Posts Tagged: ‘Trends & Markt’

Container-Technologie erleichtert das Arbeiten

18. Januar 2021 Posted by Dr. Rolf Kremer

Windows Server 2016 Banner

Container-Technologie hat Einzug gehalten

„Eindeutige Vorteile gegenüber virtuellen Maschinen“

Vor vier Jahren hatten wir in einem unserer Blog-Beiträge über die Evolution der Virtualisierung durch den Einsatz der Container-Technologie berichtet. Mittlerweile hat diese Container-Technologie den Einzug in viele, auch mittelständische, Unternehmen gehalten. Der Grund ist: Sie bietet bei der Bereitstellung von Anwendungen gegenüber der seit vielen Jahren im Einsatz befindlichen virtuellen Maschinen eindeutige Vorteile. Während eine virtuelle Maschine sowohl die Anwendungen als auch das Betriebssystem enthält, beinhaltet ein Container lediglich die Anwendungen sowie einige notwendige Komponenten, um auf ein Betriebssystem zuzugreifen. Das Betriebssystem selbst ist nicht enthalten und wird von dem System verwendet auf dem der Container ausgeführt wird. Für die Virtualisierung sorgt die Container-Engine. Eine weitverbreitete Container-Engine ist die Docker-Engine, welche vom US-amerikanischen Unternehmen Docker Inc. stammt und die weltweit wohl am häufigsten eingesetzte Container-Engine ist. Auf diesem System können nun mehrere Container unabhängig voneinander ausgeführt werden. Änderungen im Betriebssystem können damit alle Container beeinflussen. Eine Aktualisierung des Betriebssystems muss so nur ein Mal vorgenommen werden, wenn z.B. ein Sicherheitsloch behoben werden muss.

Bildquelle: https://www.docker.com/whatisdocker - Container-Technologie Die Vorteile, die sich durch den Einsatz von Containern im Vergleich zu virtuellen Maschinen ergeben, sind im Wesentlichen der geringere Bedarf an CPU und Arbeitsspeicher. Sie sind auch sehr flexibel, da die Container auf unterschiedlichen Systemen ausgeführt werden können. Ferner lassen sich mehrere gleichartige Container parallel ausführen, so dass eine bessere Skalierbarkeit einer Anwendung erreicht werden kann.

Container-Technologie einfach erklärt

Die grundlegenden technischen Begriffe im Umgang mit Containern sind schnell erklärt: Damit eine Anwendung in einem Container ausgeführt werden kann, muss die Anwendung zuerst durch ein Template (der Fachbegriff hierfür heißt Image) bereitgestellt werden. Wird nun ein Image gestartet und damit ausgeführt, spricht man von einem Container. Auf ein Image wird über ein Verzeichnis (= Registry) zugegriffen. Ein Verzeichnis kann privat sein, so dass nur ein eingeschränkter Personenkreis darauf Zugriff hat, oder es kann öffentlich sein. Ein solches öffentliches Registry ist Docker Hub, welches vom Docker-Entwickler  betrieben wird. Es stellt über 100.000 Anwendungen von vielen verschiedenen Anbietern bereit.
Die Daten werden außerhalb der Container in einem Volume gespeichert. Dies stellt sicher, dass bei einer Aktualisierung auf eine neue Version eines Systems keine Daten verloren gehen. Für den einfachen Einstieg in die Container-Technologie stellt Docker die Anwendung Docker Desktop bereit. Diese Anwendung enthält neben der Container Engine noch eine grafische Benutzeroberfläche zur Verwaltung der installierten Images und darauf basierenden Container.

Workflow Management über Docker Hub

Bei Benutzung des Docker Desktop kann auch der technisch versierte Citizen Developer (Power-User) mit einfachen Mitteln eine lauffähige Umgebung in der eigenen Infrastruktur einrichten. So kann er beispielsweise in drei einfachen Schritten eine lauffähige Low-Code-Plattform mit dem Fokus auf Workflow-Management einrichten. Diese enthält einfach zu bedienende Werkzeuge, wie grafische Editoren, mit denen eigene Anwendungen mit nur geringen Programmierkenntnissen entwickelt werden können. Da der Citizen Developer über die notwendigen Kenntnisse der Prozesse in der eigenen Fachabteilung verfügt, kann er diese zeitsparend elektronisch abbilden und zumindest durch die Umsetzung eines Prototyps die Machbarkeit überprüfen.

GBS Workflow Manager ist Low-Code-Plattform

Ein Beispiel für eine solche Low-Code-Plattform ist der GBS Workflow Manager, der seit September 2020 auf Docker Hub verfügbar ist. Neben dem Docker Image vom GBS Workflow Manager werden lediglich Images der benötigten Datenbanksystemen benötigt, welche aber automatisch über eine bereitgestellte Konfigurationsdatei geladen werden.

Drei Schritte zur lauffähigen Einrichtung

  • 1. Im ersten Schritt wird der Docker Desktop heruntergeladen und installiert. Der Docker Desktop kann über die Webseite von Docker bezogen werden.
  • 2. Im zweiten Schritt wird das Image vom GBS Workflow Manager Server von Docker Hub geladen. Dieses geht einfach mit dem Befehl „docker pull gbseuropagmbh/workflowmanager“, der in der Eingabeaufforderung unter Microsoft Windows oder im Terminal unter Linux bzw. dem Mac OS eingegeben wird.
  • 3. Im dritten Schritt wird die Konfigurationsdatei („docker-compose.yaml“), wie in der Beschreibung auf der Seite in Docker Hub angegeben, erstellt und mittels eines Befehls ausgeführt („docker-compose up -d“).
    Mit dem dritten Schritt werden auch die erforderlichen Datenbanksysteme eingerichtet und der GBS Workflow Manager gestartet. Im Anschluss kann über einen Webbrowser bereits direkt auf den GBS Workflow Manager zugegriffen werden.

Container-Technologie

Für eine Aktualisierung auf eine neue Version vom GBS Workflow Manager muss zunächst der Container, z.B. über den Docker Desktop, angehalten und heruntergefahren werden. Anschließend kann das Image durch eine neuere Version ausgetauscht werden, wobei die neue Version beispielsweise auch wieder von Docker Hub bezogen werden kann. Im nächsten Schritt kann der Container basierend auf der neuen Version des Images wieder gestartet werden. Die Daten bleiben erhalten, da die Daten außerhalb des Containers gespeichert sind.

Produktive Nutzung

Soll die entwickelte Anwendung später produktiv eingesetzt werden, kann die Einrichtung in die IT-Infrastruktur im Unternehmen vorgenommen werden. Werden Container in einem Unternehmen eingesetzt, kann dies schnell dazu führen, dass eine Vielzahl an unterschiedlichen Anwendungen mit Containern verwaltet werden. Dann besteht die Gefahr, dass schnell der Überblick verloren geht. Um dies zu verhindern, bietet sich der Einsatz von Container Management-Software an. Bekannte Beispiele sind Swarm von Docker, Kubernetes von Google oder Amazon ECS. Kubernetes ist dabei wohl die bekannteste Container Management-Software. Es handelt sich um eine Open-Source-Software zur Automatisierung von Containern und stellt zentrale Management- und Orchestrierungsfunktionen bereit, um die Bereitstellung einer größeren Anzahl von Containern durchführen und skalieren zu können.

Bei der GBS befassen wir uns seit ein paar Jahren mit dem Einsatz von Container-Technologien und auch Container Management-Software. Neben der Bereitstellung des GBS Workflow Manager als Docker-Image basiert auch die iQ.Suite 360, die Lösung der GBS für den ganzheitlichen Schutz von Collaborations-Plattformen, wie Microsoft SharePoint und Microsoft Teams, auf einer Container-Infrastruktur mittels Docker- und Kubernetes-Einsatzes.

Der Beitrag Container-Technologie erleichtert das Arbeiten erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

PerSwaysion: Phishing-Attacken auf Top-Manager

9. Juni 2020 Posted by Lyubomir Tulev

Bereits über 150 Unternehmen gehackt

„Jetzt lesen“ – NICHT LESEN!

Heutzutage werden wir von einer noch moderneren und raffinierteren Art gezielter Phishing-Cyberattacken bedroht: PerSwaysion. Wie bei den meisten bekannten Phishing-Angriffen, sollen auch hier Microsoft 365-Anmeldeinformationen gestohlen werden. Betrüger senden dabei E-Mails an ihre ausgesuchten Opfer mit nicht-schädlichem PDF-Anhang, der den Link „Jetzt lesen“ enthält. Der Link führt dann zu Dateien, die auf Microsoft Sway, SharePoint oder OneNote bereitgestellt werden. Diese legitimen Cloud-basierten Inhaltsfreigabe-Services werden absichtlich ausgewählt, um eine Angriffserkennung durch das IDS (Intrusion Detection System) und andere Sicherheitssysteme zu vermeiden. Die PerSwaysion-Attacke zielt hauptsächlich auf Mitglieder des obersten Managements. Inzwischen wurden die Führungskräfte von mehr als 150 Unternehmen gehackt.

Im nächsten Schritt wird dem Opfer eine speziell gestaltete Landingpage des Microsoft Sway/SharePoint-Dienstes vorgelegt. Sie enthält einen „Jetzt lesen“-Link, der zur eigentlichen Phishing-Site weiterleitet. Dort wird der Benutzer aufgefordert, seine E-Mail-Konto-Anmeldeinformationen oder andere vertrauliche Informationen einzugeben.

Sobald diese Daten gestohlen sind, laden die Angreifer als nächstes die E-Mail-Daten der Gehackten mithilfe von IMAP-APIs vom Server herunter. Daraufhin übernehmen sie diese gestohlenen Identitäten, um weitere Personen anzusprechen, die kürzlich E-Mail-Kontakt mit dem aktuellen Opfer hatten und wichtige Funktionen in demselben oder anderen Unternehmen haben.

PerSwaysion

Leichte Opfer

Im Mittelpunkt des Angriffes von PerSwaysion stehen die Nutzer, die alle Sicherheitskontrollen umgehen, in der geschäftlichen Kommunikationsinfrastruktur implementiert sind und so leicht zu Opfern werden können. Das größte Problem ist nicht nur der E-Mail-Datenverlust, sondern auch das entführte Konto, das später vom Angreifer zur Ausführung weiterer Angriffe genutzt werden kann. Zum Beispiel um geschäftliche E-Mails zu kompromittieren, indem dieser Nutzer andere Mitarbeiter anweisen kann, ungewollt betrügerische Aktivitäten durchzuführen.

Es spielt keine Rolle, wie gut die von Ihnen implementierten logischen Kontrollen und Cybersicherheits-Lösungen sind. Keine von ihnen kann ein „vertrauenswürdiges“ gephishtes Mitarbeiter-Konto erkennen und Ihr Unternehmen davor schützen. Es sei denn, Sie überwachen und inspizieren die Aktivitäten eines Mitarbeiters vollständig und vergleichen diese mit bereits eingerichteten Verhaltensvorlagen des jeweiligen Benutzers.

Eine mögliche Lösung könnte sein, die Mitarbeiter zu schulen, um die aktuellen Cyber-Angriffsvektoren zu identifizieren und sie durch ihre automatisierte, auf maschinellen Lernverfahren basierende Anomalie-Erkennung zu unterstützen. Auf diese Weise kann eine sogenannte „Human Layer Security“ gebildet werden. Dies ist der Schlüssel, um Ihre Cybersicherheit widerstandsfähig zu machen.

iQ.Suite 360 – mehrstufiger Schutz für SharePoint

PerSwaysion Wenn Sie Ihre SharePoint-Umgebung durch mehrstufigen Schutz vor Malware mit multiplen Scannern namhafter Premiumhersteller sichern möchten, sollten Sie iQ.Suite 360 einsetzen. Der Schutz der Collaboration-Umgebung wird dabei nicht nur für interne User, sondern auch beim Zugriff durch externe Kommunikationspartner gewährleistet. Ein weiteres Highlight der Lösung ist das zeitgesteuerte Scannen der gesamten SharePoint-Umgebung mit aktuellsten Malware Pattern außerhalb der Arbeitszeiten. iQ.Suite 360 ist eine compliance-konforme, mehrstufige Malware-Schutzlösung für SharePoint, die seit Kurzem von GBS (a BULPROS Company) angeboten wird.

Sind Sie bereits Opfer von Phishing-Attacken geworden? Wie schützen Sie sich vor Cyber-Angriffen? Wir freuen uns auf Ihre Kommentare.

Der Beitrag PerSwaysion: Phishing-Attacken auf Top-Manager erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Sind DSGVO-Prozesse im Unternehmen integriert?

20. Januar 2020 Posted by Dr. Rolf Kremer

DSGVO-Prozesse sicher und transparent umsetzen

Professionelle Data Leakage Prevention Lösung im Fokus!

Mit der Europäischen Datenschutzgrundverordnung (kurz „DSGVO“) haben wir uns in diesem Blog bereits beschäftigt. Im damaligen Beitrag: „DSGVO umsetzen – Unternehmen sind nicht ausreichend vorbereitet“, lag der Fokus auf der Einbeziehung der E-Mail-Sicherheit (siehe den Artikel „DSGVO umsetzen – Unternehmen sind nicht ausreichend vorbereitet“. Ein weiteres wichtiges Thema ist, wie die durch hinzugekommenen DSGVO-Prozesse im Unternehmen eingeführt und umgesetzt werden können. Diese werden daher in diesem Beitrag etwas näher betrachtet.

Von nichts gewusst?!


LesetippKeiner kann so tun, als hätte er von nichts gewusst, dennoch gehen deutsche Unternehmen die Umsetzung für die DSGVO offenbar nicht mit der erforderlichen Ernsthaftigkeit an. Mehr dazu in diesem Blogartikel: DSGVO umsetzen – Unternehmen sind nicht ausreichend vorbereitet

Anwendungspflicht für alle Unternehmen

Die Anwendungspflicht der DSGVO besteht seit dem 25. Mai 2018 und gilt für alle Unternehmen innerhalb der Europäischen Union (EU) und für alle internationalen Unternehmen, welche Daten von EU-Bürgern speichern oder verarbeiten. Die DSGVO definiert dabei einen einheitlichen Rechtsrahmen für den Datenschutz in der EU und innerhalb des Europäischen Wirtschaftsraums, also für den nicht öffentlichen Bereich. Das Ziel ist es, alle EU-Bürger vor Datenschutzverletzungen zu schützen. Betrachtet wird dabei die Verarbeitung personenbezogener, strukturierter oder unstrukturierter Daten, soweit diese im Rahmen von Aktivitäten in der EU durchgeführt werden und zwar unabhängig davon, ob die Verarbeitung in der EU erfolgt.

Beispiele für persönliche Daten sind Mitarbeiter- und Kundendaten oder auch Einzelinterviews bei Vorstellungsgesprächen. Diese Daten werden vornehmlich in der Personalabteilung, im Vertrieb, im Rechnungswesen oder in der IT-Abteilung eines Unternehmens verarbeitet. Die Verarbeitung erfolgt beispielsweise durch die Anwendungsverwaltung, Fakturierung, einem Newsletter-Versand oder Wartungstätigkeiten.

Durch die DSGVO sind auf jedes Unternehmen einige Pflichten zugekommen. Dazu gehören der Nachweis und die Rechenschaftspflicht (geregelt im §5 der DSGVO). Ebenso besteht eine Meldepflicht bei Verletzung eines Rechts gegenüber der zuständigen Datenschutzbehörde. Dazu gibt es verschiedene einzuhaltende Fristen: So muss die Erledigung von Auskunftsersuchen innerhalb eines Monats erfolgen (§12) und innerhalb von 72 Stunden muss bei Verletzungen gegen die Datenschutzbestimmungen reagiert werden (§33). Des Weiteren muss ein Datenschutzbeauftragter (§37) in größeren Unternehmen bestellt werden. Wichtig ist auch die Dokumentation. So muss eine Liste der Verarbeitungsaktivitäten, eine Risikobewertung und gegebenenfalls auch Datenschutz-Folgenabschätzungen dokumentiert werden.

Bei Nichteinhaltung drohen Geldbußen von bis zu 20 Mio. EUR oder im Falle eines Unternehmens bis zu 4 Prozent seines weltweiten Gesamtjahresumsatzes im vorangegangenen Geschäftsjahr (§83). In Ausnahmefällen kann auch ein Verbot der Verarbeitung personenbezogener Daten ausgesprochen werden (§58).

Integrierte DSGVO-Prozesse

DSGVO-Prozesse Es gibt einige wichtige unternehmensinterne DSGVO-Prozesse, wozu das Auskunftsrecht über die Verwendung personenbezogener Daten , das Recht auf Berichtigung, das Löschrecht, das Widerrufsrecht, das Recht auf Datenübertragbarkeit, das Widerspruchsrecht und das Beschwerderecht gehören. Ferner gibt es das Datenschutzverletzungsmanagement und die Datenschutzfolgenabschätzungen.

Verzeichnis der Verarbeitungstätigkeiten

DSGVO-Prozesse Zunächst schreibt die DSGVO vor, ein Verzeichnis über die ausgeführten Verarbeitungsvorgänge zu führen. Es gibt dabei zwei Arten von Verzeichnissen: Eines für interne Verarbeitungsvorgänge und eines für alle Verarbeitungsvorgänge, welche im Rahmen einer Auftragsdatenverarbeitung stattfinden. Dieses ist nur für Unternehmen erforderlich, welche Daten für andere Unternehmen verarbeiten. Das Anlegen eines internen Registers gilt nicht für Unternehmen mit weniger als 250 Mitarbeitern, es sei denn, die Verarbeitung ist aus Datenschutzsicht riskant oder die Verarbeitung findet nicht zufällig statt oder betrifft spezielle Kategorien personenbezogener Daten beziehungsweise krimineller Daten.

Datenschutz-Folgenabschätzung

DSGVO-Prozesse Für neue interne Verarbeitungsvorgänge kann eine Datenschutz-Folgenabschätzung erforderlich sein (§35), wenn die Verarbeitung zu einem hohen Risiko für die Rechte und Freiheiten von Personen führen kann. Insbesondere wenn eine systematische und umfassende Bewertung der persönlichen Daten einer Person, einschließlich Profilerstellung, vorliegt oder wenn eine Verarbeitung sensibler Daten beziehungsweise eine systematische Überwachung öffentlicher Bereiche in großem Umfang stattfindet. In diesen Fällen muss im Vorfeld einer Datenverarbeitung eine Gefährdung des Datenschutzes überprüft und Risiken identifiziert und dokumentiert werden. Die Beteiligten in diesem Prozess können die Verantwortlichen für den Verarbeitungsvorgang, der Datenschutzbeauftragte im Unternehmen, betroffene Personen oder deren Vertreter (z.B. Betriebsrat) und eventuell beratend auch die Datenschutzaufsichtsbehörde sein.

Software Unterstützung für wichtigste Prozesse

Für die Durchführung dieser Prozesse eignen sich professionelle Software-Systeme mit einer Prozessunterstützung. Ein Beispiel ist die auf einer Low-Code Entwicklungsumgebung basierende Lösung GDPR Compliance Manager. Diese beinhaltet für die zuvor genannten vier Bereiche jeweils die Unterstützung der wichtigsten Prozesse. Dabei liegen die jeweiligen Prozessmodelle auf Basis der weit verbreiteten Modellierungssprache BPMN 2.0 vor. Damit ist eine schnelle Einarbeitung gewährleistet. Da jedes Unternehmen eigene Anforderungen an seine Prozesse hat, ist es wichtig, dass die Prozesse und auch die dazugehörigen Formulare mit einfachen Mitteln angepasst werden können. Dazu stehen im GDPR Compliance Manager grafische Werkzeuge zur Prozessmodellierung und dem Formular-Design zur Verfügung. Des Weiteren können viele Parameter aus den Prozessen mit individuellen Werten belegt werden.

