Checkliste für erfolgreiche Softwareprojekte mit zufriedenen, motivierten Mitarbeitern
Eine der wichtigsten Regeln für erfolgreiche Projekte und für Akzeptanz neuer IT-Lösungen in Unternehmen lautet: Systeme, Prozesse und Werkzeuge müssen einen MEHRWERT für die Anwender bieten!
Wie stellt man sicher, dass Mitarbeiter auch den klaren Mehrwert dieser neuen Lösung erkennen und damit auch arbeiten möchten?
Klare Anwendungsbereiche definieren
Notwendigen Kontext definieren
Auf unterschiedliche Anwendergruppen eingehen
Schließen Sie sich über 250.000 jährlichen Lesern unseres Researchs an. Profitieren Sie von unserem Wissen, indem Sie sich jetzt den kostenfreien Content holen.
Geben Sie bitte Ihre Daten in das obenstehende Formular ein und bestätigen Sie diese durch Absenden des Formulars. Nach wenigen Minuten erhalten Sie eine E-Mail mit dem Link zum Inhalt.
Auf jeden Fall! Wir möchten Ihnen kostenfreies Wissen an die Hand geben, von dem Sie bei Ihrer Arbeit profitieren können. Denken Sie an uns, wenn Sie bei Ihrem nächsten Projekt Unterstützung benötigen!
Wir bitten Sie um einige Angaben im Austausch gegen unsere kostenfreien Inhalte, um Ihnen von Zeit zu Zeit Informationen zuzusenden, die für Sie von Interesse sein könnten.
Da wir im B2B-Bereich tätig sind, akzeptieren wir ausschließlich Registrierungen von Geschäftsadressen. Sollten Sie sich aus bestimmten Gründen mit Ihrer privaten Mailadresse registrieren wollen, kommen Sie bitte direkt auf uns zu: digitalworkplace@barc.de
Sollte es Ihnen nicht möglich sein, Ihre Eingaben durch Absenden des Formulars zu übermitteln, kopieren Sie bitte die URL dieser Seite und öffnen Sie sie in einem anderen Browser. Google Chrome funktioniert in der Regel gut. Sollte Google Chrome nicht funktionieren, probieren Sie es bitte mit Firefox, Microsoft Edge oder Safari.
Wenn Sie auch mehrere Minuten nach dem Absenden des Formulars keine E-Mail erhalten haben, gehen Sie bitte wie folgt vor:
Überprüfen Sie bitte Ihren Spam-Ordner. Ist die Mail hier gelandet? Ist dies nicht der Fall, gehen Sie weiter zu Schritt 2.
Haben Sie sich in Vergangenheit von allen BARC-Mailings abgemeldet? Überprüfen Sie das, indem Sie Ihre Mailadresse in das Formular eingeben. Erscheint unterhalb Ihrer Mailadresse der Text „Sie sind derzeit vom Erhalt von E-Mails abgemeldet. Klicken Sie hier, wenn Sie sich erneut anmelden möchten. Sie erhalten daraufhin eine E-Mail von uns.“? Dann klicken Sie bitte darauf. Nun erhalten Sie eine Mail. Klicken Sie auf den darin enthaltenen Link, um in Ihr „Subscription Center“ zu gelangen. Um E-Mails mit dem Link zu kostenfreien Inhalten zu erhalten, wählen Sie bitte „BARC products and services“ aus. Füllen Sie nun das Formular erneut aus. Wenn Sie daraufhin immer noch keine Mail erhalten, dann lesen Sie bitte bei Schritt 3 weiter.
Sind unsere Versanddomains in Ihrem Unternehmen geblockt? Dies könnte der Fall sein, wenn auch Ihre Kollegen keine BARC-Mailings erhalten. Bitte beantragen Sie bei Ihrer IT/Ihrem E-Mail-Team, dass die E-Mail-Versanddomain von BARC zur Positivliste hinzugefügt wird. So können Sie E-Mails von BARC erhalten. Auch das war nicht das Problem? Dann ab zu Schritt 4.
Es scheint, als sei uns ein Fehler unterlaufen. Dafür entschuldigen wir uns. Bitte wenden Sie sich an digitalworkplace@barc.de und schildern Sie Ihr Problem genauestens, wenn möglich mit Screenshots. Wir kümmern uns schnellstmöglich um die Lösung. Versprochen!
Tipps für erfolgreiche Projekte im Umfeld des Invoicing / der automatischen Rechnungseingangsbearbeitung
Die Checkliste umfasst
wichtige Aspekte bei der Analyse und Konzeption
Themen für zukunftssichere Lösungen
Software ist nicht alles – die Wahl des richtigen Partners
Schließen Sie sich über 250.000 jährlichen Lesern unseres Researchs an. Profitieren Sie von unserem Wissen, indem Sie sich jetzt den kostenfreien Content holen.
Geben Sie bitte Ihre Daten in das obenstehende Formular ein und bestätigen Sie diese durch Absenden des Formulars. Nach wenigen Minuten erhalten Sie eine E-Mail mit dem Link zum Inhalt.
Auf jeden Fall! Wir möchten Ihnen kostenfreies Wissen an die Hand geben, von dem Sie bei Ihrer Arbeit profitieren können. Denken Sie an uns, wenn Sie bei Ihrem nächsten Projekt Unterstützung benötigen!
Wir bitten Sie um einige Angaben im Austausch gegen unsere kostenfreien Inhalte, um Ihnen von Zeit zu Zeit Informationen zuzusenden, die für Sie von Interesse sein könnten.
