Nehmen wir einmal an, Sie fahren allein mit dem Zug von Zuhause nach Shanghai in China. Ihre Geldbörse liegt weithin erkennbar auf ihrem Schoß, ihr Laptop (unverschlüsselt, ungesichert) neben ihnen auf dem Sitz, ihr Koffer steht unverschlossen im Gang.
Die Fahrt dauert Tage und zwischendurch werden sie müde, schlafen etwas, gehen in den Speisewagen und sehen sich ansonsten gerne die vorbeiziehende Landschaft an. Immerhin geht die Reise durch viele, sehr schöne Länder.
Über den Autor
Martin Baumhaus ist Berater für internationale Datennetze bei der nicos AG in Münster.
Frage: mit wieviel Ihrer Besitztümer glauben Sie, in Shanghai anzukommen?
Wahrscheinlich werden Sie nun mit dem Kopf schütteln. Derart unvorsichtig sind Sie natürlich nicht und Ihr wertvolles Gut behalten Sie ständig im Auge. Außerdem hat ihre IT sowohl Ihr Handy, als auch ihren Laptop selbstverständlich gut abgesichert. Wahrscheinlich würden Sie so lange Strecken ohnehin fliegen, anstatt die lange Reise im Zug anzutreten. Zeit ist Geld und knapp und das Risiko für sich, Ihren Besitz sowie Ihre Zeitpläne wäre inakzeptabel.
Bei Ihren Daten sieht es leider anders aus.
Für gewöhnlich fliegen diese nicht, sondern nehmen genau die gleiche Route wie der Zug. Sie durchqueren also Länder, in denen Sie Ihre Koffer und Wertgegenstände umklammert halten würden. Länder, in denen die Geheimdienste jedes einzelne Bit abhören – im Staats-Auftrag und egal, über welchen Weg und welche Technik diese Daten gehen.
Bekanntermaßen sitzen interessierte Ohren an praktisch allen Knotenpunkten, über die Daten verlaufen. Wenn Sie also Ihre Daten am einen Ende der Route abschicken, während Sie selbst also gleichsam im Speisewagen sitzen, sind Ihre Daten unbewacht und werden zumindest durchsucht. Was auf der anderen Seite ankommt, ist bestenfalls das Original. Im zweitbesten Fall gehen die Daten verloren oder sind offensichtlich unbrauchbar, so dass Sie die Chance haben, einen erneuten Versuch zu starten. Im schlimmsten Fall aber kommt etwas anderes drüben an, als Sie abgeschickt hatten.
Welchen Wert haben Ihre Daten?
Einige dieser Informationen dürften unternehmenskritisch sein, insbesondere, wenn sie auf ihrem Weg nicht nur verloren gehen, sondern wenn sie heimlich abgehört oder sogar manipuliert werden. Diese Informationen müssen fast um jeden Preis gesichert werden.
Andere Daten sind für Fremde wenig hilfreich, sind sie doch vielleicht zu spezifisch für Ihr Unternehmen und dem Kontext, in dem sie erzeugt, verarbeitet oder analysiert werden. Oder sie sind Allgemeingut, bzw. weder Verlust, noch Abhören oder Manipulation bringen Sie in ernste Schwierigkeiten.
Der Wert der übrigen Daten jedoch muss über ein Modell abgeschätzt werden, dass sie am besten mit der dahinter liegenden Wertschöpfungskette (Produktion im Sinne von finanziell verwertbaren, physischen, digitalen oder prozessualen, bzw. Service-Erzeugnissen) verknüpft.
Zu unterscheiden sind damit die vier Datenkategorien:
1. Produktionsvorausgehende Informationen, wie z.B. Unterlagen für Patentanträge, Konstruktionszeichnungen, Business Cases, Bau- und Projektpläne;
2. Produktionsbegleitende Informationen, wie Qualitäts-, Mess- und Steuersignale, Logistik, Kunden- und Lieferantenverträge;
3. Produktionserweiternde Informationen, wie sie in den Digitalisierungsstrategien (Verlängerung der Wertschöpfungskette auf Post-Sales- oder Life-Cycle-Daten) anfallen;
4. administrative und organisatorische Daten, die aus dem Betrieb heraus entstehen und oft u.a. personenbezogene Daten von Mitarbeiter oder externen Kontakten enthalten, Gehaltsabrechnungen oder Innovations- und Strukturierungsprojekte.
