IT-MITTELSTAND 01/2016
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2/2<strong>01</strong>6 3/2<strong>01</strong>3<br />
G59638<br />
www.itmittelstand.de<br />
Österreich: 3,30 EUR<br />
Luxemburg: 3,45 EUR<br />
Schweiz: 5,90 SFr<br />
DEUTSCHLAND: 3,00 EUR<br />
<strong>IT</strong>-BUSINESS IM M<strong>IT</strong>TELSTAND<br />
<strong>IT</strong>-BUSINESS IM M<strong>IT</strong>TELSTAND<br />
E-Commerce<br />
Auf die Bezahlverfahren<br />
kommt es an<br />
Seite 24<br />
<strong>IT</strong>-Sicherheit<br />
Passende Abwehrmaßnahmen<br />
Seite 32<br />
Dokumenten-<br />
Management<br />
Lückenlose Verfahrensdokumentation<br />
Seite 42<br />
auf<br />
Kommunikation<br />
Im Interview<br />
Alfons Maier (li.),<br />
Leiter Organisations- und<br />
Informationsmanagement,<br />
und Vladimir Filev,<br />
Enterprise Architect<br />
bei Weleda<br />
Seite 16<br />
einheitlicher<br />
Arzneimittel- und<br />
Naturkosmetikspezialist<br />
Weleda<br />
BASIS<br />
MEDIENHAUS VERLAG<br />
Postfach 30<strong>01</strong>11 • 51411 Bergisch Gladbach<br />
Postvertriebsstück • »Entgelt bezahlt«
arvato Systems – Empowering Digital Leaders.<br />
Clevere <strong>IT</strong>-Lösungen – für Ihre digitalen<br />
Geschäftsmodelle<br />
Schnelle und sichere <strong>IT</strong>-Systeme sind Basis für die digitale<br />
Transformation. Die Lösungen von arvato Systems vernetzen<br />
sämtliche Geschäftsprozesse intelligent miteinander, machen<br />
Daten zugänglich, schaffen Transparenz und unterstützen die<br />
präzise Steuerung von Abläufen. Spannend?<br />
Wir freuen uns auf Ihre Fragen!<br />
it.arvato.com<br />
arvato Systems | An der Autobahn 200 | 33333 Gütersloh | info@arvato-systems.de
vorwort<br />
Kopierer sind<br />
Datensammler!<br />
Sie stehen in fast jedem<br />
Büro und werden tagtäglich<br />
von sämtlichen<br />
Mitarbeitern rege genutzt:<br />
Multifunktionsgeräte. Dass<br />
sich hinter diesen „Alleskönnern“<br />
für’s Drucken, Kopieren,<br />
Scannen und Faxen zugleich<br />
wahre Datensammler verbergen,<br />
scheint den wenigsten<br />
Nutzern bewusst zu sein. So<br />
förderte etwa eine Umfrage des<br />
TV-Magazins ARD Plusminus<br />
im Oktober letzten Jahres ein<br />
erschreckendes Ergebnis zutage:<br />
Die Hälfte der insgesamt 200<br />
Befragten war sich nicht darüber<br />
im Klaren, dass ihr Kopierer<br />
überhaupt Daten speichert.<br />
Doch das tut er – und zwar auf<br />
der Festplatte, die in der Regel<br />
bei solchen Geräten eingebaut<br />
ist. Das Fatale daran: Wird diese<br />
Festplatte am Nutzungsende<br />
nicht vollständig gelöscht,<br />
das Multifunktionsgerät aber<br />
beispielsweise weiterverkauft,<br />
könnten bisweilen äußerst sensible<br />
Daten in falsche Hände<br />
geraten. Denn wie ARD Plusminus<br />
ebenso herausgefunden<br />
hat, lassen sich mithilfe einer<br />
entsprechenden und sogar kostenlosen<br />
(!) Software aus dem<br />
Internet Daten von Gebrauchtgeräten problemlos<br />
wiederherstellen. Für Geheimnisträger<br />
wie Rechtsanwälte oder die Polizei wäre<br />
das natürlich besonders brisant, schließlich<br />
könnten auf diese Weise etwa Strafbefehle,<br />
Dokumente zu Mahnverfahren und Zeugenvernehmungen<br />
„außer Haus“ gelangen.<br />
Doch auch die Daten von<br />
„Nicht-Geheimnisträgern“<br />
dürfen keinesfalls in falsche<br />
Hände geraten, ansonsten<br />
haftet der jeweilige Unternehmer,<br />
bisweilen sogar mit<br />
Freiheitsstrafe. In Deutschland<br />
ist man bekanntlich<br />
und zu recht sehr penibel,<br />
Lea Sommerhäuser,<br />
was den Datenschutz anbelangt.<br />
Unternehmer müssen <strong>IT</strong>-M<strong>IT</strong>TELSTAND<br />
Redakteurin<br />
also in jedem Fall dafür sorgen,<br />
dass ihre <strong>IT</strong>-Systeme immer gut gegen<br />
Angreifer abgesichert sind – und somit auch<br />
die Daten auf ihren Multifunktionsgeräten<br />
nicht abgegriffen werden können. Wird ein<br />
solches Gerät weiterverkauft, dürfen keinerlei<br />
Informationen auf dessen Festplatte<br />
zurückbleiben. Wie die Datenlöschung<br />
genau funktioniert, erfahren Sie in dieser<br />
Ausgabe auf Seite 42.<br />
Viel Spaß beim Lesen wünscht<br />
Lea Sommerhäuser<br />
SE<strong>IT</strong>E<br />
24<br />
Bezahlverfahren<br />
im E-Commerce<br />
› Schreiben Sie uns<br />
E-Mail: redaktion@itmittelstand.de | Twitter: @<strong>IT</strong>Mredaktion | Facebook & Google+: <strong>IT</strong>-Mittelstand<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6
Markt<br />
Trends<br />
6 Handel über Online-Marktplätze<br />
Neben reinen Webshops öffnen auch immer mehr<br />
B2B-Online-Marktplätze. Wo liegen die Vorteile dieser<br />
Vertriebsform und worauf müssen Händler bei der Auswahl<br />
achten?<br />
SE<strong>IT</strong>E<br />
24<br />
Cloud Computing<br />
8 Was bringen <strong>IT</strong>-Sicherheitszertifizierungen?<br />
Der Bezug von Cloud-Diensten, vor allem solcher aus der<br />
Public Cloud, wirft datenschutzrechtliche Fragen auf.<br />
Inwieweit Zertifizierungen bessere Übersichtlichkeit und<br />
Vergleichbarkeit ermöglichen, erläutert Dr. Hubert Jäger<br />
von Uniscon.<br />
Organisation<br />
E-Commerce<br />
Auf die Auswahl kommt es an<br />
Für Einzelhändler sind Webshops längst Pflicht. Für einen<br />
erfolgreichen Kaufabschluss ist oftmals das Bezahlverfahren<br />
– von denen es nicht wenige gibt – entscheidend. Die<br />
Erwartungshaltung der Kunden und der Verwaltungsaufwand<br />
der Händler stehen sich hier gegenüber.<br />
datenanalyse<br />
14 Cloud und Internet der Dinge<br />
Hewlett-Packard Enterprise (HPE) zeigte Anfang Dezember<br />
2<strong>01</strong>5 auf seiner europäischen Anwenderkonferenz<br />
„Discover“ Lösungen, die das Management von hybriden<br />
Infrastrukturen sowie die Analyse von IoT-Daten<br />
vereinfachen sollen.<br />
SE<strong>IT</strong>E<br />
16<br />
SE<strong>IT</strong>E<br />
12<br />
Organisation<br />
Titelinterview<br />
Personality<br />
Ausgeprägte<br />
regionale Wurzeln<br />
Thomas Ruban, Vice<br />
President Europe, Middle<br />
East and Africa bei Juniper<br />
Networks<br />
Kommunikation<br />
auf einheitlicher Basis<br />
Ein neues Mitarbeiterportal inklusive sozialem Netzwerk<br />
sorgt bei der Weleda AG für eine bessere Kommunikation,<br />
wie Alfons Meier (li.) und Vladimir Filev im Gespräch<br />
erläutern.<br />
4<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
januar 2<strong>01</strong>6 5<br />
SE<strong>IT</strong>E<br />
32<br />
SE<strong>IT</strong>E<br />
42<br />
Infrastrukturen<br />
<strong>IT</strong>-Sicherheit<br />
Software<br />
Dokumenten-Management<br />
Sicherheit mit Lücken<br />
Die Sicherheitslage ist für mittelständische Unternehmen<br />
ähnlich dramatisch wie für große. Doch kleinen und mittleren<br />
Firmen fällt es schwerer, sich gegen Hacker oder Malware zur<br />
Wehr zu setzen. Ihnen fehlen häufig das Personal und das<br />
Know-how. Mit Managed Security Services oder einfach zu<br />
bedienenden Sicherheitslösungen lassen sich diese Nachteile<br />
wettmachen.<br />
Hauptsache, die Chemie stimmt<br />
Dank eines Dokumenten-Management-Systems (DMS)<br />
lassen sich beim Verband der chemischen Industrie nicht<br />
nur Geschäftsprozesse optimieren, sondern auch detaillierte<br />
Verfahrensdokumentationen realisieren.<br />
Organisation<br />
E-Commerce<br />
34 Shop für schadstofffreie<br />
Produkte<br />
Eine „Out of the Box“-Shop-Lösung aus<br />
der Cloud konnte beim Versandhändler für<br />
schadstofffreie Lebensmittelaufbewahrung<br />
nicht mit dem Wachstum mithalten.<br />
30 Zentrales Marketing<br />
für Plüschtiere<br />
Daniel Barth, Geschäftsführer der Margarete<br />
Steiff GmbH, berichtet von der Software-<br />
Einführung für einen kanalübergreifenden,<br />
einheitlichen Markenauftritt des Unternehmens.<br />
Infrastrukturen<br />
<strong>IT</strong>-Sicherheit<br />
36 Drei Fragen an ...<br />
... Bertram Dorn, Solutions Architect bei<br />
Amazon Web Services, und Khaled Chaar,<br />
Managing Director Business Strategy bei der<br />
Cancom-Tochter Pironet NDH<br />
40 Mittelstand wiegt sich<br />
in Sicherheit<br />
Im Interview erläutert Florian Malecki,<br />
Product Marketing Director bei Dell Network<br />
Security, inwieweit mittelständische Unternehmen<br />
die <strong>IT</strong>-Sicherheit bereits in ihrer<br />
Unternehmensstrategie verankert haben.<br />
Software<br />
Dokumenten-<br />
Management<br />
44 Wie sicher sind Kopierer?<br />
Multifunktionssysteme (MFP) verarbeiten<br />
beim Drucken, Kopieren und Scannen<br />
auch sensible Unternehmensinterna und<br />
vertrauliche persönliche Informationen. Vielen<br />
Benutzern ist nicht bewusst, dass diese Daten<br />
meist im MFP gespeichert werden – und<br />
zwar auf der internen Festplatte.<br />
Standards<br />
3 Vorwort: Kopierer sind Datensammler!<br />
38 Buchtipps zum Thema <strong>IT</strong>-Sicherheit ›<br />
48 Veranstaltungen<br />
50 Vorschau auf Heft 3/2<strong>01</strong>6<br />
50 Impressum<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6
markt | trends<br />
Energieeffizienz im RZ<br />
Stromkosten im<br />
Blick behalten<br />
Können Sie die<br />
anfallenden Stromkosten<br />
in einzelne Kostenfaktoren<br />
(z.B. Facility Management, <strong>IT</strong>)<br />
differenzieren bzw. Kostenverursachern<br />
zuordnen?<br />
Ja:<br />
28,3 %<br />
Nein:<br />
58,7 %<br />
Weiß nicht:<br />
13,0 %<br />
Durch welche Maß nahmen<br />
lässt sich Ihrer Meinung<br />
nach der Stromverbrauch<br />
am effektivsten reduzieren?<br />
(Mehrfachnennungen)<br />
Energieeffizientere Hardware:<br />
63,0 %<br />
Virtualisierung:<br />
58,2 %<br />
Klimatisierung/Kühlung:<br />
30,4 %<br />
RZ-übergreifende Lastkopplung<br />
oder -verlagerung:<br />
30,4 %<br />
Neue Raumkonzeption:<br />
18,5 %<br />
Sonstige:<br />
25,5 %<br />
Basis: 200 deutsche Unternehmen und<br />
Organisationen mit 10 bis 999 Mitarbeitern<br />
Quelle: Techconsult<br />
B2B entdeckt neue Vertriebswege<br />
Handel über Online-<br />
Marktplätze<br />
E-Commerce ist ein wichtiges Thema für den deutschen Mittelstand.<br />
Neben reinen Webshops öffnen auch immer mehr B2B-Online-Marktplätze.<br />
Wo liegen die Vorteile dieser Vertriebsform und worauf müssen Händler bei<br />
der Auswahl achten?<br />
B2B-Online-Marktplätze führen Verkäufer<br />
und Käufer virtuell zusammen.<br />
Der Käufer soll von der großen<br />
Produktauswahl unterschiedlicher Anbieter<br />
profitieren. Der Verkäufer hingegen erreicht<br />
eine Vielzahl potentielle Käufer. Zu den<br />
bekanntesten internationalen Marktplätzen<br />
zählen Alibaba und Amazon Business.<br />
Viele deutsche Firmen zögern allerdings<br />
und sehen eine Gefahr darin, ihre Preisstrategien<br />
für unterschiedliche Länder oder<br />
Käufergruppen online nicht mehr schützen<br />
können. Folgende Argumente können<br />
Händlern die Entscheidung für einen<br />
Online-Marktplätze im B2B erleichtern:<br />
› Zeit und Geld sparen: Der Handel über<br />
Online-Marktplätze spart Arbeitszeit, Personal-<br />
und Reisekosten für beide Seiten.<br />
› Alternative zum Webshop: Um als Mittelständler<br />
in den B2B-Online-Handel einzusteigen,<br />
eignen sich Marktplätze als günstige<br />
und risikoarme Alternative zum eigenen<br />
Webshop.<br />
› Wertschöpfung ankurbeln: Für wenig<br />
umsatzstarke oder demnächst auslaufende<br />
Waren eignen sich Online-Marktplätze.<br />
Mit geringem Budget können sie einer<br />
großen Zielgruppe angeboten werden und<br />
so zur Wertschöpfung des Unternehmens<br />
beitragen.<br />
› Neue Märkte testen: Über internationale<br />
Marktplätze können neue Märkte mit geringem<br />
Risiko getestet werden. Die Plattformbetreiber<br />
wissen dadurch, wie der Handel<br />
im Ausland erfolgt inklusive fälliger Zölle<br />
und Steuern.<br />
Kurzmeldungen<br />
Unternehmen<br />
B2B-Handelsplattform<br />
;;<br />
Mit seiner SaaS-Applikation will Kyto Industrie-<br />
Unternehmen ermöglichen, die internationale<br />
Reichweite einer Vielzahl von B2B-Plattformen wie<br />
Alibaba oder Directindustry effizient zu nutzen.<br />
Auf Wachstumskurs<br />
;;<br />
Die Optimal-Systems-Gruppe setzt ihren Wachstumskurs<br />
fort. Der Anbieter von Enterprise-Content-Management-Software<br />
(ECM) konnte 2<strong>01</strong>5<br />
seinen Umsatz um knapp acht Prozent steigern.<br />
6 <strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
trends | markt<br />
› Einfache Rechnungslegung: Fungiert der<br />
Marktplatzbetreiber für die Rechnungslegung<br />
als Mittelsmann, wird im ERP-System<br />
unabhängig von der Zahl an Käufern bzw.<br />
Verkäufern nur ein Kunde angelegt.<br />
Auswahl treffen<br />
Fällt die Entscheidung, einen solchen<br />
Marktplatz zu testen – ob als Einstieg in den<br />
Online-Handel, in ein neues Land oder als<br />
zusätzlichen Kanal für ein Teilsortiment –,<br />
geht es an die Auswahl einer geeigneten<br />
Plattform. Die Lösungen unterscheiden<br />
sich hinsichtlich Optik, Reichweite und<br />
Funktionen stark voneinander. Auf einigen<br />
Marktplätzen werden ausschließlich Restposten<br />
gehandelt. Andere Anbieter spezialisieren<br />
sich auf bestimmte Branchen und<br />
Produktarten oder auch Regionen. Bei der<br />
Auswahl einer Plattform sollten Unternehmen<br />
folgende Kriterien beachten:<br />
› Sicherheit: Der Marktplatz sollte ein SSL-<br />
Zertifikat vorweisen. Es zeigt an, dass online<br />
eingegebene, persönliche Daten über den<br />
gesicherten Datentransfer geheim gehalten<br />
werden.<br />
› Validierung: Der Unternehmenseintrag<br />
aller Käufer und Verkäufer sollte über Handelsauskünfte<br />
oder über die Umsatzsteuer-<br />
Identifikationsnummer geprüft werden.<br />
› Preisschutz: Der Marktplatz muss<br />
gewährleisten, dass die Preisstrategien<br />
geschützt werden, u.a. bei der Auswahl<br />
einzelner Verkaufsländer, die nur für Unternehmen<br />
des Landes sichtbar sein sollten.<br />
Einige Plattformen bieten auch den Aufbau<br />
einer nicht öffentlichen Marktplatzumgebung<br />
an, zu der nur geladene Käufer<br />
Zutritt haben.<br />
› Branchen-Auflagen: Je nach Branche gibt<br />
es bestimmte Handelsauflagen. Bei <strong>IT</strong>/Consumer<br />
Electronics müssen z.B. alle technischen<br />
Daten übersichtlich einsehbar sein.<br />
› Marken-Branding: Auch in einem Marktplatz<br />
sollte es möglich sein, Markenprodukte<br />
in einem Auftritt zusammen anzubieten<br />
und die Marke auf diesen Seiten<br />
erlebbar zu machen.<br />
› Sicher Bezahlen: Zoll und Steuerabgaben<br />
sind in jedem Land anders. Der Anbieter<br />
sollte daher eine länderspezifische<br />
Rechnungslegung nachweisen können.<br />
Auch Sicherheiten gegen Zahlungsausfall<br />
bzw. Lieferausfall sollten vorab geprüft<br />
werden.<br />
<br />
www.stockondeals.com<br />
Ab auf die schwarze Liste<br />
Hilfestellung zur Spam-Abwehr<br />
Pragmatismus statt Cloud<br />
Firmen-RZ weiterhin wichtig<br />
Dem Trend in Richtung Cloud zum<br />
Trotz werden firmeneigene Rechenzentren<br />
in den nächsten Jahren weiterhin<br />
eine hohe Bedeutung haben.<br />
Dies geht aus dem aktuellen Report<br />
„Hardware-Einsatz in Deutschland“<br />
der <strong>IT</strong>-Budget GmbH hervor. Laut der<br />
zugrunde liegenden Umfrage unter 120<br />
Geschäftsführern und Vorständen aus<br />
der mittelständischen Wirtschaft gehen<br />
78 Prozent davon aus, dass der Anteil<br />
der Firmen-RZs an der mittelständischen<br />
<strong>IT</strong> in fünf Jahren noch bei über 40<br />
Prozent liegen wird. 65 Prozent gehen<br />
von immerhin noch mehr als 30 Prozent<br />
aus. Lediglich 16 Prozent der Mittelstands-Chefs<br />
erwarten einen Rückgang<br />
des Anteils firmeneigener Rechenzentren<br />
auf weniger als 10 Prozent.<br />
„Diese Prognose geht konform mit der<br />
Erkenntnis, dass satte 76 Prozent der<br />
deutschen Mittel ständler lieber selbst<br />
ein Rechenzentrum betreiben, statt ihre<br />
Firmen-<strong>IT</strong> einer Cloud anzuvertrauen“,<br />
Alle welt redet …<br />
… über die Cloud. Aber für viele Mittelständler hat ein eigener Server viele Vorteile.<br />
Stimme zu:<br />
65 %<br />
Stimme etwas zu:<br />
11 %<br />
Stimme nicht zu:<br />
24 %<br />
Die Kompetenzgruppe „E-Mail“<br />
des Internet-Verbands Eco hat einen<br />
neuen Blacklist-Leitfaden erarbeitet, mit<br />
dem Firmen unerwünschte Werbung<br />
(Spam) aus der Flut elektronischer Nachrichten<br />
herausfiltern können. Zielgruppe<br />
sind eigenen Angaben zufolge die Postmaster<br />
und E-Mailserver-Administratoren<br />
bei Internet-Service-Providern und<br />
Unternehmen. Ihnen will der Verband<br />
aufzeigen, welche schwarzen Listen für<br />
ihre Zwecke am besten geeignet und wie<br />
sie zu verwenden sind. Zum Hintergrund:<br />
Um der Spam-Flut entgegenzuwirken,<br />
setzen viele Postmaster auf in Echtzeit<br />
gepflegte, DNS-basierte Blacklisten<br />
(DNS Based Realtime Blacklists) von IP-<br />
Adressen, ganzen Netzen oder Domains.<br />
Häufig herrscht dabei Unklarheit über<br />
die geeigneten Nutzungsmöglichkeiten<br />
dieser Listen. So würden Listen zur<br />
Ablehnung von E-Mails eingesetzt, die<br />
oft besser zur Spam-Markierung verwendet<br />
werden sollten. Aus diesem Grund<br />
hat die Kompetenzgruppe eine praxisnahe<br />
Checkliste erstellt, mit der Postmaster<br />
ihre DNS-basierten Blackliste<br />
daraufhin prüfen können, ob sie für die<br />
angedachte Nutzung infrage kommt.<br />
<br />
https://e-mail.eco.de/downloads.html<br />
erklärt Christoph Laves, Geschäftsführer<br />
bei <strong>IT</strong>-Budget. Als wichtigste Gründe für<br />
das eigene RZ statt der Cloud werden<br />
die höhere Sicherheit (62 Prozent), die<br />
leichtere Anpassbarkeit an betriebliche<br />
Belange (51 Prozent) und die geringere<br />
Abhängigkeit (47 Prozent) genannt.<br />
„Der deutsche Mittelstand geht pragmatisch<br />
an das Thema Cloud heran“,<br />
sagt Hardware-Experte Christoph Laves.<br />
„Statt sich der ideologischen Cloud-<br />
Diskussion anzuschließen, prüfen die<br />
Firmen genau, welche Vorteile sie von<br />
der Verlagerung in die Wolke wirklich<br />
haben, und entscheiden dementsprechend<br />
situativ. Bewährte Applikationen<br />
verbleiben auf dem eigenen Server,<br />
bei neuen Anwendungsfeldern wie Big<br />
Data wird eher zu Software as a Service<br />
und Cloud-Diensten gegriffen. Generell<br />
gilt: Cloud Computing wird dann<br />
genutzt, wenn es wirtschaftlich sinnvoll<br />
und nicht zu riskant erscheint.“<br />
<br />
www.it-budget.de<br />
Kurzmeldungen<br />
Personen<br />
neue ICV-Geschäftsführerin<br />
;;<br />
Der Internationale Controller Verein (ICV) hat eine<br />
neue Geschäftsführerin: Carmen Zillmer folgte Conrad<br />
Günther, der sich nach 26 Jahren Geschäftsführertätigkeit<br />
auf eigenen Wunsch beruflich neu orientiert.<br />
Wechsel an der Sicherheitsspitze<br />
;;<br />
Bei der Düsseldorfer Secusmart GmbH ist Daniel<br />
Fuhrmann (Bild) seit dem 1. Januar 2<strong>01</strong>6 Mitglied der<br />
Geschäftsführung. Zuvor war er als Chief Operating<br />
Officer (COO) tätig.<br />
➔<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
7
markt | cloud computing<br />
Was bringen <strong>IT</strong>-Sicherheitszertifizierungen?<br />
Bessere<br />
Risikoanalyse<br />
Der Bezug von Cloud-Diensten, vor allem solcher<br />
aus der Public Cloud, wirft datenschutzrechtliche<br />
und haftungsrelevante Fragen auf. Inwieweit<br />
Zertifizierungen bessere Übersichtlichkeit und<br />
Vergleichbarkeit ermöglichen, erläutert<br />
Dr. Hubert Jäger, Geschäftsführer von Uniscon.<br />
<strong>IT</strong>M: Herr Jäger, welche Standards gibt es<br />
hinsichtlich der Datensicherheit bei Cloud-<br />
Anwen-d ungen?<br />
Hubert Jäger: Datenschutz in der Cloud<br />
ist seit April 2<strong>01</strong>4 durch die ISO/IEC-Norm<br />
27<strong>01</strong>8 definiert. Formal handelt es sich<br />
dabei um Umsetzungsempfehlungen, die<br />
man berücksichtigen kann, wenn man<br />
270<strong>01</strong>-Zertifikate ausstellen lässt. Denn<br />
die ISO/IEC-Reihe 27000 umfasst ausschließlich<br />
Normen für das Informationssicherheits-Management,<br />
also wie man<br />
sich innerhalb einer Organisation um die<br />
Sicherheit der Daten kümmert. Darin geht<br />
es in erster Linie um Organisatorisches.<br />
Nur der normative Anhang A geht auf die<br />
<strong>IT</strong>-Sicherheit ein.<br />
Ein Zertifikat soll beglaubigen, dass die<br />
gesetzlichen Vorgaben und Normen vom<br />
Cloud-Dienstleister eingehalten werden.<br />
Dafür gibt es verschiedene Zertifikate: z.B.<br />
das European Privacy Seal (EuroPriSe) und<br />
das Zertifikat nach dem Anforderungskatalog<br />
des Trusted-Cloud-Datenschutzprofils<br />
(TCDP). Vorher konnte nur eine<br />
Zertifizierung gemäß der Norm ISO/IEC<br />
270<strong>01</strong>:2<strong>01</strong>3 erfolgen, nicht eine nach ISO/<br />
IEC 27<strong>01</strong>8:2<strong>01</strong>4.<br />
<strong>IT</strong>M: Was ist der Unterschied zwischen einer<br />
Umsetzungsempfehlung und einem Anforderungskatalog?<br />
Jäger: Bei Umsetzungsempfehlungen ist<br />
niemals definiert, welche Anforderungen<br />
genau für ein Zertifikat erfüllt sein müssen.<br />
Auditoren können den Cloud-Dienst<br />
nicht anhand einer Liste von Datenschutzanforderungen<br />
überprüfen und daraus ein<br />
Ergebnis ableiten. Ein Anforderungskatalog,<br />
wie z.B. das TCDP, verlangt für eine<br />
bestimmte Schutzklasse die Umsetzung<br />
bestimmter Maßnahmen. Nach diesen<br />
Vorgaben beurteilt ein Auditor das Schutzniveau<br />
des Dienstes.<br />
<strong>IT</strong>M: Welche deutschen Zertifikate beziehen<br />
sich ganz klar auf die Datensicherheit?<br />
Jäger: Sowohl das EuroPriSe, das TCDP als<br />
auch der Standard DS-BvD-GDD-<strong>01</strong> der<br />
Datenschutzverbände sind deutsche Zertifikate<br />
und haben die Datensicherheit auf<br />
dem Schirm. EuroPriSe wurde 2007 vom<br />
Unabhängigen Landeszentrum für Datenschutz<br />
in Schleswig-Holstein gestartet und<br />
von der Europäischen Union im Rahmen<br />
des eTEN-Programms gefördert. Seit 2<strong>01</strong>4<br />
bietet die EuroPriSe GmbH in Bonn Zertifizierungen<br />
an.<br />
Das TCDP ist Ergebnis des Pilotprojekts<br />
Datenschutzzertifizierung im Rahmen<br />
des Trusted-Cloud-Programms des<br />
Bundeswirtschaftsministeriums (BMWi).<br />
Der Anforderungskatalog ermöglicht es,<br />
dass 2<strong>01</strong>6 auch Zertifikate danach vergeben<br />
werden. Zusätzlich haben Experten<br />
des Berufsverbands der Datenschutzbeauftragten<br />
Deutschlands (BvD) und der<br />
Gesellschaft für Datenschutz und Datensicherheit<br />
(GDD) den Datenschutzstandard<br />
DS-BvD-GDD-<strong>01</strong> entwickelt, der speziell für<br />
die Auftragsdatenverarbeitung gilt, aber<br />
nicht explizit für die Cloud.<br />
„Das TCDP schließt eine große Lücke für<br />
Unternehmen, die vorhaben, Cloud-<br />
Dienste zu beziehen. Aktuell besitzen diese<br />
nämlich kaum Möglichkeiten, die Anbieter<br />
bezüglich Rechtskonformität bei der<br />
Datenverarbeitung zu prüfen“,<br />
sagt Dr. Hubert Jäger zum deutschen TCDP-Zertifikat.<br />
<strong>IT</strong>M: Welche Fragen müssen Unternehmer an<br />
ein Datenschutzzertifikat stellen?<br />
Jäger: Zunächst muss klar sein, wie die<br />
Prüfung der einzelnen Dienste aussieht<br />
und wer der Prüfer und Zertifikatsgeber<br />
ist. Dann stellt sich die Frage, wer die Risikoanalyse<br />
durchführt und nach welchen<br />
Kriterien sie durchgeführt wird. Wichtig<br />
ist zudem, ob sich die Cloud-Dienste hinsichtlich<br />
der Datensicherheit miteinander<br />
Kurzmeldungen<br />
Anwendungen<br />
