Herr Ockel, Sie beraten große Unternehmen und Organisationen im Bereich IT-Compliance. Worin sehen Sie derzeit die größte Herausforderung für Ihre Kunden?
Die IT-Compliance ist in den letzten 20 Jahren deutlich komplexer geworden. Ein stetiger Strom neuer nationaler, europäischer und globaler Vorschriften trifft die Verantwortlichen und diese kaskadieren die notwendigen Maßnahmen durch die gesamte Organisation.
Fehlen deutschen Organisationen grundsätzlich das Digitale? Kompetenzen dabei?
Die Kompetenzen sind genauso vorhanden wie in anderen Hotspots wie dem Silicon Valley, der Harvard/MIT-Region, den chinesischen IT-Clustern oder den kleineren , aber dennoch ebenfalls leistungsstarke israelische Unternehmen. Mehrere deutsche Akademien bringen kontinuierlich herausragende IT-Spezialisten und -Produkte auf den Markt.
Wie kommt es dann, dass IT-Projekte so oft scheitern? Sind deutsche Konzerne nicht softwarefähig?
Im Gegenteil: Sie sind dazu ebenso fähig wie die großen Unternehmen in anderen (meist westlichen) Ländern. Doch gerade im Softwarebereich nahm die Dynamik zu, etwa durch Automatisierungen (auch von Büro- und Verwaltungsabläufen) und Vernetzung. Auffällig ist, dass es in Deutschland an einer hochqualifizierten Ausbildung in der Entwicklung komplexer Software mangelt. Wir brauchen Programmierakademien, die sich an die amerikanischen oder chinesischen Prüfsteine halten. Der Aufbau einer Unternehmens-IT erfordert teilweise ganz andere Kompetenzen als die Programmierung von Smartphone-Apps für Endkunden.
Was ist das Problem bei solchen IT-Systemen?
IT-Systeme sind breitbandig vernetzt und tauschen hochfrequente Daten unterschiedlicher Sensibilität aus. Eine Klassifizierung dieser Daten, der Architekturen und der Kommunikationswege existiert häufig nicht. Somit kann nicht differenziert auf mögliche Vorfälle reagiert werden. Darüber hinaus wird die Sicherheit in hochkomplexen Systemen letztendlich nur noch statistisch vorhanden sein. Zum Beispiel: Ein Verkehrsflugzeug verfügt für automatische Schlechtwetterlandungen, gesetzlich vorgeschrieben, über drei unabhängige Höhenmesser. Im Falle einer Fehlfunktion sinkt zwar die Betriebsleistung, es kommt aber nicht zu größeren Schäden.
Sicherheit und Stabilität sind den Unternehmen daher wichtiger als schnelle Innovationen ?
Die Grundtransaktionen müssen zuverlässig funktionieren. Das Sprichwort „Berühre niemals ein laufendes System“ ist vorherrschend. Dennoch müssen Innovationen entwickelt werden. So kommt man oft auf die Idee differenzierter Infrastrukturen und Prozesse, was man die „IT der zwei Geschwindigkeiten“ nennt.
Nun ist die Sicherheit eines Siemens und die Innovation eines Startups? Wie lässt sich das in der IT kombinieren?
Wir wären zu langsam, wir würden immer auf die Großen warten. Es erfordert von den innovativen Pionieren Schnelligkeit. Die Marktführer reagieren darauf häufig, indem sie diese Pioniere akquirieren und als Katalysatoren einbinden. So gelangen Innovationen unter den stabilen Schirm großer Unternehmen, die auch das Kapital für die breite Marktabdeckung bereitstellen können.
Daher am besten bis zu Siemens warten hat eine Neuerung in seinem Programm?
