Digitale Souveränität

Nein, das ist ganz sicher kein neuer Marketingbegriff. Die „digitale Souveränität“ steht für eine neue Agenda im Umgang mit der Digitalisierung. Denn die „Corona-Krise“ hat gezeigt, dass wir zu lange die Augen vor einer von vielen unangenehmen Tatsachen verschlossen hielten: Deutschland ist in Sachen Digitalisierung weltweit gesehen mittelmäßig. Das ist für eine sonst so hoch technisierte Export- und Industrienation peinlich.

Glücklicher Weise reichten unsere digitalen Ressourcen in Ausnahmesituation der vergangenen Wochen gerade noch so, um die hastig eingerichteten Homeoffices und Video-Konferenzsysteme im Betrieb zu halten. Aber gut ist definitiv anders. Unsere Versäumnisse sind nicht nur im lückenhaften Breitband-Internetausbau zu suchen. Mehrnoch: Sie liegen viel tiefer. Denn wir haben verschlafen, bei der Festlegung neuer technischer Standards und Regeln aktiv ganz vorn mitzuwirken. Deshalb bleibt uns derzeit nur noch das Hinterherlaufen und Reagieren. Und diese fehlende digitale Souveränität wird jetzt zu einem echten Problem.

Wo genau liegt das Problem?

Ein konkretes Beispiel aus aktuellem Anlaß

In den letzten Monaten zeigte sich die fatale Abhängigkeit Europas und auch die der Bundesrepublik Deutschland von Lieferungen aus anderen Teilen der Erde. Dabei ging es überwiegend um medizinische Produkte. Dabei warnten Fachleute siet Jahren vor den eklatanten Folgen, auf eigene Produktions- und Vorratskapazitäten zu verzichten. Leider interessierte sich bis zum Ausbruch der Pandemie kaum jemand dafür.

Das gleiche Phänomen beobachten wir auch seit Jahren in Internet und Informationstechnologie. Denn Innovationen entstehen hier inzwischen woanders. Schlimmer noch, man investiert in Ausbildung und Infrastruktur erst, wenn es die Umstände unvermeidlich machen. Und anstatt zu agieren versucht man im nachhinein zu regulieren. Kurzum, nicht nur die Politik, sondern auch speziell die deutsche Wirtschaft ignoriert seit Jahren Entwicklungen und Tendenzen der Digitalisierung. Die Konsequenzen des eigenen Handelns bzw. Unterlassens blendet man einfach aus.

Eine eco-Studie zum Thema „Digitale Souveränität“

Der Verband der deutschen Internetwirtschaft, eco e.V. führte Anfang März 2020 eine Umfrage unter deutschen IT-Experten zum Thema „Digitale Souveränität“ durch. Man wollte wohl genau diesem Verdacht nachgehen, dass die Spielregeln in der IT kaum noch hierzulande gemacht werden. Im Endeffekt bedeutet das nämlich, dass sich die meisten deutschen Unternehmen mehr oder weniger von Produkten und Dienstleistungen aus anderen Staaten abhängig gemacht haben.

Gerade jetzt organisieren viele Unternehmen – unabhängig von ihrer Grösse – ihr Geschäft mit Hilfe von Plattformen, Software und anderen Tools von nicht-europäischen Anbietern, die also nicht an EU-Regeln gebunden sind. Ein Großteil der IT-Experten in Deutschland bewertet diese Abhängigkeit als zu hoch – etwa bei Endgeräten (32,3 Prozent), Bürosoftware (31,7 Prozent), Netzwerk-Software (30,9 Prozent) und verschiedenen Cloud-Services (zwischen 20,4 und 26,6 Prozent).

Zitat eco e. V.

Unternehmen und Institutionen in Deutschland hätten jedoch ein großes Bedürfnis die eigene Digitalisierung selbstbestimmt zu gestalten, sagt Andreas Weiss, Geschäftsbereichsleiter digitale Geschäftsmodelle im eco – Verband der Internetwirtschaft e. V. „Dafür brauchen IT-Entscheider die Freiheit, IT-Ressourcen nach europäischen Standards zu beziehen und nutzen zu können“, sagt Weiss. Er fordert, offene Standards für Schnittstellen ebenso stärker zu fördern wie offene Quellcodes und das Prinzip der Datensouveränität zu unterstützen.

Diese Forderung teilt jeder zweite IT-Experte in Deutschland. Offene Standards für besseren Datenaustausch wünschen sich 52 Prozent der 500 von Civey befragten IT-Experten. Denn diese fehlen oder sollten stärker ausgebaut werden, damit das eigene Unternehmen digital souveräner handeln kann, sagen 45,8 Prozent der Befragten. Mehr RZ-Leistungen aus Deutschland wünschen sich 24,5 Prozent, mehr europäische IT-Anbieter am Markt 23,1 Prozent.
Quelle: https://www.eco.de/news/digitale-souveraenitaet-europaweite-unabhaenigkeit-in-der-infrastruktur/

Unterm Strich gesehen sprechen wir hier also von einem selbst gemachten Problem.