Archivdienstleistungen übernommen<br />
;;<br />
Iron Mountain übernimmt die Archivdienstleistungen<br />
der Wetsch Möbel- und Kunsttransporte GmbH.<br />
Alle 77 Kunden von Wetsch im Bereich Archivierung<br />
werden dadurch übernommen.<br />
Internationales Geschäft<br />
;;<br />
Mit dem Upgrade der Intershop-Lösung investiert<br />
der Musikhändler Music Store in eine<br />
Shop-Lösung für seinen international<br />
ausgerichteten Online-Handel.<br />
8<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
cloud computing | markt<br />
die Zusammenarbeit in Teams. In einer<br />
Vorbewertung des TÜV-iT hat er bereits<br />
die höchste Schutzklasse, nämlich Schutzklasse<br />
3, erhalten.<br />
<strong>IT</strong>M: Welche Schutzklasse können amerikanische<br />
Dienste erreichen?<br />
Jäger: Solange ein amerikanisches Unternehmen<br />
auf die Daten zugreifen kann, so<br />
lange hat die US-Regierung auch die Möglichkeit,<br />
Daten zu verlangen und anlasslos<br />
zu speichern. Dies ist ein so zentraler Punkt<br />
für die Datensicherheit, dass US-Clouds mit<br />
der Schutzklasse 0 zu bewerten sind. Aus<br />
diesem Grund hat ja auch der Europäische<br />
Gerichtshof (EuGH) das „Safe Harbor“-<br />
Abkommen für ungültig erklärt. Mit diesem<br />
Abkommen war bisher rechtlich abgesichert,<br />
wenn Daten von EU-Bürgern in die<br />
USA weitergeleitet wurden.<br />
vergleichen lassen. Gibt es verschiedene,<br />
dem jeweiligen Schutzbedarf angepassten<br />
Schutzklassen? Für die Relevanz eines Zertifikats<br />
ist außerdem entscheidend, inwieweit<br />
sich mit ihm rechtliche Datenschutzverpflichtungen<br />
abdecken lassen.<br />
<strong>IT</strong>M: Was sagt das European Privacy Seal<br />
(EuroPriSe) genau aus?<br />
Jäger: Das Zertifikat bescheinigt, dass ein<br />
<strong>IT</strong>-Produkt oder ein <strong>IT</strong>-basierter Dienst mit<br />
den Vorgaben der europäischen Datenschutzregelungen<br />
konform geht. Die von<br />
der Zertifizierungsstelle zugelassenen Gutachter<br />
wurden vom Hersteller beauftragt,<br />
das Produkt zu beurteilen. Die Zertifizierungsstelle<br />
selbst prüft daraufhin, ob die<br />
Anwendung der Kriterien auf das Produkt<br />
oder den Dienst tatsächlich zutreffen – und<br />
zwar auch im Hinblick auf die konkrete<br />
Anwendung. Dann erst erteilt sie das Euro-<br />
PriSe-Gütesiegel. Es muss also jede einzelne<br />
Anwendung eines Dienstes jedes Mal neu<br />
überprüft werden, wenn er in verschiedenen<br />
Zusammenhängen eingesetzt wird.<br />
<strong>IT</strong>M: Was besagt das deutsche TCDP-<br />
Zertifikat?<br />
Jäger: Das TCDP schließt eine große Lücke<br />
für Unternehmen, die vorhaben, Cloud-<br />
Dienste zu beziehen. Aktuell besitzen diese<br />
nämlich kaum Möglichkeiten, die Anbieter<br />
bezüglich Rechtskonformität bei der Datenverarbeitung<br />
zu prüfen. Die technischen<br />
und organisatorischen Vorkehrungen zu<br />
kontrollieren, die diese hinsichtlich der<br />
Datensicherheit getroffen haben, gestaltet<br />
sich ebenfalls schwierig. Letztlich sind<br />
Unternehmen dazu aber verpflichtet.<br />
Das Zertifikat bezieht sich explizit auf<br />
den Datenschutz und die Datensicherheit<br />
innerhalb einer Public Cloud. Es standardisiert<br />
die Anforderungen des Datenschutzes<br />
einschließlich der Informationssicherheit.<br />
Damit potentielle Cloud-Nutzer eine Wahl<br />
zwischen verschiedenen Diensten treffen<br />
und den Grad an Datensicherheit beurteilen<br />
können, müssen sie vergleichen<br />
können. Hierfür sieht TCDP Schutzklassen<br />
vor, die auf den unterschiedlichen Schutzbedarf<br />
einzelner Unternehmen eingehen.<br />
Dies soll den Cloud-Nutzern die Wahl<br />
erleichtern und sie unterstützen, die von<br />
den Datenschutzgesetzen geforderten Kontrollpflichten<br />
zu erfüllen. <strong>IT</strong>-Leiter sollen<br />
damit Haftungsrisiken vermeiden können.<br />
<strong>IT</strong>M: Gibt es bereits Cloud-Dienste, die nach<br />
TCDP zertifiziert sind?<br />
Jäger: Im ersten Quartal 2<strong>01</strong>6 wird die<br />
Pilotzertifizierung von Idgard abgeschlossen<br />
sein, einem Public-Cloud-Dienst für<br />
<strong>IT</strong>M: Microsoft beispielsweis kooperiert ganz<br />
bewusst mit T-Systems beim Hosting von<br />
Office 365, um dem Zugriff der US-Gerichtsbarkeit<br />
zu entgehen. Wie bewerten Sie diesen<br />
Schachzug?<br />
Jäger: Microsoft tritt in diesem Modell<br />
als Technologielieferant auf und bietet<br />
gemeinsam mit den deutschen Partnern<br />
Dienstleistungen an: Der Konzern behauptet,<br />
tatsächlich nur noch bei speziellen<br />
Service-Vorfällen auf die Daten zugreifen<br />
zu können. Er könne selbst keine Daten<br />
weiterleiten, selbst wenn die US-Regierung<br />
es wünsche. Das Ganze ist ein Konstrukt,<br />
um mit den rechtlichen Gegebenheiten<br />
umzugehen: Die Verantwortung – also die<br />
Zutritts- und Zugriffskontrolle – liegt, so<br />
die Unternehmenssprecher, bei T-Systems<br />
und damit bei der Telekom. Um zu sagen,<br />
welche Schutzklasse für das „deutsche“<br />
Office 365 gilt, müssen wir eine TCDP-<br />
Zertifizierung abwarten.<br />
Würde Microsoft in Europa wieder als<br />
Dienstanbieter ohne deutsche Schützenhilfe<br />
auftreten wollen, müsste der Konzern<br />
beweisbar ausschließen, dass er selbst und<br />
damit die US-Gerichtsbarkeit auf die Daten<br />
zugreifen kann. Das ließe sich umsetzen,<br />
wie man am Beispiel des Dienstes Idgard<br />
sieht. Die Schutzklasse 3 hat er wegen der<br />
Technologie erreicht, die ihm zugrunde<br />
liegt: Sie hindert selbst den Cloud-Betreiber<br />
daran, auf Daten zuzugreifen. Privacy by<br />
Design eben, wie es der Entwurf der EU-<br />
Datenschutz-Grundverordnung verlangt.<br />
Paula Hansen<br />
Kurzmeldungen<br />
Anwendungen<br />
Archiv-software eingeführt<br />
;;<br />
Das Stadthotel Jülich will mit der Einführung<br />
der Archivsoftware „ecoDMS“ das tägliche<br />
Papierchaos bändigen und Zeit bei der Dokumentensuche<br />
sparen.<br />
Schokolade digital verkaufen<br />
;;<br />
Das Berliner Traditionsunternehmen Rausch setzt mithilfe<br />
seiner überarbeiteten Website auf einen digitalen<br />
Absatz. Der Dienstleister Neofonie entwickelte den<br />
neuen Online -Shop für den Schokoladenproduzenten.<br />
➔<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
9
ADVERTORIAL<br />
Aus Daten wird<br />
fundiertes Wissen<br />
Relevante Geschäftsinformationen<br />
jederzeit zur Hand zu haben, um bessere<br />
und punktgenaue Entscheidungen<br />
treffen zu können, wird in dem heutigen,<br />
schnelllebigen Marktumfeld immer<br />
wichtiger. Vor diesem Hintergrund<br />
versuchen sich viele Unternehmen bereits<br />
seit längerem an Business-Intelligence-<br />
Konzepten. Sie scheiterten jedoch häufig<br />
daran, die unterschiedlichen Daten aus<br />
verschiedensten Quellen anschaulich und<br />
schnell verständlich zu visualisieren. Mit<br />
Microsoft Power BI gelingt dies nun –<br />
ohne aufwendigen Support seitens der<br />
<strong>IT</strong>-Abteilung, auf vorhandenen Systemen.<br />
IM<br />
Fokus aller Business-Intelligence-Aktivitäten steht<br />
die Zielsetzung, wertvolle Geschäftsinformationen<br />
sowie Marktdaten zu gewinnen, sie in Relation zueinander<br />
zu setzen und in einer Weise sichtbar zu machen, dass sie<br />
als valide Grundlage für gewinnbringende Geschäftsentscheidungen<br />
dienen können. Von einem technologischen Standpunkt aus<br />
betrachtet geht es darum, aus vorhandenen, jedoch weitgehend<br />
ungenutzten Rohdaten aussagekräftige Einblicke in die eigenen<br />
Geschäftsaktivitäten und das Geschäftsumfeld<br />
zu erzielen, um flexibel reagieren zu können.<br />
Dies änderte sich erst mit der verbreiteten Nutzung von<br />
Microsoft Excel, mit dem auch Nicht-<strong>IT</strong>-Spezialisten<br />
Daten aufbereiten konnten. Excel ebnete gewissermaßen<br />
den Weg zu modernen Self-Service-BI-Modellen,<br />
denn mit Power Pivot erlangte die Software Funktionalitäten,<br />
die zuvor nur Datenbanken hatten bieten<br />
können. Jetzt war es auch einzelnen Mitarbeitern oder<br />
Projektteams möglich, größere Datenmengen aus<br />
unterschiedlichen Quellen in Entscheidungsprozesse,<br />
Prognosen und Forecasts einzubeziehen.<br />
Den entscheidenden Schritt können die Anwender nun<br />
aber mit Microsoft Power BI gehen, einem modernen<br />
BI-Ansatz, der bestehende Analyse-Plattformen einbezieht<br />
und erweitert, anstatt sie zu ersetzen. Das Ziel<br />
hinter Power BI: Jedem Mitarbeiter soll es möglich<br />
sein, die für seine Arbeit relevanten Daten an einem<br />
Ort zu aggregieren, zu visualisieren, zu analysieren<br />
und zu teilen – und das ohne Progammier- und <strong>IT</strong>-<br />
Kenntnisse.<br />
Erfahren Sie mehr unter:<br />
www.it-zoom.de/advertorial/microsoft_power_bi<br />
Kein Experten-Know-how<br />
notwendig<br />
Bislang spielte die <strong>IT</strong> eine Schlüsselrolle bei<br />
der Gewinnung und Verwertung der relevanten<br />
Informationen. Denn der Aufbau<br />
umfangreicher Data Warehouses<br />
und die Konzeption komplexer Datenund<br />
Berichtsmodelle erforderten tiefes <strong>IT</strong>-Knowhow.<br />
Dies führte zwangsläufig dazu, dass die Nutzer<br />
aus den Fachbereichen auf die weitreichende<br />
Unterstützung der <strong>IT</strong> angewiesen waren, selbst<br />
bei der Berichtsentwicklung. Informationen<br />
waren selten adhoc verfügbar, sondern immer<br />
erst am Ende langwieriger Prozessketten.<br />
Microsoft Power BI ...<br />
... ist ein cloud-basierter Business-Analytics-Dienst, mit dem sich Daten einfach visualisieren<br />
und analysieren lassen. Zielgruppe sind Nutzer ohne <strong>IT</strong>-technischen Hintergrund,<br />
die dank dem Software-as-a-Service-Dienst alle relevanten Daten an einem zentralen<br />
Punkt verbinden und daraus interaktive Dashboards und Reports erstellen können. Dabei<br />
ist unerheblich, ob die Daten aus lokalen Systemen beim Anwender stammen oder sich<br />
in der Cloud befinden.<br />
Power BI besteht aus dem kostenlosen, lokalen Power BI-Desktop, der als persönliche<br />
BI-Umgebung dient, und dem Online-Service zur visuellen Darstellung und Aufbereitung<br />
von Daten und Reports. Zusätzlich ist ein Set an nativen, interaktiven Applikationen für<br />
die führenden mobilen Plattformen Android, iOS und Windows verfügbar, die den sicheren<br />
Zugriff auf die Power BI-Dashboards und -Reports ermöglichen. Power BI lässt sich über<br />
Schnittstellen an externe Anwendungen und Web-Lösungen anbinden.<br />
10<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
ADVERTORIAL<br />
eigene Visualisierungen, z.B. nach<br />
Hichert, zu erstellen:<br />
powerbi.microsoft.com/<br />
custom-visuals<br />
Mobile Applikationen<br />
Power BI ermöglicht den sicheren<br />
Echtzeitzugriff auf Dashboards auch<br />
von mobilen Endgeräten aus. Dieser<br />
erfolgt über native, interaktive Apps<br />
für Windows, iOS und Android, die<br />
natürlich für die kleineren Displays<br />
optimiert sind.<br />
Breiter Funktionsumfang<br />
Live Dashboards<br />
Ein Power BI-Dashboard ist ein Set<br />
von Charts, das aus einem oder<br />
mehreren Reports erzeugt wird und<br />
die Ergebnisse in einer leicht zugänglichen<br />
Form darstellt – ausgeprägte<br />
Analyse-Expertise ist nicht vonnöten.<br />
Dabei sind die Dashboards je nach<br />
Datenquelle live. Ist also eine Tabelle<br />
oder ein Schaubild mit einer Echtzeitdatenquelle<br />
verbunden, aktualisieren<br />
sich die Zahlen ständig.<br />
Die Dashboards sind hochgradig<br />
individualisierbar, sodass Inhalte aus<br />
anderen Reports genauso einfach<br />
hinzugefügt werden können wie<br />
Logos oder andere Grafiken. Das<br />
Erstellen der Dashboards ist einfach,<br />
speziell wenn die Daten aus bekannten<br />
Software-as-a-Service-Quellen<br />
wie Dynamics CRM Online, Google<br />
Analytics oder Salesforce stammen.<br />
Interaktive Reports<br />
Die Dashboards sind interaktiv. Sie<br />
erlauben den Nutzern, bestimmte<br />
Informationen in den darunterliegenden<br />
Reports tiefergehend zu ergründen.<br />
Dank der leicht bedienbaren<br />
Nutzeroberfläche kann praktisch<br />
jeder Mitarbeiter interaktive Reports<br />
erstellen, die Zusammenhänge<br />
schnell erkennen lassen, da alle<br />
Charts aufeinander reagieren.<br />
Datenvisualisierung<br />
Power BI bietet eine Reihe von Visualisierungsoptionen,<br />
mit denen sich<br />
Daten ansprechend und leicht verständlich<br />
aufbereiten und darstellen<br />
lassen. Dazu zählen u.a. Vergleichs-<br />
Charts, verschiedene Diagrammarten<br />
oder geographische Charts. Obendrein<br />
stellt Microsoft selbst Visuals<br />
in der Gallery als Vorlage sowie eine<br />
Programmierschnittstelle bereit, was<br />
es Entwicklern ermöglicht, selbst<br />
Teilen von Informationen<br />
Standardmäßig sind alle Daten und<br />
Reports dem jeweiligen Ersteller der<br />
Daten vorbehalten. Wenn erforderlich,<br />
können die Dashboards jedoch<br />
unter der Berücksichtigung bestimmter<br />
Rechte leicht mit anderen Mitarbeitern<br />
oder Projektteilnehmern<br />
geteilt werden. Aktualisierungen<br />
werden automatisch allen Nutzern<br />
ausgegeben. Je nach dem gebuchten<br />
Funktionsumfang können sie von<br />
berechtigten Personen auch bearbeitet<br />
werden.<br />
Ebenfalls möglich ist die Zusammenarbeit<br />
und Verwaltung der Inhalte in<br />
Teams und Projektgruppen.<br />
Die Datensätze für die Dashboards<br />
und Reports befinden sich im<br />
Arbeitsbereich des Teams, der wiederum<br />
direkt aus Power BI heraus<br />
administriert werden<br />
kann.<br />
www.powerbi.com<br />
Microsoft Power BI ist ein Freemium-Produkt. Der Power BI-Desktop ist komplett kostenfrei verfügbar.<br />
Auch die cloud-basierte Variante ist in der Standardversion kostenfrei verfügbar, die entsprechende Premium-Variante mit zusätzlichem Funktionsumfang<br />
kostet lediglich 8,40 Euro pro Nutzer im Monat und kann 60 Tage lang kostenfrei getestet werden.<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6 11
markt | personality<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND befragt die Verantwortlichen der großen <strong>IT</strong>-Anbieter. In dieser Ausgabe:<br />
Thomas Ruban, Vice President Europe,<br />
Middle East and Africa bei Juniper Networks<br />
Ausgeprägte<br />
regionale Wurzeln<br />
Unter Mittelstand verstehe ich …<br />
… in erster Linie kleine und mittlere Unternehmen,<br />
die bis zu 500 Mio. Euro Umsatz<br />
im Jahr erwirtschaften. Zum Mittelstand<br />
gehören auch die Hidden Champions, die<br />
in Marktnischen durch Know-how und<br />
Innovationen Markt- oder Weltmarktführer<br />
sind. In jedem Fall ist der Mittelstand<br />
ein wichtiger Grundpfeiler der deutschen<br />
Wirtschaft mit einer hohen gesellschaftlichen<br />
Relevanz und Verantwortung.<br />
Der Mittelstand hebt sich von<br />
Großkonzernen dadurch ab, dass …<br />
… er in seinen spezifischen Marktsegmenten<br />
oft innovativer und schneller ist.<br />
Zudem sind Mittelständler häufig eigentümergeführt<br />
und können dadurch Entscheidungen<br />
schneller treffen. Außerdem<br />
ist bei vielen mittelständischen Firmen die<br />
regionale Verwurzelung ausgeprägter. Das<br />
gilt insbesondere für alteingesessene, im<br />
ländlichen Raum angesiedelte Firmen, die<br />
sich in ihrer Gegend auch gesellschaftlich<br />
stark engagieren.<br />
Persönliche Daten<br />
Name: Thomas Ruban<br />
Alter: 50 Jahre<br />
Familienstand: verheiratet<br />
Größtes Hobby: Basketball<br />
Karriere<br />
Ausbildung: Diplom-Informatiker (Univ.),<br />
TU München<br />
Beruflicher Werdegang: Thomas Ruban hatte<br />
verschiedene Positionen bei Siemens, Unisphere<br />
Networks und Juniper Networks inne.<br />
Derzeitige Position: Vice President Technical<br />
Sales Europe, Middle East and Africa bei<br />
Juniper Networks<br />
Um als <strong>IT</strong>-Spezialist im Mittelstand<br />
Erfolg zu haben, bedarf es …<br />
… auf die Bedürfnisse der Kunden zugeschnittener,<br />
einfacher und offener Lösungen,<br />
die entsprechend skaliert werden können<br />
und durch Automatisierung wenige<br />
Ressourcen verbrauchen. Wichtig ist außerdem<br />
eine ausgesprochene Qualitäts- und<br />
Service-Orientierung. Um bestmöglich helfen<br />
zu können, muss man als <strong>IT</strong>-Anbieter<br />
zudem das Geschäftsmodell seines Kunden<br />
verstehen. Wenn man dies alles beachtet,<br />
sind im Mittelstand langfristige und stabile<br />
Kundenbeziehungen möglich.<br />
Was die <strong>IT</strong> anbelangt,<br />
ist der Mittelstand …<br />
… einerseits sehr pragmatisch. Die meisten<br />
Mittelständler bevorzugen schlanke Lösungen,<br />
mit denen sie ihr jeweiliges Geschäftsmodell<br />
unkompliziert umsetzen können.<br />
Andererseits ist der Mittelstand in Sachen<br />
<strong>IT</strong> eher vorsichtig. Viele Unternehmen hinken<br />
deshalb im Vergleich zu Großunternehmen<br />
den technologischen Entwicklungen<br />
hinterher. Sie müssen etwa auch hinsichtlich<br />
mittlerweile nicht mehr ganz so neuer<br />
Trends wie Cloud Computing, Mobile oder<br />
Big Data Analytics aufholen, wenn sie ihre<br />
Wettbewerbsfähigkeit langfristig erhalten<br />
bzw. ausbauen möchten.<br />
Die durchschnittliche <strong>IT</strong>-Grundausstattung<br />
im Mittelstand besteht<br />
aus …<br />
… ganz unterschiedlichen Bestandteilen.<br />
So wenig wie der „typische“ Mittelständler<br />
existiert, gibt es meiner Erfahrung nach<br />
eine durchschnittliche <strong>IT</strong>-Grundausstattung.<br />
Abhängig von der Branche und der<br />
Größe des Unternehmens sind die Bedürfnisse<br />
extrem unterschiedlich.<br />
Charakteristisch für<br />
<strong>IT</strong>-Investitionsentscheidungen<br />
im Mittelstand ist …<br />
… eine ausgeprägte Kosten-Nutzen-Bewertung.<br />
Gerade in inhabergeführten Unternehmen<br />
wird sehr genau geschaut, ob sich<br />
eine <strong>IT</strong>-Investition wirklich auszahlen wird –<br />
sei es, indem sie zur Qualitätssicherung<br />
beiträgt, Prozesse beschleunigt, zu Kostensenkungen<br />
führt oder Effizienzsteigerungen<br />
nach sich zieht. Das hängt eng damit<br />
zusammen, dass speziell in inhabergeführten<br />
Firmen Investitionsentscheidungen<br />
häufig von oberster Stelle getroffen werden.<br />
Charakteristisch ist außerdem, dass es im<br />
Mittelstand in der Regel kein ausgeprägtes<br />
„Denken in Quartalszahlen“ gibt. Bei Investitionsentscheidungen<br />
spielt dadurch die<br />
langfristige Perspektive eine größere Rolle.<br />
Die typischen <strong>IT</strong>-Probleme<br />
des Mittelstandes sind …<br />
... häufig aufgrund von Systemen entstanden,<br />
die individuell entwickelt und dann<br />
über Jahre oder sogar Jahrzehnte isoliert<br />
weiterentwickelt wurden. Wir beobachten<br />
häufig, dass auch bei jahrelang sehr gut<br />
funktionierenden Systemen dann irgendwann<br />
der Punkt kommt, wo solche Systeme<br />
an ihre Grenzen hinsichtlich Leistung und<br />
Interoperabilität stoßen. Das kann dann<br />
Schwierigkeiten in den unterschiedlichsten<br />
Bereichen nach sich ziehen.<br />
Als Lösung für diese Probleme<br />
favorisiere ich, dass …<br />
… Unternehmen als Grundlage für ihre<br />
individuelle <strong>IT</strong>-Infrastruktur etwas mehr<br />
auf Standardbauteile zurückgreifen. Diese<br />
sind mittlerweile in vielen Branchen gut<br />
auf die jeweiligen Bedürfnisse anpassbar.<br />
Zudem empfehle ich offene Infrastrukturen,<br />
die mitwachsen können und Flexibilität<br />
ermöglichen.<br />
Handlungsbedarf auf <strong>IT</strong>-Seite<br />
im Mittelstand sehe ich …<br />
… hinsichtlich der Automatisierung und<br />
der Sicherheit. Insbesondere das Fehlen<br />
einer eigenen Sicherheitsabteilung macht<br />
viele Mittelständler anfällig. Zum einen<br />
sind die technischen Sicherheitsvorkehrungen<br />
häufig nicht so, wie es notwendig<br />
ist und möglich wäre. Zum anderen ist<br />
aufgrund der fehlenden Sicherheitsspezialisten<br />
oftmals auch kein angemessenes<br />
Risikobewusstsein vorhanden.<br />
12 <strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
personality | markt<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
13
markt | datenanalyse<br />
Analyse von IoT-Daten<br />
Cloud und Internet der Dinge<br />
Cloud Computing und das Internet der Dinge (IoT) eröffnen Unternehmen viele<br />
Möglichkeiten, fordern aber auch die firmeninterne <strong>IT</strong>. Hewlett-Packard Enterprise<br />
(HPE) zeigte daher Anfang Dezember 2<strong>01</strong>5 auf seiner europäischen<br />
Anwenderkonferenz „Discover“ Lösungen, die das Management von hybriden<br />
Infrastrukturen sowie die Analyse von IoT-Daten vereinfachen sollen.<br />
Die Wolke ist für den<br />
Anbieter das bestimmende<br />
Betriebsmodell.<br />
Nach Meinung von Bill Hilf<br />
entwickle sich Cloud Computing<br />
sogar grundsätzlich zum<br />
„Synonym für <strong>IT</strong>“. Hilf ist beim<br />
<strong>IT</strong>-Anbieter als Senior Vice President<br />
für Cloud-Technologien<br />
zuständig. Auf der Anwenderkonferenz<br />
veröffentlichte das<br />
Unternehmen Prognosen,<br />
wonach bis 2<strong>01</strong>8 die jährliche<br />
Wachstumsrate für <strong>IT</strong> aus der<br />
Public Cloud bei 17 Prozent<br />
liegt. Bei der Private Cloud sind<br />
es sogar 24 Prozent. Traditionelle<br />
<strong>IT</strong>-Nutzung wird dagegen<br />
laut HPE jährlich nur um<br />
2,4 Prozent zunehmen.<br />
Der Einsatz von Cloud-<br />
Services kann Unternehmen<br />
viel Nutzen bringen. Er kann<br />
aber auch ein Belastung für die<br />
<strong>IT</strong>-Abteilung sein. Daher hat<br />
der Anbieter Lösungen entwickelt,<br />
um die <strong>IT</strong>-Experten in den<br />
Unternehmen dabei zu unterstützen.<br />
Dazu zählt der Helion<br />
Managed Cloud Broker. Mit diesem<br />
Service sollen Unternehmen<br />
den Wildwuchs an Cloud-<br />
Instanzen in ihrer Organisation beherrschen können. Der Broker<br />
gibt <strong>IT</strong>-Administratoren einen Überblick über die gesamte Unternehmens-<strong>IT</strong><br />
– inklusive der verschiedenen Cloud-Anwendungen.<br />
Die <strong>IT</strong>-Experten können die unterschiedlichen Cloud-Instanzen<br />
konsolidieren, orchestrieren und sicher betreiben. Dafür bietet<br />
die Lösung ein Set aus Werkzeugen und Funktionen. Dazu gehören<br />
u.a. ein Self-Service-Portal mit Schnittstelle zu den jeweiligen<br />
<strong>IT</strong>-Dienstleistern, Sicherheits- und Performance-Management,<br />
Monitoring-Tools sowie Dashboards und Reports.<br />
Doch auch die traditionelle Nutzung von <strong>IT</strong> wird weiterhin<br />
eine Rolle in Unternehmen spielen. Die Folge: Vermehrt entstehen<br />
hybride <strong>IT</strong>-Infrastrukturen – in denen Software also im eigenen<br />
Haus installiert ist sowie aus der Cloud bezogen wird.<br />
Um solche Umgebungen verwalten zu können, hat man die<br />
Plattform Synergy entwickelt. Mit ihr sollen die <strong>IT</strong>-Ressourcen<br />
flexibel auf die unterschiedlichen Anwendungen im Unternehmen<br />
verteilt werden können – unabhängig<br />
davon, ob sie aus der Cloud kommen oder<br />
im eigenen Rechenzentrum installiert sind.<br />
Die Plattform basiert auf einer neuen<br />
Architektur, die der Anbieter als Composable<br />
Infrastructure bezeichnet. Diese nutzt flexible Ressourcen-<br />
Pools und analysiert den aktuellen Infrastrukturbedarf. Mit einer<br />
Codezeile können Administratoren jeder Anwendung die benötigte<br />
Infrastruktur – also Server, Speicher und Netzwerk – zuweisen.<br />
Internet der Dinge (IoT) eher belastend<br />
Herausforderung<br />
Datenmengen<br />
