Gerade in der Anfangsphase von Implementierungsprojekten für effiziente digitale Managementsysteme werden wir häufig zu unserer Software-Architektur, zu Sicherheitsmechanismen, zu Back-up-Strategien und vielem mehr befragt.
Für uns sind das – insbesondere im Jahr 2024 – eigentlich selbstverständliche Anforderungen an Software-Dienstleister, leider werden ausgerechnet diese Grundsätze oftmals vernachlässigt. Die zahlreichen Rückfragen rund um moderne (Managementsystem-)Software-Systeme haben uns nun dazu bewogen, die wesentlichen Anforderungen in einem Überblick bereitzustellen.
Viele Aspekte „moderner Software-Systeme“ werden dabei in der Gesamtkostenbetrachtung außen vor gelassen, was dazu führt, dass Äpfel mit Birnen verglichen werden – obwohl man eigentlich über den Apfelbaum sprechen sollte. Was im übertragenen Sinne heißt, dass oftmals Software-Systeme, die (auf Lizenzbasis) für den Betrieb in eigener Infrastruktur vorgesehen sind, mit Software-Systemen verglichen werden, die eine vollständige und informationssichere Infrastruktur mitbringen. Ebenso werden laienhaft programmierte Web-Applikationen viel zu oft mit Enterprise-Lösungen zertifizierter Softwareanbieter in Vergleich gebracht.
Man merkt bereits: Man muss viel beachten!
Das Wichtigste zu Beginn:
Software von zertifizierten Anbietern nutzen!
Mit der seit Jahren stetig steigenden Anzahl von Hackerangriffen auf Unternehmen wird der Ruf nach organisierter Cyber-Sicherheit immer lauter. Mit der 2023 in Kraft getretenen EU-Richtlinie „NIS-2“ soll das Gesamtniveau der Cybersicherheit in der EU gesteigert werden. Cyber-Sicherheit im Unternehmen ist dabei Verantwortung der Geschäftsführer, die dafür haften.
Neben „Phishing“ sind hierbei auch Schwachstellen in Software, Fehlkonfigurationen, kompromittierte Anmeldeinformationen und Ähnliches empfindliche Einfallstore für Kriminelle. Wenn Ihnen selbst die Minimierung Ihrer Haftungsrisiken in Bezug auf Ihre Cyber-Resilienz am Herzen liegt, sollten Sie daher auf Software-Anbieter setzen, die selbst ein zertifiziertes Informationssicherheitsmanagementsystem (ISMS) nach DIN EN ISO/IEC 27001 – dem Goldstandard der Informationssicherheit – betreiben. Unternehmen, die ihre Informationssicherheit und die Sicherheit der Kunden ernst nehmen, lassen sich zertifizieren.
Anmerkung: Wenn Sie sich selbst nach dieser Norm zertifizieren lassen möchten, gelingt Ihnen die Bewertung Ihrer Lieferanten viel leichter, wenn diese ein zertifiziertes ISMS aufrecht erhalten. Unser eigenes Zertifikat finden Sie hier.
Cloud vs. On-Premise
Viele unserer Kunden stellen uns die Frage: Können wir Ihr Software-System nur in der Cloud betreiben oder geht das auch On-Premise?
Nun ja – wir klären besser zunächst den Unterschied.
On-Premise ist ein konventioneller Bereitstellungs-Ansatz. Dabei wird eine Software, für die man vorher Lizenzen erworben hat, auf unternehmenseigener Infrastruktur installiert und darauf zugegriffen. Für viele Unternehmen ist diese Bereitstellungsvariante heute immer noch eine relevante Alternative.
Warum?
Auf der anderen Seite ergeben sich zeitgleich einige Nachteile:
Cloudbasierte Systeme bzw. die cloudbasierte Bereitstellung von Software bedeutet im Prinzip, dass der Software-Anbieter die vollständige Infrastruktur, die zum Betrieb der Software notwendig ist, als Dienstleistung bereitstellt (Software-as-a-Service = SaaS). In der Regel greifen Sie auf solche Systeme über Ihren Browser zu. Die Anzahl der Unternehmen, die primär oder sogar vollumfänglich auf Cloud-Systeme setzen, steigt seit einigen Jahren stark an.
Warum?
