DNV, ein globaler unabhängiger Anbieter für Zertifizierung, Sicherheit und Risikomanagement, der in mehr als 100 Ländern tätig ist, hat weltweit Auditergebnisse analysiert. Die Auswertung ergab, dass die grössten Herausforderungen bei der Umsetzung der Anforderungen der Qualitätsmanagementnorm ISO 9001 sich im Kapitel 7 „Unterstützung“ und Kapitel 8 „Betrieb“ zeigen. So haben etwa 56 Prozent der auditierten Organisationen eine Feststellung bezüglich der Kapitel 7 und 8. 20 Prozent davon sind Abweichungen.

Kapitel 7 Unterstützung

In Kapitel 7 ist es vor allem der Bereich Ressourcen, der Unternehmen vor Herausforderungen stellt. 32 Prozent der Unternehmen weisen Feststellungen bei der Umsetzung von Kapitel 7.1 Ressourcen auf. Die Feststellungen beziehen sich vor allem auf die Ressourcen zur Überwachung und Messung (Kapitel 7.1.5), um die Konformität der Produkte und Dienstleistungen mit festgelegten Anforderungen nachzuweisen, sowie auf die Infrastruktur (Kapitel 7.1.3), die für die Durchführung der Prozesse der Organisation notwendig ist. Darüber hinaus gibt es auch Verbesserungsmöglichkeiten in den Bereichen Kompetenz und dokumentierte Informationen. 

Kapitel 8 Betrieb

Mehr als jedes zweite Unternehmen hat mindestens eine Feststellung mit Bezug auf die Umsetzung der Anforderungen in Kapitel 8, das der Kern der ISO 9001 ist. Die meisten Feststellungen, die einer Verbesserung bedürfen, beziehen sich dabei auf die Anforderungen von Kapitel 8.4 der Steuerung von extern bereitgestellten Prozessen (24 Prozent) und Kapitel 8.5 Produktion und Dienstleistungserbringung (25 Prozent).

„Die Analyse zeigt deutlich, welche Bereiche der Norm Schwierigkeiten bei der Umsetzung bereiten“, erläutert Dirk Vallbracht, Manager des Bereichs Trainings bei DNV Business Assurance in Deutschland. „Dass die meisten Feststellungen in Kapitel 8 zu finden sind, ist insofern wenig überraschend, da dieses Kapitel den Schwerpunkt der ISO 9001 bildet. Es enthält somit wesentlich mehr Anforderungen als andere Kapitel.“ Im Ergebnis-Report werden die Feststellungen und Abweichungen je Kapitel dargestellt. So erhalten Anwender Anhaltspunkte dafür, mit welchen Herausforderungen die meisten anderen Unternehmen kämpfen.

Auditergebnisse unter der Lupe

Die Analyse ist Start einer Mini-Serie für die DNV zunächst alle Audits aus dem Jahr 2021 im Bereich der Qualitätsmanagementnorm ISO 9001 auswertete. Basis hierfür waren 100.000 Auditfeststellungen von 25.000 Kunden weltweit. Alle Daten stammen aus dem DNV Tool Lumina™, einem digitalen Service für alle DNV-Kunden, mit denen sie Auditdaten vergleichen können. „Trainings von DNV in Deutschland beziehen die Analysen der Auditergebnisse von Lumina ebenfalls mit ein, indem Problemfelder bei der Umsetzung identifiziert und im Training selbst dann auch priorisiert werden. So ermöglichen wir den Trainingsteilnehmern den bestmöglichen Lernerfolg“, so Vallbracht. 

Quelle: www.dnv.de

In der Schweiz laufen die Diskussionen rund um das elektronische Patientendossier weiter, derweil ortet man beim Bundesamt für Gesundheit BAG weiterhin Defizite bei der Digitalisierung von Prozessen: Noch immer müssten fast alle Krankheiten analog gemeldet werden, wie in verschiedenen Medien zu lesen war. Die Begründung des BAG: Durch die telefonische oder per Fax erfolgende Meldung könne man «sehr rasch Massnahmen zum Schutz der öffentlichen Gesundheit einleiten», wie es heisst. Datenaustausch per Papierformular trotz Digitalisierung?

74 Prozent der Patienten begrüssen Datenaustausch

Dem gegenüber stehen die rasch fortschreitenden Entwicklungen der Telemedizin. Eine Erstkonsultation über eine medizinische Online-Plattform kann viele Arztbesuche überflüssig machen und bedeutet eine Entlastung des Gesundheitssystem. Doch was soll mit den bei einer Konsultation eines Online-Arztes erhobenen Daten passieren? In Deutschland hat Axway, ein Anbieter von API Management-Lösungen 1000 Patienten befragt, wie sie den Möglichkeiten der Telemedizin gegenüberstehen. Dabei zeigt sich in den Meinungen ein Spannungsverhältnis zwischen komfortabler Serviceerfahrung, Datensicherheit und Kontrolle über die eigenen Patientendaten.

74 Prozent der Befragten finden, dass Leistungserbringer Patientendaten untereinander austauschen sollten. 54 Prozent sind der Auffassung, dass sie gegenwärtig nicht ausreichend Zugriff auf ihre Patientenakten sowie Laborergebnisse oder bildgebende Untersuchungsverfahren haben; 27 Prozent haben begrenzten Zugriff und wünschen sich noch mehr Einblick.

Hoffnung auf Prozessoptimierung und erhöhten Komfort

65 Prozent wünschen sich, dass medizinischen Einrichtungen stets der aktuelle Behandlungsstand des Patienten zugänglich sein sollte. Aus folgenden Gründen:

• 29 Prozent: Es könnte Missverständnisse und menschliche Fehler reduzieren.
• 26 Prozent: Es wäre deutlich bequemer.
• 23 Prozent: Es könnte wiederholtes Ausfüllen von Formularen ersparen.
• 21 Prozent: Es könnte die Behandlung verbessern.

23 Prozent wären vorbehaltlos dazu bereit, ihre Patientendaten zentral online oder in einer Anwendung zu hinterlegen und Leistungserbringern Zugriff zu gewähren, damit das Ausfüllen von Patientenerfassungsbögen der Vergangenheit angehört. Für 39 Prozent käme dieser Schritt nur in Frage, wenn die Sicherheit der Daten gewährleistet ist. 20 Prozent lehnen dies sogar auf Grund von Sicherheitsbedenken vollständig ab.

Datensicherheit und Kontrolle ist die grösste Sorge

Für die Mehrheit der Patienten ist die Sicherheit ihrer Daten die grösste Sorge in Verbindung mit Telemedizin. 51 Prozent gehen davon aus, dass Gesundheitsdaten vor Hackern nicht sicher sind, nur 22 Prozent waren gegenteiliger Auffassung. 26 Prozent gaben an, unsicher zu sein und keine eindeutige Aussage machen zu können. Auf die Frage, ob Patienten für eine App, die sicheren Zugriff auf ihren Impfpass und vergleichbare medizinische Daten bietet, auch bezahlen würden, antworteten zwei Drittel – 66 Prozent – hingegen mit „nein“. Ungewissheit und Intransparenz scheinen ebenfalls Faktoren zu sein, die Patienten beschäftigen: 72 Prozent der Befragten wünschen sich, mehr Kontrolle darüber zu bekommen, wer Zugriff auf ihre Patientenakte bekommen darf.