Doch nicht nur die Cloud fordert die Unternehmen. Auch das<br />
Internet der Dinge (IoT) kann eine Belastung darstellen. Die Verarbeitung<br />
der großen Datenmengen stellt eine Herausforderung<br />
für die <strong>IT</strong> in den Rechenzentren und dem Netzwerk dar. Und<br />
Cloud Computing und das Internet der Dinge (IoT)<br />
standen Anfang Dezember 2<strong>01</strong>5 in London im<br />
Fokus der europäischen Anwenderkonferenz von<br />
Hewlett-Packard Enterprise.<br />
die Datenvolumina werden<br />
weiter ansteigen. 2<strong>01</strong>6 sollen<br />
6,4 Milliarden Dinge miteinander<br />
vernetzt sein, schätzen<br />
die Marktforscher von Gartner.<br />
HPE hat daher IoT-Systeme<br />
entwickelt, die Rechenleistung<br />
und Daten-Management an<br />
den Rand des Netzwerks verlagern.<br />
Mit der Gateway-Produktlinie<br />
Edgeline können<br />
Anwender die entstehenden<br />
Daten in Echtzeit auswerten<br />
und die Endgeräte managen,<br />
konfigurieren sowie steuern.<br />
Für Daten, die auf dem<br />
klassischen Weg analysiert<br />
werden, bietet HPE nach wie<br />
vor seine Systeme Vertica und<br />
Autonomy. Wie schnell diese<br />
arbeiten können, zeigte auf der<br />
Discover ein spezieller Anwender.<br />
Alex Tai ist Teamchef des<br />
Rennstalls DS Virgin Racing<br />
Team, das in der Formel E an<br />
den Start geht – einer Rennserie<br />
für Wagen mit Elektromotor.<br />
Mithilfe von Vertica<br />
und Autonomy analysiert das<br />
Team die Daten, die es von den<br />
Sensoren des Fahrzeugs erhält.<br />
So soll der Rennwagen optimal<br />
auf die jeweiligen Bedingungen<br />
eingestellt werden – und<br />
das in möglichst kurzer Zeit.<br />
„Häufig bleiben uns zwischen<br />
den einzelnen Sessions gerade<br />
mal 30 Minuten, um die Daten<br />
auszuwerten und das Fahrzeug<br />
entsprechend zu konfigurieren“,<br />
erklärt Tai.<br />
Markus Strehlitz<br />
Kurzmeldungen<br />
Anwendungen<br />
ERP-Neustart mit SAP<br />
;;<br />
Beim Anwender SFM Medical Devices<br />
wurde eine SAP-ERP-Lösung eingeführt<br />
und das bestehende Altsystem<br />
abgelöst – ohne Produktionsausfälle.<br />
Vertriebssystem auf neue Beine gestellt<br />
;;<br />
Die Österreichischen Bundesbahnen (ÖBB) stellt ihr<br />
Vertriebssystem neu auf die Beine. Mit Wirecard verfügen<br />
die ÖBB über einen Partner, um Zahlungssysteme zu<br />
integrieren und passgenaue Lösungen zu entwickeln.<br />
n<br />
14 <strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
datenanalyse | markt<br />
Hulbee-Geschäftsführer<br />
Andreas<br />
Wiebe bietet eine<br />
Firmensuchlösung<br />
ab 5.000 Euro an.<br />
Suchmaschine für den Mittelstand<br />
Wissensbibliothek<br />
statt Datengrab<br />
Das Schweizer Software-Haus Hulbee hat kürzlich<br />
unter der Bezeichnung „Swisscows Company Search“ eine<br />
neue Lösung für eine sichere betriebliche Suche vorgestellt.<br />
Mit einem Einstiegspreis ab 5.000 Euro inklusive Software und<br />
Hardware will man ein firmenweites Suchsystem zu erschwinglichen<br />
Kosten zur Verfügung stellen.<br />
Der Hintergrund: „In allen Unternehmen entsteht mit der Zeit<br />
eine umfangreiche Ansammlung von hilfreichen, aber unauffindbaren<br />
Informationen – also von Wissen, das sich leider in<br />
ein unbrauchbares Datengrab verwandelt“, erklärt Hulbee-<br />
Geschäftsführer Andreas Wiebe, und weiter: „Mit unserer<br />
Suchlösung kann jeder Beschäftigte schnell auf die Informationen<br />
zugreifen, die er für seine Arbeit benötigt.“<br />
Das firmenweite Suchsystem soll<br />
laut Hersteller umfassende Funktionalitäten<br />
bieten. So arbeitet die Software<br />
auf Basis der semantischen<br />
Suche und beinhaltet über reine<br />
Suchfunktionen hinaus eine Lösung<br />
für Business Intelligence (BI). Zudem<br />
sollen alle Arten von Dokumenten<br />
und Formaten unterstützt werden.<br />
Die Firmensuchmaschine läuft unabhängig<br />
vom Betriebssystem, d.h., sie<br />
funktioniert sowohl mit Windows als<br />
auch mit Apple oder Unix. Storage,<br />
NAS und Archive werden ebenfalls<br />
unterstützt und können demgemäß<br />
auch indexiert werden. Auch die<br />
mobile Suche nach Dokumenten<br />
sei möglich, da die Lösung nicht an<br />
einen bestimmten PC bzw. Firmenrechner<br />
gebunden ist.<br />
Geboten werden laut Anbieter unterschiedliche Leistungsund<br />
Preismodelle für diverse Zielgruppen. Die kleinste Lösung<br />
für bis zu 20 Mitarbeiter umfasst Server und Software für<br />
5.000 Euro und indexiert bis zu einer Million Dokumente. Die<br />
nächstgrößere Stufe für bis zu 100 Beschäftigte verarbeitet<br />
bis zu zehn Millionen Dokumente und kostet 25.000 Euro. Für<br />
50.000 Euro erhält man eine Server- und Software-Lösung für<br />
maximal 250 Mitarbeiter, die bis zu 20 Millionen Dokumente<br />
indexiert. Für größere Unternehmen wird das Produkt auf<br />
Anfrage als reine Software-Lösung bereitgestellt.<br />
Durch den dedizierten, flexibel<br />
konfigurierbaren Server vor Ort soll<br />
den Anwenderunternehmen zudem<br />
Datensicherheit geboten werden, da<br />
die Hardware in den firmeneigenen<br />
Büroräumlichkeiten steht. Das Gerät<br />
sei ungefähr doppelt so groß wie ein<br />
iPhone 6 und passe somit auch ins<br />
kleinste Büro, heißt es.<br />
www.hulbee.com<br />
Digitalisierung bewegt Prozesse.<br />
Und macht Arbeitsplätze mobil.<br />
14. – 18. März 2<strong>01</strong>6<br />
Hannover ▪ Germany<br />
cebit.com<br />
ECM<br />
Input/Output<br />
Solutions<br />
ERP & HR<br />
Solutions<br />
Global Event for Digital Business
organisation | Titelinterview<br />
Alfons Maier (li.)<br />
Alter: 47 Jahre<br />
Werdegang: Betriebswirt mit Schwerpunkten<br />
auf <strong>IT</strong> und Organisation. Auf die Leitung der<br />
Software-Entwicklung bei Weleda folgte die<br />
Position des <strong>IT</strong>-Leiters. Mittlerweile ist Alfons<br />
Maier verantwortlicher Bereichsleiter für das<br />
Organisations- und Informationsmanagement bei<br />
Weleda und seit rund 19 Jahren im Unternehmen<br />
beschäftigt.<br />
Derzeitige Position: Leitung Organisations- und<br />
Informationsmanagement bei der Weleda AG<br />
Hobbys: Fußball, Lesen, Motorradfahren<br />
Vladimir Filev<br />
Alter: 36 Jahre<br />
Werdegang: seit 16 Jahren bei Weleda tätig;<br />
nach dem Start als Software-Entwickler<br />
folgten Positionen im Applikations- sowie<br />
Projektmanagement. Seit 2<strong>01</strong>5 ist Vladimir Filev<br />
für die Enterprise Architecture des Unternehmens<br />
verantwortlich.<br />
Derzeitige Position: Enterprise Architect<br />
Hobbys: Wandern, Skifahren, Schwimmen<br />
auf<br />
Neues Mitarbeiterportal<br />
Kommunikation<br />
einheitlicher<br />
BASIS<br />
16 <strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
titelinterview | organisation<br />
Der firmeneigene Heilpflanzengarten nebst Gewächshäusern<br />
in Schwäbisch Gmünd-Wetzgau ist das Herz des Unternehmens:<br />
Auf 23 Hektar wachsen mehr als 260 verschiedene Pflanzenarten,<br />
von denen 180 vorwiegend für die Herstellung von<br />
Arzneimitteln eingesetzt werden.<br />
Ein neues Mitarbeiterportal<br />
inklusive sozialem Netzwerk<br />
sorgt bei der Weleda AG,<br />
Hersteller von Arzneimitteln und Naturkosmetik,<br />
für eine bessere Kommunikation<br />
und Zusammenarbeit. ›<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
17
organisation | Titelinterview<br />
A<br />
<strong>IT</strong>M: Inwiefern sind Sie bei der ERP-Nutzung im Standard geblieben?<br />
Filev: In der Regel nutzen wir auf unsere Bedürfnisse hin angepasste<br />
Standardpakete, wobei wir bewusst einen Best-of-Breedls<br />
kleiner pharmazeutischer Laborbetrieb<br />
im Jahre 1921 gegründet,<br />
zählt die Weleda AG heute zu<br />
den führenden Herstellern von<br />
ganzheitlichen Naturkosmetikprodukten<br />
und Arzneimitteln für<br />
die anthroposophische Therapierichtung.<br />
Im Mittelpunkt stehen<br />
dabei der Erhalt, die Förderung<br />
sowie die Wiederherstellung der<br />
Gesundheit.<br />
„Wir vertreiben unsere<br />
Produkte in der Regel über<br />
Drogeriemärkte und Apotheken<br />
sowie über viele kleine<br />
inhabergeführte Fachgeschäfte<br />
und Reformhäuser.“<br />
Alfons Maier<br />
Das in den vergangenen Jahren starke Wachstum des Mittelständlers<br />
begleitete die <strong>IT</strong> zunächst als reine Leistungsabteilung.<br />
„Uns wurden Aufgaben zugewiesen, die wir umgesetzt<br />
haben“, blickt Alfons Maier, Leitung Organisations- und Informationsmanagement,<br />
zurück. „Mittlerweile agiert unser Team<br />
jedoch mit den Fachbereichen als Partner auf Augenhöhe“. In<br />
diesem Sinne wartet man mit kreativen Ideen auf, die die Digitalisierung<br />
des Unternehmens weiter vorantreiben. Dabei wurde<br />
zuletzt ein „Social Intranet“ auf Basis von Microsoft Sharepoint<br />
und Yammer eingeführt, das nicht nur die interne Kommunikation<br />
und Zusammenarbeit verbessert, sondern auch die Anbindung<br />
externer Lieferanten und Partner zulässt. Im Gespräch mit<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND skizzieren Alfons Maier und Vladimir Filev,<br />
Enterprise Architect, einzelne Projektschritte und geben einen<br />
generellen Einblick in die <strong>IT</strong>-Prozesse des Arzneimittel- und<br />
Naturkosmetikspezialisten.<br />
<strong>IT</strong>M: Herr Maier, wie ist Weleda <strong>IT</strong>-seitig organisiert?<br />
Alfons Maier: Unsere Unternehmens-<strong>IT</strong> steuert nicht allein klassische<br />
Aufgaben wie die Betreuung von Infrastrukturen oder<br />
Anwendungsentwicklung, sondern leistet deutlich mehr: So fokussiert<br />
sich ein Bereich allein auf Organisations- und Projektaufgaben,<br />
während sich ein weiterer – unter Federführung von Herrn<br />
Filev – um alles kümmert, was mit „Enterprise Architecture“ zu<br />
tun hat. Hierbei geht es insbesondere um die Zusammenführung<br />
von fachlichen und technologischen Prozessen.<br />
In einem dritten Bereich ist die klassische <strong>IT</strong> angesiedelt, zu<br />
deren Aufgaben die Anwendungsentwicklung, Systemtechnik,<br />
Service und Helpdesk zählen. Schließlich gibt es Mitarbeiter, die<br />
sich allein mit Governance-Themen beschäftigen. Sie kümmern<br />
sich darum, dass gesetzliche und firmeninterne Rahmenbedingungen<br />
etwa im Change- oder Rechtemanagement eingehalten<br />
werden. Auf diese Weise besitzen wir rechtskonforme Prozesse und<br />
sind für Audits seitens der Wirtschaftsprüfer bestens vorbereitet.<br />
<strong>IT</strong>M: Was macht die Herstellung und den Handel mit Arzneimitteln<br />
und Kosmetika so komplex?<br />
Maier: Da wir uns auf internationalem Parkett bewegen, müssen<br />
wir den Gesetzen und Regularien einzelner Länder entsprechen. So<br />
sind beispielsweise die regulatorischen Vorgaben der US-amerikanischen<br />
Food and Drug Association (FDA) sehr streng. In diesem<br />
Zusammenhang geht es um Richtlinien zur Validierung von Produktionsprozessen<br />
oder Rückverfolgbarkeit sämtlicher Chargen.<br />
<strong>IT</strong>M: Über welche Kanäle werden die Produkte vertrieben?<br />
Maier: In der Regel über Drogeriemärkte, dazu zählen im deutschsprachigen<br />
Markt z.B. dm-Drogeriemarkt, Rossmann, Müller oder<br />
Budnikowsky, außerdem Apotheken sowie viele kleine inhabergeführte<br />
Fachgeschäfte und Reformhäuser. Nicht zuletzt findet<br />
man unsere Produkte in Bio-Supermärkten wie Alnatura oder<br />
Temma vor.<br />
<strong>IT</strong>M: Welche Prozesse müssen die eingesetzten Software-Systeme<br />
abbilden können?<br />
Vladimir Filev: Kritisch sind für uns sämtliche Prozesse des Enterprise<br />
Resource Planning (ERP). Daher steuern wir mit unserem auf<br />
Microsoft Dynamics AX basierenden ERP-System die Produktion,<br />
die Logistik, den Vertrieb, den Einkauf, das Qualitätsmanagement<br />
sowie die Finanzen. Generell spielen alle ERP-Komponenten, die<br />
für einen reibungslosen Warenfluss sorgen, die wichtigste Rolle.<br />
›<br />
18 <strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
titelinterview | organisation<br />
›<br />
Ansatz verfolgen. So haben wir neben Dynamics AX<br />
auch andere Systeme wie z. B. ein SAP-System und<br />
Software von Aurea für das Customer Relationship<br />
Management (CRM) im Einsatz.<br />
<strong>IT</strong>M: Wie sehen die erwähnten Anpassungen aus?<br />
Maier: Alles in allem wollen wir das Customizing stets<br />
in Grenzen halten. Allerdings gibt es spezielle branchenspezifische<br />
Prozesse, die unserem Qualitätsanspruch<br />
geschuldet sind und die wir <strong>IT</strong>-seitig entsprechend<br />
individuell abbilden müssen.<br />
Filev: Verzichtet man auf umfängliche Anpassungen,<br />
fällt der Umstieg auf aktuelle Release-Stände deutlich<br />
leichter. Dies wird immer wichtiger, da sich die Release-<br />
Zyklen zuletzt zunehmend verkürzt haben.<br />
<strong>IT</strong>M: Gibt es Beispiele?<br />
Maier: Bei unserem ERP-System war es früher gang<br />
und gäbe, alle drei Jahre ein großes Haupt-Release zu<br />
veröffentlichen. Inzwischen beträgt dieser Zeitabstand<br />
maximal zwölf Monate. Mit der für 2<strong>01</strong>6 angekündigten<br />
neuen Microsoft Office Roadmap geht der Hersteller<br />
noch einen Schritt weiter und verkürzt die Zyklen<br />
abermals. Damit will man die Kunden kontinuierlich<br />
mit Systemverbesserungen versorgen und unter dem<br />
Stichwort „Continuous Deployment“ alle 90 Tage<br />
neue Versionen herausbringen, etwa um auftretende<br />
Bugfixes zügig ausmerzen zu können.<br />
<strong>IT</strong>M: Wie würden Sie Ihre <strong>IT</strong>-Strategie beschreiben –<br />
zählt Weleda zu den Vorreitern oder agiert man eher<br />
konservativ?<br />
Maier: Wir entwickeln uns immer mehr zu einem<br />
„Fast Follower“. Sicherlich gab es in der Vergangenheit<br />
Phasen ohne größere <strong>IT</strong>-Aktivitäten, mittlerweile<br />
verfolgen wir die technologischen Entwicklungen<br />
jedoch sehr genau und sehen unsere <strong>IT</strong> auf der Höhe<br />
der Zeit. Dabei sind uns insbesondere Themen wie<br />
Flexibilität, Agilität und effiziente Zusammenarbeit<br />
sehr wichtig.<br />
Familie groß geschrieben:<br />
Für jedes neugeborene Kind der Mitarbeiter<br />
pflanzt das Unternehmen eine Birke. Zudem<br />
unterhält das Unternehmen am Standort<br />
Schwäbisch Gmünd eine betriebseigene<br />
Waldorf-Kindertagesstätte.<br />
<strong>IT</strong>M: Apropos Zusammenarbeit – um diese zu verbessern,<br />
haben Sie vergangenes Jahr ein neues Unternehmensportal<br />
etabliert. Was steckt dahinter?<br />
Filev: Wir haben ein „Social Intranet“ mit Employee-<br />
Self-Services eingeführt und uns damit bewusst gegen<br />
ein klassisches Intranet, das Informationen allein passiv<br />
zur Verfügung stellt, entschieden.<br />
<strong>IT</strong>M: Was war ausschlaggebend für die Einführung?<br />
Filev: Zuvor hatten wir keine vergleichbare Lösung<br />
im Einsatz, vielmehr haben wir uns mit File-Servern<br />
beholfen. Außerdem sollte das neue Portal von Anfang<br />
an auch den internationalen Austausch verbessern.<br />
<strong>IT</strong>M: Wie gestaltet sich die Länderorganisation?<br />
Maier: Der Hauptsitz der Weleda AG befindet sich im<br />
schweizerischen Arlesheim, wobei die deutschen und<br />
eidgenössischen Standorte von unserer <strong>IT</strong>-Abteilung in<br />
Schwäbisch Gmünd aus betreut werden. Für alle anderen<br />
Gesellschaften – bei denen es sich überwiegend<br />
um kleinere Vertriebsgesellschaften handelt – betreiben<br />
wir nur wenige zentrale Anwendungen. Vielmehr<br />
Die Weleda AG<br />
Im Jahr 1921 begann Weleda als pharmazeutischer Laborbetrieb mit eigenem Heilpflanzengarten.<br />
Heute zählt man zu den weltweit führenden Herstellern von ganzheitlichen<br />
Naturkosmetikprodukten und Arzneimitteln für die anthroposophische Therapierichtung.<br />
Aufgabe des Unternehmens: die Gesundheit des Menschen zu erhalten,<br />
zu fördern und wiederherzustellen.<br />
Das aktuelle Sortiment enthält über 100 Naturkosmetikprodukte und Diätetika. Außerdem<br />
produziert der mittelständische Betrieb 1.100 Fertigarzneimittel. Zur Selbstmedikation<br />
– für Anwendungsgebiete wie Erkältung, Stress und Erschöpfung, Auge und<br />
Haut – gibt es über 90 Arzneimittel. Dabei stellt das Traditionsunternehmen hohe<br />
Qualitätsanforderungen an die Herstellungskette, angefangen bei der Rohstoffqualität.<br />
Die Rohstoffe kommen überwiegend aus biologisch-dynamischen Anbauprojekten<br />
wie dem firmeneigenen Heilpflanzengarten, aus kontrolliert biologischem Anbau oder<br />
zertifizierten Wildsammlungen.<br />
Mitarbeiter: weltweit ca. 2.000, in Deutschland rund 770 Mitarbeiter<br />
Produktionsstandorte: in Schwäbisch Gmünd, in der Schweiz und in Frankreich<br />
Umsatz: 364,3 Mio. Euro (Geschäftsjahr 2<strong>01</strong>4)<br />
<br />
www.weleda.de<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
19
organisation | Titelinterview<br />
Einblick in die Naturkosmetikproduktion: In Schwäbisch<br />
Gmünd werden vor allem Produkte für die Gesichtspflege sowie<br />
Körperöle und Diätetika hergestellt.<br />
20 <strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
titelinterview | organisation<br />
›<br />
agieren deren <strong>IT</strong>-Abteilungen autark und suchen sich eigene<br />
<strong>IT</strong>-Systeme und Dienstleister aus. Das neue Intranet hingegen<br />
war von Anfang an zentral ausgelegt. Es sollte von allen Niederlassungen,<br />
Produktionsstandorten und Mitarbeitern genutzt<br />
werden, weshalb die Lösung zentral von Schwäbisch Gmünd<br />
aus gesteuert wird.<br />
<strong>IT</strong>M: Welche Abteilungen trieben das Projekt voran?<br />
Filev: Der Anstoß kam von Seiten verschiedener Fachbereiche<br />
– insbesondere von der <strong>IT</strong>-Abteilung und von Corporate<br />
Communications. Anschließend haben wir uns verschiedene<br />
Portallösungen angesehen und geprüft. Die Entscheidung fiel<br />
schließlich auf Microsoft Sharepoint, da die Software unsere<br />
Anforderungen an ein Intranet am besten abbilden konnte.<br />
<strong>IT</strong>M: Von welchem Projektzeitrahmen sprechen wir?<br />
Filev: Die Konzeptionsphase startete 2<strong>01</strong>4, dauerte rund ein<br />
Jahr und mündete in der Portaleinführung. Dabei erfolgte der<br />
Projektstart Anfang Mai 2<strong>01</strong>5, im vergangenen November ging<br />
das Portal live.<br />
<strong>IT</strong>M: Inwieweit gab es im Unternehmen bereits Erfahrungen mit<br />
Sharepoint?<br />
Maier: Das Know-how war bereits vorhanden, da wir das System<br />
seit einiger Zeit u.a. für unser Dokumenten-Management nutzen.<br />
<strong>IT</strong>M: Konnten Sie dann einfach die Funktionalitäten des vorhandenen<br />
Systems ausbauen?<br />
Maier: Dies war nicht möglich, da die bislang eingesetzte Version<br />
aus dem Jahr 2007 stammte, sodass so oder so ein umfänglicher<br />
Release-Wechsel anstand.<br />
Filev: Außerdem müssen wir aus Compliance- bzw. Validierungsgründen<br />
alle von uns genutzten Sharepoint-Plattformen<br />
strikt voneinander trennen, um etwa die Vorgaben hinsichtlich<br />
sicherer Zugriffsrechte umsetzen zu können. Von daher basiert<br />
nur das neue Mitarbeiterportal auf Office 365, inklusive Sharepoint<br />
Online und dem sozialen Firmennetzwerk Yammer. Das<br />
Portal, das wir u.a. für das Dokumenten-Management nutzen,<br />
wird nach wie vor auf einem eigenen Server betrieben.<br />
<strong>IT</strong>M: Bei der Nutzung von Office 365 handelt es sich um die<br />
Private-Cloud-Variante – gab es keinerlei Bedenken bezüglich<br />
Datenschutz oder Sicherheit?<br />
Maier: Entsprechend unserer <strong>IT</strong>-Strategie entscheiden wir von<br />
Fall zu Fall, ob eine private Cloud oder On-Premise besser für<br />
unsere Zwecke geeignet ist. Da wir das neue Portal international<br />
ausrichten wollten, war die Private-Cloud-Variante die<br />
bessere Wahl.<br />
In diesem Zusammenhang lagern wir unkritische Aufgaben,<br />
die sich standardisiert verwalten lassen, bewusst an externe<br />
Dienstleister aus. So betreiben wir selbst kein eigenes Rechenzentrum,<br />
sondern lassen unsere <strong>IT</strong>-Systeme innerhalb einer privaten<br />
Cloud von einem externen Dienstleister hosten.<br />
<strong>IT</strong>M: Welche Funktionen des neuen Portals liegen Ihnen besonders<br />
am Herzen?<br />
Filev: Wir konzentrieren uns auf Kommunikation und Zusammenarbeit.<br />
Zudem legen wir großes Augenmerk auf soziale Vernetzung,<br />
sodass sich die Mitarbeiter über das Portal selbstständig<br />
austauschen und gegenseitig helfen können. Daneben haben<br />
wir das Intranet durchgängig in unsere Mobilstrategie integriert<br />
und mit responsivem Design versehen, so dass die Mitarbeiter<br />
von jedem mobilen Endgerät aus darauf zugreifen können.<br />
Maier: Generell geht es uns sowohl um das schnelle Auffinden<br />
benötigter Inhalte als auch um eine effizientere Projektsteuerung<br />
mittels Document Sharing. Nicht zuletzt können die Mitarbeiter<br />
mittels Employee-Self-Services beispielsweise ihre Urlaubstage<br />
selbst beantragen.<br />
<strong>IT</strong>M: Wie findet man relevante Informationen?<br />
Filev: Über die semantische Suche hinaus nutzen wir das Microsoft-<br />
Tool „Delve“. Dieses ermittelt für jeden Mitarbeiter individuell<br />
zugeschnittene Dokumente und Informationen. Hierbei melden<br />
sich die Mitarbeiter mit ihrem Account an und bekommen automatisch<br />
die Unternehmensinhalte bzw. Dateien vorgeschlagen,<br />
die sie auf Basis ihrer Nutzerhistorie interessieren könnten. Das<br />
System ist lernfähig, weshalb man in diesem Zusammenhang<br />
auch von sogenanntem „Machine Learning“ spricht.<br />
Maier: Über intelligente Suchfunktionen hinaus war uns insbesondere<br />
die soziale Vernetzung der Mitarbeiter wichtig. Denn der<br />
Erfolg mittelständischer Unternehmen hängt zunehmend davon<br />
ab, wie schnell sie sich auf veränderte Situationen einstellen können.<br />
Dies funktioniert jedoch nur, wenn Menschen schnell und<br />
effektiv miteinander arbeiten können – über Firmen- und Ländergrenzen<br />
hinweg. Mittels des sozialen Netzwerks im Intranet<br />
fördern wir den Dialog unter Kollegen und sorgen dafür, dass<br />
sie schnell Rückmeldungen auf ihre Anfragen, Vorschläge und<br />
Kommentare erhalten.<br />
„Wir legen großen Wert<br />
auf Kommunikation,<br />
Zusammenarbeit und<br />
soziale Vernetzung, sodass<br />
sich unsere Mitarbeiter<br />
selbstständig über das<br />
neue Portal austauschen<br />
können.“<br />
Vladimir Filev<br />
<strong>IT</strong>M: Wie fällt die Resonanz der Mitarbeiter aus?<br />
Maier: Sehr gut, denn die Inbetriebnahme des Portals ging reibungslos<br />
vonstatten. Wir sind bislang mehr als zufrieden mit der<br />
Akzeptanz und dem Nutzerverhalten.<br />
Filev: Dabei galt auch im Rahmen der Einführung das Motto<br />
„Kommunikation ist Trumpf“: Die Abstimmung im Projektteam,<br />
welches sich aus Weleda-Kollegen, Mitarbeitern unseres Microsoft-<br />
Partners Experts Inside sowie der Intranet-Agentur Hirschtec<br />
zusammensetzte, lief reibungslos. Dabei nutzten wir bereits seit<br />
Beginn der Projektarbeit Yammer, um mit internen und externen<br />
Parteien flüssig kommunizieren zu können.<br />
<strong>IT</strong>M: Demnach haben Sie bereits vor der eigentlichen Inbetriebnahme<br />
des Intranets mit dem sozialen Tool gearbeitet?<br />
Filev: Genau, und dies nicht nur im Projektteam, sondern sogar<br />
schon unternehmensweit. So haben wir letzten Sommer die<br />
Planungen für das gemeinsam mit allen europäischen Kollegen<br />
veranstaltete Mitarbeiterfest über Yammer abgewickelt. Im Projektverlauf<br />