Offene Standards für mehr digitale Souveränität

Dabei gibt es einen Ausweg aus der Abhängigkeit von den Lösungen der großen IT-Player. Open Source Lösungen sind wie geschaffen für mehr digitale Souveränität. Inzwischen können sie für viele Schlüsselanwendungen eine echte Alternative anbieten. Und es gibt für viele Fragen europäische, sogar deutsche Antworten. Werfen wir einen Blick auf einige Beispiele.

Die viel beschworenen „offenen Standards“ existieren in vielen Bereichen schon seit langem. Aber warum werden diese entweder zu selten verwendet, offensichtlich totgeschwiegen oder sogar boykottiert? Ein typisches Beispiel ist der SNMP-Standard im Monitoring von IP-basierten Geräten. Hier kochen CISCO und Microsoft, zwei große Player im IP- und IT-Geschäft, ihr eigenes Süppchen. Um Geräte dieser Hersteller optimal monitoren zu können, muss man nämlich zusätzliche Software, die natürlich gerne Lizenz-behaftet ist, verwenden.

Dabei muss das nicht sein, denn es gibt andere Möglichkeiten. Bei der BB-ONE.net haben wir bereits vor Jahren Cisco Routern wegen erwiesener Backdoors „Hausverbot“ erteilt. Und Windows verwenden wir im DataCenter nur dann, wenn unsere Kunden dies unbedingt fordern. Alles übrige (mehr als 95 %) wird per SNMP überwacht.

RZ-Leistungen made in „D“

Wenn die befragten IT-Experten mit 24,5 % mehr RZ-Leistungen aus Deutschland wünschen, dann erfreut uns das natürlich. Schließlich sind wir mit der BB-ONE.net doch immerhin einer der letzten rein deutschen Anbieter von RZ-Leistungen. Denn viele ehemals deutsche Anbieter gehören mittlerweile zu internationalen Private Equity-Unternehmen, die fast ausschliesslich US-Amerikanische, Britische oder Japanische Wurzeln haben.

Die beiden bekanntesten Hosting-Anbieter in Deutschland gehören zur United Internet-Gruppe (Strato, 1&1). Sie wenden sich eher an private Kunden und vermieten überwiegend Webspace. Zur Host Europe Group (HEG) gehört nicht nur der Webhoster „Host Europe“, sondern auch DomainFactory und Intergenia (bekannt durch Server4you). Eigentümer von HEG ist der Finanzinvestor Cinven Capital.

Dann gibt es noch die Hetzner GmbH sowie die Telekom als große deutsche Anbieter. Allerdings gibt es bei beiden keine Services wie Managed Hosting wie wir es verstehen. Damit fallen sie für alle Unternehmen ohne eigene ausgebaute IT-Abteilung mit Internet-Skills weg.

Ein anderes typisches Beispiel für die freiwillige Aufgabe der Digitalen Souveränitat ist das Outsourcing des Server-Managements und des gesamten Administrations-Bereiches durch die DomainFactory an mehrere ukrainische Freelancer in 2018. Dies wurde zunächst nicht einmal an die eigenen Kunden kommuniziert und führte dann zum Verlust der Hoheit über das eigene Rechenzentrum. Dass dann mehr als einen Monat über das entstandene Problem überhaupt nicht kommuniziert wurde, ist schon eher ein ergänzender Randaspekt.

Zweites Fazit

Sicherlich ist es sehr wichtig, sich unabhängiger von IT-Services aus dem Ausland zu machen. Das gilt natürlich in erster Linie hinsichtlich der US-Amerikanischen, Chinesischen, aber sehr wohl auch der Britischen Konzerne („Five Eyes, https://de.wikipedia.org/wiki/UKUSA-Vereinbarung). Generell sollte jedoch jedes Unternehmen darauf achten, die Oberhoheit über System-relevante Prozesse nicht zu verlieren.

Digitale Souveränität – was heißt das überhaupt?

Dieser Begriff „digitale Souveränität“ ist zunächst einmal nicht wirklich neu, wird allerdings seit einigen Monaten immer stärker benutzt. Sogar bei Wikipedia findet man eine durchaus passable Definition.

Bei der BB-ONE.net gehört das Thema allerdings seit Gründung ganz eng zur eigenen Firmen-Philosophie, wurde doch seit Beginn grosser Wert auf maximale Unabhängigkeit von Closed Shop Software / Proprietären System etc. gelegt. Damit sind wir automatisch bei „Offenen Lösungen“, sowohl bei Software als auch bei Hardware gelandet. Es bestand stets der Wunsch, zu wissen, wass die Hard- oder Software wirklich macht.

Ein Musterbeispiel

Lassen Sie uns kurz noch einmal einen Blick auf den Begriff „Souveränität“ werfen.