Datenaustausch ja, aber nur wenn er sicher ist

„Patienten in Deutschland bewegen sich in einem Spannungsfeld aus dem gewohnten Komfort digitaler Services, Datensicherheit und Kontrolle,“ kommentiert Yves Lajouanie, SVP und General Manager EMEA bei Axway, die Ergebnisse. „Das Stimmungsbild der Umfrage spiegelt auch einen internationalen Trend im Markt für telemedizinische Anwendungen wider: Big Tech- und Big Retail-Akteure wie beispielsweise Amazon versuchen derzeit durch das Akquirieren medizinischer Services die komfortable Erfahrung, die ihre Kunden von ihnen gewöhnt sind, auf den Gesundheits- und medizinischen Bereich auszudehnen und sie weiter an ihre Plattformen zu binden. Das Gesundheitswesen läuft Gefahr, die Datenhoheit an private Anbieter zu verlieren. Für Gesundheitseinrichtungen ist es daher wichtig, ihre digitalen Ökosysteme so zu gestalten, dass sie die Übertragung von Patientendaten in und den Empfang aus anderen Systemen und Anwendungen einfach gemäss allgemein gültiger Sicherheitsstandards vollziehen können. Auf diese Weise kann es ihnen gelingen, ihren Patienten einen Mehrwert und eine erfüllende digitale Serviceerfahrung zu bieten.“

Diese Einschätzungen aus Deutschland können zu einem wesentlichen Teil auch auf die Schweiz übertragen werden. Denn auch hier sind Datensicherheit und Kontrollmöglichkeiten beim Datenaustausch jene Faktoren, die über Sein oder Nichtsein eines elektronische Patientendossiers entscheiden.

Quelle: Axway

Foresight wird für die Schweizer Bildungs- und Innovationspolitik immer wichtiger. Die neue SATW-Studie «Forschungslandschaft Schweiz – Ein technologisches Panorama» untersucht 49 technologische Entwicklungen aus neun Forschungsbereichen und deckt damit ein sehr breites Spektrum ab. Jedes Kapitel widmet sich einer Technologie und beschreibt ihren Stand in der Entwicklung wie auch die damit verbundenen Chancen und Risiken. Ferner identifizieren die Autor/-innen die wichtigsten Forschungshotspots in der Schweiz und im internationalen Kontext.

Forschungslandschaft mit ausreichender Förderung

Die Studie stützt sich auf mündliche und schriftliche Interviews, die mit rund 60 Wissenschaftler/-innen und Industrievertreter/.innen in der ganzen Schweiz durchgeführt wurden. Diese zeigen sich im Wesentlichen zufrieden mit der hiesigen Forschungsförderung im Bereich der technischen Wissenschaften. Für die meisten ist der erschwerte Zugang zum Programm Horizon Europe hingegen hochproblematisch.

Mehrere Interviewpartner/-innen schlugen vor, dass die Förderung künftig auch Infrastruktur einschliessen sollte, die sowohl Unternehmen wie Hochschulen zur Verfügung stehen würde. Der Grund dafür ist, dass diese in manchen Fällen derart kostenintensiv in der Etablierung ist, dass sie die Budgets von kleinen Unternehmen und Start-ups sprengen.

Mit Technologien die Zukunft gestalten

Die untersuchten Technologien setzen ein interdisziplinäres Denken voraus, weil sie oftmals mehrere Lebensbereiche betreffen. Zudem ist der regelmässige Austausch zwischen dem Denk- und Werkplatz Schweiz fundamental für die Verbindung zwischen Forschung und Industrie. Dabei gilt, dass angewandte Forschungsthemen für den Erfolg neuer Technologien einen wichtigen Stellenwert haben. Auch der Staat hat etliche Möglichkeiten, neuen Technologien zum Durchbruch zu verhelfen: So könnten regulatorische Hemmnisse reduziert werden, dafür die (internationale) Vernetzung von Forschenden und Wirtschaftsvertreter/-innen gefördert werden. Grosses Potenzial für den Wirtschaftsstandort Schweiz bieten Hightech- und Nischenanwendungen, die sowohl durch etablierte Firmen wie auch Start-ups entwickelt werden können. Die dadurch generierten Arbeitsplätze und die Wertschöpfung würden einen volkswirtschaftlich reichhaltigen Beitrag an die Gesellschaft leisten.

Quelle und weitere Informationen: SATW

Nach erfolgreichen Editionen in Aachen, Hamburg und London sowie zuletzt zwei virtuellen Austragungen kehrt die 3D Metrology Conference nun an ihren Gründungsort, den Campus Melaten, zurück.

3D Metrology Conference mit Industrieausstellung

Auf der 3DMC tauschen sich bis zu 200 industrielle Anwender und akademisch renommierte Experten aus und prägen den innovativen und offenen Charakter der Veranstaltung. Er spiegelt sich auch in der Programmgestaltung wider: Ein hochkarätiges Vortragsprogramm wird gepaart mit einer offenen Industrieausstellung, Special Interest Sessions und dedizierten Netzwerk-Formaten. Prof. Ben Hughes und Prof. Robert Schmitt moderieren und gestalten die Veranstaltung als Chairman und Host.

Präsentation von Use-Cases und Forschungsergebnissen

Thematisch steht bei der Konferenz die Messtechnik als Innovationstreiber in der Automatisierung und Qualitätssicherung im Fokus. Auf der einen Seite stellen industrielle Endanwender erfolgreiche Use-Cases aus verschiedenen Sektoren vor, bspw. aus dem Automobilbau, der Luftfahrt oder der Energiebranche. Auf der anderen Seite präsentieren international führende Wissenschaftler Fortschritte in der Messtechnik selbst, welche neue Anwendungen ermöglichen. 3D-Daten und Machine Vision bilden als beitragsübergreifende Kernthemen die DNA der Konferenz und werden durch weitere Technologien, bspw. aus den Feldern der Digitalisierung und der Künstlichen Intelligenz, komplementär ergänzt.

Verschiedene Neuerungen

2022 führt die 3DMC gleich zwei Neuerungen ein: Die Industrieausstellung wird erstmalig in der neuen Maschinehalle des WZL stattfinden, wodurch Aussteller innovative Use-Cases live präsentieren und mit der Community diskutieren können. Die Vorteile einer Messe, eines produktionstechnischen Labors sowie eine Expertenforums kommen damit an einem Ort zusammen. Als weitere Neuerung werden ausgewählte Vorträge durch einen zugehörigen Peer-Review Beitrag im Open Access Journal Metrology ergänzt, was die nachhaltige, wissenschaftliche Exzellenz der Konferenz nochmals verstärkt.

Veranstaltungswebsite: https://www.3dmc.events

Das gemeinsame Whitepaper „Seizing the Potentials of Ecosystems“ von Forscher*innen der EBS Universität für Wirtschaft und Recht, des FIR an der RWTH Aachen und der Universität St. Gallen präsentiert die Kerneigenschaften von Ökosystemen („Business Ecosystems“) auf Basis neuester Forschungsergebnisse und Best Practices. Das Team leitet daraus Empfehlungen für nachhaltige Wettbewerbsvorteile ab.

