Notizen_VL

→ Beschreibung möglicher Veränderungen

- grundsätzliche Ausrichtung der Unternehmens- und IT-Strategie

- betroffene Elemente des Informationssystems

Disruptiv = Abkehr von der „Komfortzone“, radikales Hinterfragen bisheriger

Geschäftsmodelle und Verhaltensweisen. Betrifft sowohl betriebswirtschaftliche, als

auch technische Aspekte. Betroffen ist das gesamte Personal/die Aufbauorganisation,

alle Prozesse/die Ablauforganisation sowie die gesamte unterstützende IT.

– Zur Klärung von Fragen kann durchaus auch eine Unternehmensberatung

hinzugezogen werden.

– Was vor Beginn von IT-Implementierungen zwingend geklärt werden muss:

1. Dokumentieren aller Prozesse. 2. Optimierung der Prozesse, insbesondere der

Schnittstellen, insbesondere aller manuellen Schnittstellen/Medienbrüche (bspw.

Datentransfer in Lieferketten, z.B. Abbildung von Lieferscheinen mit IT)

– Strategien

* Generell: Einsatz eines zentralen „Kernsystems“ – hier eines ERP-Systems und

„satellitenartige“ Anordnung der Umsysteme

* Aufbau einer gesamthaften IT-Landschaft (Darstellung der Systeme und ihrer

Verbindungen untereinander)

* Schaffung einer einheitlichen Plattform (bspw. für die Kommunikation auch mit

Partnerunternehmen und Kunden)

– Elemente des Informationssystems

* Alle Elemente des Informationssystems sind betroffen: Schaffung eines ITAsset-

Registers (Inventur der gesamten IT als Voraussetzung für die Erstellung)

für den strategischen Planungsüberblick

* Vereinheitlichung von Schnittstellen

Ziel: Steigerung der Kundenbindung und -zufriedenheit

- App für das Gerät (Geräteinformationen, Zubehörbestellung, Ersatzteile…..), für

B2B-Kunden: Dashboard

- Service: Predictive Maintenance (insbes. B2B, bspw. Wäschereien)

- Produkt: stärkere Kundenorientierung durch rückfließende Daten, Nutzung zur

Entwicklung neuer kundenspezifischer/-individualisierter Produkte

- Service: optimierter Bestellprozess (eigener Webshop)

- Produkt/Service: Bestellung/Konfiguration einer kundenindividuellen Maschine in

Verbindung mit weitgehend automatisierter Fertigung („Losgröße 1“ durch

bestmögliche Automatisierung/Vernetzung) → Konfiguration aus Modulen

- Service: Maschinenleistung als Service („as-a-Service“, Leasing 3.0“) → Abo für

Spülgänge, Wäschen usw.

- AR in Verbindung mit KI: Analyse von Bildern der (leeren) Küche zur optimalen

Gestaltung und Platzierung der Geräte (ggf. auch der Möbel)

- Zusammenarbeit mit Küchenherstellern, Handwerkern → Einrichtung einer

Plattform

- AR im internen Service

- vollkommen neuartige Produkte (Vorbild Vorwerk [Staubsauger] mit Thermomix)

- „Küche as a Service“ → Nutzung der gesamten Küche (B2C und B2B)

→ Beschreibung von Charakteristika für mögliche Plattformen/-betreibermodelle

– Möglichkeit der Bereitstellung von diversen Tools für unterschiedliche

Zielgruppen (bspw. Verbrauchsrechner)

– Ziel: optimierte Kommunikation, Datenaustausch (Datensammlung, Vernetzung,

Zentralisierung)

– Grundsätzliche Ausrichtung von Plattformen:

* Nach innen: Optimierung der Supply Chain (Plattformen für Zulieferer,

Zweigwerke usw.)

* Nach außen: Plattformen für Partner (Integrator-Funktion, eine

herstellerübergreifende Plattform zur Anbindung aller Maschinen) und

insbesondere Kunden (Mehrwertdienste, zentrale „Anlaufstelle“ zur

Produktionssteuerung auch in heterogenen Umfeldern)

Community-Funktionen (Chat, Foren, Knowledge Base usw.)

→ Beschreibung möglicher Umsetzungs-Themen

- Grundsätzlich: Formulierung neuer Ziele, bspw. Einrichtung einer Projektgruppe/Expertenteams zur Aufnahme des Ist-Zustandes und daraus folgender Ableitung des Soll; Weiterentwicklung des Controllings

- Warum (IT-)Governance: GF/UL muss vorgebildet sein für neue Ziele und die Awareness für Governance-Gedanken und anstehende Veränderungen haben. Zur Umsetzung der Strategie ist eine Koordinationsfunktion, die Governance, nötig. Ziel ist langfristige Wettbewerbsfähigkeit, begleitend dazu – keine leichte Aufgabe

– vielfach auch die Notwendigkeit des Austauschs der „alten Garde“ (diejenigen, die statt konstruktiver Diskussion eine gezielte Blockadehaltung einnehmen), Einstellung neuer Mitarbeiterinnen/Mitarbeiter

- Wandel/Veränderung/Governance nötig, um Ziele zu erreichen

- weiteres wichtiges Argument für Governance: Nachhaltigkeit. Zudem: Erhöhung von Moral/Ethik/Transparenz (etwa bezügl. Datennutzung) durch gute Governance

→ Hintergrund: Kunden erwarten neben einem guten Produkt weitere Aspekte/Kompetenzen, wenn sie nicht vorhanden sind/erfüllt werden, dann werden Kunden mittel-/langfristig wahrscheinlich abwandern

- Ziel der Governance: alles auf Unternehmensziele ausrichten, Erzielen eines größtmöglichen Wertbeitrags für das Unternehmen insgesamt. Governance ist Legitimation für die gesamte Koordination aller Aktivitäten von strategischer bis operativer Ebene (operative Prozesse), um Zielkonflikte zu vermeiden und die zahllosen „Puzzleteile“, aus die ein Unternehmen besteht, in der VUCA1-Welt zusammenzuhalten und auszurichten für bestmögliche Wettbewerbsfähigkeit. Es ist zu vermuten, dass es viele aktuelle Probleme nicht geben würde, hätte man eine Governance-Funktion schon viel früher eingeführt (Notwendigkeit der Governance-Funktion).

