Lexmark schluckt Saperion · IBM befördert Software-Chef · Brandneue Top-Level-Domains Schweiz: 8,40 SFr DEUTSCHLAND: 4,30 EUR
9 I 2013
9 I 2013
Österreich: 4,70 EUR Luxemburg: 4,95 EUR
NO
09
IM Interview
Dieter Woeste, Geschäftsführer beim Systemhaus Alos Seite 22
Dokumentenmanagement
Digitale Prozesse statt Papierflut Ein neuer Standard soll den Rechnungsversand für Unternehmen einfacher und effizienter gestalten. Doch wo wird er bereits eingesetzt? Seite 14
MEDIENHAUS VERLAG · Postfach 300111 · 51411 Bergisch Gladbach · »Entgelt bezahlt«
Lexmark schluckt Saperion · IBM befördert Software-Chef · Brandneue Top-Level-Domains · Im Interview: Dieter Woeste, Geschäftsführer beim Systemhaus Alos
G 31227 I WWW.IT-DIRECTOR.DE
Unified Communications Alles absolut rechtssicher? Seite 54
Hochverfügbarkeit Virtuelle Daten immer am Start Seite 40
vorwort september < 2013
Sinn oder Unsinn? Nützliche Standards bestimmen unser Leben, unsinnige hingegen sind schneller wieder überholt als man denkt. > Die Welt in geordneten Bahnen. Nur ein Wunschdenken langweiliger Bürokraten? Wohl kaum, denn ohne fest definierte Normen und Standards würde unser Alltag nicht so reibungslos funktionieren, wie wir es gewohnt sind. Beispiele gefälvon Ina Schlücker, Redakteurin IT-DIRECTOR lig? Man denke allein an die Mobiltelefonie (3G, 4G), das Internet (HTML, HTML5) oder das gängige Formularformat in DIN A4. Dennoch gibt es in der Historie von Normierung und Standardisierung so manches, was aufgrund der immer kurzlebigeren Technologiezyklen sehr schnell überholt war. Denn wer nutzt heute noch regelmäßig den VHS-Standard oder will in 2G mit Übertragungsraten von schnöden 220 kbit/s kommunizieren?
Hommage an das PDF-Format Paradebeispiele wie Internet und Mobilfunk machen jedoch auch deutlich, dass sich die Informationstechnologie ohne etablierte Standards nicht entscheidend weiterentwickeln könnte. Betrachtet man speziell die Entwicklung von Dateiformaten, wird schnell klar, dass sich ohne eine allgemeingültige PDF-Datei so mancher Endnutzer desöfteren am Rande des Nervenzusammenbruchs befände – nämlich genau dann, wenn sich der immens wichtige und zeitkritische E-Mail-Anhang aus Kompatibilitätsgründen nicht öffnen lässt.
Apropos Dateiformat: Hinsichtlich des elektronischen Rechnungsversandes fällt hier momentan ein neues Vorhaben ins Auge. Das Forum elektronische Rechnung Deutschland (FeRD) hat ein übergreifendes Format (ZUGFeRD-Format) für elektronische Rechnungen erarbeitet, das „für den Rechnungsaustausch zwischen Unternehmen, Behörden und Verbrauchern genutzt werden kann und den Austausch strukturierter Daten zwischen Rechnungssteller und -empfänger ermöglicht“, heißt es auf der offiziellen Webseite der Initiative – die übrigens mit dem Bundesministerium für Wirtschaft und Technologie einen prominenten Unterstützer an ihrer Seite weiß. Dabei soll es das neue Rechnungsformat künftig erlauben, Rechnungsdaten in strukturierter Weise in einer PDF-Datei zu übermitteln und diese ohne weitere Schritte auszulesen und zu verarbeiten. Ab Seite 14 beschäftigen wir uns näher mit diesem Vorhaben und werden darüber hinaus weiter beobachten, ob sich die Initiative als Zugpferd für die DMS-Branche entwickeln kann oder gar Eingang in den Olymp der Standardisierung finden wird. Bis jetzt scheint dies nämlich noch nicht der Fall zu sein, wie folgender Umstand erahnen lässt: Sucht man in Wikipedia, der nicht gerade unbekannten Internet-Enzyklopädie nach den Stichworten „Zugferd“ oder „Ferd“, werden im Moment noch keinerlei brauchbare Treffer angezeigt. < Viel Spaß beim Lesen dieser Ausgabe,
it-director · Ausgabe 9/2013
3
Inhalt 2013 > september
Aufs richtige Pferd gesetzt? Einige Unternehmen nutzen den Standard „ZUGFeRD“ bereits in Pilotprojekten, andere zögern noch.
14
40
Der Output-Spezialist will mit der Übernahme neue Märkte erschließen.