Ökosysteme als Formen der Wertschöpfung

Ökosysteme repräsentieren neue Formen der Wertschöpfung über Firmen- und Industriegrenzen hinweg. Sie entstehen in allen Industrien und bilden die Grundlage für die wertvollsten Unternehmen. Zwischen 2015 und 2021 etwa hatten 23% aller als “Unicorn” (d.h., mit mehr als 1 Mrd. $) bewerteten Startups ihr Geschäftsmodell maßgeblich auf die Wertschöpfung in Ökosystemen ausgerichtet. Gleichzeitig operierten 22 der S&P (Standard & Poor’s.) Top 100 Unternehmen maßgeblich in Ökosystemen, was einem Anteil von 40% der S&P Top 100 Marktkapitalisierung entsprach.^*)

Whitepaper erläutert neun Kerneigenschaften

Erfolgreiche Unternehmen beweisen, dass sowohl Kunden als auch Firmen von Ökosystemen profitieren. Das enorme Wertschöpfungspotenzial weckt massives Interesse an dieser neuen Form des Wirtschaftens, allerdings fehlt oft ein gemeinsames Verständnis darüber, was Ökosysteme tatsächlich sind und leisten können. Ein interdisziplinäres Team von Forscher*innen hat deshalb die Natur von Ökosystemen anhand von drei Ebenen und insgesamt neun Kerneigenschaften charakterisiert:

Ökosystem-Kern

1. Geteilter Zweck und Vision
2. Ko-Kreation zwischen beteiligten Akteuren
3. Modulare, komplementäre Lösungen

Ökosystem-Beziehungen

4. Multilaterale Beziehungen
5. Autonome Akteure
6. Informations-basierte Wertschöpfung

Ökosystem-Milieu

7. Geteilte Werte
8. Gemeinsame technologische Infrastruktur
9. Netzwerk-Effekte

Basierend auf dieser Einteilung gibt das Forscher*innen-Team im Whitepaper konkrete Empfehlungen, um in Ökosystemen nachhaltige Wettbewerbsvorteile im technologischen, sozialen und ökonomischen Umfeld zu erzielen. Best Practices von erfahrenen Manager*innen aus etablierten Industrie-Unternehmen und digitalen Startups verdeutlichen, wie die Kerneigenschaften von Ökosystemen in die Praxis umgesetzt werden. Das Whitepaper in englischer Sprache steht unter seizing-ecosystems.fir.de/white-paper/ kostenfrei zum Download zur Verfügung.

Die Arbeit im Homeoffice prägt inzwischen den Alltag bei vielen Unternehmen. Da der Begriff „Homeoffice“ recht inflationär Verwendung findet, muss man hier allerdings klar unterscheiden, denn nur die wenigsten Arbeitnehmer verfügen tatsächlich über ein klassisches Heimbüro: nämlich einen Arbeitsplatz in den eigenen vier Wänden oder an einem externen Standort, der nicht nur mit der benötigten Software und Hardware vom Arbeitgeber ausgestattet ist, sondern auch über datenschutz-konforme Zugangsbeschränkungen (z. B. abschließbarer Raum, alleinige und ausschließliche Nutzung von Komponenten des Arbeitgebers etc.) verfügt. Das, worauf viele Arbeitnehmer in den Krisenjahren 2020 und 2021 zurückgegriffen haben, ist eher als mobiles Arbeiten zu verstehen, was viele neue Herausforderungen mit sich bringt. Gefährlich wurde es vor allem dann, wenn Lösungen schnell und nicht mit der erforderlichen Sorgfalt eingeführt werden, nur um den Betrieb aufrechtzuerhalten, auch wenn dies zu Lasten der Sicherheit und des Datenschutzes geht. Diese Sicherheitslücken zu schließen, wird auch in 2022 noch viele Unternehmen beschäftigen.

Sichere Anbindung von Heim-Arbeitsplätzen

Welche Auswirkungen der Übergang zur modernen Heimarbeit für die Betriebsabläufe in deutschen Unternehmen mit sich gebracht hat, hängt entscheidend vom Geschäftsmodell, den individuellen Anforderungsprofilen der Mitarbeiter und nicht zuletzt von der betrieblichen IT-Infrastruktur ab.  Welche Ansprüche werden zum Beispiel an die Kommunikation und den Datenaustausch gestellt? Während für den einen etwa ein einfaches Dokumenten-Sharing ausreicht, benötigt ein anderer Mitarbeiter einen Remote-Arbeitsplatz, um an einem komplexen 3D-Modell zu arbeiten. Viele Betriebe mussten zudem mehr Arbeitnehmer in die Heimarbeit schicken, als betriebliche Ressourcen zur Verfügung standen. „Vor diesem Hintergrund verzeichnen wir bis heute eine deutliche Zunahme an Anfragen, um teilweise mehrere Hundert Arbeitsplätze remote arbeitsfähig zu machen und die bestehenden Sicherheitslücken zu schließen. Das Prinzip: Der Nutzer greift mit seinem privaten Arbeitsgerät über eine per Hardware-authentifizierte Terminal-Session auf eine virtuelle Desktop-Umgebung (VDI: Virtual Desktop Infrastructure) des Unternehmens zu. Die private Betriebssystemumgebung und die betriebliche Anwendungsoberfläche sind dabei jederzeit physisch vollständig voneinander getrennte Systemwelten. Auf dem privaten Endgerät können so keine betrieblichen Daten abgespeichert werden, da es keinen Datenzugriff zwischen privater und betrieblicher Umgebung gibt. Das ist eine einfache und effektive Lösung, um eine Vielzahl von Heim-Arbeitsplätzen anzubinden und auch unter Wirtschaftlichkeitsaspekten ein ausreichend hohes Schutzniveau aller Clients zu gewährleisten“, so Holger Priebe, Teamleiter Microsoft und Virtualisierung bei Netzlink. „Demnach verwundert es auch nicht, dass VDI, VMware Horizon und Collaboration-Anwendungen wie Office-365 mit Teams und Sharepoint aktuell die größten Wachstumsbereiche für uns als IT-Systemhaus darstellen, die derzeit auch unsere größten personellen Ressourcen beanspruchen“, ergänzt er.

Engpässe physischer Kapazitäten

Mit der konzeptionellen Frage der Anbindung an das Unternehmensnetzwerk schließen sich auch Fragen nach den physischen Kapazitäten des bestehenden Netzwerkes an: Habe ich eine ausreichende Firewall und genügend Bandbreite zur Verfügung, um alle meine mobilen Mitarbeiter gleichzeitig remote per VPN anzubinden? Müssen die Mitarbeiter überhaupt auf Microsoft-Maschinen remote arbeiten oder reicht es aus, sie über einen klassischen Client arbeiten zu lassen, z. B. durch lokalen Zugriff auf die Office-365-Cloud, sodass die Bandbreite des eigenen Netzwerkes nicht belastet wird? Dabei ist zu beachten, dass es nicht damit getan ist, den Zugang einmalig herzustellen. Es müssen aufgrund dynamischer Anpassungen der IT-Infrastruktur auch Belastungstests stattfinden, um einen reibungslosen und zuverlässigen Live-Betrieb ohne Unterbrechung der Arbeitsabläufe zu gewährleisten. 

Aber auch der Mitarbeiter braucht eine ausreichende Bandbreite im Heimnetzwerk, um mit der gewohnten IT-Qualität remote zu arbeiten. Ist der Mitarbeiter nur mit einem Client online, sodass es ausreicht, einen VPN-Tunnel aufzubauen, oder muss er vielleicht sogar über einen abgesetzten Access-Point angebunden werden? Das private WLAN ist vielleicht auch durch andere Benutzer bereits ausgelastet oder entspricht nicht den Sicherheitsanforderungen des Unternehmens. Hier kann mit einer LTE-Karte und einem LTE-Modem des Arbeitgebers die Performance und Sicherheit der Verbindung kostengünstig verbessert werden.

