Bei der Modernisierung ihrer IT-Infrastruktur und Geschäftsprozesse setzen viele Unternehmen auf Open Source. Einer der wichtigsten Gründe dafür ist die hohe Geschwindigkeit, mit der sich Innovationen entwickeln und umsetzen lassen.
Unsere Autorin Andrea Wörrlein st Verwaltungsrätin bei der VNC AG (Schweiz) und Geschäftsführerin bei der VNC GmbH (Deutschland). (Quelle: VNC)
Bei der strategischen Entscheidung für Open Source sind für professionelle Anwender ganz pragmatische Gründe interessant. Ein wichtiger, häufig sogar ausschlaggebender Aspekt ist dabei die damit erreichbare Innovationsgeschwindigkeit. Diese ist für immer mehr Unternehmen wichtig, um bei der sich beschleunigenden Entwicklung rund um die Digitalisierung von Geschäftsprozessen, oder gar ganzer Geschäftsmodelle, nicht den Anschluss zu verlieren. Die Unterstützung durch die Software-Landschaft spielt dabei eine zentrale Rolle.
Ein kurzer Blick auf die weltweite Open-Source-Community reicht, um die Entwicklungspower dieses Wissens-Pools sichtbar zu machen. Die Expertengemeinschaft kann schnell und gezielt auf aktuelle Entwicklungen und Problemstellungen reagieren und ist nicht an die Partikularinteressen proprietärer Closed-Source-Anbieter gebunden.
Die Entwickler stehen auch als als potentielle Modernisierungspartner zur Verfügung und können konstruktiv bei der Erarbeitung innovativer Software-Lösungen helfen.
Dazu kommt der riesige bereits vorhandene Pool an Open-Source-Lösungen und -Plattformen, den Unternehmen für ihre Belange nutzen können. Ein innovativer Software-Stack muss daher nicht „from scratch“ entwickelt werden, sondern kann auf einer bewährten, bereits vielfach genutzten und ständig optimierten Basis aufbauen.
Ein kurzer Blick auf die weltweite Open-Source-Community reicht, um die Entwicklungspower dieses Wissens-Pools sichtbar zu machen.
Open Source hilft bei der Konzentration auf das Wesentliche
Schätzungen gehen davon aus, dass mindestens 80 Prozent eines Stacks für Unternehmen nicht „kriegsentscheidend“ sind. Deshalb ist es wenig sinnvoll, hier den Unterschied ausmachen, und eigene exklusive Lösungen entwickeln zu wollen. Für diesen Teil der Modernisierung des Software-Stacks können sie sich bewährter Lösungen, Plattformen, Schnittstellen und Tools aus dem Open-Source-Stack bedienen.
Das reduziert zudem die Kosten und entlastet die Budgets von teuren, unnötigen Parallel- und Exklusiventwicklungen. Unternehmen können Innovationen so kostengünstiger vorantreiben und sich besser und effizienter auf die rund 20 Prozent des Software-Stacks konzentrieren, die für die Digitalisierung und Differenzierung ihrer Geschäftsmodelle wesentlich sind. Und auch hierfür stellt Open Source die massive Entwicklungspower der weltweiten Experten-Community und die breite Palette erprobter Lösungen bereit.
Passwörter sind aus Sicherheitsgründen immer problematisch. Obwohl diese Gefahr bekannt ist, setzen immer noch viele Unternehmen bei der PC-Anmeldung auf einen Login mit Benutzername und Passwort. Dieser Prozess ist nicht nur unsicher, sondern auch wenig benutzerfreundlich. Dabei gibt es schon längst passwortlose Alternativen, die einfach, sicher und komfortabel sind.
Jochen Koehler leitet die Region Zentraleuropa bei HYPR in Heilbronn. (Quelle: HYPR)
80 Prozent aller Sicherheitsvorfälle gehen auf gestohlene, ausgespähte oder zu schwache Passwörter zurück. Eine hohe Sicherheit bietet eine passwortbasierte Authentifizierung also nicht. Auch für den Anwender ist der Passwortzwang nicht gerade komfortabel, zumal er sich in der Regel nach der initialen PC-Anmeldung an weiteren Unternehmenssystemen mit zusätzlichen Kennwörtern authentifizieren muss – ganz zu schweigen von den erforderlichen Multi-Faktor-Anmeldeprozessen bei unterschiedlichen Cloud-Diensten. Auch der Verwaltungsaufwand für die IT ist beträchtlich. So wird gerade der IT-Helpdesk bei vergessenen Kennwörtern, System-Lockouts oder fehlgeschlagenen Änderungsprozeduren von Mitarbeitern sehr oft und arbeitsintensiv in Anspruch genommen.
Unternehmen sollten deshalb über Alternativen nachdenken, und zwar über Lösungen, die eine hochsichere und anwenderfreundliche passwortlose Anmeldung versprechen. Allerdings müssen solche Lösungen auf eine „echte“ Passwortlosigkeit hin überprüft werden, denn nicht alles, was als passwortlos angeboten wird, kommt auch wirklich ohne Passwort aus. Ein Beispiel dafür wären sogenannte Authenticator-Programme, die einen Zugriff auf Applikationen ohne explizite Passworteingabe ermöglichen. Dass sich auch dahinter in der Regel eine passwortbasierte Anmeldung verbirgt, die vor Angreifern nur bedingt schützen kann, ist oftmals nicht bekannt. Im Backend existieren weiterhin Passwörter als „Shared Secrets“, also Credentials, die etwa in einer Datenbank gespeichert sind. Solche Verzeichnisse sind aus Sicherheitsgründen immer problematisch, da ein Zugriff Hackern vielfältige Angriffsmöglichkeiten bietet.
Echte Passwortlosigkeit braucht kein Kennwort im Backend
Eine echte Passwortlosigkeit hingegen ist nur dann gegeben, wenn auch im Backend keine Kennwörter oder PINs vorhanden sind. Hier kommen vor allem Lösungen ins Spiel, die auf einem Public-Key-Verschlüsselungsverfahren basieren. Passwörter werden dabei durch sichere kryptografische, asymmetrische Schlüsselpaare ersetzt. Damit sind Hackerangriffe auch nur auf einzelne Personen und Geräte denkbar, nicht aber auf eine Datenbank mit zahlreichen Anmeldeinformationen.
Solche Lösungen für die passwortlose Anmeldung sind auch keine neue Entwicklung, sondern schon seit Langem verfügbar. So können sich Anwender mittels Smartcards und Public-Key-Kryptografie an PC-Systemen sicher authentifizieren. Diese Möglichkeit wird aber in den wenigsten Unternehmen genutzt, vor allem aus Kostengründen. Schließlich sind dafür spezifische Endgeräte mit adäquaten Kartenlesern erforderlich.
Aber die Entwicklung ist nicht stehen geblieben. Dank neuer Technologien und Standards können heute auch Smartphones als Smartcard genutzt werden. Sie ermöglichen Anwendern eine denkbar einfache und gleichzeitig den höchsten Sicherheitsvorgaben entsprechende Anmeldung am PC.
How It Works
Die Lösung HYPR True Passwordless MFA vereinfacht den Anmeldeprozess am PC. Der Prozess vom Login bis zur Zugriffsgewährung im Überblick. (Quelle: HYPR)
Das Smartphone als Smartcard
Wie bei Smartcards auch basiert eine Smartphone-Lösung für die passwortlose Anmeldung auf einem Public-Key-Verschlüsselungsverfahren. Die zur Authentifizierung erforderlichen Schlüsselpaare werden für jeden Anwendungsfall individuell generiert. Dabei verbleiben die privaten Schlüssel jederzeit auf dem mobilen Gerät des jeweiligen Benutzers. Sie sind sicher gespeichert auf der Hardwareebene, das heißt in der TrustZone – bei Apple iOS in der Secure Enclave und bei Android im Trusted Execution Environment. Die öffentlichen Schlüssel werden in einer solchen Lösungsumgebung auf einem passwortlosen Authentifizierungsserver abgelegt. Die Registrierung eines neuen Users und Gerätes kann mit diesem Lösungsmodell in rund 30 Sekunden durchgeführt werden. Für die autorisierten Mitarbeiter startet dann die Authentifizierung in Sekundenbruchteilen am Anfang des PC-Logins. Damit ist auch ein Schutz vor potenziellen Angriffen zum frühestmöglichen Zeitpunkt gewährleistet.
Derartige Lösungen, die die Verwendung von Shared Secrets wie Passwort, PIN, SMS-Code oder OTP (One-Time-Password)-Token durch eine Public-Key-Kryptografie ersetzen, sind durchaus verfügbar. Allerdings sollte die Einführung einer passwortlosen Lösungsarchitektur nicht dazu führen, dass ein neues Silosystem entsteht oder vorhandene Lösungen wie Identitätsplattformen nicht weiterverwendet werden können. Das heißt: Interoperabilität ist eine Grundanforderung. Eine passwortlose Authentifizierungslösung muss sich flexibel und nahtlos in bestehende Systeme wie Identity-Access-Management-Lösungen oder Cloud-Dienste einbinden lassen.
Die passwortlose Zukunft hat bereits begonnen. Im Consumer-Bereich geben Unternehmen wie Apple, Google oder Microsoft hier die Richtung vor. Unternehmen müssen sich somit die Frage stellen, ob sie auf Dauer auf eine passwortlose Lösung verzichten können, da die Anwender auf Basis ihrer positiven Erfahrungen im privaten Umfeld auch neue Anforderungen an die Firmen-IT stellen werden. Sie werden vermutlich auf lange Sicht nicht mehr akzeptieren, dass sie mit zahlreichen Anmeldemethoden konfrontiert sind, die immer komplexer und inkonsistenter werden und sich negativ auf ihre Produktivität auswirken. Eine flexible passwortlose Authentifizierungslösung, die problemlos in vorhandene Systeme integrierbar ist, bietet hier eine deutliche Prozessoptimierung. Und davon profitieren nicht nur die Mitarbeiter, sondern in letzter Konsequenz vor allem auch das gesamte Unternehmen.
Immer mehr Städte verfolgen Smart-City-Strategien. Mit neuen Technologien wie dem Internet der Dinge (IoT), Künstlicher Intelligenz (KI) und Maschinellem Lernen (ML) sollen gesellschaftliche und ökologische Herausforderungen schnell erkannt und behoben werden. Zielsetzungen sind Serviceoptimierungen für die Bürgerinnen und Bürger, Effizienzverbesserungen und Kosteneinsparungen. Beispiele für Smart-City-Initiativen sind das Verkehrsmanagement mit einer Vernetzung von ÖPNV und Individualverkehr, das Parkraummanagement, die Steuerung der Energieversorgung, das Katastrophenmanagement oder als einfache Anwendung die Optimierung der Straßenbeleuchtung.
Die Umsetzung solcher Konzepte war bis dato aus technologischen Gründen nur bedingt möglich. So weisen die genutzten 4G-Netze Limitierungen hinsichtlich Netzwerkgeschwindigkeiten und Echtzeit-Kommunikationsmöglichkeiten auf. Aufgrund der Latenzzeiten können deshalb kaum zeitkritische Reaktionen ausgelöst werden, etwa das automatische Öffnen der Belüftungssysteme in Parkhäusern bei gefährlichen Kohlenmonoxidwerten.
Der neue Standard 5G wird dank höherer Datenraten und extrem niedriger Latenzzeiten Smart-City-Szenarien optimal unterstützen und eine neue Generation von Services ermöglichen. Prinzipiell ist 5G für eine breite Palette unterschiedlicher Anwendungsfälle nutzbar. Dazu gehören Applikationen mit hohen Datenübertragungsraten oder mit zeitkritischen und sicherheitsrelevanten Daten. Darüber hinaus können mit 5G auch Use Cases umgesetzt werden, die die Unterstützung vieler Geräte und kleiner Datenmengen bei niedrigen Kosten und geringem Energieverbrauch erfordern – auch unter schwierigen Empfangsbedingungen. Und genau dieser Punkt ist für die Etablierung von Smart-City-Modellen auf Basis optimierter IoT-Anwendungen von größter Bedeutung.
Die 5G-Einführung allein wird aber nicht zwangsläufig zu einer höheren Effizienz von IoT-Services beitragen und die Umsetzung von Smart-City-Modellen vorantreiben. Entscheidend ist vor allem die Kombination von 5G- und Edge-Implementierungen. Nur wenn die Datenverarbeitung und Rechenleistung näher an den „Endpunkt“ gebracht werden, können die Vorteile von 5G vollständig genutzt werden. Ein solcher Endpunkt kann ein Sensor oder ein Connected Car sein.
Edge Computing beschreibt den Ansatz, die Datenverarbeitung an dem Ort durchzuführen, an dem die Daten auch generiert werden – also dezentral am Rand (Edge) des Netzwerks, zum Beispiel auf den Sensoren oder Gateways am Straßenrand. Die Daten werden dabei vor der Übertragung in Mini-Rechenzentren vor Ort konsolidiert und analysiert. Nur wirklich relevante Daten oder aggregierte Zwischenergebnisse werden anschließend zur zentralen Weiterverarbeitung versendet. Somit entfallen Herausforderungen bei den Netzwerkverbindungen hinsichtlich Bandbreite oder Latenz. Durch die Reduzierung von Übertragungsverzögerungen werden auch Serviceausfälle vermieden. Die übertragenen Daten können dann in lokalen Rechenzentren und verschiedenen Cloud-Umgebungen zentralisiert und unter Einsatz von KI- oder ML-Technologien für die Gewinnung datengesteuerter Erkenntnisse verwendet werden.
Die Edge-Computing-Nutzung wird derzeit vor allem im Telekommunikationsbereich im 5G-Kontext massiv vorangetrieben. Service-Anbieter modernisieren ihre Netzwerke, indem sie Funktionen im Netzwerk in Software implementieren und von der darunter liegenden Plattform entkoppeln. Linux Container und Kubernetes kommen hier als Technologien zum Einsatz. Eine durchgehende Standardisierung und Automatisierung ist notwendig, um die erwünschten Effekte zu erzielen. Man erhofft sich dadurch unter anderem mehr Flexibilität und Skalierbarkeit, schnellere Vermarktung sowie geringere Kosten. Ein Beispiel ist die Open-RAN (Open Radio Access Network)-Initiative. Und auch der Automotive-Sektor setzt verstärkt auf Edge Computing, also auf die Bereitstellung von Rechenressourcen entfernt von zentralen Rechenzentren – etwa direkt in einem Fahrzeug.
Edge Computing ist somit ein wesentlicher Aspekt für die Umsetzung von Smart-City-Strategien. Wenn Städte zunehmend vernetzt und digitalisiert werden, ändern sich allerdings auch die generellen Anforderungen an die IT. Sie muss Agilität und Flexibilität, Schnelligkeit oder Skalierbarkeit bieten. Hier kommen Hybrid-Cloud- oder Multi-Cloud-IT-Infrastrukturen ins Spiel, die die Bereitstellung von Anwendungen in kurzen Entwicklungszyklen in einer dynamisch skalierbaren Umgebung ermöglichen. Eine offene Hybrid-Cloud-Plattform unterstützt auch umfassende Edge-Implementierungen. Das heißt, sie kann als gemeinsame horizontale Plattform fungieren, die – vom Core bis zum Edge – eine einheitliche Entwicklungs- und Betriebserfahrung bietet. Zudem ist eine hohe Portabilität von Applikationen gewährleistet. Häufig werden schließlich Fachapplikationen zentral entwickelt, die dann in den verschiedenen Cloud-Umgebungen bis hin zu den Edge-Komponenten ausgerollt werden müssen.
Bei der Entscheidung für eine Hybrid-Cloud-Plattform sollte eine Kommune besonders darauf achten, dass sie eine einheitliche und Cloud-native Anwendungsentwicklung auf einer beliebigen Infrastruktur unterstützt, das heißt, sowohl einen hybriden Multi-Cloud-Mix als auch On-Premises-Implementierungen. Der Vorteil einer Standard-Plattform ist, dass sie zu keinem Vendor-Lock-in in Bezug auf Cloud-Provider führt. Dieser Punkt betrifft gerade die öffentliche Hand, da hier die Economies of Scale oder die Kosteneffizienz wichtige Faktoren bei Investitionsentscheidungen sind. Einen solchen „Standardisierungslayer“ bietet Red Hat mit der Enterprise-Kubernetes-Plattform Red Hat OpenShift. Sie enthält die erforderlichen Funktionalitäten und Services, um eine Container-Management-Plattform für vielfältige, geschäftskritische Anwendungen auf verschiedensten Infrastrukturen zertifiziert zu betreiben. Dazu gehören neben den rudimentären Services der Hyperscaler oder Plattformanbieter unter anderem Aspekte wie das Management einheitlicher Sicherheitsstandards, das übergreifende Monitoring der Komponenten, das Management von Clustern und die Fehlertoleranz der Systeme sowie Service Level Agreements (SLAs).
Prinzipiell hängt die erfolgreiche Einführung von Smart-City-Konzepten in hohem Maße vom IoT und von der strategischen Nutzung von Daten ab. Die Vernetzung und Digitalisierung erfordern dabei den Einsatz einer Vielzahl von Lösungen, Plattformen und Technologien. Dazu gehören Gerätesensoren, IoT-Edge-Gateways, agile Backend-Systeme und vor allem eine offene Hybrid-Cloud-Architektur, die es erlaubt, mit einer Vielzahl von Partnern aus einem zertifizierten Ökosystem zusammenzuarbeiten.
* Jens Kühner ist Senior Sales Manager Telco EMEA bei Red Hat
Das Unternehmen Lexmark kennen die meisten sicher als Hersteller von Druckern und Multifunktionsgeräten. Über die Jahre hat sich im Konzern viel Know-how zur Vernetzung, Wartung und Steuerung von Geräten angesammelt. Was liegt also näher, als eine IoT-Plattform aus dem Know-how zu bauen und diese für Kunden zur Verfügung zu stellen, damit diese eigene Geschäftsmodelle verwirklichen können? Vermutlich einiges, denn wie Phil Carter, der das neue IoT-Programm von den USA heraus verantwortet, war der Weg dahin nicht ganz trivial.
Herr Carter, welches Potenzial steckt für Ihr Haus in der IoT-Plattform und welchen Stellenwert nimmt das Thema im Konzern ein? Die COVID-19-Pandemie hat Unternehmen weltweit vor Herausforderungen gestellt. Vor allem wurde die Notwendigkeit, die digitale Transformation weiter zu beschleunigen, um effizienter zu arbeiten – sei es in Hinblick auf Lieferkette, Logistik, Produktion oder anderswo – noch deutlicher. Wir bei Lexmark nutzen bereits seit vielen Jahren eine IoT-Plattform für unsere Managed Print Services. Die Entwicklungen der vergangenen Monate hat uns darin bestärkt, unsere eigene, lang erprobte IoT-Lösung auf den Markt zu bringen, damit unsere Kunden künftig von denselben Vorteilen profitieren können wie wir selbst. Der Launch unserer Lexmark Optra IoT-Plattform war ein logischer nächster Schritt – eine Erweiterung unseres Portfolios auf eine natürliche Art und Weise. Für uns ist dies ein Meilenstein in unserer 30-jährigen Geschichte, der Lexmark nachhaltig prägen wird. Weltweit suchen Unternehmen gerade nach Möglichkeiten, die Vorteile des IoT zu nutzen, um ihr Geschäft digital zu transformieren. Unsere Plattform ist zwar neu auf dem Markt, aber sie basiert auf unseren langjährigen Erfahrungen in diesem technologischen Feld. Wir nutzen genau diese Lösung für uns und unsere Kunden bereits seit vielen Jahren und erzielen messbare Vorteile. Mit der Plattform können wir unsere Kunden dabei unterstützen, den Wert des IoT für sich zu erschließen, ihre digitale Transformation zu beschleunigen und bessere Geschäftsergebnisse zu erzielen. Durch unser Know-how als Hersteller vernetzter Geräte sowie durch unsere Expertise in den Bereichen Cloud, Konnektivität und Managed Services verstehen wir unser neues IoT-Angebot als Erweiterung unseres Portfolios, Druck und Imaging bilden aber weiterhin unser Kerngeschäft.