- Beispiel Vertrieb: Richtlinien erstellen für unterschiedliche (anwendungsfallbezogene) Verträge (einschließlich Rahmenverträge) und ihre Gestaltung

- Beispiel HR: Entwicklung eines Plans zur Einstellung von Personal mit Governance- und IT-Governance-Kenntnissen → Rekrutierungsprozesse mit beteiligten Fachabteilungen

Mögliche Risiken:

- fehlende Awareness für die Bedeutung der IT und möglicher Folgen bei Fehlern

(bspw. Phishing-Mails)

- fehlende IT-Kompetenz (auch beim Personal), fehlende Bereitschaft, sich mit den

Themen auseinanderzusetzen.

- Berechtigungsproblematik (technische und ökonomische/rechtliche Risiken).

Berechtigungen sind wichtig für das Tracking/für die Protokollierung (Wer hat

wann was in den Systemen veranlasst)

- IT-Risiken durch eigenes Personal (bspw. Datenmanipulation/Fraud sowie

unbeabsichtigte Fehler)

- Fehlendes Prozesshandbuch → Fehlender Überblick

- Fehlendes Backup

- Reputationsschäden (mit monetären Folgewirkungen durch fehlende Umsätze)

- fehlende/fehlerhafte Prüfprotokolle in der Produktion

- Opportunitätskosten mangelhafter IT

→ Überlegungen zu einem konkreten Tool

- Risikomatrix unter Beachtung ihrer Limitationen

– Alle Entscheidungen hierzu fallen auf strategischer Ebene (Grundsatzentscheidungen, langfristiger Planungs-/Implementierungshorizont), entsprechend muss das Top-Management „abgeholt“ werden bzw. selbst Initiator sein

– Schaffung einer Stabsstelle für die IT-Governance (ggf. auch für Risk und Audit/Revision) an der Unternehmensleitung

– neue Position soll sowohl fachbereichs-, als auch unternehmensübergreifende (Richtung Kunden und Lieferanten) Aktivitäten unterstützen

– Verbesserung der IT ist „schleichender Prozess“ der an Geschwindigkeit zunimmt,

→ funktionierende IT ist faktische Voraussetzung für die Wettbewerbsfähigkeit/ neue Geschäftsmodelle

→ Informationen müssen aktuell und vollständig vorliegen → Schaffung von Mechanismen/Etablieren von Prozessen zur Sammlung, Bewertung und Strukturierung von relevanten Informationen

→ Sammlung von konkreten Ideen zur (Weiter-)Entwicklung neuer Produkte und Services, auch aus organisatorischer Sicht

- Meeting-/Workshop-Flächen

- beschreibbare Wände

- Thinktanks für absolute Ruhe (kleine Räume)

- gutes LAN/WLAN

- Simulationssoftware (bspw. für digitalen Zwilling)

- PC’s mit Cax-Programmen

- 3D-Drucker

- Feedbacksystem für Kundenanbindungen/-partizipation mit Rückkanal zum Kunden (ggf. anonymisiert)

- Tag der offenen Tür für Studierende, Unternehmen/Unis → Profitieren von externem Input („Hackathon“) → bspw. Aufdecken von Sicherheitslücken, Evaluieren neuer Funktionen

- „Offene Leitung“ zum Kunden für direktes Feedback und direkten Einbezug ausgewählter Kunden

- Budget für dieses Labor und Aktivitäten aus unserem freien (thesaurierten) Kapital

- Anreize für Externe und Interne: Preisgelder, Sachpreise (z.B. Kreuzfahrten, Notebooks/Tablets)

→ Sammlung von Aspekten/Dimensionen, die für ein konkretes Produkt festgelegtwerden müssen, damit es eindeutig definiert werden kann

Geräte-as-a-Service

* Wertnetzwerk: Integrator, Kundendienstunternehmen,

Abrechnungsunternehmen

* Wertrealisierung: über Bereitstellung und Abrechnung von

Maschinenfunktionalität

* Kundenkanal: spezielle Website (Extranet)

* Schlüsselpartner: Teil des Netzwerks: z.B. Kundendienstunternehmen

* Kernaktivitäten: Kernprozesse Datensammlung, -analyse

* Kernressourcen: Sensorik, KI-Algorithmen

Predictive Maintenance Service

* Kernaktivitäten: Kernprozesse: Datenerzeugung (Sensorik), Datensammlung (Plattform, DataWarehouse), Analyse (KI), Darstellung (BI-Reporting),

Maßnahmen:

Wartung via Kundendienstunternehmen

* Wertnetzwerk: bspw. Zulieferer (Sensorik), Kundendienstunternehmen

* Wertrealisierung: über Bereitstellung und Abrechnung von vorbeugender

Wartung

→ Zusammenstellung der benötigten Daten am Beispiel eines konkreten Geschäftsmodells

- Beispiel: Predictive Maintenance Service

* Sensordaten

* Kundendaten

- Wichtige Meta-Informationen:

* Format / Einheit (z.B. integer oder real, Spannung/Strom/Kraft/Druck usw.)