Da wir im B2B-Bereich tätig sind, akzeptieren wir ausschließlich Registrierungen von Geschäftsadressen. Sollten Sie sich aus bestimmten Gründen mit Ihrer privaten Mailadresse registrieren wollen, kommen Sie bitte direkt auf uns zu: digitalworkplace@barc.de
Sollte es Ihnen nicht möglich sein, Ihre Eingaben durch Absenden des Formulars zu übermitteln, kopieren Sie bitte die URL dieser Seite und öffnen Sie sie in einem anderen Browser. Google Chrome funktioniert in der Regel gut. Sollte Google Chrome nicht funktionieren, probieren Sie es bitte mit Firefox, Microsoft Edge oder Safari.
Wenn Sie auch mehrere Minuten nach dem Absenden des Formulars keine E-Mail erhalten haben, gehen Sie bitte wie folgt vor:
Überprüfen Sie bitte Ihren Spam-Ordner. Ist die Mail hier gelandet? Ist dies nicht der Fall, gehen Sie weiter zu Schritt 2.
Haben Sie sich in Vergangenheit von allen BARC-Mailings abgemeldet? Überprüfen Sie das, indem Sie Ihre Mailadresse in das Formular eingeben. Erscheint unterhalb Ihrer Mailadresse der Text „Sie sind derzeit vom Erhalt von E-Mails abgemeldet. Klicken Sie hier, wenn Sie sich erneut anmelden möchten. Sie erhalten daraufhin eine E-Mail von uns.“? Dann klicken Sie bitte darauf. Nun erhalten Sie eine Mail. Klicken Sie auf den darin enthaltenen Link, um in Ihr „Subscription Center“ zu gelangen. Um E-Mails mit dem Link zu kostenfreien Inhalten zu erhalten, wählen Sie bitte „BARC products and services“ aus. Füllen Sie nun das Formular erneut aus. Wenn Sie daraufhin immer noch keine Mail erhalten, dann lesen Sie bitte bei Schritt 3 weiter.
Sind unsere Versanddomains in Ihrem Unternehmen geblockt? Dies könnte der Fall sein, wenn auch Ihre Kollegen keine BARC-Mailings erhalten. Bitte beantragen Sie bei Ihrer IT/Ihrem E-Mail-Team, dass die E-Mail-Versanddomain von BARC zur Positivliste hinzugefügt wird. So können Sie E-Mails von BARC erhalten. Auch das war nicht das Problem? Dann ab zu Schritt 4.
Es scheint, als sei uns ein Fehler unterlaufen. Dafür entschuldigen wir uns. Bitte wenden Sie sich an digitalworkplace@barc.de und schildern Sie Ihr Problem genauestens, wenn möglich mit Screenshots. Wir kümmern uns schnellstmöglich um die Lösung. Versprochen!
Trotz der zunehmenden Digitalisierung in Unternehmen bleiben die wesentlichen Aufgaben des Kundenbeziehungsmanagements, Kunden zu finden, zu gewinnen, zu begeistern sowie nachhaltig zu entwickeln. Allerdings haben sich sowohl die Möglichkeiten als auch die Herausforderungen heute deutlich geändert. Es gilt, verschiedene digitale Kanäle zielgerichtet zu verbinden und dabei aber auch den direkten Kontakt – wo möglich – gezielt einzusetzen.
Neben das „klassische“ Kundenbeziehungsmanagement bzw. Customer Relationship Management (CRM) treten dabei erweiterte Ansätze wie Customer Experience Management (CXM), Customer Journey Management, Customer Excellence, Customer Engagement sowie Empathisches CRM, welche alle verdeutlichen, dass ein besseres Verständnis der Wünsche und Bedürfnisse der Kunden ebenso erforderlich ist wie ein darauf aufbauendes zielgerichtetes Handeln. Gleichzeitig dürfen aber auch die Anforderungen der Partner und Mitarbeiter nicht außer Acht gelassen werden. Es braucht also ganzheitliche Konzepte und Lösungen.
Viele Unternehmen sind geprägt von zahlreichen Barrieren im CRM. Die einzelnen Abteilungen sind kaum vernetzt, die Daten getrennt und es werden separate, nicht verbundene Systeme eingesetzt. Das alles steht der übergreifenden Vision im Weg, die Kunden wirklich zu verstehen und ihre Interaktionen mit dem Unternehmen ganzheitlich wahrnehmen zu können (360°-Sicht) sowie darauf aufbauend schnell, flexibel, personalisiert und (pro-)aktiv zu handeln.
Dies erfordert nicht nur gute Informationen und Prozesse zur Kundschaft, sondern auch eine Unterstützung der internen Abläufe (End-to-end-Prozesse). Nicht nur die Kundenkommunikation in Marketing, Call Center, Vertriebsaußendienst etc. muss betrachtet werden, sondern auch eine nahtlose Anbindung an den Vertriebsinnendienst, das CRM-System, die Leistungserstellung etc. ist wichtig. Nur so können die Flexibilität und Reaktionsschnelligkeit auch wirklich ausgespielt werden. Die der Kundschaft gemachten Versprechungen müssen auch eingehalten werden können.
Das unternehmensweite Sammeln und Analysieren von Daten mit Kundenbezug sind dabei wesentliche Voraussetzungen für ein gutes Verständnis der Wünsche und Bedürfnisse der Interessenten und Käufer – aber dieses Wissen ist nutzlos, wenn dies nicht auch über entsprechende Maßnahmen umgesetzt wird: intern und gegenüber der Kundschaft.
Ganzheitliches Customer Experience Management erfordert die Verbindung verschiedener Kommunikationskanäle zu einer übergreifenden Kundenreise und einem gemeinsamen Kundenerlebnis. Dabei gilt es, die Stärken der jeweiligen Kanäle zu nutzen und so zu kombinieren, dass der Kunde / Interessent schrittweise an die Inhalte und Angebote herangeführt wird. Die Ansprache sowie die Verdeutlichung der Anwendungsmöglichkeiten und Mehrwerte der angebotenen Leistungen kann so sukzessive an die Präferenzen der Kundschaft angepasst werden. Leider werden in der Praxis noch viel zu viele isolierte Initiativen gestartet und es wird den Kunden überlassen, die Informationen zu verbinden und den nächsten Schritt selbst zu suchen.