In seiner Schrift „Sechs Bücher über den Staat“ definiert Jean Bodin (1529/1530–1596) den Begriff „Souveränität“ als die höchste und letztliche Entscheidungsbefugnis im Staat. Dies ist zunächst einmal juristisch gemeint, lässt sich allerdings trefflich auf viele, wenn nicht sogar auf jeden anderen Betrachtungsgegenstand übertragen.

Lassen Sie uns einmal ein beliebiges Unternehmen betrachten. Wir nennen es einfach „Meine Firma GmbH“. Diese Firma hat eine WebSite und Mailboxen für die Arbeit im Internet. Für die interne Arbeit stehen Rechner mit Verwaltungs-Software wie zum Beispiel Finanzbuchhaltung und Fakturierung zur Verfügung. Hinzu kommen Rechner mit klassischen „Büroanwendungen“ wie Textverarbeitung, Tabellenkalkulation, Präsentations- und Grafikprogramme und Werkzeuge zum Arbeiten im World Wide Web. Hier sind jede Menge  Softwares im Einsatz und noch viel mehr Daten unterwegs. Zum Teil streng vertraulich, in den meisten Fällen in jedem Fall unverzichtbar. Da sollte sich die Geschäftsleitung doch ein paar wichtige Fragen stellen. Gründlich nachdenken. Und sorgfältig beantworten.

1. Frage: Wirklich andere Regeln für Datenablage in Clouds?

Welches Interesse sollte die Firmenleitung der „Meine Firma GmbH“ daran haben, Teile der Firmendokumente, Informationen über Kunden und Lieferanten oder betriebswirtschaftlich relevante Zahlen außerhalb der eigenen Firma zu verteilen? Wir meinen hier: Papierstapel mit Informationen zum Beispiel in einem öffentlich zugänglichen Bereich lagern. Aber warum werden dann sogenannte Cloud-Services verwendet, bei denen die Firmenleitung nicht weiss, wo und wie die Firmendaten verarbeitet werden?

Bei Nutzung von Office365 ist OneDrive bzw. Sharepoint der Standard-Speicherort für alle Dokumente. Der Anbieter unterliegt dem sogenannten Patriot Act der USA. Verkürzt formuliert bedeutet das, die US-Regierung besitzt die Erlaubnis für den direkten Zugriff auch auf Server von US-Unternehmen und deren europäischen Töchtern. Deutsche Datenschutzbeauftragte sehen die Speicherung von personenbezogenen Daten deutscher Unternehmen auf derartigen Systemen als nicht zulässig an. Unabhängig von juristischen Begründungen, sollte es keinem Unternehmen gleich sein, dass andere durch Verwaltungsakt Zugriff auf beliebige Firmendaten erhalten können. Lesen Sie hierzu gerne einmal nach:

2. Frage: Bereit für den hohen Preis von Freemailern?

Welchen Vorteil hat „Meine Firma GmbH“ davon, daß sie das inhaltliche Scannen der gesamten elektronischen Kommunikation zulässt? Selbst das Durchforsten von Meta-Informationen der E-Mails wie z. B. Absender, Empfänger, Uhrzeiten durch den Mailanbieter sollte einem noch aufstoßen, zumal dieser dann in den Mails auch noch Werbung für seine Dienste macht?

Wer Freemailer wie GMX, Web.de, Googlemail, AOL usw. verwendet, muss wissen, dass diese Unternehmen alle Möglichkeiten ausschöpfen, um Metadaten und sogar die Inhaltsdaten selbst auszuwerten oder gewinnbringend weiter zu verkaufen. Dann das ist fester Bestandteil des jeweiligen Geschäftsmodells des Anbieters. Die Finanzierung dieser „kostenfreien“ Angebote erfolgt nämlich über eingeblendete, personalisierte Werbung.

Ein solches Verhalten widerspricht nicht nur der DSGVO, sondern auch dem legitimen eigenen Geschäftsinteresse Ihres Unternehmens. Selbst die kostenpflichtigen Pakete dieser Freemailer sind nicht frei von den genannten Gefahren.
Ein weiteres „Geschenk“: das Unternehmen macht auch noch unbezahlte Werbung für den Freemailer, vergleichbar der goldfarbenen Einkaufstüte des Luxusgeschäftes.

3. Frage: Unfreiwillig sehr tiefe Einblicke gewähren?

Warum überlässt „Meine Firma GmbH“ komplette Scans der lokalen Festplatten Unternehmen, mit denen keinerlei vertragliche Vereinbarung besteht und bei denen keiner weiss, inwiefern diese Informationen ausgewertet werden?
Beispiel: Die Verwendung von „kostenfreien“ AV-Scannern oder sogenannter Firewalls. Diese Software, deren wirklicher Funktionsumfang den allerwenigsten klar sein dürfte, muss, um funktionieren zu können, natürlich vollständigen lesenden und schreibenden Zugriff auf den jeweiligen Rechner und sämtliche über ihn oder für ihn erreichbare Speicher haben. Der Anbieter erhält also einen sehr komfortablen Einblick in Ihr Unternehmen. Zusätzlich versorgt er Sie noch mit personalisierter Werbung. In jedem versendeten Mail Ihres Unternehmens machen Sie zusätzlich noch Werbung für das Produkt, dem Sie Zugang zu Ihren Daten geschenkt haben.

