EN
DE
Herr Ockel, Sie beraten große Unternehmen und Organisationen in Sachen IT-Compliance. Was sehen Sie derzeit als die größte Herausforderung für Ihre Kunden?
Die It-Compliance ist in den letzten 20 Jahren sehr viel komplexer geworden. Ein ständiger Strom neuer nationaler, europäischer und globaler Vorschriften trifft die Verantwortlichen und diese kaskadieren die notwendigen Vorkehrungen durch die gesamte Organisation.
Fehlen deutschen Organisationen grundsätzlich die digitalen Kompetenzen dazu?
Die Kompetenzen sind ebenso präsent wie in anderen Hotspots wie dem Silicon Valley, der Harvard/MIT-Region, den chinesischen IT-Clustern oder den kleineren, aber nichtsdestotrotz ebenfalls leistungsfähigen israelischen Unternehmen. Mehrere deutsche Akademien bringen ständig hervorragende IT-Spezialisten und Produkte auf den Markt.
Wie kommt es dann, dass IT-Projekte so oft scheitern? Sind deutsche Konzerne nicht fähig zu Software?
Im Gegenteil, sie sind dazu ebenso in der Lage wie die großen Organisationen in anderen (meist westlichen) Ländern. Aber gerade bei Software hat die Dynamik zugenommen, etwa durch Automatisierungen (auch von Büro- und Verwaltungsprozessen) und Vernetzung. Was in Deutschland auffallend fehlt, ist eine hochqualifizierte Ausbildung in komplexer Softwareentwicklung. Wir brauchen Coding-Akademien, die sich an den amerikanischen oder chinesischen Vorbildern orientieren. Die Entwicklung einer Unternehmens-IT erfordert teilweise deutlich andere Kompetenzen als die Programmierung von Smartphone-Apps für Endkunden.
Was ist das Problem mit solchen IT-Systemen?
IT-Systeme sind breitbandig vernetzt und tauschen hochfrequente Daten von unterschiedlicher Sensibilität aus. Eine Klassifizierung dieser Daten, der Architekturen und der Kommunikationswege existiert oft nicht. Somit kann nicht differenziert auf mögliche Vorfälle reagiert werden. Zudem wird die Sicherheit in hochkomplexen Systemen letztlich nur statistisch existieren. Ein Beispiel: Ein Verkehrsflugzeug hat für automatische Schlechtwetterlandungen, behördlich vorgeschrieben, drei unabhängige Alitmeter. Fällt einer davon aus, verringert sich zwar der Betriebsbereich, aber es entstehen keine größeren Schäden.
Sind also Sicherheit und Stabilität für die Unternehmen wichtiger als schnelle Innovationen?
Die grundlegenden Transaktionen müssen zuverlässig funktionieren. Es gilt das Sprichwort "Never touch a running system". Innovationen müssen aber trotzdem entwickelt werden. So kommt man oft auf die Idee von differenzierten Infrastrukturen und Prozessen, was als "IT der zwei Geschwindigkeiten" bezeichnet wird.
Nun, die Sicherheit eines Siemens und die Innovation eines Startups? Wie passt das in der IT zusammen?
Wir wären zu langsam, wir würden immer auf die Großen warten. Es braucht die innovativen Pioniere, um schnell zu sein. Die Marktführer reagieren oft darauf, indem sie diese Pioniere aufkaufen und als Katalysatoren einbinden. So gelangen Innovationen unter den stabilen Schutzschild großer Unternehmen, die auch das Kapital für die breite Marktabdeckung bereitstellen können.
Also am besten warten, bis ein Siemens eine Innovation im Programm hat?
