IT-MITTELSTAND 01/2016

IT-MITTELSTAND 1-2/2016 3/2013
G59638
www.itmittelstand.de
Österreich: 3,30 EUR
Luxemburg: 3,45 EUR
Schweiz: 5,90 SFr
DEUTSCHLAND: 3,00 EUR
IT-BUSINESS IM MITTELSTAND
IT-BUSINESS IM MITTELSTAND
E-Commerce
Auf die Bezahlverfahren
kommt es an
Seite 24
IT-Sicherheit
Passende Abwehrmaßnahmen
Seite 32
Dokumenten-
Management
Lückenlose Verfahrensdokumentation
Seite 42
auf
Kommunikation
Im Interview
Alfons Maier (li.),
Leiter Organisations- und
Informationsmanagement,
und Vladimir Filev,
Enterprise Architect
bei Weleda
Seite 16
einheitlicher
Arzneimittel- und
Naturkosmetikspezialist
Weleda
BASIS
MEDIENHAUS VERLAG
Postfach 300111 • 51411 Bergisch Gladbach
Postvertriebsstück • »Entgelt bezahlt«

arvato Systems – Empowering Digital Leaders.
Clevere IT-Lösungen – für Ihre digitalen
Geschäftsmodelle
Schnelle und sichere IT-Systeme sind Basis für die digitale
Transformation. Die Lösungen von arvato Systems vernetzen
sämtliche Geschäftsprozesse intelligent miteinander, machen
Daten zugänglich, schaffen Transparenz und unterstützen die
präzise Steuerung von Abläufen. Spannend?
Wir freuen uns auf Ihre Fragen!
it.arvato.com
arvato Systems | An der Autobahn 200 | 33333 Gütersloh | info@arvato-systems.de

vorwort
Kopierer sind
Datensammler!
Sie stehen in fast jedem
Büro und werden tagtäglich
von sämtlichen
Mitarbeitern rege genutzt:
Multifunktionsgeräte. Dass
sich hinter diesen „Alleskönnern“
für’s Drucken, Kopieren,
Scannen und Faxen zugleich
wahre Datensammler verbergen,
scheint den wenigsten
Nutzern bewusst zu sein. So
förderte etwa eine Umfrage des
TV-Magazins ARD Plusminus
im Oktober letzten Jahres ein
erschreckendes Ergebnis zutage:
Die Hälfte der insgesamt 200
Befragten war sich nicht darüber
im Klaren, dass ihr Kopierer
überhaupt Daten speichert.
Doch das tut er – und zwar auf
der Festplatte, die in der Regel
bei solchen Geräten eingebaut
ist. Das Fatale daran: Wird diese
Festplatte am Nutzungsende
nicht vollständig gelöscht,
das Multifunktionsgerät aber
beispielsweise weiterverkauft,
könnten bisweilen äußerst sensible
Daten in falsche Hände
geraten. Denn wie ARD Plusminus
ebenso herausgefunden
hat, lassen sich mithilfe einer
entsprechenden und sogar kostenlosen
(!) Software aus dem
Internet Daten von Gebrauchtgeräten problemlos
wiederherstellen. Für Geheimnisträger
wie Rechtsanwälte oder die Polizei wäre
das natürlich besonders brisant, schließlich
könnten auf diese Weise etwa Strafbefehle,
Dokumente zu Mahnverfahren und Zeugenvernehmungen
„außer Haus“ gelangen.
Doch auch die Daten von
„Nicht-Geheimnisträgern“
dürfen keinesfalls in falsche
Hände geraten, ansonsten
haftet der jeweilige Unternehmer,
bisweilen sogar mit
Freiheitsstrafe. In Deutschland
ist man bekanntlich
und zu recht sehr penibel,
Lea Sommerhäuser,
was den Datenschutz anbelangt.
Unternehmer müssen IT-MITTELSTAND
Redakteurin
also in jedem Fall dafür sorgen,
dass ihre IT-Systeme immer gut gegen
Angreifer abgesichert sind – und somit auch
die Daten auf ihren Multifunktionsgeräten
nicht abgegriffen werden können. Wird ein
solches Gerät weiterverkauft, dürfen keinerlei
Informationen auf dessen Festplatte
zurückbleiben. Wie die Datenlöschung
genau funktioniert, erfahren Sie in dieser
Ausgabe auf Seite 42.
Viel Spaß beim Lesen wünscht
Lea Sommerhäuser
SEITE
24
Bezahlverfahren
im E-Commerce
› Schreiben Sie uns
E-Mail: redaktion@itmittelstand.de | Twitter: @ITMredaktion | Facebook & Google+: IT-Mittelstand
IT-Mittelstand 1-2 | 2016

Markt
Trends
6 Handel über Online-Marktplätze
Neben reinen Webshops öffnen auch immer mehr
B2B-Online-Marktplätze. Wo liegen die Vorteile dieser
Vertriebsform und worauf müssen Händler bei der Auswahl
achten?
SEITE
24
Cloud Computing
8 Was bringen IT-Sicherheitszertifizierungen?
Der Bezug von Cloud-Diensten, vor allem solcher aus der
Public Cloud, wirft datenschutzrechtliche Fragen auf.
Inwieweit Zertifizierungen bessere Übersichtlichkeit und
Vergleichbarkeit ermöglichen, erläutert Dr. Hubert Jäger
von Uniscon.
Organisation
E-Commerce
Auf die Auswahl kommt es an
Für Einzelhändler sind Webshops längst Pflicht. Für einen
erfolgreichen Kaufabschluss ist oftmals das Bezahlverfahren
– von denen es nicht wenige gibt – entscheidend. Die
Erwartungshaltung der Kunden und der Verwaltungsaufwand
der Händler stehen sich hier gegenüber.
datenanalyse
14 Cloud und Internet der Dinge
Hewlett-Packard Enterprise (HPE) zeigte Anfang Dezember
2015 auf seiner europäischen Anwenderkonferenz
„Discover“ Lösungen, die das Management von hybriden
Infrastrukturen sowie die Analyse von IoT-Daten
vereinfachen sollen.
SEITE
16
SEITE
12
Organisation
Titelinterview
Personality
Ausgeprägte
regionale Wurzeln
Thomas Ruban, Vice
President Europe, Middle
East and Africa bei Juniper
Networks
Kommunikation
auf einheitlicher Basis
Ein neues Mitarbeiterportal inklusive sozialem Netzwerk
sorgt bei der Weleda AG für eine bessere Kommunikation,
wie Alfons Meier (li.) und Vladimir Filev im Gespräch
erläutern.
4
IT-MITTELSTAND 1-2 | 2016

januar 2016 5
SEITE
32
SEITE
42
Infrastrukturen
IT-Sicherheit
Software
Dokumenten-Management
Sicherheit mit Lücken
Die Sicherheitslage ist für mittelständische Unternehmen
ähnlich dramatisch wie für große. Doch kleinen und mittleren
Firmen fällt es schwerer, sich gegen Hacker oder Malware zur
Wehr zu setzen. Ihnen fehlen häufig das Personal und das
Know-how. Mit Managed Security Services oder einfach zu
bedienenden Sicherheitslösungen lassen sich diese Nachteile
wettmachen.
Hauptsache, die Chemie stimmt
Dank eines Dokumenten-Management-Systems (DMS)
lassen sich beim Verband der chemischen Industrie nicht
nur Geschäftsprozesse optimieren, sondern auch detaillierte
Verfahrensdokumentationen realisieren.
Organisation
E-Commerce
34 Shop für schadstofffreie
Produkte
Eine „Out of the Box“-Shop-Lösung aus
der Cloud konnte beim Versandhändler für
schadstofffreie Lebensmittelaufbewahrung
nicht mit dem Wachstum mithalten.
30 Zentrales Marketing
für Plüschtiere
Daniel Barth, Geschäftsführer der Margarete
Steiff GmbH, berichtet von der Software-
Einführung für einen kanalübergreifenden,
einheitlichen Markenauftritt des Unternehmens.
Infrastrukturen
IT-Sicherheit
36 Drei Fragen an ...
... Bertram Dorn, Solutions Architect bei
Amazon Web Services, und Khaled Chaar,
Managing Director Business Strategy bei der
Cancom-Tochter Pironet NDH
40 Mittelstand wiegt sich
in Sicherheit
Im Interview erläutert Florian Malecki,
Product Marketing Director bei Dell Network
Security, inwieweit mittelständische Unternehmen
die IT-Sicherheit bereits in ihrer
Unternehmensstrategie verankert haben.
Software
Dokumenten-
Management
44 Wie sicher sind Kopierer?
Multifunktionssysteme (MFP) verarbeiten
beim Drucken, Kopieren und Scannen
auch sensible Unternehmensinterna und
vertrauliche persönliche Informationen. Vielen
Benutzern ist nicht bewusst, dass diese Daten
meist im MFP gespeichert werden – und
zwar auf der internen Festplatte.
Standards
3 Vorwort: Kopierer sind Datensammler!
38 Buchtipps zum Thema IT-Sicherheit ›
48 Veranstaltungen
50 Vorschau auf Heft 3/2016
50 Impressum
IT-Mittelstand 1-2 | 2016

markt | trends
Energieeffizienz im RZ
Stromkosten im
Blick behalten
Können Sie die
anfallenden Stromkosten
in einzelne Kostenfaktoren
(z.B. Facility Management, IT)
differenzieren bzw. Kostenverursachern
zuordnen?
Ja:
28,3 %
Nein:
58,7 %
Weiß nicht:
13,0 %
Durch welche Maß nahmen
lässt sich Ihrer Meinung
nach der Stromverbrauch
am effektivsten reduzieren?
(Mehrfachnennungen)
Energieeffizientere Hardware:
63,0 %
Virtualisierung:
58,2 %
Klimatisierung/Kühlung:
30,4 %
RZ-übergreifende Lastkopplung
oder -verlagerung:
30,4 %
Neue Raumkonzeption:
18,5 %
Sonstige:
25,5 %
Basis: 200 deutsche Unternehmen und
Organisationen mit 10 bis 999 Mitarbeitern
Quelle: Techconsult
B2B entdeckt neue Vertriebswege
Handel über Online-
Marktplätze
E-Commerce ist ein wichtiges Thema für den deutschen Mittelstand.
Neben reinen Webshops öffnen auch immer mehr B2B-Online-Marktplätze.
Wo liegen die Vorteile dieser Vertriebsform und worauf müssen Händler bei
der Auswahl achten?
B2B-Online-Marktplätze führen Verkäufer
und Käufer virtuell zusammen.
Der Käufer soll von der großen
Produktauswahl unterschiedlicher Anbieter
profitieren. Der Verkäufer hingegen erreicht
eine Vielzahl potentielle Käufer. Zu den
bekanntesten internationalen Marktplätzen
zählen Alibaba und Amazon Business.
Viele deutsche Firmen zögern allerdings
und sehen eine Gefahr darin, ihre Preisstrategien
für unterschiedliche Länder oder
Käufergruppen online nicht mehr schützen
können. Folgende Argumente können
Händlern die Entscheidung für einen
Online-Marktplätze im B2B erleichtern:
› Zeit und Geld sparen: Der Handel über
Online-Marktplätze spart Arbeitszeit, Personal-
und Reisekosten für beide Seiten.
› Alternative zum Webshop: Um als Mittelständler
in den B2B-Online-Handel einzusteigen,
eignen sich Marktplätze als günstige
und risikoarme Alternative zum eigenen
Webshop.
› Wertschöpfung ankurbeln: Für wenig
umsatzstarke oder demnächst auslaufende
Waren eignen sich Online-Marktplätze.
Mit geringem Budget können sie einer
großen Zielgruppe angeboten werden und
so zur Wertschöpfung des Unternehmens
beitragen.
› Neue Märkte testen: Über internationale
Marktplätze können neue Märkte mit geringem
Risiko getestet werden. Die Plattformbetreiber
wissen dadurch, wie der Handel
im Ausland erfolgt inklusive fälliger Zölle
und Steuern.
Kurzmeldungen
Unternehmen
B2B-Handelsplattform
;;
Mit seiner SaaS-Applikation will Kyto Industrie-
Unternehmen ermöglichen, die internationale
Reichweite einer Vielzahl von B2B-Plattformen wie
Alibaba oder Directindustry effizient zu nutzen.
Auf Wachstumskurs
;;
Die Optimal-Systems-Gruppe setzt ihren Wachstumskurs
fort. Der Anbieter von Enterprise-Content-Management-Software
(ECM) konnte 2015
seinen Umsatz um knapp acht Prozent steigern.
6 IT-MITTELSTAND 1-2 | 2016

trends | markt
› Einfache Rechnungslegung: Fungiert der
Marktplatzbetreiber für die Rechnungslegung
als Mittelsmann, wird im ERP-System
unabhängig von der Zahl an Käufern bzw.
Verkäufern nur ein Kunde angelegt.
Auswahl treffen
Fällt die Entscheidung, einen solchen
Marktplatz zu testen – ob als Einstieg in den
Online-Handel, in ein neues Land oder als
zusätzlichen Kanal für ein Teilsortiment –,
geht es an die Auswahl einer geeigneten
Plattform. Die Lösungen unterscheiden
sich hinsichtlich Optik, Reichweite und
Funktionen stark voneinander. Auf einigen
Marktplätzen werden ausschließlich Restposten
gehandelt. Andere Anbieter spezialisieren
sich auf bestimmte Branchen und
Produktarten oder auch Regionen. Bei der
Auswahl einer Plattform sollten Unternehmen
folgende Kriterien beachten:
› Sicherheit: Der Marktplatz sollte ein SSL-
Zertifikat vorweisen. Es zeigt an, dass online
eingegebene, persönliche Daten über den
gesicherten Datentransfer geheim gehalten
werden.
› Validierung: Der Unternehmenseintrag
aller Käufer und Verkäufer sollte über Handelsauskünfte
oder über die Umsatzsteuer-
Identifikationsnummer geprüft werden.
› Preisschutz: Der Marktplatz muss
gewährleisten, dass die Preisstrategien
geschützt werden, u.a. bei der Auswahl
einzelner Verkaufsländer, die nur für Unternehmen
des Landes sichtbar sein sollten.
Einige Plattformen bieten auch den Aufbau
einer nicht öffentlichen Marktplatzumgebung
an, zu der nur geladene Käufer
Zutritt haben.
› Branchen-Auflagen: Je nach Branche gibt
es bestimmte Handelsauflagen. Bei IT/Consumer
Electronics müssen z.B. alle technischen
Daten übersichtlich einsehbar sein.
› Marken-Branding: Auch in einem Marktplatz
sollte es möglich sein, Markenprodukte
in einem Auftritt zusammen anzubieten
und die Marke auf diesen Seiten
erlebbar zu machen.
› Sicher Bezahlen: Zoll und Steuerabgaben
sind in jedem Land anders. Der Anbieter
sollte daher eine länderspezifische
Rechnungslegung nachweisen können.
Auch Sicherheiten gegen Zahlungsausfall
bzw. Lieferausfall sollten vorab geprüft
werden.
www.stockondeals.com
Ab auf die schwarze Liste
Hilfestellung zur Spam-Abwehr
Pragmatismus statt Cloud
Firmen-RZ weiterhin wichtig
Dem Trend in Richtung Cloud zum
Trotz werden firmeneigene Rechenzentren
in den nächsten Jahren weiterhin
eine hohe Bedeutung haben.
Dies geht aus dem aktuellen Report
„Hardware-Einsatz in Deutschland“
der IT-Budget GmbH hervor. Laut der
zugrunde liegenden Umfrage unter 120
Geschäftsführern und Vorständen aus
der mittelständischen Wirtschaft gehen
78 Prozent davon aus, dass der Anteil
der Firmen-RZs an der mittelständischen
IT in fünf Jahren noch bei über 40
Prozent liegen wird. 65 Prozent gehen
von immerhin noch mehr als 30 Prozent
aus. Lediglich 16 Prozent der Mittelstands-Chefs
erwarten einen Rückgang
des Anteils firmeneigener Rechenzentren
auf weniger als 10 Prozent.
„Diese Prognose geht konform mit der
Erkenntnis, dass satte 76 Prozent der
deutschen Mittel ständler lieber selbst
ein Rechenzentrum betreiben, statt ihre
Firmen-IT einer Cloud anzuvertrauen“,
Alle welt redet …
… über die Cloud. Aber für viele Mittelständler hat ein eigener Server viele Vorteile.
Stimme zu:
65 %
Stimme etwas zu:
11 %
Stimme nicht zu:
24 %
Die Kompetenzgruppe „E-Mail“
des Internet-Verbands Eco hat einen
neuen Blacklist-Leitfaden erarbeitet, mit
dem Firmen unerwünschte Werbung
(Spam) aus der Flut elektronischer Nachrichten
herausfiltern können. Zielgruppe
sind eigenen Angaben zufolge die Postmaster
und E-Mailserver-Administratoren
bei Internet-Service-Providern und
Unternehmen. Ihnen will der Verband
aufzeigen, welche schwarzen Listen für
ihre Zwecke am besten geeignet und wie
sie zu verwenden sind. Zum Hintergrund:
Um der Spam-Flut entgegenzuwirken,
setzen viele Postmaster auf in Echtzeit
gepflegte, DNS-basierte Blacklisten
(DNS Based Realtime Blacklists) von IP-
Adressen, ganzen Netzen oder Domains.
Häufig herrscht dabei Unklarheit über
die geeigneten Nutzungsmöglichkeiten
dieser Listen. So würden Listen zur
Ablehnung von E-Mails eingesetzt, die
oft besser zur Spam-Markierung verwendet
werden sollten. Aus diesem Grund
hat die Kompetenzgruppe eine praxisnahe
Checkliste erstellt, mit der Postmaster
ihre DNS-basierten Blackliste
daraufhin prüfen können, ob sie für die
angedachte Nutzung infrage kommt.
https://e-mail.eco.de/downloads.html
erklärt Christoph Laves, Geschäftsführer
bei IT-Budget. Als wichtigste Gründe für
das eigene RZ statt der Cloud werden
die höhere Sicherheit (62 Prozent), die
leichtere Anpassbarkeit an betriebliche
Belange (51 Prozent) und die geringere
Abhängigkeit (47 Prozent) genannt.
„Der deutsche Mittelstand geht pragmatisch
an das Thema Cloud heran“,
sagt Hardware-Experte Christoph Laves.
„Statt sich der ideologischen Cloud-
Diskussion anzuschließen, prüfen die
Firmen genau, welche Vorteile sie von
der Verlagerung in die Wolke wirklich
haben, und entscheiden dementsprechend
situativ. Bewährte Applikationen
verbleiben auf dem eigenen Server,
bei neuen Anwendungsfeldern wie Big
Data wird eher zu Software as a Service
und Cloud-Diensten gegriffen. Generell
gilt: Cloud Computing wird dann
genutzt, wenn es wirtschaftlich sinnvoll
und nicht zu riskant erscheint.“
www.it-budget.de
Kurzmeldungen
Personen
neue ICV-Geschäftsführerin
;;
Der Internationale Controller Verein (ICV) hat eine
neue Geschäftsführerin: Carmen Zillmer folgte Conrad
Günther, der sich nach 26 Jahren Geschäftsführertätigkeit
auf eigenen Wunsch beruflich neu orientiert.
Wechsel an der Sicherheitsspitze
;;
Bei der Düsseldorfer Secusmart GmbH ist Daniel
Fuhrmann (Bild) seit dem 1. Januar 2016 Mitglied der
Geschäftsführung. Zuvor war er als Chief Operating
Officer (COO) tätig.
➔
IT-Mittelstand 1-2 | 2016
7

markt | cloud computing
Was bringen IT-Sicherheitszertifizierungen?
Bessere
Risikoanalyse
Der Bezug von Cloud-Diensten, vor allem solcher
aus der Public Cloud, wirft datenschutzrechtliche
und haftungsrelevante Fragen auf. Inwieweit
Zertifizierungen bessere Übersichtlichkeit und
Vergleichbarkeit ermöglichen, erläutert
Dr. Hubert Jäger, Geschäftsführer von Uniscon.
ITM: Herr Jäger, welche Standards gibt es
hinsichtlich der Datensicherheit bei Cloud-
Anwen-d ungen?
Hubert Jäger: Datenschutz in der Cloud
ist seit April 2014 durch die ISO/IEC-Norm
27018 definiert. Formal handelt es sich
dabei um Umsetzungsempfehlungen, die
man berücksichtigen kann, wenn man
27001-Zertifikate ausstellen lässt. Denn
die ISO/IEC-Reihe 27000 umfasst ausschließlich
Normen für das Informationssicherheits-Management,
also wie man
sich innerhalb einer Organisation um die
Sicherheit der Daten kümmert. Darin geht
es in erster Linie um Organisatorisches.
Nur der normative Anhang A geht auf die
IT-Sicherheit ein.
Ein Zertifikat soll beglaubigen, dass die
gesetzlichen Vorgaben und Normen vom
Cloud-Dienstleister eingehalten werden.
Dafür gibt es verschiedene Zertifikate: z.B.
das European Privacy Seal (EuroPriSe) und
das Zertifikat nach dem Anforderungskatalog
des Trusted-Cloud-Datenschutzprofils
(TCDP). Vorher konnte nur eine
Zertifizierung gemäß der Norm ISO/IEC
27001:2013 erfolgen, nicht eine nach ISO/
IEC 27018:2014.
ITM: Was ist der Unterschied zwischen einer
Umsetzungsempfehlung und einem Anforderungskatalog?
Jäger: Bei Umsetzungsempfehlungen ist
niemals definiert, welche Anforderungen
genau für ein Zertifikat erfüllt sein müssen.
Auditoren können den Cloud-Dienst
nicht anhand einer Liste von Datenschutzanforderungen
überprüfen und daraus ein
Ergebnis ableiten. Ein Anforderungskatalog,
wie z.B. das TCDP, verlangt für eine
bestimmte Schutzklasse die Umsetzung
bestimmter Maßnahmen. Nach diesen
Vorgaben beurteilt ein Auditor das Schutzniveau
des Dienstes.
ITM: Welche deutschen Zertifikate beziehen
sich ganz klar auf die Datensicherheit?
Jäger: Sowohl das EuroPriSe, das TCDP als
auch der Standard DS-BvD-GDD-01 der
Datenschutzverbände sind deutsche Zertifikate
und haben die Datensicherheit auf
dem Schirm. EuroPriSe wurde 2007 vom
Unabhängigen Landeszentrum für Datenschutz
in Schleswig-Holstein gestartet und
von der Europäischen Union im Rahmen
des eTEN-Programms gefördert. Seit 2014
bietet die EuroPriSe GmbH in Bonn Zertifizierungen
an.
Das TCDP ist Ergebnis des Pilotprojekts
Datenschutzzertifizierung im Rahmen
des Trusted-Cloud-Programms des
Bundeswirtschaftsministeriums (BMWi).
Der Anforderungskatalog ermöglicht es,
dass 2016 auch Zertifikate danach vergeben
werden. Zusätzlich haben Experten
des Berufsverbands der Datenschutzbeauftragten
Deutschlands (BvD) und der
Gesellschaft für Datenschutz und Datensicherheit
(GDD) den Datenschutzstandard
DS-BvD-GDD-01 entwickelt, der speziell für
die Auftragsdatenverarbeitung gilt, aber
nicht explizit für die Cloud.
„Das TCDP schließt eine große Lücke für
Unternehmen, die vorhaben, Cloud-
Dienste zu beziehen. Aktuell besitzen diese
nämlich kaum Möglichkeiten, die Anbieter
bezüglich Rechtskonformität bei der
Datenverarbeitung zu prüfen“,
sagt Dr. Hubert Jäger zum deutschen TCDP-Zertifikat.
ITM: Welche Fragen müssen Unternehmer an
ein Datenschutzzertifikat stellen?
Jäger: Zunächst muss klar sein, wie die
Prüfung der einzelnen Dienste aussieht
und wer der Prüfer und Zertifikatsgeber
ist. Dann stellt sich die Frage, wer die Risikoanalyse
durchführt und nach welchen
Kriterien sie durchgeführt wird. Wichtig
ist zudem, ob sich die Cloud-Dienste hinsichtlich
der Datensicherheit miteinander
Kurzmeldungen
Anwendungen
Archivdienstleistungen übernommen
;;
Iron Mountain übernimmt die Archivdienstleistungen
der Wetsch Möbel- und Kunsttransporte GmbH.
Alle 77 Kunden von Wetsch im Bereich Archivierung
werden dadurch übernommen.
Internationales Geschäft
;;
Mit dem Upgrade der Intershop-Lösung investiert
der Musikhändler Music Store in eine
Shop-Lösung für seinen international
ausgerichteten Online-Handel.
8
IT-MITTELSTAND 1-2 | 2016