Titelthema > Dokumenten management
8 Die brandneuen Endungen
14 Aufs richtige Pferd gesetzt?
Interview mit Bernd Beiser, Geschäftsführer bei Net Names Deutschland
Mit „ZUGFeRD“ soll sich zukünftig ein neuer Rechnungsstandard etablieren. Einige Unternehmen sind bereits mit Pilotprojekten auf den Zug aufgesprungen. Andere zögern noch, auf jenes Pferd zu setzen.
10 Die Cloud rechtssicher nutzen Große Datenmengen werden zu nehmend in der Cloud gespeichert und bearbeitet. Dabei ist die Sicherheit umfassend zu gewährleisten.
12 Die SEPA-Hausaufgaben machen
Im Juni drehte sich auf dem IBM Finance Day alles um aktuelle Trends in der Finanzbranche und die Vorbereitungen zur SEPAUmstellung.
4
Störungen innerhalb der IT vermeiden.
22
Aktuelles > Unternehmen
6 Lexmark will Saperion schlucken
Daten immer am Start: Mit dem richtigen Konzept lassen sich
it-director · Ausgabe 9/2013
20
Vermeidung von Medienbrüchen
Interview mit Carsten Heiermann, Geschäftsführer von Luratech Europe
30 Farbe bekennen Motor für den Erfolg der DAWGruppe sind Innovationskraft sowie eine hohe Kundenzufriedenheit.
Interview mit Dieter Woeste, Geschäftsführer beim Systemhaus Alos
32 Altlasten bereinigen Durch den Einsatz standardisierter elektronischer Dokumenten- Management-Systeme können Pharma-Unternehmen viele Kosten einsparen.
34
Die Dokumentenflut unter Kontrolle
Für den unterbrechungsfreien Betrieb im Unternehmen vertraut Delicom, die IT-Tochter von DPD, auf eine Dokumenten-ManagementLösung.
38 Alles oder nichts? Wann lohnt sich das Auslagern der Dokumentenlogistik? Eine Betrachtung zu Nutzen und Wesen eines alten, neuen Phänomens soll Klärung bringen.
september < 2013
Alles absolut rechtssicher? IT-Verantwortliche sollten bei der Nutzung
Minimalinvasive Standardisierung: Arzneimittelspezialist Dr.
54
62
von UC und Social Media Vorsicht walten lassen.
Willmar Schwabe setzt auf das neue SAP-ERP-Hauptbuch.
Infrastruktur > Hochverfügbarkeit
Organisation > Unified Communications
Praxis > Finanzsoftware
40 Daten immer am Start
54 Alles absolut rechtssicher?
62 Minimalinvasive
Systemfehler, Naturkatastrophen oder menschliches Versagen führen zu ungeplanten Serverausfällen. Doch mit dem richtigen Konzept lassen sich Schwachstellen erkennen und Störungen vermeiden.
IT-Verantwortliche sollten bei der Nutzung von UC und Social Media Vorsicht walten lassen.
Standardisierung
Der Arzneimittelkonzern Dr. Willmar Schwabe stellt sein Geschäft international auf.
Anzeige
46 Ausfallsicher walzen
Strategie > IT-Dienstleistungen
Alunorf setzt für die Steuerung und Kontrolle der beiden Tief- und Stoßofensysteme fehlertolerante Server ein.
Auf der Höhe der Entwicklungen
48
Metrocluster – eine Rechen zentrumssicherung
Um IT-Systeme auch unter extremen Umständen einsatzfähig zu halten, setzen Unternehmen auf Metrocluster.
Software für Versorger und Industrie www.psi.de
58 Botschaften sichtbar machen
IT Director Inselanzeige 55x40 mm.indd 1
50 Baustelleninformationen abgesichert
Die Firmengruppe Max Bögl hat hohe Sicherheitsanforderungen an ihre zentralisierte IT-Infrastruktur.
26.01.2012 13:34:06
Damit die Kunden ihre Werbe botschaften erfolgreich präsentieren können, muss die Ströer-Gruppe mit ihren über 70 Niederlassungen perfekt kommunizieren.