Produktionsvorausgehende Daten
Produktionsvorausgehende Daten führen gegebenenfalls zu erheblichen Verlusten, weil sie Ihr Kerngeschäft und Ihre Planungen in fremde Hände spielen. Wer Ihr unternehmensinternes Knowhow abgreift, kommt Ihnen vielleicht zuvor, baut ohne Ihre immensen Forschungskosten und sichert sich gegebenenfalls DAS Patent, auf dem Ihre Strategie für die nächsten zehn Jahre aufbaut. Er kennt gegebenenfalls die Schwachstellen in den von Ihnen errichteten Anlagen oder weiß genau, wie er sie manipulieren oder sabotieren kann. Gegebenenfalls fälscht er diese Daten und Ihre Produkte liefern nicht die erforderliche Qualität, versagen bei Ihren Kunden und führen neben den Kosten zu immensem Vertrauensverlust in Ihren Märkten. Er kennt damit Ihre interne Kostenrechnung und das erwartete Umsatzpotential Ihrer Produkte und Prozesse.
Produktionsbegleitende Informationen, insbesondere Mess- und Steuersignale sind besonders manipulationsgefährdet, denn eine Anlage, die falsche Anweisungen bekommt, wird dadurch im Zweifelsfall zerstört. Schnell, einfach, aus der Anonymität und vor allen Dingen von überall auf der Welt aus.
Eine Schattenwelt von Dienstleistern steht bereit, um Aufträge dieser Art mit Spezialisten durchzuführen, denen auf Industrieseite keineswegs Gleichwertiges gegenübersteht. Exploits und Schwachstellen in Systemen und Software werden in dubiosen Kreisen professionell gehandelt, Dienstleister übernehmen das Erstellen von Trojanern und auch gerne gleich das Verbreiten in sensiblen Bereichen der Ziele oder sogar direkt auf den Rechnern der namentlich bekannten Verantwortlichen.
Die Abhängigkeit bei Industrie 4.0 Anlagen von verfügbaren und korrekten Daten hebt ehemals lokale Datenverarbeitung und unabhängige Produktionen mit örtlich begrenzten Risiken auf ein globales Level. Vernetzte oder auch nur von außen zugängliche Anlagen bieten ein ungleich größeres Angriffsziel als Maschinen in isolierten Werkshallen.
Schon jetzt werden viele Anlagen ferngewartet, bieten also Zugänge von außen auf sensible Bereiche. Für das Qualitätsmanagement fließen Daten zu zentralisierten Auswertungen und Ihre Steueranlagen (SPS) lassen sich fernprogrammieren.
Der Virus Stuxnet hat eindrucksvoll bewiesen, welches Schadpotential dahinter steckt. Dass viele Industrieanlagen weder für ein solches Szenario gedacht waren, noch dagegen irgendwann und irgendwie abgesichert wurden, hat selbst die Regierungen dieser Welt aufgeschreckt. Cybercrime-Zentren schießen wie die Pilze aus den Böden, Geheimdienste und ihre Befugnisse werden erweitert und die Verabschiedung des IT-Sicherheitsgesetz für besonders kritische Infrastruktur im Juli 2015 zeigt, dass das Problembewusstsein auch in der Politik angekommen ist.
Aber auch fremder Zugriff auf Ihre Kunden- und Lieferverträge bringen Ihnen massive Nachteile, wenn die Konkurrenz darauf zugreifen kann. Es ist nahezu unmöglich, den Schaden zu beziffern, der durch verlorene Aufträge entsteht. Hat die Gegenseite Kenntnisse über Angebote und Vertragsdetails, lässt sich einfach unterbieten und ausboten. Da Geheimdienste fast überall auf der Welt auch die Wirtschaftsspionage zum Auftrag haben, ist der Krieg der World-Wide Economy bereits im vollen Gange.
Produktionserweiternde Daten
Produktionserweiternde Daten sind in einigen Branchen schon jetzt unverzichtbar, wie bei Automotive und Maschinenbau. Aber auch bei so vermeintlich einfachen Geräten wie Druckern wird über den Produktionszyklus hinaus im Betrieb überwacht, gewartet und insbesondere bei Verbrauchsmaterialien und Auswertungen, über Serviceverträge und Dienstleistungen die Wertschöpfungskette auf den vollständigen Lebenszyklus erweitert.
Es lohnt sich, einmal nur kurz darüber nachzudenken, welche Dokumente auf Ihren so vermeintlich banalen Druckstationen eingelesen, ausgedruckt und damit letztlich auch gespeichert werden. Welches Risiko für Ihr Unternehmen entsteht, würde jemand sämtliche dieser Dokumente auslesen und auswerten können?
