In der aktuellen Corona-Krise zeigt sich, was viele Unternehmen, nicht nur in Deutschland, in den vergangenen Jahren alles beim Thema Digitalisierung versäumt haben. Die in der Presse angekündigte Revolution in der Digitalisierung erstickte bereits im Vorfeld an endlosen Diskussionen sowie Planung und fehlenden Richtlinien oder Prozessen. In der Krise raffen sich nun jedoch, mehr oder weniger zwangsweise, Firmen und Verwaltungen zum Handeln auf. Wenn also diese Krise etwas Positives mit sich bringt, so ist es die Tatsache, dass plötzlich überall Arbeitsprozesse digitalisiert werden. Viele Themen, die bisher als schwer umsetzbar bis unmöglich galten, werden plötzlich beinahe über Nacht in Gang gebracht. Und die Digitalisierung funktioniert tatsächlich.
Diese neuen Erkenntnisse in Wirtschaft und Verwaltungen sollten wir in unserem Land auch langfristig zu nutzen lernen.
Vielerorts mussten einfach auch gezwungenermaßen neue Lösungen gesucht und gefunden werden, da das herrschende Kontaktverbot, das miteinander Arbeiten unmöglich gemacht hat. Das Homeoffice, in dem viele von uns nun plötzlich arbeiten, ist das beste Beispiel. Mitarbeiter werden mit der entsprechenden Technik ausgestattet oder es wird privat vorhandene Technik verwendet (BYOD). Es wird mit Tools wie beispielsweise Videokonferenzen oder Filesharing gearbeitet, gegen die sich viele Unternehmen lange gewehrt haben und die Cloud ist plötzlich nicht mehr das grenzenlos Böse, sondern wird derzeit ausgiebig und sehr gewinnbringend genutzt. Zweistellige Zuwachsraten bei fast allen Public Cloud Anbietern lassen hier sogar die verfügbaren Ressourcen schrumpfen. Die Cloud ist eben nicht beliebig skalierbar wie uns oft in den Marketingaussagen versprochen wurde, auch das lernen wir aus der Krise.
Der Ausbruch des Eyjafjallajökull im Jahr 2010 hatte über Island hinaus großräumige Auswirkungen. Insbesondere wurde Mitte April 2010 auf Grund der ausgetretenen Vulkanasche der Flugverkehr in weiten Teilen Nord- und Mitteleuropas eingestellt, was eine bis dahin beispiellose Beeinträchtigung des Luftverkehrs in Europa infolge eines Naturereignisses darstellte. Auch hier wurden bereits viele Geschäftsreisen zwangsweise abgesagt und auf virtuelle Treffen, Meetings oder Veranstaltungen ausgewichen. Nur leider haben wir wieder einmal wenig daraus gelernt.
In der Krise ist keine Zeit für Diskussionen
Der Gesetzgeber erlässt in diesen Tagen in nahezu rasender Geschwindigkeit neue Regelungen. Zum Beispiel können Aktiengesellschaften ihre Hauptversammlungen virtuell abhalten. Krankenhäuser wurden verpflichtet, ihre freien Intensivbetten für eine zentrale Online-Erfassung zu melden. Kurzarbeitergeld und anderes Fördergeld können über das Internet beantragt werden, ja sogar Hessens Behörden akzeptieren jetzt auch elektronische Rechnungen. Das ist übrigens im Rest der Welt bereits fast überall Standard. Eine entsprechende EU-Richtlinie, die das fordert, ist bereits 2014 vom EU- Parlament verabschiedet worden.
Umso verwunderlicher ist dabei, dass die Gesundheitsämter ihre Daten zu Corona- Infektionen nur teilweise digital an das Robert-Koch-Institut übermitteln. Personenbezogene Daten werden aus angeblichen datenschutzrechtlichen Gründen immer noch per Telefax versendet. Auch hier hat man anscheinend das Gesetz nicht gelesen bzw. Datenverschlüsselung noch nicht für sich entdeckt. Hier sollten die Behörden und Verwaltungen endlich im Jahr 2020 ankommen.