* Ursprung (Maschine, Sensor)

* Menge

* Aktualisierungsfrequenz (Echtzeit, minütlich, stündlich…..)

* Klassifikation → insbesondere bei Kundendaten (Personenbezug), aber auch bei

anderen Daten (Firmengeheimnisse)

→ Beschreibung möglicher technischer und organisatorischer Elemente einer Data Governance

- Rollen: Nutzer, Eigentümer

- Prozesse, Standards im Umgang mit Daten

- Datenkatalog (Repositories)

- Richtlinie für die Wahl von Datenbanken/Speicherlösungen

- Regelwerk für Zugriffe/Verwendungszweck

- Controlling für Monitoringzwecke

- Change-Prozesse

→ Beschreibung von Verantwortlichkeiten, Prozessen und Aktivitäten zur Sicherstellung/Verbesserung der Datenqualität

- Datenqualität: Beschrieben durch z.B. Genauigkeiten (Nachkommastellen), Toleranzgrenzen (+/- x %), Aktualität (Echtzeit, minütlich, stündlich, täglich….) usw.

- Prozesse zur Meldung von Fehlern (Ende-zu-Ende-Prozessverständnis, Formulare/Verfahren/Dokumentation)

- Prozesse zur Bereinigung von Fehlern (Verantwortliche, Verfahren/Dokumentation)

→ Ermittlung einer sinnvollen Position

- Turnaround → strategische Waffe (der Wandel ist abhängig von der Wahl des/der neuen Geschäftsmodell(e)

→ typische Factory: Office, Kommunikationstools, ERP-Lösung, ITSupportlösungen (Ticket-/Problem-Management-Lösungen), Betriebssysteme und sonstige Infrastruktur für die Unterstützung allgemeiner Prozesse ohne direkte Kundenwirkung

→ typische „strategische Waffe“: Plattformen, Apps, neue Geräte-Steuerungen, erweiterte Funktionalität der Maschinen, kundenindividuelle Gerätefertigungen, ...

- neue Bestandteile in die alte Struktur integrieren → es entsteht automatisch eine bimodale IT

- wichtig hierbei: IT muss in der Geschäftsleitung vertreten sein, um Awareness für das Thema zu schaffen und strategisch bedeutsame IT-Entscheidungen erklären und verantworten zu können

- Position: Kerngeschäft um Innovationen erweitern und langsam die Innovationen ausbauen, disruptive Geschäftsmodelle parallel entwickeln

→ Sammlung aller Informationen zur Klärung dieser Fragen und damit zur weiteren Planung der IT-Funktion und zur Gestaltung der IT-Strategie

- Aufnahme des Ist-Zustandes

- Analysiert werden müssen:

→ Prozesse: Erschließen von Optimierungspotentialen via Lean Management, Kaizen, Business Process Reengineering usw.

→ Daten: sind sie intern vorhanden oder müssen sie extern beschafft werden?

Existiert ein Datenkatalog? Ist die Bedeutung in Prozessen/Kritikalität/ Wichtigkeit geklärt? Sind Fragen des Datenformats (→ Schnittstellen) geklärt? Ist die Frage der Datensicherheit geklärt?

→ Systeme: Katalog mit Systemen (IT-Asset-Register)

- Schrittweise Verbesserungen im Rahmen eines fortlaufenden Prozesses zur

Behebung von Defiziten, Priorisierung der Entscheidungen, dort, wo es „am

meisten weh tut“ (wann sind welche Änderungen zum Erhalt der

Wettbewerbsfähigkeit wichtig?)

* Schaffung einer speziellen Orga-Einheit/CIO (IT-Governance), CISO, Datenschutzbeauftragter)

* priorisierte Liste der Aktivitäten (Prozesse überarbeiten, Datenqualität

verbessern, Systeme auf den Prüfstand stellen – Interoperabilität,

Funktionalität)

* rechtliche Fragen/Vorgaben/Regulierungen: Juristen, ggf. ext. Kanzleien

* verbesserte Zusammenarbeit zw. FB und IT; CIO als IT-Architekt, Trennung der

CIO-Rolle von der Leitung des IT-Betriebs

* IT-Controlling → Kostenkontrolle

* Einrichtung von internen „IT-Key-Account-Managern“: wichtige Kunden und

deren Anforderungen an die IT – Rückkopplung in unsere IT zur Umsetzung

- IT muss als „Einheit“ auf-/umgebaut werden. Ziel: modular, flexibel, skalierbar

- Beispiel Vertrieb: Prozesse dokumentieren, zerlegen, analysieren, optimieren; für

Teilfragen individuelle Lösungen auf Basis der möglichen vier

Optimierungsstrategien:

→ Zeit – Performance/Effizienz

→ Kosten

→ Technologien/Qualität vs. Marktanteile

→ stärkere Kundenfokussierung (bspw. Social CRM, hohe Serviceorientierung)

- stärkere Softwareorientierung → Servicegedanke (IT-Service) → größere Rolle für die IT, verbesserte Produkte/Services

- stärkere Datenorientierung → Datensammlung für neue Produkte/Services → Betonung von Dienstleistungen/Services → Plattformgedanke

→ aus diesen beiden Punkten folgt: Wandlung in ein Software- und Datengetriebenes Unternehmen

- IT-Position auf Management-Ebene stärken

- Stärkere Verbindung Fachabteilungen – IT, Zulassen/Fördern von innovativen Ideen durch Gewährung von Freiheiten

- Wo möglich (kein Wettbewerbsvorteil) Outsourcing und Standardisierung operativer Unterstützungsaufgaben

- „Rundum-Soglos-Paket“ → personalisierte/bedarfsgerechte IT für Kunden

- Onlineshop für B2B-Kunden

- Mehrwert für Kunden im Kontext von Datensammlung → Daten-Ethik: Hohe Ansprüche an den Datenschutz

- Erschließung neuer Kundengruppen durch „verwandte“ Angebote (B2B und B2C)

- (IT-)Mindset verbessern → Weiter-/Fortbildungsangebote für alle

- Mitwirkungsmöglichkeiten für alle aktiv promoten (Digital-Labor, „Forschungstag“ für alle jede Woche/einmal im Monat o.ä.)