Das muss man individuell entscheiden und die Risiken gegen die Chancen abwägen. Es ist nicht so, dass alle von den Großen versprochenen Innovationen wirklich funktionieren. Das Marketing verspricht teilweise mehr, als die Technik halten kann, siehe die Medienberichterstattung über IBM Watson in letzter Zeit. Auf der anderen Seite haben die Großen meist eine geübte Validierung ihrer Produkte. Das wiederum macht sie so schwerfällig. Junge Unternehmen kompensieren das mit einem schnellen Support. Als Verantwortlicher spricht man hier meist direkt mit dem CEO oder CTO, was eine anspruchsvolle und motivierende Zusammenarbeit ist. In der agilen Entwicklung ist es bereits etabliert, dass Produkte stetig mit den Kunden weiterentwickelt werden.
Klingt, als seien das Bedürfnis nach Sicherheit und der Drang nach Innovationen nicht vereinbar, wenn es um die eigentlichen Kernprozesse geht? Aber liegt hier nicht das größte Potenzial für Innovationen?
Ja, das ist ein Problem. Wir brauchen die Schnelligkeit und Flexibilität der kleineren Unternehmen, also der Startups, die Spezialisten ebenso wie die Inkubatoren und die Spezialabteilungen der großen Konzerne. Außerdem gedeihen an unseren Akademien hochinnovative Ideen und Technologien, teilweise im Verborgenen, die nur darauf warten, durch Zusammenarbeit mit Praktikern aus Industrie und Gesellschaft eine weite Verbreitung zu finden. Ein Austausch, eine Finanzierung und Förderung an dieser Stelle, könnte weit umfassender erfolgen.
Kennen Sie das Geheimrezept, damit das funktioniert?
Nein, aber es ist auch nicht erforderlich. Die Bedürfnisse und Voraussetzungen sind viel zu unterschiedlich, als dass es so etwas geben könnte. Wichtig sind eine gute und offene Kommunikation von beiden Seiten und der Aufbau von Vertrauen. Dies kann nur durch gemeinsame Aktivitäten und Erfolge geschehen. Vielleicht ist der Konflikt zwischen großen Organisationen und jungen Unternehmen sogar überbewertet. Am Ende sind es immer Menschen bzw. Experten, die zusammenarbeiten und sich für ihre Arbeit begeistern. Firmen kooperieren dabei nur formaljuristisch. Man muss also nur die richtigen Köpfe und Charaktere zusammenbringen. Letztlich kann bei solchen strategischen Entscheidungen nur der gesunde Menschenverstand helfen.
Seit dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (GDPR) zwingend. Wie gut waren die Unternehmen hierzulande darauf vorbereitet?
Die Ausrichtung der Prozesse und Kontrollsysteme auf diese neue Verordnung beschäftigt noch viele Unternehmen und das in erheblichem Umfang. Die GDPR ist weitaus umfangreicher als die bereits existierenden Richtlinien, zum Beispiel das Bundesdatenschutzgesetz. Insbesondere die Sanktionen bei Nichteinhaltung sind je nach Dimension, Verstöße können ein Unternehmen bis zu 4 des Gesamtumsatzes kosten. Das ist mehr als das Jahresergebnis vieler Konzerne.
Was verbirgt sich hinter dem Konzept des "eingebauten Datenschutzes" und wie kann ich dies bei neuen Projekten berücksichtigen?
Die Idee ist einfach. Bei der Entwicklung eines Produktes wird sichergestellt, dass über das Produkt oder System später keine personenbezogenen Daten parallel erhoben oder verarbeitet werden können.
Was ist der Unterschied zwischen Datenschutz durch Technik und Datenschutz durch Voreinstellung?
Wenn Privacy by Design zu Komforteinbußen oder einer verminderten Nutzererfahrung führt und daher flexible Alternativen im Datenmanagement geschaffen werden sollen, ist die Standardeinstellung immer die datenschonendste Option.
Wie kann in einer Produktion erreicht werden, dass Daten sicher und immun gegen unbefugten Zugriff sind und gleichzeitig produktiv genutzt werden können?