cloud computing | markt
die Zusammenarbeit in Teams. In einer
Vorbewertung des TÜV-iT hat er bereits
die höchste Schutzklasse, nämlich Schutzklasse
3, erhalten.
ITM: Welche Schutzklasse können amerikanische
Dienste erreichen?
Jäger: Solange ein amerikanisches Unternehmen
auf die Daten zugreifen kann, so
lange hat die US-Regierung auch die Möglichkeit,
Daten zu verlangen und anlasslos
zu speichern. Dies ist ein so zentraler Punkt
für die Datensicherheit, dass US-Clouds mit
der Schutzklasse 0 zu bewerten sind. Aus
diesem Grund hat ja auch der Europäische
Gerichtshof (EuGH) das „Safe Harbor“-
Abkommen für ungültig erklärt. Mit diesem
Abkommen war bisher rechtlich abgesichert,
wenn Daten von EU-Bürgern in die
USA weitergeleitet wurden.
vergleichen lassen. Gibt es verschiedene,
dem jeweiligen Schutzbedarf angepassten
Schutzklassen? Für die Relevanz eines Zertifikats
ist außerdem entscheidend, inwieweit
sich mit ihm rechtliche Datenschutzverpflichtungen
abdecken lassen.
ITM: Was sagt das European Privacy Seal
(EuroPriSe) genau aus?
Jäger: Das Zertifikat bescheinigt, dass ein
IT-Produkt oder ein IT-basierter Dienst mit
den Vorgaben der europäischen Datenschutzregelungen
konform geht. Die von
der Zertifizierungsstelle zugelassenen Gutachter
wurden vom Hersteller beauftragt,
das Produkt zu beurteilen. Die Zertifizierungsstelle
selbst prüft daraufhin, ob die
Anwendung der Kriterien auf das Produkt
oder den Dienst tatsächlich zutreffen – und
zwar auch im Hinblick auf die konkrete
Anwendung. Dann erst erteilt sie das Euro-
PriSe-Gütesiegel. Es muss also jede einzelne
Anwendung eines Dienstes jedes Mal neu
überprüft werden, wenn er in verschiedenen
Zusammenhängen eingesetzt wird.
ITM: Was besagt das deutsche TCDP-
Zertifikat?
Jäger: Das TCDP schließt eine große Lücke
für Unternehmen, die vorhaben, Cloud-
Dienste zu beziehen. Aktuell besitzen diese
nämlich kaum Möglichkeiten, die Anbieter
bezüglich Rechtskonformität bei der Datenverarbeitung
zu prüfen. Die technischen
und organisatorischen Vorkehrungen zu
kontrollieren, die diese hinsichtlich der
Datensicherheit getroffen haben, gestaltet
sich ebenfalls schwierig. Letztlich sind
Unternehmen dazu aber verpflichtet.
Das Zertifikat bezieht sich explizit auf
den Datenschutz und die Datensicherheit
innerhalb einer Public Cloud. Es standardisiert
die Anforderungen des Datenschutzes
einschließlich der Informationssicherheit.
Damit potentielle Cloud-Nutzer eine Wahl
zwischen verschiedenen Diensten treffen
und den Grad an Datensicherheit beurteilen
können, müssen sie vergleichen
können. Hierfür sieht TCDP Schutzklassen
vor, die auf den unterschiedlichen Schutzbedarf
einzelner Unternehmen eingehen.
Dies soll den Cloud-Nutzern die Wahl
erleichtern und sie unterstützen, die von
den Datenschutzgesetzen geforderten Kontrollpflichten
zu erfüllen. IT-Leiter sollen
damit Haftungsrisiken vermeiden können.
ITM: Gibt es bereits Cloud-Dienste, die nach
TCDP zertifiziert sind?
Jäger: Im ersten Quartal 2016 wird die
Pilotzertifizierung von Idgard abgeschlossen
sein, einem Public-Cloud-Dienst für
ITM: Microsoft beispielsweis kooperiert ganz
bewusst mit T-Systems beim Hosting von
Office 365, um dem Zugriff der US-Gerichtsbarkeit
zu entgehen. Wie bewerten Sie diesen
Schachzug?
Jäger: Microsoft tritt in diesem Modell
als Technologielieferant auf und bietet
gemeinsam mit den deutschen Partnern
Dienstleistungen an: Der Konzern behauptet,
tatsächlich nur noch bei speziellen
Service-Vorfällen auf die Daten zugreifen
zu können. Er könne selbst keine Daten
weiterleiten, selbst wenn die US-Regierung
es wünsche. Das Ganze ist ein Konstrukt,
um mit den rechtlichen Gegebenheiten
umzugehen: Die Verantwortung – also die
Zutritts- und Zugriffskontrolle – liegt, so
die Unternehmenssprecher, bei T-Systems
und damit bei der Telekom. Um zu sagen,
welche Schutzklasse für das „deutsche“
Office 365 gilt, müssen wir eine TCDP-
Zertifizierung abwarten.
Würde Microsoft in Europa wieder als
Dienstanbieter ohne deutsche Schützenhilfe
auftreten wollen, müsste der Konzern
beweisbar ausschließen, dass er selbst und
damit die US-Gerichtsbarkeit auf die Daten
zugreifen kann. Das ließe sich umsetzen,
wie man am Beispiel des Dienstes Idgard
sieht. Die Schutzklasse 3 hat er wegen der
Technologie erreicht, die ihm zugrunde
liegt: Sie hindert selbst den Cloud-Betreiber
daran, auf Daten zuzugreifen. Privacy by
Design eben, wie es der Entwurf der EU-
Datenschutz-Grundverordnung verlangt.
Paula Hansen
Kurzmeldungen
Anwendungen
Archiv-software eingeführt
;;
Das Stadthotel Jülich will mit der Einführung
der Archivsoftware „ecoDMS“ das tägliche
Papierchaos bändigen und Zeit bei der Dokumentensuche
sparen.
Schokolade digital verkaufen
;;
Das Berliner Traditionsunternehmen Rausch setzt mithilfe
seiner überarbeiteten Website auf einen digitalen
Absatz. Der Dienstleister Neofonie entwickelte den
neuen Online -Shop für den Schokoladenproduzenten.
➔
IT-Mittelstand 1-2 | 2016
9

ADVERTORIAL
Aus Daten wird
fundiertes Wissen
Relevante Geschäftsinformationen
jederzeit zur Hand zu haben, um bessere
und punktgenaue Entscheidungen
treffen zu können, wird in dem heutigen,
schnelllebigen Marktumfeld immer
wichtiger. Vor diesem Hintergrund
versuchen sich viele Unternehmen bereits
seit längerem an Business-Intelligence-
Konzepten. Sie scheiterten jedoch häufig
daran, die unterschiedlichen Daten aus
verschiedensten Quellen anschaulich und
schnell verständlich zu visualisieren. Mit
Microsoft Power BI gelingt dies nun –
ohne aufwendigen Support seitens der
IT-Abteilung, auf vorhandenen Systemen.
IM
Fokus aller Business-Intelligence-Aktivitäten steht
die Zielsetzung, wertvolle Geschäftsinformationen
sowie Marktdaten zu gewinnen, sie in Relation zueinander
zu setzen und in einer Weise sichtbar zu machen, dass sie
als valide Grundlage für gewinnbringende Geschäftsentscheidungen
dienen können. Von einem technologischen Standpunkt aus
betrachtet geht es darum, aus vorhandenen, jedoch weitgehend
ungenutzten Rohdaten aussagekräftige Einblicke in die eigenen
Geschäftsaktivitäten und das Geschäftsumfeld
zu erzielen, um flexibel reagieren zu können.
Dies änderte sich erst mit der verbreiteten Nutzung von
Microsoft Excel, mit dem auch Nicht-IT-Spezialisten
Daten aufbereiten konnten. Excel ebnete gewissermaßen
den Weg zu modernen Self-Service-BI-Modellen,
denn mit Power Pivot erlangte die Software Funktionalitäten,
die zuvor nur Datenbanken hatten bieten
können. Jetzt war es auch einzelnen Mitarbeitern oder
Projektteams möglich, größere Datenmengen aus
unterschiedlichen Quellen in Entscheidungsprozesse,
Prognosen und Forecasts einzubeziehen.
Den entscheidenden Schritt können die Anwender nun
aber mit Microsoft Power BI gehen, einem modernen
BI-Ansatz, der bestehende Analyse-Plattformen einbezieht
und erweitert, anstatt sie zu ersetzen. Das Ziel
hinter Power BI: Jedem Mitarbeiter soll es möglich
sein, die für seine Arbeit relevanten Daten an einem
Ort zu aggregieren, zu visualisieren, zu analysieren
und zu teilen – und das ohne Progammier- und IT-
Kenntnisse.
Erfahren Sie mehr unter:
www.it-zoom.de/advertorial/microsoft_power_bi
Kein Experten-Know-how
notwendig
Bislang spielte die IT eine Schlüsselrolle bei
der Gewinnung und Verwertung der relevanten
Informationen. Denn der Aufbau
umfangreicher Data Warehouses
und die Konzeption komplexer Datenund
Berichtsmodelle erforderten tiefes IT-Knowhow.
Dies führte zwangsläufig dazu, dass die Nutzer
aus den Fachbereichen auf die weitreichende
Unterstützung der IT angewiesen waren, selbst
bei der Berichtsentwicklung. Informationen
waren selten adhoc verfügbar, sondern immer
erst am Ende langwieriger Prozessketten.
Microsoft Power BI ...
... ist ein cloud-basierter Business-Analytics-Dienst, mit dem sich Daten einfach visualisieren
und analysieren lassen. Zielgruppe sind Nutzer ohne IT-technischen Hintergrund,
die dank dem Software-as-a-Service-Dienst alle relevanten Daten an einem zentralen
Punkt verbinden und daraus interaktive Dashboards und Reports erstellen können. Dabei
ist unerheblich, ob die Daten aus lokalen Systemen beim Anwender stammen oder sich
in der Cloud befinden.
Power BI besteht aus dem kostenlosen, lokalen Power BI-Desktop, der als persönliche
BI-Umgebung dient, und dem Online-Service zur visuellen Darstellung und Aufbereitung
von Daten und Reports. Zusätzlich ist ein Set an nativen, interaktiven Applikationen für
die führenden mobilen Plattformen Android, iOS und Windows verfügbar, die den sicheren
Zugriff auf die Power BI-Dashboards und -Reports ermöglichen. Power BI lässt sich über
Schnittstellen an externe Anwendungen und Web-Lösungen anbinden.
10
IT-MITTELSTAND 1-2 | 2016

ADVERTORIAL
eigene Visualisierungen, z.B. nach
Hichert, zu erstellen:
powerbi.microsoft.com/
custom-visuals
Mobile Applikationen
Power BI ermöglicht den sicheren
Echtzeitzugriff auf Dashboards auch
von mobilen Endgeräten aus. Dieser
erfolgt über native, interaktive Apps
für Windows, iOS und Android, die
natürlich für die kleineren Displays
optimiert sind.
Breiter Funktionsumfang
Live Dashboards
Ein Power BI-Dashboard ist ein Set
von Charts, das aus einem oder
mehreren Reports erzeugt wird und
die Ergebnisse in einer leicht zugänglichen
Form darstellt – ausgeprägte
Analyse-Expertise ist nicht vonnöten.
Dabei sind die Dashboards je nach
Datenquelle live. Ist also eine Tabelle
oder ein Schaubild mit einer Echtzeitdatenquelle
verbunden, aktualisieren
sich die Zahlen ständig.
Die Dashboards sind hochgradig
individualisierbar, sodass Inhalte aus
anderen Reports genauso einfach
hinzugefügt werden können wie
Logos oder andere Grafiken. Das
Erstellen der Dashboards ist einfach,
speziell wenn die Daten aus bekannten
Software-as-a-Service-Quellen
wie Dynamics CRM Online, Google
Analytics oder Salesforce stammen.
Interaktive Reports
Die Dashboards sind interaktiv. Sie
erlauben den Nutzern, bestimmte
Informationen in den darunterliegenden
Reports tiefergehend zu ergründen.
Dank der leicht bedienbaren
Nutzeroberfläche kann praktisch
jeder Mitarbeiter interaktive Reports
erstellen, die Zusammenhänge
schnell erkennen lassen, da alle
Charts aufeinander reagieren.
Datenvisualisierung
Power BI bietet eine Reihe von Visualisierungsoptionen,
mit denen sich
Daten ansprechend und leicht verständlich
aufbereiten und darstellen
lassen. Dazu zählen u.a. Vergleichs-
Charts, verschiedene Diagrammarten
oder geographische Charts. Obendrein
stellt Microsoft selbst Visuals
in der Gallery als Vorlage sowie eine
Programmierschnittstelle bereit, was
es Entwicklern ermöglicht, selbst
Teilen von Informationen
Standardmäßig sind alle Daten und
Reports dem jeweiligen Ersteller der
Daten vorbehalten. Wenn erforderlich,
können die Dashboards jedoch
unter der Berücksichtigung bestimmter
Rechte leicht mit anderen Mitarbeitern
oder Projektteilnehmern
geteilt werden. Aktualisierungen
werden automatisch allen Nutzern
ausgegeben. Je nach dem gebuchten
Funktionsumfang können sie von
berechtigten Personen auch bearbeitet
werden.
Ebenfalls möglich ist die Zusammenarbeit
und Verwaltung der Inhalte in
Teams und Projektgruppen.
Die Datensätze für die Dashboards
und Reports befinden sich im
Arbeitsbereich des Teams, der wiederum
direkt aus Power BI heraus
administriert werden
kann.
www.powerbi.com
Microsoft Power BI ist ein Freemium-Produkt. Der Power BI-Desktop ist komplett kostenfrei verfügbar.
Auch die cloud-basierte Variante ist in der Standardversion kostenfrei verfügbar, die entsprechende Premium-Variante mit zusätzlichem Funktionsumfang
kostet lediglich 8,40 Euro pro Nutzer im Monat und kann 60 Tage lang kostenfrei getestet werden.
IT-MITTELSTAND 1-2 | 2016 11

markt | personality
IT-MITTELSTAND befragt die Verantwortlichen der großen IT-Anbieter. In dieser Ausgabe:
Thomas Ruban, Vice President Europe,
Middle East and Africa bei Juniper Networks
Ausgeprägte
regionale Wurzeln
Unter Mittelstand verstehe ich …
… in erster Linie kleine und mittlere Unternehmen,
die bis zu 500 Mio. Euro Umsatz
im Jahr erwirtschaften. Zum Mittelstand
gehören auch die Hidden Champions, die
in Marktnischen durch Know-how und
Innovationen Markt- oder Weltmarktführer
sind. In jedem Fall ist der Mittelstand
ein wichtiger Grundpfeiler der deutschen
Wirtschaft mit einer hohen gesellschaftlichen
Relevanz und Verantwortung.
Der Mittelstand hebt sich von
Großkonzernen dadurch ab, dass …
… er in seinen spezifischen Marktsegmenten
oft innovativer und schneller ist.
Zudem sind Mittelständler häufig eigentümergeführt
und können dadurch Entscheidungen
schneller treffen. Außerdem
ist bei vielen mittelständischen Firmen die
regionale Verwurzelung ausgeprägter. Das
gilt insbesondere für alteingesessene, im
ländlichen Raum angesiedelte Firmen, die
sich in ihrer Gegend auch gesellschaftlich
stark engagieren.
Persönliche Daten
Name: Thomas Ruban
Alter: 50 Jahre
Familienstand: verheiratet
Größtes Hobby: Basketball
Karriere
Ausbildung: Diplom-Informatiker (Univ.),
TU München
Beruflicher Werdegang: Thomas Ruban hatte
verschiedene Positionen bei Siemens, Unisphere
Networks und Juniper Networks inne.
Derzeitige Position: Vice President Technical
Sales Europe, Middle East and Africa bei
Juniper Networks
Um als IT-Spezialist im Mittelstand
Erfolg zu haben, bedarf es …
… auf die Bedürfnisse der Kunden zugeschnittener,
einfacher und offener Lösungen,
die entsprechend skaliert werden können
und durch Automatisierung wenige
Ressourcen verbrauchen. Wichtig ist außerdem
eine ausgesprochene Qualitäts- und
Service-Orientierung. Um bestmöglich helfen
zu können, muss man als IT-Anbieter
zudem das Geschäftsmodell seines Kunden
verstehen. Wenn man dies alles beachtet,
sind im Mittelstand langfristige und stabile
Kundenbeziehungen möglich.
Was die IT anbelangt,
ist der Mittelstand …
… einerseits sehr pragmatisch. Die meisten
Mittelständler bevorzugen schlanke Lösungen,
mit denen sie ihr jeweiliges Geschäftsmodell
unkompliziert umsetzen können.
Andererseits ist der Mittelstand in Sachen
IT eher vorsichtig. Viele Unternehmen hinken
deshalb im Vergleich zu Großunternehmen
den technologischen Entwicklungen
hinterher. Sie müssen etwa auch hinsichtlich
mittlerweile nicht mehr ganz so neuer
Trends wie Cloud Computing, Mobile oder
Big Data Analytics aufholen, wenn sie ihre
Wettbewerbsfähigkeit langfristig erhalten
bzw. ausbauen möchten.
Die durchschnittliche IT-Grundausstattung
im Mittelstand besteht
aus …
… ganz unterschiedlichen Bestandteilen.
So wenig wie der „typische“ Mittelständler
existiert, gibt es meiner Erfahrung nach
eine durchschnittliche IT-Grundausstattung.
Abhängig von der Branche und der
Größe des Unternehmens sind die Bedürfnisse
extrem unterschiedlich.
Charakteristisch für
IT-Investitionsentscheidungen
im Mittelstand ist …
… eine ausgeprägte Kosten-Nutzen-Bewertung.
Gerade in inhabergeführten Unternehmen
wird sehr genau geschaut, ob sich
eine IT-Investition wirklich auszahlen wird –
sei es, indem sie zur Qualitätssicherung
beiträgt, Prozesse beschleunigt, zu Kostensenkungen
führt oder Effizienzsteigerungen
nach sich zieht. Das hängt eng damit
zusammen, dass speziell in inhabergeführten
Firmen Investitionsentscheidungen
häufig von oberster Stelle getroffen werden.
Charakteristisch ist außerdem, dass es im
Mittelstand in der Regel kein ausgeprägtes
„Denken in Quartalszahlen“ gibt. Bei Investitionsentscheidungen
spielt dadurch die
langfristige Perspektive eine größere Rolle.
Die typischen IT-Probleme
des Mittelstandes sind …
... häufig aufgrund von Systemen entstanden,
die individuell entwickelt und dann
über Jahre oder sogar Jahrzehnte isoliert
weiterentwickelt wurden. Wir beobachten
häufig, dass auch bei jahrelang sehr gut
funktionierenden Systemen dann irgendwann
der Punkt kommt, wo solche Systeme
an ihre Grenzen hinsichtlich Leistung und
Interoperabilität stoßen. Das kann dann
Schwierigkeiten in den unterschiedlichsten
Bereichen nach sich ziehen.
Als Lösung für diese Probleme
favorisiere ich, dass …
… Unternehmen als Grundlage für ihre
individuelle IT-Infrastruktur etwas mehr
auf Standardbauteile zurückgreifen. Diese
sind mittlerweile in vielen Branchen gut
auf die jeweiligen Bedürfnisse anpassbar.
Zudem empfehle ich offene Infrastrukturen,
die mitwachsen können und Flexibilität
ermöglichen.
Handlungsbedarf auf IT-Seite
im Mittelstand sehe ich …
… hinsichtlich der Automatisierung und
der Sicherheit. Insbesondere das Fehlen
einer eigenen Sicherheitsabteilung macht
viele Mittelständler anfällig. Zum einen
sind die technischen Sicherheitsvorkehrungen
häufig nicht so, wie es notwendig
ist und möglich wäre. Zum anderen ist
aufgrund der fehlenden Sicherheitsspezialisten
oftmals auch kein angemessenes
Risikobewusstsein vorhanden.
12 IT-MITTELSTAND 1-2 | 2016

personality | markt
IT-Mittelstand 1-2 | 2016
13

markt | datenanalyse
Analyse von IoT-Daten
Cloud und Internet der Dinge
Cloud Computing und das Internet der Dinge (IoT) eröffnen Unternehmen viele
Möglichkeiten, fordern aber auch die firmeninterne IT. Hewlett-Packard Enterprise
(HPE) zeigte daher Anfang Dezember 2015 auf seiner europäischen
Anwenderkonferenz „Discover“ Lösungen, die das Management von hybriden
Infrastrukturen sowie die Analyse von IoT-Daten vereinfachen sollen.
Die Wolke ist für den
Anbieter das bestimmende
Betriebsmodell.
Nach Meinung von Bill Hilf
entwickle sich Cloud Computing
sogar grundsätzlich zum
„Synonym für IT“. Hilf ist beim
IT-Anbieter als Senior Vice President
für Cloud-Technologien
zuständig. Auf der Anwenderkonferenz
veröffentlichte das
Unternehmen Prognosen,
wonach bis 2018 die jährliche
Wachstumsrate für IT aus der
Public Cloud bei 17 Prozent
liegt. Bei der Private Cloud sind
es sogar 24 Prozent. Traditionelle
IT-Nutzung wird dagegen
laut HPE jährlich nur um
2,4 Prozent zunehmen.
Der Einsatz von Cloud-
Services kann Unternehmen
viel Nutzen bringen. Er kann
aber auch ein Belastung für die
IT-Abteilung sein. Daher hat
der Anbieter Lösungen entwickelt,
um die IT-Experten in den
Unternehmen dabei zu unterstützen.
Dazu zählt der Helion
Managed Cloud Broker. Mit diesem
Service sollen Unternehmen
den Wildwuchs an Cloud-
Instanzen in ihrer Organisation beherrschen können. Der Broker
gibt IT-Administratoren einen Überblick über die gesamte Unternehmens-IT
– inklusive der verschiedenen Cloud-Anwendungen.
Die IT-Experten können die unterschiedlichen Cloud-Instanzen
konsolidieren, orchestrieren und sicher betreiben. Dafür bietet
die Lösung ein Set aus Werkzeugen und Funktionen. Dazu gehören
u.a. ein Self-Service-Portal mit Schnittstelle zu den jeweiligen
IT-Dienstleistern, Sicherheits- und Performance-Management,
Monitoring-Tools sowie Dashboards und Reports.
Doch auch die traditionelle Nutzung von IT wird weiterhin
eine Rolle in Unternehmen spielen. Die Folge: Vermehrt entstehen
hybride IT-Infrastrukturen – in denen Software also im eigenen
Haus installiert ist sowie aus der Cloud bezogen wird.
Um solche Umgebungen verwalten zu können, hat man die
Plattform Synergy entwickelt. Mit ihr sollen die IT-Ressourcen
flexibel auf die unterschiedlichen Anwendungen im Unternehmen
verteilt werden können – unabhängig
davon, ob sie aus der Cloud kommen oder
im eigenen Rechenzentrum installiert sind.
Die Plattform basiert auf einer neuen
Architektur, die der Anbieter als Composable
Infrastructure bezeichnet. Diese nutzt flexible Ressourcen-
Pools und analysiert den aktuellen Infrastrukturbedarf. Mit einer
Codezeile können Administratoren jeder Anwendung die benötigte
Infrastruktur – also Server, Speicher und Netzwerk – zuweisen.
Internet der Dinge (IoT) eher belastend
Herausforderung
Datenmengen
Doch nicht nur die Cloud fordert die Unternehmen. Auch das
Internet der Dinge (IoT) kann eine Belastung darstellen. Die Verarbeitung
der großen Datenmengen stellt eine Herausforderung
für die IT in den Rechenzentren und dem Netzwerk dar. Und
Cloud Computing und das Internet der Dinge (IoT)
standen Anfang Dezember 2015 in London im
Fokus der europäischen Anwenderkonferenz von
Hewlett-Packard Enterprise.
die Datenvolumina werden
weiter ansteigen. 2016 sollen
6,4 Milliarden Dinge miteinander
vernetzt sein, schätzen
die Marktforscher von Gartner.
HPE hat daher IoT-Systeme
entwickelt, die Rechenleistung
und Daten-Management an
den Rand des Netzwerks verlagern.
Mit der Gateway-Produktlinie
Edgeline können
Anwender die entstehenden
Daten in Echtzeit auswerten
und die Endgeräte managen,
konfigurieren sowie steuern.
Für Daten, die auf dem
klassischen Weg analysiert
werden, bietet HPE nach wie
vor seine Systeme Vertica und
Autonomy. Wie schnell diese
arbeiten können, zeigte auf der
Discover ein spezieller Anwender.
Alex Tai ist Teamchef des
Rennstalls DS Virgin Racing
Team, das in der Formel E an
den Start geht – einer Rennserie
für Wagen mit Elektromotor.
Mithilfe von Vertica
und Autonomy analysiert das
Team die Daten, die es von den
Sensoren des Fahrzeugs erhält.
So soll der Rennwagen optimal
auf die jeweiligen Bedingungen
eingestellt werden – und
das in möglichst kurzer Zeit.
„Häufig bleiben uns zwischen
den einzelnen Sessions gerade
mal 30 Minuten, um die Daten
auszuwerten und das Fahrzeug
entsprechend zu konfigurieren“,
erklärt Tai.
Markus Strehlitz
Kurzmeldungen
Anwendungen
ERP-Neustart mit SAP
;;
Beim Anwender SFM Medical Devices
wurde eine SAP-ERP-Lösung eingeführt
und das bestehende Altsystem
abgelöst – ohne Produktionsausfälle.
Vertriebssystem auf neue Beine gestellt
;;
Die Österreichischen Bundesbahnen (ÖBB) stellt ihr
Vertriebssystem neu auf die Beine. Mit Wirecard verfügen
die ÖBB über einen Partner, um Zahlungssysteme zu
integrieren und passgenaue Lösungen zu entwickeln.
n
14 IT-MITTELSTAND 1-2 | 2016