Professionelle Data Leakage Prevention Lösung gegen Datenverlust

DSGVO-Prozesse Neben der Datenschutz-Folgenabschätzung werden auch mögliche Datenschutzverletzungen im Rahmen der DSGVO behandelt. Eine solche Datenschutzverletzung kann auftreten, wenn beispielsweise unerlaubte Personen Zugang zu zweckgebundenen personenbezogenen Daten erhalten. Um einen solchen möglichen Datenverlust festzustellen, bietet sich der Einsatz einer professionellen Data Leakage Prevention-Lösung (DLP) an. Mit einer solchen Lösung kann beispielsweise festgestellt werden, wenn Mitarbeiter die zu schützenden Daten per E-Mail an externe E-Mail-Adressen versenden möchten. Die DLP-Software kann diesen Versand erkennen und verhindern, dass die E-Mail mit den vertraulichen Informationen versendet wird. Die DLP-Software kann zudem zusätzlich einen internen Untersuchungsprozess initiieren, sodass eine weitere Überprüfung erfolgt, ob das Versenden zu einer Datenpanne geführt hätte. Mit diesem Prozess kann versucht werden, im Vorfeld mögliche Datenpannen zu verhindern. Dies kann beispielsweise mit der Software iQ.Suite DLP Advanced in Kombination mit dem GDPR Compliance Manager der GBS realisiert werden. Entdeckt die iQ.Suite DLP eine verdächtige E-Mail, initiiert sie im GDPR Compliance Manager einen Untersuchungsprozess. Anschließend folgt eine automatische Weiterleitung zum Datenschutzbeauftragten, der die Überprüfung durchführen und die weitere Durchführung des Prozesses steuern kann. Durch dieses Zusammenspiel kann ein optimaler Schutz mit einer Prozessunterstützung, ohne einen zu hohen manuellen Aufwand, erreicht werden.

Für einen weiteren Überblick zur GDPR hat die GBS einen juristischen Überblick und wichtige Handlungsempfehlungen in einem kostenlosen Whitepaper veröffentlicht. Zudem findet einmal pro Monat ein Webinar zum Thema dieses Beitrags statt.

Weitergehende Informationen sind im Internet von vielen Herausgebern zu finden, beispielsweise eine Praxishilfe für die Anwendung der DSGVO im Gesundheitswesen oder einen Leitfaden der Bitkom.

Der Beitrag Sind DSGVO-Prozesse im Unternehmen integriert? erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

M2M – Wenn Maschinen miteinander kommunizieren

31. Oktober 2019 Posted by Denis Petkau

Moderne Kommunikationsformen mit REST API

Machine-to-Machine-Kommunikation rationalisiert Arbeitsabläufe und steigert die Produktivität

Die Kommunikation im beruflichen Alltag läuft immer häufiger über moderne Social Media-Systeme. Dazu gehören Instant Messaging, Chats, Mikroblogging mit Werkzeugen wie Skype for Business, IBM Sametime, Cisco Jabber, WhatsApp, Slack, Microsoft Teams und viele weitere. Neben diesen Kommunikationsformen zwischen Menschen, haben sich auch die Kommunikationsformen zwischen den Softwaresystemen gewandelt (Maschine-zu-Maschine Kommunikation). Lief dies in der Vergangenheit hauptsächlich über Webservices, so benutzen moderne Software-Systeme immer häufiger RESTful-Schnittstellen, um Daten zwischen Software-Systemen auszutauschen und Funktionalitäten in anderen Systemen anzustoßen. Ein Beispiel ist die Anzeige von Bildern anhand der Längen- und Breitengrad-Angaben auf Instagram.

Im technischen Bereich werden RESTful-Schnittstellen auch als „REST API“ bezeichnet. REST APis haben seit 2005 immer mehr an Bedeutung gegenüber anderen Varianten wie SOAP gewonnen, wie dies in einem Blogbeitrag von Guy Levin beschrieben ist.

Was ist REST API und wozu wird sie verwendet?

REST API bedeutet „Representational State Transfer“– „Application Programming Interface“.
Eine REST API kann man sich so ähnlich wie eine Webseite vorstellen. Von einem Nutzer „Client“ wird ein Aufruf „Call“ getätigt und die Webseite „Server“ gibt dem Nutzer anschließend eine Rückantwort. Die REST API wird also dafür gebraucht, um eine Kommunikation zwischen einem „Server“ und einem „Client“ zu ermöglichen. Besteht Bedarf, so können die Schritte einer REST API auch manuell nachgestellt werden. Eine REST API ist jedoch generell dazu ausgelegt, mehrere tausende Aufgaben der gleichen Art, z.B. den Versuch sich auf einer Seite einzuloggen, in sehr kurzer Zeit abzuarbeiten. Dementsprechend ist auch eine REST API effizienter als eine manuelle Vorgehensweise.

REST API Anhand des Bildes, soll nun der typische Aufbau und die Zusammensetzung eines typischen REST API-Aufrufs erklärt werden. Das Bild zeigt uns hierbei, wie ein solcher Aufruf aufgebaut ist. Zugegeben wirkt das Ganze für das ungeschulte Auge erst einmal suspekt. Der visuelle Aufbau kann sich von Schnittstelle zu Schnittstelle ändern, aber das Prinzip dahinter bleibt dasselbe.

Wichtige Parameter

Beim Aufbau eines REST API-Aufrufs wird zwischen bestimmten Parametern unterschieden. Die Parameter können Kopfdaten „Headers“, Rumpfdaten „Body“, Aufruftyp „POST oder GET“ oder Formatierungstypen „fullres oder minres“ sein.

Bei einem REST API-Aufruf wird je nach Aufruftyp unterschieden, welche Daten später zurückgeliefert werden. Mit einem „POST“ Aufruftyp möchte man bezwecken, dass auf dem Server, der über die URL angegeben wird, bestimmte Inhalte übertragen werden sollen. Das Bild zeigt z.B. einen Aufruf, der einen Server kontaktiert und sich versucht, sich auf ihm einzuloggen. Das kann daran erkannt werden, dass nach der URL-Angabe zum Server „https://server.gbs.com“ und der Angabe zur RESTful-Schnittstelle „/api/workflowmanager/“, die REST API-Methode „/common/login“ aufgerufen wird. In welchem Format die Daten zurückkommen, wird im „resultformat=“ Teil beschrieben.

Zusätzlich zu den oben beschriebenen Aspekten sollte noch beachtet werden, ob für den REST API-Aufruf bestimmte Kopfdaten benötigt werden. Häufiger werden bestimmte Kopfdaten benötigt, welche dann über die „Headers“ Sektion angegeben werden müssen. Wird z.B. mit einem „POST“ Aufruftyp versucht, eine andere Maschine zu kontaktieren, kann es notwendig sein, zusätzliche Informationen im Rumpf „Body“ anzugeben. Hier wird versucht, sich auf einem Server einzuloggen. Das Einloggen erfordert Benutzerdaten, um den Benutzer verifizieren zu können. Dies trifft sowohl beim manuellen Einloggen als auch beim Einloggen über einen REST API-Aufruf zu. Deswegen werden im Rumpf zusätzliche Informationen wie der Benutzername und das Benutzerkennwort benötigt. Je nachdem wie die RESTful-Schnittstelle des Servers eingestellt ist, könnten weitere Informationen benötigt werden.

Zusammengefasst braucht ein REST API-Aufruf also einen Aufruftyp (POST, GET, PUT, PATCH), eine Zieladresse (URL mit bestimmten Parametern) und bestimmte Informationen, die in Kopf- („Headers“) und Rumpfdaten („Body“) unterteilt sind.

Swagger

Genauso wie sich die Kommunikation zwischen Menschen verändert hat, so hat sich diese auch zwischen Maschinen verändert. Für die zwischenmenschliche Kommunikation sind mit der Zeit Werkzeuge dazugekommen, durch deren Hilfe es möglich ist, auf größere Distanzen mit anderen Menschen in Kontakt zu bleiben. Swagger ist ein ebenso hilfreiches Werkzeug, welches der Kommunikation zwischen Maschinen und Menschen dient. Swagger lässt sich in einer Webseite einpflegen und besitzt eine relativ einfache Oberfläche, die es dem Anwender der REST API-Methoden ermöglicht, diese schnell und einfach zu verwenden. Die URLs zu Swagger variieren von Unternehmen zu Unternehmen. Ein Beispiel einer möglichen URL zu Swagger kann wie folgt aussehen: „href=“https://server.gbs.com/api/workflowmanager/“

Popularität, Erweiterungsmöglichkeit, Dokumentierbarkeit und die einfache Handhabung von Swagger optimiert die Verwendung im Alltag bei der Entwicklung von Schnittstellen zwischen Software-Systemen. Durch die einfache Struktur und die meist gut dokumentierten REST API-Methoden, ermöglicht Swagger Anwendern mit geringen bis gar keinen Erfahrungen in der Programmierung, erfolgreich einen REST API-Aufruf zu verwenden.

Diana Maltseva, eine Bloggerin aus Minsk, schreibt in ihrem Blogbeitrag, dass die Benutzung von Swagger der beste Weg sei, Entwicklungen und wertvolle Informationen mit anderen Softwareentwicklern zu teilen.

Auch aus einer Statistik in der Präsentation der Swagger-Entwickler geht hervor, dass Swagger gegenüber anderen Hilfswerkzeugen mehr Ansehen genießt. Die Präsentation kann hier angesehen werden.

Swagger in GBS-Lösungen integriert

REST API Bei GBS nutzen wir Swagger und haben es in unseren Produkten wie die iQ.Suite, GBS Workflow Manager oder dem GBS Retirement Manager eingebunden. Dort können schnell neue REST API-Methoden hinzugefügt, dokumentiert oder genutzt werden. Durch die oben bereits erwähnte Oberfläche, lässt es sich leicht durch die einzelnen Abschnitte navigieren und bei Bedarf auch schnell bestimmte REST API-Methoden ausführen. Durch die gute Struktur und der Möglichkeit Swagger an die eigenen Bedürfnisse anzupassen, kann sich Swagger bestens in die GBS-Produkte integrieren lassen. Das Aussehen der Oberfläche sieht beim GBS Workflow Manager aus, wie im linken Bild veranschaulicht ist.

REST API Sollen REST API-Methoden über Swagger getestet werden, so sollte sich auf die Swagger-Webseite eingewählt und anschließend die gewünschten Methoden aufgeklappt werden. Zum Testen werden bestimmte Informationen in den einzelnen REST API-Methoden benötigt, die aber auch in Swagger angezeigt werden. Das Aussehen einer aufgeklappten REST API-Methode kann beispielhaft dem beistehenden Bild entnommen werden.

REST API Um die Methode zu testen, sollten die oben geforderten Informationen übergeben und anschließend auf den unten stehenden Knopf „try it out!“ geklickt werden. Wurde der Knopf gedrückt, so wird sofort eine Statusmeldung angezeigt, ob die Methode erfolgreich ausgeführt werden konnte oder nicht. Außerdem kann eine Legende der einzelnen Statuscodes angezeigt werden, dies hängt jedoch davon ab wie die Oberfläche von Swagger angepasst wurde. Bei einer Methode des GBS Workflow Manager kann dies so wie in nebenstehender Abbildung aussehen.


Übersicht über Prozessinstanzen

REST API Als Anwendungsfall kann z.B. eine Excel-Tabelle fungieren, mit der Daten aus dem GBS Workflow Manager geholt und mit den Excel-typischen Funktionen als Pivot-Tabelle oder Diagramm veranschaulicht werden können.

Damit der Anwender keine programmatischen Änderungen vornehmen muss, bietet es sich an, in der Excel-Tabelle einen Konfigurationsbereich zu integrieren. In diesem Anwendungsfall (Dashboard) sollen Daten aus bestehenden Systemen, z.B. einem Cloud-System abgeholt werden. Hierfür werden vom Dashboard bestimmte Informationen benötigt, welche in einem Konfigurationsbereich eingetragen werden. In der beistehenden Abbildung wird der Konfigurationsbereich gezeigt, der in zwei Abschnitte unterteilt ist. Der rechte Abschnitt besteht aus mehreren Zeilen, die bestimmte Informationen verlangen. Wurden alle Informationen übergeben, so kann im linken Abschnitt des Konfigurationsbereichs durch den Knopf „Importiere Daten“ der REST API Aufruf gestartet werden.

Wird der REST API-Aufruf gestartet, überprüft dieser zuerst, ob alle benötigten Informationen übergeben wurden. Fehlt eine der Informationen, wird der Anwender dazu aufgefordert diese nachzutragen. Sind bestimmte Informationen, wie beispielsweise die URL fehlerhaft, so kommt es zu einer Fehlermeldung, die anschließend dem Anwender angezeigt wird.

Die geholten Daten werden unterhalb des Abschnitts „Daten“ spezifiziert. Um diese passend einzustellen, wird jedoch Erfahrung in der Programmierung oder Hintergrundwissen benötigt, weswegen dies genauer in einem GBS Knowledge Base-Beitrag zum Thema erklärt wird.

Wurden alle Einstellungen getroffen und der REST API-Aufruf ausgeführt, werden als Resultat die gewünschten Daten unterhalb des Bereichs „Daten“ eingetragen. Falls es vom Anwender gewünscht ist, können diese Daten nun in Pivot-Tabellen und -Diagrammen visualisiert werden. Die Diagramme können in den Pivot-Tabellen nach bestimmten Kriterien gefiltert werden, um bestimmte Sachverhalte abzubilden. Nach einmaligem Ausführen des REST API-Aufrufs, werden die Daten aus den Pivot-Tabellen und -Diagrammen automatisch aktuell gehalten.

Alle Informationen auf einen Blick

REST API In der Abbildung ist eine mögliche Visualisierung zu sehen.

Man erhält mit einem Blick alle Informationen grafisch visualisiert angezeigt. Durch die Visualisierung in Microsoft Excel wird auch gewährleistet, dass die Diagramme schnell in Präsentationen eingefügt werden können und damit eine aussagekräftige Übersicht ihre Präsentation unterstützt. Unternehmen, die sich z.B. mit Kalkulationen beschäftigen, können mit solch einer Excel-Tabelle mit Leichtigkeit bestimmte Posten einer Kalkulation herausholen und anschließend als Grafik darstellen.

Unternehmen oder Abteilungen, die prozessorientiert am selben Dokument arbeiten, können so z.B. durch die Angabe eines Status eine einfache grafische Übersicht erhalten, die anzeigt, welche Dokumente sich in welchem Status befinden und wie viele Dokumente einen bestimmten Status besitzen.

Fazit

Zusammenfassend lässt sich also sagen, dass die Verwendung einer RESTful-Schnittstelle mithilfe von Swagger eine gute Lösung für verschiedenste prozessorientierte Verarbeitungen darstellt. Auf dieser Basis kann der Anwender relativ schnell und einfach eine grafische und aussagekräftige Lösung erstellen.

Der Beitrag M2M – Wenn Maschinen miteinander kommunizieren erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Office 365 im Trend

28. Februar 2019 Posted by Dr. Rolf Kremer

Low-code Workflows umsetzen mit Office 365

Office 365 erfreut sich weiterhin steigender Beliebtheit. Im Oktober 2018 gab Microsoft in einem Bericht bekannt, dass die Nutzerzahlen im kommerziellen Bereich auf 155 Millionen Nutzer angestiegen sind. Gegenüber Oktober 2017 bedeutet dies einen Anstieg um 35 Millionen Benutzer in nur einem Jahr. In einer Studie vom Herbst letzten Jahres wurde im deutschsprachigen Raum ermittelt, dass mittlerweile 48 Prozent der befragten Teilnehmer Office 365 nutzen, während 46 Prozent ausschließlich den SharePoint Server als On-Premise-Variante nutzen und 25 Prozent beide Varianten nutzen.

Microsoft PowerApps und Microsoft Flow

Workflows in Office 365 In Office 365 stehen mit Microsoft Flow und Microsoft PowerApps zwei Werkzeuge zur Umsetzung von Geschäftsprozessen zur Verfügung. Microsoft Flow ist geeignet für kleinere, wiederkehrende Routineaufgaben, für die der Anwender selbstständig Workflows erstellen kann. Es richtet sich vornehmlich an Anwender ohne Programmierkenntnisse, aber mit etwas technischen Hintergrundwissen. Mit Flow können insbesondere Workflows erstellt werden, die verschiedene Services verbinden können. Zum Beispiel kann ein Workflow erstellt werden, der die Dateianhänge aus E-Mails in einem Ordner in OneDrive oder in eine Dropbox ablegt. Dazu stehen vorgefertigte Konnektoren zur Verfügung. Zu den Workflows können weitere Mitarbeiter eingeladen werden oder es wird von Anfang an ein teamübergreifender Workflow erstellt. Damit die Erstellung solcher Workflows einfach durchgeführt werden kann, stehen Vorlagen zur Verfügung, die mit geringen Änderungen an die eigenen Bedürfnisse angepasst werden können.

Im Gegensatz zu Microsoft Flow können mit Microsoft PowerApps komplette Apps erstellt werden, welche anschließend auf einem mobilen Endgerät oder per Webbrowser genutzt werden können. Mit PowerApps können Mitarbeitern ohne Programmierkenntnisse eigene Apps für die Bewältigung kleinerer Aufgaben erstellen. Dafür steht ein visuelles Werkzeug zur Verfügung mit dem die Bildschirme (Formulare, Dialoge, Aktionen) erstellt werden können. Ähnlich wie bei Flow stehen auch bei PowerApps diverse Vorlagen bereit, die als Grundlage für die eigene App genutzt werden können. Das zuvor beschriebene Beispiel mit Flow könnte mit PowerApps erweitert werden, so dass in einer App eine Auswertung der abgelegten Dateien in OneDrive oder Dropbox angezeigt wird.

Kombination verringert Kosten

Forrester hat in einer von Microsoft beauftragten Studie ermittelt, dass durch den Einsatz von PowerApps und Flow die Kosten für die Entwicklung und den Betrieb einer Anwendung deutlich verringert werden konnten. Als neue Lösung hat Microsoft nun die Produkte PowerApps, Flow mit Power BI zur Microsoft Power Platform kombiniert. Auf der Power Platform können Prozess-getriebene Lösungen mit einer Automatisierung und umfangreichen visuellen Dashboards unter Office 365 und Dynamics 365 entwickelt werden.

Sowohl den PowerApps als auch Flow ist gemein, dass Mitarbeiter ohne Programmierkenntnisse eigene kleine Lösungen entwickeln können, die ihnen oder ihrem Team bei der Bewältigung von Arbeitsaufgaben helfen. Komplexere Workflows, bei denen mehrere Mitarbeiter und umfangreiche Entscheidungsregeln involviert sind, können damit jedoch nicht umgesetzt werden. Dazu werden andere Workflow-Tools benötigt. Die bereits erwähnte SharePoint-Studie ermittelte, dass 55 Prozent der befragten Unternehmen für die Workflow-Automatisierung zwar Microsoft SharePoint nutzen, jedoch lediglich 11 Prozent mit den Standard-Tools für Workflow-Unterstützung von SharePoint zufrieden sind.