kamen dabei erste Fragen rund um Datenschutz und<br />
›<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
21
organisation | Titelinterview<br />
›<br />
Mitarbeiterakzeptanz auf, deren frühzeitige Beantwortung uns bei<br />
der anschließenden Intranet-Einführung in die Karten spielte. So<br />
konnten wir u.a. folgende Aspekte klären: Inwieweit dürfen sich<br />
die Mitarbeiter Zeit für die Nutzung des sozialen Netzwerks nehmen?<br />
Welche Inhalte dürfen sie veröffentlichen? Worüber dürfen<br />
sie offen kommunizieren? Wie gehen wir mit Cyber-Mobbing um?<br />
Maier: Gemäß unserer Erfahrungen erlauben wir heute sowohl<br />
die geschäftliche als auch private Nutzung des Portals. Mit dieser<br />
Vorgehensweise konnten wir einerseits den Teamgeist und andererseits<br />
die Identifikation der Mitarbeiter mit Weleda stärken. Nicht<br />
zuletzt wollten wir vor der eigentlichen Portaleinführung mit dem<br />
Yammer-Projekt auch Ängste vor neuen Technologien nehmen.<br />
„Wir wollen mit dem Intranet eine<br />
‚Kaffeeküchenkultur‘ fördern. Dennoch<br />
sind sich alle Mitarbeiter bewusst, dass<br />
sie sich in einem Unternehmensnetzwerk<br />
bewegen, in dem peinliche Partybilder<br />
besser nicht veröffentlicht werden.“<br />
Alfons Maier<br />
<strong>IT</strong>M: Gibt es weitere Vorteile?<br />
Maier: Wir beabsichtigten überdies, mit dem Intranet der Bildung<br />
einer Schatten-<strong>IT</strong> zuvorzukommen und zu verhindern, dass<br />
sich Mitarbeiter über Web-Plattformen wie Whatsapp, Dropbox<br />
oder Facebook austauschen. Speziell dafür haben wir nun einen<br />
geschützten firmeninternen Bereich etabliert.<br />
Nicht zuletzt wollen wir mit dem Intranet eine „Kaffeeküchenkultur“<br />
fördern und zum Austausch anregen. Dennoch sind<br />
sich unsere Mitarbeiter bewusst, dass sie sich in einem Unternehmensnetzwerk<br />
bewegen, in dem peinliche Partybilder besser nicht<br />
veröffentlicht werden. Will heißen, im Arbeitsalltag nutzen die<br />
Mitarbeiter das Portal nur begrenzt für private Zwecke.<br />
<strong>IT</strong>M: Wer greift auf das Portal zu?<br />
Maier: Alle Mitarbeiter können darauf zugreifen, selbst diejenigen,<br />
die über keinen eigenen PC-Arbeitsplatz verfügen. Sie können das<br />
Portal über spezielle Terminals nutzen, die wir beispielsweise in<br />
der Produktion und in den Heilpflanzengärten aufgestellt haben.<br />
<strong>IT</strong>M: Welche Regeln wurden den Mitarbeitern für die Nutzung des<br />
sozialen Netzwerkes mit auf den Weg gegeben?<br />
Filev: Es war uns wichtig, dass die Nutzungsrichtlinien zum einen<br />
sehr kurz und zum anderen sehr verständlich gehalten sind, da sie<br />
ansonsten kaum ein Nutzer lesen würde. Vor diesem Hintergrund ›<br />
Der Heilpflanzengarten wird nach den Richtlinien des<br />
biologisch-dynamischen Anbaus bewirtschaftet und besitzt eine<br />
Zertifizierung des Bio-Siegels Demeter.<br />
22<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
titelinterview | organisation<br />
›<br />
haben wir uns bewusst gegen juristische Formulierungen entschieden,<br />
was auch bei unserem Betriebsrat ankam. Dieser wurde seit<br />
Projektbeginn und insbesondere bei der Konzeptionsphase von<br />
Intranet und sozialem Netzwerk sehr stark eingebunden.<br />
<strong>IT</strong>M: Um welche Richtlinien geht es konkret?<br />
Filev: Wir haben Ratschläge für die Zusammenarbeit über das neue<br />
Portal gegeben. So sollen die Mitarbeiter sachlich bleiben und sich<br />
eher kurz fassen. Wichtig ist zudem die Vertraulichkeit nach dem<br />
Motto: „Was in unserem Netz geschieht, bleibt in unserem Netz.“<br />
In diesem Zusammenhang haben wir vorgegeben, dass keinerlei<br />
vertrauliche Informationen im Portal gepostet werden dürfen.<br />
Maier: Insbesondere für unsere Personalabteilung war es wichtig,<br />
das Thema „Mobbing“ anzureißen. Deshalb bitten wir unsere<br />
Mitarbeiter generell, eine respektvolle Kommunikation zu wahren<br />
und sich bei ersten Anzeichen von Cyber-Mobbing an die<br />
Personal- oder Betriebsratskollegen zu wenden.<br />
<strong>IT</strong>M: Welche geldwerten Vorteile versprechen Sie sich von der neuen<br />
Plattform?<br />
Maier: Der betriebswirtschaftliche Wert von Mitarbeiterportalen<br />
lässt sich nur schwerlich bestimmen. Bedenkt man allerdings,<br />
dass kaufmännische Mitarbeiter rund 20 bis 25 Prozent ihrer<br />
Arbeitszeit mit dem Suchen von Informationen beschäftigt sind,<br />
wird klar, welche Vorteile das schnellere Auffinden benötigter<br />
Inhalte mit sich bringen kann. Von daher steigern wir mit dem<br />
Portal langfristig sicherlich die Produktivität unserer Mitarbeiter.<br />
<strong>IT</strong>M: Werden konkrete Workflows abgebildet?<br />
Maier: Es gibt das bereits erwähnte Abwesenheitsmanagement,<br />
in dessen Rahmen die Mitarbeiter ihre Urlaubstage eigenständig<br />
planen. Zudem wollen wir künftig einen Teamkalender sowie die<br />
Entgeltnachweise über das Portal bereitstellen. Denkbar wäre es,<br />
dort das gesamte Backoffice abzubilden.<br />
<strong>IT</strong>M: Ein Blick in die Zukunft: Welche <strong>IT</strong>-Projekte stehen bei Ihnen<br />
über das Portal hinaus in nächster Zeit an?<br />
Maier: Wir beschäftigen uns derzeit intensiv mit Office 365 und<br />
sämtlichen darin enthaltenen Bausteinen. So möchten wir im<br />
Office-Umfeld auf Cloud-Komponenten setzen, um die Zusammenarbeit<br />
weiter zu verbessern und die Mobilität zu stärken.<br />
Filev: Darüber hinaus streben wir nicht nur die Vernetzung innerhalb<br />
der Weleda-Standorte an, sondern auch mit externen Partnern<br />
– wie <strong>IT</strong>-Dienstleistern, Lieferanten und Handelspartnern.<br />
Diese benötigen für den Zugriff auf unser Netzwerk allein einen<br />
Webbrowser.<br />
<strong>IT</strong>M: Mit wie vielen Lieferanten arbeiten Sie in der Produktion<br />
zusammen?<br />
Maier: Dies schwankt hinsichtlich der zu verarbeitenden Rohstoffe.<br />
Momentan benötigen wir mehrere hundert Rohstoffe, sodass wir<br />
mit entsprechend vielen Lieferanten zusammenarbeiten. Dabei<br />
kommen etwa das ätherische Rosenöl u.a. aus der Türkei und der<br />
Sanddorn aus Italien. Da unser Bedarf als auch die Erntevolumina<br />
– z.B. durch Missernten – schwanken können, ist es wichtig, für<br />
kritische Rohstoffe mehrere Lieferanten zu haben.<br />
<strong>IT</strong>M: Stellen die Heilpflanzengärten eine <strong>IT</strong>-freie Zone dar?<br />
Maier: Nein, denn selbst in unseren Gärten laufen sämtliche<br />
Planungen über Software-Programme ab. So werden über das<br />
ERP-System die Bedarfe für das nächste Jahr errechnet und im<br />
Zuge dessen festgestellt, welche Flächen für welche Pflanzenrohstoffe<br />
benötigt werden. Auf unseren Anbauflächen in Schwäbisch<br />
Gmünd, die vollständig auf biologisch-dynamischer Landwirtschaft<br />
basieren, können wir jährlich rund 180 Pflanzensorten<br />
ernten. Das damit verbundene Management lässt sich längst<br />
nicht mehr mit Notizbüchern abdecken.<br />
<strong>IT</strong>M: Wie kann man sich solche Planungen vorstellen?<br />
Filev: Die Herausforderung für unsere Gärtner besteht darin, dass<br />
sie in der Regel zwei Jahre im Voraus planen müssen. Denn im<br />
kommenden Jahr müssen die Pflanzen für die Produktion im<br />
darauffolgenden Jahr angebaut werden.<br />
<strong>IT</strong>M: Gibt es weitere Zukunftspläne?<br />
Maier: Aktuell beschäftigen wir uns mit sämtlichen Aspekten rund<br />
um Multi- bzw. Omni-Channel. Beispielsweise soll die direkte<br />
Kundenkommunikation via Facebook oder Twitter gestärkt werden,<br />
indem wir alle Kundeninformationen zentral vorhalten.<br />
Auf diese Weise können Mitarbeiter aus dem Kundenservice auf<br />
einen Blick sehen, über welchen Kanal die Kunden zuletzt kommuniziert<br />
haben und worum es dabei ging.<br />
Ina Schlücker<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
23
organisation | e-commerce<br />
Bezahlverfahren<br />
im E-Commerce<br />
Worauf<br />
mittelständische<br />
Shop-Betreiber<br />
nicht verzichten<br />
sollten:<br />
Die Auswahl der richtigen<br />
Bezahlmethoden, mobile<br />
Optimierung und Internationalisierung<br />
sind drei Themen, an<br />
denen Online-Händler heute<br />
nicht vorbeikommen.<br />
Mobile Optimierung ist<br />
angesichts der wachsenden<br />
Zahl von mobilen Shoppern<br />
ein Muss. Sind Shop-Seiten<br />
schlecht oder gar nicht mobil<br />
optimiert, führt dies häufig<br />
zu Kaufabbrüchen.<br />
Internationalisierung, d.h.<br />
der Vertrieb und Verkauf<br />
über Ländergrenzen hinweg,<br />
bietet ein großes Wachstumspotential<br />
für Händler. In so<br />
manchem Auslandsmarkt<br />
kann eine ungeahnt hohe<br />
Nachfrage für die vom Online-<br />
Händler angebotenen Waren<br />
bestehen. Diese zusätzlichen<br />
Absatz- und Umsatzmöglichkeiten<br />
sollten sich Händler<br />
nicht entgehen lassen.<br />
Quelle: Paypal<br />
24<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
e-commerce | organisation<br />
Auf die<br />
Auswahl<br />
kommt es an<br />
Für Einzelhändler sind<br />
Webshops längst Pflicht,<br />
wird doch auf diesem Kanal ein nicht unerheblicher Teil<br />
des Umsatzes generiert. Doch für einen erfolgreichen<br />
Kaufabschluss ist oftmals das Bezahlverfahren – von denen<br />
es nicht wenige gibt – entscheidend.<br />
Kundenerwartungshaltung und<br />
Verwaltungsaufwand stehen sich bei<br />
dieser Entscheidung gegenüber.<br />
ezahlverfahren – Neudeutsch Payment-<br />
Lösungen – sind in den letzten Jahren für Webshop-<br />
Betreiber sowohl hinsichtlich der schieren Menge als<br />
auch in Bezug auf den administrativen Aufwand und<br />
die Risikoeinschätzung eine recht komplexe Angelegenheit<br />
geworden. Auf der einen Seite tummelt<br />
sich ein gutes Dutzend verschiedener Verfahren<br />
und Anbieter, auf der anderen Seite stehen spezielle<br />
Dienstleister – Payment-Service-Provider (PSP) –, die entsprechende<br />
Technik in diese Shop-Systeme integrieren.<br />
Vertrauen spielt beim Zahlungsprozess eine wichtige Rolle, da<br />
zumeist eine zeitliche Verzögerung von Lieferung und Bezahlung<br />
besteht. Die angebotenen Bezahlverfahren sind daher aus Kundensicht<br />
ein wichtiges Kriterium. So belegt die Studie „Payment im<br />
E-Commerce Vol. 19 – Der Internetzahlungsverkehr aus Sicht der<br />
Händler und Verbraucher“ des ECC Köln, dass 53,7 Prozent der<br />
Online-Shopper schon einmal einen Kauf abgebrochen haben, weil<br />
die von ihnen bevorzugte Zahlungsmethode nicht verfügbar war.<br />
„Kunden haben persönliche Präferenzen bei den Zahlungsarten<br />
und wechseln oft zu anderen Online-Shops, wenn das Angebot<br />
vergleichbar und die gewünschte Zahlungsart angeboten wird“,<br />
›<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
25
organisation | e-commerce<br />
›<br />
weiß Artur Schlaht, CEO von Payever. Dies<br />
ist eine wichtige, wenn auch nicht unbedingt<br />
neue Information. Die reibungslose<br />
Abwicklung des Check-out-Prozesses – der<br />
virtuellen Kasse – ist also ein kritischer<br />
Erfolgsfaktor im elektronischen Handel, bei<br />
dem der Betreiber vor der Herausforderung<br />
steht, einerseits Kundenpräferenzen gegen<br />
Verwaltungsaufwand und andererseits Kosten<br />
und Zahlungssicherheit gegeneinander<br />
abzuwägen. „Generell ist es sinnvoll,<br />
Wettbewerber mit einem vergleichbaren<br />
Produktangebot anzusehen und die Auswahl<br />
entsprechend anzubieten“, rät Artur<br />
Schlaht. Denn jede Implementierung ist<br />
mit finanziellem, zeitlichem und technischem<br />
Aufwand verbunden.<br />
Hilfreich kann es sein, sich zunächst<br />
Gedanken darüber zu machen, welches<br />
Verfahren von der Käufergruppe präferiert<br />
wird und mit welchem Angebot sich<br />
Zahlungsverzögerungen oder gar Ausfälle<br />
gering halten lassen. Auch entstehende<br />
Kosten auf Händlerseite spielen eine Rolle.<br />
Denn neben den anfänglichen Implementierungsgebühren<br />
fallen ggf. Lizenzkosten,<br />
transaktionsbasierte Kosten oder<br />
Nutzungsgebühren an. Allerdings: „Wichtiger<br />
als eine Ersparnis bei den Gebühren<br />
ist sicherlich die Akzeptanz des jeweiligen<br />
Bezahlverfahrens bei den bestehenden und<br />
künftigen Kunden des jeweiligen Online-<br />
Händlers“, rät Volker Steinle, Country<br />
Manager Deutschland Adyen.<br />
Eingesetzte<br />
Zahlungsverfahren<br />
beim letzten Online-Einkauf<br />
Paypal<br />
23,9 %<br />
Rechnung<br />
23,5 %<br />
Lastschrift<br />
21,9 %<br />
Kreditkarte<br />
16,6 %<br />
Amazon Payments<br />
4,3 %<br />
Vorkasse<br />
4,3 %<br />
Sofort-Überweisung<br />
2,5 %<br />
Finanz-/Ratenkauf<br />
1,0 %<br />
Nachnahme<br />
0,6 %<br />
Barzahlung bei Abholung<br />
0,4 %<br />
Click & Buy<br />
0,3 %<br />
Giropay<br />
0,3 %<br />
Prepaid-Karte<br />
0,2 %<br />
Sonstige<br />
0,2 %<br />
Quelle: EEC Köln, 2<strong>01</strong>5<br />
Breite Auswahl gewünscht<br />
Im Versandhandel haben nach wie vor die<br />
klassischen Zahlungsvarianten Tradition.<br />
Laut ECC-Studie zählen dazu Überweisung<br />
bzw. Rechnung, Paypal, Lastschrift<br />
und die Zahlung per Kreditkarte. Wobei<br />
die Vorliebe der Käufer je nach Markt<br />
und Branche sowie nach Produkt, Kontext<br />
(B2B, B2C), Zielgruppenaffinität und<br />
dem verwendeten Endgerät schwankt.<br />
„Wichtiger als eine gewisse<br />
Ersparnis bei den Gebühren ist<br />
die Akzeptanz des jeweiligen<br />
Bezahlverfahrens.“<br />
Volker Steinle, Country Manager Deutschland Adyen<br />
Auch subjektive Kriterien wie<br />
das Empfinden von Sicherheit,<br />
zusätzlichen Kosten, Schnelligkeit<br />
oder Nutzerfreundlichkeit haben Auswirken<br />
auf die Entscheidung der Kunden. Die<br />
zur Verfügung stehenden Optionen sollten<br />
aufgrund der Relevanz für den Kunden<br />
frühzeitig im Kaufprozess sichtbar sein.<br />
„Der Händler mag für ihn ungünstige Zahlungsmethoden<br />
entsprechend behandeln,<br />
z.B. durch die Reihenfolge oder indem er<br />
die Gebühren separat aufweist“, schlagen<br />
die IBM-Technical-Sales-Experten Werner<br />
Trapp und Michael Heesen vor.<br />
Aktuell scheint es kein Zahlungsverfahren<br />
zu geben, das Kunden<br />
und Shop-Betreiber<br />
gleichermaßen<br />
zufriedenstellt, von<br />
einem allgemeingültigen<br />
Standard ganz zu<br />
schweigen. Daher tummelt<br />
sich nicht selten<br />
ein halbes Dutzend an<br />
Auswahlmöglichkeiten<br />
am Ende eines Warenkorbs.<br />
„Nach unseren Erfahrungen sollten<br />
fünf bis sieben Zahlungsmethoden angeboten<br />
werden“, raten die IBM-Experten.<br />
Neben dem Standardangebot von Rechnung,<br />
Lastschrift und Kreditkartenzahlung<br />
sind auch Online-Bezahlsysteme<br />
unverzichtbar geworden. Die Vielfalt an<br />
Internet-Zahlmethoden ist eine deutsche<br />
Besonderheit, die für Händler und Kunden<br />
sowohl eine Herausforderung als auch eine<br />
Chance darstellt. Vor allem kleine und<br />
mittelständische Unternehmen sollten die<br />
Auswahl anhand bestimmter Aspekte eingrenzen.<br />
Müssen beispielsweise für internationale<br />
Kunden länderspezifische Zahldienste<br />
sowie die jeweilige Währung und<br />
Steuersätze berücksichtigt werden? Und wie<br />
hoch dürfen die Kosten bzw. Gebühren ausfallen,<br />
sodass das Zahlverfahren rentabel<br />
ist? „Shop-Betreiber sollten darauf achten,<br />
dass sie ihren internationalen Kunden die<br />
lokalen Bezahlmethoden in lokaler Währung<br />
anbieten und darüber hinaus auch das<br />
Einkaufserlebnis an kulturelle Vorlieben<br />
anpassen“, fasst Volker Steinle zusammen.<br />
Für Kunden hat die große Auswahl den<br />
positiven Aspekt, dass z.B. der Ratenkauf<br />
im Internet möglich wird und sich so auch<br />
größere Wünsche dann realisieren lassen,<br />
wenn das nötige Kleingeld gerade nicht<br />
vorhanden ist.<br />
›<br />
26<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
e-commerce | organisation<br />
›<br />
Anstatt jedes Zahlverfahren einzeln in den<br />
Online-Shop zu integrieren und um gleichzeitig<br />
die Abwicklung der Transaktionen<br />
aus den unterschiedlichen Bezahlverfahren<br />
zu vereinfachen, kann ein Payment-<br />
Service-Provider (PSP) angebunden werden.<br />
Dieser fungiert als Schnittstelle und<br />
unterstützt die technische Anbindung<br />
eines Online-Shops an mehrere Zahlungsdienstleister.<br />
Auf diese Weise kann der<br />
Händler selten in Anspruch genommene<br />
Bezahlvarianten unkompliziert abschalten.<br />
Oder neue Anbieter, wie beispielsweise<br />
Paydirekt (siehe S. 28), hinzuschalten. Mit<br />
wenig Aufwand lässt sich so herausfinden,<br />
welche Methode von den Käufern bevorzugt<br />
wird, und das Portfolio entsprechend<br />
anpassen.<br />
Schutz vor Zahlungsausfällen<br />
Darüber hinaus umfasst das Portfolio dieser<br />
Provider zusätzliche Angebote wie<br />
Betrugsprävention oder Inkassoleistungen,<br />
wodurch das Risiko von Zahlungsausfällen<br />
auf Unternehmensseite reduziert<br />
werden kann. Denn in der Regel trägt der<br />
„Kunden haben persönliche Präferenzen<br />
bei den Zahlungsarten und<br />
wechseln oft zu anderen Online-Shops,<br />
wenn das Angebot vergleichbar und die gewünschte<br />
Zahlungsart angeboten wird.“ Artur Schlaht, CEO von Payever<br />
Online-Händler das Risiko bei<br />
Zahlungsausständen, wenn eine Rechnung<br />
nach Wareneingang nicht beglichen oder<br />
die Lastschrift vom Kunden zurückgebucht<br />
wird. Die dadurch entstehenden Kosten für<br />
Inkasso- und Mahnverfahren erschweren<br />
nicht nur die Preiskalkulation, sondern<br />
sind auch eine lästige sowie zeitaufwendige<br />
Angelegenheit und können das Geschäft<br />
unrentabel machen.<br />
Eine weitere Möglichkeit zur Minimierung<br />
der Zahlungsausfälle ist, die zur Auswahl<br />
stehenden Bezahlarten für jede Bestellung<br />
abhängig vom Kunden und dessen Warenkorb<br />
zu steuern. Zwischen der Eingabe der<br />
Rechnungsadresse und der Zahlungsseite<br />
im Bestellprozess erfolgt in Echtzeit eine<br />
Adress- und Risikoprüfung. Entsprechend<br />
der Einstufung der vorliegenden Bestellung<br />
kann eine Einschränkung der verfügbaren<br />
Zahlarten vorgenommen werden. So kann<br />
es passieren, dass Kunden mit geringer<br />
Bonität etwa der Rechnungskauf verwehrt<br />
wird. Die Höhe der Ablehnungsquote ist<br />
abhängig von verschiedenen unternehmensspezifischen<br />
Kriterien und kann mitunter<br />
auch zu Umsatzverlusten führen.<br />
Wie die Anbindung des Payment-Service-<br />
Providers an den Webshop erfolgt, hängt<br />
davon ab, ob die Zahlungsdetails im Webshop<br />
oder beim PSP eingegeben werden.<br />
Bei ersterem ist eine SSL-Verschlüsselung<br />
sowie eine PCI-Zertifizierung – der Payment<br />
Card Industry Data Security Standard ist<br />
›<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
27
organisation | e-commerce<br />
auf breiter Front?<br />
Paydirekt heißt der Versuch deutscher<br />
Banken und Sparkassen, mit<br />
einem institutsübergreifenden Online-Bezahlverfahren<br />
der Konkurrenz Paroli zu bieten.<br />
Das Gemeinschaftsprojekt sieht vor, dass künftig<br />
alle Kunden mit einem Girokonto – sofern<br />
es für Online-Banking freigeschaltet – Zugang<br />
zu Paydirekt erhalten. Auf die Hälfte der 100<br />
Millionen Girokonten im Land trifft dies zu.<br />
Kunden müssen sich einmalig registrieren<br />
und einen Benutzernamen sowie ein Passwort<br />
wählen. Mit diesen Angaben wird dann<br />
der spätere Bezahlschritt abgeschlossen.<br />
„Der große Vorteil dabei: Daten wie z.B. die<br />
Kontonummer bleiben in sicherer Bankumgebung,<br />
es gibt keinen zwischengeschalteten<br />
Drittanbieter und es besteht jederzeit volle<br />
Transparenz der Zahlungen“, so Dr. Niklas<br />
Bartelt, Geschäftsführer von Paydirekt. Der<br />
Zahlungsablauf findet also unmittelbar zwischen<br />
Bank und Händler statt. Das Kreditinstitut<br />
prüft, ob der Kunde zahlungsfähig ist,<br />
durch eine Bestätigung erhält der Händler<br />
mehr Sicherheit in Bezug auf Zahlungsausfälle.<br />
Aktuell ist eine Eins-zu-Eins-Beziehung vorgesehen,<br />
das bedeutet, der Paydirekt-Account<br />
lässt sich nur mit einem Konto verbinden. Um<br />
ein weiteres Konto nutzen zu können, ist also<br />
ein zweiter Nutzer-Account notwendig. Kreditkarten<br />
werden bislang nicht berücksichtigt.<br />
Über die Paydirekt-App (verfügbar für Android<br />
und iOS) wird der Nutzer via Push-Nachricht<br />
über seine Online-Einkäufe informiert –<br />
Transaktionen sind in Echtzeit einsehbar.<br />
Laut Bundesverband der Deutschen Volksbanken<br />
und Sparkassen (BVR) bieten derzeit 950<br />
Volks- und Raiffeisenbanken den Bezahldienst<br />
an. Das klingt zunächst nach einer gelungenen<br />
Einführung. Allerdings bedarf es insgesamt<br />
dreier Akteure, die für den Erfolg verantwortlich<br />
sind: Neben den teilnehmenden Banken nämlich<br />
auch Kunden, die sich für diese Zahlungsvariante<br />
registrieren und sie beim Online-Kauf<br />
tatsächlich anwenden, sowie Händler, die diese<br />
Option überhaupt anbieten. Und an eben jenen<br />
mangelt es derzeit noch. Aktuell (Stand Anfang<br />
Januar) haben gerade einmal 20 Händler Paydirekt<br />
als Zahlungsart aufgenommen. Trotzdem<br />
sprich Niklas Bartelt von positivem Feedback.<br />
„Unsere Bankpartner führen eine Vielzahl von<br />
Gesprächen mit ihren Händlerkunden du es<br />
„Mit den bislang<br />
beteiligten Banken<br />
haben wir ca. 95<br />
Prozent der deutschen<br />
Kreditinstitute an Bord.<br />
Das schließt die<br />
Sparkassen ein“,<br />
so Geschäftsführer<br />
Dr. Niklas Bartelt.<br />
gibt durchaus Interesse an<br />
unserem System. Die Vorteile<br />
sprechen für sich, wir sind<br />
deshalb sicher, im Laufe dieses<br />
Jahres unser Händlerspektrum<br />
deutlich erweitern zu können.“<br />
Hinderlich könnte zudem die<br />
Entscheidung des Kartellamts<br />
sein, die, um Preisabsprachen<br />
zu verhindern, den Banken<br />
untersagt, gemeinsam einheitliche<br />
Händlerkonditionen zu<br />
bieten. So muss jeder Online-<br />
Händler mit (s)einer Bank die<br />
jeweiligen Preise aushandeln.<br />
Die Erfolgsaussichten sind<br />
zwiegespalten: Auf der einen<br />
Seite ist das theoretische<br />
Nutzerpotential durch die vorhandenen<br />
Girokonten groß<br />
und auch preislich könnte<br />
Paydirekt für Händler attraktiv<br />
sein. Auf der anderen Seite<br />
müssen Online-Käufer von<br />
ihrem gewohnten Zahlverfahren<br />
Abstand nehmen. Hinzu<br />
kommt, dass es bislang keinen<br />
gemeinschaftlichen Markenauftritt<br />
gegeben hat, hier ist<br />
wohl jeder Teilnehmer selbst<br />
gefragt, aktiv für das neue<br />
Angebot zu werben. Dass<br />
ein Mindestmaß an Werbung<br />
jedoch wichtig ist, konnte<br />
bei zahlreichen gescheiterten<br />
Anbietern – jüngstes Beispiel<br />
Yapital der Otto-Gruppe –<br />
beobachtet werden.<br />
Kathrin Zieblo<br />
›<br />
der von der Kreditkartenindustrie festgelegte<br />
Datensicherheitsstandard – notwendig. Denn<br />
die Zahlungsdetails werden erst bei Abschluss<br />
der Bestellung an den PSP gesendet. Die Alternative<br />
besteht darin, den Kunden auf die Seite<br />
des PSP (ohne optischen Bruch) weiterzuleiten.<br />
Der Webshop selbst benötigt dann keine<br />
SSL-Verschlüsselung und muss auch nicht PCIfähig<br />
sein, da der Händler nicht mit den sensiblen<br />
Zahlungsdaten in Berührung kommt.<br />
Zudem ist es „ratsam, die Payment-Service-<br />
Provider über ein Payment Gateway anzubinden.<br />
Damit erreicht der Händler ein Entkoppeln<br />
seines Shops von Acquirer bzw. dem<br />
PSP. Es gibt nur noch eine Schnittstelle zum<br />
Check-out anstatt zu jedem einzelnen Provider.<br />
