Gesteigerte Sicherheit für Organisationen und trotzdem eine Einfachheit und Nutzerfreundlichkeit bei IT-Systemen – wie ist das möglich? Dieser Frage sind bei einem Gespräch des Vereins „Zero Outage Industry Standard“ Vertreter*innen aus der Wirtschaft, Forschung und Bildung nachgegangen.
Anlässlich der Fachtagung „Zero Outage Executive Summit“ am 12. Juli an der Universität Wien wurden in einer Gesprächsrunde die Möglichkeiten und Grenzen von Technik, Organisationen und Mensch im Design und in der Nutzung von sicheren Systemen und Produkten diskutiert. Der Verein „Zero Outage Industry Standard“ hat sich zum Ziel gesetzt, herstellerübergreifend Ausfallzeiten in Störungsfällen zu minimieren, Qualifizierungsniveaus für Mitarbeiter*innen sowie Sicherheits- und Plattformanforderungen festzulegen. Und es steht fest: Es wird auch einen robusten humanistischen Unterbau für die komplexen Digitalisierungsstrukturen der Zukunft brauchen – in Zusammenarbeit von Wissenschaft, Wirtschaft und Nutzer*innen.
Titelbild: Michael Glatz (Accenture), Martin Szelgrad (Report Verlag), Peter Reichl (Universität Wien), Christine Wahlmüller-Schiller (AIT) und Alexander Paral (ANEO Solutions/Quorum Distribution). (Foto: Monika Thomasberger.)
„Die Zeit des Welpenschutzes der Informatik ist vorbei“, sagt Peter Reichl, Universität Wien. „Informatiker*innen tragen die Verantwortung für die Welt, die sie bauen.“ Angestoßen 2019 durch einen Workshop des damaligen Dekans für Informatik der TU Wien, Hannes Werthner, thematisiert der Begriff des „digitalen Humanismus“ diese Verantwortung. Reichl erforscht die Auswirkungen des digitalen Wandels und betrachtet die Informatik radikal auch als künstlichen Tsunami, der über die Menschheit hinwegbricht – wenn man Produkte und Services nicht entsprechend nutzerfreundlich gestaltet. „Wir lesen regelmäßig über Ausfälle IT-basierter Systeme und erleben das auch selbst im Alltag. Wir alle sollten uns vielleicht im Vorfeld besser überlegen, was wir überhaupt bauen können – und das dann auch anständig umsetzen“, empfiehlt der Leiter der Forschungsgruppe Cooperative Systems, Fakultät für Informatik.
Kann ein industrieweiter Qualitätsstandard helfen, IT-Ausfälle zu vermeiden? Für Reichl ist „die Idee von Zero Outage“ schlüssig, Wissenschaft und Wirtschaft stünden hier aber vor einer enormen Aufgabe. „Auch wenn viele Plattformen und IT-Lösungen auf den ersten Blick nicht wie Raketenwissenschaft aussehen, müssen wir wesentlich besser mit der Komplexität, die im Hintergrund herrscht, umgehen.“ Er fordert eine ehrliche Diskussion zur Rolle der IT in der Gesellschaft ein und sogar darüber, ob bestimmte Technologien für jeden Zweck allgemein verfügbar sein sollten. So sei künstliche Intelligenz mittlerweile ein wunderbares Hilfsmittel bei der Erkennung von Krebs, würde gleichzeitig auch für Deep-Fake-Videos eingesetzt werden. „Die Menschheit hat hunderte Jahre für eine wirklichkeitsgerechte Abbildung der Realität gekämpft. Wir machen uns das jetzt mit Technologie wieder kaputt. Hören wir bitte auch auf, vom Kunden zu reden – wir müssen vom Menschen reden.“ Er plädiert dafür, proaktiv auf sichere Systeme und Organisationen zu setzen – und mehr als nur bis zum nächsten Sicherheitsvorfall zu denken. Die Universitäten stünden dazu in der Verantwortung einer Wertediskussion in der Technik.