Workflow-Unterstützung in SharePoint Online

Workflows in Office 365
Diese Unzufriedenheit kann die Ursache in dem unzureichenden Funktionsumfang haben, den die Standard-Tools, zu denen der SharePoint Designer gehört, anbieten oder an der langen Einarbeitungszeit, die bei Verwendung der Entwicklungsumgebung Visual Studio anfällt. So stößt der SharePoint Designer bei der Abbildung von produktiv zu nutzenden Workflows schnell an seine Grenzen. Beispielsweise können keine Workflows kopiert werden und die Unterstützung von Schleifen ist eingeschränkt. Zudem wurde der SharePoint Designer in der aktuellen Version 2013 zuletzt nicht mehr weiterentwickelt. Bei einer Neuentwicklung sollte somit überlegt werden, ob es sich noch lohnt in ein älteres, nicht zukunftsweisendes System, Aufwand zu investieren. Die Alternative direkt in Visual Studio Workflows zu implementieren hat den Vorteil, dass damit äußerst leistungsfähige Workflows umgesetzt werden können. Nachteilig wird sich jedoch der hohe Aufwand aus, da für die Implementierung Mitarbeiter mit entsprechenden Programmierkenntnissen notwendig sind. Die Mitarbeiter in den Fachabteilungen verfügen jedoch in der Regel über keine Programmierkenntnisse. Lediglich geringe Kenntnisse in HTML, JavaScript sowie der Excel Makrosprache sind oftmals anzutreffen.

Doch genau die Mitarbeiter in den Fachabteilungen verfügen über das Fachwissen um Geschäftsprozesse elektronisch abbilden zu können. SharePoint stellt „von Haus aus“ bereits ein paar vordefinierte Workflows zur Verfügung:

  • Die Genehmigung von Dokumenten oder Elementen
  • das Sammeln von Feedback
  • zur Signaturerfassung für Dokumente oder Elemente, die signiert werden müssen
  • Workflow mit drei Statuswerten beispielsweise um eine mehrstufige Genehmigung durchzuführen
  • Workflow zur Genehmigung von Inhalten auf Websites

Diese eignen sich für kleinere Workflows, insbesondere um mit der Umsetzung von Workflows die ersten Schritte durchführen zu können. Für etwas komplexere Geschäftsprozesse sind diese Workflows jedoch nicht geeignet.

Werkzeuge für den Fachanwender

Workflows in Office 365 Damit der Fachanwender seine Geschäftsprozesse selbst modellieren kann ist es sinnvoll, ihm einfach zu verstehende Werkzeuge an die Hand zu geben. Für die Workflow-Modellierung hat sich in den letzten Jahren der Defacto-Standard BPMN 2.0 (Business Process Model and Notation, Version 2.0) etabliert. Die Verwendung von BPMN 2.0 hat ferner den Vorteil, dass damit erstellte Workflows-Definitionen auch von anderen Systemen, die den Standard unterstützen, genutzt werden können. Zudem gibt es eine Vielzahl an Literatur, Videos, Webinaren, Schulungen anhand derer eine einfache Einarbeitung möglich ist.

Des Weiteren ist es notwendig, dass die Geschäftsprozesse um zusätzlichen Programmiercode erweitert werden können, um die Funktionalität an die unternehmensspezifischen Gegebenheiten anzupassen. Dazu bieten die sogenannten Low-code Werkzeuge einfachere Optionen wie eine Code-Verwaltung zum Hinzufügen von Skriptbausteinen oder Plugins, Optionen zur Anpassung der Benutzerschnittstelle und Funktionen zum Datenaustausch mit Drittsystemen an. Insbesondere die Erweiterung um Konnektoren zu Drittsystemen ist für einen produktiven Einsatz wichtig, da für die Durchführung der meisten Geschäftsprozesse Daten aus unterschiedlichen Systemen integriert werden müssen. Aus diesem Grund ist es auch zwingend erforderlich, dass der Datenschutz-Aspekt in den verwendeten Systemen nicht vernachlässigt wird. In den meisten Geschäftsprozessen werden Daten von Mitarbeitern oder von externen Personen verwendet.

GBS Workflow Manager für Office 365

Workflows in Office 365 Die GBS bietet mit dem GBS Workflow Manager für Office 365 ein Werkzeug an, mit dem Workflows auf Basis von BPMN 2.0 entworfen werden können. Diese werden in SharePoint-native Workflows umgewandelt und können direkt in SharePoint ausgeführt werden. Für jede Workflow-Aufgabe kann ein Formular definiert werden, welches es dem Anwender ermöglicht, die Daten pro Workflow-Aufgabe einzugeben. Der GBS Workflow Manager kann sowohl SharePoint On-Premise als auch mit SharePoint Online genutzt werden. Des Weiteren stehen sofort einsetzbare Workflow-Vorlagen zur Verfügung, welche durch die grafischen Werkzeuge, dem Workflow Designer und dem Form Designer einfach angepasst werden können. Zudem werden ein Active Directory, Azure Active Directory oder ein Active Directory Federation Services zur Benutzer-Authentifizierung unterstützt.

Der GBS Workflow Manager für Office 365 kann flexibel gehostet werden. In der Standardversion erfolgt das Hosting in einem Rechenzentrum in der EU. Jedoch dann der sich im Hintergrund befindliche GBS Workflow Manager Server auch auf der Azure-Plattform, in anderen Rechenzentren, wie beispielsweise in Deutschland, oder in der jeweils Unternehmenseigenen Infrastruktur betrieben werden. Lediglich die Daten, die in Office 365 verwaltet werden, sind dann in den Rechenzentren gespeichert auf denen Office 365 gehostet ist. Bei der Einrichtung, Migration oder Einführung von Workflows auf Office 365 unterstützt Sie auch unser Professional Service-Team.

Welche Erfahrungen haben Sie bereits mit Microsoft Flow oder Microsoft Power Apps gemacht bzw. wie erstellen Sie in Ihrem Unternehmen Ihre Workflows selbstständig?

Der Beitrag Office 365 im Trend erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Oracles Ankündigung: Ab Java 11 ändern sich Release-Zyklen, Support- und Lizenzmodelle

7. Februar 2019 Posted by Dr. Rolf Kremer

Was kommt auf Java-Anwender zu?

Oracle Java Die Java-Technologie mit der Programmiersprache Java erfreut sich seit sehr vielen Jahren großer Beliebtheit. Viele im produktiven Einsatz befindlichen Software-Systeme wurden mit einer Java Entwicklungsumgebung (Java Development Kit, JDK) entwickelt und werden auf einer Java Laufzeitumgebung (Java Runtime Environment, JRE) ausgeführt. Java wurde ursprünglich von Sun Microsystems entwickelt. Seit dem Verkauf von Sun Microsystems an Oracle im Jahr 2010 wird die Java Technologie von Oracle weiterentwickelt. Im Juni 2018 kündigte Oracle an, dass die Updates zu den Java-Versionen nach einer kurzen kostenlosen Supportzeit nur noch mit einem kostenpflichtigen Support für die kommerzielle Nutzung erhältlich sind. Lesen Sie hier Oracles Ankündigung. Damit einher geht auch eine Änderung des Releasezyklus von Java.

Oracle Java Durch die bisherigen langjährigen Release- und Supportzyklen konnten die mit Java entwickelten Anwendungen für eine bestimmte Java-Version entwickelt und lange Zeit mit der gleichen Java-Version betrieben werden. Dieses Vorgehen ersparte viel Aufwand, da eine Anpassung auf eine neue Version oftmals nicht erforderlich war. Die neueren kürzeren Release- und Supportzyklen erlauben dieses Vorgehen nicht mehr. Wie von anderen Anwendungen bekannt, beispielsweise den Web-Browsern (wie Firefox oder Google Chrome), sollen neue Java-Versionen nun innerhalb von sechs Monaten veröffentlicht werden. Der Support der Versionen wird auf sechs Monate beschränkt. Ausgenommen davon sind die sogenannten Long Term Support-Versionen (LTS-Versionen), bei denen der Support weiterhin für mehrere Jahre übernommen wird. Die Version 8 ist eine solche LTS-Version. Kostenlose Updates für kommerzielle Anwender waren  jedoch nur bis Ende Januar 2019 verfügbar. Ab der Version 9 sind Updates nur noch bis zum Release der Nachfolgeversion erhältlich. Die nachfolgende LTS-Version ist die Version 11. Die von Oracle bereitgestellten JDK- und JRE-Versionen sind ab Java 11 kostenfrei nur noch in Entwicklungs- und Testumgebungen nutzbar. Für die Nutzung der JRE in einer produktiven Umgebung ist der Abschluss eines kommerziellen Support-Vertrags bei Oracle notwendig.

Update-Strategien

Oracle Java Ein Hauptvorteil des schnelleren Release-Zyklus ist auch die schnellere Bereitstellung neuer Funktionen. Dieser Vorteil ist für die Java-Anwender gültig. Daneben hat Oracle selbst einen Vorteil, denn der Support muss nicht mehrere Versionen parallel anbieten. Wird Java zum Betrieb einer Anwendung verwendet, sollte frühzeitig eingeplant werden, wie und wann eine Umstellung auf eine neuere Java-Version durchgeführt wird. Strategien können sein:

  • Die erste Strategie ist, alle sechs Monate auf die jeweils neueste Java-Version umzusteigen. Dies hat den Vorteil, dass dadurch alle neuen Funktionen und Sicherheitsupdates genutzt werden können. Zudem ist der Aufwand für ein Updates von einer Version zur direkt nächsten Version oftmals geringer, als wenn ein oder mehrere Versionen ausgelassen werden. Ferner ist so sichergestellt, dass alle veröffentlichten Bugfixes und Sicherheitsupdates auch ohne kommerziellen Support-Vertrag erhalten werden. Nachteilig wirkt sich jedoch der regelmäßige Aufwand aus, insbesondere bei der Qualitätssicherung, um sicherzustellen, dass die Anwendung auch mit der neuesten Java-Version fehlerfrei funktioniert.
  • Eine zweite Strategie ist die Aktualisierung von einer LTS-Version zur nächsten. Dies hat den Vorteil, dass eine Anwendung relativ viele Jahre mit einer einzigen Version betrieben werden kann. Um Sicherheitsupdates zu erhalten, ist jedoch der Erwerb eines kommerziellen Supports notwendig. Zudem kann der Migrations-Aufwand von einer LTS-Version zur nächsten höher ausfallen, als wenn immer auf die direkt nächste Version gewechselt wird.
  • Eine dritte Strategie ist, unabhängig von den Java-Versionszyklus zu bleiben. Es wird nur dann ein Update durchgeführt, wenn dieses erforderlich ist. Dies kann der Fall sein, wenn neue Java-Funktionalitäten verwendet werden sollen oder abhängige Systemkomponenten aktualisiert werden müssen und diese eine neuere Java-Version voraussetzen. Bei der Verwendung der Oracle JRE/JDK-Version muss in diesem Fall auf Updates oder Bugfixes verzichtet werden, falls kein kommerzieller Support-Vertrag existiert.

Subskriptions

Oracle Java Oracle bietet zwei Subskriptions an, die sich bezüglich der Art der Anwendung unterscheiden lassen:

  • Beim „Java SE Subscription“-Modell erfolgt die Abrechnung pro Prozessor und ist deshalb für Java-Anwendungen konzipiert, welches auf einem Server eingesetzt werden.
  • Falls noch Java-Client-Anwendungen eingesetzt werden, kann das „Java SE Desktop Subscription“-Modell verwendet werden, bei dem die Lizensierung pro Anwender erfolgt.

Zu berücksichtigen ist, dass es neben Oracle noch andere (große) Softwareanbieter gibt, die Java unter einer eigenen Lizenz anbieten, da sie spezielle Abkommen mit Oracle haben. So weist IBM daraufhin, dass für die Nutzung von Java in ihren eigenen Produkten, wie IBM Notes und IBM Domino, eigene Lizenzbestellungen gelten. Aus diesem Grund können IBM Notes und IBM Domino weiter betrieben werden, ohne dass die Änderung von Oracle eine Auswirkung hat. Ebenfalls sollte berücksichtigt werden, dass es neben Oracle noch andere Unternehmen gibt, die einen kostenpflichtigen Support von Java anbieten.

OpenJDK

Oracle Java Neben diesen beiden Versionen stellt Oracle eine Community-Version namens OpenJDK kostenlos zur Verfügung, welche sich auch in einer produktiven Umgebung kostenlos nutzen lässt. Das OpenJDK enthält alle Bestandteile des Oracle JDKs, um eine Laufzeitumgebung für Java bereitzustellen. Deshalb wird das OpenJDK in vielen anderen Open Source-Projekten wie beispielsweise Linux verwendet. Die Releases vom OpenJDK stehen kostenlos zum Download parat.

Beim Support hat das OpenJDK den Vorteil, dass der kostenlose Support für LTE-Versionen länger verfügbar ist als der von Oracle. Beispielsweise wird der Support beim OpenJDK für die Version 11 bis Ende September 2022 angeboten. Oracle bietet für ihre JDK-/JRE-Versionen lediglich einen kostenpflichtigen Support bis September 2026 an. Weitere Informationen zu den geplanten Releases und deren Support sind auf der Webseite von OpenJDK zu finden.
Neben Oracle gibt es jedoch auch andere Anbieter, welche ebenfalls eine Java-Laufzeitumgebung zur Verfügung stellen. Diese Produkte basieren meistens ebenso auf dem OpenJDK. Auch gibt es weitere Unternehmen, die einen kostenpflichtigen Support für Java anbieten.

GBS-Produkte

Die GBS verwendet Java schon seit sehr vielen Jahren als eine der Hauptprogrammiersprachen für die eigen-entwickelten Produkte. Hierzu gehören die E-Mail-Security-Lösung iQ.Suite CryptPro und Teile der Workflow-Management-Lösung GBS Workflow Manager. Diese Produkte werden wir in Zukunft auch auf die Lauffähigkeit unter dem OpenJDK überprüfen.

Bei Fragen wenden Sie sich bitte an unseren Support.

Der Beitrag Oracles Ankündigung: Ab Java 11 ändern sich Release-Zyklen, Support- und Lizenzmodelle erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Domino V10 ist da – flexibler und moderner

17. Januar 2019 Posted by Dr. Rolf Kremer

Langersehnte Domino-Version

Mit Spannung erwartet: Erwartung erfüllt!

Im Herbst 2018 fanden in der Domino-Welt zwei Veränderungen statt. Zum einen wurde Anfang Oktober erstmals seit fünf Jahren wieder ein Major-Release von Domino veröffentlicht. Diese langersehnte Version 10 wurde mit Spannung erwartet, da es auch die erste Version war, die von der neuen Entwicklungsmannschaft von HCL entwickelt wurde. IBM hatte im Jahr 2017 die gesamte Verantwortung für die Domino-Entwicklung und den -Support an HCL übertragen.

IBM Domino V10 verfügbar Die zweite Neuerung war Anfang Dezember die Ankündigung, dass IBM einen Großteil ihrer Software-Kollaborationssparte an HCL veräußern wird. Dazu gehören die Produkte Connections, Verse und auch Domino, welches IBM vor über 20 Jahren von der damaligen Lotus Software Corporation übernommen hatte.
Auch wenn aufgrund der fehlenden Investitionen von Seiten des Herstellers, die Anzahl an Installationen des Notes Client und des Domino-Servers in den letzten Jahren immer weiter zurückgingen, gibt es immer noch eine Vielzahl an Unternehmen, bei denen viele – teilweise auch geschäftskritische – Anwendungen auf der Domino-Plattform laufen.

Forrester-Studie konstatiert Einsparungen

IBM Domino V10 verfügbar Dass der Einsatz von Domino immer noch einen Mehrwert für ein Unternehmen haben kann, ist ein Ergebnis einer aktuellen Studie von Forrester aus dem Jahr 2019, welche allerdings auch von IBM in Auftrag gegeben wurde. Darin bescheinigt Forrester, dass der Einsatz von Domino zu Einsparungen an Software-Lizenzkosten gegenüber der Verwendung von alternativen Produkten führen kann.

Ebenfalls kann der Einsatz von Domino zu Einsparungen bei Infrastruktur- und Mitarbeiterkosten führen, da mit Domino Geschäftsprozesse kostengünstiger als mit anderen Plattformen umgesetzt werden können und auch die Ressourcen-Anforderungen an einen Domino-Server im Vergleich zu alternativen Systemen günstiger sein können.

Details zur Version 10

In der neuen Version 10 wurden Erweiterungen unter anderem für die E-Mail-, Kalender- und Workspace-Funktionalitäten vorgenommen:

  • So kann nun zu jeder E-Mail eine Auslieferungszeit definiert werden, sofern sich das Empfänger-E-Mail-Konto auf einem Domino-Server in der Version 10 befindet. Dies kann bei der täglichen Arbeit den Vorteil haben, dass beispielsweise am Freitagnachmittag fertig gestellte Unterlagen erst am Montagmorgen beim Empfänger zugestellt werden. Dadurch wird der Empfänger nicht unnötig am Wochenende mit Arbeitsaufgaben belastet. Diese zeitgesteuerte E-Mail-Auslieferung funktioniert auch, wenn der E-Mail-Client beim Versender nicht zur Auslieferungszeit läuft.
  • Ferner können E-Mails nun als Anhang weitergeleitet werden und es können mehrere E-Mail-Signaturen angelegt werden. Dazu kann eine Standard-Signatur definiert werden und die anderen Signaturen können je nach Bedarf durch eine manuelle Aktion zu einer E-Mail hinzugefügt werden. Desweiteren versucht der E-Mail-Router nun periodisch eine E-Mail an einen Empfänger zu transferieren, wenn das Versenden einer E-Mail aufgrund eines Infrastruktur-Problems gescheitert war. Dazu kann der Administrator die Anzahl der Versuche des Routers konfigurieren.
  • Im Bereich des Kalenders können erhaltene Einladungen zu Besprechungen nun auch an andere Personen weitergeleitet werden ohne den Besprechungs-Eigentümer einzuschalten. Dieser kann diese zusätzlichen Einladungen jedoch zuvor verbieten.
  • Weitere Verbesserungen hinsichtlich der Benutzerfreundlichkeit betreffen die Volltextsuche, bei der die Indizierung der Dateianhänge optimiert wurde. Zudem wird der Index nun automatisch neu erstellt, nachdem eine Datenbank korrupt gegangen ist.
  • Auch das Erscheinungsbild des Notes Clients wurde optimiert. So kann ein Farbschema oder für bestimmte Komponenten eine individuelle Farbe definiert werden. Desweiteren kann ein individuelles Hintergrundbild für den Workspace definiert werden.
  • In den vergangenen Versionen gab es keine ausreichende Unterstützung von mobilen Geräten. Das soll mit den IBM Domino Mobile Apps geändert werden. Diese stellen einen Notes Client bereit, mit dem alle Domino-Anwendungen unverändert auf einem Apple iPad genutzt werden können. Ein paar Ausnahmen gibt es, wie beispielsweise Erweiterungen, die in Java programmiert sind, da Java auf einem iOS-Betriebssystem generell nicht zur Verfügung steht. Hier existiert eine Q&A-Seite. Die IBM Domino Mobile Apps sind zurzeit in einer Beta-Version verfügbar. Zur Teilnahme an dem Beta-Programm hat IBM eine Registrierungsseite eingerichtet.
  • Neben den genannten Erweiterungen gibt es auch eine neue ODS-Version. Diese unterstützt nun Datenbanken bis zu einer maximalen Dateigröße von 256 GByte gegenüber der bisherigen Beschränkung auf 64 GByte. Daneben können Folder-Namen nun 50-mal so lang sein wie zuvor und Feldnamen können eine Länge von 32 Bytes pro Namen haben.
  • Weitere wesentliche Neuerungen in der neuen Version sind für die Entwicklung von Anwendungen hinzugefügt worden. Setzte IBM bisher auf die selbst entwickelte XPages-Technologie werden durch HCL nun etablierte Tools bei der Web-Entwicklung wie Node.js oder React unterstützt. Mit dem neuen Node.js-Modul können eine Vielzahl an Operationen auf Dokumenten durchgeführt werden, welche sich in einer Datenbank auf einem Domino Server befinden. Die Domino Datenbank verhält sich bei Node.js wie eine NoSQL-Datenbank. Dazu steht als zusätzliche Erweiterung ein Domino AppDev Package zur Verfügung.
  • Dieses enthält zudem eine Server-Komponente namens Proton. Mit Proton können Remote Anfragen von Anwendungen vorgenommen werden, die auf Dokumente in einer auf einem Domino-Server befindlichen Datenbank ausgeführt werden. Mit Hilfe eines neuen Identity- und Access Management-Services können auf Basis von OAuth 2.0 andere Systeme, auf die auf einen Domino Server befindlichen Ressourcen sicher zugreifen.
  • Weiterhin wurde dem Domino AppDev Package mit der Domino Query Language, eine an SQL angelehnte, Sprache zur Verfügung gestellt. Mit dieser Sprache können große Dokumentenbestände schnell abgefragt werden. Das Domino AppDev Package wurde in der Version 1.0 vor kurzem veröffentlicht.
  • Auf Infrastruktur-Ebene sind ebenfalls Änderungen vorgenommen worden. So unterstützt Domino 10 nun die Linux Distribution CentOS, womit Docker Container erstellt werden können. Damit ergeben sich wesentliche Verbesserungen in einer einfacheren Bereitstellung von Domino-Servern. Aktuell stellt IBM jedoch noch kein vorkonfiguriertes Docker-Image von Domino 10 zur Verfügung.

