08.10.2012
Interview, Unified Communications

Nachgefragt bei Christoph Lösch, Estos

Bedenken von Anfang an ausräumen

Interview mit Christoph Lösch, Geschäftsführer der Estos GmbH


„Für den einzelnen Benutzer ist es schwierig, einen potentiellen Angriff auf das IT-System zu entdecken“, weiß Christoph Lösch, Geschäftsführer der Estos GmbH.

ITM: Herr Lösch, wie gestaltet sich das derzeitige Interesse der mittelständischen Unternehmen an umfangreichen Unified-Communications-Projekten (UC)?
Christoph Lösch:
Das Interesse ist groß. Kleine und mittelständische Unternehmen sind aber nicht bereit, in umfangreiche und vor allem komplexe Unified-Communications-Lösungen zu investieren. Kleine und mittelständische Unternehmen fordern Lösungen, die Investitionsschutz gewährleisten und deren Leistungsumfang genau auf ihre Kommunikationsanforderungen zugeschnitten ist. Darüber hinaus fordern sie mehr und mehr eine gute und tiefe Integration der Unified-Communications-Plattform in die eingesetzte IT-Infrastruktur, d.h. den bestehenden CRM-, ERP- und Branchenapplikationen.

ITM: Inwiefern macht sich der Mittelstand hierbei um Dinge wie Informationssicherheit, Datenschutz und Arbeitsrecht Gedanken – und lässt dies auch in die Anbieter- und Lösungsauswahl einfließen?
Lösch:
Sicherheitsaspekte spielen eine entscheidende Rolle für die Auswahl der Lösung und damit auch des Anbieters. Insbesondere beim Einsatz neuer Kommunikationsmittel, beispielsweise dem Austausch von Präsenzinformationen und Instant Messages über die Unternehmensgrenze hinweg, werden die Daten über das Internet transportiert. Professionelle Unified-Communications-Anwendungen wie unsere Lösung Procall Enterprise erfüllen in der Regel hohe Sicherheitsanforderungen im Vergleich zu öffentliche Diensten, die diese systembedingt nicht gewährleisten können. Im Hinblick auf Arbeitsrecht und Datenschutz wurde in der Vergangenheit vor allem das Thema „Präsenzmanagement“ mit abnehmender Tendenz diskutiert. Die führenden UC-Lösungen bieten heute fein granulierbare Konfigurationsmöglichkeiten für nahezu alle denkbaren Unternehmenskulturen und Szenarios.

ITM: Wenn Großunternehmen UC-Projekte aufsetzen, werden i.d.R. die Betriebsräte und Datenschutzbeauftragten mit einbezogen. Wie gehen hier KMUs vor?
Lösch:
Es gibt Projekte, bei denen die Einführung einer Unified-Communications-Lösung im Vorfeld auch mit dem Datenschutzbeauftragen oder dem Betriebsrat diskutiert wird. Das ist eher selten und branchenabhängig. Dennoch gibt es durchaus Investitionsentscheidungen, bei denen das Thema „Datenschutz“ kritisch hinterfragt wird: Zu Themen wie Kommunikationsjournal und Präsenzmanagement herrschen bisweilen Vorbehalte, zu denen der IT-Leiter aufgrund mangelnder Informationen vielleicht nicht ausreichend Stellung nehmen kann. Um Bedenken von Anfang an auszuräumen und über den tatsächlichen Sachverhalt zu informieren, leisten wir als Hersteller zusammen mit unseren Partnern von Anfang an Hilfestellung.

ITM: Das Thema „Sicherheit“ ist ein wichtiger Punkt in UC-Projekten. Wie kann grundsätzlich ein sicherer Informations- und Dokumentenaustausch beispielsweise beim E-Conferencing gewährleistet werden?
Lösch:
Heute tauschen Business-User häufig ihre Dokumente komplett ungeschützt aus, in dem sie Onlineplattformen oder unverschlüsselte E-Mails zur Zusammenarbeit nutzen. Diese Methoden des Dokumenten-Sharings machen sie produktiver und fördern die Zusammenarbeit. Gleichzeitig werden Unternehmen hierdurch aber auch angreifbar in punkto Compliance und Risikomanagement. Der Ratgeber „E-Mails sicher austauschen“, der im Rahmen des Verbundprojekts „Sichere E-Geschäftsprozesse in KMU und Handwerk“ des Netzwerks Elektronischer Geschäftsverkehr (NEG) erstellt wurde und vom Bundesministerium für Wirtschaft und Technologie (BMWi) unterstützt wird, soll KMUs mit verträglichem Aufwand helfen, die leider häufig zu lockere Sicherheitskultur zu verbessern.