- Kommunikation der Bedeutung der IT → IT als Chance

- Datenschutz

- Nutzung von innovativen Technologien (Digitaler Zwilling, AR/VR, KI, Blockchain usw.) soll aktiv unterstützt werden

- ressourcenschonender Einsatz (z.B. Abwärme von Rechenzentren nutzen, Cloud-Nutzung für variable Bereitstellung von Ressourcen statt Investitionen)

IT-Strategie/-elemente

- Zukünftiger Sollzustand der IT (Beispiele):

→ stärkere Software- und Daten-Orientierung des Gesamtunternehmens

→ innovative Services für den Kunden

→ verbesserte IT in der Produktion (Aufrüstung mit IIOT)

- Grundsätzlicher Handlungsbedarf in der IT (Handlungsfelder, Beispiele):

→ ERP-System einführen/Business-Prozesse konsolidieren, optimieren

→ Cloud-Strategie entwickeln

→ Plattformen gestalten

→ Fertigungs-IT modernisieren/vernetzen

- langfristig orientierte Handlungsoptionen für die IT-/OT-Governance (Beispiele):

→ Vorgehensmodelle (Agilität)

→ Entwicklungskonzepte (DevOps)

→ Architekturmodernisierung

- Zielen und Rahmen/Grenzen für die IT-/OT-Governance (Beispiele):

→ Time-to-Market vs. „Entwicklungs-Eleganz“, KISS-Prinzip (small & simple)

→ Vorgehensmodelle/Frameworks

→ Anforderungsmanagement: Zeit-/Budget-Rahmenvorgaben, Freeze-Phasen in der Entwicklung, Regelungen für Anforderungsformulierung/Priorisierung

→ klare Benennung der Verantwortungsträger

→ Festlegung von Kennzahlen/Messgrößen für das Monitoring

- Umwandlung in einen Software- und Daten-Unternehmen erfordert:

→ modulare SW-Entwicklungen, um flexibel und skalierbar zu bleiben und kostengünstig entwickeln zu können, Speziallösungen nur dort, wo es das Produkt (Maschine usw.) zwingend erfordert

→ Entwicklungswerkzeuge festlegen

→ Entwicklungsrichtlinien festlegen (Codierung und Engineering)

→ Beschreibung möglicher Einflussgrößen und Abhängigkeiten

- Grundsätzliche Zusammenhänge, deren Verständnis und deren Auswirkungen auf die Gestaltung der IT-/OT-Governance sind wichtig für die Ermittlung von Einflussgrößen und Abhängigkeiten

- die IT-/OT-Governance muss dann im Ergebnis so gestaltet sein, dass die nachfolgenden Punkte zum Vorteil des Gesamtunternehmens im Wettbewerb durch geeignete IT adressiert werden kann

Awareness:

→ Beachtung von Vorgaben, Best Practices

→ Beachtung des Wettbewerbs/Marktes

- Einflussgrößen:

* Stakeholder (welche Stakeholder in welcher Rolle/Position, Pflichten/Rechte

Verantwortlichkeiten)

* Kerngeschäft (Strategie → Maß der IT-Durchdringung → Handlungsbedarf)

* Strategie (→ neue Technologien, neue Konzepte, bspw. Agilität, DevOps,….,

Skills)

* Familienunternehmen (Beharrungsvermögen der Belegschaft → Change-

Management verstärken, IT-affines Mindset aufbauen; vielleicht auch eine Frage

des Standortes (ländlicher Raum vs. Großstadt → Frage der Fluktuation und

Personalgewinnung)

* B2B-Geschäft: Kunden-Vorbehalte (gegen Datennutzung, Innovationen,

steigende Kosten durch Technik-Schnickschnack oder aber auch: überzogene

Forderungen an die IT der neuen Maschinen); Lieferanten-Kompetenz: Suche

nach geeigneten Lieferanten, die neue Anforderungen aus der IT bei sich

abbilden können

* IT-Architektur: Ist-Analyse über Abteilungen hinweg, einheitliches Konzept;

Eigenschaften: skalierbar, modular (Schnittstellen, etwa in der Supply Chain),

flexibel, standardisiert (bspw. TCP/IP), offen

- Datenarchitektur: Umgang mit Daten → Data Governance

- Technologiearchitektur: Cloud/Plattformen (Umfang, Betriebskonzepte (Xaas),

….

* Skills: neue Qualifikationsaspekte für das IT-Personal →

Trainings/Weiterbildungen konzipieren

- IT-Services: Funktionalitäten, die in Summe eine Applikation abbilden (bspw. ERPSystem, CRM-System, CAD-System, Digitaler Zwilling, um IoT erweiterte Maschinensteuerung….)