Phil Carter: „Viele KMU haben nicht die Ressourcen, eine eigene IoT-Plattform aufzubauen. Denen können wir helfen.“
Wir sind am Beginn des „datengetriebenen Zeitalters“. Was bedeutet das für Sie und die Plattfom? Wie kam es überhaupt zu diesem Angebot? Die Unternehmensberatung McKinsey schätzt, dass 84 Prozent der Unternehmen, die an IoT-Lösungen arbeiten, immer noch im „Pilotmodus“ feststecken. Das macht deutlich, welche große Herausforderung es sein kann, aus den teilweise enormen Datenmengen, die bisher in Silos über Geschäftsanwendungen hinweg existieren, verwertbare Erkenntnisse zu gewinnen. Diese Hürden im Umgang mit großen Datenmengen kennen wir genau wie andere Hersteller vernetzter Produkte aus erster Hand. Wir arbeiten seit vielen Jahren an der Perfektionierung unserer Optra IoT-Plattform, um eine optimale Schnittstelle zwischen zentralen Geschäftssystemen zu schaffen. Das Ergebnis ist ein flexibles, skalierbares Modell, mit dem sich große Datenmengen erfassen und analysieren lassen und das als eigenständige Lösung oder in Kombination mit bestehenden Systemen eingesetzt werden kann. Im Zusammenspiel mit unseren Managed Services hat sich diese Technologie bewährt: Heute können wir z.B. 70 Prozent der Serviceprobleme bereits im Fernzugriff lösen. Durch eine optimierte Auslastung unserer Hardware konnten wir zudem die Rentabilität unserer Druckerumgebungen um 25 Prozent und ihre Effizienz um 30 Prozent steigern. Das sind überzeugende Ergebnisse. Ein weiterer Vorteil: Unsere Lexmark Optra IoT-Plattform ist als bewährte Lösung sofort einsatzbereit. Wir selbst nutzen Sie bereits zur Vernetzung von mehr als einer Million Drucker und Geräte an über 200.000 Standorten auf der ganzen Welt.
An wen wenden Sie sich mit der nun neu aufgebauten Plattform und wie helfen Sie Ihren Kunden bei der Umsetzung eigener IoT-Vorhaben? Unsere Zielkunden sind Hersteller vernetzter Geräte, die ähnlich wie Lexmark aufgestellt sind. Darüber hinaus gibt es noch einige weitere Kriterien hinsichtlich der Größe, des Jahresumsatzes und der Art der Konnektivität der Geräte. Mit der Plattform lässt sich mit jeder Art von IoT-Gerät vergleichbare Ergebnisse erzielen wie die, die wir mit unseren IoT-Druckern erreicht haben: Kosteneinsparungen, Effizienz und eine höhere Kundenzufriedenheit. Die Optra IoT-Plattform versetzt Unternehmen in die Lage, neue Wege zur Optimierung ihres Geschäfts zu entdecken. Die Vorteile unserer vollständigen und intuitiven Lösung liegen auf der Hand: Die Plattform setzt führende Technologien ein, mit der Hersteller Daten aus vernetzten Geräten, die bisher nicht genutzt werden konnten, mit Daten aus ihren zentralen Geschäftssystemen vernetzen und so operationalisieren können. Eine Suite an Möglichkeiten, von Algorithmen über Modelle für maschinelles Lernen und künstliche Intelligenz bis hin zu Reporting-Dashboards und Geschäftsprozessvorlagen ermöglichen neue Erkenntnisse und Effizienzsteigerungen. Sie beschleunigen auch die Implementierung, um schnell geschäftlichen Nutzen zu realisieren. Zusätzlich unterstützt ein Experten-Team unsere Kunden, damit diese den vollen Mehrwert ihrer Investition ausschöpfen und maximal von der IoT-Technologie profitieren können.
Wie können vor allem kleinere Unternehmen davon profitieren? Das Internet der Dinge ist tatsächlich ein kostspieliges Unterfangen und als solches – offen gesagt – für die meisten kleineren Unternehmen branchenübergreifend vermutlich einfach unerschwinglich. Viele KMU können es sich kosten- und ressourcentechnisch nicht leisten, über Jahre hinweg eine komplette IoT-Lösung aufzubauen. Die Optra-Plattform ermöglicht allerdings auch kleinen Unternehmen den Weg ins IoT und sorgt damit gewissermaßen für eine Chancengleichheit. Wir bieten KMU die für ihren IoT-Erfolg notwendigen technischen Schulungen und Beratungen an. Unsere Kunden profitieren von einer echten All-in-One-Lösung, für die wir unser umfassendes Know-how mit wettbewerbsfähigen Preise und maßgeschneiderte Optionen kombiniert haben.
Welche Unterstützung für die Konzepte des IoT und des IIoT erwarten Sie von einer neuen Bundesregierung? Die künftige Bundesregierung hat sich die digitale Transformation als einen Kernbereich auf die Fahnen geschrieben. Deshalb sind wir zuversichtlich, dass der Themenkomplex in den kommenden Jahren einen deutlichen Schub erfahren wird. Wir hoffen und bauen auf ein Klima, das Innovationen fördert – insbesondere in Bezug auf neue Technologien wie IoT, KI oder Cloud. Auch sind wir dahingehend positiv gestimmt, dass die künftige Regierung Unternehmen unterstützt wird, die in diese Technologien investieren. Letzteres dürfte sich wiederum positiv auf die Digitalisierungsinitiativen der KMU auswirken. Das Timing der Einführung unserer Optra-Lösung in den deutschen Markt, einen unserer Schlüsselmärkte, könnte also im Grunde nicht besser sein.
Wie wir Pflanzen anpassen können, um unseren Planeten zu retten
Von James Wong, Ethnobotaniker und Moderator der BBC-Serie Follow the Food.
Während der Dreharbeiten zu den beiden jüngsten Sondersendungen von Follow the Food habe ich mehrere Bauernhöfe auf der ganzen Welt besucht, die, zumindest oberflächlich betrachtet, wie jeder andere Bauernhof auf diesem Planeten aussehen. Aber bei genauer Betrachtung entdeckte ich einige bemerkenswerte Dinge.
Die Landwirte und Wissenschaftler, mit denen ich gesprochen habe, versuchen, ein sehr wichtiges Problem zu lösen: Wie kann die Landwirtschaft ihre Auswirkungen auf die Umwelt verringern und vielleicht sogar eines Tages dazu beitragen, den Klimawandel aufzuhalten?
Die Abholzung von Regenwäldern und das Abgraben von Torfmooren zur Schaffung von neuem Ackerland ist zwar eine wichtige Ursache für den Klimawandel und muss gestoppt werden, aber die Innovation bei den Nutzpflanzen kann dazu beitragen, einen Teil dieses Problems zu mildern.
Wie alle Pflanzen entziehen auch Nutzpflanzen der Atmosphäre während des Prozesses der Photosynthese Kohlendioxid (CO2), das sie nutzen, um aus Sonnenlicht Energie zu gewinnen. Ein Teil dieses Kohlenstoffs wird im Boden gebunden, wo er verbleibt, wenn er nicht angetastet wird. Pflanzen sind Teil eines Systems, das einst im Gleichgewicht war und in dem Kohlenstoff in natürlichen Reservoirs im Boden, im Meer, in der Atmosphäre und in Lebewesen ein- und ausging. Könnten die Landwirte also das Gleichgewicht wiederherstellen, indem sie die riesigen Anbauflächen, die für unsere Ernährung benötigt werden, als Kohlenstoffsenken nutzen, die den Kohlenstoff im Boden auffangen und speichern?
Ich habe Paul Hawken, den Autor von Project Drawdown, der die 100 wichtigsten Lösungen zur Umkehrung der globalen Erwärmung modelliert hat, gefragt, warum wir den Kohlenstoffkreislauf neu überdenken müssen. Er sagt, es sei ein Missverständnis, Kohlenstoff als Verschmutzung zu betrachten – vielmehr sei er Teil eines Kreislaufs, der aus dem Gleichgewicht geraten ist.
Der auf der Erde gespeicherte Kohlenstoff überwiegt bei weitem den Kohlenstoff in unserer Atmosphäre. Es gibt mehr als drei Billionen Tonnen Kohlenstoff in Ackerland, Grasland, Wäldern, Mangroven und Feuchtgebieten – das ist viermal so viel Kohlenstoff wie in der Atmosphäre, sagte mir Hawken und fügte hinzu, dass, wenn es uns gelänge, den auf der Erde gespeicherten Kohlenstoff um neun Prozent zu erhöhen, allein auf dem Land, wir den gesamten Kohlenstoff, den die Menschen seit 1800 ausgestoßen haben, gebunden hätten. Hawken spricht einen interessanten Punkt an: Begriffe wie “Kohlenstoffausgleich“ und „Netto-Null“ werden häufig verwendet, aber um die Auswirkungen des Klimawandels umzukehren, müssen wir darüber hinausgehen und mehr Kohlenstoff speichern, als wir in die Atmosphäre emittieren.
Pflanzen zu manipulieren, um die Photosynthese effizienter zu gestalten, kann ein Weg zu mehr CO2-Speicherung sein.
Und dabei ist der in marinen und aquatischen Systemen gespeicherte Kohlenstoff noch gar nicht berücksichtigt. Bei einem Besuch in Portugal sah ich einen anderen Innovator, der Seetangwälder anpflanzt, um Kohlenstoff zu speichern und vielleicht eines Tages als Nahrungsquelle zu dienen. Kelp, die größte Seetangart, ist eine Art photosynthetisierende Alge und keine Pflanze.
Durch Aufschneiden von Teilen ihrer Blätter können Kelpsporen geerntet, getrocknet, gekühlt und auf Kies gesprüht werden, der dann ins Meer geworfen wird. Diese mit Kelpsporen bedeckten Steine bilden dann einen Unterwasserwald, der nur wenige Monate braucht, um zu wachsen, und der schnell dazu beiträgt, Kohlenstoff auf dem Meeresboden zu binden.
Kelp ist außerdem eine bedrohte Art, so dass diese Arbeit auch zum Schutz der biologischen Vielfalt beiträgt. Kelpwälder sehen vielleicht etwas anders aus als herkömmliche Farmen, aber Seetang ist eine natürliche Quelle für die wichtigen Omega-3-Fettsäuren EPA und DHA, die sonst nur in Tieren vorkommen. Kelp könnte eines Tages eine sehr wichtige Quelle für eine klimaschonende Ernährung sein.
Ich hatte auch das Privileg, Forscher des Ripe-Projekts der Universität von Illinois zu besuchen, die mit der Art und Weise experimentieren, wie Pflanzen wachsen. Die Photosynthese ist ein Prozess, der sich über Millionen von Jahren entwickelt hat. Es ist daher seltsam, dass wir diesen Prozess verbessern könnten, aber genau das versuchen Lisa Ainsworth, die stellvertretende Leiterin von Ripe, und ihre Kollegen.
James Wong ist Moderator der Serie Follow the Food
Das Team verändert die Genetik der Pflanzen, um mehr als eine Schwachstelle in der Photosynthese zu beheben – von der Steigerung der Effizienz der Pflanzen über die Verlängerung der Reaktionszeit beim Übergang von Schatten zu Sonne bis hin zur Veränderung der Blattdichte.
In einem Pflanzenfeld zum Beispiel betreiben nur die obersten Blätter die Photosynthese mit maximaler Effizienz. Die tiefer gelegenen Blätter sind blockiert und liegen im Schatten der höher gelegenen Blätter, so dass sie weniger Sonnenlicht erhalten und weniger Photosynthese betreiben können. Die untersten Blätter könnten sogar zu den Kohlenstoffemissionen beitragen (wie Tiere atmen auch Pflanzen, indem sie über ihre Blätter Sauerstoff einatmen und Kohlendioxid ausatmen).
Indem man die obersten Blätter weniger dicht macht, dringt mehr Licht nach unten, was bedeutet, dass eine größere Oberfläche effizient Photosynthese betreibt – das ist jedenfalls die Idee. Die Fortschritte, die das Team macht, sind noch nicht abgeschlossen.
Aber es ist eine spannende Zeit, in der wir versuchen, den Kohlenstoffkreislauf in Ordnung zu bringen. Es gibt Möglichkeiten für Landwirte, die Menge an Kohlenstoff, die im Boden gespeichert ist, zu erhöhen, indem sie sich genau ansehen, was wir anbauen und wie wir es anbauen.
In letzter Zeit wird der Begriff Kohlenstoffausgleich häufig verwendet, aber ich weiß aus Gesprächen mit Experten, dass er missbraucht werden kann. Das Ziel sollte darin bestehen, so viel Kohlenstoff wie möglich im Boden zu belassen, anstatt dafür zu bezahlen, dass die Verschmutzung weitergeht wie bisher, und Pflanzen sind der Schlüssel zum Erfolg.
Follow the Food ist eine Multimediaserie von BBC Future und BBC World News, die untersucht, wie die Landwirtschaft auf die tiefgreifenden Herausforderungen des Klimawandels, der Umweltzerstörung und des raschen Bevölkerungswachstums reagiert, denen sich unsere globalen Lebensmittelversorgungsketten gegenübersehen. Follow the Food spürt Landwirten, Erzeugern und Forschern auf sechs Kontinenten nach, wie sie Antworten auf diese Probleme finden – sowohl mit Hightech als auch mit Lowtech, lokal und global.
Die ganze Serie Follow the Food können Sie hier ansehen https://www.bbc.com/followthefood/ und folgen Sie @BBCFuture auf Facebook und Twitter, um das Neueste über die Serie zu erfahren.
Beitragsveröffentlichung mit freundlicher Genehmigung der BBC
https://trendreport.de/wp-content/uploads/2021/11/19.jpg8811564Bernhard Haselbauerhttps://trendreport.de/wp-content/uploads/2019/04/trendreport_de_logo-1.pngBernhard Haselbauer2021-11-17 11:34:292021-11-17 11:34:30Follow the Food: Die Kohlenstoff-Herausforderung
Daniela Jochim und Emily Sullivan erläutern, wie Marken ihre Werte auch im Zusammenhang mit Online-Werbung schützen können
Brand Safety ist das Thema, welches Marketingabteilungen seit Ewigkeiten beschäftigt. Marken sind Vermögenswerte und müssen als solche – genau wie Bar- und Anlagevermögen – vor betrügerischen Handlungen geschützt werden. Dass uns das Internet in diesem Bereich eine schier unendliche Anzahl an Türen geöffnet hat, erscheint in diesem Zusammenhang eher Fluch als Segen. Oft wird die (scheinbare) Anonymität des Internets genutzt, um sich mit unlauteren Mitteln Wettbewerbsvorteile zu verschaffen und Wettbewerbern zu schaden.
Es ist daher unverzichtbar, sich gegen betrügerische Methoden des Werbebetrugs („Ad-Fraud“) zu wappnen, damit die eigenen Marken nicht an Marketingkraft verlieren.
I. Beliebte Formen des Werbebetrugs
Viele Unternehmen werben inzwischen überwiegend (oder sogar ausschließlich) online. Eine vielverwendete Form der Onlinewerbung ist die Pay-per-click-Werbung. Webseitenbetreiber (wie u. a. Google) bieten bestimmte Bereiche auf ihrer Homepage für Werbung an. Werbende können sich virtuelle Anzeigenplätze im Werbebereich der Webseite kaufen. Pro Klick auf die Anzeige wird dann eine Gebühr für den Seitenbetreiber fällig. Wer bereit ist, einen höheren Preis für jeden Klick zu zahlen, erscheint dafür an einer prominenteren Stelle im Anzeigenbereich. Zur Kostenkontrolle können Grenzwerte festgelegt werden, wie Budgets für bestimmte Zeitabschnitte oder Schlüsselwörter.
Diese Form der Online-Werbung birgt jedoch erhebliches Betrugspotential.
Um Werbetreibende zu schädigen oder um sich selbst einen Vorteil zu verschaffen, klicken Schädiger mehrmals – oft mehrere hunderte Male – auf Werbeanzeigen. Dieser Klick-Betrug geschieht entweder manuell oder mithilfe eines sogenannten Bots. So entstehen hohe Werbekosten, ohne dass die Werbung jemals einen potenziellen Kunden erreicht. Obwohl die Schaltung der Werbung für den Werbetreibenden so völlig sinnlos wird, fließen die vereinbarten Klick-Kosten dennoch an den Webseitenbetreiber. Je nach Einstellung kann dies dazu führen, dass das von vornherein festgesetzte Werbebudget vollständig aufgebraucht und die Werbung dann insgesamt abgeschaltet wird.
Doch damit nicht genug. Neben dem Klick-Betrug existieren noch diverse andere Formen des Werbebetrugs, beispielsweise der Anzeigenbetrug. Bei dieser Form des Betruges veröffentlicht der Schädiger eine Internetseite, in der Regel gespickt mit Keywords, welche von dem Algorithmus der Suchmaschinen als gut bewertet werden. Aufgrund der guten Bewertung des Algorithmus erscheint diese Seite dann sehr weit oben in den Suchergebnissen. Bietet der Betreiber dieser Webseite nun seinerseits einen Werbeplatz auf dieser Seite an, kann er hierfür auch entsprechendes Geld verlangen. Echte Besucher wird diese Lockvogelseite aber nie haben, sodass die Werbung nie wirklich „an den Mann kommt“.
Eine andere gängige Methode des Werbebetrugs ist das Domain Spoofing. Hier trifft der Schädiger Maßnahmen, wodurch es so aussieht, als ob er ein renommierter Webseitenbetreiber wäre. So gelingt es, höhere Provisionen zu vereinbaren, ohne dass die Anzeige den gewollten Kundenkreis tatsächlich erreicht.
Letztlich sind auch diverse Methoden zum Fälschen des Zählsystems der Klicks – wie Ad Stacking oder Pixel Stuffing – sehr beliebt. Schädiger erstellen wie beim Anzeigenbetrug Webseiten und verkaufen hierauf Werbeflächen. Für jeden Klick wird dann abgerechnet. Viele verschiedene Werbeanzeigen diverser Werbender werden jedoch übereinandergestapelt bzw. die Werbung wird nur mit einer Größe von 1×1 Pixel geschaltet. So wird für jeden Nutzer, der die Seite aufruft oder auf die Anzeige klickt, abgerechnet, unabhängig davon, ob er die Werbung tatsächlich wahrnehmen konnte oder nicht.
II. Rechtliche Beurteilung von Werbebetrug
Ob die oben erläuterten Verhaltensweisen im Einzelfall ein rechtlich relevantes Verhalten darstellen, muss je nach Konstellation geprüft werden. Denn obwohl dieses Verhalten umgangssprachlich als „Betrug“ betitelt wird, liegt aus juristischer Sicht nicht zwingend ein Betrug vor. Strafrechtlich relevante Tatbestände, die hier in Frage kommen, sind insbesondere der Betrug (§ 263 StGB) und der Computerbetrug (§ 263a StGB). Aus strafrechtlicher Sicht liegt ein Betrug vor, wenn jemand in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen durch Vorspiegelung falscher Tatsachen schädigt.
Für Klick-Betrug wurde der Betrugstatbestand in einem Gerichtsverfahren bereits bejaht. In der Regel wird der Werbende für jeden, von „echten“ Nutzern durchgeführten Klick zu einer Vermögensverfügung verpflichtet. Indem der Schädiger vortäuscht, ein „echter“ Nutzer zu sein, täuscht er den Werbenden und verleitet ihn damit zu einer Vermögensverfügung. Dies stellt Betrug (oder, je nach Konstellation, Computerbetrug) im Sinne des Strafrechts dar, der mit Geldstrafe oder sogar Freiheitsstrafe bis zu 5 Jahren geahndet werden kann (vgl. LG Frankfurt (Oder), Urteil vom 10.01.2005, Az. 12 O 294/04).
Werbebetrug in seinen verschiedenen Formen stellt darüber hinaus auch ein wettbewerbswidriges Verhalten dar. Indem systematisch die Werbeanzeigen von Mitbewerbern geklickt werden, liegt eine gezielte Schädigung und Behinderung des Mitbewerbers vor (§§ 3, 4 Nr. 4 UWG). Dieses Verhalten ist rechtswidrig und führt sowohl zu Unterlassungs- als auch zu Schadensersatzansprüchen des geschädigten Werbetreibenden (vgl. Beschluss des LG Hamburg vom 09.11.2009, 312 O 971/09).
Selbst wenn man im einen oder anderen Fall aus rein rechtlicher Betrachtung zu dem Ergebnis kommt, dass z.B. ein strafrechtlicher Tatbestand erfüllt ist, heißt dies noch lange nicht, dass der Täter auch zur Verantwortung gezogen werden kann. Obwohl den Geschädigten des Werbebetrugs oft hohe Schäden entstehen, heißt hier „Recht haben“ noch lange nicht „Recht bekommen“. In der Regel wird es nicht gelingen, den Urheber der Klicks ausfindig zu machen. Kann man den Schädiger z.B. mittels IP-Adresse tatsächlich einmal aufspüren, so sitzt er meist nicht in Deutschland, so dass sich eine gerichtliche Durchsetzung wirtschaftlich kaum lohnt.