Absicherung des Zugangs

Die Absicherung des Zugangs ist dabei stets ein neuralgischer Punkt.  „Der WLAN-Zugang sollte mit einem starken Passwort versehen sein, das in regelmäßigen Abständen gewechselt wird. Optimalerweise wird für die Heimarbeit ein WLAN-Gastzugang verwendet, damit etwaige Firmendaten nicht über dasselbe Netz übertragen werden, das auch andere Anwender im Haus nutzen. Je nach Rolle und Berechtigung stellt sich zudem die Frage, ob die Anmeldung im Netzwerk lediglich über Username und Passwort ausreichenden Schutz bietet oder die Zugriffssicherheit mit einer Zwei-Faktor-Authentifizierung erhöht werden sollte, z. B. mit Token bzw. Einmalpasswort, per Smartcard oder mit Hilfe biometrischer Merkmale“, führt Niklas Lay, Teamleiter Netzwerk und IT-Security bei Netzlink, aus. „Benötigt man bei einzelnen Arbeitsgeräten zusätzlichen Schutz, so kann man auch die Verschlüsselung der Festplatte aktivieren – Windows 10 liefert ja bereits im Betriebssystem einen sogenannten Bitlocker mit, um einem unerlaubten Datenzugriff etwa bei Verlust oder Diebstahl vorzubeugen.“ 

BYOD – Bewusstsein für Risiken schärfen

Eine latente Gefahr für Unternehmen besteht darin, den Einsatz privater Endgeräte ohne bestehende Leitlinien zu dulden, etwa um eine vermeintlich hohe Mitarbeiterproduktivität zu erhalten. Private Endgeräte sind auch nach zwei Jahren im Krisenmodus für die Datensicherheit im Unternehmen ein ernstzunehmendes Risiko, da sie sich weitgehend der unternehmerischen Kontrolle entziehen. „Vielen Arbeitnehmern fehlt hier zudem das Sicherheitsbewusstsein, dass Smartphones mobile und recht leistungsfähige kleine Rechner mit mitunter nennenswerten Datenspeichern darstellen, die ebenso wie ihre Desktop-Pendants über Firewalls und aktuellen Virenschutz abgesichert werden müssen. Viele Nutzer sind bei einer schlagartigen Veränderung der Arbeitssituation nicht in der Lage, Gefahren und Risiken für sich und das Unternehmen abzuschätzen. Insofern liegt es im Interesse der Unternehmen, das Sicherheitsbewusstsein der Mitarbeiter für die betriebliche Nutzung privater Smartphones mit entsprechenden Leitfäden zu schärfen, um das Unternehmen vor Angriffen auf die IT von außen zu schützen“, mahnt Lay.

Rüstzeug für die nächste Krise: Notfallplan in der Tasche

Mit der zunehmenden Nutzung des mobilen Arbeitens wird der IKT-Betrieb für alle Unternehmen noch wichtiger. Die Anwendungen und Daten dürfen einfach nicht mehr ausfallen. Die beste Vorbereitung für ein erfolgreiches Business Continuity Management ist ein Notfall-Handbuch. Dieses dient der Aufrechterhaltung und Fortführung der kritischen Prozesse, wenn bestimmte Ereignisse die Betriebsabläufe stören oder verhindern. Die komplexen (IT-)Strukturen unserer globalen Kollaborationsnetzwerke machen uns in hohem Maße abhängig von einem kontinuierlichen Geschäftsbetrieb zwischen allen Prozessbeteiligten – intern und extern. Mit der fortschreitenden Digitalisierung wird dies noch wichtiger. Ein nachhaltiges Risikomanagement muss Bestandteil jeder Organisation sein, um die negativen Auswirkungen von Störungen auf den Geschäftsbetrieb einzugrenzen. Leider muss oft erst ein Schadensereignis eintreten, bevor tatsächlich gehandelt wird. Um auf Störungen angemessen zu reagieren, bedarf es einer vorher geplanten und streng methodischen Vorgehensweise, die sämtliche kritischen Prozesse berücksichtigt, Verantwortlichkeiten festlegt und Kommunikationsprozesse definiert, um in kürzester Zeit zu einem produktiven IKT-Betrieb zurückzukehren.

Um Unternehmen einen schnellen Überblick über die (ausstattungs-) technischen Basics und die persönlichen Voraussetzungen zu geben, die Unternehmen und Mitarbeiter fit für mobiles Arbeiten machen, bietet Netzlink interessierten Lesern ein E-Booklet zum kostenfreien Download an. 

Bei Positionssensoren steht im Hinblick auf Industrie 4.0 die Kommunikationsfähigkeit im Fokus und IO-Link als die erste hierfür weltweit zertifizierte IO-Technologie (IEC 61131-9) ist ein zentrales Thema. Dank ihr wird die Intelligenz der Sensoren in vollem Umfang für den Automatisierungsverbund nutzbar, was einen deutlichen Mehrnutzen ohne Mehrkosten bedeutet. Novotechnik hat deshalb gleich eine ganze Reihe an Weg- und Winkelsensoren mit IO-Link-Schnittstelle im Programm. Dazu gehören beispielsweise robuste Singleturngeber der Baureihe RFC-4800. Sie haben sich bereits in vielen industriellen und mobilen Anwendungen bewährt, sind kompakt, leicht zu installieren und erfassen den Drehwinkel über volle 360 Grad mit einer Auflösung von bis zu 14 Bit. Weitere Sensoren mit IO-Link sind beispielsweise der absolute, magnetostriktive Wegaufnehmer TH1 in Stabform zur direkten Integration in Hydraulikzylinder sowie die Wegaufnehmer TP1 (magnetostriktiv) und TF1 (induktiv) in Profilbauform. Letzterer ist dank einer Update-Rate von 10 kHz für extrem schnelle Positionieranwendungen geeignet. Da all diese Sensoren berührungslos arbeiten, ist ihre mechanische Lebensdauer praktisch unbegrenzt.

Automatisierungstechnik und Maschinenbau können von den Positionssensoren mit IO-Link-Schnittstelle gleichermaßen profitieren (Bild 2): Bei der Inbetriebnahme kann der Anwender Parameter wie z. B. Nullpunkt oder Verfahrrichtung einfach verändern und somit die Variantenvielfalt verringern. Neben der reinen Positionsinformation lassen sich zudem weitere Informationen wie Status- bzw. Diagnosemeldungen und statistische Daten zur Betriebszeit oder zu Umweltbedingungen (z.B. Temperatur) austauschen. Fehler im Regelkreis sind rasch lokalisierbar, da die Einstellparameter zentral gespeichert sind. Ein Sensor kann daher auch in kurzer Zeit getauscht und einfach neu parametriert werden. Die Installation ist praxisgerecht und die Sensoren lassen sich problemlos in ethernet- oder feldbusbasierte Kommunikationsnetze integrieren. Condition-Monitoring- und Predictive-Maintenance-Konzepte werden dadurch realisierbar.

Weitere Informationen

Babtec ist ein führender Anbieter von Software-Lösungen für das Qualitätsmanagement. Seit mehr als 25 Jahren sichern Unternehmen jeder Grösse und aus allen Branchen mit Produkten dieses Herstellers die Qualität ihrer Prozesse und Produkte. Heute beschäftigt das Wuppertaler Unternehmen über 180 Mitarbeiter an sechs Standorten.