datenanalyse | markt
Hulbee-Geschäftsführer
Andreas
Wiebe bietet eine
Firmensuchlösung
ab 5.000 Euro an.
Suchmaschine für den Mittelstand
Wissensbibliothek
statt Datengrab
Das Schweizer Software-Haus Hulbee hat kürzlich
unter der Bezeichnung „Swisscows Company Search“ eine
neue Lösung für eine sichere betriebliche Suche vorgestellt.
Mit einem Einstiegspreis ab 5.000 Euro inklusive Software und
Hardware will man ein firmenweites Suchsystem zu erschwinglichen
Kosten zur Verfügung stellen.
Der Hintergrund: „In allen Unternehmen entsteht mit der Zeit
eine umfangreiche Ansammlung von hilfreichen, aber unauffindbaren
Informationen – also von Wissen, das sich leider in
ein unbrauchbares Datengrab verwandelt“, erklärt Hulbee-
Geschäftsführer Andreas Wiebe, und weiter: „Mit unserer
Suchlösung kann jeder Beschäftigte schnell auf die Informationen
zugreifen, die er für seine Arbeit benötigt.“
Das firmenweite Suchsystem soll
laut Hersteller umfassende Funktionalitäten
bieten. So arbeitet die Software
auf Basis der semantischen
Suche und beinhaltet über reine
Suchfunktionen hinaus eine Lösung
für Business Intelligence (BI). Zudem
sollen alle Arten von Dokumenten
und Formaten unterstützt werden.
Die Firmensuchmaschine läuft unabhängig
vom Betriebssystem, d.h., sie
funktioniert sowohl mit Windows als
auch mit Apple oder Unix. Storage,
NAS und Archive werden ebenfalls
unterstützt und können demgemäß
auch indexiert werden. Auch die
mobile Suche nach Dokumenten
sei möglich, da die Lösung nicht an
einen bestimmten PC bzw. Firmenrechner
gebunden ist.
Geboten werden laut Anbieter unterschiedliche Leistungsund
Preismodelle für diverse Zielgruppen. Die kleinste Lösung
für bis zu 20 Mitarbeiter umfasst Server und Software für
5.000 Euro und indexiert bis zu einer Million Dokumente. Die
nächstgrößere Stufe für bis zu 100 Beschäftigte verarbeitet
bis zu zehn Millionen Dokumente und kostet 25.000 Euro. Für
50.000 Euro erhält man eine Server- und Software-Lösung für
maximal 250 Mitarbeiter, die bis zu 20 Millionen Dokumente
indexiert. Für größere Unternehmen wird das Produkt auf
Anfrage als reine Software-Lösung bereitgestellt.
Durch den dedizierten, flexibel
konfigurierbaren Server vor Ort soll
den Anwenderunternehmen zudem
Datensicherheit geboten werden, da
die Hardware in den firmeneigenen
Büroräumlichkeiten steht. Das Gerät
sei ungefähr doppelt so groß wie ein
iPhone 6 und passe somit auch ins
kleinste Büro, heißt es.
www.hulbee.com
Digitalisierung bewegt Prozesse.
Und macht Arbeitsplätze mobil.
14. – 18. März 2016
Hannover ▪ Germany
cebit.com
ECM
Input/Output
Solutions
ERP & HR
Solutions
Global Event for Digital Business

organisation | Titelinterview
Alfons Maier (li.)
Alter: 47 Jahre
Werdegang: Betriebswirt mit Schwerpunkten
auf IT und Organisation. Auf die Leitung der
Software-Entwicklung bei Weleda folgte die
Position des IT-Leiters. Mittlerweile ist Alfons
Maier verantwortlicher Bereichsleiter für das
Organisations- und Informationsmanagement bei
Weleda und seit rund 19 Jahren im Unternehmen
beschäftigt.
Derzeitige Position: Leitung Organisations- und
Informationsmanagement bei der Weleda AG
Hobbys: Fußball, Lesen, Motorradfahren
Vladimir Filev
Alter: 36 Jahre
Werdegang: seit 16 Jahren bei Weleda tätig;
nach dem Start als Software-Entwickler
folgten Positionen im Applikations- sowie
Projektmanagement. Seit 2015 ist Vladimir Filev
für die Enterprise Architecture des Unternehmens
verantwortlich.
Derzeitige Position: Enterprise Architect
Hobbys: Wandern, Skifahren, Schwimmen
auf
Neues Mitarbeiterportal
Kommunikation
einheitlicher
BASIS
16 IT-MITTELSTAND 1-2 | 2016

titelinterview | organisation
Der firmeneigene Heilpflanzengarten nebst Gewächshäusern
in Schwäbisch Gmünd-Wetzgau ist das Herz des Unternehmens:
Auf 23 Hektar wachsen mehr als 260 verschiedene Pflanzenarten,
von denen 180 vorwiegend für die Herstellung von
Arzneimitteln eingesetzt werden.
Ein neues Mitarbeiterportal
inklusive sozialem Netzwerk
sorgt bei der Weleda AG,
Hersteller von Arzneimitteln und Naturkosmetik,
für eine bessere Kommunikation
und Zusammenarbeit. ›
IT-Mittelstand 1-2 | 2016
17

organisation | Titelinterview
A
ITM: Inwiefern sind Sie bei der ERP-Nutzung im Standard geblieben?
Filev: In der Regel nutzen wir auf unsere Bedürfnisse hin angepasste
Standardpakete, wobei wir bewusst einen Best-of-Breedls
kleiner pharmazeutischer Laborbetrieb
im Jahre 1921 gegründet,
zählt die Weleda AG heute zu
den führenden Herstellern von
ganzheitlichen Naturkosmetikprodukten
und Arzneimitteln für
die anthroposophische Therapierichtung.
Im Mittelpunkt stehen
dabei der Erhalt, die Förderung
sowie die Wiederherstellung der
Gesundheit.
„Wir vertreiben unsere
Produkte in der Regel über
Drogeriemärkte und Apotheken
sowie über viele kleine
inhabergeführte Fachgeschäfte
und Reformhäuser.“
Alfons Maier
Das in den vergangenen Jahren starke Wachstum des Mittelständlers
begleitete die IT zunächst als reine Leistungsabteilung.
„Uns wurden Aufgaben zugewiesen, die wir umgesetzt
haben“, blickt Alfons Maier, Leitung Organisations- und Informationsmanagement,
zurück. „Mittlerweile agiert unser Team
jedoch mit den Fachbereichen als Partner auf Augenhöhe“. In
diesem Sinne wartet man mit kreativen Ideen auf, die die Digitalisierung
des Unternehmens weiter vorantreiben. Dabei wurde
zuletzt ein „Social Intranet“ auf Basis von Microsoft Sharepoint
und Yammer eingeführt, das nicht nur die interne Kommunikation
und Zusammenarbeit verbessert, sondern auch die Anbindung
externer Lieferanten und Partner zulässt. Im Gespräch mit
IT-MITTELSTAND skizzieren Alfons Maier und Vladimir Filev,
Enterprise Architect, einzelne Projektschritte und geben einen
generellen Einblick in die IT-Prozesse des Arzneimittel- und
Naturkosmetikspezialisten.
ITM: Herr Maier, wie ist Weleda IT-seitig organisiert?
Alfons Maier: Unsere Unternehmens-IT steuert nicht allein klassische
Aufgaben wie die Betreuung von Infrastrukturen oder
Anwendungsentwicklung, sondern leistet deutlich mehr: So fokussiert
sich ein Bereich allein auf Organisations- und Projektaufgaben,
während sich ein weiterer – unter Federführung von Herrn
Filev – um alles kümmert, was mit „Enterprise Architecture“ zu
tun hat. Hierbei geht es insbesondere um die Zusammenführung
von fachlichen und technologischen Prozessen.
In einem dritten Bereich ist die klassische IT angesiedelt, zu
deren Aufgaben die Anwendungsentwicklung, Systemtechnik,
Service und Helpdesk zählen. Schließlich gibt es Mitarbeiter, die
sich allein mit Governance-Themen beschäftigen. Sie kümmern
sich darum, dass gesetzliche und firmeninterne Rahmenbedingungen
etwa im Change- oder Rechtemanagement eingehalten
werden. Auf diese Weise besitzen wir rechtskonforme Prozesse und
sind für Audits seitens der Wirtschaftsprüfer bestens vorbereitet.
ITM: Was macht die Herstellung und den Handel mit Arzneimitteln
und Kosmetika so komplex?
Maier: Da wir uns auf internationalem Parkett bewegen, müssen
wir den Gesetzen und Regularien einzelner Länder entsprechen. So
sind beispielsweise die regulatorischen Vorgaben der US-amerikanischen
Food and Drug Association (FDA) sehr streng. In diesem
Zusammenhang geht es um Richtlinien zur Validierung von Produktionsprozessen
oder Rückverfolgbarkeit sämtlicher Chargen.
ITM: Über welche Kanäle werden die Produkte vertrieben?
Maier: In der Regel über Drogeriemärkte, dazu zählen im deutschsprachigen
Markt z.B. dm-Drogeriemarkt, Rossmann, Müller oder
Budnikowsky, außerdem Apotheken sowie viele kleine inhabergeführte
Fachgeschäfte und Reformhäuser. Nicht zuletzt findet
man unsere Produkte in Bio-Supermärkten wie Alnatura oder
Temma vor.
ITM: Welche Prozesse müssen die eingesetzten Software-Systeme
abbilden können?
Vladimir Filev: Kritisch sind für uns sämtliche Prozesse des Enterprise
Resource Planning (ERP). Daher steuern wir mit unserem auf
Microsoft Dynamics AX basierenden ERP-System die Produktion,
die Logistik, den Vertrieb, den Einkauf, das Qualitätsmanagement
sowie die Finanzen. Generell spielen alle ERP-Komponenten, die
für einen reibungslosen Warenfluss sorgen, die wichtigste Rolle.
›
18 IT-MITTELSTAND 1-2 | 2016

titelinterview | organisation
›
Ansatz verfolgen. So haben wir neben Dynamics AX
auch andere Systeme wie z. B. ein SAP-System und
Software von Aurea für das Customer Relationship
Management (CRM) im Einsatz.
ITM: Wie sehen die erwähnten Anpassungen aus?
Maier: Alles in allem wollen wir das Customizing stets
in Grenzen halten. Allerdings gibt es spezielle branchenspezifische
Prozesse, die unserem Qualitätsanspruch
geschuldet sind und die wir IT-seitig entsprechend
individuell abbilden müssen.
Filev: Verzichtet man auf umfängliche Anpassungen,
fällt der Umstieg auf aktuelle Release-Stände deutlich
leichter. Dies wird immer wichtiger, da sich die Release-
Zyklen zuletzt zunehmend verkürzt haben.
ITM: Gibt es Beispiele?
Maier: Bei unserem ERP-System war es früher gang
und gäbe, alle drei Jahre ein großes Haupt-Release zu
veröffentlichen. Inzwischen beträgt dieser Zeitabstand
maximal zwölf Monate. Mit der für 2016 angekündigten
neuen Microsoft Office Roadmap geht der Hersteller
noch einen Schritt weiter und verkürzt die Zyklen
abermals. Damit will man die Kunden kontinuierlich
mit Systemverbesserungen versorgen und unter dem
Stichwort „Continuous Deployment“ alle 90 Tage
neue Versionen herausbringen, etwa um auftretende
Bugfixes zügig ausmerzen zu können.
ITM: Wie würden Sie Ihre IT-Strategie beschreiben –
zählt Weleda zu den Vorreitern oder agiert man eher
konservativ?
Maier: Wir entwickeln uns immer mehr zu einem
„Fast Follower“. Sicherlich gab es in der Vergangenheit
Phasen ohne größere IT-Aktivitäten, mittlerweile
verfolgen wir die technologischen Entwicklungen
jedoch sehr genau und sehen unsere IT auf der Höhe
der Zeit. Dabei sind uns insbesondere Themen wie
Flexibilität, Agilität und effiziente Zusammenarbeit
sehr wichtig.
Familie groß geschrieben:
Für jedes neugeborene Kind der Mitarbeiter
pflanzt das Unternehmen eine Birke. Zudem
unterhält das Unternehmen am Standort
Schwäbisch Gmünd eine betriebseigene
Waldorf-Kindertagesstätte.
ITM: Apropos Zusammenarbeit – um diese zu verbessern,
haben Sie vergangenes Jahr ein neues Unternehmensportal
etabliert. Was steckt dahinter?
Filev: Wir haben ein „Social Intranet“ mit Employee-
Self-Services eingeführt und uns damit bewusst gegen
ein klassisches Intranet, das Informationen allein passiv
zur Verfügung stellt, entschieden.
ITM: Was war ausschlaggebend für die Einführung?
Filev: Zuvor hatten wir keine vergleichbare Lösung
im Einsatz, vielmehr haben wir uns mit File-Servern
beholfen. Außerdem sollte das neue Portal von Anfang
an auch den internationalen Austausch verbessern.
ITM: Wie gestaltet sich die Länderorganisation?
Maier: Der Hauptsitz der Weleda AG befindet sich im
schweizerischen Arlesheim, wobei die deutschen und
eidgenössischen Standorte von unserer IT-Abteilung in
Schwäbisch Gmünd aus betreut werden. Für alle anderen
Gesellschaften – bei denen es sich überwiegend
um kleinere Vertriebsgesellschaften handelt – betreiben
wir nur wenige zentrale Anwendungen. Vielmehr
Die Weleda AG
Im Jahr 1921 begann Weleda als pharmazeutischer Laborbetrieb mit eigenem Heilpflanzengarten.
Heute zählt man zu den weltweit führenden Herstellern von ganzheitlichen
Naturkosmetikprodukten und Arzneimitteln für die anthroposophische Therapierichtung.
Aufgabe des Unternehmens: die Gesundheit des Menschen zu erhalten,
zu fördern und wiederherzustellen.
Das aktuelle Sortiment enthält über 100 Naturkosmetikprodukte und Diätetika. Außerdem
produziert der mittelständische Betrieb 1.100 Fertigarzneimittel. Zur Selbstmedikation
– für Anwendungsgebiete wie Erkältung, Stress und Erschöpfung, Auge und
Haut – gibt es über 90 Arzneimittel. Dabei stellt das Traditionsunternehmen hohe
Qualitätsanforderungen an die Herstellungskette, angefangen bei der Rohstoffqualität.
Die Rohstoffe kommen überwiegend aus biologisch-dynamischen Anbauprojekten
wie dem firmeneigenen Heilpflanzengarten, aus kontrolliert biologischem Anbau oder
zertifizierten Wildsammlungen.
Mitarbeiter: weltweit ca. 2.000, in Deutschland rund 770 Mitarbeiter
Produktionsstandorte: in Schwäbisch Gmünd, in der Schweiz und in Frankreich
Umsatz: 364,3 Mio. Euro (Geschäftsjahr 2014)
www.weleda.de
IT-Mittelstand 1-2 | 2016
19

organisation | Titelinterview
Einblick in die Naturkosmetikproduktion: In Schwäbisch
Gmünd werden vor allem Produkte für die Gesichtspflege sowie
Körperöle und Diätetika hergestellt.
20 IT-MITTELSTAND 1-2 | 2016

titelinterview | organisation
›
agieren deren IT-Abteilungen autark und suchen sich eigene
IT-Systeme und Dienstleister aus. Das neue Intranet hingegen
war von Anfang an zentral ausgelegt. Es sollte von allen Niederlassungen,
Produktionsstandorten und Mitarbeitern genutzt
werden, weshalb die Lösung zentral von Schwäbisch Gmünd
aus gesteuert wird.
ITM: Welche Abteilungen trieben das Projekt voran?
Filev: Der Anstoß kam von Seiten verschiedener Fachbereiche
– insbesondere von der IT-Abteilung und von Corporate
Communications. Anschließend haben wir uns verschiedene
Portallösungen angesehen und geprüft. Die Entscheidung fiel
schließlich auf Microsoft Sharepoint, da die Software unsere
Anforderungen an ein Intranet am besten abbilden konnte.
ITM: Von welchem Projektzeitrahmen sprechen wir?
Filev: Die Konzeptionsphase startete 2014, dauerte rund ein
Jahr und mündete in der Portaleinführung. Dabei erfolgte der
Projektstart Anfang Mai 2015, im vergangenen November ging
das Portal live.
ITM: Inwieweit gab es im Unternehmen bereits Erfahrungen mit
Sharepoint?
Maier: Das Know-how war bereits vorhanden, da wir das System
seit einiger Zeit u.a. für unser Dokumenten-Management nutzen.
ITM: Konnten Sie dann einfach die Funktionalitäten des vorhandenen
Systems ausbauen?
Maier: Dies war nicht möglich, da die bislang eingesetzte Version
aus dem Jahr 2007 stammte, sodass so oder so ein umfänglicher
Release-Wechsel anstand.
Filev: Außerdem müssen wir aus Compliance- bzw. Validierungsgründen
alle von uns genutzten Sharepoint-Plattformen
strikt voneinander trennen, um etwa die Vorgaben hinsichtlich
sicherer Zugriffsrechte umsetzen zu können. Von daher basiert
nur das neue Mitarbeiterportal auf Office 365, inklusive Sharepoint
Online und dem sozialen Firmennetzwerk Yammer. Das
Portal, das wir u.a. für das Dokumenten-Management nutzen,
wird nach wie vor auf einem eigenen Server betrieben.
ITM: Bei der Nutzung von Office 365 handelt es sich um die
Private-Cloud-Variante – gab es keinerlei Bedenken bezüglich
Datenschutz oder Sicherheit?
Maier: Entsprechend unserer IT-Strategie entscheiden wir von
Fall zu Fall, ob eine private Cloud oder On-Premise besser für
unsere Zwecke geeignet ist. Da wir das neue Portal international
ausrichten wollten, war die Private-Cloud-Variante die
bessere Wahl.
In diesem Zusammenhang lagern wir unkritische Aufgaben,
die sich standardisiert verwalten lassen, bewusst an externe
Dienstleister aus. So betreiben wir selbst kein eigenes Rechenzentrum,
sondern lassen unsere IT-Systeme innerhalb einer privaten
Cloud von einem externen Dienstleister hosten.
ITM: Welche Funktionen des neuen Portals liegen Ihnen besonders
am Herzen?
Filev: Wir konzentrieren uns auf Kommunikation und Zusammenarbeit.
Zudem legen wir großes Augenmerk auf soziale Vernetzung,
sodass sich die Mitarbeiter über das Portal selbstständig
austauschen und gegenseitig helfen können. Daneben haben
wir das Intranet durchgängig in unsere Mobilstrategie integriert
und mit responsivem Design versehen, so dass die Mitarbeiter
von jedem mobilen Endgerät aus darauf zugreifen können.
Maier: Generell geht es uns sowohl um das schnelle Auffinden
benötigter Inhalte als auch um eine effizientere Projektsteuerung
mittels Document Sharing. Nicht zuletzt können die Mitarbeiter
mittels Employee-Self-Services beispielsweise ihre Urlaubstage
selbst beantragen.
ITM: Wie findet man relevante Informationen?
Filev: Über die semantische Suche hinaus nutzen wir das Microsoft-
Tool „Delve“. Dieses ermittelt für jeden Mitarbeiter individuell
zugeschnittene Dokumente und Informationen. Hierbei melden
sich die Mitarbeiter mit ihrem Account an und bekommen automatisch
die Unternehmensinhalte bzw. Dateien vorgeschlagen,
die sie auf Basis ihrer Nutzerhistorie interessieren könnten. Das
System ist lernfähig, weshalb man in diesem Zusammenhang
auch von sogenanntem „Machine Learning“ spricht.
Maier: Über intelligente Suchfunktionen hinaus war uns insbesondere
die soziale Vernetzung der Mitarbeiter wichtig. Denn der
Erfolg mittelständischer Unternehmen hängt zunehmend davon
ab, wie schnell sie sich auf veränderte Situationen einstellen können.
Dies funktioniert jedoch nur, wenn Menschen schnell und
effektiv miteinander arbeiten können – über Firmen- und Ländergrenzen
hinweg. Mittels des sozialen Netzwerks im Intranet
fördern wir den Dialog unter Kollegen und sorgen dafür, dass
sie schnell Rückmeldungen auf ihre Anfragen, Vorschläge und
Kommentare erhalten.
„Wir legen großen Wert
auf Kommunikation,
Zusammenarbeit und
soziale Vernetzung, sodass
sich unsere Mitarbeiter
selbstständig über das
neue Portal austauschen
können.“
Vladimir Filev
ITM: Wie fällt die Resonanz der Mitarbeiter aus?
Maier: Sehr gut, denn die Inbetriebnahme des Portals ging reibungslos
vonstatten. Wir sind bislang mehr als zufrieden mit der
Akzeptanz und dem Nutzerverhalten.
Filev: Dabei galt auch im Rahmen der Einführung das Motto
„Kommunikation ist Trumpf“: Die Abstimmung im Projektteam,
welches sich aus Weleda-Kollegen, Mitarbeitern unseres Microsoft-
Partners Experts Inside sowie der Intranet-Agentur Hirschtec
zusammensetzte, lief reibungslos. Dabei nutzten wir bereits seit
Beginn der Projektarbeit Yammer, um mit internen und externen
Parteien flüssig kommunizieren zu können.
ITM: Demnach haben Sie bereits vor der eigentlichen Inbetriebnahme
des Intranets mit dem sozialen Tool gearbeitet?
Filev: Genau, und dies nicht nur im Projektteam, sondern sogar
schon unternehmensweit. So haben wir letzten Sommer die
Planungen für das gemeinsam mit allen europäischen Kollegen
veranstaltete Mitarbeiterfest über Yammer abgewickelt. Im Projektverlauf
kamen dabei erste Fragen rund um Datenschutz und
›
IT-Mittelstand 1-2 | 2016
21