Durch getrennte Abteilungen und Kommunikationskanäle sind in vielen Unternehmen getrennte Prozess- und Informationswelten entstanden. Die Werkzeuge haben Vorteile für die jeweilige (Teil-)Aufgabenstellung, werden aber nicht in ein übergreifendes Beziehungsmanagement integriert. Durch Cloud- und Software-as-a-Service-Angebote verändert sich die Applikationslandschaft, was viele Unternehmen noch nicht wirklich im Zuge ihrer digitalen Transformation zusammengeführt haben. Darunter leidet die Customer Experience, da die Kommunikation viel zu oft uneinheitlich und unkoordiniert erfolgt.
CRM, CXM und der Digital Workplace
Gutes Kundenbeziehungsmanagement erfordert gute Informationen und die Möglichkeit, schnell handeln zu können. Damit sind CRM und CXM bereits auf den Digital Workplace ausgerichtet. Durch die Veränderungen zu digitalen Geschäftsmodellen, stärker vernetzte Organisationen und nicht zuletzt die gestiegenen Kundenanforderungen an Flexibilität und Individualisierung kommt dem Digital Workplace eine hohe Bedeutung zu.
Eine Grundvoraussetzung ist die Verbindung von Daten und Prozessen für die gezielte Kommunikation. Daten zu Interessenten und Kunden werden erfasst, ausgewertet und verdichtet. Werkzeuge wie eine Customer Data Platform (CDP) erlauben es, Informationen zu Kunden, Interessenten und Partnern aus unterschiedlichen Quellen zu verbinden und daraus handlungsorientiertes Wissen abzuleiten. Durch die Bildung von Mustern und die Ableitung von Regeln kann so direkt auf Aktionen und neue Erkenntnisse reagiert werden.
Dabei wird die Aufbereitung der Informationen in mehreren Stufen durchgeführt. Daten werden gesammelt und durchlaufen verschiedene Qualitätsprüfungen (bspw. Dubletten, Vollständigkeit, Formate) um als Golden Record die zentrale Wahrheit im System darzustellen. Auf dieser Basis erfolgt anhand der definierten Ziele die weitere Aufbereitung, bspw. gezielte Attribute für die Ansprache von Neukunden oder den Ausbau von Bestandskunden. Die Daten werden dabei so aufbereitet und bereitgestellt, dass sie direkt bedarfsgerecht genutzt werden können – durch die menschlichen Experten oder automatisiert durch Systeme (bspw. in Form der gezielten Ansprache über Marketing Automation).
Ein zentraler Aspekt für die Unterstützung der Anwender ist das Zusammenführen der Informationen und die Darstellung in entsprechenden Übersichten bzw. Dashboards. Die verantwortlichen Mitarbeiter müssen schnell handeln können, wenn sich Chancen ergeben oder Risiken drohen. Dabei werden verschiedene Arten von Informationen zusammengeführt, bspw. Profile mit aktuellen Handlungen, um darauf Regeln zur Einschätzung und Empfehlungen zur weiteren Bearbeitung anzuwenden.
Digital Workplace im Kundenbeziehungsmanagement: Informationen erkennen, verstehen und nutzen können
Der Digital Workplace verbindet die interne und externe Kommunikation. Die Zusammenarbeit in den Abteilungen: Vertriebsaußendienst, Innendienst, Marketing und Service wird durch die gemeinsame Informationsbasis und die darauf aufbauende, zielgruppengerechte Darstellung der relevanten Sichten unterstützt. Ebenso ist ein übergreifendes Prozessmanagement wichtig. So können bspw. Außendienstmitarbeiter direkt erkennen, auf welche Marketingaktionen bestimmte Kunden reagiert haben und dies in ihre Vertriebsaktivitäten einfließen lassen. Umgekehrt gehen Merkmale aus den Besuchsberichten in die Profile der jeweiligen Kunden ein, um so zukünftige Marketingaktionen noch genauer steuern zu können.
Die Ausgestaltung des Digital Workplace unterscheidet sich dabei je nach Anwendergruppe. Grundlage ist zumeist ein übergreifendes CRM-System, welches aber bedarfsgerecht ergänzt wird. Social Monitoring, Marketing Automation und Webseiten Tools (Web Content Management) sind Beispiele für Spezialanwendungen im Marketing, um so ein noch genaueres Verständnis über (potenzielle) Kundschaft sowie eine noch bessere Customer Experience zu ermöglichen. Für den Vertriebsaußendienst werden oft spezielle mobile Clients genutzt. Für den Service können Helpdesk-Systeme oder Field-Service-Anwendungen wertvolle Ergänzungen im Digital Workplace sein.
Gezielter Einsatz neuer Technologien: KI für Datenanalyse und Prozesssteuerung
Insbesondere bei CRM und CX gibt es eine Reihe von neuen Werkzeugen und Ansätzen rund um die Erfassung, Analyse und das Ausspielen von Informationen im Kundendialog. Teilweise entsteht der Eindruck, dass man keine menschlichen Experten für Marketing, Vertrieb und Service mehr benötigen würde, da die Systeme ja alles allein durchführen könnten.