Nach mehreren Geschäftsstellen in Deutschland sowie Niederlassungen in Österreich und Spanien gründet der Softwarehersteller jetzt ein Tochterunternehmen in der Schweiz. Der Handelsregistereintrag wurde am 1. Juni 2022 vorgenommen. Die Neugründung ist laut Peter Hönle, Bereichsleiter Customer & Solutions bei Babtec, Folge des wachsenden Erfolgs der Qualitätsmanagementsoftware aus Wuppertal bei den Eidgenossen: „Unseren ersten Schweizer Kunden konnten wir bereits im Jahr 2001 gewinnen, inzwischen managen über 100 Unternehmen in der Schweiz und in Liechtenstein – dem künftigen Betreuungsgebiet der Babtec Schweiz AG – ihre Qualität mit unseren Softwarelösungen. Das zeigt den hohen Qualitätsanspruch der Schweizer Firmen und den steigenden Bedarf des lokalen Marktes an wirksamer Digitalisierung in der Qualitätsarbeit. Daher haben wir uns dazu entschlossen, künftig auch in der Schweiz mit einem Babtec-Standort vertreten zu sein.“

An dem neuen Standort plant Babtec nach eigenen Angaben vor allem die Betreuung von Bestandskundenprojekten und den Ausbau der vertrieblichen Tätigkeit.

Quelle und weitere Informationen

Eine Analyse von Atlas VPN zeigt, dass sich die DSGVO-Bussen im ersten Halbjahr 2022 auf insgesamt 97,29 Millionen Euro belaufen, was einem Anstieg von 92 % gegenüber dem ersten Halbjahr 2021 entspricht. Die Daten für die Analyse stammen von Enforcementtracker, einer Plattform, die eine Übersicht vermittelt über Bussgelder und Strafen, die Datenschutzbehörden innerhalb der EU im Rahmen der EU-Datenschutzgrundverordnung (GDPR, DSGVO) verhängt haben.

Aus der Übersicht und der Analyse von Atlas VPN geht hervor, dass Unternehmen und Einzelpersonen im ersten Halbjahr 2021 mit insgesamt 50,6 Millionen Euro an GDPR-Strafen belastet. Andererseits ist die Zahl der Gerichtsverfahren leicht zurückgegangen, von 215 im Jahr 2021 auf 205 im Jahr 2022. Mit anderen Worten: Auch wenn die Zahl der Verstösse gegen die DSGVO im Jahr 2022 leicht zurückging, war die Schwere dieser Verstösse erheblich grösser – und damit auch die Höhe der DSGVO-Bussen. Der auffälligste Unterschied zwischen 2021 und 2022 ist im Februar zu beobachten, wo der Gesamtbetrag der verhängten Strafen um fast 28 Millionen Euro abweicht. Auffallend ist auch folgender Trend: Rund 70 % der DSGVO-Bussen werden im ersten Quartal verhängt.

Ein paar besonders krasse Fälle

Atlas VPN verweist zudem auf ein paar bedeutende Fälle von DSGVO-Bussen, die in den ersten Halbjahren 2021 und 2022 ausgesprochen wurden. So verhängte im Juni 2021 der niedersächsische Landesbeauftragte für den Datenschutz eine Geldstrafe in Höhe von 10,4 Millionen Euro gegen die notebooksbilliger.de AG. Das deutsche Unternehmen hatte seine Mitarbeiter mindestens zwei Jahre lang ohne rechtliche Grundlage per Video überwacht. Die unzulässigen Kameras zeichneten u.a. Arbeitsplätze, Verkaufsräume, Lager und Gemeinschaftsräume auf. Das Unternehmen entgegnete, die Überwachung diene der Verhinderung und Aufklärung von Straftaten und der Verfolgung von Waren in Lagern. Eine Videoüberwachung ist jedoch nur dann rechtmässig, wenn ein begründeter Verdacht gegen bestimmte Personen besteht. Ist dies der Fall, ist es erlaubt, diese für einen bestimmten Zeitraum mit Kameras zu überwachen. In diesem Fall war die Überwachung jedoch nicht auf bestimmte Mitarbeiter oder einen bestimmten Zeitraum beschränkt.

Im Mai 2022 wiederum verhängte das Information Commissioner’s Office (ICO) gegen Clearview AI Inc. eine Geldstrafe in Höhe von 7.552.800 Britischen Pfund, weil das Unternehmen Bilder von Menschen im Vereinigten Königreich und anderswo, die im Internet und in sozialen Medien gesammelt wurden, zum Aufbau einer globalen Online-Datenbank verwendet hatte, die für die Gesichtserkennung genutzt werden konnte. Clearview AI Inc. hat mehr als 20 Milliarden Bilder von menschlichen Gesichtern und Daten aus öffentlich zugänglichen Informationen gesammelt. Das Unternehmen hat niemanden darüber informiert, dass seine Bilder auf diese Weise gesammelt oder verwendet wurden. Ausserdem überwacht das Unternehmen tatsächlich das Verhalten dieser Personen und bietet dies als kommerzielle Dienstleistung an.

DSGVO-Bussen als „Weckrufe“

Die Datenschutz-Grundverordnung war notwendig, weil die alten Gesetze vor dem Aufkommen neuer Technologien wie Smartphones und Tablets verfasst wurden, was bedeutete, dass die Nutzer nicht vor Unternehmen geschützt waren, die ihre persönlichen Daten missbrauchten. Die DSGVO verschafft den EU-Bürgern mehr Klarheit darüber, wie und warum Unternehmen ihre Daten verwenden. Darüber hinaus schränkte die DSGVO die Daten, die Unternehmen sammeln können, erheblich ein, so dass die Bürgerinnen und Bürger mit viel mehr Privatsphäre im Internet surfen und Dienste nutzen können. In der Schweiz wird das neue Datenschutzgesetz (NDSG) in eine ähnliche Richtung gehen. Dieses soll am 1. September 2023 in Kraft gesetzt werden; Unternehmen tun gut daran, sich bereits heute darauf vorzubereiten.

Cybersecurity kostet Geld. Solange die IT-Systeme und die Infrastruktur funktionieren, fällt es oft schwer, die Mittel zu investieren, die nötig wären, um Risiken zu reduzieren und den reibungslosen Betrieb auch in Zukunft zu gewährleisten, das heißt: Cyberresilienz herzustellen. Wenn Unternehmen ihr Cyberrisiko systematisch unterschätzen, hat dies mit verschiedenen Fehlannahmen zu tun. Im Folgenden geht es um sechs der häufigsten Irrtümer.

Annahme 1: Es trifft sowieso nur die anderen

„Unser Unternehmen ist für eine Cyberattacke doch gar nicht interessant genug.“ Diese Einschätzung ist alles andere als selten. Die Realität sieht leider vollkommen anders aus. Statistiken sprechen davon, dass sogar 99 Prozent aller Cyberschadensfälle auf Angriffe zurückgehen, die überhaupt nicht zielgerichtet waren. Anders gesagt: Die allermeisten Angriffe laufen nach dem Motto Spray-and-Pray ab. Im Gießkannenprinzip lancieren Cyberkriminelle einen allgemeinen Angriffsversuch ohne konkretes Ziel. Dann warten sie einfach ab, bei welchen Unternehmen oder Organisationen beispielsweise die Mail mit dem Phishing-Link zum Erfolg führt. Leider ist bei vielen Unternehmen die Hürde für eine initiale Kompromittierung ihrer IT nicht hoch genug, um diesen Angriffen auf Dauer standzuhalten. Den Angreifern spielt dies in die Karten. Zumal dann, wenn sie vor allem finanzielle Interessen haben und das Unternehmen beispielsweise durch eine Verschlüsselung per Krypto-Trojaner bzw. Ransomware erpressen wollen. Hier ist der Spray-and-Pray-Ansatz für Cyberkriminelle in der Regel am rentabelsten. Dies wiederum bedeutet: Jedes Unternehmen ist ein potenzielles Opfer.