Dies muss individuell entschieden und die Risiken gegen die Chancen abgewogen werden. Es ist nicht so, dass alle von den Großen versprochenen Innovationen wirklich funktionieren. Das Marketing verspricht teilweise mehr, als die Technik halten kann, siehe die Medienberichterstattung über IBM Watson in letzter Zeit. Auf der anderen Seite verfügen die Großen meist über eine praktizierte Validierung ihrer Produkte. Das wiederum macht sie so schwerfällig. Junge Unternehmen kompensieren dies durch einen schnellen Support. Als Verantwortlicher spricht man hier meist direkt mit dem CEO oder CTO, was eine anspruchsvolle und motivierende Zusammenarbeit darstellt. In der agilen Entwicklung ist es bereits etabliert, dass Produkte gemeinsam mit den Kunden stetig weiterentwickelt werden.
Klingt so, als ob das Bedürfnis nach Sicherheit und der Drang nach Innovationen es nicht sind kompatibel, wenn es um die eigentlichen Kernprozesse geht? Aber liegt hier nicht das größte Innovationspotenzial?
Ja, das ist ein Problem. Wir brauchen die Schnelligkeit und Flexibilität der kleineren Unternehmen, also der Startups, der Spezialisten ebenso wie der Inkubatoren und Fachabteilungen der Großkonzerne. Darüber hinaus gedeihen an unseren Akademien hochinnovative Ideen und Technologien teilweise im Verborgenen, die nur darauf warten, durch die Zusammenarbeit mit Praktikern aus Industrie und Gesellschaft weite Verbreitung zu finden. Eine Veränderung, eine Finanzierung und Finanzierung an dieser Stelle, könnte weitaus umfangreicher erfolgen.
Kennen Sie das Geheimrezept, damit das funktioniert?
Nein, aber es ist auch nicht erforderlich. Die Bedürfnisse und Voraussetzungen sind viel zu unterschiedlich, als dass so etwas existieren könnte. Wichtig sind eine gute und offene Kommunikation auf beiden Seiten und der Aufbau von Vertrauen. Dies kann nur durch gemeinsame Aktivitäten und Erfolge geschehen. Vielleicht wird der Konflikt zwischen großen Organisationen und jungen Unternehmen sogar überbewertet. Am Ende stehen immer Menschen bzw. Experten arbeiten zusammen und begeistern sich für ihren Job. Firmen kooperieren dabei nur formell juristisch. Man muss also nur die richtigen Köpfe und Charaktere zusammenbringen. Bei solchen strategischen Entscheidungen kann schließlich nur der gesunde Menschenverstand helfen.
Seit dem 25. Mai 2018 gilt die neue DSGVO zwingend. Wie gut waren die Unternehmen hierzulande darauf vorbereitet?
Die Ausrichtung von Prozessen und Kontrollsystemen auf diese neue Verordnung beschäftigt noch immer viele Unternehmen und das zu einem erheblichen Teil Ausmaß. Die DSGVO ist weitaus umfassender als die bereits bestehenden Richtlinien, beispielsweise das Bundesdatenschutzgesetz. Insbesondere die Sanktionen bei Nichteinhaltung sind je nach Ausmaß unterschiedlich. Verstöße können ein Unternehmen bis zu 4 % des Gesamtumsatzes kosten. Das ist mehr als das Jahresergebnis vieler Konzerne.
Was ist die Idee hinter Privacy by Design und wie berücksichtige ich dies bei neuen Projekten?
DDie Idee ist einfach. Bei der Entwicklung eines Produkts wird sichergestellt, dass über das Produkt oder System später nicht parallel personenbezogene Daten erhoben oder verarbeitet werden.
Was ist der Unterschied zwischen „Privacy by Design“ und „Privacy by Default“?
Wenn Privacy by Design zu Komforteinbußen oder einer verminderten Benutzererfahrung und damit zu flexiblen Alternativen führt Sollen in der Datenverwaltung erstellt werden, ist die Standardeinstellung immer die datensparsamste Option.
Wie kann in einer Produktion erreicht werden, dass Daten vorhanden sind sicher und immun gegen unbefugten Zugriff bei gleichzeitiger produktiver Nutzung?