III. Online-Werbung proaktiv gegen Betrug schützen
Da sich eine Rechtsverfolgung oft schwierig gestaltet, ist es umso wichtiger, vorbeugende Maßnahmen zu treffen, um seine Online-Werbung gegen betrügerisches Verhalten abzusichern.
Beispielsweise kann dies durch spezielle Software erfolgen. Software gegen Klickbetrug erkennt von einer bestimmten IP-Adresse stammende wiederholte Klicks auf eine Werbeanzeige und sperrt diese. Die Software verhindert damit weitestgehend automatisch eine auffällige Überzahl an Klicks. Bestimmte Skripts wie ads.txt können zudem andere Betrugsvarianten wie Domain Spoofing erschweren und verhindern, dass Käufer über die Domain getäuscht werden, auf der sie sich befinden.
Auch durch geschickte Vertragsgestaltung mit Anbietern von Onlinewerbung können die Risiken von Werbebetrug verringert werden. Beispielsweise kann mit dem Werbeprovider eine Vereinbarung über die für die Vergütung anzuwendende Metrik getroffen werden. Statt sich auf Klicks auf eine Werbeanzeige zu beziehen, können als Metrik auch sog. „Conversions“ – also Käufe oder längere Webseitenaufenthalte – gewählt werden, sodass ein einfaches Klicken auf die Anzeige nicht mehr ausreicht.
IV. Ausblick und Fazit
Die Bedeutung des Themas Werbebetrug wächst weiter, genauso wie der Werbemarkt im Internet. Manche Länder, wie Indien oder die USA haben bereits speziell gemünzte Gesetze gegen die verschiedenen Facetten des Werbebetrugs erlassen. In Deutschland sind solche Gesetzesvorhaben hingegen bislang nicht in Sicht.
Unabhängig von der jeweiligen Rechtsgrundlage bleibt das eigentliche Problem einer Verfolgung der Verstöße die effektive Rechtsdurchsetzung. Diese bleibt aufgrund der Anonymität des Internets schwierig. In der Praxis sollte daher präventiv gehandelt und auf eine vorausschauende Vertragsgestaltung sowie technische Lösungen gesetzt werden, um keinen Raum für derartige Schikanen zuzulassen. Diese Möglichkeiten können – mit taktischem Geschick – oft gute Ergebnisse erzielen.
Autorinnen
Daniela Jochim, LL.M.,Rechtsanwältin und Partnerin bei Rödl & Partner ist im Geschäftsbereich Geistiges Eigentum / Informationstechnologie tätig. Sie berät vorwiegend nationale und internationale Unternehmen und unterstützt diese bei der Registrierung und Verteidigung von Schutzrechten auf nationaler und internationaler Ebene. Zudem erstreckt sich ihre Beratungstätigkeit auf vertrags- und haftungsrechtliche Fragestellungen im Vertrieb sowie auf IP-Due Diligence-Prüfungen bei Unternehmenstransaktionen.
Emily Sullivan ist Rechtsanwältin bei Rödl & Partner und im Geschäftsbereich Geistiges Eigentum tätig. Sie berät nationale und internationale Unternehmen und unterstützt diese bei der Registrierung und Verteidigung von Schutzrechten. Ferner unterstützt sie Mandanten bei der Durchsetzung von wettbewerbsrechtlichen Ansprüchen im In- und Ausland.
Henri Schmidt, Senior Director Implementation & Business Development Germany & Poland bei ADP, kommentiert den Zusammenhang von Hybrid Work und Diversity Management
Vielfalt am Arbeitsplatz war schon immer ein wichtiges Thema. In den letzten Jahren wurde jedoch verstärkt auf Diversität, Gleichberechtigung und Inklusion geachtet und darüber diskutiert, wie Arbeitgeber den gleichberechtigten Zugang und die Chancengleichheit für Menschen mit unterschiedlichem Hintergrund fördern können. Die Umsetzung von Diversity-Programmen kann kompliziert sein und wurde durch die Pandemie und das Aufkommen des hybriden Arbeitsplatzes nur noch schwieriger. Ob die neue Arbeitsplatzdynamik für Initiativen zur Förderung der Vielfalt nutzbringend oder hinderlich ist, hängt jedoch von mehreren Faktoren ab, u.a. von der Organisationskultur des Unternehmens, dem Engagement der Führungskräfte und ihrer Bereitschaft, die Fortschritte zu überwachen, sowie ihrer Fähigkeit, gegebenenfalls schnell Maßnahmen zu ergreifen.
Mögliche Folgen
Arbeitgeber müssen die positiven und negativen Auswirkungen berücksichtigen, die ein hybrides Arbeitsumfeld auf ihre Belegschaft und den Fortschritt in Sachen Vielfalt haben könnte. Es kann dazu beitragen, eine vielfältige Belegschaft anzuziehen, die Vereinbarkeit von Beruf und Privatleben zu verbessern sowie Vertrauen und Produktivität zu steigern. Wenn die Arbeitskräfte von zu Hause aus arbeiten, können sie ihren Tag so strukturieren, dass sie in den Pausen wichtige persönliche Aufgaben erledigen können, z. B. die Kinder zur Schule bringen oder einen Arzttermin wahrnehmen. Dies erleichtert es Menschen, vor allem Eltern und anderen Betreuungspersonen, ihre beruflichen und privaten Verpflichtungen miteinander zu vereinbaren, was den Zugang zu Beschäftigungsmöglichkeiten und den beruflichen Aufstieg verbessern könnte. Außerdem können sie so ihren Alltag besser bewältigen, was zu einer besseren Konzentration und Aufmerksamkeit während der Arbeit führen kann. Das heißt, dass Unternehmen mit diesem Modell den Mitarbeiter*innen dabei helfen können, eine bessere Work-Life-Balance zu erreichen, was dazu führen könnte, dass sie eine gesündere und produktivere Belegschaft haben.
Ein hybrides Modell kann auch das Vertrauen zwischen Arbeitgeber und Arbeitnehmer*innen erhöhen und den Mitarbeiter*innen die Möglichkeit geben, ihren Stärken entsprechend zu arbeiten, was wiederum die Produktivität steigert. Durch die Förderung einer Kultur, in der die Arbeit aus der Ferne als positive Alternative angesehen wird, können Teams eine gute Balance zwischen Kreativität und Zusammenarbeit finden. Arbeitskräfte, die Ruhe brauchen, um sich zu konzentrieren, oder die sich in einer Büroumgebung wohl fühlen, können wählen, wo und wann sie am produktivsten sind. Diese Art von Modell hilft auch der Belegschaft, das Vertrauen ihrer Vorgesetzten zu gewinnen, indem sie zeigen können, dass sie beim Homeoffice genauso produktiv sind wie im Büro, wenn nicht sogar produktiver. Diese Flexibilität kann auch die Loyalität des Personals verbessern, da sie das Gefühl haben, von der Unternehmensleitung ermächtigt zu werden, ihre Arbeit zu ihren eigenen Bedingungen zu erledigen. Autonomie ist wichtig zur Mitarbeiterzufriedenheit, denn wenn sie ihre Arbeit und ihr Leben so vereinbaren können, wie es ihnen am besten passt, wird Stress reduziert und Burnout verhindert.
Außerdem kann die Kombination von Remote- und Büroarbeit ein entscheidender Faktor sein, um eine größere Bandbreite und Tiefe an Talenten zu erschließen, und so können Unternehmen, die hybride Arbeitsmodelle einsetzen, qualifizierteres und vielfältigeres Personal über mehrere Regionen hinweg anziehen als Firmen ohne ein solches Modell.
Die Kombination von Remote- und Büroarbeit ein entscheidender Faktor sein, um eine größere Bandbreite und Tiefe an Talenten zu erschließen.
Henri Schmidt
Trotz der zahllosen Vorteile kann ein hybrider Arbeitsplatz die Möglichkeiten für informelle Schulungen (z.B. Hospitieren) einschränken und sowohl die Integration der Mitarbeiter*innen in die Unternehmenskultur als auch die Leistungsbeurteilung erschweren. Fernarbeitstools ermöglichen es ihnen zwar, mit ihren Kollegen zu kommunizieren, aber die Interaktion ist nicht dieselbe wie in einem Büro. Es gibt auch das Problem der „Zoom-Müdigkeit“ oder des Burnouts durch virtuelle Meetings, das zu einer schlechteren Kommunikation und weniger Zusammenarbeit bei der Fernarbeit führen kann, weshalb es wichtig ist, Möglichkeiten zu schaffen, die die Kommunikation optimieren und das geistige Wohlbefinden fördern. Dadurch werden auch die Verbindungen gestärkt, die Teams zum Erfolg verhelfen.
Fortschritte überwachen, um Probleme abzumildern
Vielfalt am Arbeitsplatz ist ein laufender Prozess. Damit Initiativen zur Förderung der Vielfalt erfolgreich sein können, müssen Arbeitgeber verstehen, wo sich ihre Firma auf dem Weg zu einer vielfältigeren Belegschaft befindet, und die Ergebnisse kontinuierlich auswerten, um Fortschritte zu messen und neue Verbesserungsmöglichkeiten zu ermitteln. Das bedeutet, über die Zahlen hinauszuschauen und sich mit den tatsächlichen Erfahrungen der Mitarbeiter*innen vertraut zu machen. Eine zentrale Rolle spielt hier die Personalabteilung.
Das HR-Team kann zwar Umfragen zu den Erfahrungen ihrer Arbeitskräfte durchführen, doch ist es oft effektiver, die tatsächliche Situation durch regelmäßige persönliche Gespräche zu erfahren. Die ADP-Studie THE HRXPS ergab, dass der persönliche Kontakt mit der Personalabteilung sich auf das Zugehörigkeitsgefühl auswirkt. Arbeitskräfte, die nur eine einzige Kontaktstelle mit der Personalabteilung haben, sagen mit doppelt so hoher Wahrscheinlichkeit, dass die Personalabteilung wertschöpfend ist als Mitarbeitende mit mehreren HR-Kontakten, und mit fünfmal höherer Wahrscheinlichkeit als Arbeitskräfte, die überhaupt keine Personalabteilung haben.
Trotz aller Herausforderungen, die mit der neuen Normalität der hybriden Arbeitsumgebung einhergehen, gibt es für Personalabteilungen und Führungskräfte viele Möglichkeiten, potenzielle Probleme zu entschärfen. Im Wesentlichen beginnen die Lösungen mit der Früherkennung. Eine genaue Beobachtung der Fortschritte bei den Bemühungen um Vielfalt kann helfen, Veränderungen innerhalb des Unternehmens zu erkennen. Es ist besonders wichtig, die Beziehung zwischen dem hybriden Arbeitsumfeld und der Weiterentwicklung von Initiativen zur personellen Vielfalt zu beobachten, da neue Vorschriften die Dynamik am Arbeitsplatz schnell verändern und sich auf die Organisationskultur und die Erfahrungen des Einzelnen in einer Weise auswirken, die noch nicht vollständig verstanden wird. Die Untersuchung dieser Trends kann Personalverantwortlichen die Möglichkeit bieten, Praktiken mit positiven Ergebnissen zu verdoppeln und kleine Probleme zu beheben, bevor sie größer werden.
Neben der Überwachung des Fortschritts ist auch das Sammeln und Analysieren von Daten notwendig, um diese Initiativen erfolgreich zu machen. Der beste Ausgangspunkt für alle Initiativen in den Bereichen Vielfalt, Gleichberechtigung und Inklusion ist das Verständnis der demografischen Zusammensetzung der Belegschaft. So können die HR-Teams beurteilen und Prioritäten setzen, was zu tun ist und worauf sie sich konzentrieren müssen. Allgemeine Unternehmensdaten sind wichtig, aber ein Dashboard kann helfen, tief in die Daten zur Diversität einzutauchen, aufgeschlüsselt nach Firmen, Abteilung und Stellenebene. Dies hilft Unternehmen auch dabei, die Kennzahlen mit denen anderer Organisationen zu vergleichen und Erkenntnisse darüber zu gewinnen, wo sie investieren sollten, um wettbewerbsfähig zu bleiben.
Maßnahmen schnell ergreifen
Das Beste, was Arbeitgeber tun können, um Fortschritte bei der personellen Vielfalt vor den Herausforderungen hybrider Arbeit zu schützen, ist schnell und sinnvoll zu handeln, wenn Probleme festgestellt werden. Dazu sollte gehören, dass diejenigen, die gegen Verhaltensregeln verstoßen, gemaßregelt werden, und dass Ressourcengruppen für Mitarbeiter*innen eingerichtet werden, die sich mit Fragen der Vielfalt befassen. Eine integrative Arbeitsstelle ist per Definition ein Arbeitsplatz, an dem alle das Gefühl haben, dazuzugehören und für das, was sie sind und in die Firma einbringen, geschätzt zu werden. Die Belegschaft muss sehen und hören, dass sich die Führungskräfte auf allen Ebenen des Unternehmens dafür einsetzen, das Beste für sie zu tun.
Die Dynamik am Arbeitsplatz verändert sich schnell dank der Zunahme der hybriden Arbeitsumgebung, des technologischen Fortschritts und der kulturellen Entwicklungen, die sich in den Prioritäten der Mitarbeiter*innen widerspiegeln. Es ist die Aufgabe der Führungskräfte, mit diesen Veränderungen Schritt zu halten und ihre Auswirkungen auf die Unternehmenskultur, die Fortschritte bei der Vielfalt und die Erfahrungen der Arbeitskräfte im Auge zu behalten.
Es ist eine schwierige Aufgabe, aber Arbeitgeber, die sich jetzt darum bemühen, den Stand der Dinge in ihrem Unternehmen zu ermitteln, haben bessere Chancen, die Fortschritte wirksam zu überwachen, Probleme frühzeitig anzugehen und ihre Weiterentwicklung auf dem Weg zu einem vielfältigeren und integrativeren Arbeitsplatz zu schützen.
https://trendreport.de/wp-content/uploads/2021/09/ADP_HenriSchmidt-scaled.jpg17032560Bernhard Haselbauerhttps://trendreport.de/wp-content/uploads/2019/04/trendreport_de_logo-1.pngBernhard Haselbauer2021-11-15 10:23:142021-11-15 10:23:15Die Auswirkungen des hybriden Arbeitsplatzes auf die Diversität
Wo Kommunikationstechnologien und Internet zum Einsatz kommen, da sind vorhandene IT-Infrastrukturen angreifbar. Dieses Wissen ist vor allem für Unternehmen wichtig, die besonderen Wert darauf legen müssen, ihre sensiblen Daten vor unberechtigten Zugriffen zu schützen.
Jede Technik bietet Schwachstellen
Es ist sicher nicht unberechtigt zu behaupten, dass jede Technik, sei sie auch noch so ausgereift, immer auch Schwachstellen hat, die es nach und nach durch Weiterentwicklung, Updates oder ähnliche Maßnahmen zu beseitigen gilt.
Hackern gelingt es leider immer wieder, von außen oder sogar von innen in die IT-Infrastrukturen einzudringen und die unternehmenseigenen IT-Systeme zu kompromittieren. Es werden Daten gestohlen oder Schadsoftware (z. B. Exploits) installiert, die dann Teile der IT oder gar das gesamte System lahmlegen. Immer öfter werden auf diese Weise Versuche gestartet, Unternehmen zu erpressen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt zwar regelmäßig Hinweise zur Verbesserung des IT-Schutzes, aber die Methoden im Bereich der Cyber-Kriminalität werden immer ausgefeilter, die eingesetzten Technologien sind immer komplexer und die Risikobereitschaft der zahlreicher werdenden Hacker nimmt ebenfalls deutlich zu.
Aus diesen Gründen nimmt das Bedrohungspotenzial stetig zu und zu den immer ausgefeilteren Methoden der Hacker kommt die verstärkte Nutzung von Kommunikations- und Speichertechnologien hinzu. So hat eine von IDG beauftragte Studie namens Cloud Security aus dem Jahr 2019 gezeigt, das 37 Prozent aller deutschen Unternehmen hinsichtlich der Cloud-Sicherheit auf klassische Sicherheitsmaßnahmen wie Datenverschlüsselung und VPN vertrauen.
Genau hier können Unternehmen für IT-Sicherheitsbewertungen ihre Expertise zur Verfügung stellen. Das ist sinnvoll, weil viele Unternehmen über das eigentlich notwendige Know-how nicht verfügen. Sogenannte Penetrationstests können etwa Cyber-Gefahren in den Bereichen Phishing und Distributed Denial of Service (DDoS) identifizieren und so die Grundlage zur Beseitigung entdeckter Schwachstellen sein.
Solche Pentests sind in begrenztem Umfang für einzelne Unternehmensbereiche wie die Cloud, die unternehmenseigene Web Application oder die Bereiche WLAN oder Mobile & API möglich. Es besteht aber auch die Möglichkeit, einen umfassenden externen und internen Penetrationstest bzw. einen Szenario-basierten Pentest (ATT & CK) durchzuführen. Diese Tests führt man aus der Perspektive der Hacker durch, das bedeutet, sie greifen auf Hackerwissen zurück und schlagen sie so mit ihren eigenen Waffen.
Seit dem Beginn der Corona-Pandemie hat sich die Zahl der Hacker-Angriffe noch einmal deutlich erhöht. Bevorzugte Ziele sind hier ohnehin häufig angegriffene Branchen, etwa Gaming-Unternehmen, Internet- und Telekommunikationskonzerne sowie Finanzdienstleister. Aber auch Energie- und Pharmakonzerne sowie staatliche Institutionen werden immer öfter Opfer von Cyber-Attacken. Bei ihnen besteht ein besonders hohes Bedrohungspotenzial, weil sie wichtige Produkte (Impfstoffe, Medikamente) herstellen, viele Nutzer haben (Gaming und Internet- bzw. Kommunikation) oder die Versorgung der Bevölkerung bzw. die öffentliche Ordnung gewährleisten und dadurch erpressbar sind (Energieunternehmen, staatliche Institutionen).
Durch Weiterentwicklung der Cybersecurity können Schwachstellen der IT-Infrastrukturen beseitigt werden.
Wie Penetrationstests die Angreifbarkeit von IT-Infrastrukturen verringern
Im Grunde ist ein Pentest der Versuch eines IT-Sicherheitsexperten, mit den Mitteln von Hackern, von außen oder von innen in die IT-Infrastrukturen eines Unternehmens eindringen. Dazu sammelt er zunächst alle verfügbaren Daten über vorhandene interne IT-Systeme sowie interne und externe Dienste, die vom Unternehmen genutzt werden. Diese durchforstet er auf der Suche nach Fehlkonfigurationen oder falschen Programmierungen. Zudem versucht er, Schadprogramme bzw. Befehlsfolgen ausfindig zu machen. Diese nutzen Hacker aus, um in ein System einzudringen.
Pentest-Experten nutzen das Wissen eines Hackers. Bild: Pixabay, B_A
Ein weiterer Schritt beim Penetrationstest besteht darin, zu ermitteln, ob und inwieweit sich gefundene Fehlkonfigurationen, Exploits oder Befehlsfolgen ausnutzen lassen, um ins System zu gelangen. Im Rahmen eines mit dem beauftragenden Unternehmen exakt abgestimmten Tests versucht der IT-Experte schließlich, die gefundene Schwachstelle auf sichere Art auszunutzen, tiefer ins System einzudringen und von dort aus auch weitere IT-Systeme zu infiltrieren.
Ein solcher Pentest kann als externer Test durchgeführt werden oder intern vonstatten gehen. Der interne Penetrationstest ist deshalb ratsam, weil Hacker nicht davor zurückschrecken, IT-Infrastrukturen innerhalb des Unternehmens anzugreifen, etwa mittels Host- oder Server-Infiltration. Aber auch durch Einschleusen bzw. Bestechen eines Mitarbeiters kann versucht werden, die IT-Infrastruktur von innen heraus zu infiltrieren und für die eigenen, meist kriminellen Zwecke zu nutzen. Dazu genügt oft schon ein simpler USB-Stick, der einen Trojaner enthält.
Unvorsichtige Mitarbeiter erhöhen die Angreifbarkeit von IT-Infrastrukturen
Wie heißt es häufig bei Unfällen: „Grund war menschliches Versagen“. Allzu oft ist der Mensch also der entscheidende Faktor und dies gilt auch für den Bereich der IT-Sicherheit. Vor allem, wenn private Geräte für berufliche Aufgaben genutzt werden, können sich dadurch Einfallstore für Hacker öffnen.