Risikoeinschätzung und Betroffenheit von Wirtschaftskriminalität
Betroffenheit 2014: 63 Prozent
Risikoeinschätzung 2014: 54 Prozent (Hoch/Sehr hoch)
Betroffenheit 2012: 74 Prozent (Unternehmen mit mehr als 50 Mitarbeitern)
Risikoeinschätzung 2012: 54 Prozent (Hoch/Sehr hoch; Unternehmen mit mehr als 50 Mitarbeitern)
Quelle: KPMG
Betroffenheit 2014: 54 Prozent
Risikoeinschätzung 2014: 49 Prozent (Hoch/Sehr hoch)
Betroffenheit 2012: 60 Prozent (Unternehmen mit mehr als 50 Mitarbeitern)
Risikoeinschätzung 2012: 54 Prozent (Hoch/Sehr hoch; Unternehmen mit mehr als 50 Mitarbeitern)
Quelle: KPMG
Betroffenheit 2014: 30 Prozent
Risikoeinschätzung 2014: 87 Prozent (Hoch/Sehr hoch)
Betroffenheit 2012: 24 Prozent (Unternehmen mit mehr als 50 Mitarbeitern)
Risikoeinschätzung 2012: 83 Prozent (Hoch/Sehr hoch; Unternehmen mit mehr als 50 Mitarbeitern)
Quelle: KPMG
Betroffenheit 2014: 22 Prozent
Risikoeinschätzung 2014: 52 Prozent (Hoch/Sehr hoch)
Betroffenheit 2012: 20 Prozent (Unternehmen mit mehr als 50 Mitarbeitern)
Risikoeinschätzung 2012: 57 Prozent (Hoch/Sehr hoch; Unternehmen mit mehr als 50 Mitarbeitern)
Quelle: KPMG
Betroffenheit 2014: 20 Prozent
Risikoeinschätzung 2014: 78 Prozent (Hoch/Sehr hoch)
Betroffenheit 2012: 18 Prozent (Unternehmen mit mehr als 50 Mitarbeitern)
Risikoeinschätzung 2012: 78 Prozent (Hoch/Sehr hoch; Unternehmen mit mehr als 50 Mitarbeitern)
Quelle: KPMG
Betroffenheit 2014: 19 Prozent
Risikoeinschätzung 2014: 69 Prozent (Hoch/Sehr hoch)
Betroffenheit 2012: 22 Prozent (Unternehmen mit mehr als 50 Mitarbeitern)
Risikoeinschätzung 2012: 63 Prozent (Hoch/Sehr hoch; Unternehmen mit mehr als 50 Mitarbeitern)
Quelle: KPMG
Betroffenheit 2014: 14 Prozent
Risikoeinschätzung 2014: 41 Prozent (Hoch/Sehr hoch)
Betroffenheit 2012: 10 Prozent (Unternehmen mit mehr als 50 Mitarbeitern)
Risikoeinschätzung 2012: 43 Prozent (Hoch/Sehr hoch; Unternehmen mit mehr als 50 Mitarbeitern)
Quelle: KPMG
Betroffenheit 2014: 4 Prozent
Risikoeinschätzung 2014: 32 Prozent (Hoch/Sehr hoch)
Betroffenheit 2012: 8 Prozent (Unternehmen mit mehr als 50 Mitarbeitern)
Risikoeinschätzung 2012: 31 Prozent (Hoch/Sehr hoch; Unternehmen mit mehr als 50 Mitarbeitern)
Quelle: KPMG
Betroffenheit 2014: 3 Prozent
Risikoeinschätzung 2014: 25 Prozent (Hoch/Sehr hoch)
Betroffenheit 2012: 4 Prozent (Unternehmen mit mehr als 50 Mitarbeitern)
Risikoeinschätzung 2012: 32 Prozent (Hoch/Sehr hoch; Unternehmen mit mehr als 50 Mitarbeitern)
Quelle: KPMG
Fast jedes Unternehmen prüft, plant oder setzt bereits eine Digitalisierungsstrategie für sein Unternehmen um, erweitert damit die reine Produktion und führt Daten und Auswertungen als eigenständiges Geschäftsmodell in die klassische Industrie 3.x ein.
Dabei sind die Reifegrade der Digitalisierung in den einzelnen Branchen bis hinab zu einzelnen Unternehmen und Produktionsstätten noch sehr unterschiedlich und haben damit selbstverständlich Einfluss auf die Risikobetrachtung. In vielen Fällen unterstützen die Daten aber bereits unternehmerische Steuerung und Entscheidungsprozesse.