66
Interview mit Hagen Rickmann, Geschäftsführer und Vertriebschef von T-Systems
Standards 3 Vorwort: Sinn oder Unsinn? 36 Buchseite zum Thema Dokumenten
management
70 Veranstaltungen: Termine 74 Letzte Seite: Vorschau und Impressum
it-director · Ausgabe 9/2013
5
aktuelles aktuelles > unternehmen
Opentext übernimmt Cordys > Vergangenen Monat hat Opentext, ein Spezialist für Enterprise Information Management, den Business-Process-Management-Anbieter Cordys übernommen. Durch den Zukauf sollen Opentext-Kunden künftig von Enterprise Information Management (EIM) und Geschäftsprozessmanagement (BPM) aus einer Hand profitieren. Zu den gemeinsamen Kunden der beiden Anbieter gehören Firmen wie Siemens, Mercer, Pacific Blue Cross oder Tata Steel. Die Übernahme ist bereits abgeschlossen, der Kaufpreis lag bei ungefähr 33 Mio. US-Dollar. Durch die Cordys-Plattform will der kanadische EIM-Anbieter vor allem im Bereich cloud-basierter BPM- und PaaS-Technologien (Platform as a Service) eine führende Rolle spielen. Die Cordys-Lösung Business Operations Platform, kurz BOP, wurde speziell für die Cloud konzipiert und enthält Funktionalitäten zur Cloud-Orchestrierung im Rahmen einer mandantenfähigen Architektur auf SOA-Basis. Dadurch sollen Opentext-Kunden die Wahlmöglichkeit zwischen Implementierungen auf eigener Infrastruktur (on premise), in der Cloud oder einem hybriden Modell erhalten. < Im Internet: www.opentext.de
IBM befördert Software-Chef > Im August wurde Ivo Körner vom Aufsichtsrat zum Geschäftsführer „Vertrieb Branchenkunden“ der IBM Deutschland bestellt. Er folgt damit auf Joachim Heel, der nach zwei Jahren im Amt nun auf den Posten eines Vice President IBM Midwest Enterprise in die USA versetzt worden ist. Bereits seit 2010 war Körner Mitglied der erweiterten Geschäftsführung von Big Blue in Deutschland. Körner, der seit Oktober 2001 für den Anbieter tätig ist und zuletzt Vice President Software Group war, leitet nun den Bereich Vertrieb Branchenkunden in Deutschland, Ös-
terreich und der Schweiz. Seine Aufgabe als Software-Chef wird von Patrick Bauer übernommen. < Im Internet: www.ibm.de
Der neue IBM-Geschäftsführer Ivo Körner war zuletzt in verschiedenen Managementpositionen innerhalb der Software Group tätig.
Lexmark will Saperion schlucken > Kürzlich gab Lexmark die Unterzeichnung des Vertrags zur Übernahme der deutschen Saperion AG, ein Anbieter für Enterprise Content Management (ECM), für ca. 72 Mio. US-Dollar bekannt. Nach Abschluss der Transaktion soll Saperion an die LexmarkTochter Perceptive Software berichten. Der Zukauf „belegt die konsequente Umsetzung der strategischen Kapitaleinsatzplanung von Lexmark“, heißt es bei den US-
Paul Rooke, Chairman und Chief Executive Officer bei Lexmark
Amerikanern. Der Abschluss der geplanten Übernahme unterliegt u.a. der Zustimmung deutscher Behörden und wird noch im dritten Quartal 2013 erwartet. Paul Rooke, Chairman und CEO bei Lexmark, kommentiert: „Saperion wird damit die jüngste Übernahme im Softwarebereich, mit der wir unseren Wandel von einem weltweit führenden Unternehmen im Bereich Imaging- und OutputTechnologie zum Anbieter von End-to-End-Lösungen für Firmen forcieren.” Auf der anderen Seite hofft Herbert Lörch, CEO von Saperion, dass sich insbesondere durch die Zusammenarbeit mit Perceptive neue Märkte öffnen: „Dadurch können wir unsere Lösungen und unseren Support in Regionen anbieten, in denen wir bisher nicht vertreten waren“, so Lörch. < Im Internet: www.lexmark.de
6
it-director · Ausgabe 9/2013
unternehmen < aktuelles
Q S C ®- t e n g o : ARBEITEN SIE DOCH, WO SIE WOLLEN!
