www.itbusiness.ch
Fractal Verlag GmbH Ausgabe 3/2017 CHF 10.–
Das Schweizer Fachmagazin für ICT
SECURITY Haben Sie eigentlich einen IT-Notfallplan?
ENERGIESTRATEGIE 2050 Energieeffizienz in RZ – ein Potenzial wartet auf Umsetzung
KMU Umstieg auf All-IP – tricky, aber lohnend
Lüfterlose Desktop-PCs und Server aus Schweizer Fertigung
www.primecomputer.ch
Nachhaltige Kostenreduzierung Tiefer Stromverbrauch, eine längere Lebensdauer und keine anfallenden Hardware-Wartungskosten: dies ermöglicht beim Einsatz von Prime Computer-Produkten eine Einsparung von über CHF 2‘000.– pro Gerät innerhalb von fünf Jahren.
Zuverlässig und ausfallsicher Höchste Zuverlässigkeit wird durch das lüfterlose und mechanikfreie Design und die Verwendung hochwertiger Markenkomponenten erreicht. Teure Ausfälle gehören der Vergangenheit an.
Verehrte Leserinnen und Leser Das Thema Digitalisierung ist in aller Munde. Viele KMUs sind sich im Klaren, dass die Digitaliserung eine grosse Herausforderung für sie bedeutet, aber die Bereitschaft, eine umfassende Vernetzung anzugehen, ist da. Jedoch haben KMUs mit anderen Hürden zu kämpfen als Grossunternehmen. Viele Aspekte sind beim Thema Digitalisierung zu berücksichtigen. Doch einer ist ganz besonders hervorzuheben: die Datensicherheit und deren Schutz. Was gilt es, im Notfall zu tun? Wie sichere ich meine Daten und mein Unternehmen gegen Angriffe von innen wie von aussen? In dieser Ausgabe von IT business ab Seite 6 können wir Ihre Fragen und Hürden hoffentlich beantworten. Auf Seite 16 informieren wir Sie über die von Energie Schweiz und dem Schweizerischen Verband der Telekommunikation (asut) lancierte Kampagne «Weniger Strom, mehr Effizienz in Serverräumen und Rechenzentren». Angesichts der Energiestrategie 2050 sind gerade Rechenzentren gefordert, die energetischen Effizienzpotenziale in den Fokus zu rücken. Der Bericht soll helfen, bestehende Potenziale umzusetzen. Zum Thema «Cognitive Computing, künstliche Intelligenz und die Erweiterung menschlicher Fähigkeiten» auf Seite 32 wird am 17. CNO Panel darüber gesprochen, welche Chancen und Befürchtungen durch den Einsatz moderner Technologien entstehen und was dieser Megatrend für Unternehmen, Verwaltungen, die Bildung, Wissenschaft und Gesellschaft bedeutet und bietet. Als Medienpartner empfehlen wir Ihnen, das Panel zu besuchen. Bundesrat Johann N. Schneider-Ammann ist Befürworter der Ausbildung von ICT-Security-Fachleuten. Die zunehmenden Meldungen über ausgeklügelte Angriffe und Angreifer fordern geradezu eine Ausbildung zum Security-Spezialisten. Somit ist der Mangel an Fachkräften im IT-Bereich und insbesondere im Bereich ICT-Security auch auf politischer Ebene endlich ein Thema. Der Beitrag auf Seite 36 berichtet über die Eröffnung. Wir hoffen, Ihnen mit dieser Ausgabe interessante Inhalte und Wissen vermitteln zu können, und freuen uns über Ihr Feedback.
editorial
Mit Blick nach vorn
Herzlichst Ihre Petra De Meo
IT business 3/2017
3
inhalt
SECURITY
KMU
IT-Notfallplanung leicht gemacht
Kostenrisiko Software-Audit
6
22 MANAGEMENT
CLOUD
Cognitive Computing, künstliche Intelligenz und die Erweiterung menschlicher Fähigkeiten
Managed Services für das ERP-System
32
13
EDITORIAL 3
Mit Blick nach vorn
SECURITY 6 8 9 10 12
IT-Notfallplanung leicht gemacht IT-Sicherheit durch innovative Lösungen Zehn Tipps für mehr IT-Sicherheit Sichere Online-Shops erkennen Datenschutz in der internen Kommunikation
CLOUD 13 Managed Services für das ERP-System KMU 16 Energieeffizienz in Rechenzentren – ein Potenzial von 50 Prozent wartet auf die Umsetzung 19 Alaris S2000 Scanner-Serie 20 Software-Defined Storage komplettiert Datenschutzkonzepte 22 Kostenrisiko Software-Audit 25 Bereit für MiFID II? Jetzt eine Mitschnittlösung wählen, die auch IP kann 26 Umstieg auf All-IP – tricky, aber lohnend
4
SOLUTIONS 29 E-Voting: St. Galler Pilot-Durchgang erfolgreich unterstützt INTERNET 30 Google Hacking MANAGEMENT 32 Cognitive Computing, künstliche Intelligenz und die Erweiterung menschlicher Fähigkeiten 34 «Mehr bewegen. Besser leben. IT St. Gallen rockt!» HUMAN RESOURCES 36 Schneider-Ammann fördert Ausbildung von ICT-Security-Fachkräften RECHT 38 Der Vertrag ist kein notwendiges Übel EVENTS 40 Sicherheit 2017: Mittelpunkt der Schweizer Sicherheitsbranche 41 Veranstaltungskalender VORSCHAU / IMPRESSUM 42 Das lesen Sie in der nächsten Ausgabe
IT business 3/2017
Wissensvorsprung für IT-Entscheider! l
Fracta
bH
Gm Verlag
16 be 3/20 Ausga
.– CHF 10
bH
rlag Gm
Fractal Ve
h
ness.c
.itbusi www
ch
usiness.
a achm izer F
www.itb
Das S
chwe
gazin
für IC
Ausgabe
4/2016
CHF 10.–
T
Fractal Verlag ss.ch www.itbusine
ei Das Schw
zer Fach
magazin
GmbH
CHF 10.–
17
Ausgabe 1/20
für ICT www.itbusine ss.ch
Das Schweize
r Fachmagazi
n für ICT
Fractal Verlag
GmbH
Das Schweize
TIONS UNICA COMM weiz S S E ch BUSIN rändert die S ve All IP IONEN S & VISlution macht alt TREND vo e th itale R e nich Die dig r Kulturerb vo auch IONS hr SOLUTn Source zu me pe O it it M gigke n ä h b Una
ALL IP
n Kommunikatio Turbo für die e Mehr Fachkräft
DIGITALE TRAN SFORMATION Me
Am Ende ist der
mit
nsch entscheid end
ware: Vorsich t, Erpresser!
DMS / ECM
Dokumentenm anagement-Sy stem kontra Kos tenfresser
Gewünschtes bitte ankreuzen:
FIRMA
1-Jahres-Abo für 4 Ausgaben Bei Ausland-Lieferung (Europa)
CHF 40.– CHF 60.–
FUNKTION
Probe-Abo für 2 Ausgaben Bei Ausland-Lieferung (Europa)
CHF 15.– CHF 25.–
STRASSE
Preise (Inland) inkl. 2,5% MwSt.
NAME, VORNAME
LAND-PLZ/ORT
Bitte per E-Mail senden an abo@itbusiness.ch
TELEFON IT business 3/2017
r Fachmagazi
G LISIERUN
DIGITA len Wandel? ta r den digi bereit fü Sind Sie SIERUNG A en VIRTU LI CLOUD / sparen und IT-Ressoutercllen r bereits Kosten Mit SDS eller ER d flexible un NT CE schn U DATA m – KM Rechenzentru Das perfekte e-Kauf Softwar sicher flexibel, agil,icht Falle beim Vors
SECU URCES HUMAN RESO den richtigen SkillsRansomRITY
Informieren Sie sich besser rechtzeitig und bestellen Sie jetzt Ihr IT business-Abonnement!
Ausgabe 2/20
DATUM
UNTERSCHRIFT
17
CHF 10.–
n für ICT
SECURITY
IT-Notfallplanung leicht gemacht
Niels Gründel
A
uswirkungen einer Notfallsituation können Betriebsabläufe erheblich beeinträchtigen und sogar das eigene Image kann je nach Umfang in der Öffentlichkeit in Mitleidenschaft gezogen werden. Mit einer regelmässigen Datensicherung wird die Grundlage für einen Notfallplan etwa bei Freiberuflern gelegt, damit nicht schon der Defekt einer Festplatte direkt zu einem existenziellen Problem ausartet. Bei anderen Unternehmen ist sie dagegen in Echtzeit unerlässlich. Ein Notfallplan umfasst jedoch noch deutlich mehr als nur regelmässige Datensicherungen, sie aber zählen in jedem Fall zu den Präventionsmassnahmen, damit es möglichst nie so weit kommt. Und in grösseren Unternehmen muss die Katastrophe auch nicht gleich durch einen Brand im Rechenzentrum oder einen Wasserschaden ausgelöst werden. Empfindliche Störungen können schon deutlich kleinere Ausfälle verursachen. Die Unaufmerksamkeit eines Mitarbeitenden kann ebenso eine Betriebsstörung auslösen wie ein technischer Defekt. Umfragen in Unternehmen zeigen immer wieder, dass das Fehlen eines durchgängigen IT-Notfallkonzepts keineswegs eine Ausnahme darstellt. Dabei kann je nach Unternehmen schon eine kurzfristige Unterbrechung zu erheblichen finanziellen Belastungen führen. Die Vorgaben einer Notfallplanung sind daher Chefsache; dazu zählt auch die entsprechende Bereitstellung finanzieller und personeller Mittel. Ein Notfallplan umfasst technische und organisatorische Lösungen und ist dabei individuell auf das eigene Unternehmen ausgerichtet. Ziel ist die Sicherstellung,
6
Vielfach sind es nicht die ganz grossen Katastrophen, die einen Notfallplan in Gang setzen. Je nach Umfang kann bereits der Ausfall eines wichtigen Servers oder einer unscheinbaren, aber wichtigen Komponente im IT-System Geschäftsprozesse nachhaltig stören oder vollständig lahmlegen. Es ist daher sinnvoll, jederzeit auf einen strukturierten Notfallplan zurückgreifen zu können, auch für kleine und mittlere Unternehmen. dass wesentliche Geschäftsprozesse in kritischen Phasen möglichst nicht oder nur temporär unterbrochen werden. Die wirtschaftlichen Risiken sollen selbst bei grösseren Schadensereignissen überschaubar bleiben, keinesfalls die Existenz des Unternehmens dadurch bedroht werden. Bei der Aufstellung eines Notfallkonzeptes wird man dazu gelangen, kritische Geschäftsprozesse genau zu analysieren, um so abschätzen zu können, welche Massnahmen erforderlich sind, um ihre Fortführung in Ausnahmefällen gewährleisten zu können. Im Ergebnis stehen fast immer Massnahmen, die zu einer Erhöhung der eigenen IT-Sicherheit führen, was wiederum zeitliche und finanzielle Ausmasse annimmt, die ad hoc selten zu lösen sind. Eine Abwägung des Kosten-Nutzen-Verhältnisses führt zu einer sinnvollen Priorisierung der identifizierten Massnahmen.
Notfallplanung in wenigen Schritten Zuerst müssen sämtliche notfallkritischen Elemente identifiziert werden. Sind diese vollständig erfasst, werden sie in Prozesse und Services unterteilt und es wird eine Bewertung vorgenommen, wie kritisch die einzelnen Prozesse und Services für das Unternehmen sind. Aus der Übersicht ergeben sich meist unmittelbar mögliche Ausfallszenarien. Für jedes Szenario erfolgt eine Bewertung des Schadensausmasses und möglicher Folgeschäden. Soweit – abhängig von der Notfallsituation und der Art des Unternehmens – zudem gesetzliche Bestimmungen gelten, müssen sie bei Eintritt einer Notfallsituation in jedem Fall umgesetzt wer-
den. Sie sind damit ein unverzichtbarer Bestandteil des Notfallhandbuchs. Tritt ein Notfallszenario ein, müssen notwendige Dokumente griffbereit sein. Es ist zwar sinnvoll, alle Dokumente – von Handbüchern über Vertragsunterlagen bis hin zu Raumplänen für Hardware-Komponenten – an zentraler Stelle digital zusammenzufassen und dem jeweiligen Ausfall szenario direkt zuzuordnen, doch darüber hinaus sind auch Notfälle denkbar, in denen ein Zugriff auf die digitalen Dokumente nicht mehr möglich ist. Für diese Ausnahmesituation muss ebenfalls Vorsorge getroffen werden, etwa durch entsprechende Papierdokumente. Ebenso wichtig sind in einem Notfall die handelnden Personen. Es ist daher notwendig, alle Mitarbeitenden zu erfassen, die je nach eintretendem Notfall über die jeweils benötigten Fähigkeiten verfügen. Dabei wird schnell ersichtlich, wie viele Personen im Falle eines Notfalls eingesetzt werden können oder ob sich das Wissen im Extremfall auf eine einzige Person beschränkt. Letzteres muss natürlich unbedingt abgestellt werden. Nicht vergessen werden dürfen Vertretungen für Urlaubsund Krankheitsfälle. Daran schliesst sich abhängig von den unterschiedlich ermittelten Ausfallszenarien eine Rollenzuweisung der Mitarbeiter an. So wissen sie im Notfall sofort, welche Befugnisse ihnen zustehen und welche Aufgaben sie zu erledigen haben. Die jeweiligen Notfallteams sind dadurch in der Lage, unmittelbar zu handeln. Wenngleich der Ansatz einer umfassenden Notfallplanung die unternehmenskritischen Prozesse sind, darf die IT-Infrastruktur nicht vernachlässigt werden. Sie wird IT business 3/2017
SECURITY ebenfalls samt Abhängigkeiten dokumentiert und den unternehmenskritischen Prozessen zugeordnet. Damit sollten abschliessend sämtliche Abhängigkeiten im eigenen Unternehmen dargestellt sein.
Finanzielle Schäden minimieren Führt eine Störung tatsächlich zu einem Stopp unternehmenskritischer Prozesse,
so sollten auch Massnahmen bedacht werden, um die wirtschaftlichen Einbussen überschaubar zu halten wie eine alternative Übergangslösung, wenn die Funktionsfähigkeit des Betriebes nicht kurzfristig wieder hergestellt werden kann. Ein derartiger Ausweichbetrieb muss bedacht werden, wenn lediglich kurze Ausfallzeiten akzeptabel sind. Die Kapazitätsplanung muss dann so dimensioniert werden, dass andere noch betriebsbereite
Systeme die Aufgaben des ausgefallenen Systems übernehmen können; notfalls sind redundante Systeme (in redundanten Rechenzentren) vorzuhalten. Die Entwicklung von Ausweichszenarien für die Betriebsbereitschaft im Schadensfall ist regelmässig mit einem hohen Aufwand verbunden. Das Notfallhandbuch muss konkrete Handlungsanweisungen für die Aufnahme eines Ausweichbetriebs umfassen. Selbst wenn kein Notfall eintritt, so ist die eigene Planung doch regelmässig – mindestens einmal jährlich – kritisch auf Aktualität zu überprüfen. Änderungen in Betriebsabläufen sollten dabei ebenso im Mittelpunkt stehen wie Veränderungen in der Personalstruktur. Geänderte Rahmenbedingungen bei der Hard- und Software müssen ebenfalls Berücksichtigung finden. Ändert sich ein unternehmenskritischer Prozess, so ist die Anpassung des Notfallplans unmittelbar notwendig. Was gerne übersehen wird, ist der Test eines aufgestellten Notfallplans. Erst dieser zeigt, inwieweit die Aktualität des Notfallplans im Ernstfall stimmt und stellt zudem sicher, dass alle Handelnden wissen, was im Schadensfall zu tun ist. In der Regel erfolgt eine derartige Simulation im Rahmen einer Testumgebung; sie ist – je nach Szenario – mit besonderer Vorsicht, aber ebenso innerhalb der Produktivumgebung möglich.
Fazit Kompliziert muss eine umfassende Notfallplanung nicht sein, sie erfordert allerdings Aufwand in Form von Personalund Zeitressourcen. Für die Erstellung ist Spezialsoftware am Markt verfügbar, die durch die einzelnen Schritte leitet und dadurch Unterstützung bietet, insbesondere stellt sie sämtliche Abhängigkeiten in den einzelnen Prozessen plastisch dar. In vielen Unternehmen zeigt sich noch immer zu spät die Einsicht, dass Vorsorge günstiger ist, als auf einen Notfall unvorbereitet reagieren zu müssen. ■
IT business 3/2017
7
SECURITY
IT-Sicherheit durch innovative Lösungen Als Anbieter von Datacenterkopplungen, Standortvernetzungen und Internetanbindungen beschäftigt sich Litecom auch mit der Sicherheit der IT. Das Unternehmen bietet neben Managed Firewall, Endpoint Protection und weiteren Lösungen auch einen erstklassigen DDoS-Schutz an.
I
n Zusammenhang mit dem rasanten Wachstum von IoT-Geräten (Internet of Things) hat sich auch das Thema Sicherheit verschärft. Heute werden täglich tausende neuer Geräte direkt mit dem Internet verbunden. Da diese Geräte häufig schlecht gesichert sind, bieten sie potenziellen Angreifern eine ideale Plattform zur Bildung von sogenannten Bot-Netzen. Diese werden wiederum genutzt, um gezielt DDoS-Attacken zu lancieren. Zusätzlich überschwemmen Cloud-basierte Dienste den Markt. Was früher auf dem internen zentralen Server abgelegt wurde, wird heute in der Cloud gehostet. Mitarbeiter greifen von überall und mit verschiedenen Geräten auf Geschäftsdaten zu. Ist ein Gerät mit Malware (Schadsoftware) infiziert, verteilt sich dieser Infekt rasend schnell. IoT-Geräte und Anwendungen wie auch Cloud-Dienste verdrängen immer mehr die «herkömmliche» ITLandschaft.
Versteckte Gefahren Das Mirai-Bot-Netz hat die Dimensionen für Angriffe und Manipulationen über IoT-Geräte in den vergangenen Monaten aufgezeigt. Über Bot-Netze wie Mirai werden künftig vermehrt DDoS-Angriffe auf Firmen lanciert. Die Firma, der Webshop oder der Mailserver etc. gehen über eine gewisse Zeit vom Netz. Ressourcen von Servern, Internetgateways, FirewallInfrastrukturen oder ganze Netzwerkstrukturen werden dadurch überlastet und lahmgelegt. Die Firma oder die entsprechende Anwendung ist somit für den Kunden nicht mehr erreichbar. Der Unternehmung entstehen dadurch finanzielle Einbussen und das Image leidet enorm.
8
Wo beginnt die Sicherheit?
Endpoint-Protection
Um die beschriebene Entwicklung in Bezug auf die Sicherheit auffangen zu können, beschäftigt sich Litecom intensiv mit diesen Themen. Die Erfahrung zeigt, dass die IT-Sicherheit bereits bei der Anbindung der Firmen standorte beginnt. Setzt ein Unternehmen auf einen zuverlässigen, im Markt etablierten Provider (wie Litecom) und eine entsprechende Architektur, reduzieren sich die Sicherheitslücken bereits massiv. Sei es für einen Internetanschluss oder eine komplexe Standortvernetzung, Investitionen in eine gute Lösung lohnen sich.
Litecom bietet ihren Kunden mit CiscoUmbrella einen neuen Cloud-Dienst für Unternehmen an. Hierbei handelt es sich um das branchenweit erste Secure Internet Gateway (SIG) in der Cloud. CiscoUmbrella kennt die verseuchten Ziele und verhindert deren Aufruf. Als Cisco-Partner übernimmt Litecom auch deren gesamtes Portfolio an integrierten AMP-Lösungen (Advanced Malware Protection). Die Lösungen zeichnen sich durch lückenlose Transparenz und Kontrolle im gesamten erweiterten Netzwerk aus und erreichen damit einen Malware-Schutz, der das Angriffskontinuum vollständig, das heisst vor, während und nach einem Angriff, abdeckt.