organisation | Titelinterview
›
Mitarbeiterakzeptanz auf, deren frühzeitige Beantwortung uns bei
der anschließenden Intranet-Einführung in die Karten spielte. So
konnten wir u.a. folgende Aspekte klären: Inwieweit dürfen sich
die Mitarbeiter Zeit für die Nutzung des sozialen Netzwerks nehmen?
Welche Inhalte dürfen sie veröffentlichen? Worüber dürfen
sie offen kommunizieren? Wie gehen wir mit Cyber-Mobbing um?
Maier: Gemäß unserer Erfahrungen erlauben wir heute sowohl
die geschäftliche als auch private Nutzung des Portals. Mit dieser
Vorgehensweise konnten wir einerseits den Teamgeist und andererseits
die Identifikation der Mitarbeiter mit Weleda stärken. Nicht
zuletzt wollten wir vor der eigentlichen Portaleinführung mit dem
Yammer-Projekt auch Ängste vor neuen Technologien nehmen.
„Wir wollen mit dem Intranet eine
‚Kaffeeküchenkultur‘ fördern. Dennoch
sind sich alle Mitarbeiter bewusst, dass
sie sich in einem Unternehmensnetzwerk
bewegen, in dem peinliche Partybilder
besser nicht veröffentlicht werden.“
Alfons Maier
ITM: Gibt es weitere Vorteile?
Maier: Wir beabsichtigten überdies, mit dem Intranet der Bildung
einer Schatten-IT zuvorzukommen und zu verhindern, dass
sich Mitarbeiter über Web-Plattformen wie Whatsapp, Dropbox
oder Facebook austauschen. Speziell dafür haben wir nun einen
geschützten firmeninternen Bereich etabliert.
Nicht zuletzt wollen wir mit dem Intranet eine „Kaffeeküchenkultur“
fördern und zum Austausch anregen. Dennoch sind
sich unsere Mitarbeiter bewusst, dass sie sich in einem Unternehmensnetzwerk
bewegen, in dem peinliche Partybilder besser nicht
veröffentlicht werden. Will heißen, im Arbeitsalltag nutzen die
Mitarbeiter das Portal nur begrenzt für private Zwecke.
ITM: Wer greift auf das Portal zu?
Maier: Alle Mitarbeiter können darauf zugreifen, selbst diejenigen,
die über keinen eigenen PC-Arbeitsplatz verfügen. Sie können das
Portal über spezielle Terminals nutzen, die wir beispielsweise in
der Produktion und in den Heilpflanzengärten aufgestellt haben.
ITM: Welche Regeln wurden den Mitarbeitern für die Nutzung des
sozialen Netzwerkes mit auf den Weg gegeben?
Filev: Es war uns wichtig, dass die Nutzungsrichtlinien zum einen
sehr kurz und zum anderen sehr verständlich gehalten sind, da sie
ansonsten kaum ein Nutzer lesen würde. Vor diesem Hintergrund ›
Der Heilpflanzengarten wird nach den Richtlinien des
biologisch-dynamischen Anbaus bewirtschaftet und besitzt eine
Zertifizierung des Bio-Siegels Demeter.
22
IT-MITTELSTAND 1-2 | 2016

titelinterview | organisation
›
haben wir uns bewusst gegen juristische Formulierungen entschieden,
was auch bei unserem Betriebsrat ankam. Dieser wurde seit
Projektbeginn und insbesondere bei der Konzeptionsphase von
Intranet und sozialem Netzwerk sehr stark eingebunden.
ITM: Um welche Richtlinien geht es konkret?
Filev: Wir haben Ratschläge für die Zusammenarbeit über das neue
Portal gegeben. So sollen die Mitarbeiter sachlich bleiben und sich
eher kurz fassen. Wichtig ist zudem die Vertraulichkeit nach dem
Motto: „Was in unserem Netz geschieht, bleibt in unserem Netz.“
In diesem Zusammenhang haben wir vorgegeben, dass keinerlei
vertrauliche Informationen im Portal gepostet werden dürfen.
Maier: Insbesondere für unsere Personalabteilung war es wichtig,
das Thema „Mobbing“ anzureißen. Deshalb bitten wir unsere
Mitarbeiter generell, eine respektvolle Kommunikation zu wahren
und sich bei ersten Anzeichen von Cyber-Mobbing an die
Personal- oder Betriebsratskollegen zu wenden.
ITM: Welche geldwerten Vorteile versprechen Sie sich von der neuen
Plattform?
Maier: Der betriebswirtschaftliche Wert von Mitarbeiterportalen
lässt sich nur schwerlich bestimmen. Bedenkt man allerdings,
dass kaufmännische Mitarbeiter rund 20 bis 25 Prozent ihrer
Arbeitszeit mit dem Suchen von Informationen beschäftigt sind,
wird klar, welche Vorteile das schnellere Auffinden benötigter
Inhalte mit sich bringen kann. Von daher steigern wir mit dem
Portal langfristig sicherlich die Produktivität unserer Mitarbeiter.
ITM: Werden konkrete Workflows abgebildet?
Maier: Es gibt das bereits erwähnte Abwesenheitsmanagement,
in dessen Rahmen die Mitarbeiter ihre Urlaubstage eigenständig
planen. Zudem wollen wir künftig einen Teamkalender sowie die
Entgeltnachweise über das Portal bereitstellen. Denkbar wäre es,
dort das gesamte Backoffice abzubilden.
ITM: Ein Blick in die Zukunft: Welche IT-Projekte stehen bei Ihnen
über das Portal hinaus in nächster Zeit an?
Maier: Wir beschäftigen uns derzeit intensiv mit Office 365 und
sämtlichen darin enthaltenen Bausteinen. So möchten wir im
Office-Umfeld auf Cloud-Komponenten setzen, um die Zusammenarbeit
weiter zu verbessern und die Mobilität zu stärken.
Filev: Darüber hinaus streben wir nicht nur die Vernetzung innerhalb
der Weleda-Standorte an, sondern auch mit externen Partnern
– wie IT-Dienstleistern, Lieferanten und Handelspartnern.
Diese benötigen für den Zugriff auf unser Netzwerk allein einen
Webbrowser.
ITM: Mit wie vielen Lieferanten arbeiten Sie in der Produktion
zusammen?
Maier: Dies schwankt hinsichtlich der zu verarbeitenden Rohstoffe.
Momentan benötigen wir mehrere hundert Rohstoffe, sodass wir
mit entsprechend vielen Lieferanten zusammenarbeiten. Dabei
kommen etwa das ätherische Rosenöl u.a. aus der Türkei und der
Sanddorn aus Italien. Da unser Bedarf als auch die Erntevolumina
– z.B. durch Missernten – schwanken können, ist es wichtig, für
kritische Rohstoffe mehrere Lieferanten zu haben.
ITM: Stellen die Heilpflanzengärten eine IT-freie Zone dar?
Maier: Nein, denn selbst in unseren Gärten laufen sämtliche
Planungen über Software-Programme ab. So werden über das
ERP-System die Bedarfe für das nächste Jahr errechnet und im
Zuge dessen festgestellt, welche Flächen für welche Pflanzenrohstoffe
benötigt werden. Auf unseren Anbauflächen in Schwäbisch
Gmünd, die vollständig auf biologisch-dynamischer Landwirtschaft
basieren, können wir jährlich rund 180 Pflanzensorten
ernten. Das damit verbundene Management lässt sich längst
nicht mehr mit Notizbüchern abdecken.
ITM: Wie kann man sich solche Planungen vorstellen?
Filev: Die Herausforderung für unsere Gärtner besteht darin, dass
sie in der Regel zwei Jahre im Voraus planen müssen. Denn im
kommenden Jahr müssen die Pflanzen für die Produktion im
darauffolgenden Jahr angebaut werden.
ITM: Gibt es weitere Zukunftspläne?
Maier: Aktuell beschäftigen wir uns mit sämtlichen Aspekten rund
um Multi- bzw. Omni-Channel. Beispielsweise soll die direkte
Kundenkommunikation via Facebook oder Twitter gestärkt werden,
indem wir alle Kundeninformationen zentral vorhalten.
Auf diese Weise können Mitarbeiter aus dem Kundenservice auf
einen Blick sehen, über welchen Kanal die Kunden zuletzt kommuniziert
haben und worum es dabei ging.
Ina Schlücker
IT-Mittelstand 1-2 | 2016
23

organisation | e-commerce
Bezahlverfahren
im E-Commerce
Worauf
mittelständische
Shop-Betreiber
nicht verzichten
sollten:
Die Auswahl der richtigen
Bezahlmethoden, mobile
Optimierung und Internationalisierung
sind drei Themen, an
denen Online-Händler heute
nicht vorbeikommen.
Mobile Optimierung ist
angesichts der wachsenden
Zahl von mobilen Shoppern
ein Muss. Sind Shop-Seiten
schlecht oder gar nicht mobil
optimiert, führt dies häufig
zu Kaufabbrüchen.
Internationalisierung, d.h.
der Vertrieb und Verkauf
über Ländergrenzen hinweg,
bietet ein großes Wachstumspotential
für Händler. In so
manchem Auslandsmarkt
kann eine ungeahnt hohe
Nachfrage für die vom Online-
Händler angebotenen Waren
bestehen. Diese zusätzlichen
Absatz- und Umsatzmöglichkeiten
sollten sich Händler
nicht entgehen lassen.
Quelle: Paypal
24
IT-MITTELSTAND 1-2 | 2016

e-commerce | organisation
Auf die
Auswahl
kommt es an
Für Einzelhändler sind
Webshops längst Pflicht,
wird doch auf diesem Kanal ein nicht unerheblicher Teil
des Umsatzes generiert. Doch für einen erfolgreichen
Kaufabschluss ist oftmals das Bezahlverfahren – von denen
es nicht wenige gibt – entscheidend.
Kundenerwartungshaltung und
Verwaltungsaufwand stehen sich bei
dieser Entscheidung gegenüber.
ezahlverfahren – Neudeutsch Payment-
Lösungen – sind in den letzten Jahren für Webshop-
Betreiber sowohl hinsichtlich der schieren Menge als
auch in Bezug auf den administrativen Aufwand und
die Risikoeinschätzung eine recht komplexe Angelegenheit
geworden. Auf der einen Seite tummelt
sich ein gutes Dutzend verschiedener Verfahren
und Anbieter, auf der anderen Seite stehen spezielle
Dienstleister – Payment-Service-Provider (PSP) –, die entsprechende
Technik in diese Shop-Systeme integrieren.
Vertrauen spielt beim Zahlungsprozess eine wichtige Rolle, da
zumeist eine zeitliche Verzögerung von Lieferung und Bezahlung
besteht. Die angebotenen Bezahlverfahren sind daher aus Kundensicht
ein wichtiges Kriterium. So belegt die Studie „Payment im
E-Commerce Vol. 19 – Der Internetzahlungsverkehr aus Sicht der
Händler und Verbraucher“ des ECC Köln, dass 53,7 Prozent der
Online-Shopper schon einmal einen Kauf abgebrochen haben, weil
die von ihnen bevorzugte Zahlungsmethode nicht verfügbar war.
„Kunden haben persönliche Präferenzen bei den Zahlungsarten
und wechseln oft zu anderen Online-Shops, wenn das Angebot
vergleichbar und die gewünschte Zahlungsart angeboten wird“,
›
IT-Mittelstand 1-2 | 2016
25

organisation | e-commerce
›
weiß Artur Schlaht, CEO von Payever. Dies
ist eine wichtige, wenn auch nicht unbedingt
neue Information. Die reibungslose
Abwicklung des Check-out-Prozesses – der
virtuellen Kasse – ist also ein kritischer
Erfolgsfaktor im elektronischen Handel, bei
dem der Betreiber vor der Herausforderung
steht, einerseits Kundenpräferenzen gegen
Verwaltungsaufwand und andererseits Kosten
und Zahlungssicherheit gegeneinander
abzuwägen. „Generell ist es sinnvoll,
Wettbewerber mit einem vergleichbaren
Produktangebot anzusehen und die Auswahl
entsprechend anzubieten“, rät Artur
Schlaht. Denn jede Implementierung ist
mit finanziellem, zeitlichem und technischem
Aufwand verbunden.
Hilfreich kann es sein, sich zunächst
Gedanken darüber zu machen, welches
Verfahren von der Käufergruppe präferiert
wird und mit welchem Angebot sich
Zahlungsverzögerungen oder gar Ausfälle
gering halten lassen. Auch entstehende
Kosten auf Händlerseite spielen eine Rolle.
Denn neben den anfänglichen Implementierungsgebühren
fallen ggf. Lizenzkosten,
transaktionsbasierte Kosten oder
Nutzungsgebühren an. Allerdings: „Wichtiger
als eine Ersparnis bei den Gebühren
ist sicherlich die Akzeptanz des jeweiligen
Bezahlverfahrens bei den bestehenden und
künftigen Kunden des jeweiligen Online-
Händlers“, rät Volker Steinle, Country
Manager Deutschland Adyen.
Eingesetzte
Zahlungsverfahren
beim letzten Online-Einkauf
Paypal
23,9 %
Rechnung
23,5 %
Lastschrift
21,9 %
Kreditkarte
16,6 %
Amazon Payments
4,3 %
Vorkasse
4,3 %
Sofort-Überweisung
2,5 %
Finanz-/Ratenkauf
1,0 %
Nachnahme
0,6 %
Barzahlung bei Abholung
0,4 %
Click & Buy
0,3 %
Giropay
0,3 %
Prepaid-Karte
0,2 %
Sonstige
0,2 %
Quelle: EEC Köln, 2015
Breite Auswahl gewünscht
Im Versandhandel haben nach wie vor die
klassischen Zahlungsvarianten Tradition.
Laut ECC-Studie zählen dazu Überweisung
bzw. Rechnung, Paypal, Lastschrift
und die Zahlung per Kreditkarte. Wobei
die Vorliebe der Käufer je nach Markt
und Branche sowie nach Produkt, Kontext
(B2B, B2C), Zielgruppenaffinität und
dem verwendeten Endgerät schwankt.
„Wichtiger als eine gewisse
Ersparnis bei den Gebühren ist
die Akzeptanz des jeweiligen
Bezahlverfahrens.“
Volker Steinle, Country Manager Deutschland Adyen
Auch subjektive Kriterien wie
das Empfinden von Sicherheit,
zusätzlichen Kosten, Schnelligkeit
oder Nutzerfreundlichkeit haben Auswirken
auf die Entscheidung der Kunden. Die
zur Verfügung stehenden Optionen sollten
aufgrund der Relevanz für den Kunden
frühzeitig im Kaufprozess sichtbar sein.
„Der Händler mag für ihn ungünstige Zahlungsmethoden
entsprechend behandeln,
z.B. durch die Reihenfolge oder indem er
die Gebühren separat aufweist“, schlagen
die IBM-Technical-Sales-Experten Werner
Trapp und Michael Heesen vor.
Aktuell scheint es kein Zahlungsverfahren
zu geben, das Kunden
und Shop-Betreiber
gleichermaßen
zufriedenstellt, von
einem allgemeingültigen
Standard ganz zu
schweigen. Daher tummelt
sich nicht selten
ein halbes Dutzend an
Auswahlmöglichkeiten
am Ende eines Warenkorbs.
„Nach unseren Erfahrungen sollten
fünf bis sieben Zahlungsmethoden angeboten
werden“, raten die IBM-Experten.
Neben dem Standardangebot von Rechnung,
Lastschrift und Kreditkartenzahlung
sind auch Online-Bezahlsysteme
unverzichtbar geworden. Die Vielfalt an
Internet-Zahlmethoden ist eine deutsche
Besonderheit, die für Händler und Kunden
sowohl eine Herausforderung als auch eine
Chance darstellt. Vor allem kleine und
mittelständische Unternehmen sollten die
Auswahl anhand bestimmter Aspekte eingrenzen.
Müssen beispielsweise für internationale
Kunden länderspezifische Zahldienste
sowie die jeweilige Währung und
Steuersätze berücksichtigt werden? Und wie
hoch dürfen die Kosten bzw. Gebühren ausfallen,
sodass das Zahlverfahren rentabel
ist? „Shop-Betreiber sollten darauf achten,
dass sie ihren internationalen Kunden die
lokalen Bezahlmethoden in lokaler Währung
anbieten und darüber hinaus auch das
Einkaufserlebnis an kulturelle Vorlieben
anpassen“, fasst Volker Steinle zusammen.
Für Kunden hat die große Auswahl den
positiven Aspekt, dass z.B. der Ratenkauf
im Internet möglich wird und sich so auch
größere Wünsche dann realisieren lassen,
wenn das nötige Kleingeld gerade nicht
vorhanden ist.
›
26
IT-MITTELSTAND 1-2 | 2016

e-commerce | organisation
›
Anstatt jedes Zahlverfahren einzeln in den
Online-Shop zu integrieren und um gleichzeitig
die Abwicklung der Transaktionen
aus den unterschiedlichen Bezahlverfahren
zu vereinfachen, kann ein Payment-
Service-Provider (PSP) angebunden werden.
Dieser fungiert als Schnittstelle und
unterstützt die technische Anbindung
eines Online-Shops an mehrere Zahlungsdienstleister.
Auf diese Weise kann der
Händler selten in Anspruch genommene
Bezahlvarianten unkompliziert abschalten.
Oder neue Anbieter, wie beispielsweise
Paydirekt (siehe S. 28), hinzuschalten. Mit
wenig Aufwand lässt sich so herausfinden,
welche Methode von den Käufern bevorzugt
wird, und das Portfolio entsprechend
anpassen.
Schutz vor Zahlungsausfällen
Darüber hinaus umfasst das Portfolio dieser
Provider zusätzliche Angebote wie
Betrugsprävention oder Inkassoleistungen,
wodurch das Risiko von Zahlungsausfällen
auf Unternehmensseite reduziert
werden kann. Denn in der Regel trägt der
„Kunden haben persönliche Präferenzen
bei den Zahlungsarten und
wechseln oft zu anderen Online-Shops,
wenn das Angebot vergleichbar und die gewünschte
Zahlungsart angeboten wird.“ Artur Schlaht, CEO von Payever
Online-Händler das Risiko bei
Zahlungsausständen, wenn eine Rechnung
nach Wareneingang nicht beglichen oder
die Lastschrift vom Kunden zurückgebucht
wird. Die dadurch entstehenden Kosten für
Inkasso- und Mahnverfahren erschweren
nicht nur die Preiskalkulation, sondern
sind auch eine lästige sowie zeitaufwendige
Angelegenheit und können das Geschäft
unrentabel machen.
Eine weitere Möglichkeit zur Minimierung
der Zahlungsausfälle ist, die zur Auswahl
stehenden Bezahlarten für jede Bestellung
abhängig vom Kunden und dessen Warenkorb
zu steuern. Zwischen der Eingabe der
Rechnungsadresse und der Zahlungsseite
im Bestellprozess erfolgt in Echtzeit eine
Adress- und Risikoprüfung. Entsprechend
der Einstufung der vorliegenden Bestellung
kann eine Einschränkung der verfügbaren
Zahlarten vorgenommen werden. So kann
es passieren, dass Kunden mit geringer
Bonität etwa der Rechnungskauf verwehrt
wird. Die Höhe der Ablehnungsquote ist
abhängig von verschiedenen unternehmensspezifischen
Kriterien und kann mitunter
auch zu Umsatzverlusten führen.
Wie die Anbindung des Payment-Service-
Providers an den Webshop erfolgt, hängt
davon ab, ob die Zahlungsdetails im Webshop
oder beim PSP eingegeben werden.
Bei ersterem ist eine SSL-Verschlüsselung
sowie eine PCI-Zertifizierung – der Payment
Card Industry Data Security Standard ist
›
IT-Mittelstand 1-2 | 2016
27

organisation | e-commerce
auf breiter Front?
Paydirekt heißt der Versuch deutscher
Banken und Sparkassen, mit
einem institutsübergreifenden Online-Bezahlverfahren
der Konkurrenz Paroli zu bieten.
Das Gemeinschaftsprojekt sieht vor, dass künftig
alle Kunden mit einem Girokonto – sofern
es für Online-Banking freigeschaltet – Zugang
zu Paydirekt erhalten. Auf die Hälfte der 100
Millionen Girokonten im Land trifft dies zu.
Kunden müssen sich einmalig registrieren
und einen Benutzernamen sowie ein Passwort
wählen. Mit diesen Angaben wird dann
der spätere Bezahlschritt abgeschlossen.
„Der große Vorteil dabei: Daten wie z.B. die
Kontonummer bleiben in sicherer Bankumgebung,
es gibt keinen zwischengeschalteten
Drittanbieter und es besteht jederzeit volle
Transparenz der Zahlungen“, so Dr. Niklas
Bartelt, Geschäftsführer von Paydirekt. Der
Zahlungsablauf findet also unmittelbar zwischen
Bank und Händler statt. Das Kreditinstitut
prüft, ob der Kunde zahlungsfähig ist,
durch eine Bestätigung erhält der Händler
mehr Sicherheit in Bezug auf Zahlungsausfälle.
Aktuell ist eine Eins-zu-Eins-Beziehung vorgesehen,
das bedeutet, der Paydirekt-Account
lässt sich nur mit einem Konto verbinden. Um
ein weiteres Konto nutzen zu können, ist also
ein zweiter Nutzer-Account notwendig. Kreditkarten
werden bislang nicht berücksichtigt.
Über die Paydirekt-App (verfügbar für Android
und iOS) wird der Nutzer via Push-Nachricht
über seine Online-Einkäufe informiert –
Transaktionen sind in Echtzeit einsehbar.
Laut Bundesverband der Deutschen Volksbanken
und Sparkassen (BVR) bieten derzeit 950
Volks- und Raiffeisenbanken den Bezahldienst
an. Das klingt zunächst nach einer gelungenen
Einführung. Allerdings bedarf es insgesamt
dreier Akteure, die für den Erfolg verantwortlich
sind: Neben den teilnehmenden Banken nämlich
auch Kunden, die sich für diese Zahlungsvariante
registrieren und sie beim Online-Kauf
tatsächlich anwenden, sowie Händler, die diese
Option überhaupt anbieten. Und an eben jenen
mangelt es derzeit noch. Aktuell (Stand Anfang
Januar) haben gerade einmal 20 Händler Paydirekt
als Zahlungsart aufgenommen. Trotzdem
sprich Niklas Bartelt von positivem Feedback.
„Unsere Bankpartner führen eine Vielzahl von
Gesprächen mit ihren Händlerkunden du es
„Mit den bislang
beteiligten Banken
haben wir ca. 95
Prozent der deutschen
Kreditinstitute an Bord.
Das schließt die
Sparkassen ein“,
so Geschäftsführer
Dr. Niklas Bartelt.
gibt durchaus Interesse an
unserem System. Die Vorteile
sprechen für sich, wir sind
deshalb sicher, im Laufe dieses
Jahres unser Händlerspektrum
deutlich erweitern zu können.“
Hinderlich könnte zudem die
Entscheidung des Kartellamts
sein, die, um Preisabsprachen
zu verhindern, den Banken
untersagt, gemeinsam einheitliche
Händlerkonditionen zu
bieten. So muss jeder Online-
Händler mit (s)einer Bank die
jeweiligen Preise aushandeln.
Die Erfolgsaussichten sind
zwiegespalten: Auf der einen
Seite ist das theoretische
Nutzerpotential durch die vorhandenen
Girokonten groß
und auch preislich könnte
Paydirekt für Händler attraktiv
sein. Auf der anderen Seite
müssen Online-Käufer von
ihrem gewohnten Zahlverfahren
Abstand nehmen. Hinzu
kommt, dass es bislang keinen
gemeinschaftlichen Markenauftritt
gegeben hat, hier ist
wohl jeder Teilnehmer selbst
gefragt, aktiv für das neue
Angebot zu werben. Dass
ein Mindestmaß an Werbung
jedoch wichtig ist, konnte
bei zahlreichen gescheiterten
Anbietern – jüngstes Beispiel
Yapital der Otto-Gruppe –
beobachtet werden.
Kathrin Zieblo
›
der von der Kreditkartenindustrie festgelegte
Datensicherheitsstandard – notwendig. Denn
die Zahlungsdetails werden erst bei Abschluss
der Bestellung an den PSP gesendet. Die Alternative
besteht darin, den Kunden auf die Seite
des PSP (ohne optischen Bruch) weiterzuleiten.
Der Webshop selbst benötigt dann keine
SSL-Verschlüsselung und muss auch nicht PCIfähig
sein, da der Händler nicht mit den sensiblen
Zahlungsdaten in Berührung kommt.
Zudem ist es „ratsam, die Payment-Service-
Provider über ein Payment Gateway anzubinden.
Damit erreicht der Händler ein Entkoppeln
seines Shops von Acquirer bzw. dem
PSP. Es gibt nur noch eine Schnittstelle zum
Check-out anstatt zu jedem einzelnen Provider.
Das Hinzufügen einer weiteren Zahlungsmethode
bzw. Änderungen beim Dienstleister
erfordern keine oder eine nur sehr geringe
Änderung im Shop“, so die IBM-Techniker
Trapp und Heesen.
Beinahe-Einkäufe verhindern
Jedes Bezahlverfahren hat seine Vor- und
Nachteile, das einzig Richtige gibt es nicht.
Dennoch scheint es, als komme ein Online-
Händler nicht um die Rechnung herum. Stellt
sie auf der einen Seite ein gewisses Risiko dar,
ist sie auf der anderen Seite eine zuverlässige
Möglichkeit, die Kaufabbruchrate zu senken.
Trotzdem freut den Kunden eine große Auswahl
und die präferierte Zahlungsvariante
vorzufinden erhöht die Chance auf einen
Kaufabschluss. Doch bei aller Rücksichtnahme
auf die individuellen Zahlungswünsche müssen
nicht um jeden Preis sämtliche möglichen
Bezahlvarianten angeboten werden. Kosten,
Sicherheit und Kundenakzeptanz gilt es gegeneinander
abzuwägen, wobei die Kombination
aus mehreren Verfahren die Abbruchquote auf
nahezu null reduzieren kann.
Kathrin Zieblo
28
IT-MITTELSTAND 1-2 | 2016