ITM: Das bereits erwähnte Thema „Präsenzmanagement“ ist besonders heikel, denn die Verfügbarkeitsdaten eines Mitarbeiters können aufgezeichnet und zu dessen Verhaltenskontrolle missbraucht werden. Wie schätzen Sie die Problematik ein?
Lösch:
Um mögliche Ängste der Mitarbeiter im Hinblick auf zu viel Transparenz vorzubeugen, muss der Austausch von präsenzrelevanten Informationen differenziert konfigurierbar sein, z.B. in Form von Berechtigungsstufen. Wichtig ist, dass für jeden Benutzer transparent sein sollte, welche Präsenzdaten er weitergibt. Darüber hinaus ist es wichtig, dass Präsenzzustände und deren Änderungen nicht protokolliert werden und es damit auch keine Möglichkeit zur statistischen Auswertung gibt.

ITM: Welchen Stellenwert nimmt die Verschlüsselung von Sprachtelefoniedaten ein? Ist eine Verschlüsselung bereits Standard?
Lösch:
Anbieter und Nutzer von VoIP-Technologie sollten sich der Sicherheitsrisiken bewusst sein und stets angemessene technische Verfahren (z.B. Verschlüsselung) einsetzen, um eine datenschutzkonforme Nutzung von VoIP zu gewährleisten. So genannte „Dienste-Anbieter“ von Sprache – und hierzu kann man im erweiterten Sinne in vielen Szenarien auch Arbeitgeber zählen – trifft neben der Pflicht zur Einhaltung technischer und organisatorischer Sicherungsmaßnahmen auch ggf. Informationspflichten gegenüber den möglichen Betroffenen. Solange die Verschlüsselung von Sprachtelefoniedaten keine Voraussetzung gemäß Telekommunikationsgesetzes darstellt, kann hier nicht von einem Standard gesprochen werden.

ITM: Wie können sich die Anwender selbst vor einem Zugriff von außen auf die UC-Umgebung und somit den Missbrauch von Informationen und Daten schützen?
Lösch:
Neben den allgemein gängigen Sicherheitskonzepten mittels Firewalls, Antivirus-Lösungen und der Verwendung von verschlüsselten Kommunikationskanälen lässt sich besonders im Unified-Communications-Umfeld durch den Einsatz des sicheren Vernetzungskonzepts Federation mit Technologien wie TLS die Sicherheit erhöhen. Mit der Federation abbildbare Vertrauensstellungen zwischen Organisationen ermöglichen die sichere Kommunikation über die Unternehmensgrenzen hinweg, z.B. mit Geschäftspartnern, Kunden oder Lieferanten.

ITM: Wie lässt sich ein Angriff von außen möglichst schnell aufdecken?
Lösch:
Für den einzelnen Benutzer ist es schwierig, einen potentiellen Angriff auf das IT-System zu entdecken. Hier sind die IT-Verantwortlichen gefragt, die Infrastruktur vorbeugend durch regelmäßige Audits zu prüfen und adäquate Prozesse und Systeme einzuführen, die Angriffe auf kritische Systeme und Daten automatisch erkennen und verhindern.

ITM: Bei einer UC-Lösung sind sämtliche Kommunikationsmedien in einer einheitlichen Anwendungsumgebung integriert. Ein Ausfall wäre äußerst geschäftskritisch für den Anwender. Was sind mögliche Ursachen für einen Systemausfall, und wer haftet bei einem solchen Vorfall für den entstandenen Schaden?
Lösch:
Laut dem Bundesamt für Sicherheit in der Informationstechnik sind Totalausfälle in der Regel auf „(…) technisches Versagen (...)“,  „(…) menschliches Fehlverhalten (...) oder vorsätzliche Handlungen (...)“ zurückführen. Was die Technik betrifft, bedeutet eine einheitliche Anwendungsumgebung nicht zwingend, dass das System nicht modular aufgebaut sein kann und geschäftskritische Dienste mit entsprechenden Aufwand ausfallssicher gemacht werden können. Was als geschäftskritisch gilt, ist individuell zu betrachten. Schäden durch höhere Gewalt lassen sich nur schwer absichern. Pauschal können wir die Haftungsfrage leider nicht beantworten: Wenn ein Verschulden durch eine dritte Partei vorliegt, muss im Einzelfall geprüft werden, ob sich Ansprüche z.B. aus dem Produkthaftungsgesetz, Vertragsverhältnis oder möglicherweise Schadensersatz ableiten lassen und wer dafür haftet.