Das Hinzufügen einer weiteren Zahlungsmethode<br />
bzw. Änderungen beim Dienstleister<br />
erfordern keine oder eine nur sehr geringe<br />
Änderung im Shop“, so die IBM-Techniker<br />
Trapp und Heesen.<br />
Beinahe-Einkäufe verhindern<br />
Jedes Bezahlverfahren hat seine Vor- und<br />
Nachteile, das einzig Richtige gibt es nicht.<br />
Dennoch scheint es, als komme ein Online-<br />
Händler nicht um die Rechnung herum. Stellt<br />
sie auf der einen Seite ein gewisses Risiko dar,<br />
ist sie auf der anderen Seite eine zuverlässige<br />
Möglichkeit, die Kaufabbruchrate zu senken.<br />
Trotzdem freut den Kunden eine große Auswahl<br />
und die präferierte Zahlungsvariante<br />
vorzufinden erhöht die Chance auf einen<br />
Kaufabschluss. Doch bei aller Rücksichtnahme<br />
auf die individuellen Zahlungswünsche müssen<br />
nicht um jeden Preis sämtliche möglichen<br />
Bezahlvarianten angeboten werden. Kosten,<br />
Sicherheit und Kundenakzeptanz gilt es gegeneinander<br />
abzuwägen, wobei die Kombination<br />
aus mehreren Verfahren die Abbruchquote auf<br />
nahezu null reduzieren kann.<br />
Kathrin Zieblo<br />
28<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
e-commerce | organisation<br />
Kivanta steht für „Gesund<br />
Leben“. Der Spezialhändler<br />
für qualitätsgeprüfte<br />
Trinkflaschen und Brotdosen<br />
aus reinem Edelstahl hat es sich<br />
zur Aufgabe gemacht, Lebensmittelaufbewahrungen<br />
ohne<br />
Schadstoffe anzubieten.<br />
Die Geschichte begann, als<br />
Gründerin Nathalie Rau bei<br />
der Suche nach einer Kinderflasche<br />
für ihren Sohn auf die<br />
Edelstahlflaschen der Marke<br />
Klean Kanteen stieß, die nur<br />
in den USA vertrieben wurden.<br />
Die Flaschen überzeugten nicht<br />
nur die Familie, sondern auch<br />
Freunde und Bekannte, sodass<br />
mit der Zeit immer größere<br />
Mengen aus Übersee importiert<br />
wurden. So entstand 2<strong>01</strong>1<br />
der Online-Shop Kivanta.de.<br />
Heute bietet das Kleinunternehmen<br />
schadstofffreie Produkte<br />
vieler Marken sowie die eigene<br />
Marke „Kivanta“ an und beliefert<br />
bereits rund 30.000 Kunden.<br />
Shop für schadstofffreie Produkte<br />
Auf Wachstumskurs<br />
Eine „Out of the Box“-Shop-Lösung aus der Cloud konnte beim Versandhändler für<br />
schadstofffreie Lebensmittelaufbewahrung nicht mit dem Wachstum mithalten.<br />
Nathalie Rau gründete gemeinsam mit ihrem Mann<br />
den Online-Shop Kivanta.de, auf dem u.a. die gleichnamige<br />
Eigenmarke verkauft wird.<br />
„Out of the Box“-Lösung<br />
war nicht geeignet<br />
Bei der Gründung setzte<br />
Nath-alie Rau zunächst auf<br />
einen internationalen Anbieter<br />
von Online-Shops in der Cloud.<br />
„Die Tatsache, dass das Shop-<br />
System eine ‚Out of the Box‘-<br />
Lösung war, wurde bei unseren<br />
Wachstumsplänen hinderlich.<br />
Ich wollte individuellere Funktionen,<br />
um das Kundenerlebnis<br />
Unter dem Motto „Gesund Leben“ vertreibt<br />
der Online-Shop Trinkflaschen und Brotdosen<br />
aus reinem Edelstahl.<br />
im Shop zu verbessern. Diese<br />
Wunschfunktionen setzte ich<br />
irgendwann auf eine rund<br />
90 Punkte umfassende Funktionsliste<br />
und legte sie dem<br />
Anbieter vor“, berichtet sie.<br />
Da die große Zahl der Wünsche<br />
mit der genutzten Version<br />
nicht umsetzbar war, suchte<br />
die Händlerin nach einer flexibleren<br />
Lösung. Parallel wuchs<br />
auch das Bedürfnis nach einer<br />
Warenwirtschaft zur besseren<br />
Abwicklung der Bestellungen –<br />
mit Anbindung an das neue<br />
Shopsystem.<br />
Fündig wurde Nathalie Rau<br />
bei JTL-Software, die ein Komplettsystem<br />
aus Warenwirtschaft<br />
und hauseigener Shop-<br />
Lösung sowie eine integrierte<br />
Schnittstelle zu Amazon bieten<br />
konnten.<br />
Kivanta.de<br />
Branche: Haushaltswaren<br />
Gründungsjahr: 2<strong>01</strong>2<br />
Mitarbeiter: 5<br />
Standort: Weilburg<br />
Sortiment: Schadstofffreie<br />
Produkte zum gesunden<br />
Trinken und Aufbewahren von<br />
Lebensmitteln sowie Spielzeuge<br />
und Textilien<br />
<br />
www.kivanta.de<br />
Da die technische Umsetzung<br />
nicht alleine von dem Gründerehepaar<br />
gestemmt werden<br />
wollte, suchten sie nach<br />
einem E-Commerce- und Shop-<br />
Experten und wurden auf<br />
Henryk Lippert von Solution<br />
360 GmbH aufmerksam. Der<br />
Berater unterstützte die beiden<br />
zusammen mit der Dresdner<br />
Agentur Kreativkonzentrat<br />
beim Systemwechsel.<br />
Programmierkenntnisse<br />
nicht notwendig<br />
„Die von Kreativkonzentrat<br />
entwickelte Droplet-Architektur<br />
hatte mich beeindruckt.<br />
Damit kann ich im Shop selbst<br />
sämtliche Inhalte ohne große<br />
Programmierkenntnisse austauschen.<br />
Alle Inhalte sind individuell<br />
und einfach anpassbar<br />
sowie an jeder Stelle des Shops<br />
positionierbar. Dieses Konzept<br />
kommt meinem Wunsch<br />
nach mehr Gestaltungsspielraum<br />
entgegen“, sagt die<br />
Unternehmerin.<br />
„In dem Projekt gab es neben<br />
der Datenmigration besonders<br />
eine Herausforderung: Kivanta<br />
arbeitet mit einem Fulfillment-<br />
Dienstleister, der alle Versandaufgaben<br />
übernimmt. Um<br />
einen reibungslosen Ablauf<br />
von der Bestellung bis zum<br />
Versand sicherzustellen, wurde<br />
von uns eine vollautomatische<br />
Schnittstelle zu dem Dienstleister<br />
entwickelt. Dadurch werden<br />
die Bestellungen aus der<br />
Warenwirtschaft nach erfolgreichem<br />
Zahlungseingang an<br />
den Dienstleister übermittelt<br />
und Bestandsrückmeldungen<br />
sowie Versand-Tracking hinterlegt“,<br />
ergänzt Henryk Lippert.<br />
Das Ehepaar Rau ist stolz auf<br />
ihren Shop und plant die Migration<br />
auf die neue Wawi 1.0<br />
sowie die Umstellung auf JTL-<br />
Shop 4. Die für mobile Geräte<br />
optimierte Darstellung wird<br />
dann full-responsive. So können<br />
Käufer auch vom Smartphone<br />
oder Tablet aus schadstofffreie<br />
Trinkflaschen und<br />
Brotdosen kaufen, vielleicht<br />
sogar direkt aus der Natur.<br />
Frank Bärmann<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
29
organisation | e-commerce<br />
Einheitlicher Markenauftritt<br />
Zentrales<br />
Marketing für<br />
Plüschtiere<br />
Daniel Barth, Geschäftsführer der Margarete<br />
Steiff GmbH, berichtet von der Software-<br />
Einführung für einen kanalübergreifenden,<br />
einheitlichen Markenauftritt des Unternehmens<br />
<strong>IT</strong>M: Herr Barth, kürzlich haben Sie sich für eine<br />
Marketing-Resource-Management-Software (MRM)<br />
entschieden. Warum war dies aus Ihrer Sicht notwendig?<br />
Daniel Barth: Die Einhaltung eines einheitlichen Markenauftritts<br />
und einer konsistenten Produktkommunikation<br />
wird aufwendiger. Das liegt daran, dass die<br />
Anzahl der Kanäle immer größer und Vertriebsmodelle<br />
komplexer werden. Damit wachsen auch die Anforderungen<br />
an die <strong>IT</strong>, da die meisten Marketing- und<br />
Vertriebsprozesse heute <strong>IT</strong>-gestützt ablaufen. Wir setzen<br />
die Lösung von Frinch als zentrales System zum<br />
Verwalten von Media Assets, Marketing- und Produktinformationen<br />
sowie der damit verbundenen<br />
Prozesse und Workflows ein. Durch die Konsolidierung<br />
auf eine zentrale Plattform profitieren wir von<br />
geringen Prozesskosten sowie der Optimierung der<br />
Marketing-Aktivitäten.<br />
<strong>IT</strong>M: Welche Aufgaben übernimmt die Software?<br />
Barth: Das MRM führt Produktdaten sowie Marketing-<br />
Materialien aus unterschiedlichen Systemen zentral<br />
zusammen und stellt sie für den Webshop, das Händlerportal<br />
oder den Vertrieb bereit. Als „Single Point of<br />
Administration“ verwaltet es Materialien wie Kataloge<br />
und Vertriebsflyer sowie die Produktinformationen für<br />
den Onlineshop. Die Software löste nicht nur unser<br />
bisheriges Product Information Management (PIM)<br />
ab, es steuert beispielsweise auch die Produktgruppengliederung<br />
(Shop Tree) und konsolidiert nachgelagerte<br />
Prozesse wie die Produktkategorisierung oder<br />
Cross-Selling-Empfehlungen. Diese Daten ergeben<br />
zusammen mit den Produktinformationen wie Größe,<br />
Farbe und Artikelnummer aus zwei ERP-Systemen (SAP<br />
und Futura) die Gesamtdarstellung eines Produktes.<br />
<strong>IT</strong>M: Also ein Werkzeug für das Online-Marketing?<br />
Barth: Nein, nicht nur. Für das Offline-Marketing stellt<br />
das MRM die Medien- und Bilddatenbank zur Verfügung<br />
und steuert den Veröffentlichungsprozess bei der<br />
Erstellung von Marketing-Hilfsmitteln wie Handouts<br />
für den Vertrieb, Produktflyer oder Kataloge. Hierfür<br />
stehen den Mitarbeitern Templates zur Verfügung, mit<br />
denen sie Verkaufsunterlagen zusammenstellen und<br />
aufbereiten können, ein sogenanntes On-demand<br />
Product Information Publishing. Über ein Indesign-<br />
Plugin haben wir auch externe Grafikdienstleister in<br />
den Publishing-Prozess eingebunden.<br />
Margarete<br />
Steiff GmbH<br />
Gründung: 1880<br />
Standort: Giengen an<br />
der Brenz<br />
Branche: Plüsch- und<br />
Spielwaren<br />
Mitarbeiter: 1.320<br />
(Stand 2009)<br />
<br />
www.steiff.com<br />
Die Margarete Steiff GmbH ist für ihre Plüschtiere<br />
mit dem Knopf im Ohr auf der ganzen Welt bekannt.<br />
„Auch für das Offline-Marketing<br />
stellt das MRM die Medien- und<br />
Bilddatenbank zur Verfügung und<br />
steuert den Veröffentlichungsprozess<br />
bei der Erstellung von<br />
Marketing-Hilfsmitteln wie<br />
Handouts für den Vertrieb,<br />
Produktflyer oder Kataloge.“<br />
Daniel Barth, Geschäftsführer der Margarete Steiff GmbH<br />
<strong>IT</strong>M: War die Software-Auswahl im Nachhinein betrachtet<br />
die richtige?<br />
Barth: Absolut, wir haben unser Ziel erreicht. Heute<br />
arbeiten wir mit einer crossmedialen Datentransparenz<br />
– von den Rohdaten bis zum angereicherten Content,<br />
vom Printprodukt über das Händlerportal bis hin<br />
zum E-Shop. Dabei hilft uns beispielsweise das Modul<br />
„Share“, eine integrierte Datenaustauschlösung.<br />
Sie ermöglicht uns eine automatisierte<br />
Aufbereitung unserer Produktdaten und Media<br />
Assets sowie einen durchgängigen Workflow.<br />
Da gingen in der Vergangenheit, beispielsweise<br />
beim Saisonwechsel, viele E-Mails zwischen<br />
allen Beteiligten hin und her, wurden Bilder<br />
händisch aufbereitet, mit Metadaten versehen<br />
und online gestellt. Entsprechend hoch waren<br />
der Abstimmungsaufwand und die Fehleranfälligkeit<br />
im Sinne einer einheitlichen Produktund<br />
Markenkommunikation.<br />
Kathrin Zieblo<br />
30<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
e-commerce | organisation<br />
Online-Kunden: Die Spreu vom Weizen trennen<br />
Intelligente<br />
Betrugsabwehr<br />
Vier Jahre nach der Eröffnung des Online-Shops<br />
Westwing Home & Living geriet der Stilexperte<br />
mit ansteigenden Warenkorbwerten zunehmend<br />
in das Visier von Betrügern.<br />
Zwar hatte das Unternehmen<br />
bereits ein Betrugspräventionssystem<br />
eingerichtet,<br />
doch gab es dabei Probleme:<br />
Bei der Sperrung betrügerischer<br />
Transaktionen bestand<br />
die Gefahr, auch legitime Käufer<br />
zu sperren („False Positives“).<br />
Ohne Erkenntnisse darüber,<br />
wer die Betrüger waren,<br />
konnte kaum zwischen den<br />
beiden unterschieden werden.<br />
Dadurch stieg die risikobedingte<br />
Ablehnungsquote auf zwölf Prozent<br />
an. Benötigt wurde eine<br />
Lösung, die zwischen potentiellen<br />
Verbrechern und legitimen<br />
Kunden unterscheiden kann,<br />
um die Quote zu reduzieren,<br />
ohne Betrugsfälle zu riskieren.<br />
Risikobedingte<br />
Ablehnungsquote<br />
gesenkt<br />
Hilfe bot der Zahlungsdienstleister<br />
Ayden, der bereits seit<br />
Lauch des Webshops<br />
die Zahlungsabwicklung<br />
betreut,<br />
mit seiner integrierten<br />
Risikomanagement-Lösung<br />
Revenueprotect.<br />
Aufgrund seiner Position als<br />
Acquirer kann die Software<br />
des Anbieters auf eine große<br />
Datenmenge aus Kartensystemen<br />
zurückgreifen, um das Risikoniveau<br />
jeder Transaktion zu<br />
beurteilen. Diese Daten werden<br />
zusammen mit Algorithmen<br />
und Kriterien, die sich speziell<br />
auf das Geschäftsmodell von<br />
Westwing beziehen, verwendet,<br />
um Betrug vorzubeugen.<br />
Der Grundpfeiler der Lösung<br />
ist ShopperDNA, ein dynamischer<br />
transaktionsverbindender<br />
Algorithmus, mit dem der<br />
Wohnexperte Betrüger über verschiedene<br />
Geräte, Netzwerke<br />
und Online-Personas hinweg<br />
verfolgen kann. Mithilfe von<br />
Geräte- und Benutzereigenschaftenerkennung<br />
ermöglicht das System<br />
Einblicke in das<br />
Verhalten von Kriminellen<br />
und echten<br />
Kunden, sodass<br />
sich verdächtige<br />
Vorgänge in Echtzeit<br />
erkennen und<br />
sperren lassen.<br />
Westwing Home &<br />
Living GmbH<br />
Gründung: 2<strong>01</strong>1<br />
Sitz: München<br />
Branche: Möbel und Wohnaccessoires<br />
(E-Business)<br />
<br />
www.westwing.de<br />
„Durch die Fähigkeit des Risikomanagements, Käufer<br />
in Echtzeit zu beobachten, können wir Betrug nun<br />
effizient bekämpfen, ohne unsere ehrlichen Kunden<br />
am Kauf zu hindern. Dadurch ist unsere risikobedingte<br />
Ablehnungsquote auf 0,2 Prozent gesunken“, berichtet<br />
Shejn Tahirsylaj, Senior Payment & Project Manager<br />
von Westwing. Zudem spart das Unternehmen Zeit bei<br />
der bisher notwendigen manuellen Prüfung internationaler<br />
Transaktionen. Die Risikoanalyse verwendet<br />
nun eine Kombination aus maschinellem Lernen und<br />
vorab festgelegten Kriterien, die auf Erkenntnissen<br />
vorhandener Kundendaten beruhen. „Die Software<br />
hat einen zuvor manuellen Prozess automatisiert<br />
und erspart uns so eine Menge<br />
Zeit. Dadurch konnten wir unsere manuellen<br />
Prüfungen um 30 Prozent senken.<br />
Zudem haben wir die volle Kontrolle über<br />
das System und gestalten dieses nach eigenem Ermessen“,<br />
ergänzt Shejn Tahirsylaj.<br />
Minimierung der Ablehnungsquoten<br />
Verbunden mit zahlreichen Kartensystemen bietet<br />
Adyen Einblicke in Zahlungsdaten und die Gründe für<br />
abgelehnte Kreditkarten. Diese Informationen sorgen<br />
dafür, dass wiederkehrende Käufer mit abgelaufener<br />
Karte beim Checkout zum Schritt „Zahlungsmittelauswahl“<br />
weitergeleitet werden, damit sie eine gültige<br />
Kreditkarte auswählen können. In anderen Fällen lassen<br />
sich spezifische Fehlernachrichten erstellen, die<br />
den genauen Grund für die Ablehnung angeben und<br />
diese künftig verhindern. „Um das Problem zu lösen,<br />
mussten wir zunächst herausfinden, warum einzelne<br />
Kreditkartentransaktionen abgelehnt wurden. Nur<br />
wenige Wochen, nachdem wir dieses Vorgehen eingeführt<br />
hatten, konnten wir einen 24-prozentigen<br />
Rückgang der Bankablehnungsquote beobachten“,<br />
resümiert Shejn Tahirsylaj.<br />
ZI<br />
3 Tipps,<br />
um Betrügereien<br />
zu verhindern<br />
1. Den Kunden hinter der<br />
Transaktion identifizieren<br />
Mit der Nutzung von „Device Fingerprinting“<br />
und der Überwachung der<br />
Bestellvorgänge eines Kunden kann<br />
dem Kaufwilligen über mehrere Endgeräte,<br />
Netzwerke und Online-Identitäten<br />
hinweg gefolgt werden und<br />
so ein ganzheitliches Bild von beiden<br />
– dem Kunden und dem potentiellen<br />
Betrüger – erstellt werden. Auf<br />
diese Weise ist dem ehrlichen Käufer<br />
ein ungehinderter Einkauf möglich,<br />
selbst wenn dieser vom regulären<br />
Einkaufsverhalten abweicht.<br />
2. Verdächtiges Verhalten beim<br />
Checkout erkennen<br />
Eine Möglichkeit, Bot-Attacken<br />
zu erkennen, ist der Einsatz von<br />
Verhaltensanalyse-Tools während<br />
des Bezahlvorgangs. Durch Auswertung<br />
der Tastaturnutzung, des<br />
Mauseinsatzes und der generellen<br />
Geschwindigkeit der Interaktion lässt<br />
sich herauszufinden, ob man es mit<br />
einem menschlichen Wesen oder<br />
einer Maschine zu tun hat.<br />
3. Zulässige Transaktionsgeschwindigkeit<br />
justieren<br />
Während einer Rabattaktion lässt<br />
sich mitunter ein verändertes Käuferverhalten<br />
beobachten: So wird etwa<br />
pro Transaktion mehr Geld ausgegeben<br />
oder häufiger eingekauft. Um<br />
zu verhindern, dass das Risikomanagement<br />
diese Kunden als Betrüger<br />
identifiziert, kann die zulässige Dauer<br />
eines Einkaufsprozesses erhöht<br />
werden.<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
31
infrastrukturen | it-sicherheit<br />
Passende AbwehrmaSSnahmen gesucht<br />
Sicherheit<br />
mit<br />
Lücken<br />
Die Bedrohungslage ist für mittelständische<br />
Unternehmen ähnlich dramatisch wie für große.<br />
Doch kleinen und mittleren Firmen fällt es schwerer, sich gegen Hacker oder Malware<br />
zur Wehr zu setzen. Ihnen fehlen häufig das Personal und das Know-how.<br />
Mit Managed Security Services oder einfach zu bedienenden<br />
Sicherheitslösungen lassen sich diese Nachteile wettmachen.<br />
32<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
it-sicherheit | infrastrukturen<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
33
infrastrukturen | it-sicherheit<br />
D<br />
er Mittelstand ist nicht gut aufgestellt<br />
in Sachen <strong>IT</strong>-Sicherheit. So lautete vor<br />
wenigen Monaten die Warnung des Marktforschungs-<br />
und Beratungshauses Techconsult.<br />
Diese basierte auf den Ergebnissen der<br />
Studie „Security Bilanz Deutschland“, die die<br />
Analysten durchgeführt hatten. Demnach<br />
hat knapp die Hälfte der mittelständischen<br />
Unternehmen und öffentlichen Verwaltungen<br />
dringenden Handlungsbedarf in Puncto <strong>IT</strong>- und Informationssicherheit.<br />
In dem von der Studie ermittelten Sicherheitsindex<br />
erreichen diese Firmen weniger als 50 von 100 Punkten. Grundlage<br />
der Untersuchung bildet eine Befragung von Unternehmen<br />
und Verwaltungen bzw. Non-Profit-Organisationen mit 20 bis<br />
2.000 Mitarbeitern. Die große Bedeutung des Themas Security ist<br />
den Firmen zwar bewusst, doch wie sie sich ausreichend<br />
schützen können, offenbar nicht. Der Mittelstand<br />
in Deutschland fühlt sich laut Techconsult schlecht<br />
abgesichert.<br />
Wie bei anderen <strong>IT</strong>-Themen haben die Unternehmen<br />
auch in Sachen Sicherheit mit den typischen<br />
Mittelstandsproblemen zu kämpfen. So fehlt es kleinen<br />
und mittleren Firmen nach Meinung von Techconsult-Analyst<br />
Henrik Groß häufig am notwendigen<br />
Personal. Wenn sich nur wenige Experten um die <strong>IT</strong><br />
im Haus kümmern oder eine <strong>IT</strong>-Abteilung sogar komplett<br />
fehlt, kommt das Sicherheitsthema<br />
zwangsläufig zu kurz. Mit den Personalproblemen<br />
geht auch ein Mangel an notwendiger<br />
Kompetenz einher. „In vielen<br />
mittelständischen Unternehmen ist nicht<br />
genügend <strong>IT</strong>-Sicherheits-Know-how vorhanden,<br />
um sich ausreichend zu schützen“,<br />
berichtet Groß.<br />
Attraktives Ziel für Hacker<br />
Wer jedoch glaubt, dass Mittelständler<br />
gleichzeitig weniger gefährdet seien<br />
als Großunternehmen, der irrt sich.<br />
Auch viele kleinere Firmen seien ein<br />
attraktives Ziel für Hacker, glaubt<br />
Groß. Als Beispiel nennt er deutsche<br />
mittelständische Maschinenbauer,<br />
die in ihren Bereichen Weltmarktführer<br />
sind. Deren intellektuelles<br />
Eigentum stellt ein verlockendes Ziel<br />
für Cyberkriminelle dar. Und von herkömmlicher<br />
Malware wie etwa Computerviren sind Mittelständler<br />
ohnehin genauso betroffen wie große Firmen.<br />
Holger Suhl, Geschäftsführer für den deutschsprachigen<br />
Raum beim <strong>IT</strong>-Sicherheitsanbieter<br />
Kaspersky Lab, sieht ebenfalls ein hohes Bedrohungspotential.<br />
Er denkt dabei unter anderem<br />
an Distributed-Denial-of-Service-Angriffe<br />
(DDoS). „Man stelle sich nur vor, dass die<br />
Website eines Unternehmens einen ganzen<br />
Tag nicht erreichbar ist“, sagt Suhl. „Das<br />
kann auch für viele Mittelständler zum<br />
ernsthaften Problem werden.“ Außerdem<br />
sei vielen Mittelständlern immer noch<br />
nicht klar, wie einfach ihr schützenswertes<br />
Know-how durch eine Advanced<br />
Persistent Threat zerstört werden<br />
kann, so Suhl weiter. Dies zeigt auch: Die Bedrohungen, denen<br />
Unternehmen ausgesetzt sind, werden zunehmend komplexer.<br />
Und sie erfordern entsprechend ausgefeilte Sicherheitskonzepte.<br />
Damit sind gerade kleine und mittlere Unternehmen häufig<br />
überfordert. „Je komplexer die Sicherheitsmaßnahmen sind,<br />
desto schlechter werden sie umgesetzt“, weiß Analyst Groß. Als<br />
Beispiele nennt er Multifaktoren-Authentifizierung sowie biometrische<br />
Authentifizierungsverfahren.<br />
Absicherung mobiler Endgeräte<br />
Auch die Absicherung von mobilen Endgeräten auf Unternehmensebene<br />
ist mit Aufwand verbunden. Laut Techconsult-Studie<br />
gibt es in diesem Bereich noch viel zu tun für die Mittelständler.<br />
Mehr als zwei Drittel der Unternehmen berichten, dass sie Mobile-<br />
Security-Lösungen bisher noch nicht gut umgesetzt haben. Selbst<br />
mit der Implementierung relativ einfacher Sicherheitsmethoden<br />
in ihrem Unternehmen wie etwa Antiviren-Software oder Firewalls<br />
für Smartphones und Tablet-Computern ist nur ein Drittel der<br />
befragten Mittelständler zufrieden.<br />
Für kleine und mittlere Firmen gilt somit noch mehr als für<br />
Großunternehmen: Die Sicherheitstechnik muss sich einfach<br />
bedienen lassen, damit sie auf breiter Ebene eingesetzt wird und<br />
somit wirkungsvoll ist. Das zeigt etwa das Beispiel des Sondermaschinenbauers<br />
Viscom. Das Unternehmen tauschte seine<br />
Sicherheitslösung aufgrund mangelnder Usability aus. „Uns störte<br />
immer mehr, dass die Oberfläche des<br />
Produktes nicht intuitiv zu bedienen<br />
Wie sicher<br />
ist das eigene<br />
Unternehmen?<br />
war“, berichtet <strong>IT</strong>-Leiter Thomas Krause.<br />
„Man musste schon viel Erfahrung mit<br />
der Software mitbringen, um die Konfiguration<br />
leicht durchführen zu können.“<br />
Bei der Suche nach einem neuen<br />
System war das einfache Management<br />
für die Administratoren ein wichtiges<br />
Auswahlkriterium.<br />
Die Verantwortlichen entschieden<br />
sich letztlich für mehrere Security-Lösungen<br />
des Anbieters Kaspersky<br />
Lab. Dessen Technikvorstand, Nikita<br />
Shvetsov, hält Usability für einen sehr<br />
wichtigen Aspekt. Viele Entscheidungen<br />
sollten dem Nutzer abgenommen<br />
werden. Schließlich ist der häufig das<br />
schwächste Glied in der Security-Kette.<br />
Beides miteinander zu kombinieren –<br />
die Technik leistungsfähig, aber auch<br />
gleichzeitig einfach bedienbar zu machen – sei aber eine große<br />
Herausforderung, so Shvetsov.<br />
Unter www.security-bilanz.de stellt<br />
Techconsult ein kostenfreies Benchmark-System<br />
für mittelständische<br />
Anwender zur Verfügung, mit dem<br />
diese die Sicherheitslage in ihrem<br />
Unternehmen testen können. In einem<br />
sogenannten „Self Check“ schätzen<br />
die Nutzer selbst ein, wie wichtig einzelne<br />
technische, organisatorische und<br />
rechtliche Vorkehrungen zur <strong>IT</strong>- und<br />
Informationssicherheit für ihr Geschäft<br />
sind und wie gut deren Umsetzung<br />
realisiert ist.<br />
Sicherheit als Dienstleistung<br />
Wer Sicherheitslösungen nicht selbst implementieren möchte,<br />
kann auch auf Managed Security Services zurückgreifen. Das ist<br />
laut Groß eine gute Möglichkeit trotz begrenzter eigener Kapazitäten<br />