Litecom-Cloud-Infrastruktur Das Know-how von Litecom zielt darauf ab, die neuen Hybrid- und Cloud-Infrastrukturen mit einer sicheren Netzwerkinfrastruktur End-to-End zu verknüpfen. Die Produkte erlauben eine geschützte und einfache Vernetzung der Firmenstandorte. Auch mobile User haben die Flexibilität und Sicherheit, über das öffentliche Internet auf die Applikationen zugreifen zu können.
Schutz vor DDoS-Attacken Um Kunden vor Angriffen auf ihre Applikationen vollumfänglich zu schützen, bietet das Unternehmen einen umfassenden DDoS-Schutz an. Im Angriffsfall wird der Verkehr automatisch über ein Schweizer Scrubbingcenter geroutet. Der Cleantraffic wird mit hochsensiblen Filtermechanismen von den Angriffswellen getrennt. Damit ist gewährleistet, dass Kunden ihre Infrastruktur und Ressourcen jederzeit für ihre Kernfunktionalitäten bereithalten können.
Lösungen zur Sicherheit Als Anbieter von Internetanbindungen und Standortvernetzungen bietet das Unternehmen auch Lösungen zur Sicherheit der IT an. Als «Cisco Master Service Provider» sind die Produkte aus dem Hause Cisco bestens bekannt und Kunden werden gerne in den entsprechenden Bereichen beraten. Von der Beratung über Engineering bis zur kompletten Lösung sind Kunden kompetent und zuverlässig betreut. Litecom ist es ein Anliegen, dem Kunden eine den Wünschen und Vorstellungen entsprechende Lösung anbieten zu können. Diese wird gemeinsam erarbeitet und soll die Kundenbedürfnisse voll abdecken. ■ Litecom AG, 5000 Aarau • +41 (0)62 562 62 62, +41 (0)62 562 62 51 info@litecom.ch, www.litecom.ch
IT business 3/2017
SECURITY
Zehn Tipps für mehr IT-Sicherheit Die jüngsten Ereignisse zeigen das hohe Bedrohungspotenzial durch Cyberrisiken: Da IT-Systeme von Unternehmen verletzlich sind, müssen sie proaktiv geschützt werden.
8
8 Prozent der Schweizer Unternehmen wurden in den vergangenen zwölf Monaten Zielobjekte von Angriffen, wie eine aktuelle KPMG-Studie darlegt. Die folgenden Ratschläge dienen Firmen dazu, ihre IT-Sicherheit zu steigern. Tipp 1: Aktuelle Version des Betriebssystems Angreifer setzen ihre Cyberattacken konsequent auf Lücken in Systemen an, die schon lange im Markt sind. Deshalb sollten veraltete, von den Herstellern nicht mehr unterstützte Betriebssysteme ersetzt werden. Tipp 2: Laufende Pflege mittels Patch-Management Auch bei aktuellen Betriebssystemen gelingt es Internetkriminellen immer wieder, mögliche Schwachstellen für ihre Attacken zu eruieren. «Deshalb müssen Unternehmen ihre Systeme mittels PatchManagement laufend pflegen», weiss Roland Liniger, Sicherheits-Experte und Chief Security Information Officer bei der GIA Informatik AG. Tipp 3: Social Engineering erkennen Oft suchen sich Aggressoren Mitarbeitende aus, um vertrauliche Informationen zu erhalten. Mittels «Social Engineering» gewinnen sie Angaben aus öffentlich ver-
fügbaren Quellen wie etwa den Netzwerken Facebook, Xing und Linkedin. Tipp 4: Passwörter nie weitergeben Ebenfalls sehr häufig sind Phishing-Attacken. Hier versuchen die Angreifer, mittels gefälschten E-Mails, Rechnungen oder Webseiten an vertrauliche Daten wie Benutzernamen oder Passwörter zu gelangen. Tipp 5: Nicht auf gefälschte CEO-Mails hereinfallen Verbreitet sind auch die sogenannten «CEO-Scams»: Im Namen von hochrangigen Managern und mit Hinweis auf eine hohe Dringlichkeit werden Mitarbeiter eines Unternehmens zum schnellen Überweisen von Anzahlungen aufgefordert. Tipp 6: Mitarbeiter schulen Unternehmen erreichen einen guten Schutz, indem sie Mitarbeitende aufklären: • Verhalten Sie sich sehr zurückhaltend mit persönlichen Informationen auf öffentlich zugänglichen Plattformen. • Seien Sie misstrauisch, wenn die Sprache (zum Beispiel schlechtes Deutsch) nicht zum Absender passt. • Klicken Sie nicht auf Links in E-Mails und öffnen Sie keine Anhänge, wenn Sie den Absender nicht kennen oder die Echtheit bezweifeln. Tipp 7: Geräte nie unbeaufsichtigt lassen Die physische Sicherheit der Geräte ist gleich wichtig wie die technische Sicherheit. Roland Liniger: «Melden Sie sich am Gerät ab, wenn Sie den Laptop, das Telefon oder ein Tablet auch nur für kurze Zeit verlassen.»
Eine permanente Überwachung der IT-Systeme ist heute unabdingbar, um Unternehmensdaten erfolgreich zu schützen.
IT business 3/2017
Tipp 8: Aktuelle Firewall installieren Mittels Schadsoftware/Malware versuchen Kriminelle, Zugang zu geschützten Systemen zu erlangen sowie Daten zu verschlüsseln oder zu löschen. Nach einer Verschlüsselung werden die Betroffenen mit Lösegeldzahlungen konfrontiert. «Es
«Unternehmen sollten dem Backup der Daten inklusive einem Disaster-Recovery-Plan hohe Priorität einräumen.» Roland Liniger, SicherheitsExperte und Chief Security Information Officer bei der GIA Informatik AG
ist deshalb notwendig, eine aktuelle Firewall mit gültigen Malware-Zertifikaten im Einsatz zu haben und ein ContentFiltering bei den besuchten Webseiten vorzunehmen», weiss Roland Liniger. Tipp 9: Internetanschluss schützen Ebenfalls sollte der Internetanschluss gegenüber einer DDoS (Distributed Denial of Service) geschützt sein. Diese verfolgt das Ziel, den Dienst von verteilten Rechnern aus zu stören respektive zu unterbrechen. Tipp 10: Tests durchführen Um die Gefahr eines möglichen Angriffes auf ein Unternehmen besser einschätzen zu können, empfiehlt es sich, periodisch einen «Penetration-Test» durchführen zu lassen. Dabei wird von professionellen, aber «braven» Hackern versucht, auf Firmendaten zuzugreifen. ■ GIA Informatik AG, 4665 Oftringen • +41 (0)62 789 71 71, +41 (0)62 789 71 99 info@gia.ch, www.gia.ch
9
SECURITY
Sichere Online-Shops erkennen
Berthold Wesseler
A
uch im vergangenen Jahr ist der Online-Handel wieder deutlich gewachsen. 2016 kauften Schweizer Konsumenten für 7,8 Mrd. CHF Waren und Güter online, hat der Verband des Schweizerischen Versandhandels VSV in Zusammenarbeit mit der GfK und der Schweizerischen Post ermittelt. Die Verlagerung des stationären zum Online-Handel geht weiter, der grenzüberschreitende OnlineHandel gewinnt massiv (+18 Prozent) an Bedeutung. Im Langzeitvergleich – von 2010 bis 2016 – gaben Schweizer Konsumenten 2,7 Mrd. CHF mehr im Online-Versandhandel aus, der damit im vergangenen Jahr bereits 6,9 Prozent des Gesamtvolumens im Schweizer Einzelhandel (93,9 Mrd. CHF) erreichte. Fast ein Drittel dieses Wachstums fliesst ins Ausland. Seit 2012 haben sich die Online-Einkäufe im Ausland verdoppelt. Zum Wachstum des Online-Handels trägt aber auch das B2B-Geschäft bei, weil Unternehmen damit ihre Beschaffungsprozesse optimieren können, obwohl Hacker und unseriöse Online-Händler die Sicherheitsbedenken von Anbietern und Kunden gleichermassen schüren. Dennoch traut sich die Mehrheit der Konsumenten durchaus zu, seriöse von unseriösen Online-Händlern zu unterscheiden, zeigt eine aktuelle Studie des deutschen Verbandes Bitkom. Diese Ergebnisse sind durchaus vergleichbar, auch wenn hierzulande der Konzentrationsprozess im E-Commerce längst nicht so stark vorangeschritten ist wie in Deutsch-
10
Auch im vergangenen Jahr ist der Online-Handel wieder zweistellig gewachsen. Zu diesem Wachstum trägt auch der B2B-Online-Handel bei, weil Unternehmen damit ihre Beschaffungsprozesse optimieren können. Allerdings schüren Hacker und unseriöse Online-Händler die Sicherheitsbedenken von Anbietern und Kunden gleichermassen. Dennoch trauen sich die meisten Schweizer durchaus zu, seriöse von unseriösen Online-Händlern zu unterscheiden. Wie man seriöse Webshops erkennt, macht «IT business» an typischen Merkmalen deutlich. land und Österreich. In der Schweiz haben die Top 10 unter den Online-Händlern (noch!) einen weitaus geringeren Marktanteil als in den beiden Nachbarländern.
Kriterien zur Vertrauenswürdigkeit Drei von vier Online-Einkäufern (73 Prozent) geben laut Bitkom-Studie an, FakeShops im E-Commerce entlarven zu können. Allerdings gibt es gewichtige Altersunterschiede bei der Selbsteinschätzung: Ältere fühlen sich deutlich unsicherer als Jüngere. Jeder Zweite schaut zur Sicherheit auf das Gütesiegel und ins Impressum der OnlineShops. Der auch für Schweizer InternetNutzer hilfreiche Bitkom-Tipp: Immer mehrere Kriterien zur Vertrauenswürdigkeit zu Rate ziehen. Denn es gibt durchaus deutliche Anhaltspunkte, an dem Besucher eines OnlineShops erkennen können, ob sie dem Betreiber vertrauen dürfen. Neben den Prüf-/Gütesiegeln oder Zertifizierungen, die sehr unterschiedlich ausfallen können und nicht zwangsläufig aussagekräftig sind, macht oft schon der erste Eindruck klar, ob das Angebot seriös ist: Wirkt der Shop hochwertig und übersichtlich? Wie präsentiert der Anbieter sich und seine Produkte? Wirkt das Produktangebot aktuell und authentisch? Sind Texte sorgfältig formuliert oder strotzen diese vor Rechtschreibfehlern? Welchen Eindruck vermitteln Shop- und Kundenbewertungen?
Wie Händler Vertrauen schaffen Die Händler selbst müssen das Vertrauen schaffen und natürlich für die nötige Sicherheit sorgen. Das umfasst u. a. auch die rechtlichen Rahmenbedingungen. Gibt es ein Impressum, Informationen zu den Kosten, zum Widerrufsrecht, Datenschutz und den AGB? Auch eine direkte Kontaktmöglichkeit und ausreichend Hilfestellung spielen eine Rolle. Ein wichtiger Indikator ist zudem die Verwendung eines gültigen ssL-Zertifikats. Der Besucher erkennt dies an dem der eigentlichen Internetadresse vorangestellten «https» sowie dem grünen Vorhängeschloss. Neben dem gewöhnlichen ssLZertifikat existiert noch das so genannte Extended-Validation-Zertifikat, kurz EVssL, was eine noch höhere Sicherheit garantiert. Auch das Angebot eines Käuferschutzes und der Bezahlprozess an sich spielen eine Rolle bei der Einschätzung, ob Kundendaten wirklich sicher sind und ob der Online-Shop insgesamt seriös und verlässlich ist. Sensible Daten wie die Kontonummer sollten in der sicheren Bankumgebung verbleiben; weder Warenkorbdaten noch das Käuferprofil sollten an Dritte weitergegeben werden. Ausserdem sollte die Stornierung eines Auftrags unkompliziert möglich sein. Zu den wichtigsten Massnahmen, mit denen Betreiber von Online-Shops für die nötige Sicherheit der Transaktionen sorgen können, ist neben einer Vielzahl konIT business 3/2017
SECURITY zeptioneller, organisatorischer und logisch-technischer Massnahmen die Implementierung eines angemessenen Informationssicherheits-Management-Prozesses. Dabei ist eine Vielzahl von Einzelmassnahmen zu berücksichtigen, die den sicheren Betrieb eines Online-Shops unterstützen.
Verschlüsselung im Shop Wichtig ist vor allem die Verschlüsselung im Shop selbst – und natürlich bei der Kommunikation mit den Zahlungsanbietern – und zwar mit modernen Verschlüsselungsverfahren. Selbstverständlich ist auch eine aktuelle Software-Basis für Shop, Server und integrierte Applikationen unabdingbar. Die Passwortsicherheit spielt ebenfalls eine zentrale Rolle. Empfehlenswert ist es beispielsweise, beim Anlegen von Zugängen und Kundenkonten einen Check der Passwortstärke einzubauen und unsichere Passwörter nicht zu akzeptieren. Es sollten aber auch alle Verantwortlichen für die Themen Sicherheit und Datenschutz sensibilisiert und entsprechend geschult werden. Deshalb können auch die erwähnten Shop-Zertifizierungen mit re-
IT business 3/2017
gelmässigen Audits helfen, das notwendige Sicherheitsbewusstsein und Know-how aufzubauen. Gerade beim sensiblen Thema «Bezahlen» herrschen die grössten Sicherheitsbedenken, sowohl bei den Händlern als auch bei den Käufern. Grundsätzlich ist hier das Ziel, Betrügern auf beiden Seiten das Handwerk zu legen und das Vertrauen der Verbraucher zu stärken. Verschiedene gesetzliche Regelungen versuchen bei der Erreichung des Ziels zu unterstützen. Die Zahlungsanbieter wie Post Finance, Datatrans oder Saferpay sind dann natürlich in der Pflicht, die gesetzlichen Bestimmungen rechtzeitig umzusetzen. Eine einfache Massnahme des Zahlungsdienstleisters: Weist der Händler den Versand der Ware nicht nach, bekommt der Kunde den Kaufbetrag samt Versandkosten direkt auf sein Konto erstattet. Von daher kann auch die Wahl des Bezahlverfahrens für mehr Sicherheit sorgen.
Mobile Zahlungssysteme im Kommen Im Schweizer Markt für mobile Zahlungssysteme stehen immer mehr Verfahren zur Verfügung, hat Datatrans im «E-Com-
merce Report Schweiz 2017» ermittelt. Sehr erfolgreich haben sich die HändlerWallets verbreitet – native Apps mit integrierter Zahlungsfunktion; bei der SBB hat der Smartphone-Umsatz 2016 den Onlineumsatz bereits überholt. Offene mobile Zahlungslösungen wie Twint oder Apple Pay stehen dagegen noch am Anfang. Die Schweizer Händler sind mit der Implementierung zurückhaltend; viel Unsicherheit resultiert beispielsweise aus der Haltung der Twint-Banken. Die Käufer haben beim Bezahlen schon immer den Anspruch nach grösserer Bequemlichkeit und mehr Sicherheit. Die nennenswerteste für den Kunden spürbare Entwicklung ist sicherlich die Zwei-Faktoren-Authentifizierung. Diese verlangt, dass bei einer Zahlung im Internet die Identität des Käufers durch zwei verschiedene Merkmale überprüft wird. Aktuell ist gerade im Bereich Mobile Payment die Nutzung biometrischer Merkmale ein heisser Trend.
Usability-Hürden im Checkout Leider entpuppen sich die neuen Sicherheitsmechanismen mitunter als UsabilityHürde im Checkout, die zu Kaufabbrüchen führt. Potenzielle Käufer schliessen einen Kaufvorgang mit höherer Wahrscheinlichkeit nämlich dann nicht ab, wenn das Zahlverfahren zu aufwendig ist. Denn als Käufer möchte ich ein einfaches, intuitiv nutzbares Bezahlverfahren, das Datenschutz und Sicherheit nicht aus den Augen verliert. Und ich möchte mich nicht überall anmelden, sensible Datenspuren, geschweige denn meine Kontodaten hinterlassen. Als Händler dagegen möchte ich mich auf meine Kernkompetenz konzentrieren und meinen Kunden höchstmögliche Sicherheit bieten. Sie sollen schliesslich wieder bei mir und nicht bei der Konkurrenz einkaufen. ■
11
SECURITY
Datenschutz in der internen Kommunikation Das Sammeln von Daten ist heutzutage eine Selbstverständlichkeit und deren Auswertung einfacher denn je. Wird der Schutz der persönlichen Daten zunehmend gesetzlich geregelt. Wie können Unternehmen, die mit einer Vielzahl an personenbezogenen Daten agieren, der neuen DatenschutzGrundverordnung (GDPR) der EU gerecht werden?
A
m 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung der EU in Kraft. Sie vereinheitlicht die Regeln für die Verarbeitung personenbezogener Daten durch private und öffentliche Unternehmen und stellt sicher, dass diese auch von Nicht-EU-Staaten – wie der Schweiz – berücksichtigt werden. Gerade in der internen Kommunikation werden eine Vielzahl an personenbezogenen Daten gesammelt, geteilt und verfügbar gemacht, weshalb die Datenschutz-Grundverordnung hier besonders relevant ist. Oft sind sich Unternehmen dieser Herausforderungen nicht bewusst und setzen noch immer auf Consumer Tools wie WhatsApp, bei denen sie unter anderem nicht wählen können, wo ihre Daten gesichert werden und wer darauf Zugriff hat.
Sichere Kommunikationsplattform In diesem Spannungsfeld bewegt sich das Schweizer Unternehmen Beekeeper. Es bietet eine Kommunikationsplattform an, welche als zentraler Kommunikations- und Kollaborations-Hub fungiert und durch die Integration bestehender Systeme erweitert werden kann. So garantiert Beekeeper die Erreichbarkeit aller Mitarbeiter und verbindet sie mit dem Unternehmen. Neben Kommunikationskanälen bietet die Lösung Gruppenchats und Privatnachrichten. Amir Ameri, Chief Security Officer bei Beekeeper, stellt sicher, dass die personenbezogenen Daten der Kunden und Mitarbeiter konform mit der neuen DatenschutzGrundverordnung verwaltet und verarbeitet werden. Er hat einen Datenschutzprozess erarbeitet, welcher ISO-27001-zertifiziert ist, der neuen Datenschutz-Grundverordnung der EU entspricht und die Ausrichtung der Kommunikationsplattform an
12
den Konzepten der Vertraulichkeit, Integrität und Verfügbarkeit garantiert. Der Prozess schreibt vor, dass kein unautorisierter Zugriff auf Daten möglich ist, was beispielsweise durch die Verschlüsselung der Inhalte erzielt werden kann (Vertraulichkeit). Darüber hinaus stellt er die Korrektheit der Daten und des Systems sicher und gibt Datenmanipulationen durch Dritte keine Chance (Integrität). Ferner müssen alle Systeme jederzeit betriebsbereit sein und die Datenverarbeitung lediglich von autorisierten Nutzern vollzogen werden können (Verfügbarkeit).
Mehrschichtige Architektur Für seine Cloud-basierte Lösung setzt Beekeeper in der Architektur auf einen mehrschichtigen Ansatz. Hierbei werden die Daten in einem dem neuesten Stand der Technik entsprechenden Speichersystem gespeichert, dem sogenannten Data at rest, und durch ein separates Datenbanksystem indexiert. Die Datenbanken sind auf einem Server gespeichert, der mehrere Mandanten separat bedienen kann. Das heisst, jeder Kunde ist als unabhängiger Mandant definiert und seine Daten werden gesondert von jenen anderer Kunden gespeichert. Ein- und ausgehende Daten werden durch
einen von Beekeeper konzipierten Code verarbeitet. Ausserdem werden Push-Nachrichten, E-Mails und SMS über externe Anbieter verschickt, deren Verbindungen zu Beekeeper 256-Bit-TLS-verschlüsselt sind. Beekeeper unterzieht seine Plattform kontinuierlich internen Tests. Hierzu gehören beispielsweise die wöchentliche Durchführung eines Konfigurationsscannings und Aktivitätsmonitorings sowie die Schnittstellenprüfung der Systembibliotheken. Zusätzlich prüfen externe Sicherheitsunternehmen die Produkte jährlich mittels Penetrationstests. Die Ergebnisse werden in einem Risiko-Inventar gesammelt, um so fortlaufend Vorkehrungen für die Risikominderung zu treffen. Mittels einer Kommunikationsplattform, welche die genannten Aspekte berücksichtigt, kann ein Unternehmen garantieren, dass sämtliche intern weiter gegebenen Daten geschützt und für Drittpersonen unzugänglich sind, was eine Grundvoraussetzung ist, um der neuen Datenschutz-Grundverordnung der EU zu entsprechen. ■ Beekeeper AG, 8037 Zürich • +41 (0)44 271 28 16 contact@beekeeper.io, www.beekeeper.io
IT business 3/2017
CLOUD
Managed Services für das ERP-System
Berthold Wesseler
D
as ERP-System ist die Kernapplikation im Unternehmen; es wird für die Steuerung und Planung der Geschäftsprozesse eingesetzt und muss deshalb entsprechend sorgfältig eingerichtet und betrieben werden. Entscheidend ist ein reibungsloser Betrieb mit guter Performance und höchster Verfügbarkeit. Mit der immer stärkeren Vernetzung der Unternehmen nimmt nicht nur die Anzahl der Schnittstellen zu, sondern es wachsen auch die Anforderungen an die Sicherheit. Ebenso wichtig ist die Bereitstellung eines flexiblen Zugriffs auf die ERP-Anwendungen mit unterschiedlichen Clients und Verbindungen – auch von unterwegs aus.