Einige augenscheinliche Nachteile sind:
Aus unserer Sicht – bereits heute, aber insbesondere mit Blick auf die Zukunft der Unternehmenspraxis – überwiegen die Vorteile, die ihnen SaaS-Lösungen bieten, die Herausforderungen massiv. Wir möchten hierbei die Gelegenheit nutzen, um mit dem einen oder anderen Vorurteil und vermeintlichen Nachteilen solcher Lösungen aufzuräumen.
Frage 1: Was passiert mit meinen Daten? Habe ich die Kontrolle über meine Daten? Sind Meine Daten in der Cloud sicher?
Wir können Sie beruhigen: Moderne (und zertifizierte) Software-Anbieter, die Ihnen SaaS-Lösungen anbieten, werden Ihnen zusichern, dass Sie stets der Eigentümer Ihrer Daten sind und Sie entscheiden, was mit diesen geschieht. Genauso wie Sie die Daten in Ihrem Keller und auf Ihrem eigenen Server für entsprechende Auswertungen und für die Weiterverarbeitung über Schnittstellen nutzen, so können Sie dies auch bei entsprechenden SaaS-Lösungen. Oftmals geht dies sogar viel einfacher, da moderne Software auch standardisierte Schnittstellen für den Informationsaustausch nutzt (z.B. REST-API).
Auch nach Beendigung eines SaaS-Vertrages bleiben Sie selbstverständlich Eigentümer der Daten. Diese müssen Ihnen ausgehändigt werden, bzw. muss es einen Weg des Exports geben.
Wichtig: Ihre Daten sind vollständig sicher, wenn Sie verantwortungsvolle, zertifizierte SaaS-Anbieter beauftragen, die Informationssicherheit in Ihren Unternehmenszielen verankert haben und leben sowie deren Vision an ihre Kunden weitergeben. Ein professionelles SaaS-Produkt liefert als Teil des Services unter anderem:
Hand auf’s Herz: Können Sie diese Maßnahmen für Ihre selbst gehosteten Systeme sicherstellen?
Frage 2: Unser Unternehmen hat eine Richtlinie ausgegeben. Demnach dürfen wir keine Cloud-Systeme nutzen. Was heißt das jetzt für meine IT?
Viele Unternehmen entscheiden sich dennoch für On-Premise Systeme, weil Sie gerne die vollständige Kontrolle über Ihre Daten behalten möchten. Im Extremfall hat der Chef die Daten am Liebsten bei sich im Keller auf einem Server gespeichert.
Klingt zunächst plausibel, doch welche Folgen hat das für Sie? Sie müssen die oben genannten Punkte – und einiges mehr – für Ihre eigene Infrastruktur sicherstellen:
Hand auf’s Herz: Haben Sie diese Kosten in Ihre Investitionsbetrachtung einbezogen?
„Cloud-first“ vs. „Cloud-only“
Die bisher beschriebenen Punkte sind der Grund dafür, warum Unternehmen bereits heute eine „Cloud-first“ bzw. eine „Cloud-only“ Strategie einschlagen.
Was bedeutet das?
„Cloud-first“ bedeutet soviel wie: Sollten bei der Anschaffungsplanung von Software-Systemen Anbieter in der Auswahl sein, die cloudbasierte Varianten ihrer Lösung anbieten, so sind diese zu bevorzugen. Erst wenn es für die angestrebte Software-Lösung keine cloudbasierte Option gibt, wird „on-premise“ in Erwägung gezogen.
„Cloud-only“ bedeutet soviel wie: Unternehmen lassen ausschließlich cloudbasierte Software für Neubeschaffungen zu.
Warum tut man das?
Nun ja, gemessen an dem, was wir oben beschrieben haben, geht es im Prinzip um die Effizienz bei der Aufrechterhaltung der Systeme. IT-Abteilungen in Unternehmen haben mit der Administration der Bestandssysteme und mit den steigenden Anforderungen an Informationssicherheit alle Hände voll zu tun. Im Prinzip möchte man heute damit beginnen, die Zukunft zu gestalten und mit jeder Neuanschaffung bereits zukünftige nicht-wertschöpfende Tätigkeiten deutlich reduzieren. Der Mangel an Fachkräften macht dabei auch vor den IT-Abteilungen nicht Halt: Es wird immer schwieriger, kompetente Mitarbeiter zu finden. Man muss steigende Anforderungen in Bezug auf Sicherheit und Verfügbarkeit mit immer weniger Personal umsetzen und verwalten.