e-commerce | organisation
Kivanta steht für „Gesund
Leben“. Der Spezialhändler
für qualitätsgeprüfte
Trinkflaschen und Brotdosen
aus reinem Edelstahl hat es sich
zur Aufgabe gemacht, Lebensmittelaufbewahrungen
ohne
Schadstoffe anzubieten.
Die Geschichte begann, als
Gründerin Nathalie Rau bei
der Suche nach einer Kinderflasche
für ihren Sohn auf die
Edelstahlflaschen der Marke
Klean Kanteen stieß, die nur
in den USA vertrieben wurden.
Die Flaschen überzeugten nicht
nur die Familie, sondern auch
Freunde und Bekannte, sodass
mit der Zeit immer größere
Mengen aus Übersee importiert
wurden. So entstand 2011
der Online-Shop Kivanta.de.
Heute bietet das Kleinunternehmen
schadstofffreie Produkte
vieler Marken sowie die eigene
Marke „Kivanta“ an und beliefert
bereits rund 30.000 Kunden.
Shop für schadstofffreie Produkte
Auf Wachstumskurs
Eine „Out of the Box“-Shop-Lösung aus der Cloud konnte beim Versandhändler für
schadstofffreie Lebensmittelaufbewahrung nicht mit dem Wachstum mithalten.
Nathalie Rau gründete gemeinsam mit ihrem Mann
den Online-Shop Kivanta.de, auf dem u.a. die gleichnamige
Eigenmarke verkauft wird.
„Out of the Box“-Lösung
war nicht geeignet
Bei der Gründung setzte
Nath-alie Rau zunächst auf
einen internationalen Anbieter
von Online-Shops in der Cloud.
„Die Tatsache, dass das Shop-
System eine ‚Out of the Box‘-
Lösung war, wurde bei unseren
Wachstumsplänen hinderlich.
Ich wollte individuellere Funktionen,
um das Kundenerlebnis
Unter dem Motto „Gesund Leben“ vertreibt
der Online-Shop Trinkflaschen und Brotdosen
aus reinem Edelstahl.
im Shop zu verbessern. Diese
Wunschfunktionen setzte ich
irgendwann auf eine rund
90 Punkte umfassende Funktionsliste
und legte sie dem
Anbieter vor“, berichtet sie.
Da die große Zahl der Wünsche
mit der genutzten Version
nicht umsetzbar war, suchte
die Händlerin nach einer flexibleren
Lösung. Parallel wuchs
auch das Bedürfnis nach einer
Warenwirtschaft zur besseren
Abwicklung der Bestellungen –
mit Anbindung an das neue
Shopsystem.
Fündig wurde Nathalie Rau
bei JTL-Software, die ein Komplettsystem
aus Warenwirtschaft
und hauseigener Shop-
Lösung sowie eine integrierte
Schnittstelle zu Amazon bieten
konnten.
Kivanta.de
Branche: Haushaltswaren
Gründungsjahr: 2012
Mitarbeiter: 5
Standort: Weilburg
Sortiment: Schadstofffreie
Produkte zum gesunden
Trinken und Aufbewahren von
Lebensmitteln sowie Spielzeuge
und Textilien
www.kivanta.de
Da die technische Umsetzung
nicht alleine von dem Gründerehepaar
gestemmt werden
wollte, suchten sie nach
einem E-Commerce- und Shop-
Experten und wurden auf
Henryk Lippert von Solution
360 GmbH aufmerksam. Der
Berater unterstützte die beiden
zusammen mit der Dresdner
Agentur Kreativkonzentrat
beim Systemwechsel.
Programmierkenntnisse
nicht notwendig
„Die von Kreativkonzentrat
entwickelte Droplet-Architektur
hatte mich beeindruckt.
Damit kann ich im Shop selbst
sämtliche Inhalte ohne große
Programmierkenntnisse austauschen.
Alle Inhalte sind individuell
und einfach anpassbar
sowie an jeder Stelle des Shops
positionierbar. Dieses Konzept
kommt meinem Wunsch
nach mehr Gestaltungsspielraum
entgegen“, sagt die
Unternehmerin.
„In dem Projekt gab es neben
der Datenmigration besonders
eine Herausforderung: Kivanta
arbeitet mit einem Fulfillment-
Dienstleister, der alle Versandaufgaben
übernimmt. Um
einen reibungslosen Ablauf
von der Bestellung bis zum
Versand sicherzustellen, wurde
von uns eine vollautomatische
Schnittstelle zu dem Dienstleister
entwickelt. Dadurch werden
die Bestellungen aus der
Warenwirtschaft nach erfolgreichem
Zahlungseingang an
den Dienstleister übermittelt
und Bestandsrückmeldungen
sowie Versand-Tracking hinterlegt“,
ergänzt Henryk Lippert.
Das Ehepaar Rau ist stolz auf
ihren Shop und plant die Migration
auf die neue Wawi 1.0
sowie die Umstellung auf JTL-
Shop 4. Die für mobile Geräte
optimierte Darstellung wird
dann full-responsive. So können
Käufer auch vom Smartphone
oder Tablet aus schadstofffreie
Trinkflaschen und
Brotdosen kaufen, vielleicht
sogar direkt aus der Natur.
Frank Bärmann
IT-Mittelstand 1-2 | 2016
29

organisation | e-commerce
Einheitlicher Markenauftritt
Zentrales
Marketing für
Plüschtiere
Daniel Barth, Geschäftsführer der Margarete
Steiff GmbH, berichtet von der Software-
Einführung für einen kanalübergreifenden,
einheitlichen Markenauftritt des Unternehmens
ITM: Herr Barth, kürzlich haben Sie sich für eine
Marketing-Resource-Management-Software (MRM)
entschieden. Warum war dies aus Ihrer Sicht notwendig?
Daniel Barth: Die Einhaltung eines einheitlichen Markenauftritts
und einer konsistenten Produktkommunikation
wird aufwendiger. Das liegt daran, dass die
Anzahl der Kanäle immer größer und Vertriebsmodelle
komplexer werden. Damit wachsen auch die Anforderungen
an die IT, da die meisten Marketing- und
Vertriebsprozesse heute IT-gestützt ablaufen. Wir setzen
die Lösung von Frinch als zentrales System zum
Verwalten von Media Assets, Marketing- und Produktinformationen
sowie der damit verbundenen
Prozesse und Workflows ein. Durch die Konsolidierung
auf eine zentrale Plattform profitieren wir von
geringen Prozesskosten sowie der Optimierung der
Marketing-Aktivitäten.
ITM: Welche Aufgaben übernimmt die Software?
Barth: Das MRM führt Produktdaten sowie Marketing-
Materialien aus unterschiedlichen Systemen zentral
zusammen und stellt sie für den Webshop, das Händlerportal
oder den Vertrieb bereit. Als „Single Point of
Administration“ verwaltet es Materialien wie Kataloge
und Vertriebsflyer sowie die Produktinformationen für
den Onlineshop. Die Software löste nicht nur unser
bisheriges Product Information Management (PIM)
ab, es steuert beispielsweise auch die Produktgruppengliederung
(Shop Tree) und konsolidiert nachgelagerte
Prozesse wie die Produktkategorisierung oder
Cross-Selling-Empfehlungen. Diese Daten ergeben
zusammen mit den Produktinformationen wie Größe,
Farbe und Artikelnummer aus zwei ERP-Systemen (SAP
und Futura) die Gesamtdarstellung eines Produktes.
ITM: Also ein Werkzeug für das Online-Marketing?
Barth: Nein, nicht nur. Für das Offline-Marketing stellt
das MRM die Medien- und Bilddatenbank zur Verfügung
und steuert den Veröffentlichungsprozess bei der
Erstellung von Marketing-Hilfsmitteln wie Handouts
für den Vertrieb, Produktflyer oder Kataloge. Hierfür
stehen den Mitarbeitern Templates zur Verfügung, mit
denen sie Verkaufsunterlagen zusammenstellen und
aufbereiten können, ein sogenanntes On-demand
Product Information Publishing. Über ein Indesign-
Plugin haben wir auch externe Grafikdienstleister in
den Publishing-Prozess eingebunden.
Margarete
Steiff GmbH
Gründung: 1880
Standort: Giengen an
der Brenz
Branche: Plüsch- und
Spielwaren
Mitarbeiter: 1.320
(Stand 2009)
www.steiff.com
Die Margarete Steiff GmbH ist für ihre Plüschtiere
mit dem Knopf im Ohr auf der ganzen Welt bekannt.
„Auch für das Offline-Marketing
stellt das MRM die Medien- und
Bilddatenbank zur Verfügung und
steuert den Veröffentlichungsprozess
bei der Erstellung von
Marketing-Hilfsmitteln wie
Handouts für den Vertrieb,
Produktflyer oder Kataloge.“
Daniel Barth, Geschäftsführer der Margarete Steiff GmbH
ITM: War die Software-Auswahl im Nachhinein betrachtet
die richtige?
Barth: Absolut, wir haben unser Ziel erreicht. Heute
arbeiten wir mit einer crossmedialen Datentransparenz
– von den Rohdaten bis zum angereicherten Content,
vom Printprodukt über das Händlerportal bis hin
zum E-Shop. Dabei hilft uns beispielsweise das Modul
„Share“, eine integrierte Datenaustauschlösung.
Sie ermöglicht uns eine automatisierte
Aufbereitung unserer Produktdaten und Media
Assets sowie einen durchgängigen Workflow.
Da gingen in der Vergangenheit, beispielsweise
beim Saisonwechsel, viele E-Mails zwischen
allen Beteiligten hin und her, wurden Bilder
händisch aufbereitet, mit Metadaten versehen
und online gestellt. Entsprechend hoch waren
der Abstimmungsaufwand und die Fehleranfälligkeit
im Sinne einer einheitlichen Produktund
Markenkommunikation.
Kathrin Zieblo
30
IT-MITTELSTAND 1-2 | 2016

e-commerce | organisation
Online-Kunden: Die Spreu vom Weizen trennen
Intelligente
Betrugsabwehr
Vier Jahre nach der Eröffnung des Online-Shops
Westwing Home & Living geriet der Stilexperte
mit ansteigenden Warenkorbwerten zunehmend
in das Visier von Betrügern.
Zwar hatte das Unternehmen
bereits ein Betrugspräventionssystem
eingerichtet,
doch gab es dabei Probleme:
Bei der Sperrung betrügerischer
Transaktionen bestand
die Gefahr, auch legitime Käufer
zu sperren („False Positives“).
Ohne Erkenntnisse darüber,
wer die Betrüger waren,
konnte kaum zwischen den
beiden unterschieden werden.
Dadurch stieg die risikobedingte
Ablehnungsquote auf zwölf Prozent
an. Benötigt wurde eine
Lösung, die zwischen potentiellen
Verbrechern und legitimen
Kunden unterscheiden kann,
um die Quote zu reduzieren,
ohne Betrugsfälle zu riskieren.
Risikobedingte
Ablehnungsquote
gesenkt
Hilfe bot der Zahlungsdienstleister
Ayden, der bereits seit
Lauch des Webshops
die Zahlungsabwicklung
betreut,
mit seiner integrierten
Risikomanagement-Lösung
Revenueprotect.
Aufgrund seiner Position als
Acquirer kann die Software
des Anbieters auf eine große
Datenmenge aus Kartensystemen
zurückgreifen, um das Risikoniveau
jeder Transaktion zu
beurteilen. Diese Daten werden
zusammen mit Algorithmen
und Kriterien, die sich speziell
auf das Geschäftsmodell von
Westwing beziehen, verwendet,
um Betrug vorzubeugen.
Der Grundpfeiler der Lösung
ist ShopperDNA, ein dynamischer
transaktionsverbindender
Algorithmus, mit dem der
Wohnexperte Betrüger über verschiedene
Geräte, Netzwerke
und Online-Personas hinweg
verfolgen kann. Mithilfe von
Geräte- und Benutzereigenschaftenerkennung
ermöglicht das System
Einblicke in das
Verhalten von Kriminellen
und echten
Kunden, sodass
sich verdächtige
Vorgänge in Echtzeit
erkennen und
sperren lassen.
Westwing Home &
Living GmbH
Gründung: 2011
Sitz: München
Branche: Möbel und Wohnaccessoires
(E-Business)
www.westwing.de
„Durch die Fähigkeit des Risikomanagements, Käufer
in Echtzeit zu beobachten, können wir Betrug nun
effizient bekämpfen, ohne unsere ehrlichen Kunden
am Kauf zu hindern. Dadurch ist unsere risikobedingte
Ablehnungsquote auf 0,2 Prozent gesunken“, berichtet
Shejn Tahirsylaj, Senior Payment & Project Manager
von Westwing. Zudem spart das Unternehmen Zeit bei
der bisher notwendigen manuellen Prüfung internationaler
Transaktionen. Die Risikoanalyse verwendet
nun eine Kombination aus maschinellem Lernen und
vorab festgelegten Kriterien, die auf Erkenntnissen
vorhandener Kundendaten beruhen. „Die Software
hat einen zuvor manuellen Prozess automatisiert
und erspart uns so eine Menge
Zeit. Dadurch konnten wir unsere manuellen
Prüfungen um 30 Prozent senken.
Zudem haben wir die volle Kontrolle über
das System und gestalten dieses nach eigenem Ermessen“,
ergänzt Shejn Tahirsylaj.
Minimierung der Ablehnungsquoten
Verbunden mit zahlreichen Kartensystemen bietet
Adyen Einblicke in Zahlungsdaten und die Gründe für
abgelehnte Kreditkarten. Diese Informationen sorgen
dafür, dass wiederkehrende Käufer mit abgelaufener
Karte beim Checkout zum Schritt „Zahlungsmittelauswahl“
weitergeleitet werden, damit sie eine gültige
Kreditkarte auswählen können. In anderen Fällen lassen
sich spezifische Fehlernachrichten erstellen, die
den genauen Grund für die Ablehnung angeben und
diese künftig verhindern. „Um das Problem zu lösen,
mussten wir zunächst herausfinden, warum einzelne
Kreditkartentransaktionen abgelehnt wurden. Nur
wenige Wochen, nachdem wir dieses Vorgehen eingeführt
hatten, konnten wir einen 24-prozentigen
Rückgang der Bankablehnungsquote beobachten“,
resümiert Shejn Tahirsylaj.
ZI
3 Tipps,
um Betrügereien
zu verhindern
1. Den Kunden hinter der
Transaktion identifizieren
Mit der Nutzung von „Device Fingerprinting“
und der Überwachung der
Bestellvorgänge eines Kunden kann
dem Kaufwilligen über mehrere Endgeräte,
Netzwerke und Online-Identitäten
hinweg gefolgt werden und
so ein ganzheitliches Bild von beiden
– dem Kunden und dem potentiellen
Betrüger – erstellt werden. Auf
diese Weise ist dem ehrlichen Käufer
ein ungehinderter Einkauf möglich,
selbst wenn dieser vom regulären
Einkaufsverhalten abweicht.
2. Verdächtiges Verhalten beim
Checkout erkennen
Eine Möglichkeit, Bot-Attacken
zu erkennen, ist der Einsatz von
Verhaltensanalyse-Tools während
des Bezahlvorgangs. Durch Auswertung
der Tastaturnutzung, des
Mauseinsatzes und der generellen
Geschwindigkeit der Interaktion lässt
sich herauszufinden, ob man es mit
einem menschlichen Wesen oder
einer Maschine zu tun hat.
3. Zulässige Transaktionsgeschwindigkeit
justieren
Während einer Rabattaktion lässt
sich mitunter ein verändertes Käuferverhalten
beobachten: So wird etwa
pro Transaktion mehr Geld ausgegeben
oder häufiger eingekauft. Um
zu verhindern, dass das Risikomanagement
diese Kunden als Betrüger
identifiziert, kann die zulässige Dauer
eines Einkaufsprozesses erhöht
werden.
IT-Mittelstand 1-2 | 2016
31

infrastrukturen | it-sicherheit
Passende AbwehrmaSSnahmen gesucht
Sicherheit
mit
Lücken
Die Bedrohungslage ist für mittelständische
Unternehmen ähnlich dramatisch wie für große.
Doch kleinen und mittleren Firmen fällt es schwerer, sich gegen Hacker oder Malware
zur Wehr zu setzen. Ihnen fehlen häufig das Personal und das Know-how.
Mit Managed Security Services oder einfach zu bedienenden
Sicherheitslösungen lassen sich diese Nachteile wettmachen.
32
IT-MITTELSTAND 1-2 | 2016

it-sicherheit | infrastrukturen
IT-Mittelstand 1-2 | 2016
33

infrastrukturen | it-sicherheit
D
er Mittelstand ist nicht gut aufgestellt
in Sachen IT-Sicherheit. So lautete vor
wenigen Monaten die Warnung des Marktforschungs-
und Beratungshauses Techconsult.
Diese basierte auf den Ergebnissen der
Studie „Security Bilanz Deutschland“, die die
Analysten durchgeführt hatten. Demnach
hat knapp die Hälfte der mittelständischen
Unternehmen und öffentlichen Verwaltungen
dringenden Handlungsbedarf in Puncto IT- und Informationssicherheit.
In dem von der Studie ermittelten Sicherheitsindex
erreichen diese Firmen weniger als 50 von 100 Punkten. Grundlage
der Untersuchung bildet eine Befragung von Unternehmen
und Verwaltungen bzw. Non-Profit-Organisationen mit 20 bis
2.000 Mitarbeitern. Die große Bedeutung des Themas Security ist
den Firmen zwar bewusst, doch wie sie sich ausreichend
schützen können, offenbar nicht. Der Mittelstand
in Deutschland fühlt sich laut Techconsult schlecht
abgesichert.
Wie bei anderen IT-Themen haben die Unternehmen
auch in Sachen Sicherheit mit den typischen
Mittelstandsproblemen zu kämpfen. So fehlt es kleinen
und mittleren Firmen nach Meinung von Techconsult-Analyst
Henrik Groß häufig am notwendigen
Personal. Wenn sich nur wenige Experten um die IT
im Haus kümmern oder eine IT-Abteilung sogar komplett
fehlt, kommt das Sicherheitsthema
zwangsläufig zu kurz. Mit den Personalproblemen
geht auch ein Mangel an notwendiger
Kompetenz einher. „In vielen
mittelständischen Unternehmen ist nicht
genügend IT-Sicherheits-Know-how vorhanden,
um sich ausreichend zu schützen“,
berichtet Groß.
Attraktives Ziel für Hacker
Wer jedoch glaubt, dass Mittelständler
gleichzeitig weniger gefährdet seien
als Großunternehmen, der irrt sich.
Auch viele kleinere Firmen seien ein
attraktives Ziel für Hacker, glaubt
Groß. Als Beispiel nennt er deutsche
mittelständische Maschinenbauer,
die in ihren Bereichen Weltmarktführer
sind. Deren intellektuelles
Eigentum stellt ein verlockendes Ziel
für Cyberkriminelle dar. Und von herkömmlicher
Malware wie etwa Computerviren sind Mittelständler
ohnehin genauso betroffen wie große Firmen.
Holger Suhl, Geschäftsführer für den deutschsprachigen
Raum beim IT-Sicherheitsanbieter
Kaspersky Lab, sieht ebenfalls ein hohes Bedrohungspotential.
Er denkt dabei unter anderem
an Distributed-Denial-of-Service-Angriffe
(DDoS). „Man stelle sich nur vor, dass die
Website eines Unternehmens einen ganzen
Tag nicht erreichbar ist“, sagt Suhl. „Das
kann auch für viele Mittelständler zum
ernsthaften Problem werden.“ Außerdem
sei vielen Mittelständlern immer noch
nicht klar, wie einfach ihr schützenswertes
Know-how durch eine Advanced
Persistent Threat zerstört werden
kann, so Suhl weiter. Dies zeigt auch: Die Bedrohungen, denen
Unternehmen ausgesetzt sind, werden zunehmend komplexer.
Und sie erfordern entsprechend ausgefeilte Sicherheitskonzepte.
Damit sind gerade kleine und mittlere Unternehmen häufig
überfordert. „Je komplexer die Sicherheitsmaßnahmen sind,
desto schlechter werden sie umgesetzt“, weiß Analyst Groß. Als
Beispiele nennt er Multifaktoren-Authentifizierung sowie biometrische
Authentifizierungsverfahren.
Absicherung mobiler Endgeräte
Auch die Absicherung von mobilen Endgeräten auf Unternehmensebene
ist mit Aufwand verbunden. Laut Techconsult-Studie
gibt es in diesem Bereich noch viel zu tun für die Mittelständler.
Mehr als zwei Drittel der Unternehmen berichten, dass sie Mobile-
Security-Lösungen bisher noch nicht gut umgesetzt haben. Selbst
mit der Implementierung relativ einfacher Sicherheitsmethoden
in ihrem Unternehmen wie etwa Antiviren-Software oder Firewalls
für Smartphones und Tablet-Computern ist nur ein Drittel der
befragten Mittelständler zufrieden.
Für kleine und mittlere Firmen gilt somit noch mehr als für
Großunternehmen: Die Sicherheitstechnik muss sich einfach
bedienen lassen, damit sie auf breiter Ebene eingesetzt wird und
somit wirkungsvoll ist. Das zeigt etwa das Beispiel des Sondermaschinenbauers
Viscom. Das Unternehmen tauschte seine
Sicherheitslösung aufgrund mangelnder Usability aus. „Uns störte
immer mehr, dass die Oberfläche des
Produktes nicht intuitiv zu bedienen
Wie sicher
ist das eigene
Unternehmen?
war“, berichtet IT-Leiter Thomas Krause.
„Man musste schon viel Erfahrung mit
der Software mitbringen, um die Konfiguration
leicht durchführen zu können.“
Bei der Suche nach einem neuen
System war das einfache Management
für die Administratoren ein wichtiges
Auswahlkriterium.
Die Verantwortlichen entschieden
sich letztlich für mehrere Security-Lösungen
des Anbieters Kaspersky
Lab. Dessen Technikvorstand, Nikita
Shvetsov, hält Usability für einen sehr
wichtigen Aspekt. Viele Entscheidungen
sollten dem Nutzer abgenommen
werden. Schließlich ist der häufig das
schwächste Glied in der Security-Kette.
Beides miteinander zu kombinieren –
die Technik leistungsfähig, aber auch
gleichzeitig einfach bedienbar zu machen – sei aber eine große
Herausforderung, so Shvetsov.
Unter www.security-bilanz.de stellt
Techconsult ein kostenfreies Benchmark-System
für mittelständische
Anwender zur Verfügung, mit dem
diese die Sicherheitslage in ihrem
Unternehmen testen können. In einem
sogenannten „Self Check“ schätzen
die Nutzer selbst ein, wie wichtig einzelne
technische, organisatorische und
rechtliche Vorkehrungen zur IT- und
Informationssicherheit für ihr Geschäft
sind und wie gut deren Umsetzung
realisiert ist.
Sicherheit als Dienstleistung
Wer Sicherheitslösungen nicht selbst implementieren möchte,
kann auch auf Managed Security Services zurückgreifen. Das ist
laut Groß eine gute Möglichkeit trotz begrenzter eigener Kapazitäten
leistungsfähige Sicherheitstechnologie zu nutzen. So sollen
die Kosten kalkulierbar und die Sicherheitssysteme stets auf dem
aktuellen Stand bleiben. Das versprechen zumindest Anbieter wie
etwa Secunet. Die Unternehmen können sich aus einem modularen
System die für sie passenden Services auswählen. Der Dienstleister
übernimmt dann Installation, Integration, Konfiguration,
Administration sowie Wartung.
Das Institut für Lernsysteme (ILS) zum Beispiel lässt seine komplette
Webserver-Farm mithilfe von Managed Security Services
34
IT-MITTELSTAND 1-2 | 2016