Dies ist eine Frage, die derzeit von vielen gestellt wird. Manche handeln fast paranoid restriktiv, andere völlig naiv. Es fehlt hier an einer unaufgeregten Routine. Man darf nicht vergessen, dass das Thema Daten als Produktionsfaktor und eigenständiger Wert für viele neu ist und wenn dann von Datengold und Mining die Rede ist, handeln sie vielleicht irrational. Eine professionelle Routine wird ihren Weg dorthin finden. Man muss bedenken, dass digitale Daten sehr leicht kopiert werden. Das ist auch ihr großer Vorteil.
Ist Cloud Computing also eine gute Idee für Produktionsdaten?
Die Verwendung von Wolken wird aus vielen Gründen zunehmen. Erstens, weil es gerade in Mode ist. Die Vorstände großer Unternehmen wollen signalisieren, dass sie im Trend liegen oder zumindest nicht ins Hintertreffen geraten. Solche Signale konkretisieren sich dann über verschiedene Hierarchieebenen zu Projekten von respektabler Größe. Zum anderen will man ein Gleichgewicht zwischen den eigenen Ressourcen (wie Rechenzentren und -banken/Speicher) und einer variablen kostenrisikomindernden Fremdvergabe schaffen. Produktionsdaten fallen jedoch naturgemäß in großen Mengen an und müssen mit hohen Echtzeit-Anforderungen verarbeitet werden. Hier stellt sich die Frage der Architektur: Cloud versus zentrale IT versus lokale IT (Edge). Die Architektur richtet sich stark nach der Art der Daten.
Gibt es einen Unterschied zwischen personenbezogenen und mechanischen Daten?
Personenbezogene Daten stellen typischerweise hohe Anforderungen an den Datenschutz, den Funktionsumfang und die Zuverlässigkeit der Verarbeitung. Maschinelle Daten müssen zeitnah verarbeitet werden, erfordern aber oft nur geringe Softwarefunktionalität. Hier beginnen jedoch auch komplexe Algorithmen ihren Weg in z.B. adaptive bzw. Machine Learning Anwendungen zu finden.
Werden Algorithmen und Digitalisierungsmaßnahmen den Menschen in der Produktion ersetzen?
Ja, dies wird geschehen. Insbesondere hochautomatisierte oder (teil-)autonome Systeme werden menschliche Berufe in erheblichem Maße verdrängen. Andererseits müssen auch diese Systeme erst entwickelt, produziert und dann ständig gewartet werden. Hierfür ist zusätzliche menschliche Arbeitskraft und Kreativität erforderlich. Wie das Ergebnis der Berufe im Durchschnitt (10 bis 20 Jahre) aussehen wird, kann niemand genau vorhersagen. Es wird nicht ohne signifikante Reorganisationsprozesse im beruflichen und gesellschaftlichen Bereich ablaufen, hart. Aber innerhalb dieses Horizontes wird der Mensch die Autorität behalten.
Der KI-Hype wird also derzeit überbewertet?
Langfristig wird es eine ganze Reihe von Auswirkungen geben, die auf dem Einsatz von KI-Systemen (Computer, aber vor allem Roboter, Fahrzeuge und mobile Maschinen) beruhen und die wir uns heute noch gar nicht vorstellen können. KI wird, wenn sie frei läuft, eine große Gefahr darstellen. Eine Regulierung ist aus meiner Sicht zwingend erforderlich.
Empfehlen Sie Ihren Kindern ein Studium der Datenwissenschaften?
Ich empfehle ihnen auch den Erwerb des Führerscheins. Der qualifizierte Umgang mit digitaler Technik stellt eine Grundfertigkeit dar. Wir können mit unseren Computern nicht nur auf einer Benutzerebene umgehen. Das Verständnis muss tiefer gehen, sonst bleiben wir unkritisch und werden von den Maschinen überrollt. Wenn wir aber in Befragungen von Jugendlichen feststellen, dass sie die medienvermittelte Kommunikation als ebenso attraktiv einschätzen wie den persönlichen Kontakt, dann sehen wir, wie subtil die Anpassung ist.