Diese Frage stellen sich derzeit viele. Manche wirken fast paranoid-restriktiv, andere völlig naiv. Hier fehlt es an unaufgeregter Routine. Man darf nicht vergessen, dass das Thema Daten als Produktionsfaktor und eigenständiger Wert für viele neu ist und wenn dann von Datengold und -bergbau die Rede ist, kann es sein, dass sie irrational agieren. Eine professionelle Routine wird den Weg dorthin finden. Man muss bedenken, dass digitale Daten sehr leicht kopiert werden können. Das ist auch ihr großer Vorteil.
Ist Cloud Computing dann eine gute Idee für Produktionsdaten?
Die Nutzung von Clouds wird aus vielen Gründen zunehmen. Erstens, weil es in Mode ist. Die Gremien großer Unternehmen wollen signalisieren, dass sie in Mode sind oder zumindest nicht ins Hintertreffen geraten. Solche Signale konkretisieren dann über verschiedene Hierarchieebenen hinweg Projekte von respektabler Größe. Zweitens möchte man ein Gleichgewicht zwischen den eigenen Ressourcen (wie Rechenzentren und -banken/Speichern) und einer variablen, kostenrisikomindernden Auftragnehmerauslastung herstellen. Allerdings fallen Produktionsdaten naturgemäß in großen Mengen an und müssen mit hohen Echtzeitanforderungen verarbeitet werden. Hier stellt sich die Frage nach der Architektur: Cloud versus zentrale IT versus lokale IT (Edge). Die Architektur richtet sich stark nach der Art der Daten.
Gibt es einen Unterschied zwischen personenbezogenen und mechanischen Daten?< /p>
Personenbezogene Daten stellen typischerweise hohe Anforderungen an den Datenschutz, den Funktionsumfang und die Zuverlässigkeit der Verarbeitung. Mechanische Daten müssen zeitnah verarbeitet werden, erfordern jedoch oft nur geringe Softwarefunktionen. Allerdings beginnen auch hier komplexe Algorithmen Einzug zu halten, z. B. in adaptive bzw. Anwendungen des maschinellen Lernens.
Werden Algorithmen und Digitalisierungsmaßnahmen den Menschen in Produktionen ersetzen?
Ja, das wird passieren. Insbesondere hochautomatisierte oder (teil-)autonome Systeme werden menschliche Berufe in erheblichem Maße verdrängen. Andererseits müssen auch diese Systeme erst noch entwickelt, produziert und anschließend ständig gewartet werden. Hierfür ist zusätzliche menschliche Arbeitskraft und Kreativität erforderlich. Wie das Ergebnis der Beschäftigungen im Durchschnitt (10 bis 20 Jahre) aussehen wird, kann niemand genau vorhersagen. Ohne erhebliche Umgestaltungsprozesse im beruflichen und sozialen Bereich wird es nicht gehen, hart. Aber innerhalb dieses Horizonts behält der Mensch die Autorität.
Der KI-Hype wird also derzeit überbewertet?
Langfristig wird es eine ganze Reihe von Effekten geben, die auf dem Einsatz von KI-Systemen (Computer, insbesondere aber Roboter, Fahrzeuge und mobile Maschinen) basieren, die wir uns noch nicht einmal vorstellen können. KI stellt, wenn sie frei läuft, eine große Gefahr dar. Eine Regelung ist aus meiner Sicht Pflicht.
Empfehlen Sie Ihren Kindern ein Data-Science-Studium?
Ich empfehle ihnen auch, einen Führerschein zu machen. Der qualifizierte Umgang mit digitaler Technik stellt eine Grundkompetenz dar. Wir können unsere Computer nicht nur auf Benutzerebene verwalten. Das Verständnis muss tiefer gehen, sonst bleiben wir kritiklos und umschlungen von den Maschinen. Wenn wir aber in Interviews mit Jugendlichen feststellen, dass sie die mediale Kommunikation genauso attraktiv bewerten wie den persönlichen Kontakt, wird deutlich, wie subtil die Individualisierung ist.