Die Erfahrungen aus diesen „Digitalisierungs-Schnellschüssen“ in den Unternehmen und Behörden müssen wir in Deutschland aber auch langfristig nutzen. Die Krise legt lediglich offen, was in Deutschland zu lange verschlafen wurde und wie rückständig unser Land im Vergleich zu anderen Ländern ist. Diese Defizite werden uns aktuell gnadenlos vor Augen geführt und wer sich jetzt nicht dazu verpflichtet fühlt etwas dagegen zu tun, sollte in folgenden Krisensituationen (und die werden kommen) tatsächlich auch keinen Anspruch mehr auf Hilfen aus Steuergeldern haben.
Für viele traditionell geführte sowie kleinere Unternehmen sind Veränderungen oft schwierig, da braucht es eben eine solche Krise wie Corona, damit solche Veränderungen durchgesetzt werden. Und es funktioniert doch auch. Viele Führungskräfte haben jetzt gelernt, dass Mitarbeiter auch produktiv sein können, wenn sie von zu Hause arbeiten und das acht Stunden am Schreibtisch im Unternehmen nicht unbedingt das Maß sein sollte, an dem wir Arbeitsleistung messen. Tatsächlich wird im Home-Office oftmals viel länger und durchaus auch wesentlich produktiver gearbeitet. Bloße Anwesenheit bedeutet eben nicht auch gleichzeitig höhere Produktivität. Wir müssen hier einfach mit anderen Methoden messen. Die neuen Generationen unserer Workforce, die jetzt die Universitäten verlassen, werden sich ohnehin nicht mit Stempelkarte und festen Arbeitszeiten einverstanden erklären.
Nach der Krise durchstarten
Was jetzt teilweise in einer Nacht- und Nebelaktion aus dem Boden gestampft wurde funktioniert zwar, jedoch fehlt es für einen längerfristigen Betrieb an den entsprechenden Prozessen und schlichtweg auch an den technischen Voraussetzungen. Ein zentrales Manko zum Beispiel ist, dass es immer noch keine zentralisierte und vor allem sichere Authentifizierungsmöglichkeiten in den Unternehmen und Verwaltungen gibt. Das wurde bei Betrugsversuchen um das Fördergeld in Nordrhein-Westfalen leider mehr als deutlich. Und dabei ist es nicht so, dass diese Möglichkeiten technisch nicht vorhanden wären, ganz im Gegenteil sie werden einfach nur nicht genutzt. Wir sollten jetzt auf gar keinen Fall das bisher erreichte nach der Krise wieder in den “Normalzustand” von vor der Krise zurückversetzen. Vielmehr gilt es jetzt, das Erreichte beizubehalten und es auf sichere und tragfähige Konzepte zu stellen.
Wo sehen wir jetzt den Bedarf in Unternehmen und Verwaltungen:
Authentifizierung
Tatsächlich ist in vielen Unternehmen das Microsoft Active Directory und die Verwendung von Benutzername und Passwort die einzig verwendete Methode zur Authentifizierung. Sobald wir aber über das Thema Remote-Access, also z.B. den Zugriff aus dem Home- Office reden, reicht die Kombination aus Benutzername und Passwort einfach nicht mehr als Authentifizierungsmethode aus. Hier fehlen Systeme für eine Multi-Faktor Authentifizierung, die eine Kombination aus dem was ich weiß (Benutzername und Password) und etwas das ich habe (Zertifikat / generierter Token auf dem mobilen Telefon etc.) für die Anmeldung zu verlangen. Wobei hier die Kombination der Methoden wichtig ist, je sicherer die Umgebung ist, desto mehr Faktoren werden geprüft bevor der Benutzer entsprechenden Zugriff auf die Systeme erhält.