- IT-/OT-Prozesse: technische Abläufe, die zur Erbringung der Services notwendig sind (bspw. Datenim-/exporte, Speicherlösungen, Algorithmen……)

- IT-/OT-Ressourcen: Sensorik, höhere Funktionalitäten, bspw. Cloud → IaaS (Infrastruktur, bspw. Server, Netzwerk…..), PaaS (bsw. Entwicklungsumgebung für Software, MS Teams), SaaS (bspw. Salesforce)

- Die Summe aller Anforderungen bildet das Portfolio → Ziel der IT-/OTGovernance: Priorisierung und Definition von Projekten/Wartungsmaßnahmen sowie Prüfung der Passung der Elemente (Services, Prozesse, Ressourcen) zueinander (genau dafür zerlegt man, um das besser/leichter beurteilen zu können)

- Der Ansatz erlaubt beispielsweise auch eine „sanfte“ Migration von Funktionalitäten aus Altsystemen (Legacy-Systems)

Wie sieht das IT-Portfolio aus? Summe aller Anwendungen (ERP, CRM, CaX,

smartes MES…..), wo können wir bestehende Anwendungen weiter einsetzen, wo

müssen wir Teile oder alles neu aufsetzen?

Informationsarchitektur:

* Geschäftsobjekte: bezogen auf funktionale Einheiten (Einkauf/Vertrieb) oder auf Prozesse; Beispiele: Lieferant, Bestellung/Auftrag, bestellbare Produkte……

* Einrichtung eines Zugriffsmanagements für diese Daten, Sicherstellung von Aktualität, Redundanzfreiheit, Konsistenz

* Klassifikation der Daten

* Wie sieht ein zentrales Daten-Repository aus? Wie sehen die dazugehörigen Prozesse aus (Einfügen, Ändern, Löschen, Aktualität, Korrektheit, Vollständigkeit, Redundanzfreiheit, Menge/Art der Daten, Ursprung……) → gute Möglichkeit, um festzustellen, wo Daten doppelt gehalten werden und welche Daten fehlen → Gesamtüberblick: Welche Daten in welchen Prozessen

Anwendungsarchitektur:

* aktuelles und vollständiges IT-Asset-Register → IT/OT-Anwendungen

* Wo sollen neue Technologien eingesetzt werden (bspw. KI, Data Analytics,

OPC/UA, …..)?

* Welche Richtlinien und Standards sollen herangezogen werden (COBIT, RAMI,

Security by Design,…..)

Beide Architektur-Ebenen:

* Das fehlen von IT-Asset-Register und Daten-Repositories sowie einer Lösung

zur Visualisierung der Zusammenhänge („Bebauungsplan“)

verhindert/erschwert den schnellen Gesamtüberblick und schmälert damit die

Wettbewerbsfähigkeit und Anpassbarkeit des Unternehmens

→ Zusammenstellung aller wichtigen Punkte zur Gestaltung der Ebenen

- Kerngeschäft: Sind Vision und Strategie für den Kernmarkt, die Kunden und die Produkte/Dienstleistungen festgelegt? → exemplarisch ein datenbasiertes/digitales Geschäftsmodell → über welche Anwendungen realisiert (Webschnittstelle, BI/Dashboard), welche Daten benötigt (Kundendaten, Sensordaten, …..)

- Organisation: Existieren Prozesse für eine kontinuierliche Entwicklung der Organisation und des „organizational fit“ mit IT/OT? → Einrichtung von Gremien, die prüfen, welche fachlichen Anforderungen (Funktionalität) und welche Daten dazugehören, um die strategische Rolle der IT einzunehmen und die strategischen IT-/OT-Ziele zu erreichen

- Wie könnten Prozesse für die kontinuierliche Weiterentwicklung aussehen (Gremien, Abläufe, Meilensteine,…..)?

- Ist der Umfang der vorhandenen Daten bekannt, sind alle Daten semantisch verstanden?

- Woher stammen die Daten?

- Mit welcher Aktualisierungsfrequenz werden die Daten berücksichtigt? → Echtzeitprobleme bei SPS/SCADA

- Ist die Kritikalität und Klassifikation der Daten bekannt, wird das bei Entscheidungen berücksichtigt?

- Wer ist Eigentümer welcher Daten? → klare Festlegung der Data Owner

- Wie erfolgt die Datenverwendung? → Richtlinien und Prozesse

- Existieren Regelungen zur Speicherung und zum Zugriff (Datenschutz)?

→ Beschreibung möglicher Aktivitäten zur Ausgestaltung der Ebene

- Festlegung von Grundsätzen hinsichtlich des Innovationsgrades (Technologieführerschaft?)

→ Festlegung von Grundsätzen hinsichtlich des Technologieeinsatzes (neue Technologien vs. „Legacy-Systeme“, Technologiebeurteilung)

- Festlegung des Zentralisierungs-/Dezentralisierungsgrades (Cloud, Edge- Konzepte) für die unterschiedlichen fachlichen/technischen Bereiche (IT und OT)

- Festlegung von Grundsätzen zur Sourcing-Strategien → Beibehalten von bestehenden Dienstleistern oder Veränderungen an dieser Stelle?

- Berücksichtigung weiterer Aspekte:

* technologische Umsetzbarkeit geplanter Lösungen

* Sicherstellung der IT- und OT-Sicherheit, von Business-Continutiy, Desaster- Recovery

* Einrichtung von IT-Asset-, Change- und Konfigurationsmanagement

* Durchführung regelmäßiger Wirtschaftlichkeitsbetrachtungen bei strategischen Entscheidungen zum Schutz der Investitionen → kann eine Lösung zukunftssicher eingesetzt werden, sind spätere Anpassungen/Erweiterungen problemlos fachlich/technisch möglich?