Politisch motivierte Angriffe grenzen sich davon deutlich ab: Hier ist der Erfolg letztlich nur eine Frage der verfügbaren Arbeitskraft, denn bei einer ideologisch begründeten Attacke spielen monetäre Kosten-Nutzen-Abwägungen eine völlig nachrangige Rolle. In solchen Fällen kommen häufiger auch Zero-Day-Angriffe zum Einsatz, die noch nicht öffentlich bekannte Sicherheitslücken in einer Software ausnutzen. Mit einem Zero-Day-Exploit spielt der Angreifer gleichsam einen Joker aus. Denn wenn die neue Angriffsmethode durch ihren Einsatz publik wird, ist dieser Angriffsvektor letztlich verbrannt, weil Softwarehersteller dann entsprechende Sicherheitsupdates ausrollen.

Annahme 2: Angriffe aus der Supply-Chain spielen keine große Rolle

Tatsächlich nimmt die Zahl von Supply-Chain-Angriffen zu. Bei dieser Klasse von Cyberangriffen fungieren Softwarelösungen, Geräte oder Maschinen, die einem Unternehmen zugeliefert werden und die es für seine Geschäftstätigkeit einsetzt, als die Angriffsvektoren. So handelte es sich bei der Log4j-Sicherheitslücke, die im Dezember 2021 bekannt wurde, um eine Zero-Day-Schwachstelle in einer Java-Protokollierungsbibliothek. Log4j dient dazu, Protokollierungsinformationen aus Software, Anwendungen und Hardware-Appliances zu erstellen und zu speichern. Weil Log4j aber mitunter in vielen unterschiedlichen Lösungen sehr tief verankert ist, in tausenden Instanzen, reicht ein simpler Schwachstellenscan kaum aus, um hier alle angreifbaren Instanzen zu identifizieren.

Generell ist auch Open-Source-Software nicht vor Sicherheitslücken gefeit. So gelang es beispielsweise einem Professor der University of Minnesota im Kontext einer Studie, Schwachstellen in den Linux Kernel einzuschleusen. Dazu gaben er und einer seiner Studenten vor, Bug Fixes für die Linux Community bereitzustellen. Ziel der umstrittenen Aktion war es, zu demonstrieren, wie angreifbar auch Open-Source-Projekte sein können. Eine Sicherheitslücke im Linux Kernel ist potenziell so gravierend, weil Linux sehr weit verbreitet ist. Es findet sich heute in Servern und Smartphones und auch in verschiedensten Embedded Devices – von Autos über Smart Homes bis zu Maschinen.

Mit der zunehmenden Digitalisierung unserer Wirtschaft und unserer Lebenswelt können heute eben auch vernetzte Geräte zum Einfallstor für Cyberkriminelle werden. So wurde etwa eine Supermarktkette gehackt, indem die Angreifer die intelligenten Kühlregale in den Geschäften als Angriffsvektor wählten. Für vernetzte Geräte im Smart-Home-Bereich besteht dasselbe Risiko. Auch sie stellen potenzielle Angriffspunkte dar – ein gravierendes Reputationsrisiko für den Gerätehersteller oder -vertreiber. Im privaten wie im kommerziellen Raum ist darum ein viel bewussterer Umgang mit installierter Software und angeschafften Geräten erforderlich. Im produzierenden Gewerbe beispielsweise, wo eine Maschine einen Lebenszyklus von mehreren Jahrzehnten haben kann, stehen früher oder später meist nur noch mitigierende Maßnahmen zur Verfügung, um Sicherheitsrisiken zu reduzieren. Denn Hersteller existieren dann nicht mehr, oder sie liefern nach wenigen Jahren keine Sicherheitspatches mehr. So bleibt mitunter als einzige Option noch, die Maschine aufwendig vom restlichen Netzwerk abzuschotten und das Restrisiko zu akzeptieren. Grundsätzlich gilt: Es wäre für ein Unternehmen fahrlässig, wollte es die Verantwortung für seine Cybersicherheit gänzlich auf die Zulieferer abwälzen. Bedrohungen aus der Supply Chain heraus sind real und heute alltäglich. Unternehmen benötigen deshalb nicht nur ein entsprechendes Risikobewusstsein, sondern auch Experten und Expertinnen, die sie dabei unterstützen, eine effektive Cyberresilienz zu etablieren.

Annahme 3: Unsere Mitarbeitenden haben schon genügend Sicherheitsbewusstsein

Noch viel zu oft stellt ein unbedachtes Verhalten der Mitarbeiter und Mitarbeiterinnen für Cyberkriminelle ein bequemes Einfallstor ins Unternehmen dar. Ein entsprechendes Risikobewusstsein zu schaffen und wachzuhalten, ist ein Baustein für Cybersicherheit, dessen Bedeutung ein Unternehmen nie unterschätzen sollte. Nur wenn ihnen die Gefahr bewusst ist, werden es die Beschäftigten konsequent vermeiden, beispielsweise Passwörter über das Telefon weiterzugeben oder unbedacht auf einen dubiosen Link in einer E‑Mail zu klicken. Manchmal ist das Gefahrenpotenzial auch eine unmittelbare Konsequenz der täglichen Arbeit. Mitarbeiter und Mitarbeiterinnen in der Personalabteilung etwa öffnen beinahe täglich Bewerbungen, ohne wissen zu können, ob der digitale Lebenslauf Schadcode enthält oder nicht. Mit Rechnungs-PDFs im Maileingang der Buchhaltung verhält es sich genauso. Darum braucht es im Unternehmen natürlich technische Maßnahmen gegen solche Angriffe.

Aber ebenso wichtig ist es, die Wahrscheinlichkeit erfolgreicher Phishing-Versuche zu verringern, indem ein Bewusstsein für die Gefahren von Social-Engineering-Angriffen ganz allgemein geschaffen wird. Social Engineering bedeutet, dass die Angreifenden Täuschung anwenden, um unautorisiert Daten oder Zugriff zu bekommen. Dabei werden Methoden der Humanpsychologie dazu missbraucht, Mitarbeiter oder Mitarbeiterinnen zu manipulieren und sie zur Übermittlung von Informationen oder zu bestimmten Handlungen zu bewegen – wie etwa den fatalen Klick auf den Link in der Phishing-E-Mail oder die Nennung des Passworts gegenüber vermeintlichen Support-Mitarbeitenden am Telefon.

Annahme 4: Der Umfang dieser Sicherheitsprüfung wird schon ausreichen

Die Cybersicherheit im Unternehmen durch Penetration-Tests auf die Probe zu stellen, ist ein wichtiger Baustein im Aufbau der Cyber Resilience. Wählt man dabei allerdings den Scope des Pentests zu klein, ist wenig gewonnen. Denn so entsteht ein vermeintliches Gefühl von Sicherheit. Ein typisches Beispiel ist der Ausschluss bestimmter Systeme, etwa solcher, die am Ende ihres Lebenszyklus stehen, weil sie ja – so heißt es dann – sowieso bald abgeschaltet oder ersetzt werden. Solange sie noch nicht abgeschaltet sind, bieten aber gerade diese Altsysteme oft den verführerischsten Angriffsvektor. Ein anderes Beispiel: Auf dem Server, der eine zu prüfende Webanwendung betreibt, läuft eben auch noch ein FTP-Dienst, der die vollständige Kompromittierung des Servers ermöglicht – aber alle Dienste außer der Webanwendung sind von der Prüfung ausgeschlossen. Ebenso kommt es vor, dass beispielsweise ein Finanzinstitut den Umfang seiner Prüfung nur so groß wählt, wie es regulatorisch vorgeschrieben und offiziell erforderlich ist. Auch hier wäre das Resultat eine trügerische Scheinsicherheit.