Die Topthemen beim ERP-Outsourcing Grundsätzlich kommt es beim Betrieb der ERP-Systeme durch einen Service-Provider – sei es in Form von Cloud Computing, sei es ganz klassisch in Form von Hosting oder Managed Services – auf folgende Punkte an: 1. Sicherstellung der Verfügbarkeit 2. Gewährleistung von Transaktionszeiten und Antwortzeitverhalten im Kontext einer End-zu-End-Betrachtung (vom Rechenzentrum über WLAN/LAN/ WAN bis zum Endanwender) 3. Automatisiertes Deployment im Backend inklusive Kapazitätszuordnung von Prozessorleistung, Hauptspeicherkapazität und Storage-Ressourcen; diese IT business 3/2017
Cloud Computing gilt als Gebot der Stunde, Software wird zum Service. Das propagieren jedenfalls die Software-Hersteller. Doch bei den wirklich wichtigen Anwendungssystemen, etwa der Warenwirtschaft oder der Produktionsplanung, zucken die IT-Chefs noch allzu oft zurück. Aus guten Gründen, denn zentrale Fragen zu Performance, Verfügbarkeit oder Sicherheit sind längst nicht immer zufriedenstellend beantwortet. Ein ManagedService-Provider kann als Generalunternehmer für ein Hosting- oder Cloud-Angebot auftreten. Tritt dagegen ein ERP-Hersteller als Provider auf, kann das schnell kostspielig werden. werden idealerweise je nach Anforderung dynamisch erweitert oder verringert und damit optimal für alle ITDienste und Anwendungen orchestriert 4. Einbettung des ERP-Systems in das Sicherheits- und Business-Continuity-Konzept des Kunden gemäss Service-Level-Agreement bzw. Operational-Level-Agreement 5. Automatisierte und device-/formfaktorunabhängige Bereitstellung der Anwendungen 6. Zentrale Datenhaltung und Datenspeicherung mit Risikominimierung von Datendiebstahl und Datenmissbrauch. Ausgehend von einem massgeschneiderten initialen Sizing gemäss der erwarteten User-Workload, kann dann die Compute- und Storage-Infrastruktur flexibel und kostenoptimiert bereitgestellt werden. Mit dem IT-Chef entscheidet der Provider, ob er diese Infrastruktur vor Ort oder in seinem Rechenzentrum betreiben will.
Komplexe Entscheidung Bei dieser Entscheidung für einen Provider sind Kriterien zu berücksichtigen wie die Anzahl der Standorte, die Leistungsfähigkeit und Redundanz der WAN-Anbindung sowie die Professionalität der im Unternehmen vorhandenen RZ-Infrastruktur. Empfehlenswert ist es auch, die vom ERPSystem unterstützten Prozesse möglichst
nah am Standard zu halten – auch, um den Aufwand und damit die Kosten für neue Releases in Grenzen zu halten. Denn Anpassungen sind zwar manchmal unumgänglich, aber immer eine mögliche Fehlerquelle. Schnittstellen zu lokalen Subsystemen gilt es gut zu dokumentieren – und sie sollten möglichst auf gültigen technologischen Standards basieren. Die Frage ist: Was müssen die IT-Chefs bei der Übergabe des laufenden Betriebs eines vielleicht schon seit Jahren praxisbewährten ERP-Systems an einen Service-Provider besonders beachten? Bei Einsatz eines marktgängigen ERP-Systems könnte die Betriebsverantwortung dann komplett über den Managed-Service-Provider (MSP) laufen.
Spezielles ERP-System, definierte Verantwortung Bei einem speziellen oder branchenspezifischen ERP-System ist es notwendig, die Applikation durch den ERP-Hersteller oder durch sonstige vorhandene Knowhow-Träger ergänzend zu betreuen. Die Aufgabenverteilung sollte vertraglich in einer sogenannten RASCI-Matrix festgehalten werden. «RASCI» ist eine Erweiterung der Methode «RACI» zur Analyse und Darstellung von Verantwortlichkeiten. RASCI beschreibt genau, welche Rolle im Unternehmen bzw. beim Service-Provider für welche Aktivitäten verantwortlich ist –
13
CLOUD men, dass eine Person für eine Aktivität gleichzeitig «accountable» und «responsible» ist. Wenn für eine Aktivität niemand als verantwortlich definiert ist, nennt man dies «Lack of responsibility». Falls mehr als eine Person «responsible» ist, spricht man von «overlap in responsibility».
Organisatorische Herausforderung Allein dieses kleine Beispiel zeigt: Der Betrieb eines ERP-Systems ist viel mehr als nur ein technisches Problem, vor allen Dingen eine organisatorische Herausforderung. So können die Entscheider die Kosten und den Aufwand für das Projekt und den Betrieb der Systeme steuern. Der IT-Chef verantwortet zum Beispiel das klar geregelte Demand-Management bei neuen Anforderungen, die Priorisierung bei der Fehlerbehebung oder das Timing bei Release-Wechseln. Steht ein grösserer Release- oder Technologiewechsel (Infrastruktur-Refresh, In-MemoryComputing usw.) an, ist das der richtige Zeitpunkt, auch das Betriebsmodell anzupassen.
Der Teufel steckt im Detail
und welche Rollen (bzw. damit betraute Personen) an definierten Arbeiten zu beteiligen sind. So kann man zu einer klaren Beschreibung der Verantwortlichkeiten und Zuständigkeiten gelangen. Dabei werden die Begriffe wie folgt interpretiert: • Responsible (durchführungsverantwortlich im disziplinarischen Sinne), Zuständigkeit für die eigentliche Durchführung einer Arbeit. Gemeint ist die Person, die eine Initiative für die Durchführung (auch durch Andere) gibt. Sie kann die Aktivität auch selbst durchführen. • Accountable (rechenschaftspflichtig im Sinne der Kosten- bzw. Gesamtverantwortung), zuständig im Sinne von «genehmigen» oder «unterschreiben». Die Person, die im rechtlichen oder kaufmännischen Sinne die Verantwortung trägt. • Consulted (beratend) ist eine Person, die vielleicht nicht direkt an der Umsetzung
14
beteiligt ist, aber relevante Informationen für die Umsetzung hat und deshalb befragt werden soll oder muss oder die eigentliche Arbeit ausführt. • Informed (zu informieren) sind Personen, die Informationen über den Verlauf bzw. das Ergebnis der Tätigkeit erhalten oder die Berechtigung besitzen, Auskunft zu erhalten. • Supportive (unterstützend) greifen entsprechende Personen ein, die zum Beispiel Betriebsmittel zur Verfügung stellen oder Störungen beheben. Das RACIKonzept wird speziell bei Dienstleistern gerne zu RASCI erweitert. In der Regel sollte pro Aktivität nur eine Person (Rolle) «accountable» und «responsible» sein. Dagegen können mehrere Personen bei einer Aktivität «consulted» oder «informed» sein. Ebenso kann es vorkom-
Zunächst bedarf es also einer eindeutigen Definition, welche Betriebsaufgaben genau der Service-Provider eigenverantwortlich übernehmen soll, wo er diese Aufgabe zu erfüllen und schlussendlich auch, wie er diese Aufgabe zu erfüllen hat. Konkret kann der Service-Provider in eigener Verantwortung den Betrieb 1. der vorhandenen IT-Infrastruktur und/ oder 2. der Middleware und Datenbanken und/ oder 3. der Anwendungen bzw. des ERP-Systems 4. in den Rechenzentren und auf den Systemen des Kunden («On Premise») oder aber 5. aus Rechenzentren nach seiner Wahl (sprich seiner RZ-/Hosting-Struktur aus einer privaten Cloud oder hybriden Cloud-Umgebung heraus) zur Verfügung stellen. In Abhängigkeit der Kombination all dieser Varianten ergeben sich technische, organisatorische und prozessuale Schnittstellen zwischen Kunde und Provider, die (z. B. gemäss RASCI) hinsichtlich ihrer ÜbergabeIT business 3/2017
CLOUD punkte und Verantwortlichkeiten eindeutig definiert sein müssen, um eine OLA- bzw. SLA-konforme Verfügbarkeit des ERPSystems zu gewährleisten. Ein solches «Operational Level Agreement» (OLA) dient dabei als informelle, nicht vertragliche Vereinbarung der Unterstützung bzw. der Absicherung der vertraglichen «Leistungsvereinbarung» (neudeutsch «Service Level Agreement» bzw. SLA).
Weiterentwicklung des IT-Betriebs Die Praxis zeigt, dass aus einer reinen Eins-zu-Eins-Übertragung des IT-Betriebs (oder Teilen davon) nur geringe oder gar keine Kostenvorteile resultieren. Vielmehr sollte der Provider die Möglichkeit erhalten oder gar verpflichtet werden, die übertragenen Betriebsteile in einen optimierten «Future Mode of Operation» zu überführen. Nur dann ergeben sich langfristig und nachhaltig deutliche Vorteile auf der Kostenseite, aber auch in der Qualität und Agilität des Betriebs. Der Service-Provider kann dabei als Generalunternehmer für ein Hosting- oder Cloud-Angebot auftreten – inklusive der Lizenz- und Wartungsverträge mit dem ERP-Hersteller. Tritt dagegen der ERP-Hersteller als Provider auf, ist das tendenziell kostspieliger. Oft limitiert der Hersteller die praktisch akzeptierte Kundengrösse.
Kauf oder Miete? Setzt ein Service-Provider das Outsourcing-Projekt um, muss er in jedem Fall beim ERP-Hersteller zertifiziert sein, um beispielsweise SAP- oder Microsoft-Dynamics-Lizenzen einkaufen zu können. Bietet der Hersteller Mietlizenzen an, ist der Provider idealerweise berechtigt, diese zu verwenden (etwa per Microsoft-SPLA). Bei gemieteter Software lassen sich Lizenzen monatlich ohne Kostennachteile reduzieren. In beiden Fällen kann der Provider über monatliche Zahlungen sowohl die Infrastruktur als auch Kauflizenzierung abdecken. Kauft das Unternehmen Lizenzen, müssen Vertragslaufzeiten berücksichtigt werden. Werden die Nutzungsrechte gemietet, schliesst die Miete die Software-Wartung meistens mit ein. Die mögliche Abwicklung der Lizenz- und Wartungsverträge ist dabei natürlich von den verschiedenen ERP-Systemen und ihren jeweiligen Herstellern sowie von der aktuellen Lizenz- und Wartungssituation des Unternehmens abhängig. Sofern der IT-Chef bereits einen direkten Wartungsvertrag mit dem Hersteller hat, muss geklärt werden, ob es eine Möglichkeit gibt, den Wartungsvertrag auch indirekt anzubieten (z. B. über den Provider). Die Nutzungsrechte für die ERP-Lizenzen werden in jedem Fall vom ERP-Hersteller vorgegeben. In den meisten Fällen kauft der Anwender die Nutzungsrechte für seine eigene ERP-Installation direkt beim Hersteller oder – falls möglich – von Dritten (z. B. Systemhäusern). Manche Service-Provider haben aber auch die Berechtigung, selbst ERP-Lizenzen von verschiedenen Herstellern zu verkaufen – und können dann als Generalunternehmer für den Erwerb von ERP-Lizenzen dienen. ■
IT business 3/2017
Die neue Einfachheit Alaris S2000 Scanner-Serie Papierbasierte Prozesse und digitale Transformation passen nicht zusammen. Daher steht die einfache und schnelle Erfassung von Papierdokumenten im Fokus. Mit den Scannern der Alaris S2000 Serie wird die Digitalisierung zum Kinderspiel und es bleibt mehr Zeit für das Wesentliche. Diese Funktionen sprechen für sich: • Aktive Einzugstechnologie vermeidet Fehl- und Mehrfacheinzüge • Kontrollierte Ausgabestapelung spart Zeit bei der Belegsortierung • Integrierte Bildverarbeitungstechnologie sorgt für herausragende Bildqualität • Perfekt für Thin Client-Umgebungen • Mitgelieferte Scanlösung sorgt für nahtlose Integration in Workflows
kodakalaris.de/go/S2000
ww-240-17-Anz-S2000-90x260-ITB-2.indd 1
15 19.09.17
11:54
KMU
Energieeffizienz in Rechenzentren – ein Potenzial von 50 Prozent wartet auf die Umsetzung
Prof. Adrian Altenburger
Die Rechenzentren in der Schweiz sind zahlreich und deren betriebliche Qualität erfüllt meist hohe Anforderungen an die Datensicherheit und -verfügbarkeit. Die energetische Effizienz wird hingegen oft stiefmütterlich behandelt. Mit dem Abstimmungsresultat zur Energiestrategie 2050 sollte dieser Aspekt mehr in den Fokus rücken. Rechenzentren haben grosse energetische Effizienzpotenziale (bis zu 50 Prozent), aber die Information dazu fehlt oftmals. Die von Energie Schweiz und dem Schweizerischen Verband der Telekommunikation (asut) lancierte Kampagne «Weniger Strom, mehr Effizienz in Serverräumen und Rechenzentren» soll helfen, die Sensibilisierung zu erhöhen.
R
echenzentren sind ein wesentlicher Erfolgsfaktor für die Digitalisierung der Schweizer Wirtschaft. Da lediglich 4 Prozent der mittleren Unternehmen eigene Rechenzentren betreiben, haben Drittanbieter (externe Rechenzentren) eine wichtige volkswirtschaftliche Bedeutung. Eine Studie1 im Auftrag des Bundesamtes für Energie (BFE) und des Schweizerischen Verbandes der Telekommunikation (asut) zeigte auf, dass die Gesamtfläche der Rechenzentren in der Schweiz seit Jahren stark wächst und damit auch deren Stromverbrauch steigt. 2013 lag er bei 1661 Gigawattstunden (GWh), was 2,8 Prozent des Schweizerischen Gesamtstromverbrauchs ausmacht. Gemessen an den modernsten infrastrukturseitigen Technologien (z. B. Kühlung) besteht ein theoretisches Einsparpotenzial von 280 GWh.
Wachsender Bedarf und aktuelle Situation Die fortschreitende Digitalisierung von Geschäftsprozessen in der Wirtschaft führt zu einem wachsenden Bedarf an Rechenzentren. Für viele Unternehmen ist die 1
Abbildung 1: Modell Energiefluss im RZ. (Quelle: In&Out)
Verfügbarkeit dieser Anlagen von unternehmenskritischer Bedeutung. Daher kommt ihnen, zusammen mit der Netzinfrastruktur, eine hohe volkswirtschaftliche Bedeutung zu. Die erwähnte Studie mit dem Fokus Infrastruktur (Stromversorgung und Kühlung) aus dem Jahr 2014 zeigte erstmals detailliert die Grösse und Struktur der Rechenzentren-Landschaft auf. Dabei werden ausschliesslich Rechenzentren mit 11 oder mehr Servern in eigenen Räumlichkeiten berücksichtigt (Zahlen aus dem Jahr 2013): • In der Schweiz sind rund 1300 firmeninterne Rechenzentren in Betrieb. • Die Gesamtfläche aller Rechenzentren in der Schweiz mit 11 oder mehr Servern
beträgt 235 000 m2. Damit liegt die Schweiz im europäischen Vergleich auf Rang sechs. • Rund 150 000 m2 Rechenzentrumsfläche werden von Drittanbietern zur Verfügung gestellt. Damit liegt die Schweiz bei der Rechenzentren-Dichte auf Rang zwei hinter Irland. Den externen Anbietern kommt damit eine wesentliche volkswirtschaftliche Bedeutung bei der Versorgung der kleinen und mittleren Unternehmen (KMU) zu. Mittlerweile dürfte diese Zahl zwischen 180 000 und 200 000 m2 liegen. • Massnahmen zur Reduktion des Stromverbrauchs bestehen gemäss Studie bei der Lüftung und der Kühlung der An lagen.
Studie BFE zur RZ-Infrastruktur siehe: https://www.asut.ch/asut/resources/documents/Studie_IWSB_AmsteinWalthert_RZCH_Energieeffizienz_August%202014.pdf
16
IT business 3/2017
KMU
Abbildung 2: Gesamtenergieeffizienz eines herkömmlichen Rechenzentrums. (Quelle: IBM/bearbeitet)
Potenzial der IT-Prozesse massgebend Mit einer Vertiefungsstudie2 zum Stromverbrauch bei der IT in Rechenzentren aus dem Jahr 2015 wurde zusätzlich zur infrastrukturellen Effizienz das Potenzial in den IT-seitigen Prozessen (Speichertechnologien, Systemauslastung etc.) analysiert. Der Fokus lag in der Verbesserung der Effizienz der Server durch Erhöhung der Auslastung der Prozessoren und der Verbesserung der Speichmanagementsysteme sowie dem Umsteigen auf Flash-Speichertechnologien. Obenstehende Grafik stellt anhand eines Servers und der effektiv verwendeten Energie zur Ausführung einer Berechnung die grosse Differenz zwischen effektiv genutzter und in ein Rechenzentrum eingespeister Energie dar. So wird zur Ausführung einer Berechnung als Beispiel 1 Watt an Rechenleistung benötigt. Um dieses eine Watt zur Verfügung zu stellen, benötigt das Rechenzentrum bei einem PUEWert von 1,8 das 29-fache an Energie auf (29 Watt). 2 3
Die Untersuchungen haben gezeigt, dass im Idealfall eine Reduktion des Verbrauchs der elektrischen Energie jeweils innerhalb der Komponente wie folgt möglich ist: • Stromeinsparung im Server durch Virtualisierung und Konsolidierung bis zu 96 Prozent • Stromeinsparung im Storage durch Deduplikation, Thin Provisioning und Umsteigen von HDD- auf Flash-Speichertechnologien bis zu 90 Prozent • Stromeinsparung im Backup durch Umsteigen von diskbasierten Backup-Systemen auf bandbasierte Systeme bis zu 94 Prozent. Bei der Gesamtbetrachtung und Analyse hat sich ergeben, dass durch Kombination der einzelnen Massnahmen eine Stromeinsparung bis zu 50 Prozent im Bereich der IT-Hardware realistisch ist. Die Reduktion der IT-Leistung verursacht als Nebeneffekt eine Reduktion der elektrischen Leistung im Bereich der infrastrukturellen Energieversorgung (Stromumwandlung und Kühlung) ebenfalls bis zu 50 Prozent.