Den Arbeitsplatz nach Hause auf den Balkon verlagern? Im Handumdrehen. Noch schnell in die Filiale? Nur eine Videokonferenz entfernt. Schon auf dem Heimweg mit der Zusammenarbeit beginnen? Der Zug wird zum Büro. Mit den Cloud Services von QSC®-tengo ist Ihr Arbeitsplatz immer dort, wo Sie gerade sind. Ihre Programme, Dokumente, Nachrichten und Kontakte sind online und synchron mit dabei. In virtuellen Projekträumen arbeiten Sie mit Kollegen standortübergreifend zusammen. Und ist doch einmal eine Dienstreise notwendig, bleiben Sie über Ihre Büronummer erreichbar. Offline? Nur, wenn Sie Feierabend machen! QSC®-tengo: A L L E S I N M E I N E R H A N D
Info-Line: 0800 34 68 266 http://www.qsc.de/go/428
it-director · Ausgabe 9/2013
7
Interview aktuelles > unternehmen
Die brandneuen Endungen Interview mit Bernd Beiser, Geschäftsführer bei Net Names Deutschland, über Chancen und Risiken der neuen generischen Top-Level-Domains (gTLD) sowie den dadurch entstehenden Handlungsbedarf für Unternehmen IT-DIRECTOR: Herr Beiser, noch dieses Jahr für die Vergabe der neuen Top-Level-Dowird die Internet Corporation for Assigned mains im vergangenen Jahr zur ersten BeNames and Numbers, kurz ICANN, damit werbungsrunde aufgerufen. Am 17. Debeginnen, sogenannte generische Topzember 2012 fand die anschließede AusLevel-Domains zu vergeben. Was genau losung statt, in deren Rahmen die Reihensteckt hinter diesem Vorgehen? folge der Zulassung festgelegt wurde. B. Beiser: Zwischen Januar und April 2012 Experten gehen aktuell davon aus, dass in wurden bei der ICANN von Unternehden kommenden zwei Jahren rund 1.250 men über 1.900 Anträge für die neuen neue generische Top-Level-Domains Top-Level-Domains eingereicht. In Kürze vergeben werden – das sind etwa 20 neue beginnt die Organisation nun damit, Bernd Beiser, Geschäfts Domain-Endungen pro Woche. Auf dem führer bei Net Names diese Domains freizuschalten. ersten Platz befindet sich beispielsweise Deutschland Während der 60-tägigen sogenannten die Domain „.katholisch“ auf Mandarin, „Sunrise-Phasen“ werden dabei zunächst nur die auf eine Bewerbung des Vatikans zurückzuführen Domains von den Firmen freigeschaltet, die ihre Mar- ist. ken im „Trademark Clearinghouse“ (Definition siehe IT-DIRECTOR: Warum ist das Verfahren so wichtig? Kasten) registriert haben. Im Anschluss daran werden B. Beiser: In erster Linie wollen Unternehmen ihre viele der neuen Top-Level-Domains für jedermann an- Marke(n) gegenüber missbräuchlichen Domain-Regis geboten. So kann man davon ausgehen, dass beispiels- trierungen durch Dritte geschützt wissen. Ein erster weise bald das Suffix .shop freigeschaltet wird. Vor al- Schritt ist daher eine „defensive“ Registrierung im Zulem E-Commerce-Anbieter werden dabei eine Domain sammenhang mit dem Firmen- und/oder Markennamen: So haben die Verantwortmit dem eigenen Firmennamen l ichen d ie Mög l ich keit , und dem Suffix .shop nicht unDomain-Namen mit ihren Marbedingt in fremden Händen ken zu sichern, bevor diese dem wissen wollen. IT-DIRECTOR: Wodurch zeichnen sich breiten Publikum zum Kauf zur die neuen Domains aus? Verfügung stehen. Das Trademark Clearinghouse wurde von der B. Beiser: Bisher gab es drei verAllerdings gilt: Wer nicht frühInternet Corporation for Assigned Names and schiedene Arten von Endungen: zeitig über seine Domain-StraNumbers (ICANN) als Kontrollorgan ins Leben generische Top-Level-Domains tegie nachgedacht und sich für gerufen. Es soll Firmen die Möglichkeit geben, ihre Markennamen als Top-Level-Domains zu wie .com oder .net, länderspezieine neue Top-Level-Domain registrieren sowie in einer digitalen Datenbank fische wie .de oder .uk sowie beworben hat, wird noch eine zu speichern. Diese Datenbank wird dann wähgesponserte wie .mobil oder ganze Weile warten müssen. rend des obligatorischen Validierungsprozesses von jeder neuen Top-Level-Domain aufge.jobs – insgesamt sind es aktuell Denn aktuell gehen Branchenrufen. Die Idee dahinter ist, dass Markeninhaetwa 300 Stück. Gemäß dem kenner davon aus, dass ein ber ihre Brands in einem Organ registrieren ICANN-Programm von Anfang zweites Bewerbungsverfahren müssen, um neue Top-Level-Domains gegen 2012 werden künftig nun ernicht vor 2015 eingeläutet wird. Markenverletzung zu schützen. < heblich mehr Domain-Namen Dadurch könnten WettbeIm Internet: trademarkclearinghouse.se/de zur Verfügung stehen. Wie erwerbsnachteile gegenüber weitwähnt hatte die Organisation sichtigeren Konkurrenten ent-
