Feature Stories - Software-Dienstleistungen für sichere Geschäftsvorgänge
Da sich die gesamte Geschäftswelt zunehmend online bewegt, sind wir gefordert, uns eine Vielzahl neuer Technologien und Dienstleistungen zu eigen zu machen, um mit unseren Kontaktpersonen, Kunden, Kollegen und Lieferanten, aber unter Umständen auch mit jedem beliebigen Hacker unseres Planeten in Verbindung zu treten! Master ("Managing assurance, security and trust for services") - ein EU-finanziertes Projekt - hat eine IT-Plattform zur sicheren Handhabung kompletter Geschäftsprozesse in verschiedenen Kontexten entwickelt, sodass Nutzer nahtlos und ohne Sicherheitsbedenken auf Cloud-Computing und Software-Dienstleistungen zugreifen können. An dieser Stelle kommen "Security-Governance" und "Compliance-Management" ins Spiel. Diese beiden Methoden haben weltweit ihren Weg in die Unternehmensstrukturen gefunden, um zu gewährleisten, dass Dienstleistungen gemäß der Politik und Best Practice - neudeutsch für angestrebte optimale Geschäftsabläufe - der Organisation zusammenarbeiten. Dienstleistungen, die wir früher über das Telefon oder persönlich gekauft haben, werden in unserer Zeit in neuen Verknüpfungen geliefert. Heutzutage erwarten wir schon fast, nach einem Onlinekauf "Empfehlungen" angeboten zu bekommen oder auf der Stelle zu erfahren, wo sich das nächste Taxi befindet, wenn wir auf eine GPS-App in unserem Smartphone zugreifen. Diese speziellen Anordnungen, auch Mash-ups genannt, zählen auf "vertraute" Beziehungen zwischen Verkäufern, Drittanbietern und letztlich die Kunden, die für die Dienste bezahlen. Da diese "Service-Beziehungen" zu einer Massenerscheinung und immer komplexer werden, sind Regierungsverordnungen und branchenübergreifende optimale Vorgehensweisen im Entstehen, die Ordnung in dieses Chaos bringen sollen. Für die Unternehmen bedeutet das allerdings, mehr Zeit und Ressourcen einsetzen zu müssen, um - insbesondere wenn es um Sicherheit und Vertrauenswürdigkeit geht - sicherzustellen, dass die Dienstleistungen und Systeme diesen Vorschriften entsprechen. "Compliance-Management ist der Schlüssel zur Sicherheit von Geschäftsprozessoperationen, insbesondere unter Berücksichtigung von unzähligen Abhängigkeiten zwischen internen Geschäftsprozessen und externen Dienstleistern", sagt Pedro Soria-Rodriguez von Atos. So könnten beispielsweise verschiedene Abteilungen in einem Unternehmen Geschäftsprozesse auf unterschiedliche Weise entwickeln und einsetzen, um den jeweiligen Bedürfnissen ihrer Kunden gerecht zu werden, oder sie könnten die Arbeit mehrerer Zulieferer in ihre eigenen Systeme integrieren - dabei müsse allerdings die Kohärenz der Operationen des Gesamtunternehmens gewahrt bleiben. Sicherheit und Flexibilität sind entscheidende Faktoren für die Zukunft von Onlinegeschäften. Beispiel Cloud Computing: Bei diesem sozusagen zur Daten- und Prozessverarbeitung in einem fremden Computer gemieteten freien Platz ist man von der Erbringung von Dienstleistungen abhängig, die die spezifischen Auflagen einer Firma erfüllen. "Sicherheit nach dem 'Best-Effort-Prinzip' wird schon bald nicht mehr akzeptiert werden und die Firmen werden zertifizierte Dienstleistungen für die Kunden erbringen und versicherte Dienstleistungen von Auftragnehmern erwarten müssen, um die damit verbundenen geschäftlichen und technischen Risiken meistern zu können", erklärt Soria-Rodriguez. Sein Unternehmen ist koordinierender Partner des Master-Projekts und nahm einen überaus kritischen Aspekt des überwachsamen Geschäftsumfelds von heute in Angriff: das sicherheitsrelevante Compliance-Management. Aufgrund der vielen beteiligten Akteure war ein ganzheitlicher modularer Ansatz erforderlich. Gleichzeitig sollten die vielen Teile des Master-Systems einfach