Ein privates Notebook oder Smartphone sind fast immer nicht so effizient gegen Kompromittierung gesichert, wie rein beruflich verwendete Endgeräte. Grund hierfür ist, dass sie eben in der Regel keine sensiblen bzw. für Hacker interessante Daten enthalten. Dies ändert sich, sobald ein Mitarbeitender sie, mit oder auch ohne Erlaubnis seines Unternehmens, doch für Tätigkeiten verwendet, die mit seinem Beruf zu tun haben. Hacker leben auch vom Sammeln wichtiger Informationen und so wird es ihnen nicht verborgen bleiben, wenn private Endgeräte am Arbeitsplatz zum Einsatz kommen.
Sie werden versuchen, über eben diese Geräte Zugang zum unternehmenseigenen IT-System zu erlangen. Dies gelingt ihnen fast immer wesentlich schneller und einfacher, als die Infiltration gut gesicherter Unternehmens-Infrastrukturen.
Fazit: Nur IT-Sicherheitsstrategie ist effektiver Schutz für IT-Systeme
Die Vielfältigkeit der Methoden und Tools, die Hacker einsetzen, um in IT-Infrastrukturen einzudringen, erfordert mehr als nur die regelmäßige Kontrolle der Systeme. Es bedarf einer umfassenden Strategie zum Schutz der unternehmenseigenen Informations- und Kommunikationstechnik. Nur mit einer solchen lassen sich sensible Daten und Unternehmensgeheimnisse effizient schützen.
Über den Autor
Seyit Binbir
Mit seinen Ratgebern über zeitaktuelle Themen hilft Seyit Binbir dabei, interessante Themen mit seinen Lesern zu teilen. Er ist außerdem Vertrauter und Wegbereiter vieler Start-Up Unternehmen im digitalen Sektor und Autor für Finanzthemen.
Aufmacherbild : Pixabay, jaydeep_
https://trendreport.de/wp-content/uploads/2021/11/hacking-g26fa0c116_1920.png10801920Martina Bartlett-Mattishttps://trendreport.de/wp-content/uploads/2019/04/trendreport_de_logo-1.pngMartina Bartlett-Mattis2021-11-12 16:00:002021-11-12 15:03:25Penetrationstest: Realistisches Bild der Angreifbarkeit von IT-Infrastrukturen
Andreas von Hayn sieht in KI einen „wunderbaren Freund“ für Marketing und Vertrieb
Das gleiche Ziel vor Augen haben, aber völlig unterschiedliche Wege wählen. Mit diesen Worten lässt sich das typische Verhältnis von Marketing und Vertrieb in Unternehmen zusammenfassen. In beiden Abteilungen kreisen die Gedanken und Aktivitäten um Kundinnen und Kunden, um das Ausloten von Anforderungen, um das Befriedigen von Bedürfnissen. Aber Arbeitsweisen, Vorgehen und Kennzahlen unterscheiden sich grundlegend. Diese Unterschiede sind die Ursache für mangelndes Verständnis und eine unzureichende Zusammenarbeit zwischen den Abteilungen. Die Folge: Unternehmen schöpfen das Potenzial des Marktes nicht aus, Beschäftigte sind frustriert.
Anwendungen, die auf Verfahren der Künstlichen Intelligenz (KI) beruhen, können dies verändern. Denn sie erlauben es Vertrieb und Marketing, neue Abläufe und Ansätze in die eigene Arbeitsweise zu implementieren. Stichworte sind das Automatisieren von Kommunikation und Recherche. So nähern sich Vorgehen und Ziele auf beiden Seiten immer weiter an. Am Ende steht eine gemeinschaftliche Verantwortung für die gesamte Marktbearbeitung, von der ersten Ansprache bis zum Vertragsabschluss.
Geeint im Ziel, getrennt im Vorgehen
Der typische Arbeitstag im Vertrieb besteht aus der Arbeit mit einzelnen Menschen. Der Erfolg steht und fällt mit dem persönlichen Kontakt. Die Interessen des Gegenübers sind die Grundlagen für die eigenen Aktivitäten: Was ist die Ausgangssituation dieser Ansprechpartnerin oder dieses Ansprechpartners? Was sind die Ziele? Welches unserer Angebote passt am besten zu dieser Person? Dieses Setting kann, je nach Branche und Unternehmen, beliebig komplex werden: Buying Center, Selling Center, mehrstufige Auswahlverfahren, monate- oder sogar jahrelange Prozesse. Aber die Grundlage bildet immer die individuell zugeschnittene Kommunikation. Vertriebsmitarbeiterinnen und -mitarbeiter investieren viel Zeit in das Aufbauen und Pflegen dieser Beziehungen.
Demgegenüber steht das Marketing. Hier bestimmen das Denken in Zielgruppen, Kampagnen und Kanälen die Aktivitäten. Ob Webseite, Social-Media-Aktvitäten oder klassische Instrumente wie Mailings: Adressat ist in der Regel eine größere Gruppe mit einigen homogenen Eigenschaften. Eigenschaften, die sie für das Marketing interessant machen. Die Eltern mit Neugeborenen, die IT-Entscheiderin mit mehr als 20 Millionen Euro Jahresbudget, der abnehmwillige Jogger Anfang 50. Demographische oder sozio-ökonomische Faktoren bestimmen die Zusammensetzung der Zielgruppen. Für diese entwickeln die Verantwortlichen überzeugende Kommunikationsangebote.
KI-basierte Anwendungen verändern beide Aufgabenbereiche nachhaltig. Sie automatisieren die im Vertrieb notwendige Recherchearbeit, gleichzeitig erlauben sie das Individualisieren der Kommunikation im großen Maßstab.
Leads auf Knopfdruck
Die richtige Person zur richtigen Zeit mit dem richtigen Thema ansprechen: Unabhängig von aller Technologie ist dies die Grundlage für Vertriebsarbeit. Kommunikations- und damit Vertriebsimpulse stammen aus unterschiedlichen Quellen. Vom Branchenfachblatt über die Kundenwebseite bis hin zu Veranstaltungshinweisen und Social-Media-Aktivitäten. Vieles, was das das Vertriebsteam bisher in Handarbeit recherchieren musste, automatisieren KI-Lösungen.
Suchmaschinen oder sogenannte News Alerts erleichtern diese Aufgabe. Deutlich weiter geht das Potenzial von KI-Anwendungen, die auf die Arbeit im Vertrieb zugeschnitten sind. Sie recherchieren nicht nur vertriebsrelevante Daten, sie prüfen, bewerten, vergleichen, gewichten und aggregieren. Sie ziehen die Informationen aus bestehenden Systemen wie der Customer-Relationship-Management (CRM)- oder Enterprise-Ressource-Planning (ERP)-Datenbank hinzu. Am Ende steht eine Übersicht, die Kommunikationsansätze auflistet und Verkaufschancen bewertet. Diese Übersicht bildet die Basis für die Aktivitäten der einzelnen Vetriebsmitarbeitenden. Auf dieser Grundlage von Personen und Themen baut ihre Arbeit auf.
KI automatisiert bisher zeitaufwändige Recherchearbeiten im Vertrieb. Was bisher zum größten Teil in Handarbeit geschah, wird dank ausgefeilter Anwendungen automatisiert. Am Ende steht den Mitarbeitenden in kürzerer Zeit eine bessere Datenbasis zur Verfügung.
Kommunikation auf Knopfdruck
Automatisierung im Marketing bedeutete bisher das Einrichten und Ausführen von Kampagnenprozessen. Beispielsweise durch das eigenständige Versenden von E-Mails auf Basis des Besuchsverhaltens auf der Website. Aber das Erstellen und Aufbereiten von Inhalten war eine Arbeit, die nur Menschen übernehmen konnten. Mit all den Limitierungen, die dies für die Kommunikation mit sich bringt. Denn das Schreiben von Texten für Webseiten, Banner oder Mailings ist mit manuellem Aufwand – und entsprechend hohem – Zeitbedarf verbunden. Naturgemäß konzentrierten sich die Verantwortlichen auf die wichtigsten Produktkategorien, die dominantesten Kanäle und die interessantesten Zielgruppen. Anwendungen auf Basis von KI eröffnen den Marketingabteilungen neue Möglichkeiten für das Verfassen und Verteilen von Inhalten. Basis dafür ist die Fähigkeit zum Umgang mit geschriebener Sprache, das sogenannte Natural Language Generation (NLG).
Ziel von Anwendungen auf NLG-Basis ist das Erstellen natürlichsprachlichen geschriebenen oder gesprochenen Worten/Sätzen. KI-Anwendungen helfen den Marketingabteilungen dabei, das Produzieren von Inhalten teilweise zu automatisieren. So eröffnen sich ganz neue Möglichkeiten der Individualisierung – und das im ganz großen Maßstab. Auch für Nischenprodukte oder kleinere Zielgruppen rechnet es sich, Kampagnen auf- und umzusetzen. Denn mehr Personalisierung von Inhalten und Botschaften sorgt beim Empfänger für mehr Interesse. Und aus Interesse entsteht Interaktion, beispielsweise das Lesen eines Beitrages, das Klicken auf einen Button oder das Bestellen eines Produktes. Die Kombination aus strukturierten Daten, Textvorlagen und NLG-Fähigkeiten sorgt für Varianz und Passgenauigkeit der Ansprache. Ein Aufwand, der in Handarbeit wirtschaftlich kaum sinnvoll zu realisieren ist.
KI automatisiert Teile der bisher manuellen Content-Arbeit im Marketing. Bisher war es wirtschaftlich kaum sinnvoll, einzelne Personen gezielt mit individuellen Inhalten anzusprechen. Oder für Nischenprodukte speziellen Content aufzubereiten. Anwendungen auf KI-Basis ermöglichen genau das. Sie erweitern die Möglichkeiten der Marketingverantwortlichen deutlich.
An den Daten hängt alles
Die beschriebenen Möglichkeiten sorgen für ein Zusammenwachsen der Aufgabenbereiche in Marketing und Vertrieb. Denn die Grundlage für den erfolgreichen Einsatz von KI – ob in Marketing und Vertrieb – bildet die vorhandene Datenbasis. Ob aus Informationen aus Vertragsdaten, aus Produkt- und Servicebeschreibungen, Auswertungen der Website, Social-Media-Aktivitäten oder Kontakten zum Kundenservice: Aus all diesen und aus zahlreichen weiteren Datenquellen lässt sich ein vollständiges Bild über individuelle Vorlieben, Interessen und Kaufwahrscheinlichkeiten zeichnen.
Die Verantwortlichen werden dieses Bild nur zeichnen können wenn – und diese Einschränkung ist entscheidend – es ihnen gelingt, diese verschiedenen Quellen zur einer einheitlichen Datenbasis zu vereinen. Allerdings stehen existierende Silos, parallele gehaltene Datenbanken oder die Excel-Liste auf dem Rechner einer Vertriebsmitarbeiterin dem im Weg. Die Qualität dieser Datenbasis ist entscheidend für den Erfolg von Kommunikations- und Vertriebsinitiativen. Und für die Qualität sind beide Seiten – Marketing und Vertrieb verantwortlich. Es gibt keinen Sales- und keinen Marketingblickwinkel. Denn diese Daten sind sowohl die Grundlage für die Recherchearbeit des Vertriebes als auch die Content-Arbeit des Marketings. Beide Seiten haben ein originäres Interesse daran, Daten zu erfassen, zu pflegen, zu aktualisieren und gemeinsam zu nutzen.
Aus dieser gemeinsamen Verantwortung kann ein neues Verständnis und Zusammenrücken entstehen – wenn das Management diesen Prozess bewusst plant. Denn die Arbeit und die Prozesse im Marketing und Vertrieb gleichen sich, dank KI-gestützter Anwendungen, weiter an. Im Zentrum steht immer häufiger das Adressieren einer einzelnen Person. Mit welchen Themen wie aufbereitet und über welche Kanäle diese Person angesprochen wird: Dabei spielen KI-Lösungen eine immer größere Rolle. Lösungen, die die Arbeit und Zusammenarbeit von Marketing und Vertrieb nachhaltig ändern.
Über den Autor
Andreas von Hayn studierte an der Ruhr-Universität Bochum Wirtschaftswissenschaft mit den Schwerpunkten Marketing und Sozialpsychologie. Nach Stationen im SAP- und Microsoft-Partnerumfeld ist er seit 2012 im Bereich Corporate Communications der adesso SE aktiv. Hier organisiert er unter anderem Kommunikationskampagnen rund um Themen wie Digitale Transformation oder Künstliche Intelligenz.
https://trendreport.de/wp-content/uploads/2024/11/adobestock.png7001000Bernhard Haselbauerhttps://trendreport.de/wp-content/uploads/2019/04/trendreport_de_logo-1.pngBernhard Haselbauer2021-11-12 15:27:232024-12-04 11:11:17Marketing, Vertrieb und KI – der Beginn einer wunderbaren Freundschaft
Conrad Electronic befindet sich auf dem Weg der kompletten Neuausrichtung. Dazu sprachen wir mit dem CEO Ralf Bühler.
Wieso liegt für Sie die Zukunft Ihres Unternehmens im Wandel hin zu einer Sourcing Platform? Das Ziel, uns zur Europas führender Beschaffungsplattform für die Deckung des kompletten technischen Betriebsbedarfs zu entwickeln, haben wir uns nicht von heute auf morgen gesetzt. Bereits seit geraumer Zeit fokussieren wir uns auf das B2B-Geschäft. Dies brachte und bringt die konsequente Digitalisierung unseres Geschäftsmodells mit sich. Die Conrad Sourcing Platform, wie wir sie heute bereits kennen, ist das Ergebnis dieser Entwicklung. Aktuell sind dort mehr als 6 Millionen Produktangebote zu finden. Doch ein umfassendes Sortiment alleine reicht nicht aus. Mit maßgeschneiderten Lösungen wollen wir Problemlöser für unsere Geschäftskunden sein, sie bei der Digitalisierung ihrer Beschaffung unterstützen und ihnen so Zeit und Kosten beim Einkaufsprozess sparen.
Wo befinden Sie sich auf diesem Weg und was sind die aktuellen Herausforderungen? Wie nehmen Sie die Mitarbeiter mit „auf die Reise“? Die strategisch wichtigen Weichen fürs Erreichen unseres Ziels sind gestellt. Trotzdem ist und bleibt es wichtig, offen zu sein für Neues und sich im Bedarfsfall immer neu zu justieren. Das heißt auch, dort, wo sinnvoll, Partner an Bord zu holen, um neue Lösungen zu schaffen. Entscheidend für erfolgreichen Change ist es, die eigene Komfortzone zu verlassen und einen Blick über den Tellerrand zu werfen. Und natürlich trifft das nicht nur auf die Geschäftsführung, sondern alle Mitarbeitenden zu, von deren Kompetenzen und kreativen Ideen jedes Unternehmen lebt. Gerade in Zeiten von dezentralem Arbeiten ist es eine besondere Herausforderung, alle Beteiligten mitzunehmen. Genau hier greift aber unser Conrad-Spirit: Ärmel hochkrempeln und mit innovativen Konzepten und Teamspirit das gemeinsame Ziel erreichen. Exemplarisch dafür stehen unsere internen Conrad Experience Days, die wir dieses Jahr komplett virtuell veranstaltet haben und an denen drei Tage lang in mehr als 60 Live-Sessions die Themen Strategie, Kundenzentrierung und Digital Mindset behandelt und reflektiert wurden.
Weshalb setzt Conrad – im Gegensatz zu vielen Konkurrenten – trotz Automatisierung und Digitalisierung auf den Faktor Mensch? Als traditionsreiches Familienunternehmen gehen wir unseren eigenen Weg und setzen auf Menschen und Maschinen. Auch wir digitalisieren und automatisieren unsere Prozesse, legen zugleich jedoch größten Wert auf regelmäßigen Austausch und direkten Kontakt. Nur wer versteht, was Geschäftskunden und -partner wirklich brauchen, kann sich entlang dieser tatsächlichen Anforderungen weiterentwickeln.
Wie wichtig ist Fachexpertise bei dieser Strategie und wie wollen Sie diese noch weiter stärken? Regelmäßige Befragungen und Einzelinterviews helfen uns dabei, die Herausforderungen zu identifizieren und unsere Leistungen entsprechend anzupassen. Darüber hinaus sind und bleiben der persönliche Kontakt im Key Account Management und Inside Sales sowie die Geschäftskundenbetreuung in unseren Filialen zentraler Bestandteil unseres Angebots.
Die Filialen haben Conrad „das Gesicht gegeben“ und den Kunden eine Anlaufstelle. Welche Rolle spielen diese in der Zukunft? Auch wenn sich unser Fokus in den vergangenen Jahren mehr in Richtung Online und B2B verschoben hat, verlieren wir den Stationärhandel nicht aus den Augen und setzen gemäß unserer Plattform-Strategie auch weiterhin auf die Vernetzung von Onlineshop und Filialen. Wir arbeiten intensiv an zukunftsfähigen und wirtschaftlich erfolgreichen Konzepten, um auch weiterhin mit unseren Kund*innen vor Ort in direkten Kontakt zu treten. Beim Konzept für eigene B2B-Filialen sind wir bereits einen Schritt weiter und haben zwischenzeitlich die Filiale in Hürth eröffnet.
Und welche Rolle kann Conrad mit seinen Lösungen und digitalen Services ganz speziell in der Technologie-Beschaffungsbranche spielen?
Unsere Umfragen haben Versorgungssicherheit, Kostenreduzierung und Lieferantenmanagement als wichtigste Herausforderungen im professionellen Einkauf identifiziert. Abgesehen vom maßgeschneiderten Sortiment geht es also auch bei der Technologie-Beschaffung darum, Prozesse zu verschlanken, indem man die Möglichkeiten elektronischer Beschaffung nutzt. Deshalb bauen wir unser Angebot im Bereich E-Procurement kontinuierlich aus und ermöglichen so jedem Unternehmen die passende elektronische Einkaufsanbindung, um auf unser umfassendes Angebot zugreifen zu können. Mit Conrad Smart Procure (CSP) bieten wir eine eigene kostenlose und browserbasierte Lösung für kleinere Betriebe, während größere Unternehmen mit eigenem Beschaffungssystem sich per OCI-Schnittstelle oder E-Katalog an die Conrad Sourcing Platform anbinden können. Dazu gesellen sich Features wie unsere Single-Creditor-Lösung, um professionelles Einkaufen bei Conrad noch einfacher zu machen.
Welche Vision zeichnen Sie für Conrad nach dem „Umbau“? Für uns ist der Weg das Ziel, denn einen Umbau im klassischen Sinne gibt es nicht. Die Conrad Sourcing Platform wendet sich bereits heute mit ihrem Angebot an mehr als 2,3 Millionen B2B-Kunden in Deutschland und macht deren Beschaffung einfacher schneller und umfassender. Doch in einer Welt, die sich ständig wandelt, bieten sich natürlich auch für die Conrad Sourcing Platform immer wieder neue Möglichkeiten, um sich dynamisch mit den Anforderungen der Kund*innen weiterzuentwickeln.
https://trendreport.de/wp-content/uploads/2021/11/conrad_ceo_ralf_buehler.jpg13632048Bernhard Haselbauerhttps://trendreport.de/wp-content/uploads/2019/04/trendreport_de_logo-1.pngBernhard Haselbauer2021-11-12 15:13:312021-11-15 09:32:32„Der Weg ist das Ziel“
Laurie Mercer schildert in seinem Gastbeitrag, wie Unternehmen mit White Hat Hackern in Kontakt kommen können und noch vielmehr, wie sie diese Zusammenarbeit sinnvoll gestalten können. White Hat Hacker sind Spezialisten auf ihrem jeweiligen Gebiet und können mit einem kreativen und technischen Ansatz Sicherheitslücken finden und dokumentieren, bevor andere es tun.
Mit der sich zunehmend weiterentwickelnden digitalen Transformation von Wirtschaft und Gesellschaft steigt zwangsläufig auch der Grad der Vernetzung. Gerade in der Geschäftswelt lassen sich immer mehr Verbindungen hin zu Partnerunternehmen, Lieferanten und Kunden beobachten. Gleichzeitig nimmt die Komplexität der IT-Infrastrukturen immer weiter zu – nicht zuletzt aufgrund neuer Paradigmen sowie immer neuer Funktionen, die von den Systemen bereitgestellt werden. Daher spielt Cybersecurity eine zunehmend wichtigere Rolle, auch, weil das Bedrohungspotenzial stetig zunimmt: Schon 2019 kam eine Studie des Bitkom zu dem Ergebnis, dass drei von vier Unternehmen Ziel von Cyberkriminellen wurden. Seither hat sich die Situation nicht entspannt – ganz im Gegenteil. Dass sich Unternehmensverantwortliche daher nun verstärkt Gedanken hinsichtlich der Verbesserung der IT-Sicherheit machen, ist daher kaum verwunderlich.