#dominoforever

IBM Domino V10 verfügbar Wie zuvor erwähnt haben IBM/HCL einige Beta-Programme aufgelegt, um die Kunden frühzeitig in die Entwicklung einzubinden. So hatte die GBS im Sommer an dem Beta-Programm für Domino 10 teilgenommen. Dadurch konnten wir unsere Produkte bereits frühzeitig auf dem neuen System testen und die neuen Funktionserweiterungen auswerten, inwiefern diese Auswirkungen auf die Funktionalität der GBS Produkte haben.

Ideenforum und Webinare

IBM Domino V10 verfügbar Für alle, die sich an der Weiterentwicklung von Domino beteiligen möchten, wurde vom IBM & HCL Produktmanagement- und Entwicklungsteam zusätzlich ein Ideenforum einrichtet. Desweiteren gibt es neue Webinare unter dem Namen „Domino Tech School“. In den Social Media-Plattformen hat sich ferner das Hashtag #dominoforever für Themen rund um die Domino-Weiterentwicklung etabliert.

GBS unterstützt weiterhin Domino

Die GBS – langjähriger ISV für Domino-Lösungen – unterstützt mit ihren Lösungen auch Domino V10. Die GBS-Lösungen für die Domino-Plattform wurden nach dem Release 10 von Domino bei IBM zertifiziert. Auch in diesem Jahr stehen wieder umfangreiche Erweiterungen bei den GBS-Produkten für die Domino-Plattform auf den jeweiligen Produkt-Roadmaps an. Zu diesen GBS-Produkten gehören neben der E-Mail-Security-Lösung iQ.Suite auch die Workflow-Management-Lösung GBS Workflow Manager und die Migrationslösung GBS Retirement Manager Und sicherlich werden wir auch das bereits für dieses Jahr angekündigte Release 11 von Domino frühzeitig betrachten, um die Lauffähigkeit unserer Produkte entsprechend zu überprüfen.


Weitere Infos zum GBS Badge Profil

Der Beitrag Domino V10 ist da – flexibler und moderner erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

ISG Leader Quadrant: Hintergründe und Entstehungsgeschichte

7. November 2018 Posted by Robert Becker

ISG Provider Lens: Anbieter im Vergleich

Zum wiederholten Mal bescheinigte das unabhängige Marktforschungs- und Beratungsunternehmen ISG der GBS ein hoch attraktives Produkt- und Serviceangebot sowie Wettbewerbsstärke im Security-Umfeld. In diesem Jahr überzeugte GBS im großen Anbietervergleich die ISG-Analysten und positionierte sich in der Kategorie „Cyber Security Solutions & Services“ mit seinem DLP-Portfolio im Leader Quadranten.

80 Anbieter – die wichtigsten Hersteller und deren Angebote auf dem deutschen Markt – wurden für diese Studie evaluiert und bewertet. Sie wurden in unterschiedlichen Marktsegmenten einer detaillierten Analyse und Positionierung innerhalb der „ISG Insight-Quadranten“ unterzogen. Im heutigen Beitrag begeben wir uns auf Spurensuche und klären, wie diese Studien und die daraus resultierende Auszeichnung „Leader“ entstanden sind, welche Entwicklung und Bedeutung sie für die Teilnehmer und die gesamte IT-Branche hat.

Wie alles begann: Cloud Computing Anbieter im Vergleich

ISG Provider Lens Welches ist die richtige Cloud-Plattform für mein Unternehmen? Mit dieser Frage begann 2010 alles. Die damalige Experton Group, die 2016 vom amerikanischen Beratungs- und Marktforschungshaus Information Services Group (ISG) übernommen wurde und ab da unter dessen Namen auftrat, legte dazu erstmals eine vergleichende Studie zu den in Deutschland verfügbaren Cloud-Angeboten auf. Bewertet wurden die wichtigsten Hersteller gemäß ihrer Cloud-Angebote aus der Perspektive deutscher IT-Manager und Anwendungsentwickler.

Ausgangspunkt für diese Studie waren einige Kernprobleme, die CIOs damals hatten: Der Markt für Cloud Computing war um das Jahr 2010 herum intransparent, was Projekte sowie Investitionsentscheidungen in die noch junge, aber vielversprechende Technologie verzögerte. Stärken und Schwächen der Anbieter waren vielfach unklar und damit nicht miteinander vergleichbar. Zudem positionierten sich die Anbieter nicht klar nach Segmenten und Geografie.

Dank des Vendor Benchmarks ließen sich die Anbieter – übrigens bis heute – nach einer ausführlichen, mehrmonatigen Bewertung in fünf Kategorien einteilen:

  • Leader sind Anbieter mit einem hoch attraktiven Produkt- und Serviceangebot sowie einer ausgeprägt starken Markt- und Wettbewerbsposition. Sie sind strategische Taktgeber und Meinungsführer, ein Garant für Innovationskraft und Stabilität.
  • Product Challenger decken mit ihren Produkten und Services die Anforderungen der Unternehmen überdurchschnittlich gut ab, können aber in den verschiedenen Kategorien der Marktbearbeitung nicht die gleichen Ressourcen und Stärken vorweisen wie die als Leader positionierten Anbieter.
  • Market Challenger verfügen über eine hohe Wettbewerbsstärke, haben allerdings auf der Portfolio-Seite noch ausgeprägtes Verbesserungspotenzial. Oft sind es etablierte Anbieter, die Trends aufgrund ihrer Größe und Unternehmensstruktur nicht schnell genug aufgreifen und somit Optimierungspotentiale vorweisen.
  • Contender mangelt es noch an ausgereiften Produkten und Services bzw. einer ausreichenden Tiefe und Breite ihrer Angebote. Anbieter in diesem Bereich sind oft Generalisten oder Nischenanbieter.
  • Rising Star – dieses Prädikat erhalten Unternehmen mit hohem Zukunftspotential. Sie können zum Zeitpunkt der Auszeichnung ein vielversprechendes Portfolio vorweisen. Zudem verfügen sie über ein ausgezeichnetes Management mit Verständnis für den lokalen Markt.

Die ersten „Leader“

Insgesamt 11 Anbieter wurden damals untersucht. Bewertet wurden sie – ausgehend von den genannten Problemen – nach vier Kriterien: Zielgruppe, Cloud-Typologie, Leistungsspektrum und nach diversen Einzelkriterien wie beispielsweise Technologie und Infrastruktur. Zum ersten Mal erhielten CIOs damit eine echte Vergleichsbasis und Segmentierung. Die ursprünglich von Experton gesetzten Ziele allesamt erreicht:

  • Einheitlicher Marktüberblick der Cloud Computing Anbieter
  • Transparenz und Vergleichbarkeit der Stärken und Schwächen der Anbieter
  • Differenzierte Positionierung der Anbieter nach Segmenten
  • Klare Kriterien für das Erstellen von Shortlists und die Investitionsplanung
  • Anregungen für eigene Projekte und Benchmarks

Der erste Vendor Benchmark wurde demnach ein voller Erfolg – die Neuauflage des Anbietervergleichs in 2011 eine logische Konsequenz.

2011: Die Zahl der Teilnehmer steigt

ISG Provider Lens Diese Neuauflage lieferte dann nicht mehr nur eine strategische Bewertung im Bereich der Cloud Services (IaaS, PaaS, SaaS), sondern bewertete auch die Angebote im Bereich der Cloud Technologien. Von über 100 Anbietern von Cloud Technologien und Services wurden 58 Anbieter für den deutschen Markt als relevant identifiziert. Sie wurden einer detaillierte Analyse und Positionierung innerhalb der „Experton Market Insight-Quadranten“ unterzogen.

Im Vergleich zum Vorjahr stellte sich der Markt für Cloud Computing in Deutschland 2011 schon als deutlich gereift dar: Die Mehrheit der Anbieter hatte ihre Angebote überarbeitet und den lokalen Marktgegebenheiten angepasst. Zudem war die Auswahl der verfügbaren Services und Technologien gestiegen und die Mehrheit der Anbieter hatte ihre Preismodelle klarer strukturiert, die Marketingunterlagen „eingedeutscht“, erste lokale Referenzen gewinnen können und die Interoperabilität ihrer Lösungen vorangetrieben.

2013: Neue Technologien und IT-Trends erhalten eigene Kategorien

Untersuchte die Experton Group bis dato nur den Cloud-Markt, weitete sie ihre Beurteilung 2013 auch auf Anbieter im Mobile Enterprise- und Big Data-Markt aus. So lieferte sie mit der ersten Auflage ihres Anbietervergleichs im Big Data-Umfeld CIOs und IT-Managern erstmals konkrete Unterstützung bei der Evaluierung und Auswahl der für ihr Unternehmen geeigneten Big Data-Lösungsanbieter und -Dienstleister.

Analog dazu lieferte Experton die erste Auflage des Anbietervergleichs „Mobile Enterprise Vendor Benchmark 2013“ und unterstützte damit CIOs und IT-Manager bei der Evaluierung und Auswahl der für ihr Unternehmen geeigneten Mobile Enterprise Lösungs-Anbieter und Dienstleister im Client-Umfeld. Die wichtigsten IT-Dienstleister hinsichtlich ihrer Mobile Enterprise Angebote und –Expertise, sowie die wichtigsten Mobile Device Management Softwareanbieter hinsichtlich ihrer Leistungsfähigkeit und ihrer Zukunftsaussichten wurden nun bewertet und verglichen.

Die Aufnahme dieser beiden Kategorien wurde nötig, da kaum eine IT-Disziplin derart fundamentalen Veränderungen unterworfen war, wie die Client IT. Spielte der Client bis dato eine eher untergeordnete Rolle, war in der Regel hoch standardisiert und als nicht strategisch bewertet, hatte sich diese Rolle massiv verändert. Eine ganze Reihe unterschiedlicher Trends haben den Client in den Fokus gerückt, auch und insbesondere auf Geschäftsleitungsebene. Darunter beispielsweise auch der Einsatz von Endgeräten in Unternehmen, die eigentlich für den privaten Gebrauch gedacht waren. Aber auch die zunehmende Mobilität der Mitarbeiter stellte veränderte Anforderungen an die entsprechenden Endgeräte.

2014: GBS erstmals dabei – und wird Leader

ISG Provider Lens 2014 war auch unsere Stunde gekommen: GBS wurde gleich im ersten Social Business Vendor Benchmark – dem nunmehr vierten und jüngsten Anbietervergleich zum „Social Business Leader 2014“ im Bereich Integration Services gekürt. Erstmals hatten die Analysten dafür im Kontext von Social Business markt-relevante Software-Produkte und Services in neun Kategorien auf den Prüfstand gestellt. Hierzu untersuchte die Experton Group nach ihrer standardisierten und bewährten Methode 100 Social Business-Angebote in Deutschland. Im Ergebnis positionierte sie den GBS AppDesigner bei den „Integration Services“ im Leader Quadranten.

Mit dem „Social Business Vendor Benchmark 2013“ veröffentlichte die Experton Group die erste Auflage des Anbietervergleichs in dem Trendthema Social Business. Die Studie gab Entscheidern in Anwenderunternehmen erstmals einen detaillierten und differenzierten Überblick zu den wichtigsten Social Software- und Serviceanbietern sowie Beratungs- und Integrationsdienstleistern im deutschen Markt für das Jahr 2014.

2015: Sicherheit rückt in den Fokus – ein Rising Star wird geboren

Es sollte nicht die letzte Top-Platzierung im Bereich Social Business für uns sein. Nur ein Jahr später, 2015, konnten wir mit unserer intuitiven Lösung zur Erstellung von modernen Web-Anwendungen unsere führende Rolle im „Experton Social Business Vendor Benchmark 2015“ im Bereich Social Transformation unterstreichen. Und damit war noch längst nicht Schluss: Im Bereich E-Mail, Messaging und Collaboration gelang uns mit iQ.Suite die Positionierung als „Rising Star“ im Product Challenger Quadranten im erstmals veröffentlichten „Security Vendor Benchmark“. In 13 Kategorien hatte die Experton Group nach ihrer standardisierten und mehrstufigen Methode die Security-Angebote markt-relevanter Anbieter auf den Prüfstand gestellt. Mit der Auszeichnung „Rising Star“ wird übrigens gleichermaßen das Zukunftspotential wie auch die strategische Ausrichtung honoriert.

In den letzten Jahren ist die IT-Sicherheit neben Cloud Computing, Big Data, Social Business und Mobile Enterprise zentrales Thema der Information-and-Communication-Technology-Branche (ICT) geworden. Insbesondere vor dem Hintergrund steigender Datenschutzanforderungen haben Sicherheitsaspekte in der E-Mail-Kommunikation und in der unternehmensübergreifenden Zusammenarbeit immer mehr an Bedeutung gewonnen. Themen wie Data Leakage Prevention und Verschlüsselung rückten zunehmend in den Fokus: Kunden verlangten immer stärker nach Lösungen, die durchgängigen Schutz bieten und einen vertrauensvollen Umgang mit Daten gewährleisten.

2016: Netzwerke, Industrie 4.0 und der Digital Workspace vervollständigen die Benchmarks

Die Zeit blieb nicht stehen – neue IT-Trends verlangten nach neuen Benchmarks, darunter Industrie 4.0/IoT Vendor Benchmark, WAN Services/ SDN Vendor Benchmark, der Digital Workspace Service Provider Benchmark sowie Digital Workspace Vendor Benchmark. Insgesamt 10 verschiedene Anbietervergleiche veröffentlichte die Experton Group fortan.

Der Digital Workspace – und als integraler Bestandteil Mobile Enterprise – ist neben Cloud Computing, Big Data, Social Business und Security zentrales ICT-Thema geworden. Vor diesem Hintergrund startet die Research-Phase der ersten Auflage des „Digital Workspace Vendor Benchmarks“ für Deutschland. Ein zentrales Thema wurde 2016 auch das Netzwerk als Enabler vieler ICT-Themen wie Cloud Computing, Big Data, Social Business und Mobile Enterprise. Software Defined Networks und innovative WAN Angebote wurden in dieser Zeit zum Teil heiß diskutiert – für Experton der Startschuss für die Research-Phase der ersten Auflage des „WAN Services und SDN Vendor Benchmarks 2016“ für Deutschland.

Mit Industrie 4.0 (I4.0) und dem Internet of Things (IoT) wurden zudem Begriffe geprägt, um die zunehmende Digitalisierung unserer Welt zu beschreiben. Beide Begriffe greifen die gleiche Veränderungsdynamik auf – die zunehmende Vernetzung und Automatisierung von Geräten und Maschinen – setzen jedoch unterschiedliche Schwerpunkte in der Betrachtungsweise: Industrie 4.0 beschäftigt sich im Kern mit dem Produktionsprozess in einer „Smart Factory“. Die intelligente Fabrik basiert auf hoch vernetzten und automatisierten Maschinen und erlaubt somit die effiziente Produktion bis hin zur Losgröße 1. Das Internet der Dinge fokussiert sich dagegen nicht auf die Produktion, sondern auf die Nutzung von digitalisierten und vernetzten Produkten und Geräten, die als Grundlage für neue, intelligente Services eingesetzt werden können.

GBS wurde „Rising Star“ im Bereich Data Leakage Prevention

Experton Security Rising Star Germany Erstmalig wurde GBS mit der iQ.Suite auch im Quadranten für Data Leakage Prevention (DLP) bewertet und erlangte hier die Auszeichnung als „Rising Star“. Die auf dem deutschen Markt relevanten DLP-Lösungen wurden von den Experton-Analysten unter anderem nach Kriterien wie der Möglichkeit zur Klassifizierung von Daten und der Fähigkeit, individuelle Black- und Whitelists zu nutzen, bewertet. Aufgrund ihrer innovativen Technologie, welche eine präzise Kontrolle des E-Mail-Verkehrs erlaubt, wurde das Unternehmen deshalb als „Rising Star“ positioniert. Die E-Mail Experten von GBS legten in der Weiterentwicklung ihrer DLP-Lösung besonderes Augenmerk darauf, Verhaltensanomalien in der elektronischen Kommunikation zu erkennen.

2017: GBS als Leader bei Data Leakage Prevention ausgezeichnet

Mit der 8. Auflage des Experton Group Cloud Vendor Benchmark Deutschland erfolgte 2017 das Re-Branding auf „ISG Provider Lens Germany 2017 Cloud Transformation/Operation Services & XaaS“ und auch die Studie wurde umbenannt. In der ISG-Studie „Provider Lens Germany 2018 – Security Services & Solutions“ wurde GBS als einer der führenden Security-Lösungsanbieter und -Dienstleister im Markt für Data Leakage Prevention positioniert und schaffte es mit seiner für Microsoft Exchange, Office 365 und IBM Domino Verse verfügbaren E-Mail-Management Lösung iQ.Suite in den Leader-Quadranten. Damit konnte die Position im Vergleich zum Vorjahr weiter verbessert werden. Die technologische Weiterentwicklung der Lösung und die Fokussierung auf die Verbesserung der Datensicherheit – gerade vor dem Hintergrund der kommenden EU-DSGVO – trugen maßgeblich dazu bei.

2018: Sicherheit der IT-Infrastruktur wird Brennpunkt-Thema

ISG Provider Lens Machen wir einen Sprung ins Jahr 2018: GBS wurde in der  ISG-Studie „Provider Lens Germany 2019 – Cyber Security Solutions & Services“ als einer der führenden Security-Lösungsanbieter und -Dienstleister im Markt für Data Leakage Prevention eingestuft. Im Zuge der fortschreitenden Digitalisierung der Geschäftswelt rückt die Sicherheit der IT-Infrastruktur stärker in den Brennpunkt. Weltweite Angriffe durch Verschlüsselungstrojaner zu Beginn des Jahres und großangelegte Hackerangriffe belegten, wie sehr Unternehmen in die Schusslinie von Cyberkriminellen geraten sind und wie hoch die Gefährdungslage ist. Kurzum: In der aktuellen Ausgabe des Anbietervergleichs im Security-Umfeld überzeugten wir die Analysten und schafften es mit unserer E-Mail-Management Lösung iQ.Suite zum wiederholten Mal in den Leader-Quadranten.