zusammenzustellen sein, um an den jeweiligen Zweck anpassbar zu sein. Master ist auf dem Weg, das in vielen Organisationen (Großunternehmen, KMU und anderen) wachsende Bedürfnis nach der Einhaltung diverser Vorschriften, interner Politikbereiche, branchenspezifischer Best Practices und vertraglicher Verpflichtungen zu befriedigen. "Compliance stellt ein großes Problem dar, da es kostenintensive Schritte bedeutet, um alle Erwartungen zu erfüllen, oder möglicherweise teure Strafen, schlechte Schlagzeilen, Gerichtsverfahren und so weiter nach sich zieht", betont Soria-Rodriguez. So überprüften die Wissenschaftler Wege, komplette Geschäftsprozesse in verschiedenen Kontexten wie etwa zentralisierten, verteilten (Multi-Domain) und ausgelagerten Vorgängen abzusichern. Sie entwickelten eine Reihe von Hauptvertrauensindikatoren, Hauptsicherheitsindikatoren, Schutz- und Regulierungsmodellen sowie Sicherheitsmodell-Transformationen, gekoppelt mit Werkzeugen zur Analyse und Bewertung von Geschäftsprozessen. Die an dem Dreijahresprojekt arbeitenden Teammitglieder führten außerdem Fallstudien durch, um den Ansatz des Projekts auszutesten. Eine Studie lief dabei im Bank- und Versicherungswesen und eine im Bereich E-health, wo Europa bereits einschlägige Erfahrungen vorweisen kann. Systeme, die aufpassen Das italienische Krankenhaus San Raffaele (HSR), Mitglied des Master-Konsortiums, arbeitete mit den Projektpartnern daran, zu gewährleisten, dass das Tool-Set das Krankenhauspersonal bei einer besseren Verwaltung der ambulanten Patientenversorgung unterstützen kann. Sie entwickelten ein maßgeschneidertes "Informationssystem", das Termine koordiniert, die Überwachung erleichtert und im Allgemeinen das Territorium des traditionellen Gesundheitswesen erweitert, indem alle Beteiligten in das System integriert werden: Krankenschwestern, Ärzte, Apotheken, Patienten und sogar die Eltern der Patienten. Der Testfall San Raffaele zeigte, dass mehrere Parteien von mehreren Standorten aus medizinische Fälle effizienter verfolgen konnten. Das System konnte mit den zuweilen komplizierten Vorschriften für Gesundheit und Versicherung sowie den Krankenhausrichtlinien hinsichtlich der Sorgfaltspflicht umgehen und dabei sensible Daten und medizinische Informationen absichern. "Master wurde etlichen anderen Einrichtungen des Gesundheitswesens in Italien vorgestellt, die in etwa gleiche Compliance-Management-Anforderungen wie das San Raffaele haben, und so gibt es ein gemeinsames Interesse an der Master-Lösung", merkt Soria-Rodriguez an. Das San-Raffaele-Pilotprogramm stellte somit einen wertvollen Machbarkeitsnachweis dar, der von den Krankenhäusern in Sassari und Perugia genau verfolgt wurde. Das EU-finanzierte Master-Projekt endete in diesem Jahr; die Forschungsarbeit wird allerdings weitergeführt. Atos ist als Koordinator mit den Ergebnissen zufrieden und übernimmt einige Resultate des Projekts in die eigene RIGER-Compliance-Management-Plattform, die bereits von einigen Atos-Kunden in Spanien angewendet wird. Andere Gruppen im Konsortium gehen nach Aussagen von Soria-Rodriguez ähnliche Schritte mit eigenen Produkten. Master war ein kooperatives Forschungsprojekt, das unter dem Siebten EU-Rahmenprogramm für Forschung (RP7) finanziert wurde. Es war auf das im IKT-Arbeitsprogramm für 2007-08 definierte strategische Ziel "Secure, dependable and trusted infrastructures" (Sichere, zuverlässige und vertrauenswürdige Infrastrukturen) ausgerichtet. Nützliche Links: - Projekt "Managing assurance, security and trust for services" - Master-Projektdatensatz auf CORDIS Weiterführende Artikel: - Europäische für effizientere Flugzeugsysteme - IPHOBAC nimmt die drahtlose Welt im Sturm - EU-finanzierte Forschung zur Unterstützung der europäischen Fertigungsindustrie