Gut genutzte Künstliche Intelligenz (KI) ist aber keine Verdrängung des Menschen, sondern ein Werkzeug zur Befähigung. Mehr Effizienz und neue Möglichkeiten zur Bearbeitung der Aufgaben ergeben sich aus dem gezielten Einsatz von Werkzeugen für das Erkennen und Interpretieren von Informationen sowie für die Personalisierung und Automatisierung von Teilen der Kundenkommunikation. Damit hat der menschliche Mitarbeiter mehr und bessere Informationen, um zu entscheiden, und mehr Werkzeuge, die ihn von oft zeitraubenden Routinetätigkeiten entlasten. Die Arbeitsinhalte werden spannender und der Mitarbeiter kann seine Expertise besser einbringen. Gleichzeitig wird damit auch ein Mehrwert für die Kunden geschaffen: besser vorbereitete und besser verfügbare Ansprechpartner und schnelle Reaktionen bei Standardfällen durch Automation. Zudem hilft KI, bessere Profile zu erstellen und so die Kommunikation an die Wünsche des Kunden anzupassen.
Phasen und Arbeitspakete für besseres Kundenverständnis und Customer Experience Management
Künstliche Intelligenz wird in der besseren Profilbildung, aber auch in der Steuerung der Kommunikation eingesetzt. Stamm- und Bewegungsdaten können zur Ausgestaltung des Contents und bei der Wahl von Kanal und Zeitpunkt der Ansprache genutzt werden. Website-Chat und Chatbots dienen dem Übergang von der Präsentation von Inhalten zur Interaktion und damit der stärkeren Einbindung des Kunden.
Online-Präsentationen und Konferenzen werden aktuell im B2C und insbesondere im B2B verstärkt, um die Einschränkungen im persönlichen Kontakt auszugleichen. Wesentlicher Bestandteil der Customer Experience ist die Möglichkeit der Interaktion, bei der ein Kunde sich einbringen, seine Wünsche äußern und auf seinen Bedarf zugeschnittene Informationen bekommen kann. Die Ziele bleiben gleich, aber die Mittel werden angepasst.
Hohe Potenziale für die moderne Kundenwahrnehmung ebenso wie den Digital Workplace der Fachexperten bieten auch die Möglichkeiten der Augmented und Virtual Reality. Diese werden für immer mehr Produkte eingesetzt, um die Leistungen bereits in der Vertriebs- und Planungsphase von Kundenprojekten erlebbar zu machen. Die Customer Experience wird dadurch unterstützt, dass schnell die potenzielle Anwendung der Produkte und Leistungen von der Kundschaft selbst ausprobiert und erlebt werden kann. Zudem bestehen meist Möglichkeiten der schnelleren Erfassung und Änderung von Konfigurationsdaten, also zum flexibleren Eingehen auf Kundenwünsche bspw. bei Änderungen und Ergänzungen.
Im Bereich der Kundenkommunikation helfen Marketing-Automation-Systeme, Masse mit Klasse zu verbinden. Den Kunden können anhand ihrer Personas und Kauf- oder Bewegungsprofile Informationen bereitgestellt werden, die möglichst genau die aktuellen Bedürfnisse ansprechen. Die Personalisierung geht dabei über eine reine Anrede hinaus, unter anderem werden der Zeitpunkt, der Kanal und der Inhalt entsprechend der Kundenwünsche ausgerichtet. Dies umfasst bspw., welche Produkte und welche Art der Ansprache (bspw. Betonung der Technologie, der Nachhaltigkeit oder eines Lebensgefühls) gewählt werden. Solche Kampagnen sollten nicht auf die einmalige Bereitstellung von Angeboten beschränkt sein, sondern die interaktive Kommunikation und damit die Kundenbindung fördern. Reaktionen können genutzt werden, um die Profile, Regeln und Abläufe noch weiter zu verbessern. Dabei müssen verschiedene Kanäle (bspw. E-Mail, Web, Social, direkter Kontakt) zu einer übergreifenden Kundenbetreuung verbunden werden.
Klare Strategien schaffen: Vision und einzelne, schnell durchführbare Projekte
Die genannten Beispiele zeigen, welche Potenziale die Werkzeuge für modernes Customer Experience Management und CRM bieten – und verdeutlichen gleichzeitig den Handlungsbedarf. Um sich in einem umkämpften Markt durchzusetzen reicht es kaum aus, gute Produkte zu haben. Das Zusammenspiel mit dem Kundenverständnis und der Kundenkommunikation mit den Produkten und der Erbringung von Services erzeugt gemeinsam das Bild, welches der Kunde vom Unternehmen hat.
Gerade die Kombination aus Produkten und Leistungen kann hier ein entscheidender Faktor bei der Gestaltung der Customer Experience sein. Durch gezielte Informationen werden die Nutzungsmöglichkeiten und Vorteile verdeutlicht, was es dem Kunden einfacher macht, diesen Nutzen auch selbst zu erleben. Weitere Dienste und Services können das Produkt ergänzen – und in den Augen des Kunden deutlich attraktiver erscheinen.
Der Digital Workplace im CRM ermöglicht dabei die Verbindung der verschiedenen Spezialsysteme zu einer übergreifenden Informations- und Prozesslandschaft, um so eine ganzheitliche Strategie der Gewinnung, Betreuung und Entwicklung von Kunden umzusetzen. Für den einzelnen Anwender ist der digitale Arbeitsplatz entsprechend seiner Bedürfnisse ausgestaltet, bspw. ein entsprechendes Cockpit für den Kampagnenspezialisten im Marketing oder eine zentrale Kundenakte für den Vertriebsaußendienst. Aber im Hintergrund werden diese Informationswelten verknüpft, um übergreifende Sichten und insbesondere Handlungen zu ermöglichen.
Auch der Weg zu besserem Kundenverständnis und gezielterer Kundenansprache beginnt mit dem ersten Schritt. Überlegen Sie sich, wie Sie zukünftig arbeiten wollen. Verdeutlichen Sie sich Ihre Stärken (Was Sie insbesondere in den Augen der Kundschaft gut machen) und wo Sie Lücken oder Verbesserungspotenziale haben. Hinterfragen Sie kritisch Ihre Werkzeuge, Prozesse und Informationsstrukturen. Informieren Sie sich über neue technische Möglichkeiten, aber lassen Sie sich auch nicht durch Versprechungen der Automation und Künstlichen Intelligenz blenden. Binden Sie auch die Erfahrungen und Vorschläge Ihrer Mitarbeiter ein – sowohl der erfahrenen „alten Hasen“ als auch der „unverbrauchten“ neuen Kollegen mit einem frischen Blickwinkel.