Ein monolithisches Active Directory in meinem eigenen Rechenzentrum macht die Zusammenarbeit mit Partnern und Anwendungen, die aus der Cloud bezogen werden, auch unnötig schwer. Hier müssen zentrale Identitätsmanagement System eingebunden werden, die über standardisierte Protokolle die Benutzer auch in externen Anwendungen / Systemen authentifizieren können (SAML, OAUTH etc.).
Kontext basierte Sicherheit
Zusätzlich zur reinen Authentifizierung ist es auch wichtig zu wissen, was innerhalb einer Sitzung passiert. Im Normalfall kann ein Benutzer, solange er sich erfolgreich authentifiziert hat, in der Anwendung oder dem System machen was er möchte. Was aber wenn bestimmte Voraussetzungen innerhalb einer solchen Sitzung nicht mehr als sicher einzustufen sind? Hier kommt die kontext-basierte Sicherheit ins Spiel. Ändert sich der Zustand eines Gerätes während der Sitzung (z.B. Firewall wird deaktiviert, Benutzer wechselt von einem sicheren in ein unsicheres Netzwerk etc.) wird der Zugriff verweigert und der Benutzer abgemeldet. Besonders in Szenarien in denen “unsichere Endgeräte” wie z.B. BYOD Geräte oder Endgeräte von Partnern ins Spiel kommen, ein Must-have.
Netzwerke
Alles steht und fällt mit der Verfügbarkeit von Netzwerken. Kein Internet oder Remote- Access ohne die entsprechenden Netzwerkkapazitäten. Aber auch hier müssen es nicht mehr die teuren MPLS Leitungen sein. Netzwerke lassen sich heute per Software definieren (SD-WAN) und können Low-Cost Lines wie z.B. asymmetrische DSL Leitungen verwalten und bündeln. Meist zu einem Bruchteil der Kosten der bisherigen Verbindungen jedoch in meist gleicher Qualität.
Cloud-Dienste
Natürlich darf das Unwort der letzten Jahre hier nicht fehlen. Aber tatsächlich bewegten sich die meisten großen Unternehmen mit ihren Anwendungen (z.B. Office 365) und virtuellen Desktops (Microsoft WVD, Citrix, VMware) in die großen öffentlichen Clouds wie z.B. Azure, Amazon AWS oder auch Google Cloud Platform. Und der Erfolg gab ihnen Recht, mit Office 365 und allen enthaltenen Tools wie z.B. Outlook, Sharefile und nicht zu vergessen Teams und OneDrive konnten die meisten Mitarbeiter mehr oder weniger nahtlos aus dem Home-Office weiterarbeiten. Auch der Wettbewerb von Google mit der G-Suite ermöglichte das ohne eine Eingewöhnungsphase.
Sicherlich darf an der Stelle nicht vergessen werden, dass der Weg in die Cloud sehr teuer werden kann, wenn er vorher nicht richtig geplant wurde. In erster Linie sind ja bereits Ressourcen im eigenen Rechenzentrum vorhanden, die sich nicht von heute auf morgen abschalten lassen. So sind alle Cloud Aktivitäten erst einmal zusätzlich Kosten, die sich nur mit einer genauen Planung und Kostenkalkulation irgendwann amortisieren. Wer jedoch aus diesem Grund nicht damit anfängt, die Cloud für sich zu evaluieren und zu nutzen, der wird auch in der nächsten Krise wieder davon überfahren.