4. Frage: Interne Auswertungen als freies und verkäufliches Zahlenmaterial?

Aus welchem Grund übergibt „Meine Firma GmbH“ wesentliche Informationen über die Besucher der eigenen WebSite an den Hoster und einen oder zwei andere Unternehmen, die diese Informationen dann weiter verkaufen?
Beispiel: Sie nutzen eine Software Ihres Hosters oder Google Analytics, um zu erfahren, wer wann was Ihrer WebSite ansieht. Unabhängig davon, ob Sie diese Informationen selbst zur Optimierung Ihres Angebotes nutzen: Ihr Hoster und ganz bestimmt Google nutzt die gewonnenen Daten, um daraus wertvolle Informationen zu machen und damit Milliarden Dollar zu verdienen.

5. Frage: Überwachung durch den Anbieter der Internetleitung?

Warum lässt „Meine Firma GmbH“ die Informationen über das Surfverhalten, damit auch über die privat oder unternehmerisch interessanten Themen freiwillig durch mehrere Dritte ausnutzen?
Beispiel: Ihr Unternehmen benutzt einen Internetzugang von Kabel Deutschland (oder einen beliebigen anderen). In den Netzwerkeinstellungen Ihres Gateways (fälschlicherweise Router genannt) und/oder Ihrer PCs wird mit großer Wahrscheinlichkeit der Nameserver Ihres Access Providers verwendet. Damit erfährt dieser, welche WebSites Sie besuchen, mit wem Sie Mailverkehr haben und einiges mehr.

Fazit

Diese Frageliste ließe sich beliebig fortsetzen. Tatsächlich verschenken täglich viele große und noch mehr kleine Unternehmen ihre Daten an einige wenige große Konzerne. Diese nutzen die vielen wertvollen Informationen zum eigenen und nicht zum Kundenvorteil. Am liebsten zum Geld machen.

Ob es eine Alternative zu diesem oft unfreiwillig freigiebigen Verhalten gibt? Ja klar, und sogar mehr als eine. In einigen Fällen muss man allerdings von der Idee Abstand nehmen, Leistungen „für lau“ zu beziehen. Denn wie wir gesehen haben,  sind diese Services beileibe nicht „für umsonst“. Und zweitens widerspricht das Gejammere über die schwindende digitale Souveränität diesem Kostenlos-Ansatz nun wirklich und vollumfänglich. Besser, man zahlt für eine klar umrissene Leistung und erkauft sich damit Entscheidungsfreiheit, Handlungsoptionen und letztlich auch Unabhängigkeit in der IT-Sicherheit.

Über Siegel, Certs & Co …

… und deren (werblicher) Sinn für Ihre WebSite.

Um gegenüber dem Wettbewerb besser dazustehen, sind Zitate positiv bewertender Aussagen von Dritten zur eigenen Person oder zur angebotenen Leistung oder Produkten durchaus sehr hilfreich. Das gilt natürlich auch und gerade für Ihre Website. Hier können Sie „Testimonials“, Zertifikate oder einfach Zeugnisse über bestandene Prüfungen bzw. einen erfolgreich absolvierte Tests hinzuziehen. Doch welches Mittel führt am ehesten zum Ziel?

Testimonial

Ein Testimonial wird in Wikipedia so beschrieben:

“Im Deutschen kann das Testimonial zum anderen auch eine werbende Person sein, die sich für eine Marke oder ein Produkt ausspricht („Werbebotschafter“), zum Beispiel für die Qualität und Nützlichkeit und/oder die Preiswürdigkeit eines Produkts. Dabei kann es sich um eine reale (lebende oder verstorbene) Person handeln oder auch um eine fiktive Gestalt (Werbefigur). Typische Testimonials sind Prominente, Experten, Mitarbeiter oder stilisierte Nutzer. Bekannte fiktive Testimonials im deutschsprachigen Raum sind bzw. waren der Versicherungsvertreter Herr Kaiser und Klementine.“

Sicherlich eine tolle Sache, aber welcher „normale“ Website-Betreiber hat schon die entsprechenden Kontakte und das nötige Kleingeld für eine solche Aktion?

Zertifikate

Ein Zertifikat basiert im Online-Business üblicherweise auf SSL. Wikipedia schreibt dazu:

„Ein digitales Zertifikat ist ein digitaler Datensatz, meist nach Standards der ITU-T oder der IETF, der bestimmte Eigenschaften von Personen oder Objekten bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Das digitale Zertifikat enthält insbesondere die zu seiner Prüfung erforderlichen Daten. Die Ausstellung des Zertifikats erfolgt durch eine offizielle Zertifizierungsstelle, die Certification Authority (CA).“

Das klingt doch schon mal gut, wenn es auch zunächst sehr technisch daherkommt. Aber es lohnt sich ein näherer Blick.