leistungsfähige Sicherheitstechnologie zu nutzen. So sollen<br />
die Kosten kalkulierbar und die Sicherheitssysteme stets auf dem<br />
aktuellen Stand bleiben. Das versprechen zumindest Anbieter wie<br />
etwa Secunet. Die Unternehmen können sich aus einem modularen<br />
System die für sie passenden Services auswählen. Der Dienstleister<br />
übernimmt dann Installation, Integration, Konfiguration,<br />
Administration sowie Wartung.<br />
Das Institut für Lernsysteme (ILS) zum Beispiel lässt seine komplette<br />
Webserver-Farm mithilfe von Managed Security Services<br />
34<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
it-sicherheit | infrastrukturen<br />
Kostenfalle Sicherheitslücke<br />
38.000 US-Dollar muss ein<br />
mittel ständisches Unternehmen<br />
durchschnittlich in Folge eines <strong>IT</strong>-<br />
Sicherheitsvorfalles aufbringen. Bei<br />
Großunternehmen betragen die Kosten<br />
im Schnitt sogar 551.000 US-Dollar.<br />
Dies geht aus einer Studie von B2B<br />
International hervor, die im Auftrag von<br />
Kaspersky Lab durchgeführt wurde. Zu<br />
den Sicherheitsvorfällen gehören Mitarbeiterbetrug,<br />
Cyberspionage, Netzwerkeinbrüche<br />
(Network Intrusions)<br />
sowie Fehler von Drittanbietern.<br />
Die Kosten, die dabei anfallen, ergeben<br />
sich u.a. aus einem Mehraufwand<br />
für Dienstleistungen – wie externe<br />
<strong>IT</strong>-Experten oder Anwälte sowie aus<br />
Umsatzverlusten aufgrund verloren<br />
gegangener Geschäftsoptionen. Hinzu<br />
kommen noch indirekte Ausgaben wie<br />
z.B. für Personal, Trainings und Infrastrukturaktualisierungen.<br />
Diese betragen<br />
für kleine und mittlere Unternehmen<br />
im Schnitt 8.000 US-Dollar, bei<br />
Großunternehmen 69.000 US-Dollar.<br />
Große Firmen zahlen deutlich mehr,<br />
wenn ein Cybervorfall durch den Fehler<br />
eines vertrauten Partners bzw.<br />
Drittanbieters verursacht wird. Ähnlich<br />
kostenintensiv sind Betrügereien<br />
von Mitarbeitern, Cyberspionage und<br />
Netzwerkeinbrüche. Mittelständischer<br />
müssen dagegen bei allen Sicherheitsvorfällen<br />
in ähnlich hohem Maße in die<br />
Tasche greifen. Für die Studie wurden<br />
weltweit über 5.500 <strong>IT</strong>-Entscheider aus<br />
26 Ländern zu <strong>IT</strong>-Sicherheitsthemen<br />
befragt. Neun von zehn Unternehmen<br />
hatten mindestens einen Sicherheitsvorfall<br />
im Untersuchungszeitraum zu<br />
beklagen.<br />
schützen. Dazu zählen unter anderem eine Konzeptentwicklung<br />
bezüglich Ausfallsicherheit und Verfügbarkeit, Überwachung der<br />
Systemumgebung sowie das Patch-Management. Das Spektrum an<br />
Security-Dienstleistungen für Unternehmen ist aber noch größer.<br />
Anbieter von Sicherheitsservices halten Anwenderfirmen ständig<br />
über aktuelle Bedrohungen informiert oder stellen eigene ausfallsichere<br />
Netzwerke zur Verfügung, auf die der Internetverkehr<br />
nach einem DDoS-Angriff umgeleitet werden kann.<br />
Außerdem bieten Dienstleister Schulungen an, um die Mitarbeiter<br />
zu sensibilisieren. Daneben stehen auch Verbände mit<br />
„Distributed-Denialof-Service-Angriffe<br />
(DDoS) können auch<br />
für Mittelständler<br />
zum ernsthaften<br />
Problem werden.“<br />
Holger Suhl, Geschäftsführer beim<br />
<strong>IT</strong>-Sicherheitsanbieter Kaspersky Lab<br />
Umsetzungsempfehlungen parat. „Gerade der Mittelstand braucht<br />
Partner, um die teils komplexen Aufgaben bewältigen zu können“,<br />
sagt Techconsult-Geschäftsführer Peter Burghardt. Und der<br />
Bedarf an Services im Sicherheitsumfeld ist offenbar groß. Laut<br />
dem Beratungshaus Experton Group macht der Anteil der Dienstleistungen<br />
am <strong>IT</strong>-Sicherheitsmarkt bereits rund 40 Prozent aus.<br />
Analyst Groß sieht besonders Schulungen als wichtig an. Bei<br />
allen Mitarbeitern müsse ein Bewusstsein für Sicherheit geschaffen<br />
werden. „Sicherheit hört nicht bei der <strong>IT</strong> auf“, so Groß. Die<br />
Thematik durchziehe das gesamte Unternehmen und müsse<br />
auch organisatorisch umgesetzt werden. Er und seine Kollegen<br />
plädieren daher für ein separates Sicherheitsbudget. Denn meist<br />
sind die Security-Kosten dem Topf für <strong>IT</strong>-Ausgaben zugeordnet.<br />
Wird das Sicherheits-Budget jedoch eigenständig geplant, könne<br />
sichergestellt werden, dass alle wichtigen Aspekte wie Schulungen<br />
oder vertragsrechtliche Regelungen nicht unter den Tisch fallen<br />
und im Zusammenhang betrachtet werden.<br />
Markus Strehlitz<br />
Zutritt verweigert<br />
Profi-Hacker<br />
aussperren<br />
Michael Scheffler, Vice President Sales<br />
bei dem Sicherheitsanbieter A10 Networks,<br />
erläutert, auf welche Firewall-<br />
Funktionen Mittelständler besser<br />
nicht verzichten sollten.<br />
Vor zwielichtigen Gestalten auf dem Firmengelände<br />
schützt Sicherheitspersonal,<br />
indem es schon am Eingang entscheidet,<br />
wer hinein darf und wer nicht. Ähnlich<br />
leichtes Spiel haben auch Firewalls, wenn es<br />
sich um vornehmlich jugendliche „Script Kiddies“ handelt:<br />
Sie agieren eher laienhaft aus dem Darknet heraus<br />
und versuchen, in beliebige Unternehmen einzudringen.<br />
Die Abwehr von ernstzunehmenden Hackern ist hingegen<br />
ein aufwendigeres Unterfangen. Doch worauf sollte bei<br />
der Auswahl professioneller Firewalls geachtet werden?<br />
Generell gilt: Jedes Unternehmen, unabhängig<br />
von der Branche, der Belegschafts- oder Umsatzgröße,<br />
benötigt eine aktuelle Firewall – schon alleine,<br />
weil das Bundesamt für Sicherheit, der TÜV, aber<br />
auch viele Konzerne von ihren Zulieferern eine zeitgemäße<br />
Sicherheitsinfrastruktur verlangen.<br />
Als Mindestschutz wird in der Regel eine ‚Statefull Inspection<br />
Firewall’ benötigt. Solche Systeme bieten neben<br />
der reinen Port-Kontrolle erweiterte Dienste wie Applikationsunterstützung<br />
und deren Optimierung sowie Webfiltering.<br />
Firmen mit mehreren Standorten oder Außendienstmitarbeitern<br />
müssen zudem eine sichere Kommunikation<br />
zwischen den Mitarbeitern und den <strong>IT</strong>-Ressourcen der<br />
Firma sicherstellen – hierbei sollte das Augenmerk darauf<br />
liegen, dass das klassische IPSec VPN unterstützt wird.<br />
Es mag banal klingen, doch besonders wichtig ist bei<br />
allen Sicherheitssystemen die Bedienbarkeit: Ohne<br />
entsprechende Alarmierung sowie ein übersichtliches<br />
Administrations- und Analyse-Interface bringt<br />
auch die sonst beste Lösung kaum einen Nutzen.<br />
Besitzen Mittelständler einen Webshop oder eine Smartphone-App<br />
für ihre Kunden, sollten auch diese potentiellen<br />
Einfallstore abgesichert werden. Etwa durch die<br />
Etablierung einer Web Application Firewall (WAF).<br />
Nicht zuletzt sind mehr ein Drittel der Datenpakete,<br />
die das Unternehmensnetzwerk erreichen, per Secure<br />
Socket Layer (SSL) verschlüsselt. Viele Angreifer nutzen<br />
genau diese Mechanismen, um ihre Kommunikation<br />
zu verbergen. Doch einige Firewalls sind blind gegenüber<br />
solchen Attacken. Bietet die eingesetzte Firewall<br />
keine solche Entschlüsselung, sollten die Verantwortlichen<br />
mit gesonderten Lösungen nachbessern.<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
35
infrastrukturen | it-sicherheit<br />
Bertram Dorn, Solutions<br />
Architect bei Amazon Web<br />
Services<br />
Khaled Chaar, Managing<br />
Director Business Strategy<br />
bei der Cancom-Tochter<br />
Pironet NDH<br />
Cloud Computing gilt als aktueller Megatrend. Laut IDC soll heute bereits<br />
mehr als die Hälfte aller <strong>IT</strong>-Aufwendungen in diese Richtung fließen – mit<br />
wachsender Tendenz. Bis 2020 werden demnach über 60 Prozent der<br />
<strong>IT</strong>-Budgets für cloud-basierte Technologien ausgegeben. Hinter dieser<br />
Entwicklung steht der Wunsch von <strong>IT</strong>-Leitern und Service-Providern,<br />
ihre <strong>IT</strong>-Landschaft inklusive der Netzwerke in offene, software-basierte<br />
Plattformen zu verwandeln.<br />
Trotz der Euphorie der Hersteller und<br />
Provider zögern viele Mittelständler<br />
aber noch beim Cloud Computing.<br />
Sie sorgen sich um die Sicherheit ihrer<br />
Daten in der Wolke. Außerdem ist wie<br />
immer schon beim <strong>IT</strong>-Outsourcing das<br />
Unbehagen groß, die Datenhoheit zu verlieren.<br />
Dazu kommt jetzt auch noch die<br />
unklare Rechtslage durch das Ende des<br />
Safe-Harbor-Abkommens mit den USA.<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND hat daher zwei Cloud-<br />
Experten gebeten, speziell die Sicherheitsbedenken<br />
zu entkräften.<br />
„Um Daten einigermaßen<br />
sicher in der Public Cloud zu<br />
lagern, sollten Unternehmen<br />
diese vorab verschlüsseln.“<br />
Khaled Chaar<br />
<strong>IT</strong>M: Der Europäische Gerichtshof hat<br />
entschieden, dass die USA kein „sicherer<br />
Hafen“ mehr für Daten aus Europa ist. Was<br />
bedeutet dies für die Praxis im <strong>IT</strong>-Betrieb<br />
mittelständischer Unternehmen in Deutschland,<br />
die bereits Cloud-Services nutzen?<br />
Khaled Chaar: Grundsätzlich ging es beim<br />
Safe-Harbor-Abkommen ausschließlich<br />
um den Austausch personenbezogener<br />
Daten. Unternehmen, die nicht-personenbezogene<br />
Daten, wie Produktinformationen<br />
oder Preise, in einer wie auch immer<br />
gearteten Cloud speichern, können das<br />
auch weiterhin tun. Zudem bezog sich das<br />
Abkommen ausschließlich auf den Informationsaustausch<br />
mit den USA. Wer seine<br />
Daten einem europäischen Cloud-Provider<br />
anvertraut hat, dessen Rechenzentren in<br />
Europa stehen, für den ändert sich durch<br />
die Entscheidung des EuGH nichts.<br />
Man sollte bei aller Diskussion um Safe<br />
Harbor auch bedenken, dass das Abkommen<br />
unter Rechtsexperten schon lange<br />
äußerst umstritten war. Denn amerikanische<br />
Cloud-Provider haben sich im Rahmen<br />
von Safe Harbor zwar verpflichtet,<br />
die EU-Datenschutzstandards zu erfüllen.<br />
Doch inwieweit sie das in der Praxis tatsächlich<br />
umgesetzt haben, ließ sich kaum<br />
nachprüfen. Zusätzlich Öl ins Feuer goss<br />
natürlich der NSA-Skandal.<br />
Bertram Dorn: Unabhängig von der Entscheidung<br />
des EuGH hat die Sicherheit<br />
der Daten unserer Kunden für uns oberste<br />
Priorität. Die EU-Datenschutzbehörden<br />
(bekannt als Artikel-29-Arbeitsgruppe)<br />
haben unsere Datenschutzvereinbarung<br />
sowie die Vertragsklauseln genehmigt,<br />
auf deren Basis ein Transfer von Daten<br />
aus Europa heraus ermöglicht wird, einschließlich<br />
der USA. Mit unseren von der<br />
EU genehmigten Datenschutzabkommen<br />
sowie den „Model Clauses“ können Kunden<br />
unsere Cloud-Services auch weiterhin<br />
nutzen – unter voller Entsprechung der EU-<br />
Gesetzgebung. Auf unsere Datenschutzvereinbarung<br />
können sich all jene AWS-Kunden<br />
berufen, die personenbezogene Daten<br />
verarbeiten, unabhängig davon, ob sie in<br />
Europa angesiedelt oder ein internationales<br />
Unternehmen sind, das im europäischen<br />
Wirtschaftsraum tätig ist.<br />
36 <strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
it-sicherheit | infrastrukturen<br />
Fragen von Berthold Wesseler<br />
aus Forschung und Entwicklung, ist die<br />
öffentliche Cloud daher unserer Ansicht<br />
nach nicht der richtige Ort.<br />
<strong>IT</strong>M: Manche Experten empfehlen die Daten<br />
zu verschlüsseln, bevor sie in die Cloud<br />
gehen. Was halten Sie davon? Ist das sicher<br />
und praktikabel?<br />
Dorn: Wir empfehlen unseren Kunden<br />
grundsätzlich immer, ihre Daten zu verschlüsseln.<br />
Allerdings hängt es vom speziellen<br />
Anwendungsfall bzw. von der spezifischen<br />
Workload ab, welche Art von<br />
Verschlüsselung die richtige ist. Sofern<br />
Daten in der Cloud nur gespeichert und<br />
transferiert werden sollen, ist eine Vorabverschlüsselung<br />
praktikabel. Soll auf den<br />
Daten gerechnet werden, so bieten sich verschiedenste<br />
Verschlüsselungsmethoden an,<br />
welche die Daten bei der Übertragung und<br />
Speicherung unleserlich machen.<br />
AWS ermöglicht Kunden für fast alle<br />
Dienste, ihre eige nen Verschlüsselungsmechanismen<br />
zu verwenden, etwa S3,<br />
EBS, SimpleDB und EC2. VPC-Sessions<br />
sind ebenso verschlüsselt. Kunden steht<br />
es zudem frei, Verschlüsselungstechnologien<br />
von Drittanbietern einzusetzen.<br />
Unsere Verschlüsselungsprozesse werden<br />
regelmäßig von unabhängigen Auditoren<br />
überprüft, um eine fortwährende Übereinstimmung<br />
mit den Standards SOC, PCI DSS<br />
und ISO 270<strong>01</strong> zu gewährleisten.<br />
Chaar: Wir dürfen hier die Themen Datenschutz<br />
und Datensicherheit nicht miteinander<br />
vermischen. Die Verschlüsselung ist<br />
ein rein technisches Thema. Personenbezogene<br />
Daten dürfen nach der Entscheidung<br />
gegen Safe Harbor nicht mehr in die USA<br />
transferiert werden – egal ob verschlüsselt<br />
oder nicht!<br />
In der Praxis werden Verschlüsselungsverfahren<br />
vor allem bei der Nutzung von<br />
Public-Cloud-Diensten wie Dropbox,<br />
Microsofts One Drive oder Google Drive<br />
angewendet. Die meisten Provider dieser<br />
Speicherdienste können auf die Daten<br />
ihrer Nutzer jedoch problemlos zugreifen,<br />
da eine Verschlüsselung meistens erst auf<br />
dem Server selbst stattfindet.<br />
Um Dateien einigermaßen sicher in<br />
der Public Cloud zu lagern, sollten Unternehmen<br />
die Daten daher schon vorab verschlüsseln<br />
– und zwar mit einem Schlüssel,<br />
der dem Provider nicht bekannt ist. Dabei<br />
gilt es jedoch, zwei Dinge zu bedenken:<br />
Erstens sollten sich die <strong>IT</strong>-Verantwortlichen<br />
genau überlegen, welche Daten sie<br />
auf diesem Wege schützen wollen und wie<br />
hoch das Schutzniveau sein soll. Denn je<br />
sicherer ein Verfahren ist, mit desto mehr<br />
Einschränkungen müssen in der Regel die<br />
Nutzer leben. Zum anderen sollte man sich<br />
vor Augen halten, dass auch das vermeintlich<br />
sicherste Verschlüsselungsverfahren<br />
nie einen vollkommenen Schutz bieten<br />
kann. Für besonders sensible Daten, etwa<br />
„Der Kunde entscheidet,<br />
welchen Inhalt er in die<br />
Cloud stellt, und auch über<br />
das Sicherheitsniveau.“<br />
Bertram Dorn<br />
<strong>IT</strong>M: Was raten Sie mittelständischen<br />
Kunden aus Sicherheitsperspektive generell<br />
bei der Nutzung von Cloud-Services? Gibt es<br />
hier wirksame Maßnahmen, die vor Datenverlust<br />
und Ausspähung schützen?<br />
Dorn: Kurz zusammengefasst: dass sie sich<br />
Wissen über unser sogenanntes „Shared<br />
Responsibility Model“ aufbauen, unsere<br />
Empfehlungen über die Sicherung von<br />
administrativen Zugängen (Stichwort<br />
„Identity und Access Management“) konsequent<br />
umsetzen, alle verfügbaren Sensoren<br />
(Cloud Trail/VPC-Flow-Logs) auswerten<br />
sowie überall da konsequent verschlüsseln,<br />
wo es aus ihrer Sicht Sinn ergibt.<br />
Beim Schutz vor Datenverlust und Ausspähung<br />
kommen vollkommen unterschiedliche<br />
Maßnahmen zum Tragen.<br />
Bezüglich der Prävention von Ausspähung<br />
ist wichtig zu beachten, dass einzig der<br />
Kunde die Kontrolle über seine Daten hat<br />
– nicht wir. Wir als Provider haben auch keinen<br />
Einblick in die Inhalte, die der Kunde<br />
einstellt – und ändern ebenso wenig die<br />
Einstellungen des Kunden. Diese werden<br />
einzig durch den Kunden festgelegt und<br />
stehen vollständig unter dessen Kontrolle.<br />
Da es der Kunde ist, der darüber entscheidet,<br />
welchen Inhalt er in die Cloud<br />
stellt, kann auch nur der Kunde entscheiden,<br />
welches Sicherheitsniveau für die<br />
dort gespeicherten Daten angemessen ist.<br />
In Bezug auf Datenverlust lässt sich sagen,<br />
dass es für jede der 30 Verfügbarkeitszonen<br />
entsprechende „Failure Zones“ gibt. Das<br />
heißt: Für den Fall einer Unterbrechung<br />
werden Datenströme automatisiert in alternative<br />
Verfügbarkeitszonen in derselben<br />
Region umgeleitet.<br />
Chaar: Wer auf Nummer Sicher gehen will,<br />
sollte für kritische Daten auf eine europäische<br />
oder noch besser auf eine deutsche<br />
Cloud setzen. Denn hiesige Provider unterliegen<br />
den äußerst strengen deutschen<br />
Datenschutzbestimmungen.<br />
Vorsicht ist allerdings geboten, wenn<br />
ausländische Provider ihre Rechenzentren<br />
in Deutschland betreiben, um ihren<br />
Kunden ein vermeintlich besseres Datenschutzniveau<br />
zu bieten. Diese Rechnung<br />
geht nicht auf. Denn US-Gerichte haben<br />
entschieden, dass US-Behörden auch dann<br />
Zugriff auf die Rechenzentren eines amerikanischen<br />
Providers haben, wenn sich diese<br />
außerhalb der USA befinden. Zum Thema<br />
Datenverlust kann man nicht oft genug<br />
das Mantra „Backup, Backup, Backup!“ wiederholen.<br />
Möglichst in örtlich getrennten<br />
Lokationen.<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
37
infrastrukturen | it-sicherheit<br />
Anonym im Internet<br />
mit Tor und Tails<br />
Autor: Peter Loshin<br />
Verlag: Franzis, Haar bei München<br />
Seiten: 199<br />
Preis: 30 Euro<br />
Im Mittelpunkt stehen Schutz der Privatsphäre<br />
und Anonymität im Internet.<br />
Der Verfasser zeigt auf, wie man mithilfe<br />
von Tor (Netzwerk zur Anonymisierung<br />
von Verbindungsdaten) und Tails (Linux-<br />
Distribution mit permanenter Tor-Anbindung)<br />
beide Ziele erreicht. Neben Installation<br />
und anschließender Nutzung befasst<br />
er sich auch mit darüber hinaus gehenden<br />
Anforderungen, die man nur durch<br />
zusätzliche Vorkehrungen oder Kenntnis<br />
der Tor-Internas erfüllen kann. Für alle<br />
bekannten Engpässe, was Performance<br />
und Effizienz betrifft, schlägt er passende<br />
Lösungen vor.<br />
Nmap kompakt<br />
Autor: Holger Reibold<br />
Verlag: Brain-Media.de, Saarbrücken<br />
Seiten: 140<br />
Preis: 14,99 Euro<br />
Nmap (Network Mapper) dient nicht<br />
nur zur Inventarisierung und Verwaltung<br />
von Diensten, sondern kann über seine<br />
Monitoring-Funktion auch Schwachstellen<br />
der eigenen Infrastruktur offenlegen. Das<br />
Taschenbuch verdeutlicht mittels konkreter<br />
Praxisbeispiele die wichtigsten Features<br />
dieser Open-Source-Software. Dazu gehört<br />
auch die Verbesserung der Performance<br />
eingebundener Komponenten, um deren<br />
Ausführung zu optimieren. Zur einfacheren<br />
Benutzung von Nmap behandelt der<br />
Autor Zenmap, eine offiziell für Nmap<br />
verfügbare GUI-Oberfläche. Insgesamt ein<br />
rundes Werk, das eine schnelle Übersicht<br />
mit verständlichem Einstieg verbindet.<br />
Sicherheit im Online-Banking<br />
Autoren: Herbert Kubicek, Günther Diederich<br />
Verlag: Springer Vieweg, Wiesbaden<br />
Seiten: 125<br />
Preis: 29,99 Euro<br />
Dieser Titel analysiert kritisch den<br />
Stand der aktuellen Sicherheitsverfahren<br />
im Online-Banking. Interviews mit<br />
Experten aus Verbänden und Finanzinstituten<br />
vermitteln, weshalb sich im<br />
Online-Banking der HBCI-Standard nicht<br />
durchsetzen konnte. Zusätzlich erörtern<br />
die Verfasser elektronische Signaturen im<br />
Online-Banking, E-Government und deren<br />
Geschäftspotential beim Einsatz in eigenen<br />
Geschäftsprozessen. Endkunden und<br />
Bankmanager interessiert sicherlich der<br />
BUCHTIPPS<br />
Zusammengestellt von Renate Simon<br />
Angebotsvergleich von rund 30 Banken<br />
und Sparkassen. Dabei manifestiert sich<br />
als treibende Kraft ein abzuwiegendes Verhältnis<br />
von Sicherheit und Benutzerfreundlichkeit<br />
heraus.<br />
Mein Recht im Netz<br />
Autor: Peter Apel<br />
Verlag: Stiftung Warentest, Berlin<br />
Seiten: 224<br />
Preis: 19,90 Euro<br />
Der Titel beschäftigt sich mit der Verschlüsselung<br />
privater Daten, wie man<br />
sich vor Betrug, Missbrauch und Spionage<br />
schützt und welche Handlungen im<br />
Internet erlaubt sind. Das Internet sollte<br />
man nicht als rechtsfreien Raum auffassen,<br />
vielmehr greift auch dort die gültige<br />
Rechtslage. Zudem muss man ausreichende<br />
Maßnahmen implementieren, um<br />
externe Angriffe und Attacken abzuwehren.<br />
Anhand verbreiteter Vorgehensweisen und<br />
häufig genutzter Websites erläutert der<br />
Autor, wie man optimalen eigenen Schutz<br />
sicherstellt.<br />
Schnelleinstieg – sicher<br />
surfen im Web<br />
Autor: Andreas Hein<br />
Verlag: Franzis, Haar bei München<br />
Seiten: 160<br />
Preis: 16,95 Euro<br />
Das Softcover untersucht, wie man<br />
Sicherheit für verschiedene Hardware-Plattformen<br />
(PC, Tablet, Smartphone) gewährleisten<br />
kann. Die jeweiligen Nutzungsformen<br />
erfordern verschiedene Strategien und<br />
Vorkehrungen, um Datenmissbrauch und<br />
Privatsphäre wirkungsvoll gegen externe<br />
Angriffe zu schützen. Betrachtet werden<br />
Web-Shopping, E-Mail, Online-Banking,<br />
soziale Netzwerke, Cloud-Infrastrukturen<br />
und Verschlüsselungsverfahren. Als Leser<br />
lernt man unterschiedliche Betrugsversuche<br />
zu erkennen und entsprechend gegenzusteuern.<br />
WLAN Security kompakt<br />
Autor: Holger Reibold<br />
Verlag: Brain-Media.de, Saarbrücken<br />
Seiten: 100<br />
Preis: 14,80 Euro<br />
Um potentielle Gefahren zu minimieren,<br />
sollte ein drahtloses Netz möglichst<br />
sicher gegen Angriffe von außen und innen<br />
betrieben werden. Die vorgestellten Sicherheitstests<br />
ermitteln die Empfindlichkeit<br />
eines WLANs und das mit ihm verbundene<br />
Risiko. Insbesondere decken sie mögliche<br />
Schwachstellen auf und erhöhen damit<br />
die Sicherheit des gesamten Systems. Die<br />
anschließende Durchführung von Penetrationstests<br />
unterstreicht deren empirische<br />
Bedeutung; sie sollten in eine umfassende<br />
Sicherheitsanalyse integriert werden.<br />
<strong>IT</strong>-Sicherheitsgesetz<br />
Autor: Michael Terhaag<br />
Verlag: Bundesanzeiger, Köln<br />
Seiten: 202<br />
Preis: 39,80 Euro<br />
Betreiber kritischer Infrastrukturen sollen nach dem <strong>IT</strong>-Sicherheitsgesetz einen<br />
Mindeststandard an Sicherheit einhalten und dem Bundesamt für Sicherheit in<br />
der Informationstechnik (BSI) entdeckte, erhebliche Sicherheitsverstöße melden.<br />
Das Paperback fasst alle relevanten Informationen zusammen und hilft, damit<br />
verbundene Pflichten zu erkennen. Da es besonderen Wert auf die Kommentierung<br />
legt, trägt es dazu bei, den Gesetzestext inhaltlich leichter zu verstehen.<br />
Gleichzeitig arbeitet es die damit verbundenen Auswirkungen heraus, so dass<br />
für die betroffenen Branchen Meldepflichten geklärt und geeignete Regelungen<br />
getroffen werden können.<br />
38 <strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
Digitales<br />
Wirtschaftswunder<br />
Moderne Unternehmen müssen<br />
digital denken und handeln<br />
Der digitale Wandel ist in vollem Gange. Das hohe Tempo der Entwicklung stellt jedes moderne<br />
Unternehmen vor die Herausforderung, in zunehmendem Maße digital zu denken und zu<br />
handeln. Schließlich geht es um nichts weniger als darum, die eigene Zukunftsfähigkeit<br />
zu sichern, ohne sich seiner Stärken zu berauben. Digital zu handeln heißt, Prozesse neu<br />
auszurichten und zu vereinfachen, um schneller auf veränderte Marktbedingungen eingehen<br />
und zugleich Kunden und Partner besser einbinden zu können.<br />
Mit den passenden Konzepten und Strategien eröffnet die Digitalisierung<br />
in einem höchst dynamischen Umfeld ganz neue Geschäftschancen.<br />
Erfahren Sie mehr unter:<br />
www.it-director.de/microsoft<br />
Über den QR-Code<br />
gelangen Sie direkt zum Subnet.