Alexander Paral beschäftigt sich seit mehr als 20 Jahren mit Backup- und Recovery-Themen. „Ich bin überzeugt, dass man jedes Produkt einfach gestalten kann“, weist der Geschäftsführer von ANEO Solutions und Quorum Distribution auf den Erfolg von Consumer-Geräten wie dem iPhone hin. Paral sieht die Notwendigkeit von nutzerfreundlichen Tools auch in der Security, um Organisationen vor Cyberbedrohungen bestmöglich zu schützen. Nötig dazu sei das Verpacken von komplexen Systemen in einfache und simple IT-Werkzeuge, um auch in Krisensituationen schnell und richtig zu reagieren. „Die Umsetzung solcher Lösungen ist herausfordernd, aber genau das tun wir gemeinsam mit unseren Kunden“, sagt er. Unternehmen werden dabei über aktuelle Bedrohungslagen informiert und unterstützt, sich für den Ernstfall vorzubereiten. „Es geht darum, wiederholt Prozesse zu testen und auch aus Fehlern zu lernen.“
Zu den Kunden von Aneo Solution im Bereich Datensicherheit gehören der öffentliche Bereich und viele mittelständische Unternehmen. „Auch wenn wir die IT automatisieren und mit technologischer Unterstützung Schwachstellen erkennen können, ist der Mensch immer das Risiko in den Prozessen“, weist der Aneo-Geschäftsführer auf den Hauptangriffspunkt bei Cyberattacken: Phishing. „Angreifer setzen auf die Hilfsbereitschaft der Menschen und vertrauen darauf, dass in scheinbar dringlichen Situationen autoritäres Auftreten – aber auch Vertrauen – zusammenwirken und manche unbedacht reagieren und etwa auf einen Link klicken“, berichtet er von wichtigen Cybersicherheitstrainings auch im eigenen Unternehmen.
Regelmäßige Schulungen und eine lückenlose Umsetzung von Sicherheitskonzepten wie etwa das Verwalten von Zugangsberechtigungen sind typische begleitende Maßnahmen in Kundenprojekten. Üben, Wiederholen und Lernen, wie in einer Organisation auf Bedrohungslagen reagiert werden sollte, ist essentiell – die technische Sicherheit ist mit der Hochverfügbarkeit in der mehrfachen Absicherung von Daten und Systemen oft ohnehin da. Die Produkte dafür gibt es jedenfalls. Nun müssten Organisationen mit entsprechenden Vorsorge- und auch Notfallplänen nachziehen.
„Wir beschäftigen uns mit der Gestaltung von Technik und dem Umgang von Menschen und Gesellschaft mit Applikationen, Websites und neuen Technologien und wie sie diese erleben“, sagt Christine Wahlmüller-Schiller, Lead Marketing and Communications am Center for Technology Experience des AIT. Das Team des Center for Technology Experience fokussiert sich auf die „Human Computer Interaction“. „Ich bin seit 25 Jahren in der IT-Branche in den unterschiedlichsten Bereichen tätig“, so Wahlmüller-Schiller, „ebenso lange reden wir von der Verbesserung der User-Experience.“ Die Analysten bei Gartner würden mittlerweile von einer „Total Experience“ sprechen, die eine Zufriedenheit mit technologischen Systemen in allen Facetten aus Sicht von Mitarbeiter*innen, Kund*innen und Benutzer*innen beschreibt.
„Wir bewegen uns als Gesellschaft auf eine hybride Welt zu, in der Digitales mit Analogem eng verknüpft wird. Die Frage, die wir uns jetzt stellen müssen: Wie wollen wir diese gemeinsame virtuelle und reale Welt gestalten?“ Dabei müssen die Menschen von Anfang an mit an Bord sein – „by design“ gelte für die User-Experience ebenso wie für Sicherheitsthemen. Denn das Cybercrime-Aufkommen werde weiterwachsen, Unternehmen sei dringend empfohlen, die Menschen dabei „mitzunehmen“. „Das ist eine große Aufgabe für die Aus- und Weiterbildung“, sieht die Expertin „Digital Skills“ weiter in den Mittelpunkt rücken. Mit dem richtigen Wissen können Menschen mit Applikationen und Werkzeugen umgehen und bei Sicherheitsvorfällen korrekt reagieren.