Wo IT-Abteilungen sich mit vergleichsweise wenig Personal um die Infrastruktur-Strategie kümmern müssen, gehört dies bei SaaS-Anbietern zum Service. Ein enormer Vorteil für die Zukunft.
Frage 3: Können wir unser AUDITTRAILS-System auch „On-Premise“ betreiben?
Klare Antwort: NEIN!
Oder besser: JEIN? Naja, natürlich ist es möglich, unsere Architekturen auf beliebigen Servern in Betrieb zu nehmen. Dies geht jedoch zulasten jedes einzelnen Vorteils, den wir für unsere Kunden in unsere Lösungen integriert haben. Sie geben den größten Mehrwert unserer Lösungen auf – Security-by-Design! Die oben beschriebenen umfangreichen Mehrwerte können wir Ihnen nicht mehr bieten – und das möchten wir nicht! Zumindest nicht, wenn Sie nicht enorm gute Gründe dafür mitbringen.
„Flexibilität“ vs. „Customizing“
Wenn wir unsere Kunden fragen, was ihnen bei der Auswahl von Software am wichtigsten ist, dass hören wir meist die folgende Antwort:
Die Software muss flexibel sein und sich einfach an unsere Anforderungen anpassen lassen!
Das finden wir gut! Flexible Software hilft Unternehmen dabei, sich schnell auf geänderte Anforderungen einzustellen.
Software, die sich einfach an Anforderungen anpassen lässt, führt allerdings sehr schnell zu einem Risiko. Im Folgenden möchten wir Ihnen erläutern, warum wir das so sehen, und wie wir Ihnen trotzdem einen weiteren Mehrwert bieten können.
Flexible Software ist seitens der Entwickler so aufgebaut, dass Sie die notwendige Flexibilität in den Bereichen zulässt, wo sie auch stattfindet. Dies kann z.B. auf die Steuerung von Workflows zutreffen, die flexibel sein müssen. Entlang eines Geschäftsprozesses gibt es je nach Situation unterschiedliche Verantwortlichkeiten. Der Workflow ist dabei das „festgelegte“ Element – dieser läuft immer auf die gleiche Art und Weise. Doch je nachdem in welchem Kontext der Workflow abläuft, gibt es Flexibilisierungsmöglichkeiten über Zuständigkeiten.
Ein Beispiel:
In einem akkreditierten Laboratorium gibt es 1.300 Einrichtungen (Prüfmittel), die in einer Prüfmittelverwaltungs-Software gepflegt werden. Wenn an einem Prüfmittel ein Fehler auftritt, wird ein Fehlermeldungsformular ausgefüllt, das als gelenkte Vorlage auf dem File-Server liegt, in dem alle Informationen zu diesem Fehler dokumentiert werden: Alle Korrekturmaßnahmen, alle Zuständigkeiten, alle durchgeführten Tätigkeiten, um den Fehler zu beheben. Danach wird das Dokument eingescannt und in einen Ordner im File-System – dem Gerätelogbuch – abgelegt.
Wenn man so einen Prozess vollständig in Software abbilden soll, dann liegt es für den Prozessverantwortlichen nahe, dass das bisher verwendete Formular 1:1 weiterverwendet werden soll. Schnell ist man beim Customizing und führt neue Felder in der Software ein. Denn je nach Einrichtung sind andere Leute zuständig. Je nach Schweregrad des Fehlers müssen weitere Verantwortliche benachrichtigt werden.
Wir gehen bei solchen Prozessen einen effizienteren Weg: Gerätefehler treten in jedem Labor auf, die normativen Anforderungen sind klar. Kann man nicht einen Prozess gestalten, der das individuelle Problem löst und dennoch völlig flexibel für das Labor bleibt?