Win-Win-Situation durch Information Üblicherweise bedingen energetische Effizienzsteigerungen im Gebäudebereich Investitionen (Ersatz Ölheizung durch Wärmepumpe, Fensterersatz etc.), die über den Lebenszyklus der Systemteile amortisierbar sein sollten. Die Amortisation dieser Investitionen erstreckt sich oft über mehr als zehn Jahre. Entsprechend kritisch werden diese Effizienzmassnahmen beurteilt und oft auch aus Liquiditätsgründen vor allem bei bestehenden Bauten nicht oder nur zum Teil realisiert. Rechenzentren haben hier eine wesentlich günstigere Ausgangslage. Investitionen in die Energieeffizienz zahlen sich aufgrund der vergleichsweise hohen Energiedichte oft schon in wenigen Jahren oder gar Monaten aus. Paybackzeiten von weniger als zwei Jahren sind die Regel und nicht die Ausnahme. In den vom BFE in den Jahren 2010– 2015 geförderten Projekten und den vom Bundesrat gewürdigten Resultaten3 zur Effizienzsteigerung grösserer Rechenzen-
Vertiefungsstudie BFE zur IT-Effizienz siehe: http://www.news.admin.ch/NSBSubscriber/message/attachments/40638.pdf Bericht Bundesrat zu Rechenzentren und Energieeffizienz https://www.parlament.ch/centers/eparl/curia/2013/20133186/Bericht%20BR%20D.pdf
IT business 3/2017
17
KMU tren (PUEDA) hat sich gezeigt, dass die Hindernisse zur Realisierung von energetischen Effizienzpotenzialen nicht ökonomischer Natur, sondern primär durch fehlende Information begründet waren. Der Bundesrat hielt in seiner Analyse zu Handen des Parlaments dazu Folgendes fest: «Die laufenden Massnahmen lassen sich in erster Linie durch die Sensibilisierung von Unternehmen und Ingenieurbüros für das Thema der Energieeffizienz der Rechenzentren verbessern, und zwar durch Informationskampagnen, Beiträge in Fachzeitschriften, Weiterbildungsangebote und Workshops.»
Kampagne als flankierende Massnahme zur Energiestrategie 2050 Mit der Kampagne «Weniger Strom, mehr Effizienz in Serverräumen und Rechenzentren» sollen die Erkenntnisse der Studien und Förderprogramme aus den Jahren 2010 –2015 genutzt und marktnah umgesetzt werden.
Serverräume und Rechenzentren sind in der Schweiz für rund 3 Prozent des gesamten Stromverbrauchs verantwortlich. Das Stromeinsparpotenzial ist beträchtlich: Verschiedene Studien zeigen, dass in Rechenzentren bis 50 Prozent des Stromverbrauchs eingespart werden könnten. Die Kampagne «Weniger Strom, mehr Effizienz in Serverräumen und Rechenzentren» vermittelt Wissen und zeigt konkrete Massnahmen auf, die zur Effizienzsteigerung beitragen. Unternehmen erhalten Informationen über den Schweizer Rechenzentrumsmarkt sowie Effizienzmassnahmen und lernen anhand von Beispielprojekten, wie andere Unternehmen Massnahmen zur Effizienzsteigerung erfolgreich umgesetzt haben. Anhand eines einfachen und kostenlosen Assessment-Tools (Energie-Check) ist es zudem möglich, das eigene Unternehmen auf die Energieeffizienz einschätzen zu lassen und konkrete Massnahmen zu identifizieren. www.energieschweiz.ch/rechenzentren Dabei spielen nebst den grösseren Rechenzentren auch die zahlreichen kleinen Serverraumanwendungen, die in den KMUs stark verbreitet sind, eine zentrale Rolle. Letztere sind im Vergleich mit grossen und professionell betriebenen Rechenzentren weniger energieeffizient und haben auch bezüglich Datensicherheit oder -verfügbarkeit ein grosses Optimierungspotenzial.
Diese bisher wenig beachteten Nutzungen sollen nun mit der Kampagne direkt angesprochen werden. Eine für die Schweiz nicht untypische Situation, welche nicht nur die Potenziale in grossen Rechenzentren verbessern will, sondern eben auch die auf den ersten Blick weniger attraktiven, aber sehr zahlreichen kleinen Serverräume ernst nimmt. Wie sagt man so schön: «Es gilt die PS auf den Boden zu bringen.» ■
Sind Sie sicher, dass Sie sicher sind? Litecom schützt Ihre Websites und Serverinfrastrukturen und weiss, was zu tun ist. www.litecom.ch
Stark verbunden mit der Datenwelt Gemeinsam einen Schritt voraus.
18
IT business 3/2017
KMU
Alaris S2000 Scanner-Serie KMUs hinken der digitalen Transformation hinterher. Die neue Studie «ECM im Mittelstand» des Bitkom1 bestätigt, dass derzeit nur 11 Prozent der Mittelständler eine unternehmensweite digitale Dokumentenverwaltung einsetzen, während es für 81 Prozent der Grossunternehmen selbstverständlich ist.
D
en KMUs ist durchaus bewusst, dass sie das Papier aus den Büros verbannen müssen, um wettbewerbsfähig zu bleiben. Doch viele der Unternehmen scheuen hohe Investitionen, wobei sie den schnellen Return on Investment und eine höhere Kundenzufriedenheit ausser Acht lassen. Das bestätigt auch das Marktforschungsunternehmen IDC in einem Whitepaper2: Durch die Digitalisierung werden die Prozesskosten um durchschnittlich 35 Prozent gesenkt, Papierdokumente um 42 Prozent verringert und die Fehlerrate um 52 Prozent minimiert.
Budgetfreundliche Scanner Kodak Alaris kennt die Hürden sehr genau und präsentiert mit der neuen Alaris S2000 Scanner-Serie budgetfreundliche Scanner, die einen grossen Mehrwert bieten. Die neue Serie umfasst vier Scanner, die sich durch die Anschlussmöglichkeiten und Geschwindigkeiten unterscheiden: Alaris S2050/S2070 und Alaris S2060w/S2080w. Während sich die erstgenannten über USB verbinden lassen, bie-
ten die anderen beiden Modelle zudem die Netzwerkeinbindung per LAN und WLAN. Je nach Variante verarbeiten sie 50 bis 80 Blatt pro Minute.
wert ist, dass die Geräte «Out of the Box» für die Citrix-Integration vorbereitet sind.
Schnelleres, einfacheres Scannen
Benutzer können entweder aus ihrer gewohnten Geschäftsanwendung den Scanvorgang auslösen oder Dokumente direkt am Scanner über das übersichtliche Bedienfeld erfassen. Das intelligente Auslesen von Barcodes sorgt für genaueste Ergebnisse bei der Datenextrahierung und vereinfacht das Setup. Mit der mitgelieferten Software Info Input Express lassen sich zwanzig verschiedene Scanaufträge vordefinieren und per Tastendruck auslösen.
Wohl einzigartig in dieser Klasse ist die aktive Einzugstechnologie. Durch automatisches «Rütteln» wird die Einzugskante des Papiers so ausgerichtet, dass Fehl- und Mehrfacheinzüge vermieden werden. Dabei können verschiedene Papierformate und -stärken im Stapel erfasst werden, auch Plastikkarten oder dünne Kassen belege. Neu ist auch die kontrollierte Ausgabestapelung, die für eine ordentliche Anordnung der Papierdokumente im Ausgabefach sorgt. Das Sortieren durcheinandergeratener Stapel gehört der Vergangenheit an. Die integrierte Bildverarbeitungstechnologie Perfect Page liefert stets Bilder von hoher Qualität auch ohne leistungsstarken PC, so sind die Scanner bestens für ThinClient-Umgebungen geeignet. Bemerkens-
Pull- und Push-Scannen
Sinnvolles Zubehör Neu ist ein platzsparendes Flachbett für Reisepässe. Der Scanner erkennt das Dokument, wenn es vollständig auf die Glasauflage gelegt wurde, und scannt den Pass direkt binnen Sekunden. Es sind die ersten Scanner, die den Markennamen Alaris tragen. Schon mit dem Alaris IN2 Ecosystem hat das Unternehmen eine neue Ära eingeläutet. Es kennzeichnet den integrierten Ansatz und das perfekte Zusammenspiel zwischen Scannern, Software und Services, die von einem Netzwerk ausgewählter Partner bereitgestellt werden. So erhalten auch kleine und mittelständische Unternehmen die massgeschneiderte Lösung für ihre Anforderungen. ■ Kodak Alaris Germany GmbH D-70327 Stuttgart • +49 711 25 28 19 41 +49 89 1 25 04 02 25 90 scannerfamilie@kodakalaris.com www.kodakalaris.de/b2b
Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V., Berlin Das Whitepaper wurde im Auftrag von Kodak Alaris erstellt. «Informationserfassung: Grundstein der digitalen Transformation» – 31. Juli 2017
1 2
IT business 3/2017
19
KMU
Software-Defined Storage komplettiert Datenschutzkonzepte Software-Defined Storage (SDS) integriert grundlegende Technologien für die Sicherung und Wiederherstellung von Daten. Der system- und plattformübergreifende Ansatz eignet sich insbesondere für hybride Dateninfrastrukturen mit physischen und virtuellen Systemen, zentralen und lokalen Ressourcen, hyperkonvergenten Systemen und CloudAnbindung. Entsprechende Lösungen kommen auch in zukunftsgerichteten Schweizer Organisationen zum Einsatz.
D
atenverluste drohen Unternehmen nicht nur durch Schadsoftware wie Ransomware, auch technische Defekte, überlastete Infrastrukturen und der «Risikofaktor Mensch» sind potenzielle Bedrohungen. Während die Anforderungen in heterogenen, teils virtualisierten Umgebungen wachsen, kann die herkömmliche Speicherinfrastruktur für umfassende Disaster-Recovery- (DR) und Business-Continuity-Massnahmen (BC) jedoch oft nicht mehr standhalten.
Business-Continuity- und Disaster-Recovery-Funktionen inklusive Software-Defined Storage (SDS) integriert zahlreiche Leistungsmerkmale für die effiziente und intelligente Datenhaltung, die sich speicherklassen- sowie geräteübergreifend nutzen lassen. Für Unternehmen, die im Rahmen ihrer BC- und DR-Strategie nach Zentralisierung und Automatisie-
rung suchen, ist der Wechsel auf SDS daher eine attraktive Alternative. Administrativ aufwendige Prozesse rund um die Sicherung, den Schutz, die Migration oder Verfügbarkeit von Daten können so automatisiert und zentral gesteuert werden. Da die hierfür nötigen Leistungsmerkmale integraler Bestandteil einer ausgereiften SDS-Lösung sind, müssen Unternehmen deutlich weniger in speziell auf die Sicherung und Wiederherstellung ausgelegte Produkte investieren. Eine ausgereifte SDS-Lösung bietet diese Storage-Services aus einer Hand: • Transparenter Autofailover für Hochverfügbarkeit Um Ausfallzeiten zu vermeiden, werden I/O-Ereignisse parallel auf zwei voneinander unabhängigen SDS-Knoten synchron gespiegelt. Diese Knoten, in der Regel x86Standardserver, können bis zu 100 Kilometer weit voneinander entfernt liegen und bereits eine wichtige Absicherung be-
Die Dateninfrastruktur für das Datacenter der nächsten Generation.
20
deuten. Die Wiederherstellung bei Ausfall einer Seite erfolgt ohne manuelle Eingriffe (Auto-Failback). • Asynchrone Remote-Replikation als Notfallsicherung Noch weiter entfernte Standorte sichern sich gegenseitig und bidirektional ab, was den Austausch und die schnelle Fernwiederherstellung von Daten nach Ausfällen ermöglicht sowie das Risiko von Verlusten minimiert. Dies garantiert, dass der Geschäftsbetrieb auch nach schwerwiegenderen IT-Ausfällen am Hauptproduktionsstandort unausgesetzt weiterläuft. Dekomprimierung und Deduplizierung unterstützen eine optimale Bandbreitennutzung. • Snapshots und CDP für die punktgenaue Wiederherstellung Online-Snapshots erfassen auf einem virtuellen Laufwerk gespeicherte Datenbestände zu einem bestimmten Zeitpunkt. Meist werden sie in vordefinierten Intervallen angelegt. SDS-Lösungen ermöglichen es aufgrund der Zusammenfassung unterschiedlicher physischer StorageRessourcen in einen Pool, Snapshots über verschiedene Speicherklassen zu übertragen. Sie werden durch differenzielle Sicherung relativ klein gehalten, um sie kosteneffektiv zu lagern und schnell übertragen zu können. Dies bedingt jedoch, dass sie auch Beschädigungen durch Nutzer- und Anwendungsfehler, fehlerhafte Upgrades oder Viren mit transportieren. Deshalb integrieren IT business 3/2017
KMU
moderne SDS-Lösungen Technologien zur kontinuierlichen Datensicherung und -wiederherstellung (Continuous Data Protection, kurz CDP). Sie liefern eine fortlaufende Datensicherung auf BlockLevel, und damit eine stufenlose, granulare Wiederherstellung früherer Systemzustände. • Migration und Performance zur Prävention Datenkorrumpierung und Ausfälle sind nicht selten Folge von Systemüberlastung und Performance-Problemen. So nutzt die SDS-Plattform von Datacore Hochgeschwindigkeits-Caching, optionalen Flash und ein 15-stufiges Auto-Tiering (Speicherklassen), um Daten performant und kosteneffizient vorzuhalten und zu bewegen. Dabei greift das Storage-Pooling nicht nur über einzelne Geräte, sondern umspannt SAN, lokalen Speicher, Hyperkonvergente Systeme und Public-Cloud-Angebote. Eine entsprechende Lösung hat beispielsweise die Basler Adullam-Stiftung im Zuge der Modernisierung ihrer ICT-Infrastruktur implementiert. Die Spitäler und angeschlossenen Pflegebetriebe profitieren von Ausfallsicherheit und einem umfassenden Datenschutzkonzept. Der Funktionsumfang mit integrierter synchroner Spiegelung, Replikation, Datenmigration im Hintergrund, Auto-Tiering und die einfache Bedienung über eine zentrale GUI konnten dabei überzeugen. «Uns hat die Flexibilität der Datacore-Lösung überzeugt. Mit SANsymphony können wir jede Speicherhardware einsetzen und so auch den Umstieg auf neue Hardware ohne Unterbruch vollziehen», sagt dazu Rechenzentrumsleiter Benjamin Borschberg. • Redundanz bringt Datensicherheit Neben einer komplett neuen Netzwerkinfrastruktur wurde pro RechenzentrumsIT business 3/2017
seite auf je zwei VMware ESX 5.5-Servern unter Windows Server 2012 auf HP-Servern neu aufgesetzt und damit für die akuten und absehbaren Anforderungen zukunftstauglich gemacht. Zu den wichtigsten Anwendungen auf den rund 72 virtuellen Maschinen gehören dabei MSSQL- sowie Oracle-Datenbanken, die Telefonie, das KIS sowie ERP-System MS Navision. Wie die Server-Systeme ist Datacore redundant aufgesetzt. Pro Rechenzentrumsseite läuft SANsymphony Version V10 auf einem HP-DL380-G8-Server mit 64 GB RAM. Pro Seite stehen 20 TB Kapazität aus den neu angeschafften Storage-Hardware zur Verfügung, die nach der unterbrechungsfreien Hardware-Migration das bestehende Storage-System abgelöst hat. Die Umsetzung des Gesamtprojektes erfolgte in Zusammenarbeit mit dem Systemhaus ITRIS. «Die ITRIS ist für uns seit Jahren ein zuverlässiger, kundenorientierter Partner für die Infrastruktur- und MedicalSysteme. Durch die gute Planung und Vorbereitung waren unsere Speichersysteme unter SANsymphony innerhalb von einem Tag neu aufgesetzt und einem weiteren migriert», so Borschberg • Hochverfügbarkeit und 10-fache Performance in den Adullam-Spitälern und -Pflegezentren Insgesamt konstatiert man in den Adullam-Spitälern und -Pflegezentren eine 10fach erhöhte Performance im Vergleich zu dem zuvor genutzten Storage-System. «Nach der Inbetriebnahme war sofort eine spürbare Verbesserung der Performance zu verzeichnen, was uns die Mitarbeiter am Front-End auch so bestätigten. Das gilt aber auch für uns in der ICT-Abteilung: Das Aufsetzen einer virtuellen Maschine in vCenter mit dem Datacore-Speicher dauert etwa zwei Minuten statt 15 Minu-
ten auf dem alten System», freut sich Benjamin Borschberg. Bei der Adullam-Stiftung konstatiert man durch die Einführung der SDS-Lösung folgende Vorteile: - Die Lösung ist ohne ungeplante Ausfälle seit über 1 ½ Jahren im Einsatz. - Die Performance hat sich um das 10Fache verbessert. - Der Zeitaufwand für Routineadministra tionsaufgaben wurde um 90 Prozent reduziert. - Geplante Ausfallzeiten (Datenmigrationen, Upgrades, Aktualisierungen) wurden um 100 Prozent verringert. Durch die Erneuerung der Infrastruktur wurden die Projektziele erreicht und die Hochverfügbarkeit und Performance des Speichers zu moderaten Kosten optimiert. Gleichzeitig profitiert man bei Adullam von erhöhter Flexibilität beim Ausbau der Infrastruktur in der Zukunft. Hardwareund Herstellerunabhängigkeit geben die Möglichkeit zu schnellen, auf den Bedarf abgestimmten Entscheidungen. Datacores Replikation soll im nächsten Schritt bei der kompletten Anbindung des Rechenzentrums in Riehen zum Einsatz kommen. Und Datacores Parallel-I/O-Technologie könnte in Zukunft eine kosteneffiziente Umsetzung einer VDI (Virtual Desktop Infrastructre) ermöglichen. • Parallel-I/O als Zukunftsoption Datacore ermöglicht erstmals eine parallele I/O-Verarbeitung in den heute gängigen Mehrkernprozessoren. Vor allem lastenintensive Datenverarbeitungsprozesse, Datenbanken und Analysen profitieren von einer Performance-Vervielfachung. Gleichzeitig können virtuelle Maschinen auf hyperkonvergenten Systemen dichter gepackt und damit Einsparpotenziale auf bislang unerreichtem Niveau erzielt werden. Verfügbar ist die Parallel-I/O-Technologie heute in Datacore Hyper-Converged SAN und SAN Symphony. Sie repräsentieren effiziente SDS-Plattformen für Hochverfügbarkeits-, Business-Continuity- und Disaster-Recovery-Strategien in modernen Rechenzentren. ■
Datacore Software GmbH, 8058 Zürich • + 41 (0)43 550 02 16 infoswitzerland@datacore.com www.datacore.de
21
KMU
Kostenrisiko Software-Audit
Berthold Wesseler
E
s mag sein, dass es zufällige «License Reviews» gibt, doch in der Regel existiert dafür ein handfester Auslöser – ein sogenannter «Software-Audit-Trigger». Typische Trigger sind ein Upgrade der Hardware-Infrastruktur, eine Anfrage des Kunden nach Lizenzoptimierungen bzw. zusätzlichen Lizenzen oder aber schlicht und ergreifend eine Flaute im Verkauf des Herstellers. Deshalb sollte der IT-Chef sich vor bösen Überraschungen durch solche Audits schützen, denn wer frühzeitig vorbeugt, fährt deutlich günstiger als jemand, der im Falle eines Zwangs-Audits teuer nachlizenzieren muss. Ein Mittel zum Zweck ist die «Lizenzvorsorge». Dabei prüfen spezialisierte System-
Software-Audits führen im Mittelstand immer wieder zu ungeplanten Ausgaben – etwa in Form von hohen Kosten für Nachlizenzierungen und Back-Support. Die Ursache: Grosse Software-Konzerne prüfen in zunehmendem Masse über sogenannte Audits, ob ihre Software-Produkte ordnungsgemäss erworben wurden und vertragsgemäss genutzt werden. Das kann für den IT-Chef teuer werden, falls er keine Vorkehrungen getroffen hat. häuser oder Berater die gesamten Lizenzen eines Unternehmens auf Auditsicherheit. Ungewollte Falschlizenzierungen oder unbeabsichtigte Unterlizenzierungen, die in der Zeit von Virtualisierung und Downloads immer häufiger vorkommen, werden so rechtzeitig festgestellt. Als vom Hersteller unabhängige Gutachter müssen die Berater dem Hersteller auch nichts melden; der sogenannte Glashaus-Effekt bleibt dadurch aus.