Dies alles dient dazu, eine Vision zu erarbeiten um daraus eine Strategie sowie eine Roadmap abzuleiten. Leiten Sie einen realistischen Plan ab, wie Sie zukünftig agieren wollen und welche Schritte dazu erforderlich sind. Erfahrene Marktanalysten und Berater unterstützen Sie gerne dabei.
Die weitreichende Digitalisierung und insbesondere die Zusammenführung wesentlicher Informationen und Funktionen im Digital Workplace erfordert gute Sicherheitskonzepte – auf mehreren Ebenen. Immer wieder werden Entscheider durch entsprechende Berichte aus der Presse auf diese Gefahren hingewiesen – oder sie werden sogar selbst Opfer von Cyber-Kriminalität. Daher ist Security fest im Modell des Digital Workplace verankert.
“Richtige Daten sind Gold wert“ – das lockt leider auch verschiedene Gefahren an. Nicht nur die datenhaltenden Systeme, auch die entsprechenden Prozesse müssen abgesichert werden.
Immer wieder werden Hackerangriffe, aber auch Malware & Ransomware publik, welche den Unternehmen enormen finanziellen Schaden zufügen und das Außenbild belasten. Man ist nicht mehr arbeitsfähig, verliert Vertrauen bei Kunden und Partnern und auch die Belastung der Mitarbeiter ist hoch. Zudem sind Datenmitnahmen ein Risiko, es droht der Verlust wertvoller Informationen.
Durch die immer stärkere Digitalisierung und Vernetzung erhöhen sich die Risiken, da ausgefallene bzw. blockierte Systeme ganze Prozesskette behindern und Datenlecks ebenso ganze Geschäftsfelder gefährden. Gleichzeitig hat die Anzahl der Geräte und Knotenpunkte durch die Arbeit von Zuhause, teilweise mit eigenen Endgeräten (BYOD: Bring your own device) die Anzahl der Angriffspunkte erhöht.
Immer mehr Informationen gehen über immer mehr Kanäle ein, was es für die Anwender noch schwieriger macht, nicht auf infizierte Anhänge, falsche Webseiten, Phishing (Passwortdiebstahl durch Vorgaukeln vertrauenswürdiger Kommunikationspartner) und Identitätsdiebstahl hereinzufallen.
Zudem steigt leider auch die Qualität der Schadsoftware – teilweise enthalten beispielsweise betrügerische E-Mails korrekte Empfängerdaten und imitieren den Auftritt namhafter Firmen häufig sehr gut.
Verstärkt werden diese Tendenzen durch Veränderungen in der IT-Landschaft, durch Cloud- und Software-as-a-Service-Angebote, vernetzte Best-of-Breed-Architekturen, mehr mobile Endgeräte und auch IoT gibt es viel mehr Knotenpunkte im gesamten Netzwerk, welche angegriffen werden können.
Eine Aktualisierung der bisherigen IT-Strategie ist dringend erforderlich. Allerdings konnten insbesondere bedingt durch Covid-19 längst nicht alle Projekte mit umfangreicher Vorlaufzeit geplant werden – es mussten schnell Lösungen geschaffen werden. Und diese gilt es nun abzusichern. Hier setzt der Secure Workplace an.
Für den umfassenden Schutz der Daten und Prozesse sowie die schnelle Erkennung und Eindämmung von Gefahren braucht es gute Werkzeuge, welche sowohl Ihre Sicherheitsverantwortlichen als auch Ihre Mitarbeiter unterstützt.
Wesentliche Ebenen der Sicherheit
Gerade der Digital Workplace ist durch eine Verknüpfung verschiedener Systeme und Datenablagen gekennzeichnet. Dies erhöht die Risiken und erzeugt eine höhere Abhängigkeit – es gibt mehr Einfallstore und der Ausfall eines Bausteins kann die gesamte Prozesskette stören.
Anforderungen an die Sicherheit im Digital Workplace
Die Absicherung des Digital Workplace bezieht sich auf verschiedene Ebenen.
Speicherung der Informationen: Absicherung der Ablage- und Verwaltungsschichten, betreffend Inhalte, Systeme und Geräte. Oft sind Inhalte verteilt auf verschiedene Systeme (Datenbanken, Analytics-Anwendungen, Fachsysteme mit eigener Datenhaltung, ECM-Systeme für Dokumente, Media-Asset-Management etc.). Die Sicherheitskonzepte betreffen diese Verwaltungssysteme als auch die Informationen selbst (Verschlüsselung, digitale Wasserzeichen etc.). Zudem müssen die Geräte selbst abgesichert werden (insbesondere mobile Endgeräte), da auch sie Angriffspunkte sind.
Nutzung und Austausch der Informationen: Verwendung der Daten in den Geschäftsprozessen über verschiedene Ebenen hinweg: innerhalb eines Teams, unternehmensweit, Austausch mit Partnern, Austausch mit Kunden. Auf allen diesen Ebenen (und den Zwischenformen) muss gewährleistet sein, dass eine klare Kontrolle besteht, welche Informationen mit wem in welcher Form für welchen Zeitraum geteilt werden.
Identitäts- und Rechtemanagement: Authentifikation und Autorisierung: Ist der Ansprechpartner der, für den er sich ausgibt, und welche Inhalte und Funktionen darf diese Person verwenden? Dies ist insbesondere bei übergreifenden Prozessen im Digital Workplace eine Herausforderung, da unterschiedliche Systeme verschiedene Arten von Berechtigungen ermöglichen und eigene Rollen- und Rechtekonzepte haben, welche in Einklang gebracht werden müssen. Gleichzeitig sollen die Prozesse nicht ausgebremst und die Mitarbeitende nicht demotiviert werden (Zugriff auf erforderliche Informationen sicherstellen, single-sign-on als wesentliche Arbeitserleichterung etc.)