→ Zusammenstellung aller wichtigen Punkte zur Gestaltung dieser Ebene

- Grad der Standardisierung und Umgang mit Homogenität/Heterogenität? → Bspw. Offene Lösungen vs. Herstellerbindung (SAP, Microsoft, Siemens, …...)

- Integrationsgrad? → nach Möglichkeit alles aus einer Hand (gilt auch für die Maschinen, dann können nämlich noch die Services des Herstellers dazu gebucht werden) oder standardisierte, offene Schnittstellen

- Berücksichtigung von Reserven, Skalierbarkeit? → Private und Public Cloud gemeinsam? Flexible Strukturen (→ LE 25)

- Berücksichtigung der technologischen Machbarkeit vs. Auswirkungen auf die Fachabteilungen? → Akzeptanzrisiken, Überforderung oder aber auch Erschließen neuester Möglichkeiten

Serviceinhalt → Servicespezifikation (Beschreibung aller Service-Ausprägungen und deren Inhalt) – Bereitstellung von „Wartung nach Bedarf“ auf Basis von interpretierten Gerätedaten

→ Definition der erfassbaren Wartungsfälle (welche Störung ist überwachbar)

→ Festlegung von Laufzeiten für die Vereinbarung (6 Monate),

→ Formulierung der Pflichten des Kunden bei Nutzung der Geräte (zur

Vermeidung von Streit über die „Schuldfrage“ bei Störungen oder auch Problemen mit der Kunden-Infrastruktur, bspw. gestörtes Netz ermöglicht keine Datenübertragung)

→ Regelung der genutzten Daten (welche Informationen in welchem Intervall mit welcher Genauigkeit und Detailliertheit, Aufbewahrungsfristen für kundenbezogene Daten), grundsätzliche Zustimmung zu anonymisierter Datensammlung bei Kauf des Geräts (auch ohne Nutzung von Services) über entsprechende AGB-Klauseln

→ Kündigungsmodalitäten (zum Quartalsende), Eskalations- und Kommunikationswegen bei Unstimmigkeiten (konkrete Ansprechpartner N.N. in der Fachabteilung Kundenservice oder Vertrieb und der IT)

→ freie Wahl des Servicepartners bei Reparaturen aus Menge an zertifizierten Partnern

Beispiel Abomodell für Waschmaschine/Spülmaschine usw. (B2C-Angebot):

Umfang umfasst:

* Serviceinhalt

→ Datenerfassung kundenseitig: Voraussetzung Internet-Anschluss (Rechte und Pflichten

→ Datenübertragung und Anzeige über App (Aktuelle Wäsche, Wasch-Historie, Gerätestatus, Füllstand Betriebsmittel, Bestelloption usw.)

→ Verknüpfung mit Datenschutz-Aspekten

Servicequalität → klare Festlegung auf Zielwerte (ideales Ziel: Stillstandszeit Null, realistisches Ziel:

→ Festlegung, wie lange wo welche „Produktion“ überhaupt ausfallen darf (Bezug: einzelne Waschmaschine oder Waschmaschinengruppe/Linie)

→ rechtzeitige Beseitigung möglicher Störungen, Vereinbarung der Servicearbeiten zum aus Kundensicht günstigsten Augenblick)

- Beispiel Abomodell für Waschmaschine/Spülmaschine usw. (B2C-Angebot):

Umfang umfasst:

* Servicequalität

→ Bereitstellung von Daten in der App: Aktualisierung

spätestens nach 48 Stunden oder spätestens zum Ende des

Abrechnungszeitraums

Servicekosten (einschl. Malus-Regelung)/Konditionen

→ Service kostet je Monat und Gerät/Gerätetyp x Euro, Reparatur selbst wird aufwandsorientiert berechnet, als Service berechnet wird nur die Störungsvorhersage

→ Malus bei Stillstand und abhängig von der Behebungsdauer je Gerät/Gerätetyp Malus y Euro.

→ Auch Produktionsausfälle (nicht produzierte Waren) können vertraglich geregelt entschädigt werden. Alle Preise/Kosten gestaffelt nach Anzahl der eingesetzten Geräte

→ Flexi-Tarife nach Nutzungsintensität der Geräte möglich

→ Abo für Bezug von Reportings/Datenmanagement

* Nachweis der Serviceerbringung (Reporting) → Intranet-basiert)

- Corporate Governance und IT-Governance müssen etabliert sein, ebenso ein unternehmensweites Risikomanagement und seine langfristigen Ziele (strategische Ebene) → Festlegung grundsätzlicher Zielsetzungen, Handlungsrahmen und

-spielräume (betrifft insbes. den grundsätzlichen Umgang mit Risiken aus der Digitalisierung/die Risikoneigung und die Risikotragfähigkeitsgrenze,

Prüfintervalle)

- relevante Vorgaben müssen bekannt sein und verstanden werden → Ableitung von Verpflichtungen und Optionen

- Ursache-Wirkungs-Beziehungen müssen verstanden werden → detaillierte Kenntnis über die Systeme und Daten, Prozesse und Verantwortlichkeiten (sowohl im Risikomanagement selbst, als auch in der Gesamtorganisation allgemein) sowie Folgewirkungen

- Daten müssen in geeigneter Form vorliegen, um analysier- und auswertbar zu sein (bspw. Protokolle von Ereignissen mit Zeitstempeln, Userkennungen usw.)