Die Lösung:
Jede der 1.300 Einrichtungen bekommt im Datensatz der Einrichtung je eine Objektverknüpfung zu einem „Prüfmittelbeauftragten“ und „Einrichtungsverantwortlichen“. Der Prüfmittelbeauftragte trägt die Verantwortung für die Kalibrierung und interne Qualitätskontrolle, der Einrichtungsverantwortliche trägt die Verantwortung für die Sauberkeit, nutzungstägliche Qualitätskontrollen sowie Wartung und Instandhaltung. Daneben erhält jede Einrichtung eine Objektverknüpfung zu einem Raum. Der Raum wiederum hat eine Objektverknüpfung zu einem Laborbereich, zu dem der Raum gehört. Jeder Laborbereich hat einen Bereichsleiter und einen stellvertretenden Bereichsleiter sowie einen zuständigen Qualitätsmanagementbeauftragten.
Das digitale Datenmodell einer AUDITTRAILS-Software-Instanz lässt es also zu, dass Zuständigkeiten, die in der realen Welt existieren, digital und flexibel abbildbar sind. Dadurch „weiß jede Einrichtung, welche Zuständigkeiten es in sich vereint“ – und zwar nicht nur bei Labor-Managemensystemen, sondern generell im Rahmen eines effizienten Richtlinienmanagements!
Wird nun ein Gerätefehler am Datensatz angelegt, so muss der Mitarbeiter der den Fehler findet, nur noch den Fehler beschreiben und speichern. Im selben Moment löst ein Workflow bei Bedarf die Sperrung der Einrichtung aus und informiert je nach Zuständigkeit betroffene Verantwortliche. Zieht das Prüfmittel in einen anderen Laborbereich um, so muss lediglich der Raum geändert werden, in dem es sich befindet, und der Workflow wird völlig neu gesteuert.
Customizing ist immer dann notwendig, wenn ein Softwareanwender eine spezielle Information oder einen speziellen Prozess abbilden möchte, der so nicht vom Entwickler vorgesehen ist, oder speziell auf ein Unternehmen angepasst werden muss. Customizing führt dazu, dass Derivate einer Software-Version speziell für einen Kunden geführt werden müssen.
Im Normalfall versuchen wir das zu vermeiden, indem wir uns sehr stark mit den Prozessanforderungen des Kunden beschäftigen, um eine Lösung auf Basis eines standardisierbaren Datenmodells zu finden. Das gelingt – insbesondere bei sehr tiefgehenden Workflow-intensiven Prozessen nicht immer (z.B. Im Bereich der Auftragssteuerung, Prüfplanung, Ergebniserfassung, Berichtserstellung, etc.)
Die nächste Frage lautet also:
Frage 4: Können wir unser AUDITTRAILS-System an unsere Anforderungen anpassen?
Ganz klare Antwort: JA!
In den meisten Fällen sogar auf Basis der bereits vorhandenen und geplanten Flexibilität des Systems und unserer Prozesskenntnisse aus dem Bereich akkreditierter Laboratorien, dem Qualitätsmanagement und effizienter Informationssicherheits-Managementsysteme. Dies macht aus unserer Sicht einen kompetenten SaaS-Anbieter aus. Man sollte Ihren Prozess, Ihre Branche und Ihre normativen Anforderungen kennen. Denn schließlich wollen Sie in der nächsten Begutachtung und im nächsten Audit erfolgreich sein – bei minimalem Aufwand in Form nicht wertschöpfender Tätigkeiten.
Sollte es dennoch an einer Stelle eine Anpassungsanforderung geben, die nicht aus der Flexibilität des Systems hervorgeht, so lassen Sie uns das genau beleuchten und eine Lösung finden. Gemeinsam können wir das Risiko zahlreicher arbeitsintensiver Schattenprozesse, die man nur schwer wieder los wird, minimieren. Für notwendiges Customizing führen wir dabei Requirements-Workshops durch, erstellen Lastenhefte und entwickeln teils hochgradig kundenindividuell – jedoch auch mit einem sehr hohen Prozessverständnis und einer digitalen Beratungskomponente.
Wichtig ist für uns nur Folgendes: Man muss sich immer die Frage stellen, ob eine Software für mich eine Herausforderung löst, die mich in Zukunft effizienter macht und die für mich nicht wertschöpfende Arbeit reduziert sowie einen Mehrwert für meine tägliche Arbeit bietet. Bitte sprechen Sie mit Ihrem Software-Anbieter also erst im zweiten Schritt darüber, ob man die Software an das Corporate-Design des Unternehmens anpassen kann und das Logo einbinden kann – es gibt relevantere Anforderungen zu besprechen.
Und: Moderne Software wird auch diese Anforderung lösen können.