it-sicherheit | infrastrukturen
Kostenfalle Sicherheitslücke
38.000 US-Dollar muss ein
mittel ständisches Unternehmen
durchschnittlich in Folge eines IT-
Sicherheitsvorfalles aufbringen. Bei
Großunternehmen betragen die Kosten
im Schnitt sogar 551.000 US-Dollar.
Dies geht aus einer Studie von B2B
International hervor, die im Auftrag von
Kaspersky Lab durchgeführt wurde. Zu
den Sicherheitsvorfällen gehören Mitarbeiterbetrug,
Cyberspionage, Netzwerkeinbrüche
(Network Intrusions)
sowie Fehler von Drittanbietern.
Die Kosten, die dabei anfallen, ergeben
sich u.a. aus einem Mehraufwand
für Dienstleistungen – wie externe
IT-Experten oder Anwälte sowie aus
Umsatzverlusten aufgrund verloren
gegangener Geschäftsoptionen. Hinzu
kommen noch indirekte Ausgaben wie
z.B. für Personal, Trainings und Infrastrukturaktualisierungen.
Diese betragen
für kleine und mittlere Unternehmen
im Schnitt 8.000 US-Dollar, bei
Großunternehmen 69.000 US-Dollar.
Große Firmen zahlen deutlich mehr,
wenn ein Cybervorfall durch den Fehler
eines vertrauten Partners bzw.
Drittanbieters verursacht wird. Ähnlich
kostenintensiv sind Betrügereien
von Mitarbeitern, Cyberspionage und
Netzwerkeinbrüche. Mittelständischer
müssen dagegen bei allen Sicherheitsvorfällen
in ähnlich hohem Maße in die
Tasche greifen. Für die Studie wurden
weltweit über 5.500 IT-Entscheider aus
26 Ländern zu IT-Sicherheitsthemen
befragt. Neun von zehn Unternehmen
hatten mindestens einen Sicherheitsvorfall
im Untersuchungszeitraum zu
beklagen.
schützen. Dazu zählen unter anderem eine Konzeptentwicklung
bezüglich Ausfallsicherheit und Verfügbarkeit, Überwachung der
Systemumgebung sowie das Patch-Management. Das Spektrum an
Security-Dienstleistungen für Unternehmen ist aber noch größer.
Anbieter von Sicherheitsservices halten Anwenderfirmen ständig
über aktuelle Bedrohungen informiert oder stellen eigene ausfallsichere
Netzwerke zur Verfügung, auf die der Internetverkehr
nach einem DDoS-Angriff umgeleitet werden kann.
Außerdem bieten Dienstleister Schulungen an, um die Mitarbeiter
zu sensibilisieren. Daneben stehen auch Verbände mit
„Distributed-Denialof-Service-Angriffe
(DDoS) können auch
für Mittelständler
zum ernsthaften
Problem werden.“
Holger Suhl, Geschäftsführer beim
IT-Sicherheitsanbieter Kaspersky Lab
Umsetzungsempfehlungen parat. „Gerade der Mittelstand braucht
Partner, um die teils komplexen Aufgaben bewältigen zu können“,
sagt Techconsult-Geschäftsführer Peter Burghardt. Und der
Bedarf an Services im Sicherheitsumfeld ist offenbar groß. Laut
dem Beratungshaus Experton Group macht der Anteil der Dienstleistungen
am IT-Sicherheitsmarkt bereits rund 40 Prozent aus.
Analyst Groß sieht besonders Schulungen als wichtig an. Bei
allen Mitarbeitern müsse ein Bewusstsein für Sicherheit geschaffen
werden. „Sicherheit hört nicht bei der IT auf“, so Groß. Die
Thematik durchziehe das gesamte Unternehmen und müsse
auch organisatorisch umgesetzt werden. Er und seine Kollegen
plädieren daher für ein separates Sicherheitsbudget. Denn meist
sind die Security-Kosten dem Topf für IT-Ausgaben zugeordnet.
Wird das Sicherheits-Budget jedoch eigenständig geplant, könne
sichergestellt werden, dass alle wichtigen Aspekte wie Schulungen
oder vertragsrechtliche Regelungen nicht unter den Tisch fallen
und im Zusammenhang betrachtet werden.
Markus Strehlitz
Zutritt verweigert
Profi-Hacker
aussperren
Michael Scheffler, Vice President Sales
bei dem Sicherheitsanbieter A10 Networks,
erläutert, auf welche Firewall-
Funktionen Mittelständler besser
nicht verzichten sollten.
Vor zwielichtigen Gestalten auf dem Firmengelände
schützt Sicherheitspersonal,
indem es schon am Eingang entscheidet,
wer hinein darf und wer nicht. Ähnlich
leichtes Spiel haben auch Firewalls, wenn es
sich um vornehmlich jugendliche „Script Kiddies“ handelt:
Sie agieren eher laienhaft aus dem Darknet heraus
und versuchen, in beliebige Unternehmen einzudringen.
Die Abwehr von ernstzunehmenden Hackern ist hingegen
ein aufwendigeres Unterfangen. Doch worauf sollte bei
der Auswahl professioneller Firewalls geachtet werden?
Generell gilt: Jedes Unternehmen, unabhängig
von der Branche, der Belegschafts- oder Umsatzgröße,
benötigt eine aktuelle Firewall – schon alleine,
weil das Bundesamt für Sicherheit, der TÜV, aber
auch viele Konzerne von ihren Zulieferern eine zeitgemäße
Sicherheitsinfrastruktur verlangen.
Als Mindestschutz wird in der Regel eine ‚Statefull Inspection
Firewall’ benötigt. Solche Systeme bieten neben
der reinen Port-Kontrolle erweiterte Dienste wie Applikationsunterstützung
und deren Optimierung sowie Webfiltering.
Firmen mit mehreren Standorten oder Außendienstmitarbeitern
müssen zudem eine sichere Kommunikation
zwischen den Mitarbeitern und den IT-Ressourcen der
Firma sicherstellen – hierbei sollte das Augenmerk darauf
liegen, dass das klassische IPSec VPN unterstützt wird.
Es mag banal klingen, doch besonders wichtig ist bei
allen Sicherheitssystemen die Bedienbarkeit: Ohne
entsprechende Alarmierung sowie ein übersichtliches
Administrations- und Analyse-Interface bringt
auch die sonst beste Lösung kaum einen Nutzen.
Besitzen Mittelständler einen Webshop oder eine Smartphone-App
für ihre Kunden, sollten auch diese potentiellen
Einfallstore abgesichert werden. Etwa durch die
Etablierung einer Web Application Firewall (WAF).
Nicht zuletzt sind mehr ein Drittel der Datenpakete,
die das Unternehmensnetzwerk erreichen, per Secure
Socket Layer (SSL) verschlüsselt. Viele Angreifer nutzen
genau diese Mechanismen, um ihre Kommunikation
zu verbergen. Doch einige Firewalls sind blind gegenüber
solchen Attacken. Bietet die eingesetzte Firewall
keine solche Entschlüsselung, sollten die Verantwortlichen
mit gesonderten Lösungen nachbessern.
IT-Mittelstand 1-2 | 2016
35

infrastrukturen | it-sicherheit
Bertram Dorn, Solutions
Architect bei Amazon Web
Services
Khaled Chaar, Managing
Director Business Strategy
bei der Cancom-Tochter
Pironet NDH
Cloud Computing gilt als aktueller Megatrend. Laut IDC soll heute bereits
mehr als die Hälfte aller IT-Aufwendungen in diese Richtung fließen – mit
wachsender Tendenz. Bis 2020 werden demnach über 60 Prozent der
IT-Budgets für cloud-basierte Technologien ausgegeben. Hinter dieser
Entwicklung steht der Wunsch von IT-Leitern und Service-Providern,
ihre IT-Landschaft inklusive der Netzwerke in offene, software-basierte
Plattformen zu verwandeln.
Trotz der Euphorie der Hersteller und
Provider zögern viele Mittelständler
aber noch beim Cloud Computing.
Sie sorgen sich um die Sicherheit ihrer
Daten in der Wolke. Außerdem ist wie
immer schon beim IT-Outsourcing das
Unbehagen groß, die Datenhoheit zu verlieren.
Dazu kommt jetzt auch noch die
unklare Rechtslage durch das Ende des
Safe-Harbor-Abkommens mit den USA.
IT-MITTELSTAND hat daher zwei Cloud-
Experten gebeten, speziell die Sicherheitsbedenken
zu entkräften.
„Um Daten einigermaßen
sicher in der Public Cloud zu
lagern, sollten Unternehmen
diese vorab verschlüsseln.“
Khaled Chaar
ITM: Der Europäische Gerichtshof hat
entschieden, dass die USA kein „sicherer
Hafen“ mehr für Daten aus Europa ist. Was
bedeutet dies für die Praxis im IT-Betrieb
mittelständischer Unternehmen in Deutschland,
die bereits Cloud-Services nutzen?
Khaled Chaar: Grundsätzlich ging es beim
Safe-Harbor-Abkommen ausschließlich
um den Austausch personenbezogener
Daten. Unternehmen, die nicht-personenbezogene
Daten, wie Produktinformationen
oder Preise, in einer wie auch immer
gearteten Cloud speichern, können das
auch weiterhin tun. Zudem bezog sich das
Abkommen ausschließlich auf den Informationsaustausch
mit den USA. Wer seine
Daten einem europäischen Cloud-Provider
anvertraut hat, dessen Rechenzentren in
Europa stehen, für den ändert sich durch
die Entscheidung des EuGH nichts.
Man sollte bei aller Diskussion um Safe
Harbor auch bedenken, dass das Abkommen
unter Rechtsexperten schon lange
äußerst umstritten war. Denn amerikanische
Cloud-Provider haben sich im Rahmen
von Safe Harbor zwar verpflichtet,
die EU-Datenschutzstandards zu erfüllen.
Doch inwieweit sie das in der Praxis tatsächlich
umgesetzt haben, ließ sich kaum
nachprüfen. Zusätzlich Öl ins Feuer goss
natürlich der NSA-Skandal.
Bertram Dorn: Unabhängig von der Entscheidung
des EuGH hat die Sicherheit
der Daten unserer Kunden für uns oberste
Priorität. Die EU-Datenschutzbehörden
(bekannt als Artikel-29-Arbeitsgruppe)
haben unsere Datenschutzvereinbarung
sowie die Vertragsklauseln genehmigt,
auf deren Basis ein Transfer von Daten
aus Europa heraus ermöglicht wird, einschließlich
der USA. Mit unseren von der
EU genehmigten Datenschutzabkommen
sowie den „Model Clauses“ können Kunden
unsere Cloud-Services auch weiterhin
nutzen – unter voller Entsprechung der EU-
Gesetzgebung. Auf unsere Datenschutzvereinbarung
können sich all jene AWS-Kunden
berufen, die personenbezogene Daten
verarbeiten, unabhängig davon, ob sie in
Europa angesiedelt oder ein internationales
Unternehmen sind, das im europäischen
Wirtschaftsraum tätig ist.
36 IT-MITTELSTAND 1-2 | 2016

it-sicherheit | infrastrukturen
Fragen von Berthold Wesseler
aus Forschung und Entwicklung, ist die
öffentliche Cloud daher unserer Ansicht
nach nicht der richtige Ort.
ITM: Manche Experten empfehlen die Daten
zu verschlüsseln, bevor sie in die Cloud
gehen. Was halten Sie davon? Ist das sicher
und praktikabel?
Dorn: Wir empfehlen unseren Kunden
grundsätzlich immer, ihre Daten zu verschlüsseln.
Allerdings hängt es vom speziellen
Anwendungsfall bzw. von der spezifischen
Workload ab, welche Art von
Verschlüsselung die richtige ist. Sofern
Daten in der Cloud nur gespeichert und
transferiert werden sollen, ist eine Vorabverschlüsselung
praktikabel. Soll auf den
Daten gerechnet werden, so bieten sich verschiedenste
Verschlüsselungsmethoden an,
welche die Daten bei der Übertragung und
Speicherung unleserlich machen.
AWS ermöglicht Kunden für fast alle
Dienste, ihre eige nen Verschlüsselungsmechanismen
zu verwenden, etwa S3,
EBS, SimpleDB und EC2. VPC-Sessions
sind ebenso verschlüsselt. Kunden steht
es zudem frei, Verschlüsselungstechnologien
von Drittanbietern einzusetzen.
Unsere Verschlüsselungsprozesse werden
regelmäßig von unabhängigen Auditoren
überprüft, um eine fortwährende Übereinstimmung
mit den Standards SOC, PCI DSS
und ISO 27001 zu gewährleisten.
Chaar: Wir dürfen hier die Themen Datenschutz
und Datensicherheit nicht miteinander
vermischen. Die Verschlüsselung ist
ein rein technisches Thema. Personenbezogene
Daten dürfen nach der Entscheidung
gegen Safe Harbor nicht mehr in die USA
transferiert werden – egal ob verschlüsselt
oder nicht!
In der Praxis werden Verschlüsselungsverfahren
vor allem bei der Nutzung von
Public-Cloud-Diensten wie Dropbox,
Microsofts One Drive oder Google Drive
angewendet. Die meisten Provider dieser
Speicherdienste können auf die Daten
ihrer Nutzer jedoch problemlos zugreifen,
da eine Verschlüsselung meistens erst auf
dem Server selbst stattfindet.
Um Dateien einigermaßen sicher in
der Public Cloud zu lagern, sollten Unternehmen
die Daten daher schon vorab verschlüsseln
– und zwar mit einem Schlüssel,
der dem Provider nicht bekannt ist. Dabei
gilt es jedoch, zwei Dinge zu bedenken:
Erstens sollten sich die IT-Verantwortlichen
genau überlegen, welche Daten sie
auf diesem Wege schützen wollen und wie
hoch das Schutzniveau sein soll. Denn je
sicherer ein Verfahren ist, mit desto mehr
Einschränkungen müssen in der Regel die
Nutzer leben. Zum anderen sollte man sich
vor Augen halten, dass auch das vermeintlich
sicherste Verschlüsselungsverfahren
nie einen vollkommenen Schutz bieten
kann. Für besonders sensible Daten, etwa
„Der Kunde entscheidet,
welchen Inhalt er in die
Cloud stellt, und auch über
das Sicherheitsniveau.“
Bertram Dorn
ITM: Was raten Sie mittelständischen
Kunden aus Sicherheitsperspektive generell
bei der Nutzung von Cloud-Services? Gibt es
hier wirksame Maßnahmen, die vor Datenverlust
und Ausspähung schützen?
Dorn: Kurz zusammengefasst: dass sie sich
Wissen über unser sogenanntes „Shared
Responsibility Model“ aufbauen, unsere
Empfehlungen über die Sicherung von
administrativen Zugängen (Stichwort
„Identity und Access Management“) konsequent
umsetzen, alle verfügbaren Sensoren
(Cloud Trail/VPC-Flow-Logs) auswerten
sowie überall da konsequent verschlüsseln,
wo es aus ihrer Sicht Sinn ergibt.
Beim Schutz vor Datenverlust und Ausspähung
kommen vollkommen unterschiedliche
Maßnahmen zum Tragen.
Bezüglich der Prävention von Ausspähung
ist wichtig zu beachten, dass einzig der
Kunde die Kontrolle über seine Daten hat
– nicht wir. Wir als Provider haben auch keinen
Einblick in die Inhalte, die der Kunde
einstellt – und ändern ebenso wenig die
Einstellungen des Kunden. Diese werden
einzig durch den Kunden festgelegt und
stehen vollständig unter dessen Kontrolle.
Da es der Kunde ist, der darüber entscheidet,
welchen Inhalt er in die Cloud
stellt, kann auch nur der Kunde entscheiden,
welches Sicherheitsniveau für die
dort gespeicherten Daten angemessen ist.
In Bezug auf Datenverlust lässt sich sagen,
dass es für jede der 30 Verfügbarkeitszonen
entsprechende „Failure Zones“ gibt. Das
heißt: Für den Fall einer Unterbrechung
werden Datenströme automatisiert in alternative
Verfügbarkeitszonen in derselben
Region umgeleitet.
Chaar: Wer auf Nummer Sicher gehen will,
sollte für kritische Daten auf eine europäische
oder noch besser auf eine deutsche
Cloud setzen. Denn hiesige Provider unterliegen
den äußerst strengen deutschen
Datenschutzbestimmungen.
Vorsicht ist allerdings geboten, wenn
ausländische Provider ihre Rechenzentren
in Deutschland betreiben, um ihren
Kunden ein vermeintlich besseres Datenschutzniveau
zu bieten. Diese Rechnung
geht nicht auf. Denn US-Gerichte haben
entschieden, dass US-Behörden auch dann
Zugriff auf die Rechenzentren eines amerikanischen
Providers haben, wenn sich diese
außerhalb der USA befinden. Zum Thema
Datenverlust kann man nicht oft genug
das Mantra „Backup, Backup, Backup!“ wiederholen.
Möglichst in örtlich getrennten
Lokationen.
IT-Mittelstand 1-2 | 2016
37

infrastrukturen | it-sicherheit
Anonym im Internet
mit Tor und Tails
Autor: Peter Loshin
Verlag: Franzis, Haar bei München
Seiten: 199
Preis: 30 Euro
Im Mittelpunkt stehen Schutz der Privatsphäre
und Anonymität im Internet.
Der Verfasser zeigt auf, wie man mithilfe
von Tor (Netzwerk zur Anonymisierung
von Verbindungsdaten) und Tails (Linux-
Distribution mit permanenter Tor-Anbindung)
beide Ziele erreicht. Neben Installation
und anschließender Nutzung befasst
er sich auch mit darüber hinaus gehenden
Anforderungen, die man nur durch
zusätzliche Vorkehrungen oder Kenntnis
der Tor-Internas erfüllen kann. Für alle
bekannten Engpässe, was Performance
und Effizienz betrifft, schlägt er passende
Lösungen vor.
Nmap kompakt
Autor: Holger Reibold
Verlag: Brain-Media.de, Saarbrücken
Seiten: 140
Preis: 14,99 Euro
Nmap (Network Mapper) dient nicht
nur zur Inventarisierung und Verwaltung
von Diensten, sondern kann über seine
Monitoring-Funktion auch Schwachstellen
der eigenen Infrastruktur offenlegen. Das
Taschenbuch verdeutlicht mittels konkreter
Praxisbeispiele die wichtigsten Features
dieser Open-Source-Software. Dazu gehört
auch die Verbesserung der Performance
eingebundener Komponenten, um deren
Ausführung zu optimieren. Zur einfacheren
Benutzung von Nmap behandelt der
Autor Zenmap, eine offiziell für Nmap
verfügbare GUI-Oberfläche. Insgesamt ein
rundes Werk, das eine schnelle Übersicht
mit verständlichem Einstieg verbindet.
Sicherheit im Online-Banking
Autoren: Herbert Kubicek, Günther Diederich
Verlag: Springer Vieweg, Wiesbaden
Seiten: 125
Preis: 29,99 Euro
Dieser Titel analysiert kritisch den
Stand der aktuellen Sicherheitsverfahren
im Online-Banking. Interviews mit
Experten aus Verbänden und Finanzinstituten
vermitteln, weshalb sich im
Online-Banking der HBCI-Standard nicht
durchsetzen konnte. Zusätzlich erörtern
die Verfasser elektronische Signaturen im
Online-Banking, E-Government und deren
Geschäftspotential beim Einsatz in eigenen
Geschäftsprozessen. Endkunden und
Bankmanager interessiert sicherlich der
BUCHTIPPS
Zusammengestellt von Renate Simon
Angebotsvergleich von rund 30 Banken
und Sparkassen. Dabei manifestiert sich
als treibende Kraft ein abzuwiegendes Verhältnis
von Sicherheit und Benutzerfreundlichkeit
heraus.
Mein Recht im Netz
Autor: Peter Apel
Verlag: Stiftung Warentest, Berlin
Seiten: 224
Preis: 19,90 Euro
Der Titel beschäftigt sich mit der Verschlüsselung
privater Daten, wie man
sich vor Betrug, Missbrauch und Spionage
schützt und welche Handlungen im
Internet erlaubt sind. Das Internet sollte
man nicht als rechtsfreien Raum auffassen,
vielmehr greift auch dort die gültige
Rechtslage. Zudem muss man ausreichende
Maßnahmen implementieren, um
externe Angriffe und Attacken abzuwehren.
Anhand verbreiteter Vorgehensweisen und
häufig genutzter Websites erläutert der
Autor, wie man optimalen eigenen Schutz
sicherstellt.
Schnelleinstieg – sicher
surfen im Web
Autor: Andreas Hein
Verlag: Franzis, Haar bei München
Seiten: 160
Preis: 16,95 Euro
Das Softcover untersucht, wie man
Sicherheit für verschiedene Hardware-Plattformen
(PC, Tablet, Smartphone) gewährleisten
kann. Die jeweiligen Nutzungsformen
erfordern verschiedene Strategien und
Vorkehrungen, um Datenmissbrauch und
Privatsphäre wirkungsvoll gegen externe
Angriffe zu schützen. Betrachtet werden
Web-Shopping, E-Mail, Online-Banking,
soziale Netzwerke, Cloud-Infrastrukturen
und Verschlüsselungsverfahren. Als Leser
lernt man unterschiedliche Betrugsversuche
zu erkennen und entsprechend gegenzusteuern.
WLAN Security kompakt
Autor: Holger Reibold
Verlag: Brain-Media.de, Saarbrücken
Seiten: 100
Preis: 14,80 Euro
Um potentielle Gefahren zu minimieren,
sollte ein drahtloses Netz möglichst
sicher gegen Angriffe von außen und innen
betrieben werden. Die vorgestellten Sicherheitstests
ermitteln die Empfindlichkeit
eines WLANs und das mit ihm verbundene
Risiko. Insbesondere decken sie mögliche
Schwachstellen auf und erhöhen damit
die Sicherheit des gesamten Systems. Die
anschließende Durchführung von Penetrationstests
unterstreicht deren empirische
Bedeutung; sie sollten in eine umfassende
Sicherheitsanalyse integriert werden.
IT-Sicherheitsgesetz
Autor: Michael Terhaag
Verlag: Bundesanzeiger, Köln
Seiten: 202
Preis: 39,80 Euro
Betreiber kritischer Infrastrukturen sollen nach dem IT-Sicherheitsgesetz einen
Mindeststandard an Sicherheit einhalten und dem Bundesamt für Sicherheit in
der Informationstechnik (BSI) entdeckte, erhebliche Sicherheitsverstöße melden.
Das Paperback fasst alle relevanten Informationen zusammen und hilft, damit
verbundene Pflichten zu erkennen. Da es besonderen Wert auf die Kommentierung
legt, trägt es dazu bei, den Gesetzestext inhaltlich leichter zu verstehen.
Gleichzeitig arbeitet es die damit verbundenen Auswirkungen heraus, so dass
für die betroffenen Branchen Meldepflichten geklärt und geeignete Regelungen
getroffen werden können.
38 IT-MITTELSTAND 1-2 | 2016