Das Trademark Clearinghouse
8
it-director · Ausgabe 9/2013
Unternehmen
< Aktuelles
stehen, die bereits im ersten Bewerbungslauf eine neue Domain beantragt haben. IT-DIRECTOR: Welche Rolle spielt das Trademark Clearinghouse und welche Aufgaben übernimmt es? B. Beiser: Das Trademark Clearinghouse übernimmt eine zentrale Aufgabe: Unternehmen können sich dort registrieren und ihre Marken- und Unternehmensnamen somit vor Missbrauch schützen. Schutz können sie einerseits über die reine Beobachtung erreichen: ‚Welche Anbieter zeigen Interesse an den Namen im Zusammenhang mit den neuen TLDs?’. In diesem Falle können die Verantwortlichen reaktiv vorgehen. Andererseits übernimmt das Trademark Clearinghouse die Authentifizierung und Validierung beantragter TLDs im Zusammenhang mit Marken- und Unternehmensnamen. Darüber hinaus soll die Institution als Vermittler zwischen den Parteien dienen. IT-DIRECTOR: Welche Chancen ergeben sich für Unternehmen durch die neuen Domains? B. Beiser: Unternehmen können diese gezielt für ihre Markenstrategie nutzen und ihr Markenprofil schärfen – indem sie firmenoder sektorspezifische Endungen entwickeln. Zudem ermög lichen die neuen Domains mehr Kontrolle und Sicherheit bei der Onlineverwendung der Marke oder könnten vielleicht sogar als Auslöser bzw. Chance dienen, eine Marke umzubenennen. IT-DIRECTOR: Was sollten Unternehmen, die die erste Bewerbungs phase verpasst haben, schnellstmöglich tun? B. Beiser: Sie sollten sich umgehend und umfangreich bei der ICANN oder einem Registrar ihres Vertrauens informieren, um ein Bewusstsein für die Chancen sowie Risiken der neuen Domains zu entwickeln. Zudem sollten sie sich klar darüber werden, ob sie ihren Markenschutz erweitern oder die Möglichkeiten ausschöpfen wollen, die durch die neuen Domains entstehen. In diese Überlegung sollte auch das Trademark Clearinghouse integriert werden. Bei alldem müssen die Verantwort lichen die Kosten im Blick behalten: Die neuen Top-Level- Domains können sehr kostspielig werden, nicht zuletzt auch aufgrund der immensen Anzahl. Letztlich bedeuten sie jedoch nichts anderes, als dass Firmen ihre Domain-Namen- wie Markenstrategie gründlich überprüfen und gegebenenfalls auch überarbeiten müssen. <
WURDEN SIE GEHACKT? MANCHE WISSEN’S, MANCHE NICHT! UNSERE KUNDEN SIND (SICH) SICHER !
„Experten gehen davon aus, dass ein zweites Bewerbungsverfahren für Top- Level-Domains nicht vor 2015 eingeläutet wird. Wer sich um eine Domain bewerben möchte, muss also noch warten.“
TRITON STOPS MORE THREATS. WE CAN PROVE IT.
IS
it-director · Ausgabe 9/2013
9
www.websense.de
aktuelles aktuelles > unternehmen
Die Cloud rechtssicher nutzen Große Datenmengen werden zunehmend in der Cloud gespeichert und bearbeitet. Dabei ist die Sicherheit umfassend zu gewährleisten, u. a. durch Compliance und Zugriffsrechte. > Cloud Computing und Big Data zählen derzeit zu den Trendthemen in der IT. Den dadurch entstehenden Möglichkeiten für flexible Skalierbarkeit und umfassende Informationen in Echtzeit stehen jedoch einige Herausforderungen gegenüber. Diese betreffen vor allem die Sicherheit der Daten. Dabei herrscht ein weit verbreitetes Vorurteil, dass Private Clouds im eigenen Rechenzentrum automatisch ein höheres Sicherheitsniveau aufweisen als Public oder Hybrid-Cloud-Lösungen. Dem ist jedoch nicht unbedingt so, denn interne Mitarbeiter stellen ein oft unterschätztes Risiko dar. Nicht geklärte oder nachlässig kontrollierte Zugriffsrechte erleichtern dabei die ungewollte oder auch absichtliche Verbreitung sensibler Informationen.