Zusammenarbeit oder neu-deutsch Collaboration
Die großen Gewinner der Krise sind neben Amazon als Online Händler natürlich die Video-Konferenzplattformen. Hier waren plötzlich alle Unternehmen und Verwaltungen virtuell in Meetings vertreten. Mal davon abgesehen, dass sicherheitskritische Probleme (z.B. beim Anbieter Zoom) zwar registriert, durch die Krise und den Nutzen aber ignoriert wurden, ging ohne entsprechende Bandbreiten nichts mehr. Viele Anbieter mussten Nachjustieren was die Qualität der Video- und Audio-Streams oder auch die Anzahl der Teilnehmer pro Meeting anging. Auch die Sicherheit wurde nicht mehr so genau hinterfragt. Wir möchten an dieser Stelle nicht Wissen oder hinterfragen, wieviel sicherheitskritische Meetings in solchen virtuellen Meeting Räumen stattgefunden haben. Normalerweise werden diese nur persönlich in abhörsicheren Räumen durchgeführt, in Zeiten von Corona geht dann aber auch mal ein Google Hangout.
Das ist jetzt kein erhobener Zeigefinger, denn es ist gut Meetings auch mal virtuell durchzuführen. Nicht zuletzt, weil es auch Reisekosten spart und die Umwelt entlastet. Jedoch fehlen neben den technischen Beschreibungen wie die Dienste funktionieren auch die entsprechenden Richtlinien wer welches Meeting mit welchem Inhalt virtuell halten darf oder sogar muss und wann ein persönliches Treffen erforderlich ist. Technisch, und jetzt werden mir viele zustimmen, die über schmale DSL oder EDGE Leitungen in Konferenzen sein mussten, ist der Breitbandausbau seit Jahren überfällig.
Anwendungsbereitstellung
Es hört sich im ersten Moment etwas lustig an, aber tatsächlich setzen viele Unternehmen und Behörden noch Anwendungen ein, deren letztes Update in den 1990ern erfolgte und der Hersteller wahrscheinlich bereits seit dem Jahrtausendwechsel im Ruhestand ist. Warum das so gemacht wird, wissen wir auch nicht. Fakt ist aber, dass als Ausrede oft die Kosten einer Migration auf eine neue Plattform genannt werden. Was aber auch immer der tatsächliche Grund ist, die Bereitstellung solcher Anwendungen stellt viele IT- Abteilungen vor immense Probleme und verursacht unnötige Kosten. Auch hier ist es wichtig zu überprüfen, ob diese Anwendungen durch z.B. Webanwendungen ersetzt werden oder durch alternative Methoden (z.B. Container / Virtualisierung) bereitgestellt werden können, um den neuen Anforderungen gerecht zu werden. Tatsächlich bestehen die meisten Anwendungen aus einer einfachen Frontend / Backend / Datenbank Architektur, die sich als Webanwendung in der Cloud mit wenig Aufwand migrieren lassen würde.
Fazit
Die Krise hat den einen oder anderen Eiskalt erwischt. Unternehmen, die jedoch bereits vor der Krise auf neue Innovationen und Technologien gesetzt hatten, konnten auch aus dem Home-Office heraus den Betrieb aufrechterhalten. Fragen, ob wir eventuell besser informiert hätten können oder ob China jetzt schuld an der Ausbreitung ist, müssen wir später natürlich auch stellen. Heute zeigt sich aber, dass wir vor allem alle unzureichend vorbereitet waren und Schuldzuweisungen uns jetzt auch nicht weiterbringen. Was also tun, um auch in der Zukunft auf solche Krisen besser vorbereitet zu sein? Und das sind nicht nur Pandemien (ich erinnere an die jährliche Grippewelle), sondern auch Naturkatastrophen oder Unruhen und Krankheitsausbrüche in Ländern unserer Lieferketten.
Das schlimmste was jetzt gemacht werden kann, ist wieder in alte Betriebsmuster zurück zu fallen. Lernen sie aus dem erlebten und bauen sie die erreichte Digitalisierung weiter aus. Suchen sie sich einen oder mehrere Partner, mit denen sie alle diese Themen und die Erfahrungen der letzten Wochen aufarbeiten und in neue Konzepte überführen. Starten sie mit der Digitalisierung ihrer Arbeitsprozesse am besten noch heute, sonst stehen sie vielleicht morgen wieder vor bekannten Problemen.