Digitales
Wirtschaftswunder
Moderne Unternehmen müssen
digital denken und handeln
Der digitale Wandel ist in vollem Gange. Das hohe Tempo der Entwicklung stellt jedes moderne
Unternehmen vor die Herausforderung, in zunehmendem Maße digital zu denken und zu
handeln. Schließlich geht es um nichts weniger als darum, die eigene Zukunftsfähigkeit
zu sichern, ohne sich seiner Stärken zu berauben. Digital zu handeln heißt, Prozesse neu
auszurichten und zu vereinfachen, um schneller auf veränderte Marktbedingungen eingehen
und zugleich Kunden und Partner besser einbinden zu können.
Mit den passenden Konzepten und Strategien eröffnet die Digitalisierung
in einem höchst dynamischen Umfeld ganz neue Geschäftschancen.
Erfahren Sie mehr unter:
www.it-director.de/microsoft
Über den QR-Code
gelangen Sie direkt zum Subnet.

infrastrukturen | it-sicherheit
Gefährlicher Trugschluss
Mittelstand
wiegt sich in
Sicherheit
Im Interview erläutert Florian Malecki,
Product Marketing Director bei Dell Network
Security, inwieweit mittelständische
Unternehmen die IT-Sicherheit bereits in ihrer
Unternehmensstrategie verankert haben.
ITM: Herr Malecki, wird Sicherheit heute im Mittelstand
als eine zentrale Aufgabe der IT gesehen?
Florian Malecki: Der Mittelstand hat die Bedeutung
des Themas Sicherheit inzwischen erkannt, aber leider
noch nicht genug. Nach wie vor denken viele Verantwortliche,
dass sie als Mittelständler kein interessantes
Ziel für Hacker seien. Dies ist jedoch ein gefährlicher
Trugschluss. So wurden zahlreiche mittelständische
Firmen bereits Opfer von Erpresser-Software (Ramsonware).
Darüber hinaus konnten Unternehmen mit
Cloud Computing zwar ihre Produktivität steigern und
Kosten senken, dennoch fehlen ihnen nach wie vor
Regelwerke und Lösungen für die Cloud-Sicherheit,
was zu ernsthaften Schäden und hohen Ausfallzeiten
führen kann.
ITM: Auf welche Weise sollten Mittelständler ihre
Abwehrstrategie zum Schutz ihrer Netzwerke vor dem
Hintergrund der zunehmenden Bedrohungen ändern?
Malecki: Zunächst müssen Mittelständler überhaupt
eine Strategie besitzen. Zwar haben sie mittlerweile
immerhin einige Richtlinien und Sicherheitslösungen
im Einsatz. Entscheidend ist es jedoch, die Sicherheitsmaßnahmen
kontinuierlich zu überprüfen: Zum einen
muss die digitale Abwehr an neue Anforderungen
und unbekannte Angriffsmuster angepasst werden.
Zum anderen muss die ökonomische und technische
Effizienz der IT-Sicherheitsverwaltung gewährleistet
sein. Dafür braucht man flexible, zentrale Lösungen,
die dem Administrator anwendungsübergreifende
Richtlinienkompetenzen an die Hand geben. Und
schließlich müssen die Endnutzer von den neuen
Sicherheitsrichtlinien überzeugt werden. Denn die
beste Gefahrenerkennung und Sicherheitsverwaltung
nutzt nichts, wenn Mitarbeiter im Alltag nicht
risikobewusst sind.
ITM: Neue Themen wie das Internet der Dinge (Internet
of Things, IoT) oder Industrie 4.0 betreffen auch den
Mittelstand. Was bedeutet dies für die IT-Sicherheit?
Malecki: Damit kommen ganz neue Gefahren für die
IT-Sicherheit auf die Unternehmen zu. Denn bewährte
Techniken wie Firewalls, VPNs oder Verschlüsselung
sind nicht ohne weiteres auf die IoT-Welt übertragbar.
Alle Geräte, die auf IT-Systeme zugreifen können, müssen
genau untersucht werden. Man muss wissen, was
sie tun, welche Daten sie sammeln und kommunizie-
„Die neue Datenschutzgrundverordnung der
EU soll für mehr Transparenz und größere
Rechenschaftspflicht sorgen“,
berichtet Florian Malecki von Dell Network Security.
ren, wohin diese Daten gehen, wo mögliche Schwachstellen
liegen oder auch welche Zertifizierungen vorhanden
oder nötig sind. Von daher sollte man Daten
absichern und verschlüsseln, wo immer sie gespeichert
sind, also auch auf der Ebene autonomer Geräte im
IoT. Nötig ist daher ein ganzheitlicher Sicherheitsansatz,
der Aspekte wie Endpunkt-, Netzwerksicherheit,
Identity und Access Management sowie mobile Sicherheit
abdeckt. Da sich das IoT weiter ausbreiten wird,
ist es unerlässlich, dass Sicherheitsteams bei Geräten,
Standards und Problemen auf dem neuesten Stand der
Technik sind. Techniken wie Next Generation Firewalls
und Unified Threat Management (UTM) sind inzwischen
essentiell für jedes Unternehmen.
ITM: Im Identity Management werden derzeit neue
Ansätze diskutiert, beispielsweise Attribute Based Access
Control (ABAC): Sind diese Methoden für den Mittelstand
interessant?
Malecki: Attribute Based Access Control ist ein Thema,
da Identitäts- und Zugriffsmanagement keineswegs
nur Großunternehmen betreffen. Vielmehr steht jeder
Betrieb vor der Frage, welche Person wann, von welchem
Ort aus, auf welche Daten zugegriffen hat. Die
Verantwortlichen haben es heutzutage mit diversen
Nutzergruppen zu tun, denn auf Informationen greifen
nicht nur Mitarbeiter zu, sondern z.B. auch Partner
und Kunden. Sie alle benötigen ständigen Zugang zu
verschiedenen Applikationen, ob on premise, cloudbasiert
oder mobil.
›
40
IT-MITTELSTAND 1-2 | 2016

it-sicherheit | infrastrukturen
Vorteile von IAM-Systemen
Agile Zugriffskontrolle
Die Verantwortlichen mittelständischer
Unternehmen sehen sich heutzutage zunehmend
damit konfrontiert, einerseits agile und
kundenorientierte Geschäftsprozesse dauerhaft zu
etablieren, und andererseits allen sicherheitstechnischen
Anforderungen zu entsprechen.
›
ITM: Nicht selten zögern die Verantwortlichen
aufgrund von Sicherheitsbedenken,
sich beim Cloud Computing zu engagieren.
Sind solche Zweifel mittlerweile obsolet?
Malecki: Solche Bedenken muss man ernst
nehmen, denn wie schon erwähnt ist ein
Risikobewusstsein essentiell. Allerdings
hat sich gerade bei den Themen Cloud
und Sicherheit in den letzten Jahren viel
getan – nicht zuletzt aufgrund von Forderungen
aus dem Mittelstand. Datenschutz
und -sicherheit stehen heute sowohl
bei den Anwendern als auch den Cloud-
Providern ganz oben auf der Prioritätenliste.
Und mittlerweile sind gibt es auch
Lösungen, die umfassende Rechtssicherheit
gewährleisten.
ITM: Ab 2018 gilt auf EU-Ebene ein neues
Datenschutzrecht. Wie wird sich dies auf
die Sicherheitsstrategie mittelständischer
Unternehmen auswirken?
Malecki: Die neue Datenschutzgrundverordnung
der EU soll für mehr Transparenz
und größere Rechenschaftspflicht sorgen.
So müssen Unternehmen beispielsweise
schneller auf Datenschutzverstöße reagieren.
Und Strafzahlungen sind auch nicht
mehr pauschal, sondern an den Jahresumsatz
gekoppelt. Verstöße können somit
richtig teuer werden. Die Verantwortlichen
werden also in neue Technologien und
Dienstleistungen investieren müssen und
sollten spätestens jetzt das Thema Sicherheit
fest in der Firmenstrategie verankern.
Paula Hansen
Will man nutzbringende
Geschäftsprozesse für alle involvierten
Personen und Anwendungen
gleichermaßen garantieren,
kann dies mithilfe eines Identityund
Access-Management-Systems
(IAM) umgesetzt werden. In diesem
Zusammenhang rückt neben Single
Sign-on (SSO) die zentrale Verwaltung
von Identitäten über alle
Anwendungen hinweg in den Vordergrund.
Dabei gilt es zu berücksichtigen,
dass Anwender auch mobil von
unterschiedlichen Devices aus agieren.
Aufgrunddessen sind perimeter-gesteuerte
IAM-Systeme kaum
in der Lage, die unterschiedlichen
Endpunkte sicher zu kontrollieren.
Daneben ist es wichtig, die Akzeptanz
der User durch einfache Benutzerportale
und minimalen Aufwand
zu sichern. Die oftmals mit den
Portalen verbundene technische
Allen genannten Anforderungen
müssen heutige IAM-Systeme unter
Wahrung von Compliance-Richtlinien
und Governance entsprechen.
Hinzu kommen Berichte darüber,
Komplexität darf für die Endnutzer
nicht ersichtlich sein. Eine entsprechende
Einfachheit und Usability für
Administratoren, um
welcher Nutzer wann, auf welche
Anwendungen und Daten zugegriffen
hat. Zudem helfen event-gesteuerte
und automatisierte
deren Einarbeitungszeit
zu verkürzen und
Benachrichtigungen an
Zugriff auf
Knopfdruck
definierte Personen
das Tagesgeschäft
zu erleichtern, sollte
entziehen
oder Prozesse den
Unternehmen, die oft
ebenfalls damit einhergehen. geforderte Transparenz in solchen
komplexen Systemen zu erlangen.
Desweiteren stellt der Zugriff auf
unterschiedliche Programme – on
premise, mobile oder cloud-basierte
Systeme – höhere Anforderungen an
die Art und Weise, wie Applikationen
den Usern bereitgestellt werden
bzw. der Zugriff auch wieder entzogen
werden kann. IT-Verantwortliche
wollen deshalb Benutzerzugriffe
in automatisierter und sicherer Form
für alle Anwendungen bereitstellen
können. Auch gilt es, vermehrt
maschinenbezogene Zugriffe – z.B.
von Devices, Web Services oder
Sensoren – zu berücksichtigen.
Insbesondere hiesige Unternehmen
fragen IAM-Systeme nach, die ausschließlich
on premise zum Einsatz
kommen. Die Gründe hierfür sind
vielfältig, allerdings sollte als Alternative
auch der Übergang in cloudbasierte
IAM-Systeme vorhanden
sein. An dieser Stelle ermöglichen
hybride IAM-Systeme, wie das des
Anbieters One Login, Identitäts- und
Zugriffsmanagement unter Wahrung
von Investitionsschutz und der Agilität
bei Geschäftsprozessen.
Baldur Scherabon
IT-Mittelstand 1-2 | 2016
41

software | dokumenten-Management
Digitales Archiv
Hauptsache,
die Chemie
stimmt
Ein wichtiger Schritt auf dem Weg zum digitalen
Unternehmen kann die Einführung eines
Dokumenten-Management-Systems (DMS) sein.
So lassen sich beim Verband der chemischen
Industrie (VCI) auf diese Weise nicht nur
Geschäftsprozesse optimieren, sondern auch
detaillierte Verfahrensdokumentationen
realisieren.
Mit rund 1.700 in Deutschland tätigen Chemieunternehmen
repräsentiert der Branchenverband
mehr als 90 Prozent des Umsatzes
der chemischen Industrie. Im Fokus der Verbandsarbeit
stehen Querschnittsthemen wie Steuern, Energie,
Forschung, Umwelt, Rechtsfragen und Handel.
Als Ansprechpartner für die wirtschaftspolitischen
Belange der Branche versteht sich der VCI als Informations-
und Kommunikationsplattform nicht nur
für den fachlichen Austausch unter den Mitgliedsunternehmen,
sondern auch für den Dialog mit allen
gesellschaftlichen Kräften.
Eine Aufgabe, die im Laufe der Jahre enorme Dokumentenmengen
generiert hat. Als Ende 2013 die Frankfurter
Verbandszentrale umfassend renoviert wurde,
entschieden die Verantwortlichen, die bis dato bestehende
analoge Aktenverwaltung den Bedürfnissen
einer digitalen Informationsgesellschaft anzupassen
und ein DMS zu implementieren. Dieses sollte bestehende
Papierberge – auch unter ökologischen Aspekten
– deutlich reduzieren und die Bearbeitungsprozesse
effizienter sowie die Auskunftsfähigkeit kundenfreundlicher
gestalten. „Das DMS sollte sich nahtlos in unsere
vorhandene IT-Umgebung integrieren lassen und über
eine moderne Web-Oberfläche verfügen, um Einarbeitungszeiten
auf ein Minimum zu reduzieren“, erläutert IT-Leiter
Peter Oberländer die Auswahlkriterien. Ausschlaggebend für die
Entscheidung war eine Return-on-Invest-Kalkulation (ROI). Sie
zeigte auf, dass sich die DMS-Investition allein durch zu erwartende
Einsparungen bei Aktenschränken und Büroflächen mittelfristig
amortisieren würde. Schließlich entschied man sich für
die Einführung das DMS des Anbieters Docuware.
Strukturierte Ablage im Archiv
Der Zeitplan für die DMS-Einführung orientierte sich an dem
Umzug in Interimsbüroräume. Vorhandene Aktenbestände wurden
gesichtet und im Vorfeld kategorisiert: Unnötige Dokumente
wurden konsequent entsorgt, für das Tagesgeschäft unverzichtbare
Dokumente zogen mit den Abteilungen um, und die restlichen
Dokumente wurden für eine langfristige Auslagerung bzw. für die
sofortige Digitalisierung vorbereitet. Ein Projektteam definierte
für die strukturierte Ablage der Papierunterlagen digitale Archive.
Im ersten Schritt wurden rund 3.000 Aktenordner vom Behindertenwerk
Frankfurt/Main als spezialisiertem Scan-Dienstleister
digitalisiert. Dokumente in Ordnern mit geringer Zugriffshäufigkeit
wurden gesichtet, mit Barcode gekennzeichnet und
anschließend beim Behindertenwerk Hanau eingelagert. Werden
Dokumente aus diesen Aktenbeständen benötigt, erfolgt ihre Digitalisierung
durch das Behindertenwerk mit anschließender Bereit-
›
Verband der
Chemischen Industrie
e.V. (VCI)
Branche: Dienstleistungen
Standort: Frankfurt am Main
Mitarbeiter: 140
Mitglieder: rund 1.700 Unternehmen in Deutschland
www.vci.de
42
IT-MITTELSTAND 1-2 | 2016

dokumenten-Management | software
›
stellung der Datenbestände in digitaler Form. Für den Verband ist
neben klassischen Büroanwendungen wie Word und Outlook die
Adressverwaltung, die als Basis für die Mitgliederverwaltung in
Form der Mitgliederakte fungiert, eine Schlüsselapplikation. Die
Kopplung dieser Anwendung mit dem zentralen Dokumenten-
Pool besaß deshalb höchste Priorität. Über Workflows wurden
Prozesse definiert, die es u.a. ermöglichen, Schriftverkehr automatisiert
in der digitalen Mitgliedsakte abzulegen. Über das Adressmanagement
kann heute unter Eingabe der Mitgliedsnummer
per Knopfdruck gezielt auf gewünschte Dokumente wie Anträge
oder Beitragsanforderungen zugegriffen werden.
Die Verwaltung von Anträgen spielt auch bei den Fonds der
chemischen Industrie (FCI), die die Weiterbildung an Schulen und
Hochschulen sowie von Lehrern oder Stipendiaten unterstützt,
eine wichtige Rolle. Auch für diese Aufgaben wurden digitale
Prozesse implementiert, die das komplette Antragswesen sowie
die Zuweisung und Abrechnung von Fördergeldern abbilden.
Lückenlose Verfahrensdokumentation
Viele Arbeitsplätze wurden mit den einfachen, aber leistungsfähigen
Dokumentenscannern Canon Scanfront 300 ausgestattet.
„Dadurch vermeiden wir lange Wege zu zentralen Scanstationen
und erhöhen gleichzeitig die Akzeptanz“, argumentiert Peter
Oberländer.
›
Papierdokumente nach dem Scannen tatsächlich zu
entsorgen und nicht als Schattendokumente weiterhin
zu lagern, hat für ihn ebenfalls Priorität. Die Revisionssicherheit
der digitalen Archivierung ist deshalb unerlässlich.
Sichergestellt wird diese durch eine lückenlose
Verfahrensdokumentation. Um den rechtlichen Anforderungen
nachzukommen, wurden in der Vergangenheit
einzelne Prozesse und die komplette Verfahrensdokumentation
jährlich erstellt bzw. aktualisiert, anschließend
auf Papier ausgedruckt und in Ordner abgelegt.
Durch den Einsatz der Verfahrensdokumentation Pales
One der Pales GmbH ist dieser Aufwand hinfällig. Die
plattformunabhängige Software basiert wie Docuware
auf HTML5-Technologie und lässt sich nahtlos ins DMS
integrieren.
Durch ein intelligentes Berechtigungskonzept können
Prüfprozessunterlagen bei neuen oder geänderten
Prozessen gezielt an die jeweiligen Benutzer oder
Abteilungen weitergeleitet werden. Da Benutzer nach
Änderungen bestehender Prozesse per E-Mail informiert
werden, werden keine Änderungen mehr übersehen.
Vorversionen mit entsprechenden Gültigkeitsdaten
werden ebenfalls revisionssicher vorgehalten und sind
jederzeit abrufbar. „Durch die Integration von Verfahrensdokumentation
und Dokumentenmanagement
haben wir eine Art Unternehmens-Tüv installiert. Wir
haben nicht nur einen transparenten Überblick über
unsere Prozesse, sondern profitieren zudem von erheblicher
Zeitersparnis“, sagt Peter Oberländer.
Die DMS-Implementierung erfolgte Anfang 2014
durch den Nürnberger Docuware-Partner Tutum, wobei
papierbasierte Abläufe sukzessive in digitale Prozesse
überführt wurden. Über 500 weitere Papierordner wurden
bis Mitte 2015 zusätzlich digitalisiert. Rund zwei Millionen
Dokumente befinden sich zu diesem Zeitpunkt
im digitalen Dokumenten-Pool, schätzt Oberländer.
Immer mehr Bereiche profitieren vom schnellen Datenzugriff,
so liegen mittlerweile auch die Personalakten
sämtlicher 140 Mitarbeiter digital vor. Und die VCI-
Pressestelle verfügt über einen digitalen Pressespiegel.
Zwei von vielen anstehenden Aufgaben ist laut Peter
Oberländer die Konzeption intelligenter Workflows für
das Rechnungs- und Bestellwesen. Zukünftiges Potential
für Digitalisierungsprozesse sieht er darüber hinaus in
den Bereichen Mobile und Cloud Computing.
Siegfried Dannehl
„Die Revisionssicherheit
unserer
digitalen Archivierung
ist unerlässlich“,
betont Peter Oberländer, Leiter Bereich IT
beim Verband der Chemischen Industrie e.V.
IT-Mittelstand 1-2 | 2016
43

software | dokumenten-Management
Bessere CO2-Bilanz
Mehr
Flexibilität
durch
Mobildruck
Rechtlich sind die Besitzer
verantwortlich für die auf
Multifunktionsgeräten
gespeicherten Daten,
aber IT-Dienstleister
sollten aktiv für Lösungen
beim Datenschutz sorgen.
Rekonstruktion
sensibler Daten
Die Daten können leicht rekonstruiert
werden. Welche Maßnahmen
müssen Benutzer und Unternehmen
demnach ergreifen, um vertrauliche
Daten zu schützen, wenn Gebrauchtgeräte
beispielsweise verkauft werden? Die Festplatte
ist letztlich nur eine der möglichen
Angriffsflächen. Und rechtlich verantwortlich
für den Schutz der Daten ist der Besitzer
des Systems. Geheimnisträger, wie etwa
Ärzte oder Rechtsanwälte, können für solche
Datenlecks nach dem Strafgesetzbuch
sogar bestraft werden.
Ein hohes Maß an Datenschutz können
Benutzer ohne großen eigenen Aufwand
erreichen, wenn sie bewusst IT-Dienstleister
und Hardware-Anbieter wählen, die
schon von sich aus auf richtige Hardware
und Grundeinstellungen achten. Auch
nachträglich kann über Konfiguration
und Lösungen das Sicherheitsniveau verbessert
werden.
Beim Thema „Festplatte“ ist der erste
Schritt, den Zugriff mit einem im BIOS des
Systems verankerten Kennwort zu schützen.
Zudem sollte für die Festplatte eine Verschlüsselung
greifen, die auf dem Advanced
Encryption Standard (AES) basiert und
die 256-Bit-Schlüssellänge unterstützt. So
geschützt, können auch von der ausgebauten
Festplatte keine Daten per PC rekonstruiert
werden. Diese Einstellungen sollten
bei Auslieferung der Systeme Standard sein.
Wie sicher sind Kopierer?
Multifunktionssysteme (MFP) verarbeiten beim Drucken, Kopieren
und Scannen auch sensible Unternehmensinterna und vertrauliche
persönliche Informationen. Vielen Benutzern ist nicht bewusst,
dass diese Daten meist im MFP gespeichert werden – und zwar auf
der internen Festplatte.
Um auch komplexere Rekonstruktionsmethoden
auszuschließen, müssen beim
Besitzerwechsel die Daten sicher vernichtet
werden. Das erreicht ein Data Clear, der
alle Konfigurationsdaten löscht. Zusätzlich
sollte die Festplatte nach einem definierten
Prozess unwiderruflich überschrieben werden.
Ohne diese Maßnahmen sollten kein
MFP und keine Festplatte weitergegeben
werden. Viele Systemanbieter haben diese
Komplettlöschung als Dienstleistung im
Programm. Konica Minolta beispielsweise
bietet zertifizierte Programme für Kunden
mit erhöhtem Sicherheitsbedarf an.
Zielführende Gesamtstrategie
Maßnahmen zum Schutz der MFP sind
aber nur ein Baustein einer Gesamtstrategie,
denn die MFP sind fast immer Teil
eines Netzwerks, laufen über Web-Server
und haben oft Anbindung an Clouds. Auch
wenn die Multifunktionsgeräte selbst gut
gesichert sind, wird in Zeiten von Industrie
4.0 absolute Datensicherheit zunehmend
eine Illusion. Mithilfe von Experten sollten
die Unternehmen ermitteln, welches
Sicherheitsniveau ihr Geschäftsmodell
benötigt und wie es betriebswirtschaftlich
sinnvoll erreichbar ist. Dazu gehört
die Hard- und Software ebenso wie eine
Datenstrategie und der Faktor Mensch.
Helge Dolgener, Lea Sommerhäuser
Da heute immer mehr Büroangestellte
von mobilen Geräten
aus drucken müssen, stellen
mitunter die neuen Farbsysteme
Ineo+ 227/287 von Develop eine
interessante Drucklösung für
Unternehmen dar. Laut Hersteller
tragen die Multifunktionssysteme
dazu bei, Büroumgebungen
fit für die Zukunft zu machen.
Schließlich will kein Büromitarbeiter
beim Drucken oder Scannen
von einem mobilen Gerät aus Zeit
verschwenden. Die Drucksysteme
sollen die Anforderungen von
Unternehmen erfüllen, in denen
mobile Arbeitsweisen zum Alltag
gehören und Bedienkomfort wichtig
ist. Die mit Near-Field Communication
(NFC) für Android-
Geräte ausgestatteten Systeme
sollen automatisch eine Verbindung
zum Tablet oder Smartphone
eines Mitarbeiters herstellen und
Touch-to-Print- und Touch-to-
Scan-Funktionalität bieten.
Mit einem maximalen Papierformat
von A3 und einer Druckgeschwindigkeit
von 22 Seiten pro Minute
(ppm) auf dem 227- und 28 ppm
auf dem 287-Modell (in Schwarzweiß
oder Farbe) seien beide
Systeme gerüstet, um den Druckbedarf
kleiner bis mittlerer Büroumgebungen
oder Arbeitsgruppen
zu decken, so der Hersteller.
Ihr 7-Zoll-Touchscreen sei intuitiv
bedienbar, die Benutzeroberfläche
könne an die spezifischen
Bedürfnisse einzelner Benutzer
oder Gruppen angepasst werden.
Das überarbeitete Druckwerk der
A3-Multifunktionsdrucker sei nicht
nur kompakter, sondern wiegt
auch 15 Prozent weniger als das
Vorgängermodell. Hinzu kämen ein
niedriger Energieverbrauch und
verschiedene Hardware-Optimierungen,
woraus insgesamt eine
bessere CO2-Bilanz resultiere.
www.develop.de
44
IT-MITTELSTAND 1-2 | 2016