Hersteller sind zwar im Regelfall darauf konzentriert, dass ihre Lösungen bereits ab Werk sicher sind, allerdings ist es mit der Sicherheit der Lösung, die „ab Werk“ integriert ist, alleine nicht getan. Denn auch die Implementierung im Anwenderunternehmen und die entsprechende Konfiguration der Software spielt in der Gesamtbetrachtung eine große Rolle. Und genau dies ist häufig der Knackpunkt, wenn es darum geht, Software-Lösungen im Unternehmen sicher zu betreiben.
Laurie Mercer wirbt dafür, mit White Hat Hackern zusammen zu arbeiten.
Sicherheitsrisiken durch Fehlkonfigurationen
Wie häufig Falsch- bzw. Fehlkonfigurationen tatsächlich die Sicherheit von Unternehmen bedrohen, dazu gibt es nur wenige verlässliche Daten. Jedoch lassen die Webauftritte von Organisationen, die einen eigenen Online-Shop betreiben, darauf schließen, dass auch fernab der Quellcodes von Software Sicherheitsrisiken zu finden sind – wie ein Blick auf die Konfigurationen verrät.
In diesem Zusammenhang ist insbesondere IDOR (Insecure Direct Object Reference) ein gutes Beispiel. Hier handelt es sich um eine Fehlkonfiguration in der Zugriffskontrolle, bei der ein direkter Zugriff auf eine interne Datenbank erfolgt und dieser nicht authentifiziert bzw. kontrolliert wird. Nicht selten findet sich dieser Fehler in Web-Apps oder APIs. Angreifern wird es dadurch relativ einfach gemacht, diesen Fehler in ihrem Sinne auszunutzen. Haben Nutzer beispielsweise die Möglichkeit, Inhalte einer Web-Plattform zu ersetzen, kann dies bei einer fehlerhaften Konfiguration dazu führen, dass ein Cyberkrimineller das Verhalten der Plattform ändert, Daten stiehlt oder die Plattform sogar für die Verbreitung von Malware nutzt.
Die Anstrengungen, die Angreifer hierzu unternehmen müssen, halten sich dabei in Grenzen, denn IDOR-Attacken lassen sich einfach umsetzen. Denn es werden HTTP-Anfragen lediglich durch die Veränderung eines Parameters manipuliert. Auf diese Weise gelangt ein Cyberkrimineller an die entsprechenden Informationen. Voraussetzung dafür ist, dass bei der Erstellung von Webseiten oder Web-Apps zu wenig darauf geachtet wird, dass Zugriffe auf Informationen auch kontrolliert werden müssen. Bei böswilligen Hackern sind IDOR-Attacken sehr beliebt und diese können daher relativ oft bei tatsächlichen Angriffen festgestellt werden. Jedoch existieren verschiedene Ausprägungen dieser Angriffsform. Dazu zählen unter anderem:
Website- Modifikation: Hier sind Hacker in der Lage, den Wert einer Optionsschaltfläche, eines Kontrollkästchens, von APIs und Formularfeldern zu ändern, um so sich so Zugang zu Informationen von Website-Benutzern zu verschaffen.
URL-Manipulation: Dabei wird die URL des Clients durch Veränderung von Parametern der HTTP-Anfrage manipuliert.
HTTP-Anfragen: Diese können IDOR-Schwachstellen beinhalten.
Als Beispiel für eine bekanntgewordene IDOR-Schwachstelle kann hier auf die mitunter höchst umstrittene Social-Media- und Microblogging-Plattform Parler verwiesen werden. Diese hatte vor einigen Monaten mit einem umfassenden Datenleck zu kämpfen. Grund dafür war die sichtbare, aufsteigende Nummerierung der URLs von Beiträgen auf dem Dienst – ein meist eindeutiges Indiz für eine IDOR-Schwachstelle. Für Webseitenbesucher war es somit möglich, durch die Veränderung der Nummerierung in der URL jeden beliebigen Beitrag ohne Einschränkungen abzurufen.
Ein Hacker konnte daher – mit nur sehr geringem Aufwand – einen Code schreiben, mit dessen Hilfe jegliche Nachrichten, Bilder, Videos und sonstige Daten von Parler heruntergeladen wurden. Im Falle öffentlicher Beiträge konnten zudem sogar die Geodaten der Autoren abgegriffen werden, was die Wohnorte der Betreffenden offenbarte. Derlei Sicherheitslücken tragen nicht nur zur Rufschädigung einer für eine Webseite verantwortlichen Organisation bei, sondern können auch finanzielle Folgen nach sich ziehen. So zum Beispiel, wenn beim Diebstahl von Daten auch personenbezogene Daten erbeutet werden und in der Folge Strafen der Aufsichtsbehörden drohen.
Schwächen automatischer Tests
Doch wie lassen sich Sicherheitslücken vermeiden? Eine Frage, die sich viele Security-Verantwortliche stellen. In diesen Zusammenhang gibt es zwar eine ganze Reihe von Tools, die jedoch – wie im Falle von IDOR-Lücken – wenig oder nur begrenzt hilfreich sind. Selbst traditionelles Pentesting kann hier nur von Erfolg gekrönt sein, sofern der jeweilige Tester alle nur möglichen Parameter in sämtlichen Abfragepunkten prüft. Für die Sicherheitsverantwortlichen sind solche Angriffsversuche ferner eine Herausforderung und verlangen ihnen einiges ab. Denn ihre Verhinderung bedarf einem hohen Maß an Kreativität sowie zahllose Security-Tests. Nur so lassen sich derartige Schwachstellen identifizieren.
Hilfe kommt aus der White-Hat-Community
Technische Lösungen bieten kurz- und mittelfristig betrachtet keine Abhilfe, wenn es um die Behebung von Schwachstellen geht, da sie schlicht nicht den Einfallsreichtum und Kreativität von Menschen abbilden können. Die Verantwortlichen müssen somit neue Wege bestreiten, um sich dem Problem zu widmen. Nicht selten sind die IT-Teams der Unternehmen allerdings bereits vollends ausgelastet. Ihnen eine zusätzliche Aufgabe zuzumuten, die noch dazu ein hohes Maß an Sorgfalt erfordert, würde zwangsläufig zu einer Überforderung führen. Was also tun?
Abhilfe können hier unabhängige Profis bieten, die die Prüfung von Konfigurationen übernehmen – verständlicherweise vor dem Produktivbetrieb. Denn geschieht die Identifizierung von Schwachstellen erst im laufenden Betrieb, kann es bereits zu spät sein und ein Cyberkrimineller war schneller. Dies kann zur Folge haben, dass die Sicherheitslücke unter Umständen gewinnbringend versteigert wird.
Für Unternehmen ist es mitunter jedoch nicht einfach, mit entsprechenden Experten in Kontakt zu kommen. Auch wissen sie oft nicht, welche Budgets für externe Security-Leistungen einzuplanen sind.
Nur den wenigsten kommt in diesem Zusammenhang in den Sinn, dass für eine solche Aufgabe genau diejenigen am ehesten in Frage kommen, vor denen sich Unternehmen im Regelfall zu schützen versuchen: Hacker. Denn es gibt nicht nur Hacker, die in illegaler Absicht agieren. Neben Cyberkriminellen gibt es auch die sogenannten White-Hat-Hacker, also ethische Hacker, die zur Steigerung der Cybersicherheit beitragen können – und was noch wichtiger ist, dies auch wollen. Deren Kreativität und Fachkenntnis kann bei der Identifizierung von Schwachstellen in Unternehmen einen unschätzbaren Beitrag leisten.
Ethische Hacker tragen zur Sicherheit bei
Es ist vergleichsweise einfach, diese ethischen Hacker zu finden und mit ihnen in Kontakt zu treten. Voraussetzung dafür ist jedoch, dass man weiß, wo man suchen muss. An dieser Stelle kommen Bug-Bounty-Plattformen wie HackerOne ins Spiel. Diese dienen in der Praxis als Mittler zwischen Unternehmen und den White-Hat-Hackern. Außerdem gehört es zu ihren Aufgaben, dass alle Parteien von der gemeinsamen Arbeit profitieren.
Wenn sich eine Organisation dazu entschließt, auf die Hilfe von Hackern zu setzen, wird diesen gestattet – in Abhängigkeit der individuellen Vereinbarung und der Ziele – beispielsweise die Konfiguration von Anwendungen, Apps, Webseiten oder gar der gesamten Infrastruktur bezüglich etwaiger Schwachstellen zu untersuchen. Die Vergütung der Hacker orientiert sich an einem vorab vereinbarten Prämienmodell. Für ein Unternehmen entstehen folglich nur dann Kosten, sofern Hacker bei ihrer Suche auch auf Sicherheitslücken stoßen und diese entsprechend der festgelegten Verfahrensweise melden. Die Prämienhöhe richtet sich für gewöhnlich danach, wie schwerwiegend eine gefundene Schwachstelle ist – je gravierender die Lücke, desto höher die Prämienzahlung.
Ein weiterer Vorteil für die Organisationen ist die Skalierbarkeit des Ansatzes. Auf diese Weise lassen sich die Ausgaben und Kosten stets nachvollziehen und überblicken. Zudem müssen keine neuen Mitarbeiter eingestellt werden, da nun externe Fachleute das Aufspüren von Sicherheitslücken übernehmen.
Rechtlich auf der sicheren Seite
Grundsätzlich ist die Vorgehensweise von Hackern – also ein Einbruch in fremde Systeme – per se illegal. Daher muss für beide Seiten zunächst eine rechtliche Absicherung erfolgen und es muss vereinbart werden, was genau die Hacker dürfen und was nicht. Solche Vereinbarungen werden auf Basis sogenannter VDPs (Vulnerability Disclosure Program) getroffen. Diese VDPs bilden ein zentrales Element der Verträge zwischen Hackern und der jeweiligen Organisation. Dies spart den Unternehmen Zeit, da nicht mit jedem Hacker ein individueller Vertrag geschlossen werden muss – dies übernimmt die Bug-Bounty-Plattform.
Die Umgebung, in der die so rekrutierten White Hats versuchen, die Systeme der Organisation zu kompromittieren, muss so weit wie möglich den realen Gegebenheiten entsprechen. Die Hacker müssen also die gleichen Voraussetzungen für ihre Tests haben, wie sie auch kriminelle Hacker vorfinden würden. So lässt sich gewährleisten, dass eine entdeckte Sicherheitslücke auch bei einem realen Angriff das Eindringen von Unbefugten zur Folge hätte und eine Behebung der Schwachstelle notwendig ist. Zudem ermöglicht dies den Security-Verantwortlichen aufseiten der Organisation einen Einblick darin, welche Auswirkungen eine Attacke nach sich ziehen würde.
Sobald der Hacker eine Sicherheitslücke entdeckt, erstellt er eine umfassende Dokumentation, die das Unternehmen sodann zur Behebung der Schwachstelle nutzen kann. Durch diese Dokumentation profitiert eine Organisation nicht nur von den Informationen zur Schwachstelle selbst, sondern auch vom Know-how der Hacker, sodass ähnliche Lücken in Zukunft vermieden werden können.
Bei den Hackern, auf die die Unternehmen so zurückgreifen können, handelt es sich um ausgewiesene Experten auf ihrem Gebiet. Ebenso wie kriminelle Hacker sind sie in der Lage, Sicherheitslücken zu identifizieren und Systeme zu kompromittieren. Doch anders als ihr kriminelles Pendant tragen sie mit ihrem Tun zur Stärkung der IT-Sicherheit bei und leisten so einen wichtigen Beitrag zum Schutz von Unternehmen – auch von deren Kunden. Mittels dieses Ansatzes lassen sich zudem ein drohender Reputationsverlust sowie etwaige Strafzahlungen in Folge einer erfolgreichen Cyberattacke vermeiden.
Autor:
Laurie Mercer ist Security Engineer bei HackerOne. Er verfügt über einen starken technischen Hintergrund, da er sowohl als Entwickler als auch als Penetrationstester gearbeitet hat. Zuletzt arbeitete er als Solution Engineer für große SAST-Programme.
https://trendreport.de/wp-content/uploads/2024/12/freepic_com.png800600Bernhard Haselbauerhttps://trendreport.de/wp-content/uploads/2019/04/trendreport_de_logo-1.pngBernhard Haselbauer2021-11-12 14:59:172024-12-06 15:29:31Ethische Hacker: Lücken finden, bevor es andere tun
Die E-Commerce Studie 2021 von Sendcloud: Neueste Erkenntnisse zum Verbraucherverhalten im E-Commerce
Der deutsche E-Commerce ist in den letzten Jahren stetig gewachsen: Letztes Jahr erreichte der Gesamtumsatz in Deutschland einen Rekordwert von über 72,8 Milliarden Euro, was gegenüber dem Vorjahr einem Wachstum von rund 23 Prozent entspricht. Ein wachsender E-Commerce bedeutet für stationäre Händler neue Herausforderungen. Wer nicht rechtzeitig auf eine Omni-Channel-Strategie umstellt, wird den Anschluss verlieren. Insbesondere die Corona-Krise, die zur vorübergehenden Schließung zahlreicher Geschäfte führte, hat dies deutlich gemacht!
Ergebnisse der E-Commerce Studie 2021
Was steckt hinter dieser Entwicklung im E-Commerce? Das haben sich auch die Versand-Experten von Sendcloud, der All-in-One Versandsoftware im Onlinehandel, gefragt. Sie haben daher die E-Commerce Studie 2021 ins Leben gerufen, mit dem Ziel, mehr darüber zu erfahren, wie europäische Verbraucher über den aktuellen Stand der E-Commerce Branche denken.
Die Ergebnisse der Studie basieren auf einer von dem Unternehmen in Zusammenarbeit mit Nielsen durchgeführten Online-Umfrage, innerhalb derer zwischen Februar und März 2021 europaweit in mehr als acht verschiedenen Ländern insgesamt 7.873 Verbraucher befragt wurden. In Deutschland nahmen 1.002 Verbraucher an der Umfrage teil.
In den anderen Ländern gestaltete sich das Teilnehmerspektrum wie folgt:
Vereinigtes Königreich: 1.003 Teilnehmer
Spanien: 1.000 Teilnehmer
Italien: 1.001 Teilnehmer
Niederlande: 1.002 Teilnehmer
Frankreich: 1.001 Teilnehmer
Österreich: 863 Teilnehmer
Belgien: 1.001 Teilnehmer
Teilnehmer an der Umfrage in Europa
Innerhalb der Umfrage wurden die Verbraucher zu jedem einzelnen Aspekt der Versandabwicklung befragt, vom Checkout bis zur Durchführung von Retouren. Darüber hinaus wurden Daten zum aktuellen Stand des internationalen Versands gesammelt. Daneben wurden ebenso länderspezifische Reportings erstellt, um die einzelnen Besonderheiten der jeweiligen Länder im internationalen Vergleich besser darstellen zu können.
Im Folgenden werden nun die wichtigsten Erkenntnisse der Sendcloud E-Commerce Studie 2021 vorgestellt. Um mehr Details zu den einzelnen Punkten der umfangreichen Studie zu erfahren, empfehle ich Ihnen, sich die komplette E-Commerce Studie 2021 kostenfrei herunterzuladen!
Der Checkout und seine Bedeutung für Kaufabbrüche
Betreiber eines Onlineshops erleben immer wieder das Phänomen, dass viele ihrer potenziellen Kunden ein Produkt in den Warenkorb legen, ihre Customer Journey aber anschließend nicht mehr fortsetzen und die Seite, ohne einen Kauf zu tätigen, wieder verlassen. Über die Höhe der Kaufabbrüche entscheidet insbesondere der Checkout.
Die E-Commerce Studie 2021 hat in Bezug auf den Checkout folgende Faktoren ermittelt, die einen Kaufabbruch des Kunden zur Folge haben können:
Der Onlineshop veranschlagt zu hohe Versandkosten (68 %)
Die angegebene Versanddauer ist zu lange (44 %)
Der Kunde hat mit dem Versandunternehmen, über das der Shop versendet, bereits schlechte Erfahrungen gemacht (20 %)
Insbesondere Versandkosten sind schon seit längerem ein schwieriges Thema. Viele Händler versuchen bereits, ihren Kunden kostenlosen Versand auf Basis eines Mindestbestellwerts im Onlineshop zu ermöglichen. Dadurch sollen Mehrverkäufe generiert werden, über die der Händler die Kosten für den Versand refinanziert.
Die E-Commerce Studie 2021 hat hierzu ergeben, dass diese Strategie in den meisten Fällen aufgeht: In Europa sind etwa mehr 69 Prozent der Verbraucher dazu bereit, mehr in einem Shop einzukaufen, um den Mindestbestellwert für kostenlosen Versand zu erreichen (69 %).
Doch sind Verbraucher in Europa schon bereit dafür?
Auf die Frage der E-Commerce Studie 2021 hin, ob sie in den letzten 12 Monaten etwas in einem internationalen Onlineshop bestellt hätten, antworteten gerade einmal 45 % der Online-Shopper mit Ja. Während 2020 noch mehr als 53 % die Frage bejahten, so sind es in diesem Jahr deutlich weniger Verbraucher. Gründe hierfür sind womöglich externe Einflussfaktoren wie der Brexit oder das Auslaufen der Mehrwertsteuerbefreiung für Nicht-EU-Länder.
Doch was sind weitere versandbezogene Gründe, dass Verbraucher internationalen Onlineshops vermehrt den Rücken kehren? In Bezug auf die Versandabwicklung hat die E-Commerce Studie 2021 folgende entscheidende Gründe ermittelt:
56 % der Befragten schrecken vor zu hohen Versandkosten zurück
47 % befürchten, dass sie womöglich Zollgebühren bezahlen müssen
43 % möchten sich nicht mit einem unter Umständen umständlichen Retourenprozess auseinandersetzen müssen
Verbraucherverhalten im Zeichen von COVID-19
Viele Händler und Verbraucher hat die Corona-Krise 2020 sehr überraschend getroffen. Schnell wurde klar, dass COVID-19 einen wahren Boom im E-Commerce ausgelöst hatte: Versanddienstleister verzeichneten etwa eine Zunahme des Bestellvolumens um durchschnittlich mehr als 90 %(!).
Wie hat die Corona-Situation, die unter anderem zu weltweiten Ladenschließungen geführt hatte, insgesamt die Erwartungen der europäischen Verbraucher umgekrempelt? Die Analyse unserer internen Kundendaten ergab dabei folgendes:
Während der Corona-Krise haben Verbraucher rund 2,3 Produkte mehr als üblich bestellt
Verbraucher waren im Durchschnitt während der Krise bereit, 1,2 Tage länger auf ihre Bestellung zu warten
47 % haben den Großteil ihrer Bestellungen lieber über Onlineshops aus dem Inland als bei größeren Onlineshops wie Amazon getätigt
Durchschnittliche Verzögerungen beim Versand während der Corona-Krise
Fazit der E-Commerce Studie 2021
Die in Europa durchgeführte E-Commerce Studie 2021 hat es deutlich gemacht: Die Anforderungen der Verbraucher an den Onlinehandel unterscheiden sich kulturell stark je nach dem Land, das betrachtet wird und können sich im Rahmen einer Krisensituation wie Corona rapide ändern. Onlinehändler, die erfolgreich sein wollen, müssen stets adäquat auf die Bedürfnisse ihrer Kunden eingehen. Es liegt an ihnen, daraus einen Wettbewerbsvorteil für sich zu ziehen.
Arlett Chlupka, Gründerin von craftsoles, sorgt sich um die Gesundheit von Mitarbeitern in der Pandemie. Sie schlägt digitale Lösungen vor, die Arbeitnehmern niedrigschwellige Hilfsangebote machen, aber auch für die Arbeitgeber Vorteile generieren können.
Arlett Chlupka beschreibt, wie die digitale Transformation dabei hilft, Mitarbeiter gesundheitlich im Homeoffice zu unterstützen.
Wie Arbeitgeber ihre Teams in Zeiten von Remote Work in ihrem Wohlbefinden unterstützen können – und warum sie dies auch dingend tun sollten.
Seit Corona steigen die Zahlen der psychischen und körperlichen Beschwerden in der Bevölkerung. Die abrupten Umstellungen in vielen Lebensbereichen, nicht zuletzt in der Arbeitswelt, haben trotz neuer Flexibilität auch Herausforderungen und Stress heraufbeschworen. Dort, wo Arbeitnehmer auch bei Remote Work eine 40-Stunden-Plus-Woche leisten, braucht es flexible Gesundheitsangebote, um Prävention, Behandlung und Therapie auch weiterhin zu gewährleisten. Indem Arbeitgeber hier ansetzen, können sie die Mitarbeiterbindung steigern und eine zukunftsgerichtete Arbeitskultur beweisen. Der Schlüssel hierfür liegt in der Bereitstellung digitaler Gesundheitstools, die wertvolle Alternativen für klassische Versorgungswege bieten.