Weiterverkauf nicht benötigter Lizenzen Bei Überlizenzierung kann der Weiterverkauf nicht benötigter Lizenzen an einen
Gebrauchtsoftware-Händler sogar Kosten sparen und eine Einnahme generieren. Umgekehrt kann gebrauchte Software ein Lizenz-Defizit sofort massgeschneidert und kostengünstig ausgleichen. Gebrauchte Software statt Nachkauf beim Hersteller ist insbesondere dann das Mittel der Wahl, wenn ältere Software-Versionen im Einsatz sind, die der Hersteller gar nicht mehr verkauft. IT-Leiter und Geschäftsführer werden oft sehr nervös, wenn Global Player wie Adobe, Microsoft, IBM oder Oracle zum Lizenzaudit auffordern. Dabei kommt das Anschreiben meist ganz harmlos daher; beim Windows- und Office-Anbieter heisst es beispielsweise lapidar: «Als Ihr zuständiger Microsoft Engagement Manager kontaktiere ich Sie heute, um Sie durch unseren Lizenzplausibilisierungsprozess zu begleiten. Senden Sie einfach die angehängte Lizenzinstallationsübersicht ausgefüllt an uns zurück!» Was wie eine wohlmeinende Unterstützung bei der Optimierung des Lizenz-Managements klingt, kann teuer werden. Schliesslich geht es dem Hersteller einzig darum, zu überprüfen, ob Kunden für ihre verwendete Software eine ausreichende Anzahl an Lizenzen besitzen.
Berater gefragt IT- und Geschäftsleitung müssen dann zwei Dinge wissen: Was brauche ich an Software-Lizenzen? Und was darf ich lizenzrechtlich? Das sehr spezielle Knowhow zur rechtskonformen Beantwortung dieser Fragen ist in Unternehmen oftmals nicht ausreichend vorhanden. Daher empfiehlt es sich, einen Berater hinzuzuziehen.
22
IT business 3/2017
KMU Einerseits, um im Falle eines Audits auf der sicheren Seite zu sein. Andererseits, um eine kostenoptimierte Lizenzierung zu gewährleisten. Auf den Handel mit gebrauchter Software spezialisierte Systemhäuser versprechen ihren Kunden Einsparpotenziale bis zu 70 Prozent gegenüber dem Neukauf. Ein weiterer finanzieller Aspekt ist die erwähnte Vermeidung von Überlizenzierungen. Auch hier können GebrauchtsoftwareHändler helfen, totes Kapital zu aktivieren, indem sie überschüssige Software aufkaufen. Die Kunden refinanzieren dann ihre Investitionen in die tatsächlich benötigten Lizenzen oder in notwendige SoftwareUpdates.
Compliance, Transparenz und Einsparungen Neben Beratern versprechen auch Tools für das sogenannte «Software Asset Management» Compliance, aber auch Transparenz- und Kostenvorteile. Mit einem SAM-Tool kann die IT-Leitung auf Knopfdruck analysieren, ob das Unternehmen über- oder unterlizenziert ist. Wie hoch die Kostenrisiken und möglichen Einsparungen im Einzelfall sind, lässt sich nicht pauschal quantifizieren. Grundsätzlich lohnt sich aber die Anschaffung von SAM-Tools, zumal diese relativ günstig sind. Der Mietpreis für solche Pakete inklusive Funktionen für Inventarisierung, Lizenzmanagement, Abbildung aller Standorte und Dokumentation liegt teilweise nur bei wenigen hundert Schweizer Franken im Jahr. Das ist im Vergleich zu den Risiken bei Falschlizenzierung ein Schnäppchen.
Offen wie ein Scheunentor? Viele Hersteller gehen die Kunden gerne direkt via Mail an, um spezifische SAMTool-Angebote zu offerieren und direkt zur Installation aufzufordern. Dieses Vorgehen ist grundsätzlich mit Vorbehalt zu betrachten. Natürlich bieten diese Tools Kontrolle und Transparenz, die Frage ist jedoch: für wen? Vielen Unternehmen ist gar nicht bewusst, dass sie mit der Installation vieler Tools ihren gesamten Lizenzbereich unwiederbringlich für die Software-Hersteller «offen» legen. Zu bedenken beim Einrichten solcher SAM-Tools ist auch, dass jedes Tool nur so IT business 3/2017
Audits – ein Geschäftsmodell der Software-Hersteller Gemeinsam gegen Lizenzaudits vorgehen – diese Idee der Lighthouse Alliance scheint für IT-Chefs attraktiv, denn der Anwenderverein hat seit seiner Gründung im Jahr 2016 bereits Mitglieder mit zusammen über 370 Mrd. Euro Umsatz und mehr als einer Million Mitarbeitern gewonnen. Die Mitglieder der Allianz verwalten mehrere Milliarden an Software-Assets – und wollen gemeinsam ein Zeichen setzen gegen Software-Audits als reines Geschäftsmodell der Hersteller. Gerade Oracle ist für eine rigide Durchsetzung seiner Interessen durch Software-Audits bekannt. Nach Angaben der Allianz existieren dort eine Reihe solcher Audit-Trigger. Die Top 5 sind: 1. Oracles Vertrieb erreicht seine Sales-Quoten nicht: Wie in allen Software-Unternehmen werden den Vertriebsmitarbeitern bestimmte Quoten auferlegt. Die jeweilige Berechnungsgrundlage und das Berechnungssystem können beliebig komplex sein. Wird die festgelegte Quote nicht erreicht, ist es aus Sicht des Vertriebes ein probates Mittel, einen Kunden für ein Lizenz-Audit vorzuschlagen. In Fachkreisen wird dies als sogenannter «Shake-Up» bezeichnet. Der Kunde muss wachgerüttelt werden, damit er etwas kauft bzw. dem Vertrieb wieder zuhört. 2. Der Kunde bittet Oracle um Hilfe bei der Kostenreduzierung: Vielleicht nutzt er bestimmte Produkte nicht mehr, oder der Kostendruck im Unternehmen ist generell hoch. Eine Reduktion der Support-Ausgaben ist für Oracle jedoch sehr unangenehm. Die Supportmargen liegen regelmässig über 90 Prozent; dies will man sich nicht entgehen lassen. Kunden sollten sich darüber im Klaren sein, dass die Abteilung, die Hilfe bei der komplizierten Oracle Lizenzierung anbietet, auch die Abteilung ist, welche die Audits durchführt – nämlich Oracle «License Management Services» (LMS). 3. Die schiere Grösse des Kunden: In der Regel denken grosse Kunden, dass sie eine Art Immunität besitzen, weil sie reichlich Lizenzen kaufen bzw. viel Wartungsgebühren zahlen. Doch dem ist nicht so. Je mehr Produkte ein Kunde von Oracle einsetzt – sei es Hardware und/oder Software – umso eher kann er zum Ziel eines Audits werden. Je komplizierter es wird, desto wahrscheinlicher ist es auch, dass er einen Fehler bei der Lizenzierung gemacht hat. Eine einzige Unachtsamkeit bei der Virtualisierung der IT-Umgebung kann schon mehrere Millionen Euro kosten. 4. Austausch der Hardware: Eigentlich ist jedem bekannt, dass Oracle die Lizenzierung auch von der Umgebung abhängig macht, auf der die Software betrieben wird. Doch ist im Markt immer wieder zu sehen, dass gerade bei Hardware-Umstellungen die Minimum-Regelungen, Core-Faktor-Tabellen oder andere wichtige Lizenzregeln nicht richtig umgesetzt werden. Wird dann auch noch virtualisiert, ist das Chaos perfekt. 5. Der IT-Chef hat keine Ahnung, welche Oracle-Produkte das Unternehmen benutzt: An dieser Stelle gibt es zwei Unsicherheiten. Zum einen fehlt oft die Transparenz, welche kostenpflichtigen Optionen und Packs genutzt werden – sei es gewollt oder ungewollt. Die andere Unsicherheit besteht darin, dass sich der IT-Chef nicht darüber im Klaren ist, was alles Oracle-Produkte sind: Siebel, JD Edwards, Peoplesoft, Taleo, Hyperion, Eloqua … Alles im Griff? Gerade Grosskonzerne sind sich oft nicht im Klaren darüber, dass vielleicht irgendein Unternehmensteil etwas von dieser Software nutzt. Bei M&A-Transaktionen tauchen diese Probleme regelmässig auf, wenn der akquirierte Unternehmensteil in die virtualisierte Umgebung eingebunden wird und vergessen wurde, dass da vielleicht die HR-Abteilung eine Software einsetzt, die man besser nicht in einer virtualisierten Cluster-Umgebung nutzt. (Quelle: Lighthouse Alliance) gut sein kann, wie der Spezialist, der es einrichtet und pflegt. Nach ein bis zwei Jahren schleichen sich durch Personalwechsel oder fehlende Schulungen häufig Fehler ein – und die Auditsicherheit ist plötzlich trotz der teuren Tools nicht mehr gewährleistet. Daher empfiehlt sich gerade für Mittelständler mit schlanker IT-Abteilung, die SAM-Kontrolle an einen Dienstleister auszulagern. Unterm Strich fahren die ITChefs damit wirtschaftlicher und effizienter als mit einem in Eigenregie genutzten
SAM-Tool, denn sie sparen Personalkosten und sind auf jeden Fall jederzeit auditsicher, aktuell und mit massgeschneidertem Lizenz-Volumen aufgestellt.
Knifflige Auditsituationen Für die kniffligen Auditsituationen gibt es durchaus weitere in der Praxis bewährte Erfolgsrezepte. Am besten sollte man vorbeugend und möglichst lange vor einer konkreten Audit-Aufforderung den Lizenzbereich auf Auditsicherheit checken
23
KMU men, denn die Hersteller pochen auf ihr Recht der Nachweisbarkeit der Lizenzherkunft und auf eine lückenlose Rechtekette.
Knappe Rückmeldefristen
lassen. Denn dann kann man noch laufende Kosten sparen und in Ruhe mit gebrauchter Software nachlizenzieren. Dabei muss allerdings unbedingt darauf geachtet werden, dass gebrauchte Software nachweislich auditsicher erworben wird – also mit Lizenznummer, offengelegter
24
Rechtekette und der vom Erstbesitzer unterzeichneten Vernichtungserklärung. Eigentlich ist das selbstverständlich. Aber manche Händler verschleiern leider die Rechtekette oder unterzeichnen die Vernichtungserklärung selbst. Dann kann es im Audit natürlich zu Problemen kom-
Knifflig erscheint eine Audit-Situation nur, wenn Unsicherheiten hinsichtlich der korrekten Lizenzierung bestehen. Mit guter Beratung passiert das nicht. Grundsätzlich sollte sich der IT-Chef aber nicht unter Druck setzen lassen, beispielsweise durch bewusst knappe Rückmeldefristen der Software-Hersteller. Diese Fristen kann der IT-Chef immer deutlich nach hinten verlegen. Kommt es tatsächlich zum Audit, sollte sich der IT-Chef auf jeden Fall unterstützen lassen. Kein Unternehmen würde eine Bilanzprüfung ohne Steuerberater durchführen – warum dann in eine Lizenzprüfung ohne Lizenzberater gehen? Also sollte sich der IT-Chef tunlichst bereits vor der Abgabe des Deployment-Summary-Sheets kompetente Audit-Akut-Unterstützung holen, die exakt auf einen Zwang-AuditFall abgestimmt ist. ■
IT business 3/2017
KMU
Bereit für MiFID II? Jetzt eine Mitschnittlösung wählen, die auch IP kann Mit der MiFID II-Richtlinie der Europäischen Union wird der Telefonmitschnitt für Banken und Wertpapierhändler ab dem 3. Januar 2018 gesetzlich verpflichtend. Sämtliche Telefongespräche rund um den Kauf oder Verkauf von Finanzinstrumenten müssen dann aufgezeichnet und bis zu sieben Jahre archiviert werden. Betroffene Unternehmen benötigen also eine Mitschnittlösung, die zeitnah einsatzfähig ist und langfristig auch in der IP-Welt alle Anforderungen erfüllt.
U
nternehmen, die MiFID II erfüllen müssen, benötigen eine Mitschnittlösung, die neben umfassenden Aufzeichnungsmöglichkeiten auch höchste Sicherheitsstandards und datenschutzrechtliche Bestimmungen gewährleistet. Die komfortable Verwaltung der aufgezeichneten Dateien für bis zu sieben Jahre gehört ebenfalls ins Pflichtenheft. Lösungen wie «OfficeMaster» vom deutschen Unified-Communications-Spezialisten Ferrari electronic erfüllen alle technischen und rechtlichen Vorgaben. Besonders clevere Lösungen sind zudem für sämtliche TK-Szenarien geeignet und bieten damit Investitionsschutz.
Vielseitig und komfortabel Modulare Systeme wie «OfficeMaster CallRecording» bestehen aus verschiedenen Messgeräten und einer leistungsfähigen Mitschnitt-Software. Diese Lösungen lassen sich einfach und flexibel in die bestehende ITK-Infrastruktur integrieren. Telefonate werden zuverlässig und rechtskonform in den eigenen Räumen – unter Verwendung der eigenen Kommunikationslösung – mitgeschnitten und bis zu sieben Jahre gespeichert. Vielfältige Echtzeitfunktionen und der Mitschnitt-Finder sorgen für eine komfortable Handhabung.
MiFID II versus Datenschutz Einerseits schreibt MiFID II vor, dass alle Gespräche aufgezeichnet werden, andererseits wacht der Datenschutz mit ArgusauIT business 3/2017
OfficeMaster CallRecording passt sich an die Bedürfnisse der Unternehmen an – SIP-Lines inklusive.
gen darüber, was aufgezeichnet wird. Um auf diesem schmalen Grat zu bestehen, muss ein System erkennen, welche Anrufe wann, wie und wo aufzuzeichnen sind. Prefilter definieren, wann welche Anschlüsse aufgezeichnet werden. Feste Zeiten oder einzelne Nummern lassen sich vom Mitschnitt ausschliessen, etwa Gespräche mit dem Betriebsrat oder der Rechtsabteilung. Ein Passwortschutz, eine verschlüsselte Speicherung und eine rollenbasierte Anwenderoberfläche schützen die Aufzeichnungen darüber hinaus auf mehreren Ebenen. Eine Fingerprint-Funktion, die auf nachträgliche Veränderungen der Mitschnitte hinweist, vervollständigt die Checkliste in puncto Nachverfolgbarkeit und Manipulationsschutz – zwei weitere Anforderungen aus MiFID II.
Für den All-IP-Umstieg gewappnet Neben dem Mitschnitt müssen ITKVerantwortliche auch die IP-Umstellung
vorantreiben. Mit flexiblen Lösungen gelingt beides fristgerecht: So besitzt das «OfficeMaster Gate Advanced» verschiedene Anschlüsse und Schnittstellen, mit deren Hilfe die vorhandene TK-Anlage IPfähig wird. Zudem lassen sich zusätzliche Dienste wie Fax, Voicemail und Telefonmitschnitt mühelos integrieren. Kurzfristig realisieren Unternehmen den Mitschnitt also mit der Kombination aus Mitschnitt-System und dem Gateway. Langfristig, wenn die gesamte Kommunikation auf IP umgestellt ist, müssen nur die benötigten SIP-Lines erworben werden. Kosten für neue Hardware oder zusätzliche Schulungen für das Unified-Communications-System entfallen. Wer also heute eine flexible Mitschnitt-Lösung kauft, ist für morgen sicher. ■
Ferrari electronic AG, D-14513 Teltow • +49 3328 455 90, +49 3328 455 960 info@ferrari-electronic.de www.ferrari-electronic.de
25
KMU
Umstieg auf All-IP – tricky, aber lohnend
Berthold Wesseler
S
eit den Pioniertagen von «Voice over IP» (siehe Kasten) hat sich die VoIP-Technologie enorm weiterentwickelt. Die Internet-Telefonie kann unbestritten die sehr hohe Sprachqualität des ISDNs durchaus erreichen. Das ist aber längst nicht immer der Fall, denn VoIP kann nur so gut sein wie es das Übertragungsnetz erlaubt – sowohl bei Internetanbindung als auch im firmeneigenen Netzwerk.
26
Swisscom schafft ISDN bis Ende des Jahres ab. Auch wenn andere Provider, wie etwa Vodafone, die digitale Netztechnologie auch noch über 2020 hinaus unterstützen wollen, steht das Ende von ISDN weit oben auf der Agenda der IT-Chefs. Jedenfalls all derjenigen IT-Chefs, die diesen Umstieg noch nicht gemeistert haben. Es ist ja durchaus «tricky», die firmeneigene Kommunikationsinfrastruktur für All-IP zu rüsten. Denn Geräte wie TK-Anlagen, Telefone oder Faxe sind in vielen Fällen nicht mit der IP-Technologie kompatibel; auch die Alarm- und Notruf-Übertragungstechnik gilt es umzustellen, falls sie auf ISDN basiert. Manchmal taugt sogar das ganze Firmennetzwerk noch nicht für den zuverlässigen IP-Betrieb mit vernünftiger Sprachqualität. Deshalb gibt es bewährte «Best Practices» zur Qualitätssicherung der Internet-Telefonie – und moderne VoIP-Systeme, die robust auch höhere Verlustraten von Sprachdatenpaketen verkraften und mit ausgefeilten Mechanismen zur Fehlerverschleierung arbeiten. So werden Störungen unhörbar – und man kann mit guter Sprachqualität telefonieren, sogar über leistungsschwächere oder störungsanfällige Netzwerke.
Komplexe Netzinfrastrukturen Deshalb lässt sich die Chance der Vereinheitlichung der Kommunikation am Arbeitsplatz nutzen, ohne bei Wirtschaftlichkeit und Betriebssicherheit allzu sehr ins Risiko zu gehen. Denn an der Vereinheitlichung der Sprach- und Datennetzwerke des Internetprotokolls IP führt kein Weg vorbei; es ist auch für Mittelständler langfristig die beste Lösung. Das Internetprotokoll ist ein einheitlicher Übertragungsstandard für Informationen aller Art – Sprache, Video oder Text. Ein Netz auf dieser Basis sorgt dafür, dass sich Datenpakete mit völlig unterschiedlichen Inhalten über eine einheitliche Netzplattform verteilen und mit verschiedenen Geräten wie Telefon, Smartphone oder PC nutzen lassen. Komplexe Netzinfrastrukturen wie das «Integrated Services Digital Network» (ISDN) nutzen mehrere Technologien gleichzeitig und stehen dadurch dieser Entwicklung im Weg. So sind in der ISDN-Welt die Netzwerke in verschiedene Kanäle aufgeteilt, einer davon ausschliesslich für die Sprache. Das sichert zwar die Sprachqualität, blockiert aber auch die Bandbreite, die für andere Nutzungsarten nicht zur Verfügung steht – sogar dann, wenn momentan gar nicht telefoniert wird. IT business 3/2017
KMU Das IP-Netz dagegen nutzt für alle Datenformate einen gemeinsamen Kanal. Wird nicht telefoniert, kann die Bandbreite anderweitig genutzt werden. Hinzu kommt: Für die ISDN-Vermittlungstechnik werden bald gar keine Ersatzteile mehr hergestellt. Die Technik stammt aus den 70erund 80er-Jahren. Die Entwickler, die damit gearbeitet haben, gehen gerade in Rente. Somit verabschiedet sich auch das Fachwissen. Der Nachwuchs ist auf IP-Technik getrimmt.
Robuste ISDN-Applikationen Allerdings: In den vorangegangenen 25 Jahren ist im Umfeld von ISDN eine ganze Menge brauchbarer Hard- und Software zusammengekommen. Neben einer Vielzahl von TK-Systemen unterschiedlicher Hersteller und deren jeweiliger Ausprägungen existieren auch eine ganze Reihe unterschiedlicher Applikationen, die auf Basis ISDN betrieben werden. Dass ISDN auch als ein robustes Medium für Datentransport genutzt wird, liegt oftmals an der Art der Anwendung und den infrastrukturellen Gegebenheiten. Auch wenn es längst adäquate Alternativen gibt, die ISDN in Sachen Bandbreite bereits um ein Vielfaches zu übertreffen, und auch wenn die Verfügbarkeit der xDSL-basierten Breitbandzugänge viel besser geworden ist, argumentieren Kritiker nach wie vor mit der höheren Verfügbarkeit seitens ISDN.