infrastrukturen | it-sicherheit<br />
Gefährlicher Trugschluss<br />
Mittelstand<br />
wiegt sich in<br />
Sicherheit<br />
Im Interview erläutert Florian Malecki,<br />
Product Marketing Director bei Dell Network<br />
Security, inwieweit mittelständische<br />
Unternehmen die <strong>IT</strong>-Sicherheit bereits in ihrer<br />
Unternehmensstrategie verankert haben.<br />
<strong>IT</strong>M: Herr Malecki, wird Sicherheit heute im Mittelstand<br />
als eine zentrale Aufgabe der <strong>IT</strong> gesehen?<br />
Florian Malecki: Der Mittelstand hat die Bedeutung<br />
des Themas Sicherheit inzwischen erkannt, aber leider<br />
noch nicht genug. Nach wie vor denken viele Verantwortliche,<br />
dass sie als Mittelständler kein interessantes<br />
Ziel für Hacker seien. Dies ist jedoch ein gefährlicher<br />
Trugschluss. So wurden zahlreiche mittelständische<br />
Firmen bereits Opfer von Erpresser-Software (Ramsonware).<br />
Darüber hinaus konnten Unternehmen mit<br />
Cloud Computing zwar ihre Produktivität steigern und<br />
Kosten senken, dennoch fehlen ihnen nach wie vor<br />
Regelwerke und Lösungen für die Cloud-Sicherheit,<br />
was zu ernsthaften Schäden und hohen Ausfallzeiten<br />
führen kann.<br />
<strong>IT</strong>M: Auf welche Weise sollten Mittelständler ihre<br />
Abwehrstrategie zum Schutz ihrer Netzwerke vor dem<br />
Hintergrund der zunehmenden Bedrohungen ändern?<br />
Malecki: Zunächst müssen Mittelständler überhaupt<br />
eine Strategie besitzen. Zwar haben sie mittlerweile<br />
immerhin einige Richtlinien und Sicherheitslösungen<br />
im Einsatz. Entscheidend ist es jedoch, die Sicherheitsmaßnahmen<br />
kontinuierlich zu überprüfen: Zum einen<br />
muss die digitale Abwehr an neue Anforderungen<br />
und unbekannte Angriffsmuster angepasst werden.<br />
Zum anderen muss die ökonomische und technische<br />
Effizienz der <strong>IT</strong>-Sicherheitsverwaltung gewährleistet<br />
sein. Dafür braucht man flexible, zentrale Lösungen,<br />
die dem Administrator anwendungsübergreifende<br />
Richtlinienkompetenzen an die Hand geben. Und<br />
schließlich müssen die Endnutzer von den neuen<br />
Sicherheitsrichtlinien überzeugt werden. Denn die<br />
beste Gefahrenerkennung und Sicherheitsverwaltung<br />
nutzt nichts, wenn Mitarbeiter im Alltag nicht<br />
risikobewusst sind.<br />
<strong>IT</strong>M: Neue Themen wie das Internet der Dinge (Internet<br />
of Things, IoT) oder Industrie 4.0 betreffen auch den<br />
Mittelstand. Was bedeutet dies für die <strong>IT</strong>-Sicherheit?<br />
Malecki: Damit kommen ganz neue Gefahren für die<br />
<strong>IT</strong>-Sicherheit auf die Unternehmen zu. Denn bewährte<br />
Techniken wie Firewalls, VPNs oder Verschlüsselung<br />
sind nicht ohne weiteres auf die IoT-Welt übertragbar.<br />
Alle Geräte, die auf <strong>IT</strong>-Systeme zugreifen können, müssen<br />
genau untersucht werden. Man muss wissen, was<br />
sie tun, welche Daten sie sammeln und kommunizie-<br />
„Die neue Datenschutzgrundverordnung der<br />
EU soll für mehr Transparenz und größere<br />
Rechenschaftspflicht sorgen“,<br />
berichtet Florian Malecki von Dell Network Security.<br />
ren, wohin diese Daten gehen, wo mögliche Schwachstellen<br />
liegen oder auch welche Zertifizierungen vorhanden<br />
oder nötig sind. Von daher sollte man Daten<br />
absichern und verschlüsseln, wo immer sie gespeichert<br />
sind, also auch auf der Ebene autonomer Geräte im<br />
IoT. Nötig ist daher ein ganzheitlicher Sicherheitsansatz,<br />
der Aspekte wie Endpunkt-, Netzwerksicherheit,<br />
Identity und Access Management sowie mobile Sicherheit<br />
abdeckt. Da sich das IoT weiter ausbreiten wird,<br />
ist es unerlässlich, dass Sicherheitsteams bei Geräten,<br />
Standards und Problemen auf dem neuesten Stand der<br />
Technik sind. Techniken wie Next Generation Firewalls<br />
und Unified Threat Management (UTM) sind inzwischen<br />
essentiell für jedes Unternehmen.<br />
<strong>IT</strong>M: Im Identity Management werden derzeit neue<br />
Ansätze diskutiert, beispielsweise Attribute Based Access<br />
Control (ABAC): Sind diese Methoden für den Mittelstand<br />
interessant?<br />
Malecki: Attribute Based Access Control ist ein Thema,<br />
da Identitäts- und Zugriffsmanagement keineswegs<br />
nur Großunternehmen betreffen. Vielmehr steht jeder<br />
Betrieb vor der Frage, welche Person wann, von welchem<br />
Ort aus, auf welche Daten zugegriffen hat. Die<br />
Verantwortlichen haben es heutzutage mit diversen<br />
Nutzergruppen zu tun, denn auf Informationen greifen<br />
nicht nur Mitarbeiter zu, sondern z.B. auch Partner<br />
und Kunden. Sie alle benötigen ständigen Zugang zu<br />
verschiedenen Applikationen, ob on premise, cloudbasiert<br />
oder mobil.<br />
›<br />
40<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
it-sicherheit | infrastrukturen<br />
Vorteile von IAM-Systemen<br />
Agile Zugriffskontrolle<br />
Die Verantwortlichen mittelständischer<br />
Unternehmen sehen sich heutzutage zunehmend<br />
damit konfrontiert, einerseits agile und<br />
kundenorientierte Geschäftsprozesse dauerhaft zu<br />
etablieren, und andererseits allen sicherheitstechnischen<br />
Anforderungen zu entsprechen.<br />
›<br />
<strong>IT</strong>M: Nicht selten zögern die Verantwortlichen<br />
aufgrund von Sicherheitsbedenken,<br />
sich beim Cloud Computing zu engagieren.<br />
Sind solche Zweifel mittlerweile obsolet?<br />
Malecki: Solche Bedenken muss man ernst<br />
nehmen, denn wie schon erwähnt ist ein<br />
Risikobewusstsein essentiell. Allerdings<br />
hat sich gerade bei den Themen Cloud<br />
und Sicherheit in den letzten Jahren viel<br />
getan – nicht zuletzt aufgrund von Forderungen<br />
aus dem Mittelstand. Datenschutz<br />
und -sicherheit stehen heute sowohl<br />
bei den Anwendern als auch den Cloud-<br />
Providern ganz oben auf der Prioritätenliste.<br />
Und mittlerweile sind gibt es auch<br />
Lösungen, die umfassende Rechtssicherheit<br />
gewährleisten.<br />
<strong>IT</strong>M: Ab 2<strong>01</strong>8 gilt auf EU-Ebene ein neues<br />
Datenschutzrecht. Wie wird sich dies auf<br />
die Sicherheitsstrategie mittelständischer<br />
Unternehmen auswirken?<br />
Malecki: Die neue Datenschutzgrundverordnung<br />
der EU soll für mehr Transparenz<br />
und größere Rechenschaftspflicht sorgen.<br />
So müssen Unternehmen beispielsweise<br />
schneller auf Datenschutzverstöße reagieren.<br />
Und Strafzahlungen sind auch nicht<br />
mehr pauschal, sondern an den Jahresumsatz<br />
gekoppelt. Verstöße können somit<br />
richtig teuer werden. Die Verantwortlichen<br />
werden also in neue Technologien und<br />
Dienstleistungen investieren müssen und<br />
sollten spätestens jetzt das Thema Sicherheit<br />
fest in der Firmenstrategie verankern.<br />
Paula Hansen<br />
Will man nutzbringende<br />
Geschäftsprozesse für alle involvierten<br />
Personen und Anwendungen<br />
gleichermaßen garantieren,<br />
kann dies mithilfe eines Identityund<br />
Access-Management-Systems<br />
(IAM) umgesetzt werden. In diesem<br />
Zusammenhang rückt neben Single<br />
Sign-on (SSO) die zentrale Verwaltung<br />
von Identitäten über alle<br />
Anwendungen hinweg in den Vordergrund.<br />
Dabei gilt es zu berücksichtigen,<br />
dass Anwender auch mobil von<br />
unterschiedlichen Devices aus agieren.<br />
Aufgrunddessen sind perimeter-gesteuerte<br />
IAM-Systeme kaum<br />
in der Lage, die unterschiedlichen<br />
Endpunkte sicher zu kontrollieren.<br />
Daneben ist es wichtig, die Akzeptanz<br />
der User durch einfache Benutzerportale<br />
und minimalen Aufwand<br />
zu sichern. Die oftmals mit den<br />
Portalen verbundene technische<br />
Allen genannten Anforderungen<br />
müssen heutige IAM-Systeme unter<br />
Wahrung von Compliance-Richtlinien<br />
und Governance entsprechen.<br />
Hinzu kommen Berichte darüber,<br />
Komplexität darf für die Endnutzer<br />
nicht ersichtlich sein. Eine entsprechende<br />
Einfachheit und Usability für<br />
Administratoren, um<br />
welcher Nutzer wann, auf welche<br />
Anwendungen und Daten zugegriffen<br />
hat. Zudem helfen event-gesteuerte<br />
und automatisierte<br />
deren Einarbeitungszeit<br />
zu verkürzen und<br />
Benachrichtigungen an<br />
Zugriff auf<br />
Knopfdruck<br />
definierte Personen<br />
das Tagesgeschäft<br />
zu erleichtern, sollte<br />
entziehen<br />
oder Prozesse den<br />
Unternehmen, die oft<br />
ebenfalls damit einhergehen. geforderte Transparenz in solchen<br />
komplexen Systemen zu erlangen.<br />
Desweiteren stellt der Zugriff auf<br />
unterschiedliche Programme – on<br />
premise, mobile oder cloud-basierte<br />
Systeme – höhere Anforderungen an<br />
die Art und Weise, wie Applikationen<br />
den Usern bereitgestellt werden<br />
bzw. der Zugriff auch wieder entzogen<br />
werden kann. <strong>IT</strong>-Verantwortliche<br />
wollen deshalb Benutzerzugriffe<br />
in automatisierter und sicherer Form<br />
für alle Anwendungen bereitstellen<br />
können. Auch gilt es, vermehrt<br />
maschinenbezogene Zugriffe – z.B.<br />
von Devices, Web Services oder<br />
Sensoren – zu berücksichtigen.<br />
Insbesondere hiesige Unternehmen<br />
fragen IAM-Systeme nach, die ausschließlich<br />
on premise zum Einsatz<br />
kommen. Die Gründe hierfür sind<br />
vielfältig, allerdings sollte als Alternative<br />
auch der Übergang in cloudbasierte<br />
IAM-Systeme vorhanden<br />
sein. An dieser Stelle ermöglichen<br />
hybride IAM-Systeme, wie das des<br />
Anbieters One Login, Identitäts- und<br />
Zugriffsmanagement unter Wahrung<br />
von Investitionsschutz und der Agilität<br />
bei Geschäftsprozessen.<br />
Baldur Scherabon<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
41
software | dokumenten-Management<br />
Digitales Archiv<br />
Hauptsache,<br />
die Chemie<br />
stimmt<br />
Ein wichtiger Schritt auf dem Weg zum digitalen<br />
Unternehmen kann die Einführung eines<br />
Dokumenten-Management-Systems (DMS) sein.<br />
So lassen sich beim Verband der chemischen<br />
Industrie (VCI) auf diese Weise nicht nur<br />
Geschäftsprozesse optimieren, sondern auch<br />
detaillierte Verfahrensdokumentationen<br />
realisieren.<br />
Mit rund 1.700 in Deutschland tätigen Chemieunternehmen<br />
repräsentiert der Branchenverband<br />
mehr als 90 Prozent des Umsatzes<br />
der chemischen Industrie. Im Fokus der Verbandsarbeit<br />
stehen Querschnittsthemen wie Steuern, Energie,<br />
Forschung, Umwelt, Rechtsfragen und Handel.<br />
Als Ansprechpartner für die wirtschaftspolitischen<br />
Belange der Branche versteht sich der VCI als Informations-<br />
und Kommunikationsplattform nicht nur<br />
für den fachlichen Austausch unter den Mitgliedsunternehmen,<br />
sondern auch für den Dialog mit allen<br />
gesellschaftlichen Kräften.<br />
Eine Aufgabe, die im Laufe der Jahre enorme Dokumentenmengen<br />
generiert hat. Als Ende 2<strong>01</strong>3 die Frankfurter<br />
Verbandszentrale umfassend renoviert wurde,<br />
entschieden die Verantwortlichen, die bis dato bestehende<br />
analoge Aktenverwaltung den Bedürfnissen<br />
einer digitalen Informationsgesellschaft anzupassen<br />
und ein DMS zu implementieren. Dieses sollte bestehende<br />
Papierberge – auch unter ökologischen Aspekten<br />
– deutlich reduzieren und die Bearbeitungsprozesse<br />
effizienter sowie die Auskunftsfähigkeit kundenfreundlicher<br />
gestalten. „Das DMS sollte sich nahtlos in unsere<br />
vorhandene <strong>IT</strong>-Umgebung integrieren lassen und über<br />
eine moderne Web-Oberfläche verfügen, um Einarbeitungszeiten<br />
auf ein Minimum zu reduzieren“, erläutert <strong>IT</strong>-Leiter<br />
Peter Oberländer die Auswahlkriterien. Ausschlaggebend für die<br />
Entscheidung war eine Return-on-Invest-Kalkulation (ROI). Sie<br />
zeigte auf, dass sich die DMS-Investition allein durch zu erwartende<br />
Einsparungen bei Aktenschränken und Büroflächen mittelfristig<br />
amortisieren würde. Schließlich entschied man sich für<br />
die Einführung das DMS des Anbieters Docuware.<br />
Strukturierte Ablage im Archiv<br />
Der Zeitplan für die DMS-Einführung orientierte sich an dem<br />
Umzug in Interimsbüroräume. Vorhandene Aktenbestände wurden<br />
gesichtet und im Vorfeld kategorisiert: Unnötige Dokumente<br />
wurden konsequent entsorgt, für das Tagesgeschäft unverzichtbare<br />
Dokumente zogen mit den Abteilungen um, und die restlichen<br />
Dokumente wurden für eine langfristige Auslagerung bzw. für die<br />
sofortige Digitalisierung vorbereitet. Ein Projektteam definierte<br />
für die strukturierte Ablage der Papierunterlagen digitale Archive.<br />
Im ersten Schritt wurden rund 3.000 Aktenordner vom Behindertenwerk<br />
Frankfurt/Main als spezialisiertem Scan-Dienstleister<br />
digitalisiert. Dokumente in Ordnern mit geringer Zugriffshäufigkeit<br />
wurden gesichtet, mit Barcode gekennzeichnet und<br />
anschließend beim Behindertenwerk Hanau eingelagert. Werden<br />
Dokumente aus diesen Aktenbeständen benötigt, erfolgt ihre Digitalisierung<br />
durch das Behindertenwerk mit anschließender Bereit-<br />
›<br />
Verband der<br />
Chemischen Industrie<br />
e.V. (VCI)<br />
Branche: Dienstleistungen<br />
Standort: Frankfurt am Main<br />
Mitarbeiter: 140<br />
Mitglieder: rund 1.700 Unternehmen in Deutschland<br />
<br />
www.vci.de<br />
42<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
dokumenten-Management | software<br />
›<br />
stellung der Datenbestände in digitaler Form. Für den Verband ist<br />
neben klassischen Büroanwendungen wie Word und Outlook die<br />
Adressverwaltung, die als Basis für die Mitgliederverwaltung in<br />
Form der Mitgliederakte fungiert, eine Schlüsselapplikation. Die<br />
Kopplung dieser Anwendung mit dem zentralen Dokumenten-<br />
Pool besaß deshalb höchste Priorität. Über Workflows wurden<br />
Prozesse definiert, die es u.a. ermöglichen, Schriftverkehr automatisiert<br />
in der digitalen Mitgliedsakte abzulegen. Über das Adressmanagement<br />
kann heute unter Eingabe der Mitgliedsnummer<br />
per Knopfdruck gezielt auf gewünschte Dokumente wie Anträge<br />
oder Beitragsanforderungen zugegriffen werden.<br />
Die Verwaltung von Anträgen spielt auch bei den Fonds der<br />
chemischen Industrie (FCI), die die Weiterbildung an Schulen und<br />
Hochschulen sowie von Lehrern oder Stipendiaten unterstützt,<br />
eine wichtige Rolle. Auch für diese Aufgaben wurden digitale<br />
Prozesse implementiert, die das komplette Antragswesen sowie<br />
die Zuweisung und Abrechnung von Fördergeldern abbilden.<br />
Lückenlose Verfahrensdokumentation<br />
Viele Arbeitsplätze wurden mit den einfachen, aber leistungsfähigen<br />
Dokumentenscannern Canon Scanfront 300 ausgestattet.<br />
„Dadurch vermeiden wir lange Wege zu zentralen Scanstationen<br />
und erhöhen gleichzeitig die Akzeptanz“, argumentiert Peter<br />
Oberländer.<br />
›<br />
Papierdokumente nach dem Scannen tatsächlich zu<br />
entsorgen und nicht als Schattendokumente weiterhin<br />
zu lagern, hat für ihn ebenfalls Priorität. Die Revisionssicherheit<br />
der digitalen Archivierung ist deshalb unerlässlich.<br />
Sichergestellt wird diese durch eine lückenlose<br />
Verfahrensdokumentation. Um den rechtlichen Anforderungen<br />
nachzukommen, wurden in der Vergangenheit<br />
einzelne Prozesse und die komplette Verfahrensdokumentation<br />
jährlich erstellt bzw. aktualisiert, anschließend<br />
auf Papier ausgedruckt und in Ordner abgelegt.<br />
Durch den Einsatz der Verfahrensdokumentation Pales<br />
One der Pales GmbH ist dieser Aufwand hinfällig. Die<br />
plattformunabhängige Software basiert wie Docuware<br />
auf HTML5-Technologie und lässt sich nahtlos ins DMS<br />
integrieren.<br />
Durch ein intelligentes Berechtigungskonzept können<br />
Prüfprozessunterlagen bei neuen oder geänderten<br />
Prozessen gezielt an die jeweiligen Benutzer oder<br />
Abteilungen weitergeleitet werden. Da Benutzer nach<br />
Änderungen bestehender Prozesse per E-Mail informiert<br />
werden, werden keine Änderungen mehr übersehen.<br />
Vorversionen mit entsprechenden Gültigkeitsdaten<br />
werden ebenfalls revisionssicher vorgehalten und sind<br />
jederzeit abrufbar. „Durch die Integration von Verfahrensdokumentation<br />
und Dokumentenmanagement<br />
haben wir eine Art Unternehmens-Tüv installiert. Wir<br />
haben nicht nur einen transparenten Überblick über<br />
unsere Prozesse, sondern profitieren zudem von erheblicher<br />
Zeitersparnis“, sagt Peter Oberländer.<br />
Die DMS-Implementierung erfolgte Anfang 2<strong>01</strong>4<br />
durch den Nürnberger Docuware-Partner Tutum, wobei<br />
papierbasierte Abläufe sukzessive in digitale Prozesse<br />
überführt wurden. Über 500 weitere Papierordner wurden<br />
bis Mitte 2<strong>01</strong>5 zusätzlich digitalisiert. Rund zwei Millionen<br />
Dokumente befinden sich zu diesem Zeitpunkt<br />
im digitalen Dokumenten-Pool, schätzt Oberländer.<br />
Immer mehr Bereiche profitieren vom schnellen Datenzugriff,<br />
so liegen mittlerweile auch die Personalakten<br />
sämtlicher 140 Mitarbeiter digital vor. Und die VCI-<br />
Pressestelle verfügt über einen digitalen Pressespiegel.<br />
Zwei von vielen anstehenden Aufgaben ist laut Peter<br />
Oberländer die Konzeption intelligenter Workflows für<br />
das Rechnungs- und Bestellwesen. Zukünftiges Potential<br />
für Digitalisierungsprozesse sieht er darüber hinaus in<br />
den Bereichen Mobile und Cloud Computing.<br />
Siegfried Dannehl<br />
„Die Revisionssicherheit<br />
unserer<br />
digitalen Archivierung<br />
ist unerlässlich“,<br />
betont Peter Oberländer, Leiter Bereich <strong>IT</strong><br />
beim Verband der Chemischen Industrie e.V.<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
43
software | dokumenten-Management<br />
Bessere CO2-Bilanz<br />
Mehr<br />
Flexibilität<br />
durch<br />
Mobildruck<br />
Rechtlich sind die Besitzer<br />
verantwortlich für die auf<br />
Multifunktionsgeräten<br />
gespeicherten Daten,<br />
aber <strong>IT</strong>-Dienstleister<br />
sollten aktiv für Lösungen<br />
beim Datenschutz sorgen.<br />
Rekonstruktion<br />
sensibler Daten<br />
Die Daten können leicht rekonstruiert<br />
werden. Welche Maßnahmen<br />
müssen Benutzer und Unternehmen<br />
demnach ergreifen, um vertrauliche<br />
Daten zu schützen, wenn Gebrauchtgeräte<br />
beispielsweise verkauft werden? Die Festplatte<br />
ist letztlich nur eine der möglichen<br />
Angriffsflächen. Und rechtlich verantwortlich<br />
für den Schutz der Daten ist der Besitzer<br />
des Systems. Geheimnisträger, wie etwa<br />
Ärzte oder Rechtsanwälte, können für solche<br />
Datenlecks nach dem Strafgesetzbuch<br />
sogar bestraft werden.<br />
Ein hohes Maß an Datenschutz können<br />
Benutzer ohne großen eigenen Aufwand<br />
erreichen, wenn sie bewusst <strong>IT</strong>-Dienstleister<br />
und Hardware-Anbieter wählen, die<br />
schon von sich aus auf richtige Hardware<br />
und Grundeinstellungen achten. Auch<br />
nachträglich kann über Konfiguration<br />
und Lösungen das Sicherheitsniveau verbessert<br />
werden.<br />
Beim Thema „Festplatte“ ist der erste<br />
Schritt, den Zugriff mit einem im BIOS des<br />
Systems verankerten Kennwort zu schützen.<br />
Zudem sollte für die Festplatte eine Verschlüsselung<br />
greifen, die auf dem Advanced<br />
Encryption Standard (AES) basiert und<br />
die 256-Bit-Schlüssellänge unterstützt. So<br />
geschützt, können auch von der ausgebauten<br />
Festplatte keine Daten per PC rekonstruiert<br />
werden. Diese Einstellungen sollten<br />
bei Auslieferung der Systeme Standard sein.<br />
Wie sicher sind Kopierer?<br />
Multifunktionssysteme (MFP) verarbeiten beim Drucken, Kopieren<br />
und Scannen auch sensible Unternehmensinterna und vertrauliche<br />
persönliche Informationen. Vielen Benutzern ist nicht bewusst,<br />
dass diese Daten meist im MFP gespeichert werden – und zwar auf<br />
der internen Festplatte.<br />
Um auch komplexere Rekonstruktionsmethoden<br />
auszuschließen, müssen beim<br />
Besitzerwechsel die Daten sicher vernichtet<br />
werden. Das erreicht ein Data Clear, der<br />
alle Konfigurationsdaten löscht. Zusätzlich<br />
sollte die Festplatte nach einem definierten<br />
Prozess unwiderruflich überschrieben werden.<br />
Ohne diese Maßnahmen sollten kein<br />
MFP und keine Festplatte weitergegeben<br />
werden. Viele Systemanbieter haben diese<br />
Komplettlöschung als Dienstleistung im<br />
Programm. Konica Minolta beispielsweise<br />
bietet zertifizierte Programme für Kunden<br />
mit erhöhtem Sicherheitsbedarf an.<br />
Zielführende Gesamtstrategie<br />
Maßnahmen zum Schutz der MFP sind<br />
aber nur ein Baustein einer Gesamtstrategie,<br />
denn die MFP sind fast immer Teil<br />
eines Netzwerks, laufen über Web-Server<br />
und haben oft Anbindung an Clouds. Auch<br />
wenn die Multifunktionsgeräte selbst gut<br />
gesichert sind, wird in Zeiten von Industrie<br />
4.0 absolute Datensicherheit zunehmend<br />
eine Illusion. Mithilfe von Experten sollten<br />
die Unternehmen ermitteln, welches<br />
Sicherheitsniveau ihr Geschäftsmodell<br />
benötigt und wie es betriebswirtschaftlich<br />
sinnvoll erreichbar ist. Dazu gehört<br />
die Hard- und Software ebenso wie eine<br />
Datenstrategie und der Faktor Mensch.<br />
Helge Dolgener, Lea Sommerhäuser<br />
Da heute immer mehr Büroangestellte<br />
von mobilen Geräten<br />
aus drucken müssen, stellen<br />
mitunter die neuen Farbsysteme<br />
Ineo+ 227/287 von Develop eine<br />
interessante Drucklösung für<br />
Unternehmen dar. Laut Hersteller<br />
tragen die Multifunktionssysteme<br />
dazu bei, Büroumgebungen<br />
fit für die Zukunft zu machen.<br />
Schließlich will kein Büromitarbeiter<br />
beim Drucken oder Scannen<br />
von einem mobilen Gerät aus Zeit<br />
verschwenden. Die Drucksysteme<br />