ITM: Wie kann grundsätzlich eine hohe Verfügbarkeit bzw. geringe Ausfallrate der Systeme gewährleistet werden?
Lösch:
Zur Erreichung einer hohen Ausfallsicherheit gibt es vielfältige technische Möglichkeiten. Grundsätzlich kann es sich hierbei um Standby-, Cluster- und fehlertolerante Systeme handeln. Es empfiehlt sich, dieses Thema bereits in einer frühen Phase eines IT-Projektes zu berücksichtigen, um mögliche Lösungen zu evaluieren. Als Hersteller von Windows-Server-basierten Unified-Communications-Lösungen favorisieren wir den „Best-of-Breed“-Ansatz und empfehlen etablierte Lösungen von jeweiligen Spezialisten einzusetzen.

ITM: Welche zukünftige Entwicklung wird es Ihrer Meinung nach im UC-Umfeld geben und welche Faktoren beeinflussen diese?
Lösch:
Die Zukunft gehört dem sogenannten Federation-Konzept. Dabei handelt es sich um Vertrauensnetzwerke zwischen Organisationen zum Thema Kommunikation bzw. der Vernetzung von Unternehmen auf der Basis offener Standards und sicherer Protokolle. Eine relativ junge Analyse des Beratungsunternehmens Frost & Sullivan bestätigt dies mit der Aussage, dass Unternehmen mit einer Federation-fähigen UC-Lösung ihre Wettbewerbsposition verbessern können. Dabei ist es wichtig, in diesem Kontext auf eine Plattform zu setzen, die dank Multi-Vendor-Unterstützung auch in einer Unternehmenslandschaft mit meist gewachsener, heterogener ITK-Infrastruktur – ggf. an verschiedenen Standorten (Multisite) – betrieben werden kann. Mit den sogenannten Federated User Identities können kleine und mittelständische Unternehmen zukünftig  Echtzeitkommunikation mit ihren Kunden und Geschäftspartnern unter sicheren Rahmenbedingungen gewinnbringend nutzen.


Aktuelle Ausgabe

Titelinterview: ERP-System-Einführung
mit Philipp Hess und
Dr. Ralf Kampker von der Hans Hess Autoteile GmbH

Industrie 4.0 im Mittelstand
Gut vernetzt in die Zukunft

Neue Wege des Arbeitens

Windows 8
Mit mehr Sicherheit besser - und flexibler

Das neue Office
Immer und überall produktiv

Internet Explorer
Der Webbrowser rückt in den Fokus

Top-Jobs auf IT-MITTELSTAND

Interview mit Philipp Hess (re.), Geschäftsführer des Kölner Familienunternehmens Hess Autoteile, und Dr. Ralf Kampker, verantwortlich für IT-Projekte bei dem Mittelständler

Im Interview berichten Philipp Hess (re.), Geschäftsführer des Kölner Familienunternehmens Hess Autoteile, und Dr. Ralf Kampker, verantwortlich für IT-Projekte bei dem Mittelständler, über die Implementierung einer SAP-Branchensoftware. Die neue ERP-Lösung sollte dem raschen Unternehmenswachstum begegnen und interne Prozesse beschleunigen...mehr lesen »

IT Mittelstand Newsletter
Industrie 4.0: Vernetzte Produktionsprozesse

Industrie 4.0 ist ein Schlagwort, die Vision dahinter ist mitunter nicht ganz so eingängig. Folgender Definitionsversuch trifft es relativ gut:
Industrie 4.0 bedeutet die konsequente industrielle Automation unter Einbindung aller relevanten Informationen, die über weltweite, offene Netze zur Verfügung stehen. Doch auch der Mensch soll wohl Teil der modernen Produktionsprozesse bleiben...mehr lesen »