Organisatorische Maßnahmen: Bewusstsein für den korrekten Umgang mit Informationen und inhaltliche Eingrenzung durch gutes Prozessdesign. Viele Gefahrenquellen liegen in der fahrlässigen Nutzung von Informationen. Durch das entsprechende Design der Prozesse und Sichten kann eingeschränkt werden, wer welche Informationen sieht oder mit ihnen arbeiten kann. Gute Schulungen vermitteln, welche Arbeitsweisen unsicher sind und wie man generell mit Informationen umgehen solle.
Aus diesen Ebenen abgeleitet ergeben sich verschiedene Arten von Maßnahmen zum Schutz der Informationen, Prozesse und Systeme. Allerdings zeigt sich deutlich, dass einzelne Aktivitäten auch immer nur einen Teil der Gefahren adressieren, also eine Verbindung der verschiedenen Maßnahmen erforderlich ist.
Absicherung der Strukturen bzw. Geräte: Zugangssicherungssysteme, Härtung mobiler Endgeräte etc.: Gerade hier haben die Digitalisierung und Remote Work dazu geführt, dass viele klassische Konzepte des Schutzes von Gebäuden und Firmennetzwerken an ihre Grenzen stoßen. Homeoffice, grundsätzlich mobiles Arbeiten und Bring your own device (BYOD) haben die Zugangspunkte vervielfacht. Daher sind solche Konzepte allein nicht mehr ausreichend.
Absicherung der Systeme: Schutz von Anwendungssoftware, Datenbanken etc. gegen unbefugte Zugriffe und Schadprogramme: Dies ist weiterhin ein wichtiger Baustein und Autorisierungs- und Berechtigungskonzepte sind weiterhin ein wesentlicher Bestandteil aller Softwareprojekte (Wer darf wann was mit welchen Informationen tun?). Allerdings gibt es mittlerweile eine Vielzahl von Schadprogrammen, welche entweder zu schwache Passwörter „knacken“ oder herausfinden (bspw. Keylogger, Phishing) können. Dies erfolgt auf technischer Ebene oder durch gezielte Täuschung der Anwender („Geben Sie hier Ihr Passwort ein, um die Sperrung Ihres Accounts zu verhindern“). Auch vor Fehlbedienung oder bewusster Manipulation oder Spionage schützen diese Maßnahmen nur bedingt.
Absicherung der Informationen: Schutz auf Ebene der Datensätze oder Dateien Durch Rollen- und Berechtigungskonzepte kann eingeschränkt werden, wer welchen Zugang zu Informationen erhält. Um gerade in übergreifenden Prozessen eine stärkere Kontrolle zu erhalten, können temporäre Zugangsrechte eingeräumt oder digitale Schutzmaßnahmen auf den Dateien selbst ergriffen werden (insbesondere Verschlüsselung, Öffnen nur mit bestimmten Apps etc.).
Absicherung der Prozesse: Schaffung der Rahmenbedingungen und des Bewusstseins zur Fehlervermeidung und Gefahrenabwehr Durch eine gezielte Steuerung der Anwender zu den relevanten Inhalten und die bedarfsgerechte Bereitstellung von Informationen werden die Gefahren eingeschränkt, (versehentlich) Daten zu verändern, zu löschen oder unberechtigt weiterzugeben. Klare Rollenkonzepte helfen bei der Umsetzung ebenso wie strukturierte Workflows, welche den erforderlichen Kontext für die Auswahl der jeweils relevanten Inhalte und Funktionen liefern. Neben dieser „Werkzeugebene“ muss auch die „Nutzerebene“ betrachtet werden: gute Schulungen und die Schaffung eines Bewusstseins sowohl für die potenziellen Gefahren als auch für den verantwortlichen Umgang mit Informationen sind wesentliche Eckpfeiler eines Schutzkonzepts.
Wesentliche Arten von Gefahren
Die Informationen und Systeme werden auf sehr unterschiedlichen Ebenen angegriffen. Einfallstore gibt es viele, von manipulierten Dateien und Systemen über Angriffe auf Netzwerke bis hin zu gezielter Spionage. Es lassen sich folgende wesentliche Klassen unterscheiden:
Viren und Würmer, welche das Verhalten der Systeme verändern (Einschränkung Funktionalität, Weitergabe Daten, Nutzung der Infrastruktur des infizierten Systems zur Weiterverbreitung oder zum Versenden von Spam etc.)
Trojaner: Schadsoftware zum Ausspähen von Systemen durch unterschiedliche Ansätze, Sammlung und Weitergabe von Daten (auch Passwortdaten) sowie zur Beeinträchtigung von Systemen und Speichern bis hin zur völligen Blockade einer Nutzung (Krypto-Trojaner, Ransomware: Sperrung der Systeme und Verschlüsselung der Daten, um Lösegeld zu erpressen)
Netzwerkangriffe wie bspw. (Distributed) Denial of Service, um eine Webseite oder ein Service-Angebot zu blockieren und so zu Umsatzverlusten und Kundenunzufriedenheit zu führen. Auch IoT-Anwendungen werden verstärkt angegriffen, um so Zugriffe zu sensiblen Inhalten zu erhalten.
Gefahren aus der Nutzung: Die Anwender selbst sind ein weiteres Risiko. Neben gezielter Spionage (Weitergabe von Firmeninformationen) sind vor allem mangelndes Bewusstsein und fehlendes Verständnis für die Systeme Gründe für entsprechende Lücken. Beispielsweise werden immer wieder schützenswerte Informationen einfach über E-Mails versendet oder weitreichende Zugriffe auf Austauschordner gewährt.