ISG Provider Lens Außerdem neu in diesem Jahr: Der Anbietervergleich „ISG Provider Lens Germany 2019 – Infrastructure & Application Sourcing“, mit dem ISG den CIOs und IT-Managern konkrete Unterstützung bei der Evaluierung und Auswahl der für ihr Unternehmen geeigneten Infrastructure & Application Sourcing -Providern lieferte. Hintergrund für diese neu aufgelegte Studie ist die zunehmende digitale Transformation von Geschäftsprozessen, Unternehmen und Geschäftsmodelle, für die neue technologische Grundlagen geschaffen werden müssen, um den steigenden Anforderungen an eine dynamische, globalisierte und „Echtzeit-getriebenen“ Welt gerecht zu werden. Die meisten Unternehmen jedoch sehen sich für die anstehenden Herausforderungen auf IT-Seite aktuell nur unzureichend gerüstet. Die ständig steigenden Anforderungen in diesem Umfeld können Unternehmen nicht mehr allein bewältigen. Aus Sicht der ISG kann nur eine unternehmensweite Sourcing-Strategie die gestellten Anforderungen erfüllen.

Fazit

Die ISG Provider Lens Studien analysieren und bewerten in einem etwa dreimonatigen, mehrstufigen Research-Prozess die Anbieter in einem bestimmten Thema und Markt. Unabhängig und kontinuierlich erhalten CIOs und IT-Manager durch die Studien konkrete Unterstützung bei der Evaluierung und Auswahl der für ihr Unternehmen geeigneten Vendors sowie Insights zu den Markttrends der kommenden Jahre. Wir sind gespannt, wie es weitergeht!

Der Beitrag ISG Leader Quadrant: Hintergründe und Entstehungsgeschichte erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Bitkom-Studie: Zahlen lassen aufhorchen

9. Oktober 2018 Posted by Diana Jensen

Achtung Datenklau: Angreifer haben Kommunikationsdaten im Visier

Bitkom-Studie Bei digitalen Angriffen auf deutsche Unternehmen fließen von den als kritisch zu betrachtende Daten vor allem Kommunikationsdaten wie E-Mails, Kunden- und Finanzdaten ab: Laut einer neuen Bitkom-Studie vom September 2018 wurden bei fast der Hälfte aller Industrieunternehmen, nämlich 48 Prozent, in den vergangenen zwei Jahren vor allem Kommunikationsdaten gestohlen. Bei jedem fünften Unternehmen flossen durch digitale Angriffe Kundendaten (21 Prozent) und Finanzdaten (20 Prozent) ab. Patente und Ergebnisse aus Forschung und Entwicklung fielen hingegen nur bei jedem zehnten Unternehmen in kriminelle Hände gefallen.

Bitkom-Studie 503 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Industriebranchen befragte der Digitalverband Bitkom für seine Studie. Die nun veröffentlichten Zahlen lassen aufhorchen. Das Auffälligste: Im Schnitt 70 Prozent der kleinen und mittelständigen deutschen Unternehmen musste zugeben, in den vergangenen zwei Jahren Opfer oder vermutlich Opfer von kriminellen Attacken geworden zu sein. Dabei schneidet die Gruppe mit 100 bis 499 Beschäftigten besonders schlecht ab: 73 Prozent waren hier von Datendiebstahl, Sabotage oder Spionage betroffen. Am besten kommen noch Konzerne mit mehr als 500 Mitarbeitern weg – wenngleich auch hier von entspanntem Zurücklehnen keine Rede sein kann: Vergleichsweise „nur“ 60 Prozent der Befragten wurden Opfer digitaler Angriffe.

Schaden durch illegalen Wissenstransfer, Industriespionage und Social Engineering

Bitkom-Studie Die Bitkom-Studie zeigt: Wer nicht in die Sicherheit seiner Unternehmens-IT investiert, handelt grob fahrlässig. Die Bitkom wollte es aber noch genauer wissen und hakte im Rahmen ihrer Studie nach, durch welche kriminellen Attacken Unternehmen geschädigt wurden. Die Ergebnisse zeigen, dass illegaler Wissenstransfer, Industriespionage und Social Engineering an der Tagesordnung sind: Bei fast einem Drittel der Unternehmen (32 Prozent) wurden demnach IT- oder Telekommunikationsgeräten, bei einem knappen Viertel (23 Prozent) sensible digitale Daten bzw. Informationen gestohlen. Immer öfter beobachten die befragten Industrieunternehmen auch die gezielte soziale Manipulation von Mitarbeitern. Insgesamt 24 Prozent von ihnen gab an, dass mit Hilfe von Social Engineering die eigenen Mitarbeiter dazu gebracht wurden, vertrauliche Informationen preiszugeben. Bei 11 Prozent der Unternehmen wurde die digitale Kommunikation ausgespäht, beispielsweise E-Mails oder Messenger-Dienste. Weitere 26 Prozent vermuten zumindest, dass ihre Kommunikation ausgespäht wurde. Zudem berichtet jedes fünfte Unternehmen (19 Prozent), dass seine Informations- und Produktionssysteme oder Betriebsabläufe digital sabotiert wurden; 28 Prozent vermuten einen entsprechenden Vorfall.

Im 21. Jahrhundert sind analoge Attacken ein Thema

Obwohl die meisten Attacken inzwischen auf digitalem Wege erfolgen, sind klassische, analoge Angriffe auf Industrieunternehmen dennoch ein Thema: Immerhin 21 Prozent der Befragten haben einen Diebstahl von sensiblen physischen Dokumenten, Unterlagen, Mustern oder Maschinen festgestellt. Bei 10 Prozent kam es in den vergangenen zwei Jahren sogar zur analogen Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen. Das heißt also, dass Geräte vor Ort im Unternehmen manipuliert wurden.

Schadsoftware führt Ranking an

Bitkom-Studie Aber zurück zur digitalen Welt. Immerhin haben laut Bitkom-Studie digitale Angriffe bei 47 Prozent der Befragten einen Schaden verursacht. Auch hier waren mittelständische Unternehmen mit 52 Prozent überdurchschnittlich stark betroffen. Vor allem Schadsoftware wurde ganz gezielt in die IT-Systeme eingebracht, vermutlich um Sabotage-Akte vorzubereiten. Fast ein Viertel (24 Prozent) der von digitalen Angriffen betroffenen Unternehmen erlitt einen Schaden durch eine derartigen Cyber-Attacke. Erst mit deutlichem Abstand folgen Phishing-Angriffe und die Ausnutzung von Software-Schwachstellen, durch die jeweils 16 Prozent der betroffenen Unternehmen geschädigt wurden. Die durch Man-in-the-Middle-Angriffe (4 Prozent), DDOS-Attacken (5 Prozent) und Spoofing (6 Prozent) verursachten Schäden waren hingegen vergleichsweise gering.

Bitkom-Studie: Täter kommen meist von Innen

Bitkom-Studie Bei der Suche nach den Tätern wurden die Unternehmen hauptsächlich in den eigenen Reihen fündig: Fast zwei Drittel (63 Prozent) der Geschäftsführer und Sicherheitsverantwortlichen gaben an, dass sie hinter der Sabotage oder Spionage ehemalige beziehungsweise derzeitige Mitarbeiter vermuten – oder es gar wissen. Gleichzeitig identifizierten knapp die Hälfte (48 Prozent) der Unternehmen Kunden, Lieferanten, externe Dienstleister und Wettbewerber als Urheber schädlicher Handlungen gegen das eigene Unternehmen. In 30 Prozent der Fälle steckten Privatpersonen oder Hobbyhacker hinter den Cyber-Attacken, 17 Prozent der Betroffenen berichten von organisierter Kriminalität und jedes neunte betroffene Unternehmen (11 Prozent) gab ausländische Nachrichtendienste als Täter an.

Angriffe schaden vor allen dem Image

Bitkom-Studie Ganz gleich, wer auch immer die Täter waren: Die Attacken trafen die Unternehmen hart: Durch Sabotage, Datendiebstahl oder Spionage ist der deutschen Industrie in den vergangenen zwei Jahren ein Gesamtschaden von insgesamt 43,4 Milliarden Euro entstanden. Dabei zeigt sich in der Bitkom-Studie: Cyberattacken schaden vor allen dem Unternehmens-Image. Fast neun Milliarden Euro (8,8 Milliarden Euro) gingen zulasten des entstandenen Imageschadens bei Kunden oder Lieferanten sowie durch negative Medienberichterstattung. Ähnlich hoch mit 8,5 Milliarden Euro beziffern Industrieunternehmen den entstandenen Schaden durch Patentrechtsverletzungen. Der durch Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen oder Betriebsabläufen verursachte Schaden lag bei 6,7 Milliarden Euro, 5,7 Milliarden Euro kosteten Ermittlungen und Ersatzmaßnahmen. Umsatzeinbußen durch Verlust von Wettbewerbsvorteilen und durch nachgemachte Produkte beliefen sich auf vier beziehungsweise 3,7 Milliarden Euro.

Mensch schlägt Maschine: Aufmerksame Mitarbeiter entdeckten die meisten Vorfälle

Bitkom-Studie Der Blick in die Schadenssummen zeigt: Cyberattacken sind teuer. Unternehmen müssen sich noch besser um ihre IT-Sicherheit kümmern. Nichts desto trotz will es das Schicksal, dass es ausgerechnet die eigenen Mitarbeiter sind, die auch dafür sorgen, dass kriminelle Handlungen überhaupt aufgedeckt wurden. So wurden 61 Prozent der kriminellen Handlungen von den eigenen Mitarbeitern entdeckt – erst mit deutlichem Abstand wurden Angriffe durch eigene Sicherheitssysteme aufgedeckt: 40 Prozent der Unternehmen erhielten Hinweise auf Angriffe durch ihre Firewall oder Virenscanner. Dennoch sollten Unternehmen auch künftig neben gut geschultem Personal auf zuverlässige Antiviren-Programme und über Firewalls setzen. So bieten beispielsweise auch wir mit iQ.Suite eine effiziente Business-Lösung zum Schutz Ihrer E-Mail-Kommunikation an. Dabei decken wir mit unserem Spam- und Virenschutz, der Gewährleistung des Datenschutzes beim Versand vertraulicher Informationen unter Einhaltung aller Formvorschriften der E-Mail-Kommunikation sowie technisch-organisatorischen Maßnahmen zur Vorbeugung des Abflusses vertraulicher Inhalte via E-Mail plattformunabhängig alle notwendigen Bereiche zum Schutz Ihrer E-Mail-Kommunikation ab.

Übrigens: Bei einem knappen Viertel (23 Prozent) war es reiner Zufall, dass Cyberattacken überhaupt entdeckt wurden. Überhaupt erst durch Hinweise auf ein Delikt von externen Strafverfolgungs- oder Aufsichtsbehörden wurden nur drei Prozent der betroffenen Unternehmen auf einen erfolgten Angriff aufmerksam.

Große Angst vor Zero-Day-Exploits

Bitkom-Studie Abschließend wollte die Bitkom für ihre Studie noch wissen, welche Szenarien Unternehmen als zukünftige Bedrohung ansehen. Nahezu einstimmig (97 Prozent) nannten dabei alle Befragten sogenannte Zero-Day-Exploits als größte Gefahr. Es handelt sich dabei um die Ausnutzung von unbekannten Sicherheitslücken in Software. Ein Großteil (93 Prozent) fürchtet auch künftig die Infizierung mit Schadsoftware.

Auch das Fehlen vor entsprechendem Know-how in Form von ausreichend qualifizierten IT-Sicherheitskräften sehen 68 Prozent als Bedrohung. Daneben gilt für 58 Prozent die zunehmende Fluktuation von Mitarbeitern als Risiko. Eher gering ist die Sorge vor dem Anzapfen von Rechenleistungen, etwa zum unbemerkten Schürfen von Krypto-Währungen. Vergleichsweise nur 29 Prozent der Unternehmen sehen hierin eine Gefahr.

Data Leakage Prevention – Wo sind all die Daten hin?

Lesetipp Data Leakage Prevention sollte mittlerweile fest im Bewusstsein von IT-Verantwortlichen und Geschäftsführung verankert und natürlich auch umgesetzt sein. Doch ist sie es auch? In diesem Blogartikel zeigen mehrere Studien den Stand der Dinge auf.

Der Beitrag Bitkom-Studie: Zahlen lassen aufhorchen erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

IT-Sicherheit im Mittelstand ist unzureichend

2. August 2018 Posted by Diana Jensen

VdS-Studie liefert Schwachstellen zu Tage

Ergebnisse sind ernüchternd

Rund 3,7 Millionen kleine und mittelständische Unternehmen (KMU) gibt es in Deutschland. Viele von ihnen sind hoch innovativ und in ihren Branchen Marktführer. Nicht umsonst propagiert die Deutsche Bundesregierung sie als „Rückgrat der Deutschen Wirtschaft“. Ihr Erfolg begründet sich einerseits aus hervorragenden Produkten und Dienstleistungen. Aber nicht nur. Denn um heute im internationalen Wettbewerb bestehen und Geschäftsprozesse bewältigen zu können, ist auch die Nutzung moderner IT-Infrastruktur sowie der Anschluss an das Internet notwendig.

Vernetzung: Chance und Risiko

IT-Sicherheit im Mittelstand Die rasant zunehmende Digitalisierung hilft KMU schneller, effizienter und damit erfolgreich und konkurrenzfähig zu agieren. Dieselbe Technologie wird aber zur Herausforderung, wenn es um deren Sicherheit geht. Denn in dieser neuen, digitalen Arbeitswelt wächst auch die Angriffsfläche für Cyber-Kriminelle. Mit gefälschten E-Mails, Ransomware Attacken, DoS-/DDoS-Angriffen, Botnets oder Schadcode gehen Cyberkriminelle deshalb auch im Mittelstand auf Beutezug. Abgesehen haben sie es auf personenbezogene Daten, Geld und Know-how aus den Unternehmen. Und sind Kundendaten, Daten zu Patenten und Innovationen oder Source Code erst einmal weg, steht der Unternehmens- oder Produktionsbetrieb häufig still. Das wissen auch Hacker – und finden so im Mittelstand ein lukratives „Betätigungsfeld“.

Schadenfreude und finanzielle Forderungen

Die Motive der Hacker sind dabei grundverschieden: Während die einen aus Schadenfreude oder zu Spionagezwecken (politisch oder wirtschaftlich motiviert) handeln, geht es anderen nur darum „zu zeigen, was sie können“ oder bei Unternehmen oder Organisationen einen Imageschaden zu verursachen. Und wieder anderen geht es einfach nur um Geld. Denn dass dieses nicht mehr nur bei Großkonzernen zu holen ist, hat sich längst auch unter Cyber-Kriminellen herumgesprochen. Immerhin erwirtschaften KMU mehr als jeden zweiten Euro und stellen deutlich über die Hälfte aller Arbeitsplätze in Deutschland. Damit tragen sie deutlich zur Wirtschaftskraft bei.

Schäden von 55 Milliarden Euro

IT-Sicherheit im Mittelstand Doch nicht immer kommen Angriffe nur von außen: Im digitalen Arbeitsalltag werden tausende E-Mails von Mitarbeitern ungeprüft von A nach B geleitet oder USB-Sticks für den Transport von Daten genutzt. Wir wollen gar nicht wissen, wie hoch die Dunkelziffer verschwundener und fehlgeleiteter Daten aufgrund solcher Sicherheitslücken ist.

Hinzu kommt, dass Cyber-Attacken nicht immer sofort entdeckt werden. Das Bundesamt für Verfassungsschutz machte erst im vergangenen Jahr darauf aufmerksam, dass Angriffe auf die IT häufig erst mit einer Verzögerung von sechs Monaten bis zu einem Dreivierteljahr von Firmen entdeckt werden. Einer Schätzung des IT-Branchenverbands Bitkom zufolge liegt der jährliche Schaden durch Cyberattacken in Deutschland bei 55 Milliarden Euro.

IT-Sicherheit bei KMU umfangreich analysiert

Vor diesem Hintergrund hat die VdS, eine der weltweit renommiertesten Institute für Unternehmenssicherheit, eine Studie zur Informationssicherheit im Mittelstand aufgesetzt. Dazu hat das Institut die Angaben von 3000 Unternehmen aus ihrem „Web-Quick-Check“ zur schnellen Ermittlung des individuellen digitalen Schutzgrades ausgewertet. Das Ergebnis ist eine der deutschlandweit umfangreichsten Analysen zum Thema IT-Sicherheit, welches wir Ihnen im heutigen Blogbeitrag vorstellen möchten. Die gesamte Studie sehen Sie hier.

IT-Sicherheit im Mittelstand: Ernüchterung auf breiter Flur

IT-Sicherheit im Mittelstand Das Endergebnis ist ernüchternd: KMU sind hierzulande immer noch unzureichend gegen Cyber-Angriffe abgesichert. Den größten Verbesserungsbedarf gibt es beim „Management der IT-Sicherheit“. Nur 32 % sind hier gut aufgestellt. Vor allem Themen wie Cloud Computing und IT-Outsourcing werden nur unzureichend bearbeitet. Gerade hier aber könnten Mittelständler durch einfachste Optimierungsmaßnahmen eine hohe Schutzwirkung erzielen.

Auf Rot stehen die Zeichen auch in Sachen Sicherheitstechnik und Präventionsmaßnahmen, wenngleich der Nachholbedarf hier nicht ganz so groß ausfällt. Beide Bereiche sind zwar mit immerhin 57 % abgedeckt; dennoch bedeutet dieses Ergebnis auch, dass 43 % der KMU hier schlecht aufgestellt sind. Damit sind die Schutzmaßnahmen von KMU für Netzwerke, Software und Mobilen Geräten immer noch unzureichend. Ähnlich schlecht sieht es demzufolge auch bei Präventionsmaßnahmen wie Daten- und Umgebungssicherung oder Wiederanlaufpläne aus.

Mobile Geräte sind schlecht abgesichert

IT-Sicherheit im Mittelstand Schauen wir uns den Bereich Technik mal genauer an: Die erste alarmierende Erkenntnis kommt beim Blick auf die Absicherung mobiler Geräte: Gerade einmal 59 % der Firmen schützen die Daten auf ihren mobilen Geräten zuverlässig vor unberechtigten Zugriffen. Das ist zwar im Vergleich zu 2017 (57%) eine leichte Steigerung – aber immer noch zwei Prozentpunkte weniger als 2016, dem Jahr, in dem die Verschlüsselungstrojaner Locky, TeslaCrypt und Cryptowall ihr Unwesen trieben. Nun ist es in den letzten Monaten in Sachen großangelegter Cyber-Attacken verhältnismäßig ruhig geblieben – wiegen sich Unternehmen hier vielleicht in falscher Sicherheit? Denn gerade das mobile Arbeiten mit Smartphone, Tablet, Laptop und Co. öffnet Tür und Tor für Cyber-Attacken: Sie werden aufgrund der mobilen Zugriffsmöglichkeiten auf das Unternehmensnetzwerk und damit auf sensible Daten gern und viel von Angestellten genutzt und sind damit interessante Angriffsziele.

Technische Sicherheitsmaßnahmen nicht konsequent genug umgesetzt

Große Unterschiede gibt es bei den einzelnen Maßnahmen. Während 88 % der Mittelständler ihren Internetzugriff absichern und immerhin auch 86 % öffentlichen und drahtlosen Netzen nur verschlüsselt Zugriff auf ihre interne IT-Infrastruktur gewähren, führen nur 27 % der Firmen für ihre besonders relevanten IT-Netzwerke regelmäßige Risikoanalysen durch. Das ist angesichts der ständig weiterentwickelten neue Angriffsmethoden und -programme ein problematisches Ergebnis. Auch dass offenbar immer noch 12 % der Mittelständler keine Schutzmaßnahmen gegen Bedrohungen aus dem Internet umgesetzt haben, stimmt bedenklich – zumal heutzutage selbst für jeden Privatnutzer mindestens einen Basisschutz auf Firewall und Anti-Virensoftware selbstverständlich ist.