Zeugnis

Ein Zeugnis ist meist eine positive oder negative Aussage zu einer oder mehreren Eigenschaften einer Sache oder eines Prozesses mit der Angabe, wie gut die angestrebte Qualität erreicht wird. Das Ergebnis wird häufig in Form von Punkten oder Zensuren, in einfachen Fällen mittels einer dreistufigen Ampel dargestellt.

Zeugnisse können eine heikle Angelegenheit sein. Vor allem dann, wenn  die bewertende Autorität wirklich neutral beurteilt und das Ergebnis möglicher Weise nicht ganz so gut ausfällt.

Gütesiegel

In jedem Fall ist die Glaubwürdigkeit, Unabhängigkeit oder Fachkompetenz der Person oder Organisation, die beurteilt, von größter Wichtigkeit. Kann man ein Siegel kaufen, hat es so gut wie keinen Wert. Hat die beurteilende Organisation selbst einen guten Ruf, gilt als unabhängig und kompetent, hat das Gütesiegel fast Zeugnis-Status und damit einen recht hohen Wert.

Anwendungsmöglichkeiten für Websites: Server-Zertifikate!

Damit Sie mit Ihrem Shop oder Ihrer WebSite bestehen können, sind mehrere Möglichkeiten sinnvoll bzw. bereits Voraussetzung. Zwei davon möchten wir Ihnen in diesem Artikel vorstellen. Dabei legen wir den Fokus auf Serverzertifikate, die technisch notwendig sind, aber auch werblich für Sie arbeiten können.

Aufgabenstellung

Ein Serverzertifikat hat mehrere Aufgaben. Zum einen bestätigt es idealerweise, dass z.B. der Shop-Besucher sich tatsächlich auf einer WebSite mit der angezeigten Domain aufhält und dass die Firmierung stimmt . Diesen Zusammenhang hat eine Zertifizierungsstelle, die Certification Authority (CA) vorher überprüft. Die Vertrauenswürdigkeit der Zertifizierungsstelle und die Art und Weise, wie die Prüfung organisiert ist, sind von zentraler Bedeutung bei der Bewertung des Server-Zertifikates.

Die zweite Aufgabe ist eher technischer Natur. Das Vorhandensein eines Zertifikates ist zwingende Voraussetzung, um Inhalte, z.B. eines Mailformulares oder eines Warenkorbes verschlüsselt übertragen zu können.

Qualitätsmerkmale

Erfolgt die Ausgabe des Zertifikates mehr oder weniger auf Zuruf ohne dokumentierte Überprüfung, so ist das Zertifikat ebenso mehr oder weniger wertlos. Solche Zertifikate kann man sich selbst ausstellen oder von entsprechenden Organisationen besorgen. Dem entsprechend sind sie in finanzieller Hinsicht kostenlos oder im wahren Sinne des Wortes umsonst.

Im Idealfall wird die Identität des Domaininhabers oder sogar der Organisation aufwändig überprüft, es gibt Verträge und sogar Versicherungszusagen. Solche Zertifikate sind technisch gesehen kaum unterschiedlich zu den kostenlosen. Sie sind allerdings in Hinsicht auf ihren eigentlichen Zweck wesentlich wertvoller.

Der Vollständigkeit halber sei erwähnt, dass neben der Qualität des eigentlichen Zertifikates auch die Art und Weise, wie es implementiert wird, wesentlich ist, wie gut die resultierende Verschlüsselung funktioniert, wie gut der Server gegen bestimmte Angriffs-Szenarien geschützt ist und also auch, wie gut der Serverbetreiber die Daten seiner Kunden schützt. Man kann durchaus auch sagen, es ist ein Zeichen, wie ernst die Firma ihren Job nimmt.

Prüfsiegel und Qualitätszeugnisse

Die Qualität und die Wirksamkeit eines Serverzertifikats können Sie sich durch mit verschiedene Prüfsiegel bestätigen lassen. Wie bereits oben erwähnt, ist auch hier die Unabhängigkeit und die Fachkompetenz der prüfenden Organisation wichtig. Denn schließlich soll die Aussagefähigkeit des Prüfsiegels jeder kritischen Betrachtung Stand halten. Bei der BB-ONE.net verwenden wir zwei verschiedene Prüfungen für Ihre Zertifikate.