Innerhalb der Klassen ist eine weitere fachliche Unterteilung möglich. Aus Sicht der Entscheider wird deutlich, dass eine Maßnahme (wie bspw. die Nutzung einer Firewall) nicht ausreichend ist, um Security zu unterstützen.
Insbesondere durch die stärkere Digitalisierung und Verteilung (Nutzung mobiler Endgeräte, Remote Work etc.) gibt es immer mehr Angriffspunkte. Während manche Angriffe schnell bemerkt werden können (bspw. Blockade der Systeme) werden andere oft lange nicht erkannt (Spyware: Abfluss von Daten).
Wesentliche Arten der Schäden
Security ist kein reines IT-Thema, es hat wesentlichen Einfluss auf die Unternehmenstätigkeit. Nicht zuletzt die Berichte über Krypto-Trojaner und die damit verbundenen handlungsunfähigen Unternehmer haben die Entscheider aufhorchen lassen. Über die verschiedenen Klassen von Angriffen ergeben sich für die Unternehmen verschiedene Gefahrenklassen:
Verlust von Informationen (Löschen oder Sperren für den Zugriff): operative Prozesse können nicht durchgeführt werden
Manipulation von Informationen: Falsche Ergebnisse von Berechnungen, Analysen oder Geschäftsprozessen, Weiterleitung auf Fake-Seiten (oft mit weiterer Schadsoftware) etc.
Verletzung Datenschutz, Datenabfluss an unberechtigte Personen: Imageschaden, Gefahr für die Kunden (Identitätsdiebstahl, Nutzung Kontodaten etc.) und Einschränkung der Geschäftstätigkeit (Herunterfahren und Prüfen der Systeme kostet Zeit, in denen die Anwendungen nicht zur Verfügung stehen)
Allen gemeinsam ist, dass durch diese Gefahren direkter Schaden entsteht (bspw. Umsatzverluste durch Ausfall der Systeme) als auch indirekter Schaden (verlorenes Vertrauen beeinträchtigen die zukünftige Geschäftstätigkeit).
Neben den Interessenten und Kunden müssen in diesem Zusammenhang auch Partner berücksichtigt werden, deren Daten und Systeme ebenso wie ihre Geschäftstätigkeit direkt und indirekt unter Angriffen leiden können. Zudem werden Mitarbeitende frustriert, verunsichert und in ihrer Produktivität gestört.
Ebenen der Security im Digital Workplace
Wesentliche Maßnahmen
Aufgrund der Vielzahl von Angriffsmöglichkeiten ist Sicherheit ein vielschichtiges Thema, bei dem unterschiedliche Arten von Werkzeugen genutzt werden, um die Systeme, Daten und Prozesse abzusichern:
Verzeichnisdienste: Übergreifende Identifikation und Legitimation
Schutz gegen Schadsoftware: Virenscanner, Sicherheitseinstellungen in Software (Z. B. Abstellen von Makros) etc.
Schutz gegen Informationsdiebstahl: gesicherte Identifikation und Übertragungswege, Spam-Schutz (vgl. auch Phishing), Sperren Ports, Mitarbeiterschulungen …
Schutz gegen Attacken von außen: Firewalls, Write-once-Backup, Netzwerke (Gezielte Eingrenzung der Kommunikationswege und der beteiligten Systeme / Geräte)…
Schutz gegen Gefahren von innen: Analyse von Bewegungsmustern, Identifikation von Risiken (SIEM – Security Information and Event Management), …
Schutz der Inhalte: Verschlüsselung (Daten, Übertragungswege), sowohl grundsätzlich bei der Datenhaltung als auch bedarfsgerecht bei der Nutzung: Analyse der Informationen und Verschlüsselung beim Austausch: Anhang an Mail, Übertragung auf USB-Stick, Backups etc.
Endpoint Security: Härtung von Geräten, eindeutige Identifikation
Diese Werkzeuge sind in übergreifende Sicherheitskonzepte eingebunden. Für das umfassende Erkennen und Handeln sind folgende Funktionsbausteine wichtig:
Monitoring und Audits: Überwachung der Systeme, sowohl auf der Ebene einzelner Systeme als auch übergreifend
Analyse und Filter: Bewertung der Datenströme, Erkennen von Mustern und insbesondere Abweichungen von Mustern / Anomalien
Alerts: Aufzeigen von erkannten (potenziellen) Problemen und Gefahren
Automatismen: direkte Reaktionen
Für das Ausrollen der Sicherheit auf alle Endpunkte und Daten: automatische Prüfung, Anstoßen Prozesse für aufwandsarmes Einbinden von neuen Geräten, regelbasierte Verschlüsselung etc.
Als Reaktion auf erkannte (mögliche) Gefahren: Sperren von Datenflüssen oder Geräten, Konten, Benachrichtigung des Sicherheitsteams
Detailbetrachtung und Gefahrenabwehr: Werkzeuge für die IT-Sicherheitsspezialisten, um die Ausgangspunkte und Art des Angriffs genau zu identifizieren, gezielte Gegenmaßnahmen einzuleiten, ggf. verantwortliche Mitarbeiter zu informieren – und teilweise Gegenmaßnahmen zu starten
Dabei werden verschiedene Ansätze zur Umsetzung der Sicherheit kombiniert: Maßnahmen im Backend (Backend: Netzwerke, Datenbanken, Applikationen, …), Maßnahmen im Frontend / End Point (Absicherung der Interaktionen der Anwender, Nutzung der Geräte und Funktionen, …) und Maßnahmen auf Prozessebene, da diese wertvollen Kontext zur Bewertung der Zugriffsarten bietet.