Ausfälle der Kommunikation lassen sich vielfach noch über längere Zeiträume hinweg verschmerzen. In anderen Szenarien sind diese Daten aber bereits jetzt unternehmenskritisch und müssen jederzeit verfügbar sein.
Die Dauer eines IT-Ausfalles, bis ein unternehmenskritischer Zustand erreicht wird, verkürzt sich mit jedem Schritt in Richtung Digitalisierung weiter (siehe hierzu auch das Whitepaper „Erfolgsfaktor IT-Sicherheit“ des Bundesministerium für Wirtschaft und Technologie vom Februar 2013).
"Gold des digitalen Zeitalters"
Aber diese Daten werden zunehmend wichtiger und kostbarer. Daher werden sie im Zuge von Industrie 4.0 und dem Internet of Things (IoT) auch als das Gold des digitalen Zeitalters bezeichnet. Immerhin trennen sie die Wertschöpfung durch reine Produktion von derjenigen der digitalen, weitaus umfassenderen „digitalen Produktwelt“.
Industrie 4.0 entwickelt sich derzeit vom Hype zum Dogma für Wettbewerbsfähigkeit und Strategie für die nächsten zehn bis zwanzig Jahre. Als sogenannte disruptive Innovation geistert hier das nächste Buzz-Word durch die Medien, um schließlich bald auf praktische Bedeutung heruntergebrochen zu werden. Es scheint allen sehr deutlich zu sein, welchen Weg die Industrie zu nehmen hat, doch angefangen und die Konsequenzen bedacht haben nur wenige. Es herrscht noch immer eine große, unverantwortliche Sorglosigkeit gepaart mit einer weitgehenden Ignorierung der damit verbundenen Risiken.
Industrie 4.0 ist letztlich die digitale Verzahnung der Produktion von Rohstoffgewinnung bis zur Entsorgung mit ein wenig Produktion in der Mitte und vielen Auswirkungen auf das gesamte Unternehmen parallel zum physischen Erzeugungsprozess. Gemixt mit Internet of Things, Big Data, Business Intelligence und Virtualisierung aller Bereiche unseres Lebens reichen die Auswirkungen bis auf Geschäftsmodellebene, Entscheidungsprozesse in Vorständen sowie Planungen und Investitions-Strategien.
Und all dies wird über Daten vermittelt, die bei global operierenden Unternehmen ebenso global vernetzt sein müssen – schnell, ständig, sicher und authentisch.
Bei den administrativen und organisatorischen Daten unterstehen Firmen oft restriktiven Rechtsvorschriften zum Datenschutz, wie das Facebook-Urteil des EuGH zu personenbezogenen Daten gerade wieder einmal gezeigt hat. Neben hohen Strafen hat hier auch die Geschäftsleitung ein besonders hohes, persönliches Risiko, wenn nicht nach dem Stand der Technik verfahren und dies dokumentiert abgesichert wird.
Gerade beim Übergang von Industrie 3.x zu Industrie 4.0 verlagern sich erhebliche Anteile der Wertschöpfungskette aus der Produktion in die organisatorischen, auswertenden und steuernden Unternehmensfunktionen. Milliardenschwere Firmen mit nichts als Daten als Geschäftsmodell sind das eine Extrem. Doch über Digitalisierung und Produktwelt-Strategien verlagern sich auch in klassischen Industriezweigen die Wertschöpfungspotentiale und damit auch die Risiken zunehmen hin zu digitalen Prozessen, Bytes und Algorithmen.
Erstaunlicherweise haben derzeit in Deutschland nur 4% der Unternehmen digitalisierte und vernetzte Produktionsprozesse realisiert oder in Planung (ZEW-IKT-Umfrage: Industrie 4.0 ist Unternehmen in Deutschland noch kaum ein Begriff vom 02.12.2015).
Verbrechen 4.0 - das ist möglich
Rund 75 Prozent aller Computer können heute innerhalb von Minuten gehackt werden.
Jeden Tag werden 600.000 Nutzerkonten attackiert, wie das Unternehmen 2011 selbst einräumte. Eine Zahl, die seitdem eher gestiegen ist.
Fast 90 Prozent aller Kleinunternehmen, deren Kundenkartei gestohlen wurde, müssen innerhalb von drei Jahren ihr Geschäft aufgeben.
Mittels manipuliertem GPS-Signal locken Gangster Lastzüge mit Waren oder Luxusyachten in Hinterhalte.