Die pandemischen Entwicklungen der vergangenen zwei Jahre haben den Arbeitsalltag für weite Teile der Bevölkerung deutlich verändert. Um die Ansteckungsgefahr zu minimieren, galt es größere Menschenansammlungen und belebte Orte, wie bspw. Großraumbüros, zu vermeiden. In der Folge veränderten sich nicht nur soziale Verhaltensweisen, sondern auch das Verständnis von Arbeit und die Bewegungsmuster von Arbeitnehmern. Und es zeichnet sich ab: Das Homeoffice hat sich zum neuen Standard gemausert, der gekommen ist, um zu bleiben. Digitale Gesundheitsmaßnahmen bieten hier eine Möglichkeit, um die neu entstandene Distanz zu überbrücken. Videokonferenzen und Remote Work haben zwar keine Auswirkungen auf Leistung und Qualität von Teams, doch körperliche Aktivitäten und Bewegung werden in unserem sowieso schon viel zu bewegungsarmen Alltag zusätzlich vermindert. Der Bewegungsradius von immer mehr Menschen beschränkt sich mehrheitlich auf die eigenen vier Wände. Das führt Studien zufolge zu Stress, Unzufriedenheit – und eben Bewegungsmangel. In der Folge steigen die Zahlen von Depressionen, Übergewicht und Gelenkbeschwerden.
Welche Verpflichtungen hat der Arbeitgeber?
Im Homeoffice und beim mobilen Arbeiten gilt der Arbeitsschutz ebenso wie im Büro. Für den Arbeitgeber bedeutet das, dass „eine Gefährdung für das Leben sowie die physische und die psychische Gesundheit möglichst vermieden“ werden muss (§ 4 Nr. 1 ArbSchG). In der Theorie müsste eine Prüfung des Arbeitsortes auf mögliche Gefahren durchgeführt und dementsprechend Maßnahmen ergriffen werden. Da dies aber nur schwer umzusetzen ist, verhält es sich in der Praxis meist so, dass Arbeitnehmer Ansprüche auf eine angemessene Ausstattung, sowohl mit Technik als auch Mobiliar, geltend machen können. Die nötigen Möbel und Arbeitsmittel müssen vom Arbeitgeber zur Verfügung gestellt werden, um den Arbeits-, Gesundheits- und Datenschutz garantieren zu können. Doch auch diese konkrete Option ist Arbeitnehmern nicht weitläufig bekannt. Und es braucht umfangreich angelegte und niedrigschwellige Lösungen, die dem abrupten Wandel unserer Arbeitswelt gerecht werden. Natürlich tragen Arbeitnehmer letztlich immer selbst die Verantwortung für ihre Gesundheit. Aber es ist gerade für Arbeitgeber wichtig, hier Anreize zu schaffen und Optionen zu bieten – nicht zuletzt auch, um krankheitsbedingte Ausfälle oder auch Abgänge zu vermeiden. Ebenso wie die Arbeitswelt müssen auch Gesundheitsangebote flexibler werden, um den neuen physischen und psychischen Herausforderungen gerecht zu werden und möglichst viele Arbeitnehmer zu unterstützen.
Flexible Alternativen für den Gesundheitsschutz
Auch in der Gesundheitsversorgung heißt das Zauberwort „Digitalisierung“. Das Gesundheitsministerium fördert bereits viele innovative Projekte im Bereich Digital Health. Zumeist sind es junge, kreative Startups, die wichtige Impulse geben, weil sie die klassischen Strukturen unvoreingenommen und mit kritischem Geist neu und digital denken. Dabei geht es aber letztlich nicht um den Ersatz der klassischen Versorgungswege, sondern um die Ergänzung der bestehenden Angebote, damit Arbeitnehmer eine größere Auswahl haben und flexibler planen und handeln können. Neuartige Technologien können Prävention, Diagnostik und Therapie optimieren und nicht nur während der Pandemie, sondern auch in Zeiten von Remote Work und 40-Stunden-Plus-Wochen (bei gleichzeitigem Fachkräftemangel) entscheidende Versorgungslücken schließen. Die Bereitstellung durch den Arbeitgeber und die gesetzlichen Krankenkassen ist ein wesentlicher Schritt, um genau dort anzusetzen.
Prävention: Neue Versorgungswege bieten
Mit einem Mangel an Bewegung und Aktivität gehen auch immer wieder Muskel- und Gelenkprobleme einher. Hier frühzeitig gegenzusteuern, vermeidet lange Leidenswege, die ansonsten zu Ausfällen und hohen medizinischen Kosten in der Zukunft führen können. Prävention ist das wichtigste Mittel, um einen Status guter Gesundheit aufrechtzuerhalten. Viel zu selten aber werden Hilfsmittel rechtzeitig eingesetzt, da das Bewusstsein und die Affinität für diese Produkte fehlen. Von den Menschen, die orthopädische Schuheinlagen benötigen, sind nur rund 30% auch tatsächlich versorgt. Mit unserem Startup meevo Healthcare wollen wir hier einen konkreten Beitrag leisten, indem wir hochwertige medizinische Hilfsmittel schnell und niedrigschwellig zugänglich machen und der Sanitätshauskultur im Allgemeinen eine neue Wahrnehmung im Alltag der Menschen geben. Anders als bei stationären Versorgern nehmen wir online rund um die Uhr und von überall Bestellungen entgegen und ermöglichen damit Abläufe ohne Präsenztermine. In den letzten zwei Jahren war Corona hier natürlich eine der größten Hürden bei der Versorgung vor Ort, aber auch in Zukunft wird es für verschiedenste Arbeitsmodelle von Vorteil sein, dass Berufstätige in der Hilfsmittelversorgung weder zeitlich noch örtlich gebunden sind. In diesem Jahr haben wir mit der BARMER Krankenversicherung eine erste Pilotphase gestartet, um deren Kunden auch in Pandemiezeiten bestmöglich zu versorgen. Damit konnten die neuartigen Hindernisse überwunden werden, um Versorgungslücken zu verhindern und damit langfristigen Schäden vorzubeugen.
Seit Corona stehen immer mehr Menschen der Telemedizin aufgeschlossen gegenüber. Während aber viele darunter nur eine Videosprechstunde verstehen, liegt das wahre Potenzial in asynchronen oder hybriden Beratungslösungen: Unabhängig von Ort und Zeit können Menschen mit Beschwerden auf diese Weise ihre Probleme einem Facharzt schildern, ohne einen Termin mit langer Vorlaufzeit oder Wartezeiten vor Ort wahrnehmen zu müssen. Auch hier ist die digitale Lösung eine wertvolle Ergänzung zum klassischen Konzept der Sprechstunde und bietet Arbeitnehmern zusätzliche Flexibilität in der gesundheitlichen Versorgung. Und auch hier haben mehrere Krankenkassen bereits die Vorteile der Anwendungen für ihre Versicherten erkannt.
Gesundheitsmanagement: Betriebsintern vorsorgen
Erste Projekte arbeiten an digitalen Rundum-Lösungen konkret für das betriebliche Gesundheitsmanagement. Telemedizinische und Online-Angebote auch an Unternehmen heranzutragen, ist der nächste wichtige Schritt, um sie weiter im Alltag zu verankern. Fraglich wird aber wohl sein, inwieweit die dadurch entstehenden Daten für Arbeitgeber zugänglich sein werden und, ob diese Art der Versorgung in ihren Grundlagen Arbeitgebergebunden aufgebaut sein sollte. Idealerweise bestehen Versorgungsangebote unabhängig von einem speziellen Anstellungsverhältnis, sodass die Nutzung auch bei einem Jobwechsel oder dem Schritt in die Selbstständigkeit möglich bleibt, wenn auch zu anderen Konditionen.
Fakt ist jedoch, dass Arbeitgeber den Wandel in die digitalisierte Zukunft nicht nur in die Arbeits-, sondern auch in die Versorgungsabläufe integrieren sollten, um sowohl zukunfts- als auch wettbewerbsfähig zu bleiben und wertvolle Arbeitskräfte und Kapazitäten zu erhalten. Ein ergonomisch geformter Schreibtischstuhl allein wird diesem Anspruch auf Dauer nicht gerecht.
https://trendreport.de/wp-content/uploads/2021/11/Arlett-Chlupka_Web.jpg13652048Bernhard Haselbauerhttps://trendreport.de/wp-content/uploads/2019/04/trendreport_de_logo-1.pngBernhard Haselbauer2021-11-10 16:24:182021-11-10 16:24:19New Work, new problems
von Lucas von Stockhausen, Director Solutions bei Synopsys
Getrieben von Compliance-Anforderungen verlangen Kunden heute immer häufiger Garantien von Softwareentwicklern, die die Cybersicherheit ihrer Produkte betreffen, oder aber sie fordern detaillierte Einblicke ins Entwicklungsverfahren. Zugleich soll die Softwareproduktion agiler und flexibler ablaufen. Die Studie BSIMM12 liefert wertvolle Anhaltspunkte, wie der Zielkonflikt zwischen Geschwindigkeit und Sorgfalt gelöst werden kann – und zum Teil schon gelöst wird.
Kunden sind tendenziell fordernd: Von Softwareentwicklern erwarten sie agiles Vorgehen und neue Funktionen mit immer geringerer Vorlaufzeit. Gründe sind das allgemein rasante Innovationstempo und der hohe Wettbewerbsdruck. Firmen sind immer stärker davon abhängig, bestimmte Online-Funktionalitäten zumindest genauso schnell anbieten zu können wie die Konkurrenz. Diesen Druck geben sie weiter.
Zugleich aber stellen dieselben Kunden zunehmend detailliertere Sicherheitsanforderungen auf und verankern sie in Verträgen, Ausschreibungen und laufenden Überprüfungen. Wer Software anbietet, soll im Zweifelsfall genau belegen können, welchen Prinzipien einer sicheren Entwicklungsmethodik er folgt, welche Tests er zu welchen Zeitpunkten durchführt und welches Sicherheitsniveau seine Produkte einhalten. Praktisch läuft das Drama dann meist in zwei Akten ab: Der Kunde verlangt Einsicht in die Entwicklungsverfahren einerseits und prüft das Endprodukt andererseits – allerdings eher auf abstrakte oder absolute Sicherheitsanforderungen hin.
Softwareentwicklung „muss draußen bleiben“
Der letztgenannte Punkt verdient besondere Aufmerksamkeit. Hinter dem Wunsch, Softwareprodukte in einem perfekt sicheren Zustand übernehmen zu wollen, also ohne Sicherheitslücken jedweder Art, steckt bei vielen Kunden der verzweifelte Versuch, die Komplexität zu reduzieren. Software, die produktiv genutzt wird oder in Produkten zum Einsatz kommt, soll möglichst Black-Box-artig und sorgenfrei integriert werden können und auf keinen Fall eigene Probleme aufwerfen.
Damit stellt sich allerdings die drängende Frage, ob die Entwicklungsteams zu diesem Zeitpunkt genug darüber wissen, wie die Komponenten zukünftig genutzt werden – ein grundsätzliches Problem aus dem Themenkreis „sichere Softwareentwicklung“. Gemäß einem Defense-in-Depth-Ansatz und unabhängig vom jeweiligen Unternehmen ist es sinnvoll, Sicherheitsprobleme und Schwachstellen einer Software zu beheben, egal wie unwahrscheinlich ein konkreter Exploit nach heutigem Kenntnisstand erscheinen mag. Nicht selten aber wird bestehendes Wissen zur Defense-in-Depth-Philosophie oder das Prinzip der minimalen Rechtevergabe ebenso wie andere Best Practices innerhalb der Softwareentwicklung auf dem Altar der Agilität geopfert.
DevSecOps löst mehr und mehr den zentralisierten Ansatz für Anwendungssicherheit ab. Und das aus gutem Grund. Im aktuellen Modell ist Sicherheit untrennbar mit der Softwareentwicklung verbunden. Sicherheit ist in jede Phase eingebettet, vom Design über die Implementierung bis hin zur Wartung automatisiert und so weit wie möglich in den Softwareentwicklungsprozess integriert.
Inzwischen übernehmen immer mehr App-Entwickler die volle Verantwortung für ihre eigenen Sicherheitsbelange – mit geeigneter Unterstützung durch das Sicherheitsteam. Für Anwendungsentwickler ein Grund mehr, verstärkt auf DevSecOps-Prozesse zu setzen. Damit schöpfen sie die Vorteile der Automatisierung aus, maximieren die Geschwindigkeit und etablieren im besten Fall eine Kultur der kontinuierlichen Verbesserung.
Die Softwareentwicklung sollte ihrerseits transparent und risikobasiert vorgehen. Also Sicherheitsmaßnahmen und Tests in den Entstehungsprozess der Produkte integrieren, die gegenüber den Kunden gut darstellbar sind – und die vor allem deren Sicherheitsmanagement-Konzepten aus einschlägigen Normen wie der ISO 270xx ähnelt.
Angemessen versus absolut
Die Ressourcen von Security-Teams sind begrenzt und können niemals so ausgebaut werden, dass ein perfektes Sicherheitsniveau für jeden Teil der eigenen Infrastruktur zu erreichen wäre. Deshalb nutzen viele Unternehmen das Primat einer angemessenen statt einer absoluten Sicherheit. In manchen Normen ist das Prinzip des „gut genug“ sogar explizit verankert. Wer sich beispielsweise auf ein Audit gemäß der Kreditkarten-Sicherheitsnorm PCI-DSS vorbereitet wird darauf drängen, den sensiblen Kundendatenbereich in ein möglichst abgeschottetes Segment zu verlegen, einfach damit die Anforderungen der Norm nur dort umgesetzt und geprüft werden müssen.
Die präventive und reaktive Security hat in den vergangenen Jahren außerdem Verfahren entwickelt, welche die Kontext- und Risiko-bezogenen Priorisierungen von Maßnahmen erlauben. Dazu gehören geeignete Werkzeuge und eine gut ausgebaute Kommunikation zwischen den Betreibern der produktiven Systeme (z.B. den „Application Ownern“) und den Sicherheitsspezialisten. Zwischen diesen Gruppen tauscht man sich über abstrakte Mindestanforderungen und jene Risiken aus, die außergewöhnlichen Schutzbedarf aufweisen.
Maßnahmenbündel
Die Softwareentwicklung sollte in dieses risikobasierte Vorgehen integriert werden und nicht außerhalb des priorisierten Vorgehens operieren. Damit das möglich ist, müssen zwei Voraussetzungen erfüllt sein:
Die Kunden sollten Entwicklern Informationen über den Sicherheitskontext bereitstellen, in dem das Produkt arbeitet. Dazu gehören bestehende Risiken, potenzielle Bedrohungen, sowie das Sicherheitsniveau der Infrastruktur.
Die Softwareentwicklung sollte ihrerseits transparent und risikobasiert vorgehen. Also Sicherheitsmaßnahmen und Tests in den Entstehungsprozess der Produkte integrieren, die gegenüber den Kunden gut darstellbar sind – und die vor allem deren Sicherheitsmanagement-Konzepten aus einschlägigen Normen wie der ISO 270xx ähnelt.
Es gibt Organisationen und Branchen, in denen die entsprechende Verzahnung schon existiert – häufiger ist dies beispielsweise bei Finanzdienstleistern der Fall. Wie passgenaue Qualität und Sicherheit bei gleichzeitig maximaler Agilität auch in der Breite erreicht werden kann, zeigt die Studie BSIMM12 der Synopsys Software Integrity Group. Sie weist nach, dass Softwareentwickler in verschiedenen IT-Bereichen und Branchen zunehmend Prozesse anstoßen, welche die Produktionsmethodik(en) risikobasiert ausrichten und auf eine engere Kommunikation mit den internen und externen Kunden setzen. BSIMM steht dabei für Building Security in Maturity Model. Die Studie befragt Jahr für Jahr Organisationen im Bereich Softwareentwicklung, auf welche Security-Maßnahmen sie besonderen Wert legen und welche sie vor allem vorantreiben.
Die wichtigsten Punkte aus dem Maßnahmenkatalog der befragten Organisationen umfassen:
Lifecycle Instrumentation setzt ein risikobasiertes Vorgehen durch, wo immer dies möglich ist, und richtet die Produktion darauf aus, Fehler in der Software früher zu finden. Es gibt mehre, aber dafür kürzere Testphasen, die sich in den Produktionsprozess integrieren lassen und die Entwickler somit nicht immer wieder zurückwerfen. Das Verfahren ist nach außen gut als gelebte Governance darstellbar. Die kleinen, obligatorischen Tests ähneln den Pflicht-Sicherheitsbetrachtungen, zu denen sich Projekt-Teams in der IT während der Umsetzung von Projekten immer wieder zusammenfinden müssen.
Externe Tester einbinden: Für Statuserhebungen im Bereich Sicherheit externe Experten heranzuziehen, gilt in der ganzen Branche als sinnvoll und ist an einigen Stellen auch aus Compliance-Gründen notwendig. Übernehmen Entwickler diese Praxis, nähern sie sich den anderen Security-Arbeitsfeldern an.
Interaktion mit Incident Response: Softwareentwickler stimmen sich enger mit den Security-Spezialisten in der Organisation ab, die tatsächliche Angriffe und Bedrohungen identifizieren. So wandelt sich Sicherheit vom abstrakten Thema zur realen, nachvollziehbaren Anforderung
Datenschutzimplikationen frühzeitig erkennen: Entwicklerteams gehen dazu über, Risiken aus dem Einsatz ihrer Produkte im Bereich personenbezogener Daten gleich zu Beginn zu identifizieren und ihre Arbeit darauf auszurichten. Da Datenskandale für Unternehmen zu den größten Schreckgespenstern gehören, sollten sie dieses Vorgehen verstehen und honorieren – während die Entwickler es vermeiden, in diesem heiklen Bereich später aufwändig nachbessern zu müssen.
Sicherheits-Features einem Review unterziehen: Ebenfalls gleich zu Beginn prüfen Entwicklungsorganisationen vermehrt, ob die vereinbarte Sicherheitsfunktionalität der Produkte angemessen ist – etwa, ob verschlüsselt werden muss oder wie stark die Authentifizierungsmechanismen sein müssen. Dieser Check auf Angemessenheit ist ebenfalls gut vermittelbar und kommt den Kunden entgegen, bei denen das Endprodukt ja in die entsprechende IT-Umgebung möglichst passgenau integriert werden soll.
Weitere Maßnahmen lassen sich in der Studie selbst nachvollziehen. Betrachtet man die dort aufgeführten zehn wichtigsten, ist es allerdings unabdingbar, dass sich sowohl die Entwickler als auch die Kunden auf einen Perspektivenwechsel einlassen müssen. Kern ist dabei auf Entwicklerseite, Sicherheitsanforderungen nicht als einschränkende Hürden aufzufassen, sondern als Teil der Qualität und Funktion der neuen Produkte zu verstehen.
Das gilt aber auch auf Kundenseite. Denn für die wird „Resilience“ – also die Widerstandsfähigkeit gegen Angriffe oder Bedrohungen – immer wichtiger. Die aktuellen Maßnahmen der befragten Organisationen laufen deshalb darauf hinaus, eine Sicherheitskultur in der Softwareentwicklung zu verankern, die das Thema Security zum integralen Bestandteil des Arbeitsalltags macht.
Um sich von der Konkurrenz abzuheben, müssen Banken und Versicherungen auf neue Mitbewerber und auf veränderte Erwartungen ihrer Kunden reagieren. Entscheidend für den Erfolg ist ein optimiertes Kundenerlebnis: vier Faktoren sind dabei ausschlaggebend.
Von Carsten Dalquen, Account Director Digital bei Macaw
Carsten Dalquen, der Autor dieses Beitrags, ist als Account Director Digital beim internationalen Digital-Dienstleister Macaw beschäftigt (Quelle: Macaw).
Der Finanzsektor steht unter hohem Wettbewerbsdruck: Fintechs fordern traditionelle Banken und Versicherungen heraus und das Kundenverhalten hat sich grundlegend geändert. Die Kundschaft ist heute informierter und wechselwilliger denn je. Deckt sich das Angebot nicht mit ihren Erwartungen, wandern sie schnell zur Konkurrenz ab – schließlich ist diese nur ein paar Mausklicks entfernt.