Prävention: Datensicherung top, im Ernstfall flop

IT-Sicherheit im Mittelstand Es gibt auch gute Neuigkeiten: Sicherungsmaßnahmen gegen Datenverlust werden von 96 % der KMU gut oder sehr gut umgesetzt. Das ist in dieser Größenordnung das beste Ergebnis der gesamten Studie. Das Motto vieler IT-Experten „Kein Backup = kein Mitleid“ scheint sich also herumgesprochen zu haben. Und immerhin noch gute 86 % der KMU schützen auch ihre Server vor physischen Attacken.

Was allerdings im Falle einer Cyber-Attacke zu tun ist, welche internen und externen Stellen informiert werden müssen, darüber scheint weitgehend Ratlosigkeit unter KMU zu herrschen: Nur 41 % der Unternehmen haben überhaupt Vorgaben zum Umgang mit Sicherheitsvorfällen oder gar Anlaufpläne für kritische Systeme im Falle eines Hacks. Besonders unzureichend sind Vorkehrungen wie eine Risikoanalyse für IT-Systeme – die führen nur 28 % der teilnehmenden Unternehmen durch. Und gerade einmal 24 % der KMU haben verbindlich definiert, was überhaupt als „IT-Sicherheitsvorfall“ zu verstehen ist. Trotz genauester gesetzlicher Vorgaben darüber, was im Ernstfall zu tun ist, sind die Zahlen im Vergleich zu 2017 damit gleich geblieben und zu 2016 sogar leicht rückläufig: In 2017/2016 verfügten 41% bzw. 38 % der KMU über Vorgaben für Sicherheitsvorfälle und 42% bzw. 46 % über Wiederanlaufpläne.

KMU brauchen strukturiertere Zugangsvergabe

Auch hier die gute Nachricht zuerst: Die Vergabe von Zugriffsrechten, beispielsweise Lesen, Schreiben und Ausführen, auf IT-Anwendungen und Daten an Personen oder Personengruppen ist offenbar geregelt und die Verwaltung von Zugängen zu IT-Systemen klappt bei deutschen KMU: 84 % behalten administrativen Zugriff ausschließlich den Administratoren vor (2017: 83 %, 2016: 81 %), 82 % gewähren Zugänge zum jeweiligen Netzwerk nur dann, wenn sie für die Aufgabenerfüllung notwendig sind (2017: 78 %, 2016: 80 %). Dass dann allerdings nur 49 % der Unternehmen diese Zugänge nach einem festgelegten Turnus auf ihre weitere Notwendigkeit prüfen, relativiert die ganze Sache schon wieder. Denken Sie einfach nur einmal daran, wie rasch sich Zuständigkeiten ändern oder Mitarbeiter aus Unternehmen ausscheiden und Sie verstehen die Problematik. Dabei ist die strukturierte Zugangsvergabe ein kleiner Schritt mit großer Wirkung für die Unternehmenssicherheit, denn sie blockt etliche Möglichkeiten, einem Betrieb und seinen Angestellten Schaden zuzufügen.

Privatnutzung von Endgeräten besser regeln

IT-Sicherheit im Mittelstand Egal ob Firmencomputer, das zur Verfügung gestellte Smartphone oder Laptop: Immer wieder gern werden diese Endgeräte auch für private Internetrecherchen, Kommunikation oder zum Ablegen privater Daten genutzt. Aber genau dieses Verhalten ist viel geliebtes Einfallstor für Angreifer. Der private USB-Stick, der angeschlossen, das fremde Programm, das installiert oder der Anhang einer privaten E-Mail, der geöffnet wird: In Sekundenbruchteilen ist der Arbeitgeber-Rechner mit einem Virus oder sonstiger Schadsoftware verseucht. Die Privatnutzung also ganz verbieten? Was ist dann aber mit Außendienstmitarbeitern oder Home Office? Arbeitgeber kommen also um eine Regelung der private Nutzung von Firmenlaptop und Co. nicht herum. Und genau hier herrscht Nachholbedarf bei KMU: Gerade einmal 66 % regeln diesen wichtigen Sicherheitspunkt für ihre Mitarbeiter. Noch schlimmer sieht es bei Zugängen für externe Dienstleister aus: Nur 45 % der KMU haben klare Regeln für ihre IT-Dienstleister aufgestellt.

Management der Informationssicherheit ist alarmierend

Nur 32 % der Mittelständler legen ein gutes oder sehr gutes Management ihrer IT-Absicherung an den Tag. Das sind zwar 3 % mehr als noch 2017, aber trotzdem viel zu wenig. Denn obwohl gerade die Risiken des Cloud Computings inzwischen bekannt sein dürften, schützen sich nur 27 % der KMU mit notwendigen Sicherheitsanforderungen wie beispielsweise Datenverschlüsselung, sicheren Zugängen oder der Sicherung von Daten vor Verlust oder technischem Ausfall. Auch für Outsourcing-Projekte, oft ein besonders schwaches Glied der IT-Schutzkette und damit natürlich bevorzugter Angriffspunkt der Cyber-Kriminellen, verfügen nur 33 % über konkrete Sicherheitsvorgaben.

Manifest IT-Sicherheit identifiziert sechs Problemfelder

Lesetipp Der Bundesverband der IT-Anwender „VOICE“ und der Bundesverband IT-Sicherheit e.V. – TeleTrusT deckten in ihrem Manifest zur IT-Sicherheit sechs Problemfelder auf und stellten konkrete Forderungen an die Politik: Ausbau der E-Government-Aktivitäten und Sicherheitsregeln für den internationalen Datenverkehr sowie eine bessere Koordination der Digitalisierung auf Bundesebene. In unserem Blogartikel erfahren Sie Details.

Fazit: Digitalisierung zu Lasten der IT-Sicherheit?

Die Lage der IT-Sicherheit in KMU hat sich trotz fortschreitender Digitalisierung in den letzten drei Jahren kaum gebessert. So innovativ viele von ihnen im Bereich Internet of Things, Industrie 4.0, Smart Cars oder Smart Home agieren, so verfügen sie im Gegensatz zu großen Unternehmen meist über nur eingeschränkte Ressourcen für IT-Sicherheit. Vielen von ihnen fehlt das nötige Know-how oder das nötige Budget, um Sicherheitslücken in ihrem Betrieb zu erkennen und sicher zu schließen. Erkennbar immerhin ist das vorhandene Bewusstsein für IT-Sicherheit, jedoch fehlt es an Konsequenz bei der Umsetzung. Dieser Lückenschluss muss gelingen.

Der Beitrag IT-Sicherheit im Mittelstand ist unzureichend erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Mission möglich: Anwendungs-Modernisierung für einen modernen Arbeitsplatz

5. Juli 2018 Posted by Krasimir Atanasov

Verändern Sie noch? Oder transformieren Sie schon?

Transformieren oder Chancen verpassen?

Was würden Sie für Ihr Unternehmen wählen? Neue Technologien verändern maßgeblich die Art und Weise, wie wir leben und Geschäfte machen. Die Veränderungsgeschwindigkeit ist viel höher als jemals zuvor und Unternehmen stehen vor der Herausforderung, einen Weg zu finden, um von den neuen Gelegenheiten zu profitieren. Fast 93% der Unternehmen gaben in einer KPMG Studie an, dass sie sich schon in einer Phase ihrer digitalen Transformation befinden und einige der wichtigsten Erfolgsfaktoren hierfür sind die Optimierung und die technologische Umwandlung von Geschäftsprozessen. Ein positiver Begleitumstand: Mitarbeiterengagement- und –Produktivität werden gesteigert, was letztendlich einen positiven Einfluss auf die Unternehmensperformance hat.

Wie der klassische Büroarbeitsplatz aussah

digitalen Transformation profitieren Erinnern Sie sich, wie die Büroarbeitsplätze vor 20 Jahren aussahеn? Die Kommunikation erfolgte meistens über Festnetztelefon oder E-Mail und die Schreibtische waren voll mit Papierstapeln. Man konnte auf Kopierer, Fax oder Scanner kaum verzichten und diese drei Geräte wurden gemeinsam von allen Mitarbeitern im Büro genutzt. Eine Sekretärin zu haben, die ans Telefon geht und Termine vereinbart, war damals ein Privileg, das nur den Managern vorbehalten war. Die Genehmigung von Zeiterfassungen und Urlaubsanträgen erfolgte immer auf Papier und sämtliche Dokumentation musste auf physischen Trägern archiviert werden. Mit dem Begriff “Zusammenarbeit” war gemeint, ein persönliches Gespräch mit Kollegen zu führen, mit Kunden zu telefonieren, oder Papierpost zu verschicken. Die IT-Abteilung war hauptsächlich für die Betreuung der stationären Geräte zuständig.

Wie der Arbeitsplatz transformiert wurde

digitalen Transformation profitieren Moderne Arbeitsplatzkonzepte sind geprägt von verschiedenen Trends. Im Mittelpunkt der Veränderungen stehen die Menschen. Die wirtschaftliche Entwicklung auf globaler Ebene wird in Zukunft von Mitarbeitern abhängen, die mobil sein wollen, um zeit- und ortsunabhängig von überall und auf jedem Gerät arbeiten zu können. Die technologische Entwicklung verwischt die Grenzen zwischen Offline und Online, Zeit und Ort, und bietet zugleich neue Möglichkeiten für Unternehmen und deren Mitarbeiter. Die Entwicklung der Künstlichen Intelligenz (KI) und des Internets der Dinge (IoT) wird das Konzept für einen modernen Arbeitsplatz stark beeinflussen.

digitalen Transformation profitieren Nach einer Umfrage von Fujitsu wurde geschätzt, dass es bis zum Jahr 2020 weltweit fast 21 Milliarden vernetzte Geräte geben wird. Die digitale Vernetzung und die intelligenten Geräte werden den Alltag der Menschen stark beeinflussen. Stellen Sie sich vor: Das Telefon weckt Sie je nach Verkehrslage auf – Sie haben ein selbstfahrendes Auto, das Sie zu Ihren Meetings bringt und Ihnen somit mehr freie Zeit zur Verfügung stellt. Sie können sich mit Ihren Kunden über verschiedene Geräte und von überall auf der Welt (sogar vom Strand aus) direkt verbinden. Sie haben einen virtuellen persönlichen Assistenten, der Termine in Ihrem Auftrag vereinbart und verschiedene Aufgaben für Sie erledigt.

Die hohe Geschwindigkeit dieser technologischen Veränderungen ist eine große Herausforderung für Unternehmen, aber auch eine Chance, mit innovativen Lösungen neue Möglichkeiten zu ergreifen.

Wie Sie von der digitalen Transformation profitieren können

Das Konzept für einen modernen Arbeitsplatz ist technologiegetrieben und bedeutet, dass die Bereitstellung innovativer Anwendungen und Instrumente, die Unternehmensproduktivität und das Mitarbeiterengagement erhöhen kann. Darüber hinaus lassen sich dadurch Arbeitsprozesse und die tägliche Arbeit optimieren, wodurch wiederum Kosten gesenkt werden und sich Möglichkeiten für neue Investitionen eröffnen. Abhängig von ihren individuellen Zielen und Anforderungen können Unternehmen verschiedene Szenarien wählen, wie sie von den Möglichkeiten der digitalen Transformation profitieren können. Kurz gesagt: Durch die Modernisierung von Anwendungen können Sie Lösungen der nächsten Generation in Unternehmen einführen.

Beispiele

Lassen Sie mich zwei Beispiele nennen, wie Organisationen ganz einfach viel effizienter werden können: Sie erhalten eine E-Mail mit einer klassischen Rechnung – gedruckt, unterschrieben, gescannt und per E-Mail zurückgeschickt. Die Künstliche Intelligenz ist nun in der Lage, die Informationen im E-Mail-Anhang zu analysieren und automatisch nur die wichtigsten Informationen wie etwa Kunden, Dienstleistungen, Betrag und Fälligkeitsdatum herauszufiltern.

Darüber hinaus können Sie die Rechnung einfach und problemlos bearbeiten, indem Sie Ihren virtuellen Assistenten bitten, dies in Ihrem Auftrag zu erledigen – sogar auch, während Sie beispielsweise Ski fahren. Sie sehen: Künstliche Intelligenz transformiert bereits die Art und Weise, wie wir Geschäfte machen und wird zukünftig eine wichtige Rolle auch am Arbeitsplatz spielen.

Anwendungs-Modernisierung: Der Weg zum Erfolg

digitalen Transformation profitieren Die Transformation und Modernisierung von Anwendungen ist eine Möglichkeit, effiziente und innovative Arbeitsumgebungen zu gestalten. Da jedes Unternehmen unterschiedliche Anwendungen hat, kann es praktisch seine Effizienz erhöhen, indem es die Anwendungen modernisiert oder neue Anwendungen implementiert.

Mit unserem Anwendungs-Modernisierungs-Angebot unterstützen wir Unternehmen mit innovativen Lösungen zur Automatisierung und Digitalisierung, mit denen sich veraltete Anwendungen ersetzen lassen, um einen Arbeitsplatz der nächsten Generation zu gestalten. Die einzelnen Komponenten (Analyse, Migration, Entwicklung, Cloud-Transformation und Betreuung) lassen sich sowohl alle zusammen integrieren, als auch als eigenständige Lösungen implementieren.

Eine gute Referenz

Einer unserer Kunden musste mehrere interne Systeme modernisieren. In der ersten Phase haben wir die vorhandenen Systeme durch die Einführung sicherer Integrationskanäle verstärkt. In der nächsten Phase haben wir Künstliche Intelligenz eingeführt, indem wir einen künstlichen Bot entwickelten, der Informationen aus verschiedenen Quellen (einschließlich der schon modernisierten Quellen) integrieren und anschließend die zusammengefassten Informationen sofort zurückliefern konnte. Das Ergebnis war die Optimierung von Geschäftsprozessen und die Verbesserung der Mitarbeitererfahrung: Die Mitarbeiter konnten schon direkt den Bot fragen, anstatt mit drei verschiedenen Systemen zu arbeiten.

Ich könnte Ihnen noch von mehr Erfolgsgeschichten berichten, aber wichtig ist, dass alle diese Geschichten eines gemeinsam haben: Sie fokussieren sich auf die wichtigsten geschäftlichen Herausforderungen des Unternehmens, verschaffen dem Unternehmen einen Mehrwert und verbessern die Arbeit seiner Mitarbeiter, indem sie ihnen viel Zeit und Mühe ersparen.

Ich verrate Ihnen ein Geheimnis: Wir haben nie eine bestehende Anwendung neu implementiert, ohne sie mit neuen Funktionen auszustatten! Beim Neuaufbau der Anwendungen beginnen wir mit einer eingehenden Analyse der Geschäftsbedürfnisse und -Prozesse des Unternehmens, was sehr oft in ein besseres Verständnis seitens des Kunden resultiert und somit Mehrwert für ihn schafft. Während der Datenmigration und der Entwicklung der neuen Systeme, die auf der Lücken-Analyse basieren, identifizieren wir neue Funktionen, die der Kunde benötigt. Als Ergebnis bieten wir ihm eine moderne Lösung, die seinen Zielen und Anforderungen am besten entspricht.

Wichtigste Mission

Die Mission eines jeden Unternehmens ist es, erfolgreich und profitabel zu sein. Dies ist dank der Anwendungs-Modernisierungs-Angebote von BULPROS möglich und geschieht durch den Einsatz moderner Lösungen der nächsten Generation, die die Anforderungen an einem modernen Arbeitsplatz erfüllen.
Falls Sie an einer maßgeschneiderten Lösung interessiert sind, kontaktieren Sie mich bitte per E-Mail: Krasimir.atanasov@bulpros.com

Der Beitrag Mission möglich: Anwendungs-Modernisierung für einen modernen Arbeitsplatz erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Die Welt wird digital – Trends

7. Juni 2018 Posted by Alexander Tzonev

Die nächste industrielle Revolution

Alexa! Mach das Licht aus!

Die Digitalisierung unserer Zeit verändert die Art wie wir arbeiten, interagieren und leben. Automatisierung ist tief verankert in unserem täglichen Leben. Von einfachen Dingen wie bewegungssensorischen Lichtern, zu Assistenten – powered von Artificial Intelligence – wie Siri und Alexa. Es ermöglicht Trends wie Smart Cities, Smart Homes und Smart Workplace, die direkt unseren Alltag und unsere Routine beeinflussen und unser Verhalten ändern. Ist das die nächste industrielle Revolution? Ich würde sagen – ja. Wir müssen uns an diese Umwälzungen anpassen und trotzdem im Einklang mit dem sich verändernden Geschäftsumfeld bleiben.

Grenzenlose Kommunikation

Welt wird digital Die technologischen Errungenschaften haben wir wie selbstverständlich in unserem persönlichen Leben übernommen. Wir nutzen unsere mobilen Geräte für alles und unser Leben ist praktisch „in unseren Handys“. Facebook und Twitter haben unsere Interaktion verändert und wir bewegen und in einer neuen Ära des sozialen Verhaltens. Kostenlose Internetkommunikation hat die Grenzen für uns geöffnet, um mit allen in Verbindung zu bleiben – wo auch immer wir sind. Spezialisierte Anwendungen ermöglichen es uns, verschiedene Aufgaben ohne Aufwand auszuführen. Dank der Entwicklung der Artificial Intelligence (AI) und Maschinelles Lernen (ML) unterstützen uns personalisierte Assistenten den ganzen Tag. Durch die Vernetzung können „Dinge“ selbstständig kommunizieren, messen, regeln, steuern, navigieren und dokumentieren. Der Begriff „Internet der Dinge” (IoT) lässt sich am besten mit „Smart Home” Technologien verdeutlichen, die heute schon gelebte Realität in fast jedem Haushalt sind, verschiedene Bereiche unseres Lebens verbinden und automatisieren. Die Vernetzung von Haustechnik und Haushaltsgeräten, wie zum Beispiel die Bedienung von Lampen, Jalousien, Türschlössern, Heizung, Kühlschrank, Herd oder Waschmaschine können in unserer Abwesenheit oder auch von der Couch aus, unsere Assistenten Alexa oder Google home für uns regeln.

Auch Unterhaltungsgeräte wie TV oder HiFi-Anlagen können in einem intelligenten Wohnhaus mitvernetzt werden. NutzerInnen können so schon unterwegs die Heizung aufdrehen. Türschlösser öffnen sich, sobald man sich mit seinem Smartphone der Haustür nähert, oder der Kühlschrank erinnert daran, dass sich die Haltbarkeit der Milch dem Ende nähert.

Anlieferung direkt am Fenster im 3.OG

Die Interaktion erweitert sich von Mensch zu Maschine, von Maschine zu Maschine. Technologien wie Blockchain ermöglichen eine sichere Zusammenarbeit zwischen den Maschinen, so dass z.B. Amazon-Drohnen bald mit unseren intelligenten Fenstern kommunizieren können und eine Lieferung direkt bei uns im Wohnzimmer im 3.OG erfolgen kann.

Die Kommunen übernehmen immer mehr Verantwortung für die Smart Cities. So werden Straßenlaternen programmiert, die die Verhaltensweisen der Menschen erfassen, die die Intensität und den Zustand, basierend auf Verkehr, Tageszeit usw. steuern. Dadurch reduziert sich der Stromverbrauch und damit die Kosten für die Stadt und die Sicherheit wird erhöht. Clevere Parkassistenten können uns zum nächstgelegenen verfügbaren Parkplatz navigieren. Langes Suchen und „Rumkurven“ hat damit ein Ende und verringert somit die Verschmutzung und den Verkehr in den Städten. Parksysteme, die mit Ampeln vernetzt sind, können potentielle Engpässe vorhersagen, den Verkehr in der Stadt optimieren und die Autofahrer auf kürzeste Wege hinweisen.