Auch Entscheider in den Unternehmen sehen sich noch als Herr ihrer Beschlüsse und meinen, dass die Daten und Analysen sie lediglich unterstützen. Längst sind aber Bauchgefühl und Erfahrung bei Entscheidungsprozessen der (Sehn-) Sucht nach Kennzahlen, BI und Trendanalysen gewichen und die Lenkung des Unternehmens wird still und heimlich von den Auswertungen der zunehmenden Digitalisierung übernommen.
Damit einher geht ein allerdings noch sehr schwach ausgeprägtes Bewusstsein für die Anforderungen der Digitalisierung, des Wertes der dafür erforderlichen Daten und der Risikobewertung für die Wettbewerbs- und Zukunftsfähigkeit – also die Überlebensfähigkeit des eigenen Unternehmens in einer global sich schnell und stark wandelnden Wirtschaftswelt. Kleine StartUps drohen binnen kürzester Zeit althergebrachte Geschäftsmodelle links und rechts zu überholen … oder haben dies bereits getan.
Wertschöpfungspotentiale und Risiken der Daten
Doch welchen Wert haben nun die Daten, ihre Integrität und Verfügbarkeit ?
Man könnte einfach antworten, indem man die Gegenfragen stellt:
was passiert, wenn diese Daten nicht verfügbar sind ?
wie lange könnten Sie auf sie verzichten, ohne dass es unternehmenskritisch wird?
was wäre, wenn sie gestohlen oder gar manipuliert werden?
Auf der anderen Seite ist dies für eine genaue Abschätzung wenig hilfreich, da dies für viele Ressourcen und Assets eines Unternehmens gleichermaßen gilt und damit Risiken und Kosten konkurrierend verteilt werden müssten.
Eine Detailbetrachtung aller Daten, ihrer Anteile am Wertschöpfungsprozess und ihrer Bewertung im Risikomanagement wird zum einen durch ihre Menge, Unterschiedlichkeit und Dynamik verhindert, zum anderen durch fehlende oder ausreichend feinstrukturierte Prozessbewertungen. Die meisten Firmen verfügen aktuell nicht über eine auf Produkte herunterbrechbare Vollkostenrechnung. Damit fehlt auch die Grundlage, Daten innerhalb dieser Risikobetrachtung zu bewerten.
Letztlich genügt aber auch ein deutlich einfacherer Ansatz, die Abhängigkeit von Daten pauschal abzuschätzen und dies in die eigenen Strategien und Emergency-Planungen einfließen zu lassen. Dazu reichen vier Parameter aus, die in ein einfaches Modell einfließen:
1. Datenwert: geschätzter Wertanteil der Daten am gesamten Wertschöpfungsprozess
2. Datenrisiken: Risiken innerhalb der mittelfristigen Unternehmensstrategie
3. Datenpotentiale: Wertschöpfungspotentiale innerhalb der Produktplanung
4. Datenwettbewerb: Gefahren durch neue oder schnellere Mitbewerber
Zustimmung zur Aussage: "Ich sehe meine Privatsphäre durch die Nutzung digitaler Technologien bedroht"
74 Prozent
78 Prozent
83 Prozent
74 Prozent
67 Prozent
81 Prozent
85 Prozent
68 Prozent
Datenwert: Der geschätzte Wertanteil der Daten am gesamten Wertschöpfungsprozess ist bei den meisten Unternehmen derzeit noch eher gering. Verkauft werden Erzeugnisse und gegebenenfalls Services darum herum. Sind die Produkte verkauft, endet die Wertschöpfung zumeist oder ist auf Wartungsverträge und Erhaltung der Einsatzfähigkeit beschränkt.
Damit lässt sich aktuell der Wertanteil der Daten auf 5% bis 20% eingrenzen, je nachdem, wie weit der digitale Reifegrad des Unternehmens bereits gediehen ist. Im Zuge der Digitalisierungsstrategie dürfte dieser Wert allerdings in den nächsten Jahren steigen und sollte entsprechend innerhalb der Strategie kontinuierlich festgelegt und angepasst werden.