Security im Digital Workplace
Schon bei der Formulierung der Vision müssen die Aspekte der Absicherung der Informationen und Prozesse berücksichtigt werden. Auf der organisatorischen Ebene sind Themen wie RiskManagement, Compliance ebenso wie Change-Management und Schulungen wesentliche Aspekte bei der Konzeption und Umsetzung der Sicherungsaspekte auf den verschiedenen Ebenen.
Die „technische“ Umsetzung von Security erfolgt auf verschiedenen Ebenen. Die einzelnen Systeme müssen in das übergeordnete Rollen- und Berechtigungskonzept eingebunden werden, indem die entsprechenden Konzepte in den Werkzeugen umgesetzt sowie entsprechende Schnittstellen (bspw. an den zentralen Verzeichnisdienst) geschaffen werden.
Bei der Einrichtung ist auf mögliche Schutzmaßnahmen zu achten wie verschlüsselte Kommunikation oder die explizite Freigabe der Möglichkeiten für den Datenaustausch.
Bei der Konzeption der übergreifenden Prozesse und Sichten (inkl. der Dashboards im Digital Workplace) ist klar zu definieren, welche Rolle welche Inhalte sehen und ggf. in welcher Form bearbeiten darf.
Dies führt nicht nur zu einer Absicherung gegen (auch ungewollte) Manipulation und Verlust, sondern auch zu einer Konzentration auf die wesentlichen Inhalte. Nutzer werden damit nicht von der Vielzahl der grundsätzlich verfügbaren Informationen „überrollt“ (Informationsflut), sondern erhalten relevante Informationen im Kontext.
Für weiterreichende Aktionen ist der Absprung in das jeweilige Fachsystem sinnvoll, da hier mehr Kontext, weitere Funktionen sowie auch speziell auf den Anwendungsfall ausgelegte Berechtigungsstrukturen vorhanden sind. (Beispielsweise können Spezialsysteme für den Dokumentenaustausch entsprechende Policies anwenden, um Inhalte zu prüfen und Fristen einzuhalten.)
Zudem ist Security durch die Nutzung spezieller Systeme und Konzepte eine eigene Schicht, die übergreifend die Prozesse, Systeme und Geräte absichert. Dies umfasst bspw. Netzwerkmanagement, Firewalls und Unified Endpoint Management (Verwaltung der Endgeräte und der darauf installierten Software). Auch zentrale Steuerungskonzepte für das Nutzer- und Rechtemanagement (bspw. zentrale Verzeichnisdienste) sind hier anzusiedeln.
Auch zur übergreifenden Überwachung, Analyse und Verteidigung der Systeme können Spezialanwendungen wie SIEM-Systeme (Security Information and Event Management) genutzt werden, welche unerlaubte oder ungewöhnliche Aktivitäten erkennen und Gegenmaßnahmen einleiten können.
So kann bspw. auch identifiziert werden, dass eine Nutzerkennung gestohlen wurde, wenn ein Zugriff bis 17:00 Uhr über einen Netzwerkpunkt in Hessen erfolgte, nach 17:30 Uhr aber aus einem anderen Kontinent – was auf eine gestohlene Benutzerkennung schließen lässt. „Klassische“ Ansätze wie Firewalls und Scanner für Viren / Malware / etc. sind weiterhin notwendig.
Hier hat in den vergangenen Jahren ein Wandel eingesetzt, wie IT-Sicherheit verstanden und gelebt wird. Aufgrund der Anforderungen an Flexibilität, Digitalisierung und Vernetzung können klassische Konzepte der Abschottung nicht mehr praktiziert werden.
Für die Umsetzung der Sicherheit sind komplexere Konzepte und insbesondere auch Beratung erforderlich. Das hat auch das Bild der IT-Sicherheitsexperten in den Unternehmen verändert: von den Bedenkenträgern und Verhinderern hin zu wertvollen Ansprechpartnern und „Möglich-Machern“.
Fazit: Security muss ein Kernaspekt des Digital Workplace sein
Digitale Informationen und Prozesse sind Rückgrat und wesentliche Arbeitsmittel in der modernen Arbeitswelt. Durch technische Neuerungen, aber auch insbesondere eine veränderte Anspruchshaltung der Mitarbeiter, Partner und Kunden wandeln sich Informations- und IT-Infrastrukturen. Die immer stärkere Vernetzung verändert, wie Security aufgebaut und gelebt werden muss.
Für die Umsetzung sind ganzheitliche Ansätze entscheidend:
Firmennetzwerk – aber auch remote-Zugriff (Austausch mit Remote-Work-Nutzer:innen, aber auch Partnern, Kunden und Interessenten)
Informationen und deren Speicherung, insbesondere aber auch deren Verarbeitung und Austausch
Damit wird deutlich, dass Security keine reine IT-Aufgabe mehr ist. Die Fachbereiche müssen beraten und eingebunden werden, da die Konzeption der Prozesse und die Schulung der Anwender wesentliche Eckpfeiler sind – neben dem Einsatz entsprechender Speziallösungen. Die Verankerung von Security muss bereits in der Strategie erfolgen. Sie erfordert eine Bewertung der Ziele und Maßnahmen auch unter Gesichtspunkten der Risiken und Auswahl der entsprechenden Werkzeuge sowie der Gestaltung von Prozessstrukturen.
Digitalisierung unterscheidet sich hier nicht vom realen Leben: Autofahren hat die Mobilität und damit die Gesellschaft verändert und bietet viele Möglichkeiten im geschäftlichen und privaten Umfeld. Aber es erfordert auch Absicherung auf verschiedenen Ebenen: von Sicherheitsgurten und Airbags über die Erfordernisse von Führerscheinen und Versicherungen bis hin zum umsichtigen Fahren. Auch die Digitalisierung bietet viele Chancen – man darf sich dabei nicht durch Sicherheitslücken ausbremsen lassen.