Wenn Pentests wirklich aussagefähig werden sollen, dürfen sie sich nicht nur auf einen Ausschnitt der Unternehmens-IT richten. Vielmehr müssen sie holistisch angelegt sein. Denn das Ziel eines Penetration-Tests ist es nicht, dem Management bloß ein positives Gefühl in Sachen Cybersicherheit zu vermitteln – er soll wirkliche Sicherheitslücken und potenzielle Angriffsvektoren identifizieren, damit diese behoben werden können, bevor sie von kriminellen Angreifern ausgenutzt werden.

Annahme 5: Penetration-Tests kann die IT-Abteilung nebenher übernehmen

Pentests können in den meisten Unternehmen gar keine Inhouse-Aufgabe sein. Denn IT-Administratoren und -Administratorinnen haben vor allem eines zu tun: Sie müssen dafür sorgen, dass die Systeme im Unternehmen zuverlässig laufen. In der Regel ist das Administrationsteam mit seinen operativen Aufgaben bereits zu 100, wenn nicht gar zu 120 Prozent ausgelastet. Zudem verlangen Penetration-Tests ein hochspezialisiertes und hochaktuelles Fachwissen, über das die eigene IT-Abteilung in der Regel gar nicht verfügen kann. Es ist wichtig, dass das Management versteht, dass ein Pentest nichts ist, was sich einfach nebenher erledigen ließe. Gleichzeitig müssen die Mitarbeiter und Mitarbeiterinnen der internen IT sich klarmachen, dass es bei einer Sicherheitsprüfung nie darum geht, ihre eigene Arbeit in Sachen Cybersecurity zu diskreditieren, sondern zu stärken. Ein aussagefähiger Penetration-Test wäre mit Inhouse-Ressourcen gar nicht durchführbar, weil Know-how und Zeit dafür fehlen. Anders sieht dies nur aus, wenn das Unternehmen groß genug ist, um sich ein eigenes, dediziertes Red-Team – die Angreifer – für mehr oder minder kontinuierliche Pentests zu leisten. Diesem Red-Team steht dann ein dediziertes Blue-Team mit den Verteidigern gegenüber. Aber sogar ein eigenes Red-Team kann mitunter sehr von externer Unterstützung durch Ethical Hacker profitieren.

Annahme 6: Unsere Backups retten uns im Notfall

Vor etwas mehr als fünf Jahren mag diese Aussage vielleicht noch zutreffend gewesen sein. Heute ist sie das nicht mehr, nicht in jedem Fall. Man muss sich vor Augen führen, dass die Qualität von Schadsoftware deutlich gestiegen ist. Krypto-Trojaner, die Unternehmensdaten zu Erpressungszwecken verschlüsseln, tun dies heute nicht mehr unverzüglich. Es gibt inzwischen Ransomware, die sich zuerst in den Backups eines Unternehmens einnistet und diese nach und nach zerstört. Erst Monate später, wenn das Backup unbrauchbar geworden ist, macht sich der Krypto-Trojaner dann daran, die Daten des Unternehmens zu verschlüsseln – und die eigentliche Erpressung beginnt.

Darum ist es heute wichtig, Backups erstens mit geeigneten Schutzkonzepten vor Malware zu sichern und sie zweitens regelmäßig zu prüfen. Nur auf ein Backup, das auch tatsächlich aufsetzbar ist, ist im Notfall Verlass. Unternehmen sollten darum ihre Disaster Recovery regelmäßig testen, üben und ausprobieren. Und wenn ein Unternehmen sein Backup aus Sicherheitsgründen verschlüsselt: Auch dieser Backup-Schlüssel selbst ist ein möglicher Angriffspunkt, denn Cyberkriminelle können natürlich auch den Backup-Schlüssel des Unternehmens verschlüsseln. Das Backup wäre dann wiederum unbrauchbar, und der Erpressungsversuch durch die Verschlüsselung der Unternehmensdaten könnte beginnen. Darum ist es wichtig, dass Unternehmen ihre Krypto-Schlüssel für das Backup offline aufbewahren und auch ihr Notfalltraining in Sachen Disaster Recovery offline dokumentieren.

Fazit: Von Cybersecurity zu Cyberresilienz

Die Gefahr von Cyberangriffen hat nicht abgenommen, im Gegenteil. Wollte ein Unternehmen aus einer glimpflich verlaufenen Vergangenheit schließen, dass es auch in Zukunft vor Cyberkriminalität sicher ist, wäre dies vielleicht die gravierendste Fehlannahme von allen. Operative Zuverlässigkeit lässt sich in der IT nur herstellen, wenn ein Unternehmen seine Cyberresilienz mit geeigneten, holistischen Konzepten und Maßnahmen etabliert, aufrechterhält und weiterentwickelt. Sich damit auseinanderzusetzen, lohnt die Mühe in jedem Fall, denn der finanzielle Schaden wiegt im Ernstfall um ein Vielfaches schwerer als das vorausschauende Investment in die Cybersicherheit. Wie in der Medizin gilt auch in Sachen Cybersecurity: Vorbeugen ist besser als heilen.

Autoren:
Michael Niewöhner und Daniel Querzola sind beide Manager und Penetration-Tester bei Ventum Consulting, München  

«Best Managed Companies», der in 48 Ländern von Deloitte Private durchgeführte Wettbewerb, vergleicht in einem umfassenden Assessment Unternehmen mit dem weltweit anerkannten Benchmark des Beratungs- und Wirtschaftsprüfungsunternehmens. Dieser wurde in den 25 Jahren seit dem Start des Best Managed Companies Awards kontinuierlich weiterentwickelt. Die Unternehmen, die sich der ausführlichen Analyse stellen, erhalten eine unabhängige und substanzielle Würdigung darüber, wie ihr Betrieb in vier unternehmerischen Kernbereichen im Vergleich zu einer weltweiten Gemeinschaft von über 1’000 vorbildlich geführten Unternehmen steht.

Intensiver Bewertungsprozess

Alle teilnehmenden Unternehmen durchlaufen jeweils einen intensiven mehrstufigen Coaching- und Bewertungsprozess. Dabei wird ihre Performance in den Bereichen Strategie, Produktivität und Innovation, Kultur und Commitment sowie Governance und Finanzen umfassend beurteilt. Nur wer in allen vier Kategorien überzeugt, hat Chancen auf den Award.
«Die dieses Jahr ausgezeichneten Unternehmen verbindet mehrere, heutzutage besonders erfolgsentscheidende Elemente: Sie sind alle höchst agil aufgestellt, flexibel organisiert und haben einen klaren Wachstumsfokus. Sie schaffen es auch, nicht auf überholten Traditionen zu beharren und trotzdem ihre zentralen Werte zu pflegen. Die Auszeichnung als ‹Best Managed Companies› ist ein Ansporn für alle Entscheiderinnen und Entscheider der Schweizer Wirtschaft, die Zukunft ihrer Unternehmen mit Weitsicht, Innovationskraft und nachhaltiger Führungskultur zu gestalten», sagte Andreas Bodenmann, Programmverantwortlicher und Leiter Deloitte Private an der Galaveranstaltung vom 7. Juli 2022 im SIX ConventionPoint in Zürich.