Qualys – ein Qualitätszeugnis für Ihr SSL-Zertifikat

Qualys ist der Weltmarktführer für Informationssicherheit in Unternehmen. Wir verwenden einen automatisierten und formalisierten Test, um im Livebetrieb die SSL-Implementierung, die Verwundbarkeit eines Webservers gegenüber den häufigsten Angriffsszenarien und letztendlich auch die technische Qualität des Zertifikates sowie die Gültigkeit zu bewerten und das Ergebnis zu dokumentieren. Das Ergebnis ist dann eine „Note“ von A+ bis T sowie eine pdf-Datei mit allen Einzelergebnissen. Zum Umfang gehören fachlich hochwertige Hinweise zur Verbesserung. Die pdf-Datei wird einerseits bei uns dokumentiert (falls es sich um einen Bestandskunden handelt) sowie dem Kunden ausgehändigt.

Siwecos – Wertesiegel über die Sicherheit Ihres CMS

Hierbei handelt es sich um ein vom Bundesministerium für Wirtschaft und Energie gefördertes Projekt, das der „eco, Verband der Internetwirtschaft e.V.“ federführend betreut. Auch hier wird ein automatisierter und formalisierter Test durchgeführt, der eine Reihe von Sicherheitsprüfungen beinhaltet. Der Schwerpunkt dieses Testes liegt im Bereich Sicherheit des verwendeten Content Management Systemes. Auch hier liegt ein umfangreicher Bericht mit Hinweisen zur Verbesserung vor. Zusätzlich kann ein regelmässiger Test eingerichtet werden. Dies kann dann mit Hilfe eines in die WebSite eingebundenen Siegels dokumentiert werden.

Warum der Aufwand? Best Practice!

Die sichere Einrichtung sowohl eines Webservers als auch eines beliebigen Content Management Systemes/Shops unter Berücksichtigung zeitgemässer Anforderungen ist zwar kein Hexenwerk, aber auch nichts, was man mal „nebenbei“ erledigen kann. In jedem Fall müssen nach erfolgter Erstinstallation, noch vor dem Launch Tests, wie oben beschrieben durchgeführt und dokumentiert werden.

Die beiden Testsuiten sind in diesem Kontext hilfreich und durchaus geeignet, einen sinnvollen Sicherheitsstand zu erreichen. Aber sie tun deutlich mehr, denn sie stärken Vertrauen Ihrer Websitebesucher einerseits. Und andererseits können Sie darauf vertrauen, dass Ihre Website in Sachen Performance die Nase ganz vorne hat.

Allerdings reicht es nicht, einmal erfolgreich bestanden zu haben. Denn die Konkurrenz schläft nicht. Und nach jedem Update an der WebSite, bspw. durch hinzufügen von Funktionserweiterungen, ist die Wiederholung der Tests Pflicht. Weil diese Änderungen nämlich auf die Performance erfahrungsgemäß Auswirkungen haben.

Die Bestätigung bzw. Dokumentation der Sicherheitstest gehört also nicht nur in die TOM-Liste (Technische und organisatorische Massnahmen) bzzgl. Datenschutz und -Sicherheit/DSGVO. Sie können und sollten die guten Testergebnisse unbedingt in der Kommunikation mit dem Kunden einsetzen. Denn schließlich geht es dabei um seine Sicherheit und seinen Anwendungskomfort! Und hier geht auch dem Marketing-Verantwortlichen das Herz auf: Tue Gutes und sprich darüber.

Office@Home – was braucht man dafür?

Einfach mal von Zuhause arbeiten. Welcher Arbeitnehmer hat nicht auch schon früher mal davon geträumt? Bisher waren viele Arbeitgeber zögerlich, doch jetzt zwingt die aktuelle Situation viele in dieses Arbeitsmodell. Bisher spielte neben der Vertrauensfrage und den mit der Einrichtung von Heimarbeitsplätzen verbundenen Kosten unserer Erfahrung nach die folgende Frage eine wichtige Rolle: Welche Arbeitsumgebung muss man auf beiden Seiten schaffen, damit das Modell „Homeoffice“ auch wirklich funktioniert? Denn klar ist, dass weder Arbeitgeber noch die meisten Privathaushalte darauf irgendwie vorbereitet sind. Wir berichten aus unserer mehrjährigen Erfahrung und geben ein paar Denkanstöße, was Sie beachten sollten, wenn Sie daraus ein dauerhaft erfolgreiches Arbeitsmodell machen wollen.

Ein Bericht aus fünf Jahren Erfahrung mit dem Homeooffice

In der BB-ONE.net arbeiten wir bereits seit mehr als fünf Jahren in einem gemischten Arbeitsmodell erfolgreich mit Büroanwesenheitszeiten und Homeoffice Phasen.  Und machen damit gute Erfahrungen. Das liegt zum einen in der Natur der Sache: Wir sind ein Internet-Unternehmen und sitzen an der Quelle der technischen Möglichkeiten. Diese schöpfen wir natürlich aus. Und wir sind das Arbeiten in einer virtuellen und isolierten Welt gewohnt. Wir kennen die Probleme, die dabei entstehen können. Deshalb achten wir auch sehr stark auf den entsprechenden Ausgleich und die Einhaltung von ein paar wichtigen Regeln. Wir können hier in der Kürze nicht alle Aspekte des Themas abdecken, zum Beispiel wie wir der drohenden Vereinsamung oder Störungen im Kommunikationsfluss begegnen. Aber die wichtigsten „technischen“ Punkte, vor allem die pragmatischen Lösungen, haben wir für Sie zusammengetragen.