Redundanzkonzepte gefragt Für Umgebungen, die dies verlangen, können aber durchaus Redundanzkon-
zepte – also mehrere Zugänge oder alternative Zugangswege auch via Mobilfunk – zum Einsatz kommen. Intelligente Router- und Gateway-Lösungen erkennen den Zustand der primären Breitbandzugänge und schalten automatisch auf die Ersatzwege um bzw. auch wieder zurück, sobald die Verfügbarkeit wiederhergestellt ist. Das heisst auch: Wenn ein Unternehmen über die Jahre eine gut funktionierende ISDN-Infrastruktur auf- und ausgebaut hat – von der Nebenstellenanlage in der Zentrale bis zum Telefon auf dem Schreibtisch –, kann es über Adapter durchaus sein Investment schützen und dennoch die Modernisierung seiner TK-Infrastruktur behutsam vorantreiben. In solchen Fällen bietet sich zum Beispiel die ISDN/All-IPMigration mittels eines Media-Gateways an. Das Media-Gateway übernimmt dabei aus Sicht der TK-Anlage die Rolle des ISDN-Amtsanschlusses – und vermittelt ein- und ausgehend zwischen den beiden Technologiewelten.
«Zero-Touch»-Ansatz mindert das Risiko Der Vorteil dieses Migrationspfades liegt vor allem in der Tatsache, dass die bestehende TK-Anlage unberührt bleibt. Bei diesem «Zero-Touch»-Ansatz müssen keinerlei Konfigurationsänderungen am laufenden System vorgenommen werden; das Media-Gateway wird dabei einfach zwischen TK-Anlage und All-IP-Breitbandanschluss positioniert. Die Herausforderung besteht in der Anpassung und funktionellen Integration des Media-Gateways in dieses Szenario. Hier-
Eine kurze Geschichte der IP-Telefonie Die Vernetzung von Computern per Telefon begann in den 70er-Jahren, als Modems und Akustikkoppler Datenraten von 300 Bit pro Sekunde erreichten. Spätere Akustikkoppler kamen auf bis zu 33 600 Bit/s; damit war etwa das «Abholen» von E-Mails aus einer Telefonzelle in vertretbarer Zeit möglich. 2008 schaffte ein VDSL-Modem über eine Analogleitung Datenübertragungsraten von 20 000 KBit/s in Empfangsrichtung; seither sank die Bedeutung von ISDN kontinuierlich. Heute sind DSL-Anbindungen im Megabit-Bereich auf normalen Telefon-Anschlüssen oder im Kabelnetz realisierbar. Diese Infrastruktur bildet eine Grundlage für IP-basierte Datennetze, insbesondere für das Internet als öffentliches Netz. Im Jahr 1998 wurde mit H.323 erstmals ein ITU-T-Rahmenstandard verabschiedet, der «Voice over IP»-Lösungen verschiedener Hersteller miteinander kompatibel machte. Das «Session Initiation Protocol» (SIP) wurde bereits im Folgejahr spezifiziert – und seither fleissig an Übertragungsqualität und Interoperabilität gefeilt. Der Standardisierung von VoIP zuwiderlaufend kam allerdings 2004 die Software Skype auf den Markt, die ein proprietäres Protokoll zur IP-Telefonie verwendet.
IT business 3/2017
Fit für IP und Cloud. www.ferrari-electronic.de
27
KMU bei verlangen einige Parameter besondere Aufmerksamkeit und Sorgfalt bei Planung und Konzeption. Eine grundlegende Ressource bildet selbstverständlich die zur Verfügung stehende Bandbreite. Wird eine Sprachqualität vergleichbar mit der des ISDN angestrebt, so können circa 100 Kbit/s pro Sprachkanal als Faustformel angesetzt werden – natürlich bidirektional im Up- und Downstream. Es gibt aber auch viele andere Faktoren, die bei der IP-Umstellung eine Rolle spielen: Wie gross ist ein Unternehmen? Wie viele Standorte sollen umgestellt werden? Welche Router und welche Telefonanlagen werden genutzt? Sind Sonderdienste wie ECTerminals oder Alarmanlagen im Einsatz?
IP-fähig, muss das Unternehmen am Tag der Umstellung häufig nur die Verkabelung verändern und den Router neu konfigurieren. Mehr ist nicht nötig, denn nahezu alle ISDN- und fast alle modernen Hybrid-Telefonanlagen funktionieren auch am neuen IP-basierten Anschluss. Bei mittelständischen oder grossen Unternehmen ist die Umstellung aber komplexer, denn hier gleicht aufgrund der unterschiedlichen TK-Landschaften keine Migration der anderen. Deshalb ist eine saubere Projektierung der Umstellung wichtig – von der technischen Bestandsaufnahme und Planung über die Umsetzung bis hin zum Betrieb.
Hilfe von Technikern nur selten nötig
EDI – an das ISDN-Netz gefesselt?
Für kleine Unternehmen ist die Umstellung meist einfacher; neun von zehn schaffen das sogar ohne die Hilfe eines Technikers. Die einzige Voraussetzung für den erfolgreichen Umstieg ist ein IPfähiger Router. Ist das vorhandene Gerät
Speziell für EDI-Anwendungen hat sich das ISDN-Netz als höchst zuverlässige und qualitativ hochwertige Plattform flächendeckend bestens bewährt, während Internet längst noch nicht überall stabil die notwendigen Datenraten bietet. Da-
her empfehlen manche Experten den Einsatz von EDI-Konvertern in der Cloud, zumindest als Übergangslösung. Denn mit Cloud-Services lassen sich neben EDI auch viele andere IT-Dienste an externe Dienstleister auslagern. Daten, Software, Plattformen oder auch Rechenleistung befinden sich ausgelagert beim CloudAnbieter und werden über das Internet genutzt. Dabei kann eine optimal abgestimmte Auswahl der benötigten Dienste und Services getroffen werden – und der jeweilige Anbieter sorgt auch für die notwendige Verfügbarkeit und Betriebssicherheit. Dann muss sich der IT-Chef nicht länger um diese knifflige Baustelle kümmern. Möchte ein IT-Chef sein EDI-System auf IP umstellen, muss er diesbezüglich seinen Dienstanbieter frühzeitig ansprechen. Darüber hinaus gibt es auch Experten, die EDI-Konverter anbieten. ISDN-Anwender können EDI damit auch über einen IP-basierten Anschluss weiter nutzen – ohne dass sie am EDI-System selbst etwas ändern müssen. Dabei handelt es sich aber um eine Notlösung.
Das CNO Panel ist die Schweizer Plattform für das Top-Management mit Schwerpunktreferaten, Workshops und viel Raum für persönliches Networking. Freuen Sie sich auf relevante Statements aus Wissenschaft, Politik und Praxis – sowie auf Kunst und Kulinarik. CNO Academy mit Workshops und Präsentationen 14.00 bis 16.30 Uhr (Check-In ab 13.30 Uhr) Details siehe www.cno-panel.ch
COGNITIVE COMPUTING –
KÜNSTLICHE INTELLIGENZ
DIENSTAG, 31. OKTOBER 2017 STADE DE SUISSE BERN
Eventpartner
Sichern Sie sic h Ihre Teilnahm e an der CNO Academy und/oder am Abendpro gramm.
Anmeldung un CNO Panel Abendprogramm d Infos www.cno-pane 16.30 Uhr: Apéro l.ch 18.00 Uhr: Key Note ROLF PFEIFER Erforscher der Robotik und 031 566 93 00 Autor von Understanding Intelligence Talk EDY PORTMANN, experimentelle Forschung über CognitiveComputing und STUART ROBINSON, ethische Herausforderungen der Digitalisierung, reflektieren zusammen mit Rolf Pfeifer die Ideen und Gedanken zur künstlichen Intelligenz 19.30 Uhr: Dinner, Networking und Bar-Betrieb bis open end Begleitung: Durch HANNES VO WALD, experimenteller Pyrotechniker und Zauberer
Verbandspartner
Wissenschaftliche Partner Universität Bern IWI Forschungsstelle Digitale Nachhaltigkeit, Information Engineering und Information Management Kompetenzzentrum für Public Management Schweizerischer Verband der Telekommunikation Association Suisse des Télécommunications Swiss Telecommunications Association
Engagement
Universität St.Gallen Institut für Marketing
Idee und Realisierung
CNO 2017 setzt sich ein für
28
IT business 3/2017
SOLUTIONS
E-Voting: St. Galler Pilot-Durchgang erfolgreich unterstützt Die St. Galler Stimmberechtigten im Ausland und in vier Pilotgemeinden konnten den Urnengang vom 24. September elektronisch absolvieren. Die Verwaltungsrechenzentrum AG St. Gallen (VRSG) unterstützte die Staatskanzlei des Kantons St. Gallen erfolgreich bei der Umsetzung.
D
er Urnengang war der erste einer knapp zweijährigen E-Voting-Pilotphase im Kanton St. Gallen auf der Basis des Genfer Systems «CHvote». Die Stimmberechtigten erhielten einen Stimm ausweis mit personalisierten E-VotingCodes. So hatten sie die Kontrolle darüber, dass ihre Stimme korrekt eingegangen war.
Neuste Technologien Damit die Umsetzung reibungslos klappte, haben die Staatskanzlei des Kantons St. Gallen, die VRSG und Fachleute des Kantons Genf seit einem halben Jahr in enger Zusammenarbeit intensiv an der Vorbereitung gearbeitet. «Im Vordergrund steht die Datensicherheit», erklärt Peter Baumberger, Vorsitzender der Geschäftsleitung der VRSG. «Der Schwerpunkt unserer Arbeit lag auf der Integration der verschiedenen Systeme.» Dabei wurden modernste Technologien eingesetzt.
IT business 3/2017
Systeme reibungslos integriert Dank akribischer Planung verlief der mehrstufige Prozess reibungslos. Vor dem Abstimmungssonntag waren der Export der zugrundeliegenden Stimmregisterdaten sowie der Druck der Stimmausweise und die Verpackung der Stimmunterlagen im Produktionszentrum der VRSG sicherzustellen. Für die Codierung wurden die Daten verschlüsselt zwischen den VRSGeigenen Systemen und dem E-Voting-System «CHvote» ausgetauscht. Die elektronische Urne war vom 28. August bis am 23. September um 12 Uhr geöffnet. Am Abstimmungssonntag folgten dann der Import und die Verarbeitung der eingegangenen Stimmdaten von «CHvote» im Gesamtsystem VRSG | Wabsti Wahlen und Abstimmungen.
«Sehr innovative Lösungen» Für die Integration von «CHvote» und den Datenaustausch existierten keine Standardlösungen. «Die VRSG hat uns innerhalb kurzer Zeit sehr innovative Lösungen geboten», freut sich der St. Galler Vizestaatssekretär Benedikt van Spyk nicht nur über die gute Nutzung und erfolgreiche Umsetzung des Pilots, sondern auch über die gute Zusammenarbeit unter den Beteiligten. Insgesamt liefen am 24. September über VRSG | Wabsti Wahlen und Abstimmungen die Auswertung der drei nationalen Abstimmungen in den Kantonen St. Gallen, Schwyz, Thurgau und Zürich, von sechs kantonalen Schwyzer und Zürcher Vorlagen sowie von rund 80 Sachund Wahlgeschäften in Gemeinden und Wahlkreisen aller vier Kantone. ■ www.vrsg.ch
29
INTERNET
Google Hacking
Niels Gründel
F
ast jeder kennt Google und nutzt es auch. Von wenigen Ländern abgesehen ist sie weltweit betrachtet mit Abstand Internet-Suchmaschine Nummer 1. Sie ist aber nicht nur bei ganz normalen Internetnutzern äusserst beliebt, sondern ebenso bei Hackern. Sie setzen selbstverständlich auch spezielle Skripte oder Spezialsuchmaschinen wie Censys und Shodan ein, wenn sie etwa unzureichend geschützte Router oder Webcams aufspüren möchten. Möglich ist damit sogar das Aufspüren (ungeschützter) Autowaschanlagen, Babyfone, Geldautomaten und sogar Röntgengeräten. Doch Hacker finden mithilfe von Google ebenso Schwachstellen in Unternehmen.
30
Die meistgenutzte Suchmaschine der Welt bearbeitet Milliarden von Suchanfragen, und weil sie sich beim so genannten Crawlen von Internetseiten für ihren Suchindex eine ganze Menge Informationen einverleibt, ist sie auch in Hacker-Kreisen äusserst beliebt. Schlecht konfigurierte Webserver lassen sich damit ebenso ausspähen wie gezielt Informationen stehlen. Schwachstellen, die sich allesamt leicht vermeiden lassen. Google selbst sucht nicht aktiv nach den sensiblen Informationen, sie werden beim Durchsuchen von Unternehmens-Webseiten direkt durch das jeweilige Unternehmen selbst angeboten oder besser gesagt durch unzureichend konfigurierte Webserver zugänglich gemacht. Weitere sensible Datenquellen erschliessen sich durch die unbedachte Datenablage von Mitarbeitenden. Insofern ist es mehr als ratsam, Mitarbeitende in ihren Datenschutz-Unterweisungen auf Risiken aufmerksam zu machen, die sich einfach vermeiden lassen. Grundsätzlich findet die Suche von Google alles, was öffentlich im Internet erreichbar
ist. Genau das wird durch den Crawler der Suchmaschine erfasst und in ihren Speicher aufgenommen. Mit dabei sind immer wieder Inhalte, bei denen der Eigentümer nie an eine Veröffentlichung gedacht hatte, etwa Sicherungsdateien mit vertraulichen Daten, der Zugang zu Administrations-Interfaces kritischer Geräte, der Zugang zu Überwachungskameras oder der Zugang zu Netzwerkdruckern. Viele Webanwendungen und mit dem Internet verbundene Geräte enthalten Standardtexte, die stets vorhanden sind. Man muss sie nur kennen und danach suchen, um auf Schwachstellen zu stossen. Für die Suche nach sensiblen Daten lässt sich die erweiterte Suche von Google nut-
IT business 3/2017
INTERNET zen, ebenso ist die Eingabe spezieller Suchoperatoren möglich; dabei handelt es sich eigentlich nur um Recherchehilfen. Auf diese Weise lässt sich eine Suche auf eine bestimmte Internetadresse eingrenzen und dort weiter verfeinern, etwa durch die weitere Eingrenzung auf bestimmte Dateitypen oder Verweise zu einer Anmeldemaske auf der Seite. So offenbaren Webseiten Zugangsdaten, Kunden- oder Mitgliederdaten und vertrauliche Dokumente. Ungeschützte Passwortlisten lassen sich ebenso bei einigen Domains aufspüren wie personenbezogene Informationen, wenn die Datensparsamkeit nicht oberstes Gebot ist. Mithilfe derselben Suchkriterien, die Hacker verwenden würden, lassen sich selbst mögliche Sicherheitslücken aufspüren. Bei so genannten Penetrationstests ist dies ebenfalls Teil der Untersuchung.
Geheime Daten offen zugänglich Wer sich im deutschsprachigen Raum auf die Suche nach vertraulichen Dokumenten machen möchte, muss nicht viel investieren, um einige Treffer zu landen. Die Suche nach «vertraulich» oder «internen Gebrauch» führt zu einer Menge Treffer, nicht alle sind natürlich wirklich vertraulich. Wer die Suchergebnisse verbessern möchte, sollte nur nach Dateien suchen. Dazu kann der Such operator «filetype» verwendet werden, in Kombination mit den beliebtesten Dateiformaten, beispielsweise für MS-Word: «filetype:doc» oder «filetype:docx». Bei der Suche nach PDF-Dateien («filetype:pdf») ist die Trefferquote ebenfalls gut. Eine andere Schwachstelle sind häufig nachlässig konfigurierte Webserver in Verbindung mit dort ebenfalls gedankenlos verwaisten Datenbeständen aus der Sicherung des Webservers selbst. Dies führt dazu, dass eine Suche nach Backups eine viel zu grosse Trefferquote ergibt. Die Suche mit dem Begriff «index of /» erscheint harmloser, als sie ist, denn in Kombination mit weiteren Begriffen erzielt sie nachhaltige Ergebnisse. Die Ergänzung von «inurl:/privat» sucht etwa nach Treffern, bei denen «privat» im Titel erscheint und «inurl:/ backup» nach Backups. Es ist in der Tat überraschend, wie leichtsinnig viele Menschen Dateien auf einem Webserver ablegen. Ganze gesicherte Datenbanken werden unter «backup.sql.tgz» gesucht (und gefunden); weit ergiebiger ist die Suche nach Dateiendungen wie .bak, obwohl sie (aus Hacker-Perspektive) häufig auch wenig ergiebige Daten enthalten. Abseits der beispielhaft gezeigten Möglichkeiten kann Google auch zur Vorbereitung eines realen Wohnungseinbruchs genutzt werden. Die Suche nach «inurl:ViewerFrame?Mode=Motion» liefert eine Reihe aus dem Internet erreichbarer Webcams. Was die meisten wohl eher zur eigenen Sicherheit gedacht hatten, kann genau zum Gegenteil genutzt werden.
Herausforderung EU-DSGVO: 40% der Unternehmen weltweit kennen die Auswirkungen der EU-DSGVO nicht! Und Sie? «Risk:Value 2017» Report herunterladen > www.nttsecurity.com/de/RiskValue2017
Fazit Entsprechende Sicherheitslücken zeigen Teilnehmern in Datenschutz-Unterweisungen eindrücklich, wie einfach es schon mit Google ist, Hacker bei ihrer kriminellen Arbeit zu unterstützen und warum ein überlegtes Handeln nicht nur für das Unternehmen sinnvoll ist, sondern ebenso im privaten Umfeld. Ein Mehr an Fingerspitzengefühl im privaten Umfeld spiegelt sich dann hoffentlich auch im Unternehmensumfeld. ■ IT business 3/2017
NTT Security (Switzerland) AG Riedhofstrasse 11 CH-8804 Au ZH +41 43 4777010 ch-info@nttsecurity.com www.nttsecurity.com/ch
31
MANAGEMENT
Cognitive Computing, künstliche Intelligenz und die Erweiterung menschlicher Fähigkeiten
Edy Portmann
1
906 wurde auf der jährlichen Nutztiermesse in Plymouth ein Wettbewerb veranstaltet, bei dem die Besucher das Gewicht eines Ochsen schätzen sollten. Insgesamt 787 Personen machten mit und gaben einen Tipp ab. Der Universalforscher Sir Francis Galton wollte damit die «Dummheit der Masse» beweisen. Seine These musste er allerdings schnell verwerfen: Die statistische Auswertung ergab nämlich, dass der Mittelwert aller Schätzungen lediglich 0,8 Prozent vom tatsächlichen Gewicht des Tiers abwich und die Masse damit sogar besser lag als Metzger, Viehzüchter und andere Fachleute. Bis heute wird diese Anekdote immer wieder ins Feld geführt, wenn es um das emergente Phänomen der kollektiven Intelligenz geht. Auch James Surowieckis bekanntes Buch «The wisdom of crowds» aus dem Jahr 2004 startet mit Galtons experimentellem Fehlschlag, um in die These von der «Weisheit der Masse» einzuführen. Doch was heisst eigentlich kollektive Intelligenz?