OHNE UMWEGE
DIREKT ZU IHNEN!
UNSER NEWSLETTER
IMMER AUF DEM AKTUELLEN STAND!
FÜR IHREN ERFOLGREICHEN IT-EINSATZ IM MITTELSTAND
JETZT
BESUCHEN:
itmittelstand.de
FOLGEN SIE UNS AUCH BEI
Hier anmelden

praxis | it-projekte
Ein CRM-System für alle Standorte
Beratung mit
Erfolgsgarantie
Die Einführung einer neuen Software für das
Customer Relationship Management
(CRM) sorgt bei der von Rundstedt & Partner
GmbH, einem Spezialisten für Talent- und
Karriereberatung, nicht nur für eine
individuellere Ansprache von Kunden und
Klienten, sondern strafft auch interne
Verwaltungsaufgaben.
Von Rundstedt, Marktführer im Outplacement
und Experte für Talentund
Karriereberatung, setzt auf einen
übergreifenden Ansatz, der individuelle
und nachhaltige Lösungen für Kunden und
Klienten sicherstellt. Zu den Zielgruppen
gehören Unternehmen mit Beratungsbedarf
im Personalbereich sowie Fach- und
Führungskräfte in beruflichen Veränderungsprozessen
und einem aktiven Karriere-Management.
„Dabei sind wir auf
eine CRM-Software angewiesen, die uns
unterstützt, Kunden mit Kompetenz zu
begleiten und individuell mit Erfolgsgarantie
zu beraten“, erklärt Patrick Baur,
CRM-Verantwortlicher und Leiter Controlling,
den Einsatz der neuen Software
CAS Consulting.
Zuvor war bereits eine CRM-Lösung auf
Lotus-Notes-Basis im Einsatz. Allerdings
entsprachen weder die Performance noch
der Funktionsumfang den aktuellen
Ansprüchen des Anwenderunternehmens.
Von daher entschied sich die Geschäftsführung
für einen kompletten Neuanfang.
Ziel war es, mithilfe der neuen Software
die Beratungsprozesse und Dienstleistungen
übersichtlicher zu gestalten und doppelte
Datenpflege zu vermeiden. Die neuen
Prozesse sollten nicht nur in Vertrieb und
Beratung, sondern auch im Veranstaltungs-
Management, Controlling und bei der
Rechnungsstellung abteilungsübergreifend
und an den 20 Firmenstandorten
sämtliche Informationen in einer Lösung
zusammenführen. Und auch für die freien
Berater sollte genau der für sie freigegebene
Teil der Informationen sicher zugänglich
gemacht werden.
„Die CRM-Einführung verlief in vier Phasen“,
erinnert sich Baur. „Zu Beginn erörterte
ein eigens gegründetes Kompetenzteam
gemeinsam mit der Geschäftsführung
und den Fachbereichsleitern den aktuellen
Status quo.“ In Phase 2 entwickelte sich
daraus eine konkrete Vision. Auf deren
Basis wurde ein Lastenheft erstellt und elf
Anbietern zugesandt. CAS Consulting, die
CRM-Branchenlösung für Beratungsunternehmen
auf Basis von Genesisworld der
Karlsruher CAS Software AG, machte aufgrund
seiner Flexibilität in der (Masken-)
Gestaltung, den Auswertungsmöglichkeiten
sowie der Möglichkeit, standortungebunden
mit dem System arbeiten zu
können, das Rennen. In der dritten Phase
schließlich formulierten interdisziplinär
aufgestellte Teams inklusive aller Key User
ihre Anforderungen und das Pflichtenheft.
„Mit der CRM-Software erhalten alle
Berater und Kundenbetreuer
ortsunabhängig alle relevanten
Informationen zu ihren Kunden und
Klienten“, berichtet Patrick Baur, Leiter Controlling.
In der anschließenden Einführungsphase
wurden die individuellen Anforderungen
und Prozesse vom zertifizierten CAS-Partner
Itdesign GmbH aus Tübingen in der
Software umgesetzt. Die besondere Herausforderung
bestand darin, zeitgleich
an allen Standorten auf die neue Lösung
umzustellen. Im Rahmen einer eigenen
CRM-Roadshow mit dem Motto „Beziehungen
wachsen lassen“ erlebten die Mitarbeiter
das neue CRM „hautnah“. In den
Niederlassungen in Hamburg, Berlin, München,
Stuttgart, Frankfurt am Main sowie
in der Düsseldorfer Zentrale bekam Patrick
Baur die Reaktionen live mit: „Durch die
Roadshow haben wir unsere Mitarbeiter
motiviert, die Vorteile der neuen Software
direkt zu nutzen.“
Rollout mit eigener CRM-Roadshow
Ausgehende Rechnungen werden ebenfalls
in der CRM-Lösung erstellt. Durch
ein einfaches Schnittstellen-Management
werden diese – ebenso wie andere relevante
Informationen – an Drittsysteme wie beispielsweise
Datev weitergegeben. Darüber ›
46
IT-MITTELSTAND 1-2 | 2016

it-projekte | praxis
›
hinaus werden die Mitarbeiter an weiteren
Stellen entlastet, etwa wenn sie Besuchsberichte
schreiben, Prozesse dokumentieren
oder neue Projekte anlegen. Der Forecast
und das Reporting wurden ebenfalls vereinfacht:
„Das Erstellen von Analysen mit
umfangreichen Excel-Tabellen hat früher
mehrere Stunden oder sogar Wochenenden
gedauert – heute funktioniert dies in drei
Minuten“, resümiert der Unternehmens-
Controller die analytischen Möglichkeiten
der CRM-Lösung. Durch die Integration
von Crystal Reports ist es überdies möglich,
Berichte optisch ansprechend im System
zur Verfügung zu stellen.
Blick in die Praxis:
Neue Methoden und Prozesse
Unterstützt wurde die Einführung durch
das Erstellen von 29 individuellen, exakt
auf den Arbeitsprozess angepassten Schulungsfilmen,
die nicht nur die Einführung,
sondern die langfristige Schulung von
bestehenden und vor allem neuen Mitarbeitern
sicherstellen. Darüber hinaus bot
von Rundstedt im Rahmen von CRM-Clubs
und Einführungs-Webinaren, in denen alle
relevanten Kernprozesse erklärt wurden,
seinen Mitarbeitern erfolgreiche Plattformen,
um Fragen in der täglichen Nutzung
zu beantworten.
Seither assistiert die CRM-Software bei
der täglichen Kundenpflege: angefangen
bei scheinbar trivialen Dingen wie der
Adressverwaltung, über die persönliche
Kommunikation – etwa mithilfe einer
integrierten Telefoniefunktion – bis hin zur
strukturierten Gesprächsvor- bzw. -nachbereitung.
Der gesamte Vertriebsprozess
wurde überarbeitet, vereinheitlicht und in
der CRM-Lösung abgebildet. „Alle Berater
und Kundenbetreuer erhalten ortsunabhängig
alle relevanten Informationen zu
ihren Kunden und Klienten“, berichtet
Baur über die neue Transparenz, „selbstverständlich
unter Berücksichtigung aller
von Rundstedt &
Partner GmbH
Geschäftsfeld: seit 30 Jahren einer der
führenden Experten für Talent- und Karriereberatung;
länderübergreifende Beratung
in 73 Ländern an 880 Standorten weltweit
Gründung: 1985
Standorte: Zentrale in Düsseldorf,
20 Niederlassungen
Mitarbeiter: rund 340
www.rundstedt.de
www.talente-bewegen.de
nötigen Sicherheitsstandards.“ Im Rahmen
der Beratung können Meilensteine dokumentiert
und Beratungsaufwände erfasst
werden – so ist es jederzeit möglich, auch
in komplexeren Beratungsprojekten den
Überblick zu behalten.
Martin Hubschneider, Alexander Dupps
IT-Mittelstand 1-2 | 2016
47

veranstaltungen | termine
Vom 14. bis 18. März 2016
öffnet die diesjährige Cebit
in Hannover ihre Tore.
Klammer
zwischen
Handel und
Logistik
Cebit 2016 in Hannover
Digitalisierung
im Mittelpunkt
Digitalisierung prägt alle Bereiche von Wirtschaft und Gesellschaft
immer schneller und umfassender und wird damit zum entscheidenden
Treiber von Innovationen. Vor diesem Hintergrund erweist sich
die Cebit dieses Jahr mit ihrem Fokus auf das digitale Business als eine
wichtige globale Leitmesse für die Digitalisierung.
In diesem Rahmen präsentieren Konzerne,
Mittelständler und Start-ups vom
14. bis 18. März 2016 in Hannover sämtliche
relevanten Themen der digitalen
Wirtschaft wie Big Data and Analytics,
Cloud-Anwendungen, Mobile, Social Business,
IT-Sicherheit und Internet of Things.
Als Partnerland fungiert in diesem Jahr die
Schweiz. Damit steht eine Nation im Fokus,
die Studien zufolge beim Einsatz digitaler
Technologien im weltweiten Vergleich
führend ist.
Darüber hinaus zählen die „Global Conferences“
zu den Höhepunkten der Cebit. An
vier Tagen diskutieren rund 200 internationale
Sprecher aus Wirtschaft und Politik
die Trends der digitalen Welt. Am fünften
Messetag geht das Blogger-Event „Rock
the Blog“ an den Start. Das Topthema
lautet dabei „D!conomy: join – create –
succeed“. Damit wollen die Veranstalter
den Menschen in seiner Rolle als Entscheidungsträger
und Gestalter der digitalen
Transformation in den Mittelpunkt
rücken. Nicht zuletzt ist die World Tour
des Cloud-Anbieters Salesforce mit einer
Vielzahl von Veranstaltungen exklusiver
Partner des Hannoveraner Events.
www.cebit.de
Handelsprozesse und
Logistik greifen immer intensiver
ineinander und bedingen
sich gegenseitig. Dabei ist einer
der Treiber für beide Wirtschaftssegmente
der E-Commerce. Mit
steigender Geschwindigkeit bei
den Bestellprozessen per Mausklick
sowie der Verknüpfung
von Online- und Offline-Käufen
wird von den dahinter liegenden
logistischen Prozessen eine hohe
Effizienz für beschleunigte Auftragsabwicklung
und Lieferung
erwartet. Mit ihrem Informationsund
Ausstellerangebot für Experten
und Fachverantwortliche auf
allen Wertschöpfungsstufen von
Handel, Industrie und Dienstleistung
will die Trade World 2016 in
Halle 6 des Stuttgarter Messegeländes
die Klammer zwischen
Handel und Logistik bilden.
Die Plattform für aktuelle Handelsprozesse,
die vom 8. bis 10. März
zum dritten Mal im Rahmen der
internationalen Intralogistikmesse
Logimat in Stuttgart veranstaltet
wird, beleuchtet die Anforderungen
des stationären, interaktiven
und Multichannel-Handels und
dabei vorrangig die logistischen
Lösungsansätze für die Herausforderungen
hinter Webshops.
Präsentiert werden Produkte
und Services für die Gestaltung,
Steuerung und Digitalisierung
der Bereiche Einkauf, Marketing,
Vertrieb, Payment, Distribution,
Retouren-Management
und Aftersales zur Optimierung
der Handels- und Vertriebsprozesse
im E-Commerce. Darüber
hinaus informiert die Plattform
über ERP-Systeme und
liefert Angebote im Bereich
Fulfillment und Beratung.
www.tradeworld.de
48 IT-MITTELSTAND 1-2 | 2016

termine | veranstaltungen
Problemfelder
des
Datenschutzes
Spätestens seit Edward
Snowden als „Whistleblower“
die deutsche Öffentlichkeit mit
aufrüttelnden Informationen über
das Ausmaß der Bespitzelung
der Bürger durch Geheimdienste
versorgt hat, ist das Bewusstsein
hierzulande hinsichtlich des
Datenschutzes geschärft. Neue
Urteile dazu von obersten Gerichten
z.B. vom EuGH zur Vorratsdatenspeicherung
und einschlägige
Gesetzeswerke erhalten dadurch
einen ganz neuen Stellenwert.
Überdies wurde am 15. Dezember
2015 der Text der ab dem
1. Januar 2018 wirksamen EU-
Datenschutzgrundverordnung
bekannt, die das deutsche Datenschutzrecht
spürbar ändern wird.
Zudem müssen sich deutsche
Unternehmen nicht zuletzt aufgrund
des Bekanntwerdens ständig
neuer Datenschutzskandale,
Gutachten über massive Lücken
in der Sicherheit betrieblicher
IT-Systeme und dem stärkeren
Überwachungsdruck durch die
Aufsichtsbehörden immer stärker
mit dem Thema Datenschutz
beschäftigen. Die Aufklärung
über neue Normen und IT-Risiken
ist daher ein wichtiger Schritt,
um Schadensersatz, Bußgelder
und Rufschädigung zu vermeiden.
Vor diesem Hintergrund will
die Tagung „Datenschutz und
Datensicherheit-Update“ am
15. März 2016 in Wiesbaden mit
Fachvorträgen namhafter Experten
die aktuellen Problemfelder
des Datenschutzes vermitteln,
aufklären und praktische Handlungsanweisungen
geben.
www.esturias.de/
übersicht-15-03-2016
Moderne Einkaufsorganisation
Die Beschaffung
wird mobile
Vernetzung sowie mobile Szenarien bestimmen
die Einkaufsorganisation der Zukunft; überdies
werden immer mehr Prozesse digitalisiert.
Die Verantwortlichen erhalten per Knopfdruck,
optisch gut aufbereitet, die von ihnen benötigten
Informationen über Marktentwicklungen,
Risiken und Lieferanten sowie die relevanten
Key Performance Indicators.
Den digitalen
wandel erfolgreich
meistern
Der operative Einkauf
wird automatisiert von
der Bestellung bis zur
Bezahlung der Rechnungen.
Der strategische Einkauf wird unterstützt
durch immer leistungsfähigere E-Sourcing- und
Supplier-Relationship-Management-Lösungen
sowie aussagekräftige Einkaufs-Cockpits. Vor
diesem Hintergrund stehen auf den 7. BME-E-
Lösungstagen am 8. und 9. März 2016 in Düsseldorf
u.a. folgende Themen im Fokus:
› Digitalisierung von Vergabeprozessen:
effektiv und schnell
› Einkauf 4.0: vollautomatisierte Prozesse
und systemgestützes Contract Management
› Purchase to Pay: Warum lohnt sich ein
durchgängiger Workflow?
› Standardisierte Beschaffungsprozesse:
transparent und compliant
› Prozesseffizienz durch End-to-End-
Integration
Die Lösungstage wollen einen umfassenden
Überblick über Best-Practice-Ansätze geben. Sie
zeigen weiterhin auf, welche Projekte angestoßen
werden sollten, um den digitalen Wandel erfolgreich
zu meistern. In einer rund 70 Aussteller
umfassenden Fachmesse präsentieren sich zudem
verschiedene Anbieter aus dem E-Procurement.
www.bme.de/eloesungstage
Zukunft der
IT-Services
„Die Zukunft macht Pause
– und dann einen Sprung …“
Dies schrieb Robert L. Bartley
vor 25 Jahren in einer Kolumne
des Wall Street Journal. Heute
erleben wir diesen Sprung hautnah.
Denn die digitale Revolution
hat mittlerweile sämtliche Stufen
der industriellen Wertschöpfung
erfasst. Ein wesentlicher Treiber
dieser Entwicklung ist die Transformation
des Service-Geschäfts.
Dabei ist die intelligente Einbindung
von Technologien erfolgskritisch.
Das gilt insbesondere für
wissensintensive Dienstleistungen
rund um das Management von IT-
Services, Call- und Service-Center-Leistungen
oder Aktivitäten
des technischen Kundendiensts.
Mit diesen Facetten beschäftigen
sich über 400 Experten
und Manager aus zehn Ländern
im Rahmen der Usu World am
20. und 21. April 2016 in Bonn,
wobei das ehemalige Plenargebäude
des Deutschen Bundestages
eine besondere Kommunikations-
und Erlebnisplattform
bieten soll. Über 40 Referenten
werden in fünf parallel stattfindenden
Vortragsreihen präsentieren,
wie sich ihre Unternehmen
im Wettbewerbsumfeld durch
erfolgreiche Service-Konzepte und
deren praktische Umsetzung differenzieren.
Dabei stehen folgende
Themen im Mittelpunkt: IT-Service-Management,
Software Asset
Management, Business Service
Monitoring, Knowledge Solutions
im IT- und Kundenservice,
Social Business und Social CRM
sowie Service-Automatisierung im
Maschinen- und Anlagenbau.
www.usu-world.com
IT-Mittelstand 1-2 | 2016
49

Vorschau auf Heft 3/2016
IMPRESSUM
Herausgeber: Klaus Dudda
Redaktion: Guido Piech (verantwortlich für den Inhalt), Ina Schlücker (IS),
Berthold Wesseler (WE), Lea Sommerhäuser (LS), Kathrin Zieblo (ZI),
Robert Schindler (RS)
E-Mail Redaktion: redaktion@itmittelstand.de
www.itmittelstand.de
Ständige Mitarbeit: Siegfried Dannehl (SD), Daniela Hoffmann (DH), Ekkehard
Schuck (ES), Renate Simon (RS), Ingo Steinhaus (ST), Markus Strehlitz (MST)
Autoren dieser Ausgabe: Frank Bärmann, Helge Dolgener, Alexander Dupps,
Paula Hansen, Martin Hubschneider, Baldur Scherabon
Verlag
MEDIENHAUS Verlag GmbH
Bertram-Blank-Str. 8 · 51427 Bergisch Gladbach
Tel.: 0 22 04 / 92 14 - 0 · Fax: 0 22 04 / 92 14 - 30
E-Mail Verlag: info@medienhaus-verlag.de
Geschäftsführer: Klaus Dudda
Grafik: Daniel Hering, Olaf Heß
Titelfoto: Claus Uhlendorf
Bildnachweis: Fotolia (42, 43) Thinkstock/iStock (S. 4-9, 24-26,
36, 40+41, 49+50), Thinkstock/Digital (S. 15 ), Thinkstock/Hemera (S. 32 ),
Thinkstock/Stockbyte (S. 3), Claus Uhlendorf (S. 4, 16-23) sowie Produkt- und
Personenfotos der genannten Hersteller.
Infrastrukturen
Moderne ERP-Systeme
ERP-Systeme sind in mittelständischen Unternehmen die
Schaltzentralen. Die Software-Lösungen regeln den effizienten Einsatz
vorhandener Ressourcen wie Kapital, Betriebsmittel und Personal.
Worauf es bei der Auswahl der richtigen ERP-Software in Zeiten von
Industrie 4.0, dem Internet of Things und nicht zuletzt der neuen
Möglichkeiten cloud-basierter ERP-Lösungen ankommt und wie
Anwenderunternehmen ERP-Projekte erfolgreich umsetzen, darüber
informiert unsere kommende ERP-Rubrik.
Weitere Themen
› Cloud Computing ›
› Mythos konservativer Mittelstand?
Anzeigenverkauf / Mediaberatung
Gesamtanzeigenleiter: Thomas Büchel
Leiter Verkauf: Hendrik Dreisbach
Beratung/Verkauf: André Kollath
Assistenz: Susanne Rosenbaum
Anzeigenverwaltung: Jutta Herkenrath
E-Mail Anzeigen: anzeigen@medienhaus-verlag.de
Anzeigenpreise: Es gilt die Anzeigenpreisliste vom 1.1.2016
Abonnement
Jahresbezugspreis: Inland 75,- EUR
inkl. Versand und MwSt., Europa 99,- EUR inkl. Versand
Erscheinungsweise: 10 x jährlich
Abonnenten-Service: +49 (0) 2204 / 92 14 - 0
Online-Marketing
MEDIENHAUS Internet Publishing GmbH
Beratung: Thomas Büchel
Druck/Druckunterlagen:
L.N. Schaffrath GmbH & Co. KG DruckMedien
www.schaffrath.de
Erscheinungstermin
7. März 2016
Redaktionsschluss
8. Februar 2016
Anzeigenschluss
15. Februar 2016
Gedruckt auf chlorfrei gebleichtem Papier
IT-MITTELSTANDunterstütztdiefreiwilligeSelbstkontrollederdeutschenPresse.
Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind ur heberrechtlich
geschützt. Mit Ausnahme der gesetzlich zugelassenen Fälle ist eine
Ver wertung ohne Einwilligung des Verlages strafbar. Für unverlangt eingesandte
Beiträge haftet der Verlag nicht. Beiträge sind aber willkommen.
50 IT-MITTELSTAND 1-2 | 2016

IT-ZOOM.DE ALS
„BESTE WEBSITE“
AUF SHORTLIST PLATZIERT!
© MEDIENHAUS Verlag GmbH
www.it-zoom.de

unvergleichbare
qualitÄt
unser un-outsourcer-angebot:
run-on-satisfaction
fÜr dynamische sap-lÖsungen
Keine Vertragsbindung nach erfolgter Migration.
Mehr Infos unter t-systems.de/un-outsourcer