Der ergonomische Arbeitsplatz

Derzeit kursieren in den Medien viele tolle Tipps, wie Sie ein Homeoffice organisieren. Die Ratschläge sind alle gut gemeint, aber zum Teil ungeeignet. Bei uns ist der Heimarbeitsplatz genau so eingerichtet wie das Firmenbüro: ein vernünftiger Bürostuhl, ein Tisch mit  ausreichend Platz für einen größeren Bildschirm, separate Tastatur und Maus und ein firmeneigenes Notebook, das auch nur für die Firmen-relevanten Arbeiten genutzt wird.

Kurzum: für ein paar Stunden oder Tage auf der Couch, am Esstisch oder im Schlafzimmer am Katzentisch arbeiten, das geht schon mal. Aber nicht auf Dauer. Denn die altbewährten Regeln der Ergonomie gelten auch hier. Da hilft übrigens auch der Blick in die Empfehlungen der Berufsgenossenschaften, sich die wichtigsten wieder ins Gedächtnis zu rufen.

Warum das Notebook als vielseitiges, mobiles Arbeitsgerät allein sich nur bedingt als Arbeitsmittel eignet, erklärt sich eigentlich von selbst. Das viel zu kleine Display, die integrierte Tastatur und Maus verführen zu ungesunden Sitzhaltungen, die nur in der ersten Anmutung bequem erscheinen. Tatsächlich führen sie relativ schnell zu diversen gesundheitlichen Beschwerden. Dazu gehören zum Beispiel sehr häßlich klingende, schmerzhafte Erscheinungen wie das „Schulter-Arm-Syndrom“ oder migräneartige Kopfschmerzen. Das braucht jetzt wirklich niemand.

Die technische Ausstattung

Das Büro mal eben aus der Firma in die private Wohnung zu verlegen, das klingt so einfach. Aber tatsächlich müssen ein paar technische Vorkehrungen getroffen werden. Schließlich müssen Sie sowohl für den Schutz der Privatsphäre der Mitarbeiter als auch für die Einhaltung von Datenschutz und IT-Sicherheit sorgen. Deshalb brauchen Sie:

Eine stabile, breitbandige Internetanbindung

Es sollten mindestens 32 MBit/6 MBit/s ausschliesslich für Sie bereitstehen. Mehr ist natürlich immer besser, aber darauf haben Sie leider kaum Einfluss. Idealer Weise sollte man eine Dienstepriorisierung über das heimische IP-Gateway (Router) vornehmen können, damit die videostreamenden Zöglinge nicht die Leitungen überstrapazieren.

Eine individuell einstellbare Firewall

In professionellen IP-Gateways ist diese meist schon enthalten. Wir setzen zwar auch ein Standardprodukt ein, aber dies lässt sich programmieren und an die Anforderungen aller heimischen Internetanwendungen (Web, Telefonie, TV, Radio) anpassen. Allerdings beschränken wir uns bei der beruflichen Nutzung hier auch nur auf die Dienste, die über Webbrowser erreichbar sind. Für das externe Arbeiten im firmeneigen Netzwerk gehen wir andere Wege. Dass hier die eine vom Leitungsanbieter vorgefertige xy-Box nicht infrage kommt, sollte klar sein.

IP-Telefonie und VoIP-fähige Endgeräte im Homeoffice

Sie brauchen die Möglichkeit, auch im Homeoffice mit den Rufnummern der Firma zu arbeiten. Sie wollen nämlich garantiert nicht, dass Mitarbeiter ihre Geschäftskontakte über private Rufnummern anrufen. Wir nutzen dazu eine virtuelle, relativ frei programmierbar Telefonanlage eines großen IP-Telefonieanbieters. Unsere Mitarbeiter erhalten SIM-Karten mit denselben firmeneigenen Rufnummern, die auch im Betrieb genutzt werden für ihre Mobilfunktelefone. Dadurch erkennen Anrufer und Angerufene in der Nummernkennung immer unseren Büroanschluss.

Ein firmeneigener PC oder ein entsprechendes Notebook.

Privates und berufliches gehört streng getrennt. Die strikte technische Trennung ist für uns aus Datenschutz- und IT-Sicherheitsgründen ein absolutes Muss. Es ist unabdingbar, zu verhindern, das Familienmitglieder oder Gäste mutwillig oder aus Versehen auf Firmeninterna zugreifen können. Auch muss das Arbeitsgerät zu jeder Zeit und ohne Einschränkungen dem Mitarbeiter allein zur Verfügung stehen. Und wir müssen sicherstellen, dass Fehlbedienungen und Nachlässigkeiten der Mitbewohner nicht zu Sicherheitslücken werden.