Mitarbeiter werden anspruchsvoller

Welt wird digital Die Erwartung ist groß, dass wir an unserem Arbeitsplatz dieselben digitalisierten Technologien nutzen können, wie in unserem Privatleben. Wir möchten z.B. unser Telefon für alles nutzen. Dies stellte neue Herausforderungen für die IT dar, die für die Sicherung von Informationen und Netzwerken verantwortlich ist. Damit ist klar, dass das Konzept für einen modernen Arbeitsplatz neu zu entwickeln ist. Arbeitgeber müssen, um qualifizierte Mitarbeiter zu binden, Bring Your Own Device und Mobile Workplace anbieten. Collaboration-Tools und die Cloud ermöglichen es den Mitarbeitern von überall auf ihre Informationen zuzugreifen. Das ist die Grundlage um deren Produktivität und Engagement zu steigern.

Die Digitalisierung verändert nicht nur unsere persönlichen Gewohnheiten, sondern auch die Art und Weise, wie wir Geschäfte machen. Technologie ist tief in unsere Geschäftsprozesse und Kundeninteraktionen eingebettet. Die Weiterentwicklung von AI und ML ermöglicht die Automatisierung komplexester Prozesse, die vor 10 Jahren undenkbar waren. Natürlich bedeutet dies auch, dass auf traditionelle Geschäftsprozesse Druck ausgeübt wird. Diese müssen nun neue Wege finden zu wachsen und sich zu entwickeln.

Wer nicht digitalisiert, wird abgehängt

Die Veränderungen haben begonnen, auch große Unternehmen zu beeinflussen. Diejenigen, die ihre Geschäftsprozesse nicht anpassen, werden nicht „überleben“.
Beispielsweise:

  • Die Borders-Buchhandelskette hat sich nur langsam an den Anstieg der e-Books angepasst und keine benutzerfreundliche E-Commerce-Website aufgebaut. Durch die Übermacht von Amazon ging der Buchladen schließlich bankrott.
  • Eastman Kodak, das seit den späten 1800er Jahren bekannte Fotounternehmen, musste 2012 Insolvenz anmelden. Kodak konnte sich nicht an das Zeitalter der digitalen Fotografie anpassen.
  • Die Pleite des US-Marktführers Blockbuster 2020 zeigt: Stationäre Videotheken werden es nicht schaffen. Marktführer sind RedBox und Netflix, die das digitale Distributionsgeschäft umsetzen.

Alle diese Unternehmen haben den Moment verpasst, ihr Geschäft ins digitale Zeitalter zu transformieren – in ein Zeitalter des intelligenten Automatismus. Intelligente Städte, Smart Homes, personalisierter Einzelhandel, Herstellung, Landwirtschaft, selbstfahrende Autos – nur um einige wenige zu nennen – alle Bereiche unseres Lebens werden künftig von digitalen Technologien betroffen sein.

Schlichte Automatisierung war gestern

Welt wird digital AI, Big Data, maschinelles Lernen oder Robotics gibt es schon seit einiger Zeit. Doch aufgrund der technologischen Entwicklung werden sie zu Transformatoren. Was mit schlichten Automatisierungen zur Vereinfachung unserer täglichen Aufgaben begann, betrifft inzwischen die gesamte Prozesskette:

  • Wir starteten mit einfachen Produktionslinien und fügten Roboter hinzu, um die Qualität zu verbessern, schneller und eben automatisierter zu machen.
  • Wir wollten ursprünglich die Abhängigkeiten innerhalb der Prozesse verstehen und Werkzeuge erstellen, um verschiedene Parameter zu analysieren. Jetzt wollen wir, dass die Maschinen aus den Informationen lernen, Entscheidungen verbessern und automatisch mit der wachsenden Datenmenge umgehen können.
  • Wir begannen mit Autopiloten, um Geschwindigkeiten zu kontrollieren. Wir entwickelten sie, um Gefahren zu erkennen und die Geschwindigkeit anzupassen. Und nun führen wir selbstfahrende Autos ein und Roboter, die Motorräder fahren können.
  • Wir können zum Mond fliegen. Aber warum kann das eigentlich nicht jeder?

Wir leben in herausfordernden Zeiten und müssen uns nicht nur an die dynamischen Veränderungen anpassen, sondern auch lernen, wie wir an einen modernen Arbeitsplatz von den Möglichkeiten profitieren können, die die Digitale Transformation bietet.

Neue Arbeitsplätze entstehen

Der KI-basierte Unternehmenswert wird laut Gartner 2022 voraussichtlich 3,9 Billionen US-Dollar erreichen. In den kommenden Jahren wird AI zu noch größeren Arbeits- und Interaktionsveränderungen führen und viele traditionelle Jobs werden vordefiniert sein. Aber trotz der Vorhersagen, dass die Arbeitslosigkeit steigt, werden eher neue Arbeitsplätze entstehen. Der Fokus ist künftig auf die Entwicklung sozialer Kompetenzen und die Zusammenarbeit zwischen Menschen einerseits und zwischen Menschen und Maschinen andererseits gerichtet.

Vernetzte Geräte – großer Datenanstieg

In diesem Zusammenhang werden laut Business Insider Investitionen in IoT zwischen 2017 und 2025 fast $ 15 Billionen betragen und dies hängt mit dem großen Datenanstieg zusammen, der durch die vernetzten Geräte generiert wird. Unternehmen werden in der Lage sein, ihre Geschäftsprozesse und Kosten zu optimieren, ihre Effizienz zu steigern und verlässliche Analysen zu implementieren. Der moderne Arbeitsplatz ist ein wichtiger Aspekt, der sich schnell ändert. Unternehmen dürfen nicht nur den Trends folgen, sondern müssen klare Visionen für ihre zukünftige Entwicklung haben. Neue Technologien haben positive Auswirkungen auf die Mobilität und ermöglichen den Menschen, sich auf mehr Arten, an mehr Orten und in mehr Situationen als je zuvor zu verbinden.

Der Himmel soll die Grenze sein? Vielleicht schauen wir einmal weiter.

Digitalisierung und moderne IT-Infrastrukturen: Da geht noch was!

Lesetipp Unternehmen modernisieren ihre IT-Infrastrukturen nur sehr zögerlich und verlieren somit wertvolle Zeit. Wer diesen Trend verpennt, wird wohl in nicht allzu ferner Zukunft einen sicheren und reibungslosen IT-Betrieb nicht mehr gewährleisten. Das bestätigen die Ergebnisse der neuen IDC Studie „Next Generation Data Center in Deutschland 2018“.

Der Beitrag Die Welt wird digital – Trends erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Data Leakage Prevention – Wo sind all die Daten hin?

17. Mai 2018 Posted by Diana Jensen

dsgvo banner

Ohne Data Leakage Prevention kann es für Unternehmen teuer werden

Datenverlust ist „Supergau“

Datenpannen können Unternehmen künftig richtig teuer zu stehen kommen. In den Tagen vor der Datenschutzgrundverordnung (DSGVO) gewinnt das Thema Datenverlust damit noch einmal an Brisanz, so dass auch wir dieses noch einmal aufgreifen.

Nach Ergebnissen des Veritas 2017 GDPR Reports haben Unternehmen tatsächlich größte Schwierigkeiten damit, bei Datenverlusten den Überblick zu behalten. Fast die Hälfte (48 Prozent) der befragten Firmen gab bei einer Befragung zu, keine Einsicht in sämtliche Vorfälle zu haben, bei denen personenbezogene Daten verloren gehen. Ganze 60 Prozent sehen sich nicht in der Lage, ein Datenleck binnen 72 Stunden zu entdecken und zu melden – dabei ist das eine essenzielle Forderung aus der DSGVO!

Unwissenheit schützt vor Strafe nicht

Data Leakage Prevention Ganz gleich, ob es Bankdaten, Passwörter, E-Mail Adressen oder Gesundheitsdaten sind: Melden Unternehmen den Verlust personenbezogener Daten zu spät, handeln sie nicht nach den neuen Regeln der DSGVO. Und das kann teuer werden: Bei Verstößen drohen hohe Bußgelder, die sich auf bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro belaufen können – je nachdem, welcher Betrag größer ist. Der Verlust sensibler Daten hat also künftig auch wirtschaftlich eine enorme Brisanz für Unternehmen.

Jeder Zweite hat schon Daten verloren

Data Leakage Prevention Die Sorge um den Verlust von Daten ist durchaus begründet: Mehr als jeder zweite Anwender (53%) hat bereits elektronisch gespeicherte Daten verloren. Das ist ein Ergebnis einer repräsentativen Umfrage, die das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Zwar benennt die Studie unterschiedliche Ursachen, wie Schadsoftware, technischer Defekt, Diebstahl von Endgeräten, versehentlich oder vorsätzlich gelöscht beziehungsweise gestohlene Daten. Dennoch ist für viele Unternehmen die Kontrolle des Datenabflusses von innen nach außen eine besondere Herausforderung. Nur jedes zweite Unternehmen verfügt hier über geeignete Lösungen für dieses Problem wie eine Studie der Bundesdruckerei zur Digitalisierung und IT-Sicherheit in deutschen Unternehmen aus 2017 zeigt.

Autorisierte Personen haben freie Hand

Data Leakage Prevention Das Problem Datenabflüsse zu kontrollieren, liegt für die meisten Unternehmen darin, dass der Zugriff durch autorisiertes Personal erfolgt. Wenn autorisierte Personen im Unternehmen Zugriff auf Daten haben, können sie damit mehr oder weniger machen, was sie wollen: Sie können Daten kopieren, ausdrucken oder verschicken. Ob Daten nun bewusst oder versehentlich Ihr Unternehmen verlassen: Die Auswirkungen, nämlich Verlust geistigen Eigentums, schwindendes Kundenvertrauen, rechtliche Konsequenzen, können immens sein.

Datenverlust: Finanzielle und rechtliche Risiken

Data Leakage Prevention Wenn Daten verloren gehen, ist die Liste der Horrorszenarien lang. Sie reicht von Bußgeldern, Schadensersatzansprüchen betroffener Personen über Umsatzeinbußen aufgrund von Imageverlust bis hin zu Kosten für Gutachter und Anwälte. Schwer zu beziffern ist der finanzielle Schaden für Unternehmen, wenn geistiges Eigentum gestohlen wird oder verloren geht: Die Zusammensetzung eines Medikaments, die Konstruktionszeichnungen für ein Maschinenteil oder der Quellcode für die neue Software.

Kommen wir vor dem Hintergrund der DSGVO kurz noch einmal auf die rechtlichen Konsequenzen: Kommt es zu Pannen mit persönlichen Daten von Mitarbeitern und Kunden, kann es richtig teuer werden, wenn Unternehmen keine geeigneten Schutzmaßnahmen nach dem aktuellen Stand der Technik ergriffen haben. Dazu gehören wirksame Schutzmaßnahmen gegen (Hacker-)Angriffe von außen, Abwehren von Viren und anderer Malware, Einhalten der datenschutzrechtlichen Pflichten, regelmäßige Backups, Berücksichtigen von Handlungsanleitungen, Best-Practice-Vorgaben und Wirtschaftsprüfungsstandards.

Abgesehen von den Geldbußen sehen sich Unternehmen auch mit wirtschaftlichen Nachteilen wie beispielsweise einem schlechteren Kreditrating, zivilrechtlichen Schadensersatzansprüche von Geschädigten, Verlust des Versicherungsschutzes oder dem Ausschluss bei der Vergabe öffentlicher Aufträge konfrontiert. Damit nicht genug, denn der Missbrauch von IT-Infrastruktur und der Datendiebstahl kann nach verschiedenen Vorschriften strafbar sein: Darunter fallen beispielsweise das Verletzen des Post- oder Fernmeldegeheimnisses oder der Verrat von Geschäfts- und Betriebsgeheimnissen. Haben Sie noch Zweifel, eine DLP-Lösung in Ihrem Unternehmen installieren zu lassen?

Ein Problem, verschiedene Lösungen

Data Leakage Prevention Vor externen Bedrohungen wie etwa Hacker-Angriffen oder sonstigen Attacken schützen sich viele Unternehmen mit Firewalls, Anti-Spyware-Programmen, Intrusion-Prevention- oder Intrusion-Detection-Systemen, Virenscannern und Scannern zum Erkennen von Keyloggern. Allerdings genügen herkömmliche Schutzmechanismen nicht, um auch den Datenabfluss aus dem Unternehmen heraus zu kontrollieren.

Vor diesem Hintergrund musste schon vor Jahren eine praktikable Lösung entwickelt werden, um die Nutzung und Verbreitung von Firmendaten zu kontrollieren beziehungsweise zu überwachen: Data Leakage Prevention war geboren. Immer weiter entwickelt, gibt es heute verschiedene Lösungsansätze, vertrauliche Daten im Unternehmen aufzuspüren und unter Kontrolle zu halten. So gibt es Hersteller, die vorzugsweise auf die Verschlüsselung von Daten auf Festplatten oder Mobile Devices setzen, andere haben Anwendungen zur Kontrolle von Wechselmedien entwickelt oder Mailverschlüsselungs-Gateways.

Wir von GBS konzentrieren uns auf E-Mails, da mit ihnen vertrauliche Daten am einfachsten und schnellsten ein Unternehmen verlassen. Dabei muss es sich nicht einmal immer um vorsätzlich begangenen Datendiebstahl handeln. Auch das sorglose Weiterleiten einer E-Mail mit sensiblen Dateianhängen an eine Empfängergruppe kann Daten schnell in die falschen Hände spielen. Und genau vor einer solch unsachgemäßen Nutzung des Mediums E-Mail sollen Anwender gehindert werden.

Die Techniken: Mit Keyword-Matching und Fingerprint Datenabfluss verhindern

Data Leakage Prevention Um den sorglosen Umgang mit E-Mails und den daraus resultierenden Datenverlust zu unterbinden, müssen natürlich andere Techniken eingesetzt werden, als beispielsweise bei Verschlüsselungslösungen. Denn hier geht es schließlich darum, den Versand vertraulicher Informationen zu verhindern. Dazu zählt das Filtern sensibler Inhalte aus E-Mail Text und Anhängen. Hierbei wird gezielt nach fest definierten Schlüsselworten, Dateitypen, Anhängen, dem Kommunikationspartner oder der Zeit – sprich nach allem, was verdächtig sein könnte – gesucht. Unterschiedliche Techniken kommen dabei zum Einsatz: Beim Keyword-Matching beispielsweise werden die übermittelten Daten nach bestimmten Schüsselworten, wie etwa „Vertraulich“ oder „Geheim“ durchsucht. Beim Fingerprinting werden eindeutige Merkmale der Daten, ähnlich einem Fingerabdruck, ermittelt. Auch wenn die Daten kopiert werden, bleibt ihr Fingerabdruck erhalten und sie sind weiterhin zu erkennen.

Das tut iQ.Suite DLP für Sie

Um vertrauliche Daten in E-Mails zu entdecken haben wir eine DLP-Lösung für unsere iQ.Suite entwickelt. Ausgehende E-Mails werden in Echtzeit analysiert und vertrauliche Inhalte und Verhaltensanomalien, wie ein verdächtig starker Anstieg des E-Mail-Volumens oder der plötzliche Versand großer Datenmengen, erkannt.

Die von uns eingesetzte Fingerprint-Technologie erkennt bestimmte, durch sie definierte Textinhalte wie Kundennummern oder Kredikartendaten, aber auch bestimmte Dateiformate wie beispielsweise Excel-Dateien. Verlässt nun eine verdächtige E-Mail das Unternehmen, wird der Versand angehalten und die E-Mail in Quarantäne gestellt. Erst nach einer Vier-Augen-Prüfung durch autorisierte Personen erfolgt die finale Freigabe zum Versand. Entwickelt haben wir auch ein Dashboard, welches die Daten visualisiert. Das integrierte Rechte- und Rollenkonzept garantiert dabei, dass nur autorisierte Personen auf die relevanten Informationen zugreifen können. In Verbindung mit der konfigurierbaren Datenlöschung nach einem festgelegten Zeitraum wird außerdem sichergestellt, dass geltende Datenschutzbestimmungen eingehalten werden.

Erfahren Sie mehr über iQ.Suite DLP

Achtung: Phishing!

Data Leakage Prevention Nun sind (un)beabsichtigte Datenabflüsse aus dem Unternehmen nur eine Seite der Medaille. Datenklau erfolgt natürlich auch von außen. Ein beliebtes Mittel, Daten abzugreifen sind Phishing- Mails. Kriminelle täuschen beispielsweise vor, ein vertrauenswürdiger Absender zu sein und bringen den Empfänger dazu, persönliche Informationen, wie Kreditkartendaten oder Passwörter, preiszugeben oder sie verleiten ihr Opfer dazu einen Anhang zu öffnen. Ein Klick kann jedoch schon ausreichen um im Hintergrund die Installation eines Trojaners einzuleiten, der entweder direkt Daten sammelt und dem Datendieb zusendet oder der Hackern Zugang zum Unternehmensnetzwerk verschafft. Data Leakage Prevention muss daher zwangsläufig auch den Schutz vor Phishing-Angriffen umfassen. Die besten DLP-Schutzmechanismen können nur ihr volles Potenzial entfalten, wenn Sie von den eigenen Mitarbeitern auch gelebt werden. Regelmäßige Schulungen zum richtigen Umgang mit sensiblen Informationen und eine Sensibilisierung für aktuelle Gefahren sind daher unerlässlich.

Verschlüsselung gehört zum DLP-Konzept

Data Leakage Prevention Auch wenn sichergestellt wurde, dass keine unerwünschten Daten das Unternehmen verlassen, können findige Datendiebe die Kommunikation auf dem Weg vom Absender zum Empfänger abfangen und lesen. Der einzige Weg, um dies zu unterbinden ist ein verschlüsselter Informationsaustausch. Nur mit seiner Hilfe kann sichergestellt werden, dass weder „Man-in-the-Middle“ Angreifer noch der E-Mail-Provider selbst Zugriff auf die versendeten Daten erlangen können. Wurde die E-Mail zusätzlich signiert, kann ebenfalls überprüft werden, ob die Nachricht auf dem Weg durch das Internet manipuliert wurde und der Absender tatsächlich der ist, der er vorgibt zu sein. Auch wenn sich Verschlüsselungslösungen in Ihrer Sicherheit und ihrer Komplexität unterscheiden, so gilt: Jede Verschlüsselung ist besser als keine.

Fazit

Data Leakage Prevention Die Unterbindung von Datenabflüssen aus Unternehmen ist die Aufgabe von Data Leakage Prevention (DLP)-Tools. Bedenken Sie aber bitte: DLP-Tools sind Werkzeuge zur Risiko-Verminderung. Sie sind keine unfehlbaren Security-Kontroll-Mechanismen, denn sie kümmern sich lediglich um die Daten, die Sie in der Konfiguration bestimmen. Das heißt, Sie müssen wissen und ermitteln, welche sensiblen Daten in Ihrem Unternehmen anfallen. Ein umfassender Schutz der wichtigsten Geschäftsgeheimnisse besteht deshalb aus einer Kombination von Werkzeugen zur Netzwerküberwachung, der Kontrolle der Endgeräte und den Regelwerken für den Umgang mit den Daten.