Der Technology-Experience-Bereich von Österreichs größter außeruniversitären Forschungseinrichtung liefert die Querschnittsmaterie für verschiedenste Wirtschaftsfelder wie etwa Manufacturing, Gesundheitsbranche, Banken und Versicherungen. Um Sicherheit und Nutzerfreundlichkeit auch bei komplexen Systemen zu schaffen, ist für Wahlmüller-Schiller die interdisziplinäre Zusammenarbeit von Soziologie, Bildung, Wissenschaft und Wirtschaft notwendig.
Die digitale Transformation und damit der Umbau von Geschäftsprozessen und Geschäftsmodellen für resilientere Unternehmen und Organisationen ist Aufgabengebiet des IT-Dienstleisters und Beraters Accenture. Bei einer gemeinsamen Studie mit der Industriellenvereinigung wurde festgestellt, dass Unternehmen mit einem höheren Digitalisierungsgrad nicht nur produktiver, sondern auch krisensicherer sind. Ein Grund: Die Wertschöpfungs- und Fertigungstiefe von Unternehmen steigt mit dem Reifegrad der Digitalisierung – Firmen machen sich damit unabhängiger von Lieferanten. Deshalb ist für Michael Glatz, Managing Director Health & Public Services Accenture, die „Digitalisierung per se der erste Schritt zur Resilienz“.
„Es gibt heute keinen Unternehmensbereich mehr, der nicht digitalisiert worden ist“, berichtet Glatz. Würde die IT nur als Kostenstelle gesehen, werde aber oft auch die Security vernachlässigt und nur investiert, wenn etwas passiert. Er fordert ein Umdenken in den Strategien in Richtung Innovationstreiber IT. Die Pandemie hätte gezeigt, dass in vielen Unternehmen doch Bewegung auch in der Digitalisierung möglich ist. „Plötzlich wurden Cloudinfrastrukturen und flexible Arbeitsumgebungen möglich gemacht und umgesetzt – mit all den Herausforderungen auch für die Sicherheit“, so Glatz.
Accenture unterstützt mit weltweit rund 25.000 Mitarbeiter*innen allein im Security-Bereich bei der Erkennung von Bedrohungsszenarien, bei der Abwehr von Angriffen auf eine Unternehmensinfrastruktur bis hin zum Aufbau eines Security Operation Centers. „Wir sollten die IT stets optimal aus Sicht der Anwender*innen bauen“, betont auch der Accenture-Manager. Es sei aber ein Ziel mit Grenzen in der Praxis, etwa bei der Zugangssperre von Endgeräten – die von den Nutzer*innen aus Bequemlichkeit gerne auf ein Minimum reduziert werden. Auch wenn durch die IT auch neue Angriffsflächen entstehen würden, sei der Weg nicht mehr umkehrbar. In jedem Unternehmen sollte es nun Pläne geben, wie bei einem Ausfall von IT-Infrastrukturen zu reagieren ist, inklusive Telefonnummern, Rollenverteilungen und auch regelmäßigen Übungen.
Zero Outage – vier Säulen für die Sicherheit
Zero Outage ist der Inbegriff dessen, wie sich eine Organisation im Hinblick auf eine systematische und effiziente Bearbeitung von Aufgabenstellungen verhält – mit dem Ziel, die Qualität kontinuierlich zu steigern. Zero Outage betrifft den Betrieb von Telekommunikation und IT, die Lieferung von Services und die Durchführung von Projekten sowie die Optimierung der Kundenschnittstelle und Einbindung weiterer IKT-Lieferanten. Zero Outage bezieht auch das Verhalten aller Mitarbeiter einer Organisation mit ein – vom Topmanagement bis zur Mitarbeiter*in an der Basis. Die Zero-Outage-Strategie umfasst verschiedene Punkte, um die Prozesslandschaft im Unternehmen sicherer zu machen:
- einfache Prozessbeschreibungen
- Verantwortlichkeiten und Abläufe klar definieren
- regelmäßig den Ernstfall simulieren
- Störfälle konsequent dokumentieren und auswerten
Mehr dazu unter zero-outage.com
„Wir haben die Informationsrevolution ausgelöst – ihr Ergebnis hängt nun von uns ab“,
betont Hannes Werthner, ehemaliger Dekan der Fakultät für Informatik der TU Wien, anlässlich der Vorstellung des „Wiener Manifests zum Digitalen Humanismus“ im Jahr 2019 (Link auf das Manifest).