Best Managed Companies: Leuchttürme der Schweizer Wirtschaft

Ausgezeichnet als «Best Managed Companies» wurden vier traditionsreiche Unternehmen in Familienbesitz:

• Die Wipf Gruppe ist ein Schweizer Familienunternehmen, das auf eine mehr als einhundertjährige Geschichte zurückblicken kann. Sie vereint einzigartig unternehmerische Tradition mit zukunftsträchtigen, innovativen Lösungen und hat sich damit europaweit erfolgreich als eine der führenden Anbieterinnen für Verpackungslösungen etabliert.
• Die Groupe Acrotec SA bringt unabhängige Unternehmen aus dem Bereich der Mikromechanik unter einer gemeinsamen «a passion for precision»-Philosophie zusammen und schafft effizient gegenseitige Synergien. Damit nutzt sie smart die Governance-Vorteile aus der Kombination von Gruppenstruktur und Partnerschaft.
• Die SUHNER Group beeindruckte mit der durch Jürg Suhner initiierten Führungserneuerung und der erfolgreichen Neuausrichtung. Das Unternehmen besticht mit einer klaren strategischen Orientierung auf ihre umfassende Kompetenz bei Werkzeugen, Prozessen und Werkstoff-Know-how für Metall und konzentriert sich kompromisslos auf Lösungen für die Kreation erfolgskritischer Metallkomponenten ihrer Kundschaft.
• Precipart, 1950 gegründet, überzeugte als familiengeführtes Unternehmen mit ihrem erfolgreichen und klaren Fokus: Das Unternehmen bietet mittels Innovationen und einem «engineer possible»-Ansatz Hightech-Lösungen für ihre weltweite Kundschaft im Medtech-, Aerospace- und Space- sowie Industriemarkt an.

Sodann erlangten zwei weitere vorbildlich geführte Unternehmen die Auszeichnung als «Best Managed Companies»:

• Mit der auf dem Gebiet der digitalen Therapie aktiven MindMaze wurde erstmals ein reifes Start-up-Unternehmen, ein sogenanntes Scale-up, ausgezeichnet. Es treibt sein starkes Wachstum mittels geschickt strukturierter Governance voran und sichert damit langfristig die Agilität des Unternehmens – eine starke Unternehmenskultur unterstützt dabei massgeblich.
• Der Wettbewerb endet auch nicht nach einem Jahr, denn alle Unternehmen können sich regelmässig der Prüfung unterziehen und die Workshops bestreiten. Der in mehr als 100 Ländern sehr erfolgreiche Getränkehersteller Capri Sun hat dies als erstes Unternehmen in der Schweiz getan und die Jury mit seiner auf Nachhaltigkeit getrimmten Wachstumsstrategie als hervorragend geführte Unternehmung nachhaltig überzeugt.

Standort Schweiz weiter stärken

«Unternehmen in Privatbesitz sind und bleiben ein wichtiger Innovationstreiber eines vielseitigen und starken Wirtschaftsstandorts Schweiz. Deloitte setzt sich seit vielen Jahren aktiv mit Standortfragen auseinander. Die Schweiz muss alles daransetzen, die Regulierung in zentralen Politik- und Fachbereichen so zu gestalten, dass die Unternehmen die nötige unternehmerische Freiheit haben, um sich nachhaltig zu entwickeln», erläutert Reto Savoia, CEO von Deloitte Schweiz. «Diese Freiheit wird leider immer wieder eingeschränkt. Das zeigt sich inzwischen fast im Quartalstakt mit immer neuen, teilweise auch radikalen Volksinitiativen oder auch mit Referenden gegen durchaus sinnvolle Gesetze.»

In der diesjährigen Jury haben Nadia Lang, CEO der Genossenschaft ZFV-Unternehmungen, Jens Breu, CEO der SFS Group, Gilles Stuck, Leiter Markt Schweiz bei Julius Bär, sowie Prof. Thomas Straub, Associate Professor an der Universität Genf für strategisches Management und Unternehmensstrategie, die teilnehmenden Unternehmen beraten und bewertet.

Quelle: Deloitte

Die Lindenhofgruppe zählt landesweit zu den führenden Listenspitälern mit privater Trägerschaft. In ihren drei Spitälern werden jährlich über 140’000 Patientinnen und Patienten, davon rund 27’000 stationär versorgt. Die Spitalgruppe bietet neben einer umfassenden interdisziplinären Grundversorgung ein Spektrum der spezialisierten und hochspezialisierten Medizin an. Schwerpunkte des Leistungsangebots bilden die Orthopädie, Innere Medizin, Viszeralchirurgie, Frauenmedizin, Urologie, Neurochirurgie, Kardiologie, Angiologie/Gefässchirurgie, Onkologie, HNO, Radiologie, Strahlentherapie, Nephrologie und Notfallmedizin. Die Gruppe beschäftigt rund 2’500 Mitarbeitende. „Im Kanton Bern sind wir die Qualitätsführerin in Medizin und Pflege“, erklärt Guido Speck, CEO der Lindenhofgruppe. „Eine Position, die Verantwortung mit sich bringt – auch gegenüber den Mitarbeitenden.“

Die Belastung der Pflege-Mitarbeitenden ist auch in der Lindenhofgruppe gestiegen. „Trotz der anspruchsvollen Gesamtsituation haben wir uns deshalb entschlossen, einen weiteren substanziellen Beitrag zur Verbesserung der Arbeitsbedingungen in der Pflege zu leisten“, erklärt Guido Speck. Ein umfangreiches Massnahmenpaket soll nun den Führungsanspruch der Lindenhofgruppe als fortschrittliche und attraktive Arbeitgeberin unterstreichen. Zudem soll es bestätigen, welchen Stellenwert die Gesundheit und das Wohlergehen der Mitarbeitenden in der Lindenhofgruppe einnehmen.

Konkret bedeutet das: Zusätzlich zur am 1. April 2022 allen Mitarbeitenden gewährten Lohnerhöhung erhalten die Mitarbeitenden in der Pflege Entschädigungen, die in der Summe einer Verringerung der wöchentlichen Arbeitszeit auf weniger als 40 Stunden entsprechen – bei gleichem Lohn. Neben der Erhöhung der Zeitgutschrift bei Nachtdiensten von 20 % auf 30 % erhalten Pflegefachpersonen die im 24 Stunden 3-Schichtbetrieb arbeiten, zusätzlich 7 Tage Ferien. Die Mitarbeitenden können darüber hinaus selber bestimmen, ob sie freie Tage wünschen, Ferien machen oder weniger Stunden pro Woche arbeiten möchten. Eine enorme Verbesserung, die mehr Flexibilität und Lebensqualität mit sich bringt.

Zur weiteren Entlastung der bestehenden Mitarbeitenden startet die Lindenhofgruppe eine zielgerichtete Kampagne, um neue qualifizierte Fachpersonen zu gewinnen. Sie soll junge Menschen für den Pflegeberuf begeistern und die bestehenden Mitarbeitenden weiter entlasten. „Ihre Gesundheit ist unsere Berufung – Ihr Wohlergehen unsere Verpflichtung. So lautet das Motto unserer täglichen Arbeit. Ein Leitsatz, der auch unsere Mitarbeitenden einschliesst“, ergänzt Raul Gutierrez, Leiter HRM. „Wir engagieren uns fortwährend, erste Wahl für unsere Mitarbeitenden zu sein und zu bleiben. Aus Dankbarkeit und als Zeichen der Wertschätzung ihrer Leistungen“.

Quelle und weitere Informationen