Mobile Apps und Online-Portale reichen längst nicht mehr aus. Bei praktisch jeder Bank können Kunden mobil auf ihr Girokonto zugreifen und bei nahezu jeder Versicherung Policen auf einem Online-Portal abschließen. Wollen sich Unternehmen der Finanzbranche erfolgreich vom Wettbewerb abheben, müssen sie ihren Kunden echte Mehrwerte bieten. Ein optimiertes Kundenerlebnis ist hierfür von entscheidender Bedeutung. Dafür sind folgende Faktoren ausschlaggebend:
Kontinuierlich optimieren. Produkte und Dienstleistungen unterliegen einem kürzeren Innovationszyklus: Was heute auf den Markt kommt, kann morgen schon wieder veraltet sein. Deshalb sollten Finanzunternehmen ihre Angebote kontinuierlich analysieren und an die Wünsche und Bedürfnisse der Kunden anpassen. Welche Anforderungen haben sie und wie möchten sie ihre finanziellen Angelegenheiten am liebsten regeln? Bei der Beantwortung dieser Fragen sollten Finanzinstitute neue Wege gehen und zum Beispiel innovative Technologien wie Blockchain nutzen.
Auf Zusammenarbeit setzen. Die IT vieler Finanzinstitute ist veraltet. Noch immer existieren zum Beispiel viele Silos: Abteilungen mit eigenen Datensystemen, die kaum miteinander kommunizieren. Das hat zur Folge, dass Anwender Informationen oft mehrmals bereitstellen müssen und nicht alle Unternehmensbereiche auf dem aktuellen Stand der Customer Journey sind. Diese Silos müssen die Unternehmen beseitigen, um Kunden optimal bedienen zu können. Auch die Möglichkeit, mit externen Partnern aus anderen Branchen kooperieren zu können, etwa aus dem Gesundheits- oder Klimabereich, ist für eine nachhaltige Kundenbindung wichtig: So können Produkte entstehen, die die ganzheitlichen Interessen der Kunden berücksichtigen und somit einen echten Mehrwert für diese bieten.
Für Flexibilität und Skalierbarkeit sorgen. Neue Produkten und Dienstleistungen schnell einführen zu können, ist maßgeblich für den Geschäftserfolg. Cloud-Lösungen sind aufgrund ihrer Flexibilität und Skalierbarkeit dabei erste Wahl. Deshalb sollten Finanzinstitute den Einsatz von On-Premises-Lösungen überdenken und ihre Systeme zumindest teilweise in die Cloud migrieren. Damit können sie schnell auf steigenden Datenverkehr reagieren und in Echtzeit auf Kundendaten zugreifen. Im Vergleich dazu sind lokale Server nicht nur teuer und aufwendig in der Wartung – sie bringen auch Einschränkungen hinsichtlich Flexibilität und Skalierbarkeit mit.
Eine 360-Grad-Sicht auf die Kunden schaffen. Um ein optimales Anwendererlebnis zu bieten, müssen Finanzinstitute die Wünsche der Kunden vollständig erfassen. Grundlage hierfür sind Daten, die infolge der Interaktion mit ihnen entstehen. Damit können die Unternehmen Dienstleistungen und Produkte besser an die Erwartungen der Anwender anpassen. Das ist ein kontinuierlicher Prozess, bei dem Tools wie No-/Low-Code-Plattformen helfen, die großen Datenmengen für alle relevanten Stakeholder in der Organisation leichter zugänglich und nutzbar zu machen – und sie gezielt für die Schaffung echter Kundenmehrwerte einzusetzen.
https://trendreport.de/wp-content/uploads/2021/11/Carsten-Dalquen.jpg16811681Bernhard Haselbauerhttps://trendreport.de/wp-content/uploads/2019/04/trendreport_de_logo-1.pngBernhard Haselbauer2021-11-10 08:00:002021-11-08 10:46:34So optimiert die Finanzbranche das Kundenerlebnis
Warum Unternehmen die Wichtigkeit von interkultureller Kompetenz erkennen müssen
In Deutschland reicht man sich – wenigstens bis zu Beginn der Corona-Pandemie – zur Begrüßung die Hand, in den meisten asiatischen Ländern nicht. Hierzulande ist Pünktlichkeit eine Tugend, anderswo ist das akademische Viertel Gang und Gebe.
Ganz nach dem Motto „Andere Länder – andere Sitten“ sind die Verhaltensweisen in der Arbeitswelt von Nation zu Nation verschieden. Wer sich dieser Unterschiede nicht bewusst ist, ist schnell frustriert und riskiert zudem, sich in den Augen des anderen unangebracht zu verhalten. Eine gute Zusammenarbeit ist dann nicht mehr möglich. In der Folge scheitern Geschäftsreisen und Entsendungen von Mitarbeitern an ausländische Standorte, internationale Teams werden handlungsunfähig.
Kai Grunwitz, Geschäftsführer der NTT Ltd. in Deutschland
Dahinter verbirgt sich ein grundlegendes Problem: Der kulturelle Hintergrund des jeweils anderen wird nicht berücksichtigt. Im Gegenteil, das Verhalten, die Arbeitsweise, die Art zu verhandeln werden aus der eigenen Perspektive heraus betrachtet und beurteilt. Ein Denken in den Kategorien „besser“ oder „schlechter“ ist die Folge. Umso wichtiger ist interkulturelle Kompetenz. Unter diesem Fachbegriff wird die Fähigkeit verstanden, mit Menschen aus verschiedenen Kulturen zu interagieren, Unterschiede zu respektieren, Rücksicht zu nehmen und respektvoll miteinander umzugehen.
Im beruflichen Umfeld bedeutet interkulturelle Kompetenz, sich in die verschiedenen Arbeits- und Denkweisen hineinzuversetzen und sie anzuerkennen. Dazu gehört auch die Reflexion über das eigene Referenz-, Werte- und Verständnissystem und das des Gegenübers: Welche Gemeinsamkeiten gibt es, auf welche Unterschiede muss ich achten? Was kann ich von der anderen Kultur lernen?
Als Deutschland-Chef eines japanischen Mutterkonzerns wird mir die Wichtigkeit interkultureller Kompetenz regelmäßig vor Augen geführt – bei meiner täglichen Arbeit mit immer diverseren Teams und bei meinen regelmäßigen Besuchen in Japan. Natürlich sind sich Japan und Deutschland in vielen Punkten zunächst einmal sehr ähnlich: Beide Länder zählen zu den größten Volkswirtschaften der Welt, sind wichtige Exportnationen, haben für mich die gleiche Innovationskraft in puncto Engineering und das gleiche Qualitätsbewusstsein.
Auf der anderen Seite gibt es eklatante Unterschiede bei den Kulturen. So irritiert der typisch deutsche Wunsch, bei einem Geschäftstermin schnell zu einem konkreten Ergebnis kommen zu wollen und dabei auch einmal Kritik zu äußern, die Kolleginnen und Kollegen in Japan. Es wird ganz besonders großer Wert auf Höflichkeit und Zurückhaltung gelegt: Ein „Nein“ ist unbekannt, Direktheit wird als Respektlosigkeit ausgelegt, dementsprechend spielt auch der mögliche Gesichtsverlust eine deutlich größere Rolle als in Deutschland.
Teamgeist wird in Japan ebenfalls großgeschrieben, zudem werden möglichst viele Stakeholder in Entscheidungen eingebunden, längere Entscheidungszyklen bei Projekten sind deshalb Standard. Trotzdem sind die Hierarchien sehr viel starrer als in Deutschland und bestimmen alle unausgesprochenen Regeln der japanischen Arbeitskultur, einschließlich des Sitzplatzes beim Meeting, des Verhaltens bei Firmenfeiern und welche Höflichkeitsform angemessen ist.
Ist das jetzt schlechter? Nein! Keine Kultur ist gegenüber einer anderen besser, sondern einfach nur anders.
Wir können uns gegenseitig bereichern und voneinander lernen – wenn wir uns darauf einlassen.
Diese Fähigkeit, mit kultureller Vielfalt positiv umzugehen, ist eine Schlüsselkompetenz nicht nur für international agierende Führungskräfte, sondern auch für jeden Einzelnen, um am gesellschaftlichen Leben teilzunehmen und einen Beitrag zur sozialen Integration zu leisten. Nur mit der nötigen interkulturellen Kompetenz kann eine wertstiftende und respektvolle Zusammenarbeit gelingen. Denn: Wo unterschiedliche Hintergründe aufeinandertreffen, sind auch Fettnäpfchen nicht weit.
Alle Welt spricht vom datengetriebenen Unternehmen. Aber wie datenorientiert arbeitet der Mittelstand? Tobias Ganowski schildert in seinem Gastbeitrag, wie die Unternehmen die noch immer verborgenen Potenziale nutzen können.
Die Transformation von Unternehmen hin zu einer digitalen und datengetriebenen Organisation ist in so gut wie allen Sektoren im vollen Gange. Denn in einer digitalisierten Welt werden Daten nahezu überall generiert – sei es an Kunden-Touchpoints, durch Maschinen und Geräte oder an E-Commerce-Systemen. Daten tragen immer mehr dazu bei, innovative digitale Geschäftsmodelle und Services aufzubauen, Effizienzsteigerungen und Kosteneinsparungen – etwa durch Process Mining – zu ermöglichen und Prozesse durch eine stärkere Automatisierung zu vereinfachen. Doch wie „datengetrieben“ ist der deutsche Mittelstand bereits und welche Themen stehen in den kommenden Jahren im Fokus?
Use Case Customer Analytics: Datenplattformen werden noch nicht regelmäßig eingesetzt
Tobias Ganowski hat zusammen mit Tableau untersucht, wie datenorientiert der Mittelstand eigentlich arbeitet.
Um Daten bereichsübergreifend zu sammeln und analysieren zu können, bedarf es einer entsprechenden Infrastruktur und Architektur, welche Datensilos auflöst und zusammenführt (Interoperabilität). Einer der wichtigsten Use Cases zur Datennutzung stellt die Analyse von Kundendaten und Kundenprozessen dar (Customer Analytics). 47 Prozent der mittelständischen Unternehmen sehen sich jedoch bei der Nutzung einer zentralen Datenplattform, auf welcher Daten aller Kunden-Touchpoints gesammelt werden, noch am Anfang. Diesen Unternehmen gelingt es damit noch nicht, Daten zunutze zu machen, indem Kundinnen und Kunden anhand von Daten respektive Customer Insights verstehen werden. Die strukturierte Sammlung und Analyse von Daten ermöglicht es den Unternehmen nicht nur, Transparenz über den Kaufprozess und die Kundenaktivitäten entlang der gesamten Customer Journey zu schaffen, sondern auch, ein tiefes Verständnis über das Kundenverhalten zu erlangen und den Kunden und Kundinnen so individuelle Angebote unterbreiten zu können.
Investitionen in Datenlösungen sollen steigen
Als positive Nachricht lässt sich aber vermelden, dass 60 Prozent der Mittelständler für 2021 und 2022 einen großen bis sehr großen Fokus auf den Aufbau von Technologieplattformen, welche weitere Daten-Use-Cases ermöglicht, legen. Die Notwendigkeit, aber auch die Mehrwerte der Analyse von Daten, wird somit zunehmend erkannt. Gestützt wird diese Aussage durch die Erkenntnis, dass 39 Prozent der Unternehmen aktuell einen Investitionsfokus auf Maßnahmen legen, welche dazu beitragen, zu einer Data-Driven-Company zu werden. Auf die Frage, in welche konkreten Technologien CIOs in den kommenden zwei Jahren investieren wollen, antworten 60 Prozent, dass auf Data Analytics ein starker Fokus gelegt wird. Neben der IT-Modernisierung, der Cloud-Transformation und Cyber Security zählt Data Analytics damit zu den am höchsten priorisierten IT-Themen.
Frage: In welche Themen investiert Ihr Unternehmen in den kommenden zwei Jahren?; Werte beziehen sich auf die Antworten „eher stark“ und „sehr stark“; Häufigkeitsverteilung; n = 76; Quelle: Lünendonk®-Studie 2021 „Der Markt für IT-Beratung und IT-Service in Deutschland“
Nicht nur IT-Verantwortliche, sondern auch Fachbereiche haben einen hohen Bedarf und ein hohes Interesse an Datenlösungen. So zählen unter Marketing- und Vertriebsverantwortlichen Data-Management- und Data-Analytics-Plattformen zu den Investitionsschwerpunkten: 47 Prozent der Befragten wollen 2021 und 2022 eher bis sehr stark in diese Lösungen investieren, um Kundendaten im Marketing auf einer homogenen Datenbasis besser nutzen zu können für digitale Geschäftsmodelle und Prozessautomatisierungen. Auf strategischer Ebene steht die Entwicklung hin zu einem datengetriebenen Unternehmen daher für 49 Prozent der CMOs und CSOs im Fokus.
Auch Entwicklungs- und F&E-Verantwortliche wollen die im Zuge der Vernetzung von Maschinen, Geräten und ganzer Produktionsstätten – Stichwort Industrie 4.0 – gewonnen Daten nun stärker zunutze machen. So planen 41 Prozent der Industrieunternehmen aus dem gehobenen Mittelstand mit einem Umsatz von bis zu einer Milliarde Euro etwa Steigerungen für das extern vergebene Budget an Dienstleister und Beratungen zur Entwicklung datenbasierter Geschäftsmodelle. An Use Cases und Business-Benefits mangelt es somit nicht.
Herausforderungen auf dem Weg zur Data-Driven-Company
Ein Drittel (33%) der mittelständischen Unternehmen beklagt jedoch einen Mangel an einem grundlegenden Verständnis für Technologien, Daten und deren Einsatzmöglichkeiten. Daten-Experten sind jedoch stark nachgefragt und rar am Arbeitsmarkt. So hat sich etwa das Berufsbild des Data Scientists in den vergangenen Jahren etabliert und zählt zu den gefragtesten Berufen in der IT. Um diesen Mangel zu kompensieren, nehmen externe Dienstleister, aber auch Software-Lösungen, welche intuitive Analysen versprechen, IT-Abteilungen entlasten und keine tiefen Datenanalyse-Skills verlangen, eine wichtige Rolle ein. In einer Lünendonk-Studie aus dem Jahr 2020 berichteten 27 Prozent der Unternehmen, dass sie die Einführung von Self-Service BI (Business Intelligence) planen, wodurch Fachbereiche idealerweise unabhängig von der IT-Abteilung Analysen vornehmen können . Der Wandel zu einem datengetriebenen Unternehmen wird folglich durch Self-Service BI beeinflusst.
Neben dem Fachkräftemangel gibt es weitere Herausforderungen, die Unternehmen sich stellen müssen – vor allem technologischer Natur. So ist für ein Drittel der mittelständischen Unternehmen die eigene, zu geringe Datenqualität eine große Hürde auf dem Weg zum datengetriebenen Unternehmen. Ein wesentlicher Grund für diese schlechte Datenqualität ist oftmals, dass Daten in dezentralen Silos – etwa Data Warehouses – einzelner Abteilungen liegen und keine ausgereifte Data Governance vorliegt, wie der Umgang mit Daten zu handhaben ist. Ebenso ist für jedes vierte Unternehmen die komplexe und weit verzweigte IT-Landschaft, welche einen systemübergreifenden Datenaustauschs (Interoperabilität) erschwert, ein starker bis sehr starker Behinderungsfaktor.
Wie geht es weiter?
Die digitale Transformation ist in vollem Gange – und Daten sind dessen Treibstoff. Sowohl IT- als auch Fachbereichsverantwortliche investieren in Daten-Lösungen und digitale Technologien. Neben der technologischen Perspektive müssen jedoch auch die Organisation selbst, die Kultur, Prozesse und Steuerungsmetriken angepasst werden. Eine ganzheitliche Betrachtung der Digitalisierung ist somit erforderlich, um den Weg zur datengetriebenen Organisation erfolgreich zu meistern.
Quelle: Lünendonk-Whitepaper „Digital Now: Wie datengetriebene Entscheidungsprozesse im Mittelstand Wettbewerbsvorteile schaffen“
Über den Autor:
Tobias Ganowski ist Junior Consultant beim Marktforschungs- und Beratungsunternehmen Lünendonk & Hossenfelder. Er untersucht die Märkte IT-Beratung, IT-Services, Customer Experience Services, BI-Software und Engineering Services. Thematisch beschäftigt er sich unter anderem mit den Themen Cloud Sourcing, Künstliche Intelligenz, Data Analytics, Agilität und digitale Transformation.
https://trendreport.de/wp-content/uploads/2019/12/data-4132580_19201.jpg12801920Bernhard Haselbauerhttps://trendreport.de/wp-content/uploads/2019/04/trendreport_de_logo-1.pngBernhard Haselbauer2021-11-05 15:52:432021-11-05 15:54:36Daten und Data Analytics im Mittelstand: Aufbruch in eine digitale Welt
Bereits heute leben in Deutschland gut 77 Prozent der Einwohner in Städten, und nach Prognosen der UN werden es bis 2050 sogar mehr als 84 Prozent sein. Damit stehen die Städte vor enormen Herausforderungen, denn vielerorts ist schon jetzt der Wohnraum knapp und das Verkehrssystem überlastet. Allerdings genügt es nicht, lediglich mehr Wohnraum bereitzustellen sowie die Mobilitätsangebote auszubauen. Die Städte müssen ihre gesamte Infrastruktur – darunter auch Strom- und Wärmeversorgung, Wasserversorgung und Abfallentsorgung – auf eine steigende Bevölkerungszahl vorbereiten und gleichzeitig effizienter und nachhaltiger gestalten. Schließlich zählen sie zu den größten Energieverbrauchern und CO2-Produzenten weltweit und spielen dementsprechend eine wichtige Rolle im Kampf gegen die Klimakrise.
Digitale Technologien leisten bei dieser großen Aufgabe einen entscheidenden Beitrag und machen urbane Gebiete zu umweltfreundlicheren und lebenswerteren Orten. Mit ihnen entwickeln sich Städte zur Smart City weiter, in der Infrastrukturen weitreichend vernetzt sind und intelligente Anwendungen auf Basis von Daten viele Abläufe automatisiert steuern. Den Anfang machen meist kleine Dinge, die den Alltag der Menschen erleichtern und verbessern: Ampelschaltungen, die sich dem Verkehrsaufkommen anpassen und für Fahrzeuge des öffentlichen Nahverkehrs schneller auf Grün schalten oder die Grünphase verlängern. Parkhäuser, die freie Parkplätze erkennen und an Navigationssysteme melden. Strom- und Wasserzähler, die sich per Funk auslesen lassen, sodass niemand die Wohnung betreten muss. Straßenbeleuchtung, die sich passend zu den Lichtverhältnissen ein- und ausschaltet und nicht mehr zu festen Uhrzeiten.
Vieles davon ist in Städten längst Realität und wird häufig durch eine Vielzahl an Sensoren ergänzt, die Auslastungs- und andere Statusdaten von Bussen und U-Bahnen, Wasserpumpen und Leitungssystemen, Stromverteilern und vielem mehr liefern. Mit den Informationen können Verkehrsbetriebe den Fahrzeugeinsatz optimal steuern und Stadtwerke die Strom- und Wasserversorgung besser auf den Bedarf der Bevölkerung abstimmen. Ebenso ermöglichen die Informationen eine vorausschauende Wartung. Verkehrsbetriebe und Stadtwerke sind in der Lage, ihre Fahrzeuge, Anlagen und Geräte besser instand zu halten und Fehlfunktionen oder drohende Ausfälle oftmals schon zu erkennen, bevor sie auftreten.
Alexander Wojtek: „Die vielen Einzelprojekte rund um die Smart City gilt es, in den kommenden Monaten und Jahren zu verknüpfen und in übergreifenden Initiativen auszubauen.“
Die vielen Einzelprojekte rund um die Smart City gilt es, in den kommenden Monaten und Jahren zu verknüpfen und in übergreifenden Initiativen auszubauen. Nur so können ganzheitliche urbane Systeme entstehen, die beispielsweise die Daten von Individualverkehr, ÖPNV sowie Car- und Bike-Sharing-Angeboten mit Wetterinformationen und Messwerten zur Luftqualität vereinen. Diese Systeme könnten dann die Preise öffentlicher und umweltfreundlicher Verkehrsangebote sowie die Parkgebühren dynamisch anpassen, um Staus zu verhindern und die Feinstaubbelastung zu reduzieren. Diese intelligenten Systeme dürfen ihren Blick allerdings nicht nur auf die Stadt selbst richten, sondern müssen über den Stadtrand hinausschauen, da weder Verkehrsinfrastrukturen noch Verkehrsflüsse an den Stadtgrenzen stoppen.