- geeignete Methoden und Werkzeuge müssen eingeführt, akzeptiert und etabliert (eingeübt) sein → beispielsweise Umgang mit spezieller Software oder speziell programmierten Excel-Sheets

- grundsätzlich muss beim gesamten Personal das Bewusstsein für Risiken vorhanden sein, das Risikomanagement muss akzeptiert sein (es darf nicht als Belastung, sondern als zentraler Bestandteil zur Unternehmenssicherung verstanden werden)

- Vereinbarung darüber, dass Angemessenheit und Wirksamkeit aller Aspekte proaktiv und zyklisch überprüft werden sollen (vor dem Hintergrund der personellen und finanziellen sowie ggf. weiteren Limitationen in einem KMU) → Ziel: laufende Verbesserung des Risikomanagements selbst, aber auch der gesamten Organisation

- Dokumentation aller angesprochenen Punkte im Risikomanagement-Handbuch (freigegeben durch die Unternehmensleitung)

* mindestens ein Gremium zur Risikobewertung (Unternehmensleitung, betroffene Fachbereiche, IT) und Festsetzung der Risikoakzeptanz (Umgang mit konkreten Risiken, Kenntnis der Risikolage)

* Identifikation von Risikomanagern (mind. 2 Personen in der IT wg. Stellvertreterregelung) → sie haben die Aufgabe, Risiken zu bewerten und ggf. umgehend weiterzumelden, ansonsten zu aggregieren und eine Übersicht über die Risikolage zu erstellen

* Benennung von Risikoverantwortlichen (in jeder Fachabteilung, als Process oder Data Owner mit genauen Kenntnissen über Risiken und deren Folgen sowie möglichen sinnvollen, also angemessenen und wirksamen Maßnahmen) → verantwortlich für konkrete Risiken aus der Nutzung der IT

Variante 2:

* kein Gremium, dafür eine Person als Risiko-hauptverantwortliche Person benennen, die an Unternehmensleitung berichtet

* Arbeitsgruppe (aus jeder Abteilung eine Person)

* die Risiko-hauptverantwortliche Person wäre ähnlich dem Risikomanager in Variante 1, ebenso die Mitglieder der Arbeitsgruppe, die den Risikoverantwortlichen in Variante 1 entsprechen

Variante 3:

* Vorstandsmitglied direkt für Risiken verantwortlich (Zusammenlegung der CIOund CIRO-Rolle)

* Einstellen eines Risiko-Experten oder temporäres Hinzuziehen eines externen Beraters, der Know-how intern aufbauen soll

* Übergabe der Verantwortung später dann an die Fachbereiche

* der externe Berater nimmt temporär, der dafür eingestellte neue Mitarbeiter dauerhaft die Rolle des Risikomanagers in Variante 1 ein; bei zunächst ext. Vergabe sollte später ein Risikomanager intern (aus der Mitte der Personen aus den Fachbereichen) aufgebaut werden (das ist aber nicht zwingend notwendig, dann liegt die Rolle des Risikomanagers bei der Position in der Unternehmensleitung → Vorsicht: ggf. hoher zusätzlicher Workload). Die Verantwortlichen für die Risiken in den Fachabteilungen entsprechen in Variante 1 den Risikoverantwortlichen.

- Risikobewusstsein → Awareness → laufendes Awareness-Training für das gesamte Personal, orientiert an den entsprechenden Anforderungen und der

Intensität der IT-Nutzung; muss von Unternehmensleitung ausgehen (Vorbildfunktion – bspw. keine Sonderwege beanspruchen, auf Risiken hinweisen, Handlungsoptionen transparent machen, Entscheidungen nachvollziehbar begründen)

* führt zur Etablierung eines strukturierten Risikomanagement-Prozesses (Identifikation, Analyse, Bewertung, Behandlung) – generell geklärt wird das „Wie“ bei der Ausgestaltung des Risikomanagement-Prozesses, also auch Durchführungs-Intervalle usw.

- Risikokultur

* grundsätzlicher Umgang mit dem Thema „Risiko“

* Umgang mit Fehlern

* Meldewege

- Risikotragfähigkeit/-akzeptanz

* laufende Prüfung der Verfahren zur Tragfähigkeitsermittlung

* laufendes Hinterfragen der Risikoneigung und damit auch der Bereitschaft, bestimmte Risiken zu akzeptieren, andere nicht/weniger → genaues Ausloten der mit bestimmten Aktivitäten verbundenen Chancen und Risiken; Vorsicht: potentieller Innovationshemmschuh („Bedenkenträgertum“)

- Bewusstsein und Kultur für das Thema schaffen → Schulungen

- Fokus: gemeinsame Anstrengung, alle in die Verantwortung nehmen (alle müssen ihren Teil zu einem geregelten Ablauf der Prozesse im Unternehmen beitragen) → wiederkehrende Meetings/Workshops für Fortschrittskontrolle und Problemdiskussionen etablieren

- Grundsatz: in allen Aspekten ein pragmatisches Vorgehen suchen

- Ziel: monetäre, rechtliche und sonstige Risiken (auch Image-/Reputationsschäden) vermeiden

- Richtlinien, Regelungen, Arbeitsanweisungen für die zentralen Punkte im Arbeitsalltag in den jeweiligen Fachabteilungen gemeinsam diskutieren, festlegen, beschließen → Genehmigung durch Unternehmensleitung; in der finalen Fassung in übersichtlicher Form dokumentieren und für alle leicht zugänglich (Intranet) veröffentlichen → kann schrittweise ausgebaut werden → Vorsicht: Bürokratisierung

- Verantwortung klar festlegen → wenn unmittelbar keine Kontrollmöglichkeit besteht, Ersatz schaffen

- wo möglich Kontrollfunktionen in den Anwendungssystemen oder in der genutzten IT insgesamt (auch in Infrastruktur-Komponenten) nutzen oder implementieren (lassen), bspw. (siehe ergänzend auch den zweiten Punkt „Kontrollen“):

* Protokollierungsfunktionen (mit regelmäßiger Durchsicht der Protokolle)

* Verschlüsselung

* usw.