Der Beitrag Data Leakage Prevention – Wo sind all die Daten hin? erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

New Work – Mit effizientem E-Mail-Management

19. April 2018 Posted by Diana Jensen

Arbeitsplatz der Zukunft mit intelligentem Abwesenheitsmanagement

mobil – digital – global

Über den Arbeitsplatz der Zukunft wird viel geredet – was versteht man darunter, wie sieht er aus bzw. wie ist er ausgestattet? Wo der Digital Workplace für den einen bereits mit einem mobilen Betriebssystem beginnt, ist der Arbeitsplatz der Zukunft für den anderen eine ganze Vision mit vielen kleinen Bausteinen.

Wie also sieht er aus, der Arbeitsplatz der Zukunft und wie weit ist es noch bis dahin? Das wollte die IDG wissen und hat in ihrer aktuellen Studie „Arbeitsplatz der Zukunft” die Ansichten von Entscheidern und Mitarbeitern aus Unternehmen der DACH-Region untersucht. Einige der spannenden Ergebnisse und Aussagen stellen wir Ihnen heute vor. Im Anschluss daran zeigen wir auch eine unserer Lösungen auf – ein Tool, das mobiles, effizientes und zukunftssicheres E-Mail-Management unterstützt.

Nach Meinung von Unternehmen und Mitarbeitern ist der Digital Workplace vor allem mit Mobilität, Technologie und neuen Arbeitszeitmodellen verbunden: Während 57 Prozent der befragten Unternehmen mit dem Wandel der Arbeitswelt insbesondere Mobilität und Technologie verbinden, assoziieren 79 Prozent der Mitarbeiter damit in erster Linie das Überdenken von Arbeitszeitmodellen.

Herausforderung erkannt

Arbeitsplatz der Zukunft Der Arbeitsplatz der Zukunft wird von Unternehmen als eine der wichtigsten Herausforderungen wahrgenommen. 52 Prozent der befragten Firmen sind der Ansicht, dass mit der IT-Infrastruktur der Arbeitsplatz der Zukunft steht oder fällt. Entsprechend wollen 80 Prozent in den kommenden zwölf Monaten in die IT-Infrastruktur investieren, um flexibleres und mobileres Arbeiten zu ermöglichen. Ein Drittel der Firmen plant dies für die gesamte Organisation, knapp die Hälfte für einige Unternehmensbereiche.

Status Quo: Viel Raum zwischen Wunsch und Wirklichkeit

Wo stehen Unternehmen aktuell, wo wollen sie hin und wie sehen ihre Angestellten die Entwicklung? Beim Status Quo liegen die Einschätzungen beider Lager zum Teil deutlich auseinander. Rund 40 Prozent der Unternehmensvertreter sehen die Entwicklung zum Arbeitsplatz der Zukunft in ihrem Unternehmen schon relativ weit fortgeschritten, 20 Prozent betrachten sich sogar als Vorreiter. Ihre Mitarbeiter allerdings beurteilen die Fortschritte in Richtung Arbeitsplatz der Zukunft deutlich zurückhaltender. 79 Prozent empfinden ihren derzeitigen Arbeitsplatz als nur ansatzweise so, wie sie sich den Arbeitsplatz der Zukunft vorstellen, oder noch weit entfernt davon. Jeder vierte Mitarbeiter gab sogar an, mit der IT und der technischen Ausstattung des Arbeitsplatzes weniger bis gar nicht zufrieden zu sein. Zwei Drittel der befragten Mitarbeiter wünschen sich flexible Arbeitszeitmodelle und standortunabhängigen Zugriff auf alle Daten.

Mitarbeiter mit neuen Anforderungen

Arbeitnehmer möchten zunehmender flexibler sein, sie wollen zeit- und ortsunabhängig arbeiten können: Der Arbeitsplatz der Zukunft ist da, von wo aus gerade gearbeitet wird. Und das muss nicht zwingend das Büro sein. Auch vom Auto, vom Flughafen oder vom Home Office aus lässt sich hervorragend arbeiten.

Damit ihnen ein entsprechendes Arbeitsumfeld zur Verfügung steht, müssen Unternehmen digitale Arbeitsplatzlösungen implementieren, die Geschäftsanwendungen und Daten überall und individuell zur Verfügung stellen. Der Weg dorthin allerdings führt einerseits über die konsequente Vernetzung und Synchronisierung aller Kommunikationskanäle sowie den Einsatz moderner Kommunikations-Tools, um interne Abläufe zu beschleunigen und die Produktivität zu erhöhen. Die Herausforderung ist es dabei, die richtigen Technologien auszuwählen und Tools zu implementieren, die einerseits wirtschaftlich sind, aber eben auch einen echten Business-Nutzen bringen.

Wir von GBS haben das erkannt und etliche unserer Lösungen für das E-Mail-Management „mobilisiert“. So haben wir mit iQ.Suite Clerk beispielsweise eine Applikation entwickelt, mit der Mitarbeiter ihr Abwesenheitsmanagement mobil verwalten können – sprich, bei Krankheit oder Urlaub ihre Abwesenheitsnotiz auf iPhone oder Android Smartphones sowie am Tablet aktivieren. Eben ganz ohne dafür im Unternehmen am Arbeitsplatz sein zu müssen. Denn die besten passenden digitalen Zugangsmöglichkeiten (mobilen Endgeräten) zum Arbeitsplatz der Zukunft allein nützen nichts, wenn der mobile Zugang zu Geschäftsanwendungen verwehrt bleibt. In Sachen E-Mail-Management geht ohnehin eine zukunftsfähige E-Mail-Produktivität weit über das reine mobile Lesen und Schreiben von E-Mails hinaus. Auch der Zugriff auf wichtige Funktionen im E-Mail-Management, unabhängig von Ort und Zeit, muss mobil gewährleistet ist.

Arbeitsplatz der Zukunft: Nicht ohne E-Mail

Das haben wir natürlich nicht ohne Grund getan, denn wenn wir vom Arbeitsplatz der Zukunft sprechen, gehört selbstverständlich auch die E-Mail und effizientes E-Mail-Management dazu. Laut IGD-Studie setzen auch Unternehmen und ihre Angestellte am Arbeitsplatz der Zukunft auf E-Mail und Telefon. Die Studienteilnehmer wurden auch beispielsweise gefragt, wie man ihrer Meinung nach am Arbeitsplatz der Zukunft kommuniziert: 88 Prozent der Unternehmen gaben an, dass das Telefon nach der E-Mail das wichtigste Arbeitswerkzeug ist. Das hören wir gern: Die E-Mail ist aus dem Geschäftsalltag eben nicht wegzudenken. Sie ist sogar wichtiger als das Telefon. In der Generation 50+ sind es sogar noch drei Prozentpunkte mehr (96 Prozent) als bei den unter 40-Jährigen.

E-Mail-Abwesenheitsmanagement mit regelbasierten Weiterleitungen

Arbeitsplatz der Zukunft Aber noch einmal zurück zu Clerk: iQ.Suite Clerk ist (inklusive seiner Applikation) unsere Lösung für ein zukunftstarkes, effizientes und mobiles E-Mail-Abwesenheitsmanagement unter IBM Domino, Microsoft Exchange/SMTP und Office 365. Stellen Sie sich doch zum Beispiel einmal vor, Ihre E-Mails bleiben bei (geplanter oder unvorhergesehener) Abwesenheit unbearbeitet. Das wird insbesondere dann zum Problem, wenn es sich um zeitkritische Informationen, Rechnungen oder Angebotsanfragen handelt.

Mit Clerk geben wir Unternehmen deshalb ein Tool an die Hand, mit dem sie ein zentrales Abwesenheitsmanagement einführen. Dieses stellt sicher, dass Arbeitsabläufe nicht ins Stocken geraten. Anhand individueller Richtlinien setzen Mitarbeiter bei bestimmten Ereignissen ganz einfach mit wenigen Clicks zuvor fest definierte Aktionen in Gang.
Damit insbesondere E-Mails mit sensiblen oder vertraulichen Inhalten nur an autorisierte Personen weitergeleitet werden, klassifiziert iQ.Suite Clerk eingehende E-Mails automatisch und ermöglicht so die genaue Erkennung und Weiterleitung oder Umleitung an bestimmte Kollegen. Diese inhaltsbasierte Umleitung von E-Mails kann dabei auch auf verschiedene, autorisierte Empfänger erfolgen.

E-Mail-Weiterleitung schnell und einfach erstellen

Lesetipp Übrigens: Anwender von Microsoft Exchange/SMTP und Office 365 dürfen sich im Juni über eine neue Version von iQ.Suite Clerk freuen. Mit dieser können zum Beispiel nicht nur mehrere Abwesenheitsnachrichten erstellt und Abwesenheitsnotizen wiederkehrend versendet werden. Auch rückwirkende Weiterleitungen werden dann realisierbar – nur für den Fall, dass Sie vor Urlaubsantritt vergessen haben eine E-Mail Umleitung einzurichten.

Der Beitrag New Work – Mit effizientem E-Mail-Management erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

DSGVO umsetzen – Unternehmen sind nicht ausreichend vorbereitet

22. März 2018 Posted by Diana Jensen

Nur noch zwei Monate bis zur DSGVO

Keiner kann so tun, als hätte er von nichts gewusst

Es sind nur noch zwei Monate, bis am 25. Mai europaweit die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt. Dennoch gehen deutsche Unternehmen die Vorbereitungen für die Umsetzung offenbar nicht mit der erforderlichen Ernsthaftigkeit an. Anders ist es wohl nicht zu erklären, dass knapp die Hälfte der hierzulande ansässigen Unternehmen (44 Prozent) noch keine konkreten technologischen oder organisatorischen Maßnahmen zur Erfüllung der Anforderungen getroffen haben. 27 Prozent der deutschen Unternehmen glauben auch nicht, bis zum Stichtag „compliant“ zu sein. Der Mittelstand tut sich offenbar besonders schwer: Hier gaben sogar 40 Prozent der Befragten an, dass sie skeptisch sind, alle relevanten Maßnahmen fristgerecht umsetzen zu können.

Das zumindest ergab eine Umfrage des Analystenhauses IDC unter 251 Unternehmen und Organisationen in Deutschland mit mehr als 20 Mitarbeitern. Das Ergebnis der Studie „EU-Datenschutz-Grundverordnung in Deutschland – Der Countdown läuft!“ stellen wir Ihnen heute vor.

Lichtblicke

Immerhin, es gibt auch Gutes zu vermelden: 15 Prozent der befragten Unternehmen schätzen sich schon heute als vollständig compliant ein. Ob sie es tatsächlich in vollem Umfang sind, sei dahingestellt. 41 Prozent der Befragten gaben an, zumindest vereinzelte Maßnahmen initiiert zu haben.

DSGVO umsetzen: Es gibt viel zu tun …

DSGVO umsetzen Dabei gibt es viel zu tun. Ohne an dieser Stelle auf Einzelheiten einzugehen, müssen Unternehmen ihre Datenschutzpraxis überprüfen und ihr Datenschutzmanagement an die Vorgaben der DSGVO anpassen und weiterentwickeln. Da jedes Unternehmen sein eigenes Geschäftsmodell verfolgt und damit auch unterschiedliche Datenverarbeitungsvorgänge durchführt, gibt es jedoch nicht die eine Musterlösung. Stehen also beispielsweise für Anbieter einer Gesundheits-App die Vorschriften für Gesundheitsdaten im Vordergrund, muss sich ein Cloud-Anbieter genauer mit den neuen Haftungsregeln auseinandersetzen.

Dabei ist die Umsetzung der DSGVO weniger ein Technik-Thema als vielmehr ein Prozess. Wer jetzt schon hinterherhinkt, wird es kaum schaffen, alle relevanten Maßnahmen bis zum 25. Mai noch umsetzen zu können. Das Problem bei der ganzen Sache aber ist: Organisationen, die bis zum Starttermin im Mai die Anforderungen der DSGVO nicht erfüllen, drohen existenzvernichtende Bußgelder: Strafzahlungen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro können verhängt werden, je nachdem welcher Wert höher ist

… Warten wir´s ab?

Unterschätzen deutsche Unternehmen etwa die Anforderungen der DSGVO? Ist ihnen vielleicht das Ausmaß der Verstöße nicht bewusst? Genau das wollte auch die IDC wissen und fragte konkret nach. Die Antworten dürften selbst die Analysten nicht kalt gelassen haben: Es scheint vielen Entscheidern schlicht und einfach egal zu sein. Unternehmen rechnen offenbar nicht mit Kontrollen und schätzen Konsequenzen wie Strafzahlungen, Reputationsverlust oder das Verbot der Datenverarbeitung als nicht besonders „bedrohlich“ ein. Fakt ist: Aktuell bauen die meisten Bundesländer die Prüfstellen noch auf. Darauf zu hoffen, »wo kein Kläger, da kein Richter«, wird nicht funktionieren, denn die Behörden sind gehalten, streng zu kontrollieren.

Fehlender Überblick über personenbezogene Daten

DSGVO umsetzen Dabei hätten viele Unternehmen alle Hände voll zu tun, die Frist einzuhalten, wenn man Datentransparenz als Basis für eine sichere Verarbeitung und die Einhaltung der Compliance nimmt: Der Umfrage zufolge, wissen 23 Prozent der Befragten nicht, wo ihre Daten gespeichert werden, ein Viertel kann nicht genau sagen, wer Zugriff auf personenbezogene Daten hat und einem Drittel der Umfrageteilnehmer sind die Löschfristen nicht bekannt. Außerdem gaben 37 Prozent an, dass Dokumente unkontrolliert auf den Fileservern der Mitarbeiter liegen.

Wo ist eigentlich der Datenschutzbeauftragte?

Alle für die Studie befragten Unternehmen müssten schon nach dem derzeit gültigen Bundesdatenschutzgesetz (BSDG) einen Datenschutzbeauftragten stellen – Unternehmen ab 10 Mitarbeitern brauchen ihn schließlich. Und doch ist diese Position erst bei 17 Prozent der Befragten besetzt! Weitere 50 Prozent planen die Bestellung eines Datenschutzbeauftragten in den nächsten Monaten. Liegt dieser Sinneswandel vielleicht doch in der Angst vor den verschärften Sanktionen der DSGVO begründet?

Das klappt schon: Datenminimierung

Um für die DSGVO gewappnet zu sein, müssen Unternehmen etliche DSGVO-relevante Prozesse einführen oder ihre bestehenden Prozesse anpassen. Dazu gehört auch das Prinzip der Datenminimierung: „Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden“ heißt es dazu in der Verordnung. Die IDC fand heraus, dass in den meisten Organisationen bereits entsprechende Prozesse vorhanden sind: Die befragten Unternehmen sind bei der Löschung der Daten nach Ablauf der Speicherfrist (67 Prozent), der Lokalisierung, Identifizierung und Verwaltung der Daten (66 Prozent) sowie der Löschung der Daten nach Widerruf der Einwilligung (65 Prozent) bereits gut aufgestellt.

Luft nach oben bei extern ausgerichteten Prozessen

Dennoch gibt es eine Reihe von Unternehmen, die nicht alle DSGVO-relevanten Prozesse einführen wollen. Dazu zählen insbesondere Prozesse, die nach außen gerichtet sind: Mehr als die Hälfe der Befragten (53 Prozent) plant keine Einführung relevanter Prozesse bei der Benachrichtigung betroffener Personen im Falle von Verletzungen des Schutzes personenbezogener Daten. Ähnliche Zahlen zeigen sich auch für die Einführung von Prozessen zur Benachrichtigung von Aufsichtsbehörden bei Datenpannen: 47 Prozent der befragten Unternehmen plant hier keine konkreten Prozesse.

Beides sind eigentlich wesentliche Aspekte im Hinblick auf die DSGVO-Konformität! Nach Ansicht von IDC muss genau geprüft werden, welche Prozesse im jeweiligen Unternehmenskontext relevant sind und wie diese Prozesse in IT-Lösungen abgebildet werden können.

Neue Vorgaben für den Umgang mit personenbezogenen Daten – So sorgen Sie für mehr Datenschutz

Lesetipp Wollen Sie hohe Bußgelder bei Verstößen gegen die neue DSGVO verhindern? Dann melden Sie sich zu unseren Webinaren und Workshops an, um zu erfahren, welche gezielten Maßnahmen Sie in den nächsten Monaten ergreifen sollten. Lesen Sie auch in unserem neuesten Whitepaper, welche juristischen Facetten besonders zu beachten sind.

Herausforderung: IT-Systeme nach Stand der Technik

DSGVO umsetzen Die DSGVO fordert von Unternehmen die Ergreifung technisch-organisatorische Maßnahmen, die dem Stand der Technik entsprechen, um Datenlecks effektiv aufzudecken. IT-Verantwortliche, die künftig keine modernen Lösungen einsetzen und damit das „State of the Art“-Prinzip nicht erfüllen, müssen dies gut begründen können. Dass Unternehmen gegenüber Partnern, Kunden und Aufsichtsbehörden in Erklärungsnot kommen werden, wenn Mechanismen zur Vermeidung und Erkennung von Datenlecks nicht vorhanden oder veraltet sind und die Datentransparenz nicht gewährleistet ist, ist eine logische Konsequenz.

IDC verweist in diesem Zusammenhang auf Next-Gen-Security-Lösungen wie Breach und Leakage Detection, Intrusion Detection und Threat Intelligence. Laut Umfrageergebnissen sind diese jedoch noch nicht flächendeckend im Einsatz – ein Umstand, der sich nach Einschätzung von IDC schnellstens ändern muss. Allerdings empfindet jedes Fünfte befragte Unternehmen genau das aber auch als Herausforderung.

Nachholbedarf bei Data Loss Prevention und Breach Detection

Besonderen Handlungsbedarf sehen die Marktforscher bei der IT-Security. Knapp die Hälfte der befragten Unternehmen (47 Prozent) plant in den kommenden Monaten verstärkt in IT-Sicherheit zu investieren. Ein Vorhaben, dass aus Sicht von IDC auch dringend notwendig ist. Denn Sicherheitsrisiken und Angriffsszenarien auf personenbezogene Daten lassen sich nur mit moderner Technologie effizient abwehren. Die zentrale Rolle kommt dabei der Erkennung und Beseitigung von Datenlecks sowie dem Aufspüren und Bekämpfen von Sicherheitsverletzungen zu.

Ausgerechnet hier fehlt es allerdings noch an umfassenden Schutzmechanismen. Wenngleich einige Maßnahmen bereits umgesetzt wurden – zum Beispiel bestätigten 68 Prozent der Befragten dass Zugriffsrechte nur an relevante Personen vergeben werden und 62 Prozent nicht mehr benötigte Zugriffsrechte entzogen haben – ist eine unkontrollierte Vervielfältigung von Daten in vielen Fällen noch möglich. So wird nur bei 47 Prozent der Befragten das Kopieren von vertraulichen Daten blockiert und nur 42 Prozent haben Mechanismen eingeführt, die das Versenden vertraulicher Daten per E-Mail verhindern. Wir kommen nicht umhin, an dieser Stelle noch einmal warnend den Finger zu heben und dringend um Nachbesserung zu ersuchen. Denn Mitarbeiter, die unachtsam mit Firmen- und Kundendaten umgehen, können großen Schaden anrichten.

Die DSGVO kommt. Sind Sie vorbereitet?

Lesetipp Der Countdown läuft – die neue DSGVO kommt. Ab Mai 2018 gibt es keine Ausreden mehr, wenn die neuen EU-Datenschutzanforderungen in den Unternehmen nicht umgesetzt wurden. Aufsichtbehörden prüfen dies rigoros und bei Nichteinhaltung drohen empfindliche Geldstrafen. Wie Sie sich konsequent auf die neue Gesetzgebung vorbereiten, erfahren Sie in diesem Artikel.

Der Beitrag DSGVO umsetzen – Unternehmen sind nicht ausreichend vorbereitet erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.