32
In einem Zeitalter mit schier unendlicher Informationsflut wird die Fähigkeit, Wichtiges von Unwichtigem zu unterscheiden, immer entscheidender. Die Idee, dafür kollektive Intelligenz zu nutzen, ist nicht neu, aber sie gewinnt im Zusammenhang mit den neusten Informationstechnologien mehr an Bedeutung denn je. Kollektive Intelligenz braucht Konnektivität und Freiheit Der Begriff bezeichnet gemeinsame, konsensbasierte Entscheidungs- und Problemlösungsprozesse innerhalb einer Gruppe. In der Tier- und Pflanzenwelt hat sich die Intelligenz der Masse seit jeher bewährt. Ein klassisches Beispiel ist der Bienenstaat. Eine einzelne Biene hat ein sehr beschränktes Verhaltensrepertoire. Im selbstorganisierten Kollektiv legen die Bienen jedoch Verhaltensmuster, Abläufe und Resultate an den Tag, die ohne weiteres als «intelligent» bezeichnet werden können. Nun stellt sich die Frage, ob dies auch für die Menschen zutrifft: Wie wird aus vielen guten Entscheidungen und Ideen Einzelner die Weisheit der Masse? Indizien, dass dies gelingen kann, kommen aus der Psychologie. In verschiedenen Studien konnte nachgewiesen werden, dass das kombinierte Gedächtnis mehrerer Menschen effizienter ist als das Gedächtnis des Ein-
zelnen. Das Phänomen wird in der Psychologie «transaktives Gedächtnis» genannt. Kollektive Intelligenz funktioniert jedoch nur dann gut, wenn die einzelnen Personen in Interaktion mit den anderen Mitgliedern ihrer Gruppe stehen und dennoch weiterhin eigene Entscheidungen treffen können. Eine allzu homogene Gruppenstruktur und Gruppenzwang wirken der Intelligenz entgegen. Im Fachjargon wird in diesem Zusammenhang häufig der Begriff «Groupthinking» oder «Herdentrieb» verwendet. Ein Paradebeispiel für kollektive Intelligenz ist Wikipedia. Bei Wikipedia kann jeder via Internet einen Eintrag verfassen. Auch hier fungieren die Verfasser als ein Kollektiv. Verfasst
CNO Panel No. 17, 31. Oktober 2017 Am 17. CNO Panel wird über Cognitive Computing, künstliche Intelligenz, die Erweiterung der menschlichen Fähigkeiten durch moderne Technologien und über die Chancen und Befürchtungen, die dieser Megatrend für die Unternehmen, Verwaltungen, die Bildung, Wissenschaft und Gesellschaft bietet, geredet. Zur Key Note tritt Rolf Pfeifer an. Er ist einer der erfolgreichsten Schweizer Wissenschaftler und hat unter anderem das Embodyment – die These, dass sich Intelligenz nicht nur im Algorithmus, sondern auch im «Körper» eines Roboters abspielen muss – erforscht. Zudem sind Edy Portmann, Stuart Robinson und Pascal Sieber auf der Bühne. Am Nachmittag finden wie gewohnt die CNO Academy Workshops statt. IT business ist Medienpartner. www.cno-panel.ch
IT business 3/2017
MANAGEMENT beispielsweise jemand einen falschen Eintrag, wird er innert kürzester Zeit von jemand anderem korrigiert. Weiss jemand mehr über ein Thema, so fügt er sein Wissen hinzu. Dieser iterative Prozess führt dazu, dass ganz «normale» Personen gemeinsam die grösste Online-Bibliothek der Welt erstellen und immer weiter verbessern.
Vom Know-how zum «Know-where» Der kanadische Lerntheoretiker George Siemens hat vor diesem Hintergrund das lern- und kognitionstheoretische Konzept des Konnektivismus entwickelt, das mittlerweile als zentrale Theorie für das Lernen im digitalen Zeitalter betrachtet wird. Konnektivismus beschreibt das Verbindungsglied, das aus der Summe der «Einzelintelligenzen» kollektive Intelligenz macht. Anders als in klassischen behaviouristischen und konstruktivistischen Lern- und Kognitionstheorien wird der Lernende nicht als «Einzelkämpfer» betrachtet, sondern als ein Bestandteil eines komplexen Wissensnetzwerks. Siemens führt dazu den Begriff des «Knoten» ein: Knoten sind Träger von Informationen; das können Personen, Bibliotheken und Bücher, ausdrücklich aber auch digitale Informationsquellen sein. Die Verknüpfung der einzelnen Knoten zu einem Netzwerk ist essenziell, um uns Menschen mit relevanten Informationen zu versorgen. Im Zentrum konnektivistischen Lernens steht daher nicht nur die Aufnahme von Faktenwissen, sondern auch das Wissen, wo sich etwas finden lässt. Auf diese Weise ersetzt der Konnektivismus den Lernansatz des «Wissen wie» und des «Wissen was» durch ein «Wissen wo». Dieses «Meta-Lernen» wird in Zukunft genau so bedeutend sein wie das Lernen selbst. Die digitalen Giganten nutzen genau diesen Effekt. Uber weiss von mehr als einer Milliarde Menschen, wo sie gerade abgeholt werden sollen. LinkedIn weiss wo sich welche Fähigkeiten befinden und vernetzt nahezu eine Milliarde Menschen. Dass dieses «Know-where» zunehmend ein Wirtschaftsfaktor wird, zeigen die steigenden Umsätze dieser Unternehmen und die Gewinne und Gewinnerwartungen, die sie
innerhalb von wenigen Jahren zu den wertvollsten Unternehmen der Welt gemacht haben.
Lernende Computer In unserer Informationsgesellschaft, mit ihren sich ständig ändernden Umweltbedingungen, wird die Fähigkeit immer wichtiger, bedeutsame von weniger relevanten Informationen unterscheiden zu können. Für den Menschen ist es auf lange Sicht nahezu unmöglich, diesen Prozess ohne technische Unterstützung zu bewältigen. Daher wird der Mensch in Zukunft immer mehr auf die Unterstützung von Maschinen angewiesen sein, die für ihn relevante von unwichtigen Informationen filtern, aufbereiten und zur Verfügung stellen. Demzufolge kann Lernen als ein Prozess der sozialen und technisch gestützten Vernetzung gesehen werden, beruhend auf dem soziotechnischen System, das Mensch und Maschine zu diesem Zweck eingehen. Wikipedia stellt hierbei eine relativ einfache Form der ICT-gestützten Vernetzung dar, insofern es sich hierbei vor allem um eine Plattform für Menschen handelt, die gemeinsam Wissen generieren. Weltweit arbeiten Forscher, Entwickler und Designer an der Entwicklung neuer, intelligenter Tools, die die Menschen im täglichen Leben unterstützen sollen. Spracherkennungssysteme wie Siri, Google Now, Cortana und Samsungs S Voice, die die Sprachsteuerung von electronic Devices oder das Diktieren eines Textes ermöglichen, sind bereits weit verbreitet. Das zunehmende Interesse an künstlicher Intelligenz lässt bereits die nächste Stufe dieser Entwicklung erkennen: kognitiv befähigte Computersysteme und ihre (menschenähnlichen) materiellen Repräsentationen, die wie Menschen lernen und sich in der Interaktion mit Menschen an deren Verhaltensmustern orientieren können. Wir blicken einer sich rasch wandelnden, neuen Welt entgegen. Schon jetzt ist absehbar, dass sie viele Überraschungen bereithält. Unser Alltag wird sich auf so vielfältige Art und Weise verändern, wie wir es uns zum jetzigen Zeitpunkt noch gar nicht vorstellen können. Es ist und wird auch in Zukunft spannend bleiben. ■
ELO ECM Suite10
Digitalen Vorsprung erleben
-Tag
r KMU
weize am Sch ie uns S n e h 17 Besuc 7.10.20 allen, 2 in St.G
Zukunftsweisende ECM-Lösungen für vollautomatisierte Prozesse
Überarbeiteter Beitrag basierend auf Portmann (2017) in Cognitive News 02/2017: https://swisscognitive.ch/2017/03/11/extending-human-minds-mit-konnektivismus
IT business 3/2017
www.elo.com/ecm-suite-10
33
MANAGEMENT
«Mehr bewegen. Besser leben. IT St. Gallen rockt!» Eine Region macht sich gemeinsam stark. Mit «IT St. Gallen rockt!» hat die Wirtschaft erkannt, dass sich gemeinsam mehr bewegen lässt. Vor allem wird dem Fachkräftemangel in den Informatikberufen entgegengewirkt.
I
n der Wirtschaftsregion St. Gallen-Bodensee beschäftigen gut 2000 ICT-Unternehmen mehr als 20 000 Personen. Der ICT-Cluster dieser Wirtschaftsregion verfügt über zahlreiche international tätige Unternehmen. Seit der Gründung des Vereins IT St. Gallen im Jahr 2013 hat sich die Mitgliederzahl bereits mehr als verdoppelt. Aktuell unterstützen die Initiative 65 Unternehmen, 13 Bildungspartner und 19 Netzwerkpartner sowie die Stadt St. Gallen und die «St. GallenBodenseeArea (SGBA)» seitens öffentlicher Hand. Die Arbeit von «IT St. Gallen rockt!» wird in der Wirtschaft und Bildung wahrgenommen. Alle Beteiligten engagieren sich, den Arbeitsstandort und die Wirtschaftsregion St. Gallen zu stärken. Das Vertrauen der Wirtschaft und der Bildung in den Verein ist sehr gross und die Aktivitäten wurden vom Bereich Arbeitsmarkt auf die Bereiche Netzwerkbildung, Bildung, Kooperationen und Internationalisierung und Öffentlichkeitsarbeit im Basisbetrieb ausgeweitet. Das Wirkungsgebiet des Vereins IT St. Gallen konnte in den letzten Jahren stetig ausgebaut werden. Mit dem Start vorwiegend
in der Stadt St. Gallen ist der Verein heute in den Kantonen St. Gallen, Thurgau, Appenzell-Ausserrhoden, Appenzell-Innerrhoden, im Fürstentum Liechtenstein und in Teilen des Kantons Graubünden tätig.
Vision für den Verein 2016 wurde eine Vision formuliert, dass die Ostschweiz der in Europa führende Cluster für die Digitalisierung von Unternehmungen werden soll, und dieses Zukunftsbild soll nun schrittweise umgesetzt werden. Diese Vision wurde am 27. März 2017 von der Mitgliederversammlung angenommen. Mit der Umsetzung der Vision hat der Verein auch einen breit- und hochdotierten Beirat ins Leben gerufen, welcher eine beratende Funktion innehat und zur Netzwerkbildung in der Wirtschaft, Politik und Bildung sowie in der Forschung dienen soll.
Die Jobplattform für ICT-Stellen Die Jobplattform www.itrockt.ch/jobs wird zusehends zur Anlaufstelle für ICT-
«Bühne frei für St. Gallen!» Jana Neusch, Applikationsentwicklerin @VRSG St. Gallen – Mitglied «IT St. Gallen rockt!»
34
Mitarbeitende, die nach Stellen in der Region suchen. Studierende sowie Absolventinnen und Absolventen verschiedener Bildungsinstitutionen orientieren sich an der Jobplattform. Die Plattform zeigt, dass viele interessante und chancenreiche Stellen in und um St. Gallen vorhanden sind. Die Wahrnehmung für den ICT-Standort St. Gallen-Bodensee konnte spürbar gesteigert werden. Der Verein wird bereits ausserhalb der Region von Unternehmen und Verbänden auf die Initiative angesprochen. Weiter wird Stellensuchenden die Möglichkeit geboten, ihr Bewerberprofil auf der Plattform zu erfassen. Ihr Talentausweis ist für alle Mitgliedsunternehmen sichtbar. Wenn es rockt, wird der Bewerber oder die Bewerberin direkt kontaktiert. Ebenfalls wird die Möglichkeit geboten, mit einem Stellenabonnement über neue Stellenangebote per Mail informiert zu werden. All diese Informationen sind unter www.itrockt.ch/jobs ersichtlich.
Attraktiver Bildungsstandort Durch Partnerschaften mit Bildungsinstitutionen können Mitgliedern attraktive Angebote ermöglicht werden. Der Bildungsplatz St. Gallen ist ein wichtiger Faktor, die Menschen am Arbeitsstandort St. GallenBodensee aus- und weiterzubilden. Nur durch den aktiven Austausch werden merklich Nutzen und Mehrwerte für Mitglieder und Partner geschaffen. Der Verein IT St. Gallen ist auch interessiert an Projekten anderer Regionen, setzt den Schwerpunkt aber ganz klar auf die Stärkung des Arbeitsplatzes St. Gallen-Bodensee. ■ Verein IT St. Gallen, 9014 St. Gallen • +41 (0)71 278 25 25 info@itrockt.ch, www.itrockt.ch
IT business 3/2017
ICT-Weiterbildungen berufsbegleitend Zeit- und ortsunabhängig studieren an der Fernfachhochschule Schweiz
l. f l ex i b e n d . e g le ite ber uf sb t al . digi f h s .ch f . w w w
MAS Business- & IT-Consulting
MAS Web4Business
MAS Industrie 4.0
DAS Web Engineering
CAS IT Security
CAS Cloud Computing
Kombination E-Learning & Face-to-Face-Unterricht Grösste zeitliche Flexibilität ohne Karriereunterbruch
Zürich | Basel | Bern | Brig
Die wichtigsten Tage für die Schweizer Sicherheit. Wir uns freuen ren auf Ih h! Besuc
esse
IT E H R ICHE hw Die Sc
S 2017
eizer F
achm
R 2017 E B M . NOVE 14.–1E7ZÜRICH MESS
NEU
INNOVATIONSPARK
NEU
HISTORY-TUNNEL
NEU
INTEGRIERTER FACHKONGRESS
VSSB er
npartn
Medie
IT business 3/2017
WWW.SICHERHEIT-MESSE.CH
35
HUMAN RESOURCES
Schneider-Ammann fördert Ausbildung von ICT-Security-Fachkräften
Andrea Schürpf
D
er Verband ICT-Berufsbildung Schweiz hat in Zusammenarbeit mit dem Informatiksteuerungsorgan des Bundes (ISB) das Projekt eidgenössisches Diplom «ICT Security Expert» abgeschlossen. Beteiligt an der Entwicklung
Bundesrat Johann N. Schneider-Ammann eröffnete am 23. August 2017 den Anlass zum neuen Berufsbild «ICT Security Expert» im Hotel Bellevue in Bern. Über 100 Experten aus Unternehmen, Bildungsinstitutionen und Verbänden nahmen am Anlass teil. Mit einem hochkarätigen Referenten-Panel aus Wirtschaft, Politik und Verwaltung wurde der neue eidgenössische Abschluss lanciert. des neuen Berufsbildes waren auch namhafte Vertreter aus der Wirtschaft wie Microsoft Schweiz, die Schweizerische Post, Swisscom, UBS und der Verband Schweizerischer Elektrizitätsunternehmen (VSE).
Wichtiges Kooperationsprojekt Andreas Kaelin, Präsident von ICTBerufsbildung Schweiz, betonte in seinen Begrüssungsworten die wichtige Zusammenarbeit von Bund und Wirtschaft bei der Erarbeitung des neuen BerufsDiploms. Das neue eidgenössische Diplom wurde vom Berufsverband ICT-Berufsbildung Schweiz in Zusammenarbeit mit dem Informatiksteuerungsorgan des Bundes (ISB) und einer breiten privatwirtschaftlichen Trägerschaft während einer zweijährigen Projektphase konzipiert. Kaelin dankte den Kooperationspartnern Microsoft, Post, Ruag, Swisscom, UBS und dem Verband Schweizerischer Elektrizitätsunternehmen (VSE) für deren grosse Unterstützung des für die Schweiz wichtigen Projekts. Eine Vielzahl weiterer Unternehmen hat sich an der inhaltlichen Erarbeitung des Diplomabschlusses beteiligt.
Bundesrat begrüsst neues Diplom für ICT-Security-Fachleute Bundesrat Schneider-Ammann erläuterte in seiner Eröffnungsrede die Bedeutung der IT-Sicherheit für den Wirtschaftsstandort Schweiz und die hiesigen Unternehmen. Die Schweiz gilt als Datenhub für Europa und die Welt; um diese Stellung wahrnehmen zu können, benötige die Schweiz entsprechende Fachkräfte, welche den Herausforderungen zum Schutz von Firmen- und Verwaltungsnetzwerken aktiv begegnen, so der Bundesrat.
36
IT business 3/2017
HUMAN RESOURCES
ICT Security Expert mit eidg. Diplom Erstmals findet im August 2018 die höhere Fachprüfung zum eidgenössischen Diplom «ICT Security Expert» statt. Der Abschluss ICT Security Expert mit eidg. Diplom richtet sich sowohl an Berufspraktiker/innen als auch an Akademiker/innen mit Erfahrung auf dem Gebiet der IT-Sicherheit. Der Abschluss bereitet die Absolventen auf anspruchsvolle Fach- und Führungsaufgaben vor. Die ersten Vorbereitungskurse starten im August 2017. www.ict-security-experts.ch
Wichtiger «Faktor Mensch» Der Mensch ist im Bereich ICT-Security ein zentraler Faktor bei der Umsetzung von Strategien und Massnahmen. Peter Fischer, Delegierter für die Informatiksteuerung des Bundes (ISB), verwies im anschliessenden Referat auf den bedeutendsten Sicherheitsfaktor und die Wichtigkeit der Sensibilisierung von Mitarbeitenden in den Firmen und der Bevölkerung.
Wirtschaft begrüsst Abschluss Thomas Holderegger, Security CTO & Head Access Management der UBS, erachtet den neuen Abschluss «ICT Security Expert» als wichtigen Schritt, um die Kompetenzen und das Aufgabenfeld dieses neuen wichtigen Berufsbildes zu definieren. Die Anforderungen an Fachkräfte im Bereich der IT-Sicherheit sind sehr hoch und ebenso deren Verantwortung. Einerseits wird Fachwissen im Bereich der Informations- und IT-Sicherheit verlangt. Daneben stellen Sozial- und Kommunikationskompetenzen einen wichtigen Bestandteil dar für das Managen von Stakeholdern, die Schaffung von Sicherheitsbewusstsein im Betrieb und im Bewältigen von Ereignissen wie einem grossen Cyberangriff. Die künftigen «ICT Security Experts» müssen zudem ein tadelloses Leumundszeugnis mitbringen.
ben vor. ICT-Sicherheitsexperten, welche die Prüfung absolvieren wollen, müssen viel Fachwissen zur Informations- und ITSicherheit mitbringen. Aufgrund der grossen Verantwortung der Tätigkeit ist ein tadelloses Leumundszeugnis Pflicht. Daneben brauchen Kandidierende Sozial- und Kommunikationskompetenzen, denn sie müssen einerseits mit Verwaltungsräten, Fachexperten, Mitarbeitenden und externen Dienstleistern zusammenarbeiten können. Ausserdem sollen sie im Betrieb Sicherheitsbewusstsein schaffen und im Ernstfall Cyberangriffe bewältigen können.
Kurse und erste eidgenössische Prüfung Die erste höhere Fachprüfung ICT Security Expert, die in Deutsch und Französisch angeboten wird, findet im August 2018 statt. Ein erster Vorbereitungskurs ist bereits gestartet. Um sich optimal auf die Prüfung zum eidgenössisch diplomierten ICT-Security-Experten vorzubereiten, empfiehlt es sich, einen solchen Vorbereitungskurs zu besuchen. Bisher bieten private Anbieter vorbereitende Kurse und spezielle Module für die Höhere Fachprüfung an. Weitere Bildungsinstitutionen planen ab Sommer 2018 Vorbereitungskurse anzubieten. Die Kurse können berufsbegleitend besucht werden. Um die eidgenössischen Prüfungen zu fördern, leistet der Bund auf Antrag Subventionen. Ab 2018 übernimmt der Bund die Hälfte der Kosten für die vorbereitenden Kurse. ■
Politisches Thema Der Mangel an Fachkräften im IT-Bereich und insbesondere im Bereich ICT-Security ist auch auf politischer Ebene ein Thema. So bezeichnete Franz Grüter, Nationalrat und Verwaltungsratspräsident des Datacenter-Betreibers green.ch, die Informationssicherheit als nationales Gut und fordert auch auf Ebene des Bundes Massnahmen, um die Schweiz als Datenstandort erster Wahl zu positionieren. Im Rahmen der Panel-Diskussion gingen die Referenten der Frage nach dem Nutzen des neuen eidgenössischen Diploms für die Schweiz nach. Alle waren sich einig, dass es in der Schweiz eine hochstehende Ausbildung für «ICT Security Experts» braucht, so wie sich das z. B. im Bereich der Wirtschaftsprüfung oder Steuerexpertise schon lange etabliert hat.