Die Technologien für solche smarten Lösungen existieren bereits: Sie reichen von hybriden IT-Infrastrukturen über offene Plattformen bis zu KI-Anwendungen. Eine Schlüsselrolle kommt dabei der Cloud und Open Source zu. Die Cloud ist oft kostengünstiger als ein eigenes städtisches Rechenzentrum und bietet zudem die flexibleren Skalierungsmöglichkeiten. Zwar stehen manche Verantwortliche ihr weiterhin skeptisch gegenüber, doch sowohl Hyperscaler als auch lokale Service-Provider und IT-Dienstleister betreiben ihre Rechenzentren hochverfügbar und hochsicher. Zudem gibt es Mittel und Wege, Daten in der Cloud zu schützen oder hybride Konzepte umzusetzen, bei denen kritische Daten die eigene IT-Infrastruktur nicht verlassen.
Darüber hinaus stehen in der Cloud mächtige Software-Anwendungen, Plattformen und Entwicklungswerkzeuge bereit, die den Aufbau digitaler Services erleichtern. Gerade Open Source bietet Städten hier einen riesigen Werkzeugkasten für individuelle Lösungen – und das sicher, mit hervorragendem Support und vielen Freiheitsgraden. So hilft Open Source ihnen, Daten- und Anwendungssilos aufzulösen, Interoperabilität mit anderen Systemen herzustellen und Abhängigkeiten von einzelnen Anbietern zu vermeiden.
Die Herausforderungen rund um die Smart City müssen Städte allerdings nicht allein angehen. Lokale IT-Dienstleister, die Industrie, Gesundheitswesen und andere Branchen schon seit Jahren bei ihrer Digitalisierung unterstützen, stehen als Helfer bereit. Sie bringen wertvolle Erfahrung und Best Practices mit, wie man bestehende Daten geschickt einsetzt und neue Datenquellen anzapft, um Abläufe zu verschlanken sowie neue Services und Geschäftsmodelle zu entwickeln.
Ein Erfolg kann die Smart City aber letztlich nur werden, wenn die Menschen im Zentrum der Projekte stehen. Ihre Alltagsprobleme soll die digitale Stadt lösen, ihre Lebensqualität verbessern – gebraucht werden deshalb Beteiligungsmechanismen wie Umfragen, Workshops oder Stadtlabore, die Impulse für die Planer liefern und dafür sorgen, dass die neuen Dienste den Bedürfnissen der Menschen entsprechen und von diesen angenommen werden.
* Alexander Wojtek ist Business Development Manager IIoT bei akquinet
Bildquelle / Lizenz Aufmacher: Foto von Peng LIU von Pexels
https://trendreport.de/wp-content/uploads/2021/11/pexels-peng-liu-169647.jpg8541280Bernhard Haselbauerhttps://trendreport.de/wp-content/uploads/2019/04/trendreport_de_logo-1.pngBernhard Haselbauer2021-11-03 08:58:392021-11-03 08:58:40Wie werden Städte zur Smart City?
Es ist soweit: Nach einem turbulenten Jahr kommt die Unit4-Community am 16. und 17. November wieder zusammen für das globale Kunden-Event Experience4U!
Seien Sie im November dabei, wenn X4U wieder stattfindet – UNIT4´s zweitägiges globales virtuelles Event! Holen Sie sich wertvolle Infos, um das volle Potenzial Ihrer Mitarbeiter auszuschöpfen und sich optimal für die Zukunft aufzustellen.
X4U-Agenda
16. November:
People Experience Suite
Am ersten Tag gewinnen Sie einen tiefen Einblick in die People Experience Suite und was sie für Sie und Ihre Mitarbeiter tun kann, um Ihnen dabei zu helfen, echte Ziele zu erreichen. Erfahren Sie was „People Experience“ für Sie bedeuten kann.
17. November:
Regional Spotlight DACH
Das Unternehmen lädt als besonderes Highlight dieses Jahr zum Regional Spotlight DACH ein – einem speziellen Programmpunkt für die deutschsprachigen Teilnehmer aus Deutschland, Österreich und der Schweiz.
Folgende Inhalte erwarten Sie am 17. November um 13 Uhr:
Aktuelle Produkt-News und Infos zu den neuesten Innovationen
Spannende Analysten-Einblicke zu den neuesten Branchentrends und Marktbedingungen
Exklusiver Blick hinter die Kulissen im Unit4-Servicebereich
Doch das ist noch lange nicht alles: Neben dem Regional Spotlight DACH bietet X4U noch eine ganze Fülle weiterer informativer Sessions, inspirierender Referenten und wertvoller Tipps, die Ihnen Ihre tägliche Arbeit erleichtern und Ihr Unternehmen fit für die Zukunft machen.
Sichern Sie sich jetzt Ihren Platz und stellen Sie sich Ihr individuelles Programm zusammen, das Sie ganz bequem von Ihrem Bildschirm aus verfolgen können!
von Lucas von Stockhausen, Director Solutions bei Synopsys
„Sicherheitskultur“ ist ein schillernder Begriff. Pragmatisch gesehen bedeutet er ein gemeinsames Handeln und Kommunizieren in einer Organisation, bei der alle Angehörigen die Anforderungen der Sicherheit fortwährend und ungezwungen mitdenken und dies als integralen Teil ihrer Arbeit betrachten. Für das Thema Cyber-Sicherheit sind viele Unternehmen diesem Idealzustand bereits recht nahe – der Studie BSIMM12 zufolge gelingt dies nun auch zunehmend den Softwareentwicklern. Aber wo liegt dort eigentlich genau das Problem?
Hinter den Bemühungen um eine Sicherheitskultur in ganzen Unternehmen oder Abteilungen steckt eine lange evolutionäre Entwicklung. Sie beginnt ein paar Jahre nach der Jahrtausendwende mit einer ersten Abkehr von der Vorstellung, die normalen Anwender müssten von Administratoren und Sicherheitsverantwortlichen permanent zu richtigem Verhalten gedrängt werden, und zwar am besten mit möglichst exakten Regeln und Sanktionen. Die Vorgaben allerdings waren oft nur für Fachleute verständlich. Wenig später, als Folge immer mächtigerer Hard- und Software-Werkzeuge in den Händen der „Nur“-Anwender und der gleichzeitig um sich greifenden Vernetzung, entstand zusätzlich die Vorstellung, dass „Insider“ gleichzeitig eine ebenso große Bedrohung für die Unternehmens-IT bedeuten wie schwer fassbare Hacker im Internet.
Sicherheitspartner statt „Nur“-Anwender
Beide Einschätzungen sind noch immer nicht ganz verschwunden. Aber nach und nach hat sich ein partnerschaftliches Verhältnis zwischen IT-Security-Abteilungen und Anwendern durchgesetzt, bei denen die Mitarbeiter für Security-Belange sensibilisiert werden und man sie befähigt, sich für die jeweils sicherste Vorgehensweise bei der Arbeit mit der IT zu entscheiden. Die Sicherheitsteams wiederum verstehen sich seltener als Oberlehrer in Sachen Security und stehen als Ratgeber bei schwierigeren Entscheidungen bereit.
Vergleichsweise schlecht hat der Paradigmenwechsel kurioserweise in einem Bereich funktioniert, in dem eigentlich alle Beteiligten IT-Spezialisten sind: Im Sektor der Software-Entwicklung. Woran das liegt, erschließt sich bei einem genauen Blick auf die Vorbedingungen von Sicherheitskultur einerseits und von typischen Software-Entwicklungsprojekten andererseits.
Sicherheitskultur bedeutet, wie schon erwähnt, dass die Angehörigen einer Organisation nicht nur Befehlsempfänger in Sachen sicheres Verhalten sind, sondern vertrauensvoll in Security-relevante Entscheidungen eingebunden werden. Dies kann zum Beispiel bedeuten:
Beteiligung an Risiko-Einschätzungen,
Beteiligung an der Klassifizierung von Informationen und
Mitarbeit an geeigneten Methoden zur Umsetzung von Sicherheitsvorgaben.
Sicherheit als Störfaktor
Vor allem der letzte Punkt verdient dabei Beachtung. Kommt Sicherheit nur als Vorgabe daher oder in Form von rigiden Vorschriften des Typs „one size fits all“, führt dies fast immer dazu, dass einige Anwendergruppen durch die Maßnahmen stärker in ihrer Arbeit behindert werden als andere. Aufwändige Anmeldeprozeduren mögen im Büro unproblematisch sein, in der Produktionshalle dagegen halten sie den Betrieb auf oder führen sogar zu gefährlichen Verzögerungen beim schnellen Zugriff auf eine Maschine. Ständige „Reviews“ eines Arbeitsprozesses stören eine Routinetätigkeit weniger als einen kreativen Entwicklungsprozess. Ob eine Sicherheitskultur entstehen kann, hängt also stark davon ab, ob Maßnahmen oder Prozesse zum Teil des Arbeitsalltags werden können oder nicht.
Darüber hinaus müssen die Security-Teams und Anwender Einverständnis darüber erzielen, dass hinter Sicherheitsmaßnahmen und -regeln keine abstrakten, willkürlichen Vorgaben stecken, sondern notwendige Schutzvorkehrungen für die Produktion, die Kommunikation, die im Unternehmen vorhandenen Daten und für die Produkte, wie sie die Kunden tatsächlich verlangen.
Zielkonflikte
Die problematische Situation im Bereich Softwareentwicklung resultiert aus mehreren Besonderheiten. Softwareentwicklung gerät heute häufig zu einer Art „kreativer Produktion im Akkord“. Sie findet in spezialisierten Unternehmen oder Abteilungen statt, welche innerhalb eines Unternehmens häufig abgekoppelt agieren. Die internen oder externen Kunden der Entwickler drängen angesichts der zunehmend dynamischen Entwicklung der Anforderungen seitens der Endanwender auf Agilität und Flexibilität. Das macht sorgfältiges Vorgehen und tiefgehende Tests unter Umständen schwierig. Belohnt wird hier, wer schnell neue Funktionen bereitstellen kann. Zugleich aber steigen die Anforderungen an die Sicherheit von Code, und zwar wieder aufgrund von Vorgaben oder Erwartungen der Endkunden. Im Business-to-Business-Sektor wird es Usus, von Softwarelieferanten Sicherheitsgarantien zu fordern oder Einblicke in die sicherheitsbezogenen Prozesse der Produktion zu verlangen. Aus dieser Perspektive werden Sorgfalt und Tests belohnt. Dass aber auch ein entsprechender Zeitrahmen für derartiges Vorgehen eingeräumt wird, kommt aufgrund des Agilitätsdrucks kaum vor.
„…nicht selten wird bestehendes Wissen zur Defense-in-Depth-Philosophie oder das Prinzip der minimalen Rechtevergabe ebenso wie andere Best Practices innerhalb der Softwareentwicklung auf dem Altar der Agilität geopfert.“
Lucas von Stockhausen
Nun mag man einwenden, dass in der skizzierten Schere zwischen dem Agilitätsprimat und Sorgfaltspflicht heute fast alle IT-Services stecken. Was für die Software-Entwicklung aber noch hinzukommt, ist die ungünstige Form der Erfolgskontrolle. Sie besteht fast immer in einer Endabnahme zum geforderten Lieferdatum. Zu diesem Zeitpunkt müssen die geforderten Funktionen bereitstehen, und der Kunde prüft auf abstrakte Sicherheitsvorgaben hin – die er leider meist nicht risiko- und situationsbezogen aufstellt, sondern in Form einer absoluten Forderung: Die Software muss fehlerfrei sein. Im Extremfall könnte es sein, dass ein Produkt einfach deshalb nicht abgenommen wird, weil es Open-Source-Komponenten enthält, die bekanntermaßen eine Sicherheitslücke aufweisen.
Prinzipien der sicheren Softwareentwicklung
Auf den ersten Blick scheint dieses Prinzip der Sicherheit durchaus dienlich zu sein, auf den zweiten Blick allerdings führt es zu unnötigem Druck aus dem oben beschriebenen Zielkonflikt heraus. Programmierer greifen zu Open-Source-Komponenten, wenn es für Teilanforderungen ihres Projekts bereits erprobte Lösungen gibt. Sie tun dies, um Zeit zu sparen, das Lieferdatum einhalten zu können und Energie auf spezifische, neue Lösungen verwenden zu können. Damit stellt sich allerdings die drängende Frage, ob die Entwicklungsteams zu diesem Zeitpunkt genug darüber wissen, wie die Komponenten zukünftig genutzt werden – ein grundsätzliches Problem aus dem Themenkreis „sichere Softwareentwicklung“.
Gemäß einem Defense-in-Depth-Ansatz und unabhängig vom jeweiligen Unternehmen ist es sinnvoll, Sicherheitsprobleme und Schwachstellen einer Software zu beheben, egal wie unwahrscheinlich ein konkreter Exploit nach heutigem Kenntnisstand erscheinen mag. Und nicht selten wird bestehendes Wissen zur Defense-in-Depth-Philosophie oder das Prinzip der minimalen Rechtevergabe ebenso wie andere Best Practices innerhalb der Softwareentwicklung auf dem Altar der Agilität geopfert.
Die letzten beiden Jahre haben uns bereits eine Reihe von Angriffen auf unwahrscheinlich anmutende Ziele beschert, und auch in Zukunft werden Angreifer von Vorteilen durch Software-Exploits profitieren. DevSecOps löst nicht ohne Grund mehr und mehr den zentralisierten Ansatz für Anwendungssicherheit ab. Über die Zeit mündete dieser in einen trägen und frustrierenden Prozess, der zuverlässig dafür gesorgt hat, dass Entwickler die Sicherheitsabteilungen als Verhinderer betrachten. Das Endergebnis sind Anwendungen, die kaum sicherer sind und die zudem verzögert auf den Markt kommen.
Im aktuellen Modell ist Sicherheit untrennbar mit der Softwareentwicklung verbunden und in jede Phase eingebettet, vom Design über die Implementierung bis hin zur Wartung, automatisiert und so weit wie möglich in den Softwareentwicklungsprozess integriert.
Damit gelingt es die Vorteile der Automatisierung auszunutzen, die Geschwindigkeit zu maximieren und im besten Fall eine Kultur der kontinuierlichen Verbesserung zu etablieren. In anderen Bereichen Bereichen kommen laut den Ergebnissen von BSIMM12 Mechanismen der risikogesteuerten Sicherheit ins Spiel. Schwachstellen werden dort nur angegangen, wenn sie relevant sind. Genau deshalb hat die Security in den vergangenen Jahren Verfahren entwickelt, die eine Kontext- und Risiko-bezogene Priorisierung von Maßnahmen erlauben. Dies setzte allerdings neben dem Aufbau von Tool-Sets auch die Zusammenarbeit zwischen den Betreibern der produktiven Systeme in den Organisationen (z.B. den „Application Ownern“) und den Sicherheitsspezialisten voraus, bei denen man sich über abstrakte Mindestanforderungen und jene Risiken austauscht, die zusätzlichen Schutzbedarf indizieren.
Bedarfsgerechtes Sicherheitsniveau
Das bräuchte die Software-Entwicklung auch, um passgenaue Qualität und Sicherheit bei gleichzeitig maximaler Agilität zu erreichen. Die Studie „BSIMM12“ der Synopsys Software Integrity Group zeigt, dass Software-Entwickler in verschiedenen IT-Bereichen und Branchen zunehmend Prozesse anstoßen, die die Produktionsmethodik in die entsprechende Richtung bewegen. „BSIMM“steht dabei für „Building Security in Maturity Model“. Die Studie befragt Jahr für Jahr Organisationen im Bereich Software-Entwicklung danach, auf welche Security-bezogenen Qualitätsmaßnahmen sie besonderen Wert legen und welche wie besonders vorantreiben. Und hier zeigt sich in der aktuellen Ausgabe ein ganzes Bündel an Aktivitäten, die auf eine positive Sicherheitskultur hinauslaufen können. Ein paar der wichtigsten Punkte:
Risikobasierte Sicherheit: Laut den Resultaten von BSIMM12 werden Sicherheitsfunktionalitäten an den Risiken ausgerichtet, denen die fertige Software in ihrem Einsatzkontext ausgesetzt ist. Dazu wird es immer wichtiger, sich während der Entwicklung schon über das Sicherheitsniveau der Hosts und des Netzwerks abzustimmen, in der die Software arbeiten soll. „Kooperation“ ist hier der zentrale Aspekt.
Interaktion mit Incident Response: Software-Entwickler stimmen sich enger mit den Security-Spezialisten in der Organisation ab, die tatsächliche Angriffe und Bedrohungen erkennen. So wandelt sich Sicherheit vom abstrakten Thema zur realen, nachvollziehbaren Anforderung.
Häufigeres, kleinteiliges und integriertes Testen: Statt groß angelegter passiver und aktiver Security-Tests (deren Ergebnisse Entwicklungsprojekte auch immer wieder zurückwerfen können) werden einzelne Module möglichst automatisiert getestet und auch bei kleineren Fortschritten fokussierte Prüfungen durchgeführt. Damit verliert die Sicherheitsbewertung ihren Charakter als „Angstgegner“ dem man tunlichst aus dem Weg gehen sollte.
Insgesamt findet ein Perspektivenwechsel statt, der „Resilience“ – also die Widerstandsfähigkeit von Software gegen Angriffe oder Bedrohungen – zum integralen Qualitätsmerkmal macht. Es genießt als Ziel während der Entwicklungsarbeit den gleichen Stellenwert wie die funktionalen Aspekte und kann mit ähnlichen Mitteln erreicht werden.
Wir können Cookies anfordern, die auf Ihrem Gerät eingestellt werden. Wir verwenden Cookies, um uns mitzuteilen, wenn Sie unsere Webseite besuchen, wie Sie mit uns interagieren, Ihre Nutzererfahrung verbessern und Ihre Beziehung zu unserer Webseite anpassen.
Klicken Sie auf die verschiedenen Kategorienüberschriften, um mehr zu erfahren. Sie können auch einige Ihrer Einstellungen ändern. Beachten Sie, dass das Blockieren einiger Arten von Cookies Auswirkungen auf Ihre Erfahrung auf unseren Webseite und auf die Dienste haben kann, die wir anbieten können.
Wichtige Webseiten-Cookies
Diese Cookies sind unbedingt erforderlich, um Ihnen über unsere Webseite verfügbare Dienste bereitzustellen und einige ihrer Funktionen zu nutzen.
Da diese Cookies für die Bereitstellung der Website unbedingt erforderlich sind, wirkt sich die Ablehnung auf die Funktionsweise unserer Webseite aus. Sie können Cookies jederzeit blockieren oder löschen, indem Sie Ihre Browsereinstellungen ändern und das Blockieren aller Cookies auf dieser Webseite erzwingen. Dies wird Sie jedoch immer dazu auffordern, Cookies zu akzeptieren / abzulehnen, wenn Sie unsere Webseite erneut besuchen.
Wir respektieren es voll und ganz, wenn Sie Cookies ablehnen möchten, aber um zu vermeiden, Sie immer wieder zu fragen, erlauben Sie uns bitte, ein Cookie dafür zu speichern. Sie können sich jederzeit abmelden oder sich für andere Cookies anmelden, um eine bessere Erfahrung zu erzielen. Wenn Sie Cookies ablehnen, entfernen wir alle gesetzten Cookies in unserer Domain.
Wir stellen Ihnen eine Liste der auf Ihrem Computer in unserer Domain gespeicherten Cookies zur Verfügung, damit Sie überprüfen können, was wir gespeichert haben. Aus Sicherheitsgründen können wir keine Cookies von anderen Domains anzeigen oder ändern. Sie können diese in den Sicherheitseinstellungen Ihres Browsers überprüfen.
Google Analytics Cookies
Diese Cookies sammeln Informationen, die entweder in aggregierter Form verwendet werden, um zu verstehen, wie unsere Webseite verwendet wird oder wie effektiv unsere Marketingkampagnen sind, oder um unsere Webseite und Anwendung für Sie anzupassen, um Ihre Erfahrung zu verbessern.
Wenn Sie nicht möchten, dass wir Ihren Besuch auf unserer Website erfassen, können Sie das tracking in Ihrem Browser hier deaktivieren:
Andere externe Dienste
Wir verwenden auch verschiedene externe Dienste wie Google Webfonts, Google Maps und externe Videoanbieter. Da diese Anbieter möglicherweise personenbezogene Daten wie Ihre IP-Adresse erfassen, können Sie diese hier sperren. Bitte beachten Sie, dass dies die Funktionalität und das Erscheinungsbild unserer Website erheblich beeinträchtigen kann. Änderungen werden wirksam, sobald Sie die Seite neu laden.
Google Webfont-Einstellungen:
Google Map-Einstellungen:
Google reCaptcha-Einstellungen:
Einbettung von Vimeo- und Youtube-Videos:
Andere Cookies
Die folgenden Cookies werden ebenfalls benötigt - Sie können auswählen, ob Sie sie zulassen möchten:
Datenschutz-Bestimmungen
Sie können unsere Cookies und Datenschutzeinstellungen im Detail auf unserer Datenschutzrichtlinie nachlesen.