Strenge Zugriffsrechte Jede cloud-basierte Lösung besitzt ein System zur Festlegung der Benutzerrechte. Doch wer entscheidet, welcher Mitarbeiter auf welche Informationen und Anwendungen zugreifen darf? Und auf welcher Grundlage erfolgt dies? Klar ist: Jedes Unternehmen, das Cloud-Services nutzt, benötigt umfassende Richtlinien zur Definition der Benutzerrechte. Hier sind verschiedene Führungsebenen wie Geschäftsführer, IT-Leiter, Abteilungsleiter und sogar einzelne Mitarbeiter zu involvieren, die aus der Praxis berichten, was sie für ihre tägliche Arbeit benötigen. Anschließend werden die Richtlinien festgelegt, umgesetzt sowie streng kontrolliert. Doch was geschieht, wenn ein Mitarbeiter die Abteilung wechselt, in der Hierar-
10
it-director · Ausgabe 9/2013
chie aufsteigt oder gar das Unternehmen verlässt? Hier erfolgt die Anpassung der Benutzerrechte häufig mit erheblicher Zeitverzögerung. In diesem Zwischenraum besitzt der Mitarbeiter dann weiterhin Zugriffsrechte, die er nicht mehr benötigt oder gar nicht mehr haben dürfte. Dies kann zu erheblichen Problemen führen, z. B. wenn ein ehemaliger Mitarbeiter der Entwicklungsabteilung weiterhin auf aktuelle Daten zugreifen kann, aber nun bei der Konkurrenz tätig ist. Daher müssen sämtliche Benutzerrechte sofort geändert wer-
unternehmen < aktuelles
Checkliste Cloud-Anbieter Bei der Auswahl des Cloud-Providers sollten folgende Fragen geklärt sein: o liegen die Daten, sind sie in Rechenzentren in DeutschW land gespeichert? Wie werden die Benutzer autorisiert? Wird die Autorisierung in Echtzeit mit den aktuellen Benutzerrechten abgeglichen? Gibt es eine strenge Authentisierung mit mindestens zwei Faktoren? Werden die Daten beim Cloud-Provider automatisch verschlüsselt? Folgt der Cloud-Anbieter den üblichen Standards? Besitzt er die nötigen Zertifizierungen, vor allem ISO 27001 und ISAE 3402? Quelle: Mindbreeze
den. Am besten erfolgt dies in einem zentralen System, das die entsprechenden Änderungen automatisch auf sämtliche Systeme und Anwendungen im Unternehmen und in der Cloud überträgt. Die Autorisierung, also die Freigabe von Benutzerrechten für einen Mitarbeiter, ist aber nur eine Seite der Medaille. Die andere ist die Authentisierung, also der Nachweis, dass der Nutzer auch diejenige Person ist, für die er sich ausgibt. Aktuelle Systeme basieren hierfür auf einer Zwei-Faktor-Authentifizierung. Das bedeutet, dass sich der Mitarbeiter auf zwei verschiedenen Wegen anmelden muss, bevor er Zugang erhält. Dies kann neben der herkömmlichen Nutzername/ Passwort-Eingabe z. B. eine Mobile PIN sein, eine Smartcard, der neue Personalausweis, ein Token oder auch ein biometrischer Nachweis wie der Fingerabdruck.
Einsatz von Verschlüsselung Beim Aufrufen von Informationen steht als weitere Möglichkeit ein persönlicher „Entschlüsselungs-Key“ zur Verfügung. Dieser macht zuvor verschlüsselte Daten sichtbar. Überhaupt empfiehlt sich ein umfangreicher Einsatz von Verschlüsselungstechnologien in der Cloud. Dann können beispielsweise externe Mitarbeiter beim Cloud-Provider gar nicht auf die gespeicherten Kundendaten zugreifen. Unternehmen sollten ihren Provider auch gezielt fragen, wo die Daten gespeichert werden. Denn in der Europäischen Union, vor allem in Deutschland, gelten
strenge Datenschutzgesetze, die selbst dann ein Auslesen sensibler Daten verbieten, wenn sie offen liegen. Außerhalb der Europäischen Union ist dies nicht immer der Fall. Einige Länder wie z. B. die USA lesen oft mehr oder weniger offiziell sämtliche gespeicherten und kommunizierten Daten (nicht nur) in ihrem Hoheitsgebiet aus – wie der jüngste NSA-Skandal zutage brachte. Aus diesem Grund sollten deutsche Unternehmen darauf achten, dass der Cloud-Provider die Daten im eigenen Land speichert. Nur dann unterliegen die Daten der deutschen Gesetzgebung und sind vor Industriespionage oder dem Auslesen persönlicher Daten weitgehend geschützt, vorausgesetzt, es werden die empfohlenen Sicherheitsmaßnahmen umgesetzt. Dabei ist auch zu berücksichtigen, dass einige CloudDienstleister Services von Drittanbietern nutzen. Hier ist klar nachzuweisen, wie der Zugang zur Infrastruktur geregelt ist, welche Kontrollmechanismen für die Drittanbieter existieren und wie Service Levels eingehalten werden.