- Awareness-Trainings

- Logische Zugangsregelungen für die IT-Infrastruktur, zentrale Anwendungssysteme und Daten(-banken) → Berechtigungssystem, IAM

- Absicherungen gegen Nutzung fremder Systeme (Laptops, Smartphones usw.) im Unternehmensnetzwerk

- Aufgabentrennung (sog. Segregation of Duty, SOD) → Achtung: Ressourcenknappheit, bspw. können Stichprobenkontrollen durch die vorgesetzte Stelle nicht besetzte Rollen, die normalerweise die SOD-Aufgabe wahrnehmen würden, ersetzen

- Kontrollen in der Software- und Systementwicklung (auch im Engineering, System development life cycle controls) → auch hier: Achtung: Ressourcenknappheit

- Change-Management-Kontrollen → keine unkontrollierten Änderungen an den Systemen (betrifft auch die Engineering- und Manufacturing-IT) → auch hier: Achtung: Ressourcenknappheit, mögliche Lösung wären Team-Abstimmungen und Peer-Reviews vor Produktivsetzung mit Dokumentation aller Vorgänge

- Physische Sicherheitsbarrieren für Gebäude/Räume mit IT (einschließlich Produktions-IT)

- Backup und Recovery-/Business-Continuity-Maßnahmen → ggf. über externe Dienstleister; hierunter fallen auch die Notstromversorgung und alternative Internet-Anbindungen

- Kontrollen für Vollständigkeit, Richtigkeit, Zulässigkeit (auch rechtlich, bspw. Datenschutz) und Genauigkeit → Abstimmungen innerhalb und zwischen den Anwendungssystemen, bspw.:

* Eingabe-/Erfassungs-, Verarbeitungs- und Ausgabekontrollen im Finanzbuchhaltungsbereich (bzw. anderen relevanten Bereichen, etwa Auftragseingang, Versand)

* betrifft aber auch die Produktions-IT, etwa durch Absicherung gegen Eingabe ungültiger Werte in eine Maschinensteuerung.

- weitere Kontrollen aus betriebswirtschaftlicher Sicht, die den Aufbau des IKS selbst flankieren:

* Klärung der Frage, woher finanzielle Mittel zur Zahlung von Schäden stammen (→ Risikotragfähigkeit)

* qualifiziertes Personal → Schulungen (s.o.)

* Vertragsgestaltung (etwa bei Kauf von Anwendungssystemen oder dem Abschluss von (Cloud-)Services mit entsprechend zugesicherten Eigenschaften

– Beurteilung der die IT betreffenden Risiken

– Beurteilung der Übereinstimmung der IT-Systeme mit den gesetzlichen und regulatorischen Bestimmungen

– Beurteilung der Betriebssicherheit und -kontinuität

– Beurteilung des Grades der Vertraulichkeit, Integrität (Fehlerfreiheit, Genauigkeit, Vollständigkeit, Gültigkeit), Verfügbarkeit aller Informationen

– Beurteilung der Sicherheit

– Beurteilung des Grades der Qualität der IT

– Beurteilung des Grades der Verlässlichkeit der IT

– Verbesserung des IT-Risikomanagements und des des ITRisikomanagementprozesses sowie aller von der IT abhängigen Prozesse eines Unternehmens in Bezug auf Steuerungs- und Kontrollmaßnahmen (engl. Controls) zur Risikobehandlung

– Unterstützung der Erreichung der Unternehmensziele

– Verbesserung der Unternehmenssteuerung

– Einhaltung von (internen und externen) Regelungen

– die IT-Prüfung muss so geplant und durchgeführt werden, dass die ITFehlerrisiken aller (einschließlich Produktion/Steuerung) eingesetzten IT-Systeme zutreffend beurteilt werden können

– Während der Prüfung muss festgestellt werden, ob das Unternehmen durch die Einrichtung eines wirksamen internen Kontrollsystems (IKS) in der IT

(einschließlich OT: Maschinen- und Anlagensteuerung) auf die festgestellten Risiken der verwendeten IT-/OT-Systeme angemessen reagiert hat

– Um zu verstehen, wie die Leitungsebene in Fertigung/Steuerung zur Risikobeurteilung kommt und wie sie über die Einrichtung eines IT-/OTKontrollsystems zur Begrenzung möglicher Auswirkungen dieser Risiken entscheidet, müssen alle wesentlichen Regelungen untersucht werden, die auf die Feststellung und Analyse von relevanten IT-Risiken gerichtet sind

– wesentliche Voraussetzung für eine gute Prüfungsdurchführung:

* aktive Mitwirkung der Fachabteilungen – hier also insbesondere auch die Produktionsbereiche bzw. Leitwarte(n)

* kein Machtgefälle zwischen Prüfendem und Geprüftem

* Vorliegen aller relevanten Dokumente (Der Prüfende hat im Rahmen seines Prüfungsauftrags aufgrund der sog. „Audit Charter“ das Recht, alle notwendigen Dokumente und anderen Formen von Nachweisen anzufordern. Im Gegenzug hat der Geprüfte – die Fachabteilungen – alle Informationen bereitzustellen und eine sog. „Vollständigkeitserklärung“ abzugeben)