Datenrisiko: Die Risikobetrachtung dieser Digitalisierungsstrategie sollte den jeweiligen Wert der Daten in ihrer Planung berücksichtigen und den Anteil der Daten an der Wertschöpfung damit mit einem klaren, einfach zu berechnenden und letztlich vereinbarten Wert versehen. Das Risikomanagement legt daraufhin fest, welches Budget für die Absicherung verfügbar sein wird. Der Schutz der Daten muss also ähnlich priorisiert und festgelegt werden, wie die Absicherung von Betriebsgeländen und Anlagen. Ohne eine solche Vereinbarung bereits innerhalb der Unternehmensstrategie wird die IT jede Maßnahme begründen und zur Freigabe vorlegen müssen, anstatt eine feste Planungsgrundlage und damit auch verbundene Ziele zu erhalten. In der Praxis führt dies dazu, dass Maßnahmen schlicht gar nicht oder nur mit Einschränkungen durchgeführt werden.
Hier stellt sich auch die größte Herausforderung für die Verantwortlichen. Physische Maß-nahmen, wie Werkschutz oder Brandschutz sind in Fleisch und Blut übergegangen und gesetzliche Vorschriften regeln fast alle Belange. In der digitalen Welt müssen solche Maß-nahmen noch auf gleichem Niveau definiert oder selbständig erarbeitet werden. Allein - das Bewusstsein für digitale Risiken ist noch sehr schwach ausgeprägt.
Wichtig hierbei ist die Festlegung eines KVPs (kontinuierlicher Verbesserungsprozess), der mit dem zunehmenden Wertanteil der Daten auch das Risiko in dem Maße senkt, den die Digitalisierungsstrategie vorgegeben hat. Erhöht sich der digitale Anteil innerhalb der Digitalisierungsstrategie von anfangs 5% auf 30% steigt gleichermaßen das unternehmerische Risiko und auch das Budget für Sicherheit wächst zumindest annähernd proportional.
Dies betrifft damit natürlich auch die Finanzplanung für entsprechende Maßnahmen, das auszuarbeitende Kennzahlensystem und eventuell darauf aufbauende Provisions- und Bonusregeln innerhalb des kontinuierlichen Verbesserungsprozesses.
Daten-Geschäftsmodelle existieren selten
Datenpotentiale: Die meisten Mittelständler denken durchaus darüber nach, wie sie ihre Produkte digitalisieren, vernetzen oder Daten und Kennzahlen erheben und auswerten können. Natürlich erhoffen sie sich davon zusätzliche Marktchancen. Dennoch ist bei der Planung von Produkten noch immer zentral, was und wie sie ihre klassische Aufgabe erfüllen.
Daten als Selbstzweck und eigenständiges Geschäftsmodell sind eher selten. Dabei können über Sensoren derart viele Daten gesammelt werden, dass von vorausschauender Wartung bis hin zu Staumeldungen durch Fahrzeugdaten in der Automotive-Industrie oder Bewegungsdaten der Mobilfunkbetreiber ganz neue Anwendungen möglich werden.
Wer hier nicht Daten sammelt, auswertet oder zumindest zur Auswertung verfügbar macht, hebt nicht das zusätzliche Potential, das diese bieten.
Ein Fensterbauer im B2B-Bereich könnte bei seinen Vorprodukten durchaus bereits Sensoren für Glasbruch, Undichtigkeit oder gewaltsames Öffnen vorsehen oder sogar gleich ein-bauen. Seine Kunden würden dann auf diesen Vorprodukten aufsetzen, um sich in bestehende Sicherheitssysteme der häuslichen Steuerung zu integrieren (Smart Home). Das könnte ein zusätzliches Verkaufsargument sein, vergibt aber die Chance, als selbständiges Geschäftsmodell von den generierten Daten zu profitieren.
Würde hier von Anschlussmöglichkeiten innerhalb der Gebäudetechnik über die Datenübermittlung bis hin zur Auswertung und Alarmierung der Polizei eine Security-Produktwelt auf-gebaut, mandanten- und white-label-fähig für die eigenen Kunden sowie als Service für die Endanwender, dann könnte dies Unternehmen über die gesamte Laufzeit den Zustand der Produkte überwachen, mit Partnern die Wartung oder den Ersatz organisieren, Daten für die Heimautomatisierung und Energieeinsparung liefern sowie einen wesentlichen Beitrag zur Sicherheit bereitstellen.
Als digitaler Service wäre eine Kooperation mit anderen Herstellern ebenso denkbar, wie das Anbieten einer eigenen Glasbruch- und Dichtigkeitsversicherung. Schließlich könnte sich der Geschäftsbereich eigenständig entwickeln und damit Risiken durch Billigangebote aus Fern-ost durch eine Verlagerung des Geschäftsmodelles begegnen.
Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.
Quelle: Bitkom/Statista
Stand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.