Rechtskonform arbeiten In Unternehmen gelten zudem strenge ComplianceRichtlinien. Während viele IT-Abteilungen hier oft gefordert sind, gehört dies für externe Dienstleister zur Routine. Denn nur wer entsprechende Zertifizierungen vorweisen kann, kommt für die Verwaltung und Aufbewahrung geschäftskritischer Informationen infrage. Doch welche Zertifizierungen sind bei CloudProvidern relevant? Die wichtigsten sind ISO 27001 sowie ISAE 3402 Type 2. Die ISO-Norm 27001 ist ein weltweit anerkannter Standard für die Bewertung der Sicherheit von IT-Umgebungen und verlangt ein vollständiges Informationssicherheitsmanagement für alle IT- und Geschäftsprozesse sowie sensitiven Informationen. Der International Standard on Assurance En gagements (ISAE) prüft die Wirksamkeit des internen Kontrollsystems (IKS) von Dienstleistern. ISAE 3402 zielt darauf ab, das interne Kontrollsystem umfassend zu testen und hinsichtlich seiner Effektivität im Detail zu bewerten. So fordern zuverlässige Cloud-Anbieter von neuen Mitarbeitern etwa die Vorlage eines Strafregisterauszugs sowie die Unterzeichnung einer Datenschutzerklärung und einer Informationssicherheitsvereinbarung. Zudem sollte jede Aktivität im Cloud-RZ geplant, angekündigt, im Vier-Augen-Prinzip genehmigt, dokumentiert und nachvollziehbar sein, um vollständige Transparenz zu gewährleisten. < Daniel Fallmann
it-director · Ausgabe 9/2013
11
aktuelles aktuelles > unternehmen
Die SEPA-Hausaufgaben machen Im Juni drehte sich auf dem IBM Finance Day in Bergisch Gladbach alles um aktuelle Trends in der Finanzbranche, die Vorbereitungen zur SEPA-Umstellung sowie eine verbesserte Kundenansprache im Banken- und Versicherungswesen. > Der deutsche Markt für Finanz-IT nimmt eine Sonderstellung ein. Nirgendwo sonst erbringen allein drei Rechenzentrumszentralen – nämlich die von Fiducia, Finanz Informatik sowie GAD – dreiviertel aller Finanz-IT-Services. Dabei sieht sich die Branche ständig vor neue Herausforderungen gestellt. Derzeit treiben Themen wie die Flut an Regulierungen im Rahmen von Basel III sowie die niedrige Zinssituation, die die Margen deutlich in den Keller drückt, die Verantwort-
Im Schloß Bensberg fand der diesjährige Finance Day von IBM statt. lichen um. Nicht zuletzt schwebt der 1. Februar 2014, der Stichtag für die Umstellung auf das SEPA-Verfahren, wie ein Damoklesschwert über den Verantwortlichen. Aufgrund dieser Szenarien ergibt sich für die nächsten fünf Jahre eine konkrete Aufgabenliste für die Banken-CIOs: Gefordert ist die Schaffung einer stärkeren Kundenbindung inklusive einer effektiveren Vertriebsunterstützung. Neben einer Optimierung der Risikovorsorge sollte man vor allem unprofitable Finanzservices über Bord werfen und eine Neuausrichtung des Geschäftsmodells vorantreiben. In seinem Vortrag brachte dies Erich Nässen von IBM Global Business Services wie folgt auf den Punkt: „Die Finanzinstitute müssen denken wie ein Einzelhändler und agieren wie ein Massenfertiger.“ Im Rahmen des Finanztages setzten sich gleich zwei Vorträge mit der SEPA-Umstellung auseinander. Hinsichtlich SEPA an alles gedacht? Dies fragten beispielsweise Thilo Jordan und Sebastian
12
it-director · Ausgabe 9/2013
Welter von IBM die anwesenden Teilnehmer und gaben anschließend nützliche Tipps, wie man Versäumtes vor dem Stichtag noch realisieren könnte. Eine Möglichkeit sei hierfür die von Big Blue angebotenen „SEPA Testing Services“. Inbegriffen sind dabei Beratung, Anwendungsentwicklung und -betreuung sowie die Bereitstellung von Standardlösungen. Für seinen Vortrag „Lessons Learned mit SEPA“ hatte sich Armin Gerhardt, Vorstandsvorsitzender der Efis AG, eine Vertreterin der Hamburger Sparkasse (Haspa) an die Seite geholt, die die aktuellen SEPAVorbereitungen des Finanzinstituts schilderte. Die Hansestädter setzen sich intensiv mit der Umstellung auseinander und arbeiten bereits daran, sämtliche Mitarbeitergehälter entsprechend den SEPA-Anforderungen auszahlen zu können. Zudem wurde angemerkt, was es bei einer Umstellung zu beachten gilt: Demnach müssen 99 Prozent aller Lastschriften auf SEPA migriert und damit auch in der Mandatsverwaltung berücksichtigt werden. Die eingesetzte Finanzbuchhaltung muss zudem dafür sorgen, dass in der „Verwendungszeile“ nur noch maximal 140 Zeichen Platz finden; ebenso sind dort Sonderzeichen nicht mehr zulässig. Recht schwierig, wenn man bedenkt, wie oft allein das „&“ in Deutschland benutzt wird. Im weiteren Verlauf der Veranstaltung setzte sich Wolfgang Schmidt, Geschäftsführer der Kölner X-Integrate, zum einen mit einer Automatisierung des Portfoliomanagements von Finanzspezialisten auseinander, zum anderen beleuchtete er den „Smarter Commerce der Zukunft“. Nicht zuletzt müssen die Verantwortlichen auch die zunehmende Nutzung von mobilen Endgeräten der Endkunden berücksichtigen. Hier berichtete Rainer Anglett, Geschäftsführer von Aformatik Training & Consulting, über konkrete Einsatzszenarien mobiler Apps im Kundenbeziehungsmanagement. Dabei sieht Anglett insbesondere noch bei der Etablierung von mobilen Loyality-Programmen sowie Bezahlsystemen viel Potential für die Zukunft. < IS
Kyocera < advertorial
Europäische Einheit Europaweit kosteneffiziente und einheitliche Strukturen schaffen: Dies war das Ziel, das sich die Knorr-Bremse AG bei der Optimierung ihrer Druck- und Kopierprozesse gesetzt hatte. Gemeinsam mit KYOCERA Document Solutions und CANCOM IT realisierte man dazu ein umfassendes Optimierungskonzept.
