie gesetzten hohen Erwartungen erfüllen kann, muss sich noch zeigen.