Für Berufspraktiker und Akademiker Das eidgenössische Diplom steht sowohl Berufspraktikern als auch Akademikerinnen offen, die Erfahrungen auf dem Gebiet der IT-Sicherheit haben. Der Abschluss bereitet Absolventinnen und Absolventen auf anspruchsvolle Fach- und FührungsaufgaIT business 3/2017
PLANEN SIE ZUWACHS FÜR IHR TEAM? Jetzt IT-Profis auf itjobs.ch finden.
stellen-anzeiger.ch GmbH Technoparkstrasse 1 8005 Zürich 044 440 10 80
Jetzt testen: www.itjobs.ch
37
RECHT
Der Vertrag ist kein notwendiges Übel
Yves Gogniat
S
elbstredend bewegen sich die involvierten Parteien ohne schriftlichen Vertrag nicht im rechtsfreien Raum. Ein Vertrag ist auch mündlich gültig oder bei Gegenzeichnung der Offerte gilt diese als Vertrag. Mangels genauer Regelung gelten in diesem Fall die gesetzlichen Bestimmungen. Dies führt insofern zu einer erhöhten Rechtsunsicherheit, als oft unklar ist, welche gesetzliche Regelung anwendbar ist. Kommt es zum Streit, wird sich jede Partei auf den für sie günstigeren Gesetzesartikel berufen, welcher natürlich der einzig Richtige ist. Ohne Einigung muss schlussendlich ein Richter entscheiden, und es besteht bspw. die Gefahr, dass ein Projekt nicht als Werkvertrag, sondern als Auftrag qualifiziert wird. Ein Kunde könnte dann das Vertragsverhältnis jederzeit künden, umgekehrt könnte sich ein Kunde nicht mehr auf die werkvertraglichen Nachbesserungsrechte berufen. Keine Frage, eine Vertragserstellung kann überborden und in einem Missverhältnis zum eigentlichen Projektumfang stehen. Hier gilt es Augenmass zu bewahren. Eine gute Vertragsredaktion schafft nicht – wie oft behauptet – neue Probleme, es werden vielmehr unbeachtete Fragen beleuchtet und zukünftigen Problemstellungen vorgegriffen. Damit können die Risiken in einem Projekt reduziert werden. Natürlich birgt ein guter Vertrag keine absolute Sicherheit, geht etwas schief, kann man genauso vor dem Richter landen. Der Aus-
38
Für die meisten Leser ist die Vertragsgestaltung kein unbekanntes Thema, trotzdem wird das Vertragsthema in Projekten oft vor sich hergeschoben, umgangen oder gar ignoriert. Es wird damit argumentiert, dass man sich blendend versteht und deshalb ohne Vertrag gestartet werden kann. Eine Vertragserstellung kostet nur unnötig Zeit und Geld, ausserdem wird über völlig unwichtige Fragen und Probleme, die nie eintreten werden, diskutiert. Dies ist eigentlich erstaunlich, wenn man bedenkt, bei wie vielen IT-Projekten es zu Problemen kommt oder wie viele Projekte komplett scheitern. Sicherlich haben sich die Parteien auch in diesen Projekten einmal blendend verstanden. gang eines Verfahrens lässt sich aber besser einschätzen. Für eine sinnvolle Vertragsgestaltung sollten nachfolgende Punkte beachtet werden.
Muss ein Vertrag fair sein? In Verhandlungen hört man oft die Aussage «Wir wollen einen fairen Vertrag» oder «Wir erachten diese Vertragsklausel als unfair». Ein Vertrag muss für beide Parteien in erster Linie wirtschaftlich Sinn ergeben. Ob ein Vertrag als «fair» erachtet wird, ist zweitrangig. Es geht vielmehr um die Zuteilung der Risiken. Anstelle mit der «Fairness» zu argumentieren, muss vielmehr darüber diskutiert werden, welche Folgen die Übernahme des zusätzlichen Risikos hat. Muss ein IT-Dienstleister ein grösseres Risiko übernehmen, wird er dies bei seinen Ansätzen entsprechend berücksichtigen. Natürlich kann auf einer sehr einseitigen Klausel bekannt werden, bspw. dass einem Kunden jede zusätzliche Sekunde Entwicklungsarbeit in Rechnung gestellt wird und jede Projektanpassung ein kostenpflichtiger Change darstellt. Diskussionen sind da bereits vorprogrammiert und schlussendlich besteht die Gefahr, dass das nächste Projekt an die Konkurrenz geht. Besteht auf der anderen Seite ein Kunde auf unrealistischen Terminen, verknüpft mit einer hohen Konventionalstrafe, wird diese Bedingungen nur ein Unternehmen eingehen, wenn es unbedingt auf einen
Auftrag angewiesen ist, was ebenfalls keine gute Ausgangslage für einen Projekterfolg ist. Bei knapper Kalkulation wird es schwierig kulant zu sein. Natürlich sollte ein Vertrag fair verhandelt werden, dies bedeutet aber vielmehr, dass beide Parteien alle wesentlichen Punkte offenlegen, die einen Einfluss auf den Vertragsschluss haben. Alle Parteien sollten die Wirtschaftlichkeit des Projekts beurteilen können. Diese Anforderung ist notabene bereits im Gesetz festgehalten, nämlich unter dem Begriff «Treu und Glauben».
Zeitpunkt der Vertragserstellung Es scheint eigentlich logisch, dass ein Vertrag im Voraus erstellt und vor dem Start unterzeichnet wird. Gerade bei Projekt verträgen ist dies leider nicht immer der Fall. Erfolgt endlich eine Projektfreigabe, möchte man sich nicht noch mit Verträgen aufhalten. Diese sind sowieso nur Formalitäten. Gerade ein Kunde sollte sich bewusst sein, dass mit Fortschreiten eines Projekts seine Abhängigkeit steigt und seine Verhandlungsposition geschwächt wird. Ein Vertrag sollte daher vor dem Start geschlossen werden.
Leserfreundlichkeit Ein Vertrag sollte klar strukturiert sein, damit sich ein Leser schnell einen ÜberIT business 3/2017
RECHT
blick verschaffen kann. Ein Vertrag ist so zu formulieren, dass er von einem unbeteiligten Dritten verstanden werden kann. «Wieso? Wir wissen ja alle, was gemeint ist.» Leider stellt sich im Nachhinein oft heraus, dass dies doch nicht der Fall war. Selbst wenn die involvierten Parteien im Zeitpunkt des Vertragsschlusses die Lücken durch ihr situatives Wissen schliessen können, gilt es zu berücksichtigen, dass bei längeren Projekten oft personelle Wechsel stattfinden und diese die Vorgeschichte nicht mehr kennen. Ein Richter kennt die Vorgeschichte und die Verhältnisse noch weniger, er stützt sich auf Beweise, vorrangig auf den Vertrag. Der inhaltliche Kern sollte für einen Richter deshalb ohne weitere Erklärungen nachvollziehbar sein. Die wenigsten Richter kennen sich mit IT-Fachbegriffen aus, bei technischen Fachbegriffen und Kürzeln ist deshalb Zurückhaltung angebracht. Ein Laie sollte den Vertrag lesen und verstehen können. In englischen Verträgen finden sich zu Beginn eines Vertrages oft Definitionen. Gerade wenn die Parteien nicht englischer Muttersprache sind, ist es sinnvoll, wichtige Begriffe zu definieren, damit diese nicht unterschiedlich verstanden werden. Bei unüblichen oder zweideutigen BegrifIT business 3/2017
fen macht es Sinn, diese in deutschen Verträgen ebenfalls zu definieren.
Kernpunkte Wie bereits erwähnt, müssen die Kernpunkte im Vertrag verständlich festgehalten werden. Im Minimum sollten die WFragen beantwortet sein. Wer leistet wann, was, auf welche Art? Des Weiteren sollte das Vorgehen bei Leistungsstörungen geregelt werden. Es muss nichts schiefgehen, aber wenn etwas schiefgeht, sollten das Vorgehen und die Rechte für jede Partei klar sein.
Muster Zum Schluss noch einige Worte zu Musterverträgen. Für fast jedes Geschäft finden sich im Internet heute entsprechende Musterverträge. Solche Verträge können einem das Leben einfacher machen, da man nicht jedes Mal das Rad neu erfinden muss. Das Rad muss jedoch zum Gefährt passen. Von einer blinden Übernahme wird dringend abgeraten. Für wen wurde der Mustervertrag geschrieben? Erwischt der Entwickler ein kundenfreundliches Muster, wird sich der Kunde sicherlich freuen. Wird ein Muster-
vertrag für eine Projektmethode mit festen Meilensteinen verwendet, obwohl im vorliegenden Projekt nach Scrum gearbeitet werden soll, kann dies sogar zu grösseren Rechtsunsicherheiten führen als ohne Vertrag. Wo dies möglich ist, macht eine Standardisierung sicherlich Sinn, aber auch interne Musterverträge dürfen nicht einfach blind verwendet werden. Eine Alternative zu individuellen Musterverträgen stellen Allgemeine Geschäftsbedingungen (AGB) dar. Diese bieten zudem den Vorteil, dass die Hemmschwelle, eine Änderung bei AGB zu verlangen, erfahrungsgemäss höher ist als wenn ein individueller Vertrag vorgelegt wird.
Fazit Die Ausarbeitung von Verträgen benötigt etwas Zeit und Ressourcen. Kommt es zu Problemen in Projekten, kann ein guter Vertrag jedoch Zeit und Diskussionen über das weitere Vorgehen sparen. Er ist daher als eine Art Versicherung zu betrachten. Sicherlich ist ein Vertrag bei Streitigkeiten kein Allheilmittel, er kann aber zumindest helfen, alle Parteien an einen Tisch zu bringen und nach einer gemeinsamen Lösung zu suchen. ■
39
EVENTS
Sicherheit 2017: Mittelpunkt der Schweizer Sicherheitsbranche Vom 14. bis 17. November 2017 öffnet die Sicherheit 2017 in Zürich ihre Tore. Die Vorbereitungen für die Fachmesse, den History-Tunnel, den Innovationspark und den Sicherheits-Fachkongress laufen auf Hochtouren und versprechen eine umfassende Leistungsschau der Schweizer Sicherheitsbranche.
D
ie Sicherheit 2017 wird vom 14. bis 17. November 2017 wie gewohnt zum Mittelpunkt der Schweizer Sicherheitsbranche. Sie wird erneut einen umfangreichen Einblick in alle Themen der Sicherheit bieten. Sie wartet sowohl mit bewährten als auch mit vielen neuen und attraktiven Elementen und Plattformen auf.
Sicherheits-Fachkongress in die Messehallen integriert Der Sicherheits-Fachkongress wird in diesem Jahr bereits zum 21. Mal durchgeführt. Um den Bedürfnissen von Besuchern, Ausstellern und Kongressteilneh mern noch besser gerecht werden zu können, wird er neu jedoch komplett in die Messe integriert und in den Hallen 3 und 5 stattfinden. Das optimierte Programm erlaubt mehr Zeit für den kombinierten Besuch von Kongress und Messe. In den 13 geplanten Kongressmodulen wird wie gewohnt auf höchste Qualität und auf praxis- und lösungsorientierte Vorträge geachtet und die Themen umfassen ein breites Spektrum. Der Anmeldestand stimmt sehr zuversichtlich: Zum jetzigen Zeitpunkt haben sich bereits 30 Prozent mehr Teilnehmer registriert als am selben Stichtag im Jahr 2015. Das detaillierte Programm gibt es unter www.sicherheit-messe.ch oder unter www.save.ch. Anmeldungen werden unter www.save.ch entgegengenommen.
Neue Plattformen für ein neues Messeerlebnis Ganz neue Erlebnisse werden der «History-Tunnel» und der «IPS – Innovations-
40
park Sicherheit» bieten. Der History-Tunnel wird den Messebesuchern anhand verschiedenster Beispiele die Entwicklungen und Prozesse von den ursprünglichen Gefahren und Risiken bis hin zu den aktuellsten Lösungen aufzeigen. Den Blick in die Zukunft erlaubt der neue «IPS – Innovationspark Sicherheit». Dort erhalten Aussteller, Start-up-Unternehmen, Universitäten und Hochschulen eine Möglichkeit, ihre Innovationen den Besuchern, Kongressteilnehmern und anderen Ausstellern präsentieren zu können. Diese beiden neuen Plattformen werden in der Halle 4 umgesetzt und verzeichnen bereits eine erfreuliche Anzahl an teilnehmenden Firmen und Organisationen.
ASIS und VBSF: Preisverleihungen im Rahmen der Sicherheit 2017 Der VBSF (Schweizerischer Verein von Brandschutz- und Sicherheitsfachleuten) wird am 14. November 2017 um 16.45 Uhr im Forum rot (Halle 5) den «VBSF Sicherheitspreis 2017» verleihen. Bereits seit 1992 verleiht der VBSF jedes Jahr Preise,
um besondere Arbeiten oder Innovationen im Bereich der Sicherheit zu würdigen. Prämiert werden wissenschaftliche Arbeiten und solche von praktischer Bedeutung. Der VBSF-Sicherheitspreis ist mit 5000 Schweizer Franken dotiert, ausserdem wird ein Anerkennungspreis über 2000 Franken vergeben. Das ASIS Swiss Chapter wird am 16. November 2017 um 15.45 Uhr im Forum blau (Halle 3) den «ASIS Young Profes sionals Annual Award in Switzerland» verleihen. Damit wird ein Projekt belohnt, das innovativ oder kreativ ist oder einen Fortschritt im Bereich der Sicherheit darstellt. Bewerben können sich alle, die weniger als 40 Jahre alt sind und weniger als fünf Jahre Arbeitserfahrung in der Sicherheitsbranche haben. Der Award ist mit 2000 Schweizer Franken und einem Jahr Gratis-Mitgliedschaft bei ASIS International und im ASIS Swiss Chapter dotiert. Beide Preisverleihungen sind öffentlich und für alle Besucher zugänglich und dauern je rund 15 Minuten. Informationen und Tickets sind unter www.sicherheitmesse.ch erhältlich. ■ IT business 3/2017
20. Oktober 2017, Bern DINACON 2017 Konferenz für digitale Nachhaltigkeit. www.dinacon.ch IT business ist Medienpartner. 24. Oktober 2017, Lausanne DATA CENTER FORUM 2017 Technologieforum im Bereich Datacenter-Infrastruktur. www.datacenter-forum.ch
31. Oktober 2017, Bern CNO PANEL NO. 17 Schweizer Plattform für das Top-Management. IT business ist Medienpartner. www.cno-panel.ch 6./7. November 2017, Zürich SWISS PAYMENT FORUM 2017 Mobile Payment | Mobile Commerce | Mobile Banking | Innovative Payment-Modelle. www.swisspaymentforum.ch 13. November 2017, St. Gallen 46. ST. GALLER ANWENDERFORUM Enterprise Architecture Management: Aktuelle Herausforderungen. IT business ist Medienpartner. https://awf.iwi.unisg.ch 13./14. November 2017, Luzern 37. SWISS ICT SYMPOSIUM 2017 «Neue Geschäftsmodelle der digitalen Schweiz». www.swissict.ch
14.–17. November 2017, Zürich SICHERHEIT 2017 21. Fachmesse für Sicherheit. IT business ist Medienpartner. www.sicherheit-messe.ch
22. November 2017, Bern 18. ASUT-KOLLOQUIUM Smart Data – Chancen für die Mobilität. www.asut.ch 28./29. November 2017, Frankfurt CLOUD EXPO EUROPE FRANKFURT 2017 Deutschlands grösstes Cloud Computing Event. www.cloudexpoeurope.de
27. Februar–1. März 2018, Düsseldorf EUROCIS 2018 Die Leitmesse für Retail Technology. www.eurocis.com 6./7. März 2018, München INTERNET WORLD 2018 Die E-Commerce Messe.
10.–16. März 2018, Rust WHD.GLOBAL 2018 Weltweit grösste Event-Reihe für die Hosting- und CloudBranche. www.worldhostingdays.com 21. März 2018, Zürich 4. SILICON VALLEY MEETS SWITZERLAND 2018 Plattform, um Ideen auszutauschen und strategische Allianzen aufzubauen. www.siliconvalleymeetsswitzerland.ch 17./18. April 2018, Zürich PERSONAL SWISS 2018 17. Fachmesse für HRM, Trainings to Business & Corporate Health. www.personal-swiss.ch 24./25. April 2018, Zürich BI & ANALYTICS AGENDA 2018 Die unabhängige Schweizer Jahrestagung für Anwender und Anbieter von Business Intelligence und Analytics.
www.biundanalyticsagenda.ch
24./25. April 2018, Zürich DIGITAL ECONOMIC FORUM 2018 Herausforderung Zukunft. www.digitaleconomicforum.ch 23./24. Mai 2018, Bern ELECTRO-TEC 2018 Fach- und Messetage für Kommunikations-, Gebäude-, Licht- und Installationstechnik. www.electro-tec.ch 24. Mai 2018, Zürich INFORMATION MANAGEMENT & DIGITAL TRANSFORMATION FORUM 2018 Management-Plattform für alle Entscheidungsträger, die mit Information Management unternehmerische Potenziale und Innovationen adressieren. www.im-forum.ch 11.–15. Juni 2018, Hannover CEBIT 2018 Europas Business-Festival für Innovation und Digitalisierung. www.cebit.de 28./29. August 2018, Zürich TOPSOFT 2018 Inspiring Digital Business.
www.topsoft.ch
31. August–5. September 2018, Berlin IFA 2018 Messe für Consumer Electronics und Home Appliances. http://b2c.ifa-berlin.de
4.–6. September 2018, Luzern TELENETFAIR 2018 Die grösste Datenübertragungsmesse der Schweiz. www.telenetfair.ch
www.internetworld-messe.de
6.–9. März 2018, Bern INFOSOCIETYDAYS 2018 Community-Plattform für Innovation und Wandel in der Informationsgesellschaft. www.infosocietydays.ch
IT business 3/2017
events
10.–12. Oktober 2017, Nürnberg IT-SA 2017 Die IT-Security-Messe und Kongress. www.it-sa.de
25.–27. September 2018, Bern COM-EX 2018 Schweizer Fachmesse für Kommunikations-Infrastruktur. IT business ist Medienpartner. www.com-ex.ch
41
vorschau
SECURITY
IMPRESSUM
Neue Bedrohungen zwingen Unternehmen zum Handeln 17. Jahrgang, erscheint 4-mal jährlich ISSN-Nr. 1424-8867
HERAUSGEBER Fractal Verlag GmbH CH-6340 Baar ZG
STORAGE Zukunftssichere Speicherlösungen
REDAKTION Petra De Meo Admin@itbusiness.ch
ANZEIGENLEITUNG Leonardo De Meo Ldm@itbusiness.ch
REDAKTIONELLE MITWIRKUNG
DIGITALE TRANSFORMATION Digitalisierung fängt bei der Infrastruktur an
Prof. Adrian Altenburger Yves Gogniat Niels Gründel Edy Portmann Andrea Schürpf Berthold Wesseler
SATZ UND DRUCK Werner Druck & Medien AG Kanonengasse 32 CH-4001 Basel
DRUCKAUFLAGE 10 000 Exemplare
IT SERVICES, HOSTING, COLOCATION Für jeden Anspruch den passenden Anbieter
JOB & KARRIERE Kurse und Schulungen 2018/2019
ABONNEMENT Schweiz CHF 40.– Ausland (Europa) CHF 60.– Probeabo (Schweiz) CHF 15.– Die Vervielfältigung von Artikeln ist nur mit Zustimmung der Redaktion und entsprechender Quellenangabe gestattet. Die Redaktion recherchiert nach bestem Wissen und Gewissen. Eine Garantie für die Richtigkeit kann nicht gegeben werden, eine Haftung für Inhalte wird deshalb ausgeschlossen. Beiträge von Autoren geben allein deren Auffassung wieder. Diese muss nicht identisch mit der Meinung der Redaktion sein. Für unaufgefordert eingereichte Manuskripte und Bilder übernimmt der Verlag keine Haftung.
… sowie eine Fülle Wissenswertes zu weiteren aktuellen Themen aus der IT-Szene.
Ausgabe 4/2017 erscheint am 11. Dezember 2017
42
IT business 3/2017
Iris Müller Senior UX Specialist Zu Hause, St. Gallen
r e n
t s i i e n l e d k E n en n i e d e rt r ü M f r e « t Ga Oase r e g n ä m a l m a l v e rl , t s i » . z Ge t a l p s t i e b r A ige
s b Jo
R
I
T C
ock
Os
it
w h c ts
k c ro
in eiz
r e d
h c t.
Storage Made New
Superschneller externer Speicher Die neue Samsung Portable SSD T5 eröffnet eine ganz neue Welt von Speichermöglichkeiten mit ultraschnellen Transferraten, einem eleganten und robusten Aluminiumgehäuse sowie optimalem Datenschutz.
Weitere Informationen zur Samsung PSSD T5 finden Sie auf www.samsung.ch