Somit gelangen Daten endgültig in den Bereich der Forschung und Entwicklung, den Mittelständler für gewöhnlich den physischen Produkten zuschreiben – einschließlich entsprechender F&E-Budgets auch für die Sicherheitsmaßnahmen. Ein Alarmsystem, das selbst Angriffsziel und Einfallstor in das Zuhause der Endanwender wird, dürfte der Image-Gau schlechthin sein.
Datenwettbewerb: In der Digitalisierung sind uns andere eindeutig voraus. Betrachtet man die Deutschlandkarte der Weltmarkführer, dann ist diese prall gefüllt. Deutschlands Industrie steht im internationalen Vergleich sehr gut da.
Je höher man aber selektiv nach digitalem Reifegrad filtert, desto dünner wird diese Karte allerdings. Die digitalen Weltmarkführer schließlich sitzen alle anderswo – die Deutschlandkarte ist leer. Bei digitalen Geschäftsmodellen sind wir tatsächlich nur Entwicklungsland.
“Datenklau 2015” - Die Ergebnisse im Überblick
Für die Studie “Datenklau 2015” hat die Prüfungs- und Beratungsgesellschaft Ernst & Young Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 450 deutschen Unternehmen befragt. Die Befragung wurde im Mai / Juni 2015 vom Marktforschungsinstitut Valid Research durchgeführt.
Quelle: Ernst & Young - Datenklau 2015
Jedes fünfte Unternehmen mit mehr als einer Milliarde Euro Umsatz hat in den vergangenen drei Jahren einen Angriff auf die eigenen Daten bemerkt, zeigt die EY-Studie. 18 Prozent der Betroffenen registrierten sogar mehrere Attacken. Mittlere (ab 50 Millionen Euro Umsatz) und kleinen Unternehmen (bis zu 50 Millionen Euro Umsatz) erlebten seltener Angriffe: 16 beziehungsweise zehn Prozent haben Hinweise auf Spionage oder Datenklau entdeckt.
Nicht nur die Größe entscheidet, wer ins Visier der Hacker gerät. Unternehmen der Energie- (17 Prozent ) und der Finanzbranche (16 Prozent) werden am häufigsten Opfer von Spionage und Datenklau. In der Industrie wurden 15 Prozent der Unternehmen bereits zum Opfer.
In den meisten Fällen (48 Prozent) ließ sich der Täter nicht zuordnen. In 18 Prozent der Fälle konnten laut EY Hackergruppen als Täter identifiziert werden. In 15 Prozent war es ein konkurrierendes ausländisches Unternehmen.
Die größte Gefahr geht aus Sicht der Manager von China aus: “46 Prozent nennen das Land als Region mit dem höchsten Risikopotenzial, dahinter folgen Russland (33 Prozent) und die USA (31 Prozent)”, wertet Ernst & Young aus.
Hinter den Angriffen vermuten die Manager in erster Linie den Versuch an Wettbewerbsvorteile oder finanzielle Vorteile (je 29 Prozent) zu gelangen. Reputationsschädigung (8 Prozent), Racheaktion (6 Prozent) und die Störung des Geschäftsbetriebs (3 Prozent) werden deutlich seltener hinter den Attacken vermutet.
In drei von vier Fällen (74 Prozent) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, in 21 Prozent wurden IT-Systeme vorsätzlich lahmgelegt. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen (elf Prozent), Mitarbeiter abgeworben oder Datenklau durch eigene Mitarbeiter begangen (jeweils zehn Prozent).
Services, wie die Auswertung von Anlagendaten, können eigenständig oder zumindest unabhängig von der reinen Herstellung der Anlagen und ihrer Verwendung werden. Die klassische Industrie hat hier klaren Nachholbedarf.
Start-ups stehen überall bereit, sich auf diese Daten zu stürzen. Mit wenigen Mitarbeitern und handhabbarem Investitionsaufwand übernehmen sie die digitale Kontrolle, probieren neue Geschäftsmodelle aus und wachsen schnell in einen Bereich, der internationale Investoren mit Summen anlockt, die in der produzierenden Wirtschaft nur selten erreicht werden.