Die Knorr-Bremse AG gehört mit weltweit mehr als 19.000 Mitarbeitern und einem Jahresumsatz von 4,3 Milliarden Euro zu den international führenden Herstellern von Bremssystemen und Nutzfahrzeugen. Mit der Weiterentwicklung und Expansion des Unternehmens wuchsen auch die Anforderungen an die Druck- und Kopierprozesse, wie Dr. Tobias Buck, Leiter Zentralbereich Einkauf bei der Knorr-Bremse AG, erklärt: „Im Einkauf sucht man immer nach Kostenoptimierungspotenzialen. Wir haben daher in einem ersten Schritt und in Zusammenarbeit mit unserer IT-Abteilung eine Analyse an 20 Standorten in neun Ländern durchgeführt. Ziel war es, Transparenz zu schaffen bzw. einen Überblick über unsere bestehende Systeminfrastruktur zu erhalten.“ Da die Drucker- und Kopiererflotte aus verschiedenen Modellen unterschiedlicher Hersteller bestand, war eine zentralisierte Überwachung und Steuerung nicht möglich. Dies resultierte in hohen Druck- und Wartungskosten. Es lagen zudem keine standardisierten SLA mit entsprechenden Prozessen vor, was in längeren Ausfallzeiten resultierte. Ein weiteres Problem war die Dokumentensicherheit. Um diese Herausforderungen zu lösen bzw. die Drucker- und Kopierflotte zu modernisieren, vertraute das Unternehmen auf die Expertise von KYOCERA Document Solutions und CANCOM IT. Gemeinsam erarbeitete man eine Optimierungsstrategie, in deren Rahmen zunächst die bestehende Hardware durch 900 Multifunktionssysteme von KYOCERA ausgetauscht wurde – dies entspricht einer Reduktion des Bestands um 80 Prozent. Um ferner eine zentrale Steuerung und Überwachung aller Systeme zu gewährleisten, wurde neben der Hardware auch
der KYOCERA Fleetmanager installiert. Per Mausklick ist es damit vom Münchener Hauptsitz aus möglich, den aktuellen Status aller Maschinen zu erhalten. Überdies wurde durch die Etablierung der Print-und-Follow-Lösung KYOcontrol die Sicherheit von Ausdrucken erhöht. Auch das Servicekonzept wurde optimiert: Anstelle von 13 SLAs, die es vorher bei Knorr-Bremse gab, bestehen nun lediglich zwei, was insbesondere den Einkauf freut, wie Dr. Tobias Buck erklärt: „Die Wartungsaufwendungen wurden mithilfe standardisierter Service-Level-Vereinbarungen deutlich gesenkt. So wird dieselbe hohe Servicequalität für alle europäischen Niederlassungen gewährleistet. Eine zentrale Anlaufstelle für Wartung, Reparatur und die Beschaffung von Verbrauchsmaterial senkt überdies die Gesamtbetriebskosten unserer Flotte.“ Aufgrund des großen Erfolgs möchte man die Zusammenarbeit mit KYOCERA weiter ausbauen und auf Russland und Schweden ausdehnen. Entsprechend zufrieden zeigt sich Lothar Kittel, Director Global IT Business Service bei der Knorr-Bremse AG, mit dem Ergebnis des Projekts: „Das war einer der besten Rollouts in der Geschichte unseres Unternehmens. Die Zusammenarbeit aller Beteiligten empfinde ich als äußerst positiv.“
Weitere Informationen: KYOCERA Document Solutions Deutschland GmbH www.kyoceradocumentsolutions.de KYOCERA Document Solutions Inc. www.kyoceradocumentsolutions.com it-director · Ausgabe 9/2013
13