Bitte nicht falsch verstehen

Wir wollen die Homeoffice-Euphorie auf gar keinen Fall trüben. Wir stehen zu 100% dahinter. Aber wir sehen es als unsere Pflicht an zu zeigen, dass funktionierende Dauerlösungen anders aussehen müssen als die aktuell improvisierten Maßnahmen. Schließlich ist ein echtes Homeoffice mehr als nur E-Mails beantworten und übers Web Cloudanwendungen zu bedienen.

Wieder auf dem Tablett: sichere Cloudanwendungen

Die größte Herausforderung in Sachen Heimarbeitsplätze liegt unserer Erfahrung nach in der Arbeitsorganisation. Sie müssen sicherstellen, dass Ihre Mitarbeiter auch auf Distanz zu jeder Zeit auf alle Daten in aktueller Form zugreifen können. Private (dedizierte) Datenclouds sind hier sehr hilfreich, vor allem wenn sie echte Kollaboration an gemeinsamen Dokumenten erlauben. Auch Groupware-Lösungen für ERP- und CRM-Anwendungen leisten gute Dienste. Denn dann haben Ihre Mitarbeiter auch von zuhause Zugriff auf viele unternehmensrelevante Prozesse und Ressourcen. Aber – und jetzt kommt es dick – wenn die Nutzung dieser Cloudanwendungen nicht lückenlos und vollumfänglich in den Unternehmensalltag integriert sind, sind sie nutzlos.

Spätestens jetzt müssen Sie sich auch von der Vorstellung verabschieden, dass Sie mit Diensten wie WhatsApp, Dropbox und ähnlichen arbeiten können. Sie brauchen nämlich auch Backup-Strategien, Datenschutzkonzepte und vieles mehr. Mal abgesehen davon, dass diese Anwendungen für Unternehmen aus rechtlichen Gründen tabu sind, wie soll das mit diesen fremdgesteuerten Systemen gehen?

Last but not least: Der starke Wille zur Eigenmotivation und Selbstorganisation

Zunächst klingt es verführerisch: zu Hause im „Casual Ware“ auf der Couch ‚rumlümmeln und wichtige geschäftliche Dinge erledigen. Aber so funktioniert das mit dem Homeoffice nicht. Im Moment erleben viele leidgeprüfte Eltern, wie schwierig es ist, ohne Vorwarnung und Übung mit ihren beruflichen Aufgaben ins häusliche Umfeld geworfen zu werden. Der Heimarbeitsplatz ist eine echte Herausforderung an die Fähigkeit zur Selbstdisziplin, Eigenmotivation und Selbstorganisation. Sich genau so auf den Tag vorzubereiten wie beim klassischen Weg ins Büro, also wie gewohnt zur gleichen Zeit aufstehen, sich sauber und ordentlich zurecht machen etc. – das ist nur ein sehr kleiner Teil des Ganzen.

Nach entsprechender Eingewöhnung und Übung weiss man, welche Zeiten und Phasen die produktivsten sind. Und spätestens ab da muss man sich vom klassischen Arbeitszeitmodell verabschieden und in qualifizierten Aufgabenmodellen denken. Unterm Strich kommt nämlich besseres dabei heraus, wenn der Mitarbeiter weiss, wann er in welcher Qualität ein Ergebnis abliefern soll.

Aber der Weg bis dahin ist steinig und weniger mit guten Vorsätzen, als mit Vertrauen auf das Gelingen und mit der Bereitschaft zu mehr Flexibilität gepflastert. Der Mitarbeiter muss nämlich herausfinden, wann er am besten welche E-Mails schnell abfertig oder welche er in Ruhe konzentriert bearbeitet. Wann ist die beste Zeit für Telefonate? Wann ist die perfekte Phase für hochkonzentriertes oder kreatives Arbeit? Und steht dann auch ggf. Unterstützung für ein ruhiges Arbeitsumfeld bereit?

Wir selbst haben hier ganz verschiedene Leistungskurven bei unseren Mitarbeitern festgestellt und daraufhin unsere Anwesenheitszeiten im Büro angepasst. Der „frühe Vogel“ und der „Spätzünder“ arbeiten in ihren produktivsten Leistungsphasen.

Fazit

Sicherlich sind derzeit unkomplizierte und schnelle Lösungen gefragt, damit die Wirtschaft nicht vollends zum Erliegen kommt. Aber zu glauben, dass jetzt der dauerhafte Durchbruch für flexiblere Arbeitsmodelle wie die Heimarbeit geschafft ist, das ist schlichtweg naiv. Ja, wir haben gerade tatsächlich eine Chance zum Umdenken. Aber die erfolgreiche Umsetzung braucht sorgfältige Planung, nicht unhebliche montetäre und zeitliche Investitionen, bessere gesetzliche, steuerliche und organisatorische Rahmenbedingungen. Dann kann aus dem schönen Traum vom Homeoffice was werden.