Gleichzeitig steht die Produktion unter hohem Kostendruck und leidet an Margenverfall. Industrie 4.0 als effizienzsteigernde Technik senkt nur das Niveau für alle und mag den einen oder anderen Wettbewerber gefährden, der nicht oder zu spät diesen Weg geht. Insgesamt aber nimmt Industrie 4.0 eher Finanzkraft für Innovation und Weiterentwicklung und zementiert damit die Übermacht der digitalen Geschäftsmodelle
Risiken der Nicht-Digitalisierung
Industrie 4.0 heißt auch, dass die Produktionsprozesse erheblich genauer und über die gesamte Prozesskette hinweg definiert werden. Damit nimmt die eigentliche Herstellung einen immer kleineren und damit austauschbaren Anteil ein. Die Industrie wird sich mittelfristig in Auftrags- und Produktweltproduzenten aufteilen und dies wird nicht immer in derselben Hand liegen. Das wiederum hat erheblichen Einfluss auf Investitionspläne und Produktplanungen.
Die Ausrichtung der Anlagen ändert sich damit ebenso, wie die Zielsetzung und Eigenschafts-Priorisierung bei zukünftigen Kunden. Unter Umständen werden Anlagen nicht mehr auf Zeiträume von 10 oder 20 Jahren hin angeschafft, sondern mit wesentlich kürzeren Zielen gekauft, um sich bei den schnellen Entwicklungszyklen nicht mit veralteter Technik belasten zu müssen. Langlebigkeit könnte damit in der Prioritätenliste weiter nach hinten wandern und kostengünstige Anlagen aus Fernost interessant machen.
Das Qualitätsbewusstsein deutscher Mittelständler sowie ihrer Kunden trägt aktuell einen Boom deutscher Exporte. Unsere Industrie produziert „für die Ewigkeit“. Aber was passiert, wenn Schnelligkeit, Flexibilität und die allerneueste Technik gefordert wird? Keine klassischen Eigenschaften unserer Wirtschaft.
Die 3D-Drucker könnten eine solche Änderung erzwingen. Die Technik ist noch neu und entwickelt sich rasend schnell. Ganze Fabrikhallen mit solchen Druckern könnten herkömmliche Anlagen sowohl in der Wirtschaftlichkeitsbetrachtung als auch in den neuen, flexiblen Geschäftsmodellen abhängen. Sie müssen nicht lange halten, denn der nächste Technik-schub kann den kurzfristigen Ersatz lohnend werden lassen.
Anders sieht es mit den Steuerungen solcher Anlagen aus. Die reine Ausarbeitung von Produktionsprozessen, das Produktdesign und die Integration verschiedener Auftragsfertiger ist in manchen Bereichen der Industrie bereits gang und gäbe. Einige Firmenkäufe zielen nur auf das Patentportfolio, andere dienen dem Kauf von Knowhow und schwer zu gewinnen-dem Personal. Das eigentliche Kernunternehmen wird dann zerschlagen, verkauft oder entsorgt. Letztlich steht die reine Produktion unter enormen Druck und wird durch viele Anbieter aus anderen Ländern gefährdet. Unsere ehemals starke Textilindustrie hat es unter vielen anderen Industriezweigen erleben müssen. Nähen können andere eben viel billiger.
Konsequenzen
Alle diese Überlegungen zeigen, dass Daten in Zukunft einen erheblichen Anteil an den Wertschöpfungen der Wirtschaft haben werden oder bereits besitzen. Die Absicherung die-ser Daten, der unbedarfte Umgang mit ihnen nach dem Best-Effort-Prinzip oder das Einsparen von Sicherheitsmaßnahmen ist schon heute bedrohlich.
Die Vereinbarung von Budgets für Sicherheit, Entwicklung und Auswertung werden derzeit oft noch nach Gesichtspunkten bestimmt, die Denkmustern des vergangenen Jahrtausends entsprechen. Sparen an so wichtigen Stellen ist genauso wenig sinnvoll, wie Werkzeuge für Handwerker vom Grabbeltisch zu kaufen.
Das sind mittelfristige und erhebliche Risiken.
Gerade der deutsche Mittelstand muss akzeptieren, dass Daten ein Rohstoff sind, auf dem die Geschäftsmodelle der nächsten ein bis zwei Dekaden aufbauen. Der Wandlungsprozess muss jetzt beginnen, denn ob eine Aufholjagd funktioniert, wenn erst die Marktposition und die Finanzkraft schwinden, ist mehr als fraglich.
Dabei haben wir in Deutschland eine exzellente Ausgangslage. Die gute Infrastruktur, der hohe Ausbildungsgrad und eine finanziell stabile Wirtschaft ermöglichen es uns, aus den aktuellen Qualitätsprodukten ganze Produktwelten zu generieren.
Wir müssen lediglich verstehen, dass die nächste Wirtschaft nicht auf Stahl. Maschinen und Ingenieuren aufgebaut ist, sondern aus Bits, Kommunikation und Informatik.