sollen die Anforderungen von<br />
Unternehmen erfüllen, in denen<br />
mobile Arbeitsweisen zum Alltag<br />
gehören und Bedienkomfort wichtig<br />
ist. Die mit Near-Field Communication<br />
(NFC) für Android-<br />
Geräte ausgestatteten Systeme<br />
sollen automatisch eine Verbindung<br />
zum Tablet oder Smartphone<br />
eines Mitarbeiters herstellen und<br />
Touch-to-Print- und Touch-to-<br />
Scan-Funktionalität bieten.<br />
Mit einem maximalen Papierformat<br />
von A3 und einer Druckgeschwindigkeit<br />
von 22 Seiten pro Minute<br />
(ppm) auf dem 227- und 28 ppm<br />
auf dem 287-Modell (in Schwarzweiß<br />
oder Farbe) seien beide<br />
Systeme gerüstet, um den Druckbedarf<br />
kleiner bis mittlerer Büroumgebungen<br />
oder Arbeitsgruppen<br />
zu decken, so der Hersteller.<br />
Ihr 7-Zoll-Touchscreen sei intuitiv<br />
bedienbar, die Benutzeroberfläche<br />
könne an die spezifischen<br />
Bedürfnisse einzelner Benutzer<br />
oder Gruppen angepasst werden.<br />
Das überarbeitete Druckwerk der<br />
A3-Multifunktionsdrucker sei nicht<br />
nur kompakter, sondern wiegt<br />
auch 15 Prozent weniger als das<br />
Vorgängermodell. Hinzu kämen ein<br />
niedriger Energieverbrauch und<br />
verschiedene Hardware-Optimierungen,<br />
woraus insgesamt eine<br />
bessere CO2-Bilanz resultiere.<br />
<br />
www.develop.de<br />
44<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
OHNE UMWEGE<br />
DIREKT ZU IHNEN!<br />
UNSER NEWSLETTER<br />
IMMER AUF DEM AKTUELLEN STAND!<br />
FÜR IHREN ERFOLGREICHEN <strong>IT</strong>-EINSATZ IM M<strong>IT</strong>TELSTAND<br />
JETZT<br />
BESUCHEN:<br />
itmittelstand.de<br />
FOLGEN SIE UNS AUCH BEI<br />
Hier anmelden
praxis | it-projekte<br />
Ein CRM-System für alle Standorte<br />
Beratung mit<br />
Erfolgsgarantie<br />
Die Einführung einer neuen Software für das<br />
Customer Relationship Management<br />
(CRM) sorgt bei der von Rundstedt & Partner<br />
GmbH, einem Spezialisten für Talent- und<br />
Karriereberatung, nicht nur für eine<br />
individuellere Ansprache von Kunden und<br />
Klienten, sondern strafft auch interne<br />
Verwaltungsaufgaben.<br />
Von Rundstedt, Marktführer im Outplacement<br />
und Experte für Talentund<br />
Karriereberatung, setzt auf einen<br />
übergreifenden Ansatz, der individuelle<br />
und nachhaltige Lösungen für Kunden und<br />
Klienten sicherstellt. Zu den Zielgruppen<br />
gehören Unternehmen mit Beratungsbedarf<br />
im Personalbereich sowie Fach- und<br />
Führungskräfte in beruflichen Veränderungsprozessen<br />
und einem aktiven Karriere-Management.<br />
„Dabei sind wir auf<br />
eine CRM-Software angewiesen, die uns<br />
unterstützt, Kunden mit Kompetenz zu<br />
begleiten und individuell mit Erfolgsgarantie<br />
zu beraten“, erklärt Patrick Baur,<br />
CRM-Verantwortlicher und Leiter Controlling,<br />
den Einsatz der neuen Software<br />
CAS Consulting.<br />
Zuvor war bereits eine CRM-Lösung auf<br />
Lotus-Notes-Basis im Einsatz. Allerdings<br />
entsprachen weder die Performance noch<br />
der Funktionsumfang den aktuellen<br />
Ansprüchen des Anwenderunternehmens.<br />
Von daher entschied sich die Geschäftsführung<br />
für einen kompletten Neuanfang.<br />
Ziel war es, mithilfe der neuen Software<br />
die Beratungsprozesse und Dienstleistungen<br />
übersichtlicher zu gestalten und doppelte<br />
Datenpflege zu vermeiden. Die neuen<br />
Prozesse sollten nicht nur in Vertrieb und<br />
Beratung, sondern auch im Veranstaltungs-<br />
Management, Controlling und bei der<br />
Rechnungsstellung abteilungsübergreifend<br />
und an den 20 Firmenstandorten<br />
sämtliche Informationen in einer Lösung<br />
zusammenführen. Und auch für die freien<br />
Berater sollte genau der für sie freigegebene<br />
Teil der Informationen sicher zugänglich<br />
gemacht werden.<br />
„Die CRM-Einführung verlief in vier Phasen“,<br />
erinnert sich Baur. „Zu Beginn erörterte<br />
ein eigens gegründetes Kompetenzteam<br />
gemeinsam mit der Geschäftsführung<br />
und den Fachbereichsleitern den aktuellen<br />
Status quo.“ In Phase 2 entwickelte sich<br />
daraus eine konkrete Vision. Auf deren<br />
Basis wurde ein Lastenheft erstellt und elf<br />
Anbietern zugesandt. CAS Consulting, die<br />
CRM-Branchenlösung für Beratungsunternehmen<br />
auf Basis von Genesisworld der<br />
Karlsruher CAS Software AG, machte aufgrund<br />
seiner Flexibilität in der (Masken-)<br />
Gestaltung, den Auswertungsmöglichkeiten<br />
sowie der Möglichkeit, standortungebunden<br />
mit dem System arbeiten zu<br />
können, das Rennen. In der dritten Phase<br />
schließlich formulierten interdisziplinär<br />
aufgestellte Teams inklusive aller Key User<br />
ihre Anforderungen und das Pflichtenheft.<br />
„Mit der CRM-Software erhalten alle<br />
Berater und Kundenbetreuer<br />
ortsunabhängig alle relevanten<br />
Informationen zu ihren Kunden und<br />
Klienten“, berichtet Patrick Baur, Leiter Controlling.<br />
In der anschließenden Einführungsphase<br />
wurden die individuellen Anforderungen<br />
und Prozesse vom zertifizierten CAS-Partner<br />
Itdesign GmbH aus Tübingen in der<br />
Software umgesetzt. Die besondere Herausforderung<br />
bestand darin, zeitgleich<br />
an allen Standorten auf die neue Lösung<br />
umzustellen. Im Rahmen einer eigenen<br />
CRM-Roadshow mit dem Motto „Beziehungen<br />
wachsen lassen“ erlebten die Mitarbeiter<br />
das neue CRM „hautnah“. In den<br />
Niederlassungen in Hamburg, Berlin, München,<br />
Stuttgart, Frankfurt am Main sowie<br />
in der Düsseldorfer Zentrale bekam Patrick<br />
Baur die Reaktionen live mit: „Durch die<br />
Roadshow haben wir unsere Mitarbeiter<br />
motiviert, die Vorteile der neuen Software<br />
direkt zu nutzen.“<br />
Rollout mit eigener CRM-Roadshow<br />
Ausgehende Rechnungen werden ebenfalls<br />
in der CRM-Lösung erstellt. Durch<br />
ein einfaches Schnittstellen-Management<br />
werden diese – ebenso wie andere relevante<br />
Informationen – an Drittsysteme wie beispielsweise<br />
Datev weitergegeben. Darüber ›<br />
46<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
it-projekte | praxis<br />
›<br />
hinaus werden die Mitarbeiter an weiteren<br />
Stellen entlastet, etwa wenn sie Besuchsberichte<br />
schreiben, Prozesse dokumentieren<br />
oder neue Projekte anlegen. Der Forecast<br />
und das Reporting wurden ebenfalls vereinfacht:<br />
„Das Erstellen von Analysen mit<br />
umfangreichen Excel-Tabellen hat früher<br />
mehrere Stunden oder sogar Wochenenden<br />
gedauert – heute funktioniert dies in drei<br />
Minuten“, resümiert der Unternehmens-<br />
Controller die analytischen Möglichkeiten<br />
der CRM-Lösung. Durch die Integration<br />
von Crystal Reports ist es überdies möglich,<br />
Berichte optisch ansprechend im System<br />
zur Verfügung zu stellen.<br />
Blick in die Praxis:<br />
Neue Methoden und Prozesse<br />
Unterstützt wurde die Einführung durch<br />
das Erstellen von 29 individuellen, exakt<br />
auf den Arbeitsprozess angepassten Schulungsfilmen,<br />
die nicht nur die Einführung,<br />
sondern die langfristige Schulung von<br />
bestehenden und vor allem neuen Mitarbeitern<br />
sicherstellen. Darüber hinaus bot<br />
von Rundstedt im Rahmen von CRM-Clubs<br />
und Einführungs-Webinaren, in denen alle<br />
relevanten Kernprozesse erklärt wurden,<br />
seinen Mitarbeitern erfolgreiche Plattformen,<br />
um Fragen in der täglichen Nutzung<br />
zu beantworten.<br />
Seither assistiert die CRM-Software bei<br />
der täglichen Kundenpflege: angefangen<br />
bei scheinbar trivialen Dingen wie der<br />
Adressverwaltung, über die persönliche<br />
Kommunikation – etwa mithilfe einer<br />
integrierten Telefoniefunktion – bis hin zur<br />
strukturierten Gesprächsvor- bzw. -nachbereitung.<br />
Der gesamte Vertriebsprozess<br />
wurde überarbeitet, vereinheitlicht und in<br />
der CRM-Lösung abgebildet. „Alle Berater<br />
und Kundenbetreuer erhalten ortsunabhängig<br />
alle relevanten Informationen zu<br />
ihren Kunden und Klienten“, berichtet<br />
Baur über die neue Transparenz, „selbstverständlich<br />
unter Berücksichtigung aller<br />
von Rundstedt &<br />
Partner GmbH<br />
Geschäftsfeld: seit 30 Jahren einer der<br />
führenden Experten für Talent- und Karriereberatung;<br />
länderübergreifende Beratung<br />
in 73 Ländern an 880 Standorten weltweit<br />
Gründung: 1985<br />
Standorte: Zentrale in Düsseldorf,<br />
20 Niederlassungen<br />
Mitarbeiter: rund 340<br />
<br />
www.rundstedt.de<br />
<br />
www.talente-bewegen.de<br />
nötigen Sicherheitsstandards.“ Im Rahmen<br />
der Beratung können Meilensteine dokumentiert<br />
und Beratungsaufwände erfasst<br />
werden – so ist es jederzeit möglich, auch<br />
in komplexeren Beratungsprojekten den<br />
Überblick zu behalten.<br />
Martin Hubschneider, Alexander Dupps<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
47
veranstaltungen | termine<br />
Vom 14. bis 18. März 2<strong>01</strong>6<br />
öffnet die diesjährige Cebit<br />
in Hannover ihre Tore.<br />
Klammer<br />
zwischen<br />
Handel und<br />
Logistik<br />
Cebit 2<strong>01</strong>6 in Hannover<br />
Digitalisierung<br />
im Mittelpunkt<br />
Digitalisierung prägt alle Bereiche von Wirtschaft und Gesellschaft<br />
immer schneller und umfassender und wird damit zum entscheidenden<br />
Treiber von Innovationen. Vor diesem Hintergrund erweist sich<br />
die Cebit dieses Jahr mit ihrem Fokus auf das digitale Business als eine<br />
wichtige globale Leitmesse für die Digitalisierung.<br />
In diesem Rahmen präsentieren Konzerne,<br />
Mittelständler und Start-ups vom<br />
14. bis 18. März 2<strong>01</strong>6 in Hannover sämtliche<br />
relevanten Themen der digitalen<br />
Wirtschaft wie Big Data and Analytics,<br />
Cloud-Anwendungen, Mobile, Social Business,<br />
<strong>IT</strong>-Sicherheit und Internet of Things.<br />
Als Partnerland fungiert in diesem Jahr die<br />
Schweiz. Damit steht eine Nation im Fokus,<br />
die Studien zufolge beim Einsatz digitaler<br />
Technologien im weltweiten Vergleich<br />
führend ist.<br />
Darüber hinaus zählen die „Global Conferences“<br />
zu den Höhepunkten der Cebit. An<br />
vier Tagen diskutieren rund 200 internationale<br />
Sprecher aus Wirtschaft und Politik<br />
die Trends der digitalen Welt. Am fünften<br />
Messetag geht das Blogger-Event „Rock<br />
the Blog“ an den Start. Das Topthema<br />
lautet dabei „D!conomy: join – create –<br />
succeed“. Damit wollen die Veranstalter<br />
den Menschen in seiner Rolle als Entscheidungsträger<br />
und Gestalter der digitalen<br />
Transformation in den Mittelpunkt<br />
rücken. Nicht zuletzt ist die World Tour<br />
des Cloud-Anbieters Salesforce mit einer<br />
Vielzahl von Veranstaltungen exklusiver<br />
Partner des Hannoveraner Events.<br />
<br />
www.cebit.de<br />
Handelsprozesse und<br />
Logistik greifen immer intensiver<br />
ineinander und bedingen<br />
sich gegenseitig. Dabei ist einer<br />
der Treiber für beide Wirtschaftssegmente<br />
der E-Commerce. Mit<br />
steigender Geschwindigkeit bei<br />
den Bestellprozessen per Mausklick<br />
sowie der Verknüpfung<br />
von Online- und Offline-Käufen<br />
wird von den dahinter liegenden<br />
logistischen Prozessen eine hohe<br />
Effizienz für beschleunigte Auftragsabwicklung<br />
und Lieferung<br />
erwartet. Mit ihrem Informationsund<br />
Ausstellerangebot für Experten<br />
und Fachverantwortliche auf<br />
allen Wertschöpfungsstufen von<br />
Handel, Industrie und Dienstleistung<br />
will die Trade World 2<strong>01</strong>6 in<br />
Halle 6 des Stuttgarter Messegeländes<br />
die Klammer zwischen<br />
Handel und Logistik bilden.<br />
Die Plattform für aktuelle Handelsprozesse,<br />
die vom 8. bis 10. März<br />
zum dritten Mal im Rahmen der<br />
internationalen Intralogistikmesse<br />
Logimat in Stuttgart veranstaltet<br />
wird, beleuchtet die Anforderungen<br />
des stationären, interaktiven<br />
und Multichannel-Handels und<br />
dabei vorrangig die logistischen<br />
Lösungsansätze für die Herausforderungen<br />
hinter Webshops.<br />
Präsentiert werden Produkte<br />
und Services für die Gestaltung,<br />
Steuerung und Digitalisierung<br />
der Bereiche Einkauf, Marketing,<br />
Vertrieb, Payment, Distribution,<br />
Retouren-Management<br />
und Aftersales zur Optimierung<br />
der Handels- und Vertriebsprozesse<br />
im E-Commerce. Darüber<br />
hinaus informiert die Plattform<br />
über ERP-Systeme und<br />
liefert Angebote im Bereich<br />
Fulfillment und Beratung.<br />
<br />
www.tradeworld.de<br />
48 <strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
termine | veranstaltungen<br />
Problemfelder<br />
des<br />
Datenschutzes<br />
Spätestens seit Edward<br />
Snowden als „Whistleblower“<br />
die deutsche Öffentlichkeit mit<br />
aufrüttelnden Informationen über<br />
das Ausmaß der Bespitzelung<br />
der Bürger durch Geheimdienste<br />
versorgt hat, ist das Bewusstsein<br />
hierzulande hinsichtlich des<br />
Datenschutzes geschärft. Neue<br />
Urteile dazu von obersten Gerichten<br />
z.B. vom EuGH zur Vorratsdatenspeicherung<br />
und einschlägige<br />
Gesetzeswerke erhalten dadurch<br />
einen ganz neuen Stellenwert.<br />
Überdies wurde am 15. Dezember<br />
2<strong>01</strong>5 der Text der ab dem<br />
1. Januar 2<strong>01</strong>8 wirksamen EU-<br />
Datenschutzgrundverordnung<br />
bekannt, die das deutsche Datenschutzrecht<br />
spürbar ändern wird.<br />
Zudem müssen sich deutsche<br />
Unternehmen nicht zuletzt aufgrund<br />
des Bekanntwerdens ständig<br />
neuer Datenschutzskandale,<br />
Gutachten über massive Lücken<br />
in der Sicherheit betrieblicher<br />
<strong>IT</strong>-Systeme und dem stärkeren<br />
Überwachungsdruck durch die<br />
Aufsichtsbehörden immer stärker<br />
mit dem Thema Datenschutz<br />
beschäftigen. Die Aufklärung<br />
über neue Normen und <strong>IT</strong>-Risiken<br />
ist daher ein wichtiger Schritt,<br />
um Schadensersatz, Bußgelder<br />
und Rufschädigung zu vermeiden.<br />
Vor diesem Hintergrund will<br />
die Tagung „Datenschutz und<br />
Datensicherheit-Update“ am<br />
15. März 2<strong>01</strong>6 in Wiesbaden mit<br />
Fachvorträgen namhafter Experten<br />
die aktuellen Problemfelder<br />
des Datenschutzes vermitteln,<br />
aufklären und praktische Handlungsanweisungen<br />
geben.<br />
<br />
www.esturias.de/<br />
übersicht-15-03-2<strong>01</strong>6<br />
Moderne Einkaufsorganisation<br />
Die Beschaffung<br />
wird mobile<br />
Vernetzung sowie mobile Szenarien bestimmen<br />
die Einkaufsorganisation der Zukunft; überdies<br />
werden immer mehr Prozesse digitalisiert.<br />
Die Verantwortlichen erhalten per Knopfdruck,<br />
optisch gut aufbereitet, die von ihnen benötigten<br />
Informationen über Marktentwicklungen,<br />
Risiken und Lieferanten sowie die relevanten<br />
Key Performance Indicators.<br />
Den digitalen<br />
wandel erfolgreich<br />
meistern<br />
Der operative Einkauf<br />
wird automatisiert von<br />
der Bestellung bis zur<br />
Bezahlung der Rechnungen.<br />
Der strategische Einkauf wird unterstützt<br />
durch immer leistungsfähigere E-Sourcing- und<br />
Supplier-Relationship-Management-Lösungen<br />
sowie aussagekräftige Einkaufs-Cockpits. Vor<br />
diesem Hintergrund stehen auf den 7. BME-E-<br />
Lösungstagen am 8. und 9. März 2<strong>01</strong>6 in Düsseldorf<br />
u.a. folgende Themen im Fokus:<br />
› Digitalisierung von Vergabeprozessen:<br />
effektiv und schnell<br />
› Einkauf 4.0: vollautomatisierte Prozesse<br />
und systemgestützes Contract Management<br />
› Purchase to Pay: Warum lohnt sich ein<br />
durchgängiger Workflow?<br />
› Standardisierte Beschaffungsprozesse:<br />
transparent und compliant<br />
› Prozesseffizienz durch End-to-End-<br />
Integration<br />
Die Lösungstage wollen einen umfassenden<br />
Überblick über Best-Practice-Ansätze geben. Sie<br />
zeigen weiterhin auf, welche Projekte angestoßen<br />
werden sollten, um den digitalen Wandel erfolgreich<br />
zu meistern. In einer rund 70 Aussteller<br />
umfassenden Fachmesse präsentieren sich zudem<br />
verschiedene Anbieter aus dem E-Procurement.<br />
<br />
www.bme.de/eloesungstage<br />
Zukunft der<br />
<strong>IT</strong>-Services<br />
„Die Zukunft macht Pause<br />
– und dann einen Sprung …“<br />
Dies schrieb Robert L. Bartley<br />
vor 25 Jahren in einer Kolumne<br />
des Wall Street Journal. Heute<br />
erleben wir diesen Sprung hautnah.<br />
Denn die digitale Revolution<br />
hat mittlerweile sämtliche Stufen<br />
der industriellen Wertschöpfung<br />
erfasst. Ein wesentlicher Treiber<br />
dieser Entwicklung ist die Transformation<br />
des Service-Geschäfts.<br />
Dabei ist die intelligente Einbindung<br />
von Technologien erfolgskritisch.<br />
Das gilt insbesondere für<br />
wissensintensive Dienstleistungen<br />
rund um das Management von <strong>IT</strong>-<br />
Services, Call- und Service-Center-Leistungen<br />
oder Aktivitäten<br />
des technischen Kundendiensts.<br />
Mit diesen Facetten beschäftigen<br />
sich über 400 Experten<br />
und Manager aus zehn Ländern<br />
im Rahmen der Usu World am<br />
20. und 21. April 2<strong>01</strong>6 in Bonn,<br />
wobei das ehemalige Plenargebäude<br />
des Deutschen Bundestages<br />
eine besondere Kommunikations-<br />
und Erlebnisplattform<br />
bieten soll. Über 40 Referenten<br />
werden in fünf parallel stattfindenden<br />
Vortragsreihen präsentieren,<br />
wie sich ihre Unternehmen<br />
im Wettbewerbsumfeld durch<br />
erfolgreiche Service-Konzepte und<br />
deren praktische Umsetzung differenzieren.<br />
Dabei stehen folgende<br />
Themen im Mittelpunkt: <strong>IT</strong>-Service-Management,<br />
Software Asset<br />
Management, Business Service<br />
Monitoring, Knowledge Solutions<br />
im <strong>IT</strong>- und Kundenservice,<br />
Social Business und Social CRM<br />
sowie Service-Automatisierung im<br />
Maschinen- und Anlagenbau.<br />
<br />
www.usu-world.com<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
49
Vorschau auf Heft 3/2<strong>01</strong>6<br />
IMPRESSUM<br />
Herausgeber: Klaus Dudda<br />
Redaktion: Guido Piech (verantwortlich für den Inhalt), Ina Schlücker (IS),<br />
Berthold Wesseler (WE), Lea Sommerhäuser (LS), Kathrin Zieblo (ZI),<br />
Robert Schindler (RS)<br />
E-Mail Redaktion: redaktion@itmittelstand.de<br />
www.itmittelstand.de<br />
Ständige Mitarbeit: Siegfried Dannehl (SD), Daniela Hoffmann (DH), Ekkehard<br />
Schuck (ES), Renate Simon (RS), Ingo Steinhaus (ST), Markus Strehlitz (MST)<br />
Autoren dieser Ausgabe: Frank Bärmann, Helge Dolgener, Alexander Dupps,<br />
Paula Hansen, Martin Hubschneider, Baldur Scherabon<br />
Verlag<br />
MEDIENHAUS Verlag GmbH<br />
Bertram-Blank-Str. 8 · 51427 Bergisch Gladbach<br />
Tel.: 0 22 04 / 92 14 - 0 · Fax: 0 22 04 / 92 14 - 30<br />
E-Mail Verlag: info@medienhaus-verlag.de<br />
Geschäftsführer: Klaus Dudda<br />
Grafik: Daniel Hering, Olaf Heß<br />
Titelfoto: Claus Uhlendorf<br />
Bildnachweis: Fotolia (42, 43) Thinkstock/iStock (S. 4-9, 24-26,<br />
36, 40+41, 49+50), Thinkstock/Digital (S. 15 ), Thinkstock/Hemera (S. 32 ),<br />
Thinkstock/Stockbyte (S. 3), Claus Uhlendorf (S. 4, 16-23) sowie Produkt- und<br />
Personenfotos der genannten Hersteller.<br />
Infrastrukturen<br />
Moderne ERP-Systeme<br />
ERP-Systeme sind in mittelständischen Unternehmen die<br />
Schaltzentralen. Die Software-Lösungen regeln den effizienten Einsatz<br />
vorhandener Ressourcen wie Kapital, Betriebsmittel und Personal.<br />
Worauf es bei der Auswahl der richtigen ERP-Software in Zeiten von<br />
Industrie 4.0, dem Internet of Things und nicht zuletzt der neuen<br />
Möglichkeiten cloud-basierter ERP-Lösungen ankommt und wie<br />
Anwenderunternehmen ERP-Projekte erfolgreich umsetzen, darüber<br />
informiert unsere kommende ERP-Rubrik.<br />
Weitere Themen<br />
› Cloud Computing ›<br />
› Mythos konservativer Mittelstand?<br />
Anzeigenverkauf / Mediaberatung<br />
Gesamtanzeigenleiter: Thomas Büchel<br />
Leiter Verkauf: Hendrik Dreisbach<br />
Beratung/Verkauf: André Kollath<br />
Assistenz: Susanne Rosenbaum<br />
Anzeigenverwaltung: Jutta Herkenrath<br />
E-Mail Anzeigen: anzeigen@medienhaus-verlag.de<br />
Anzeigenpreise: Es gilt die Anzeigenpreisliste vom 1.1.2<strong>01</strong>6<br />
Abonnement<br />
Jahresbezugspreis: Inland 75,- EUR<br />
inkl. Versand und MwSt., Europa 99,- EUR inkl. Versand<br />
Erscheinungsweise: 10 x jährlich<br />
Abonnenten-Service: +49 (0) 2204 / 92 14 - 0<br />
Online-Marketing<br />
MEDIENHAUS Internet Publishing GmbH<br />
Beratung: Thomas Büchel<br />
Druck/Druckunterlagen:<br />
L.N. Schaffrath GmbH & Co. KG DruckMedien<br />
www.schaffrath.de<br />
Erscheinungstermin<br />
7. März 2<strong>01</strong>6<br />
Redaktionsschluss<br />
8. Februar 2<strong>01</strong>6<br />
Anzeigenschluss<br />
15. Februar 2<strong>01</strong>6<br />
Gedruckt auf chlorfrei gebleichtem Papier<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTANDunterstütztdiefreiwilligeSelbstkontrollederdeutschenPresse.<br />
Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind ur heberrechtlich<br />
geschützt. Mit Ausnahme der gesetzlich zugelassenen Fälle ist eine<br />
Ver wertung ohne Einwilligung des Verlages strafbar. Für unverlangt eingesandte<br />
Beiträge haftet der Verlag nicht. Beiträge sind aber willkommen.<br />
50 <strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6
<strong>IT</strong>-ZOOM.DE ALS<br />
„BESTE WEBS<strong>IT</strong>E“<br />
AUF SHORTLIST PLATZIERT!<br />
© MEDIENHAUS Verlag GmbH<br />
www.it-zoom.de
unvergleichbare<br />
qualitÄt<br />
unser un-outsourcer-angebot:<br />
run-on-satisfaction<br />
fÜr dynamische sap-lÖsungen<br />
Keine Vertragsbindung nach erfolgter Migration.<br />
Mehr Infos unter t-systems.de/un-outsourcer