Digitale \u00d6kosysteme und Plattformen bieten gro\u00dfe Chancen<\/h3>\n
Erfolgreiche und reichweitenstarke Digitale \u00d6kosysteme und Plattformen wie Uber, Airbnb und eBay entstehen nicht nur in den USA, sondern auch in Europa und in Deutschland. Das zeigen Plattformen wie Spotify in der Musikdom\u00e4ne, hepster oder wefox in der Versicherungs- und Finanzdom\u00e4ne und FlixBus, ReachNow oder Jelbi in der Mobilit\u00e4tsdom\u00e4ne. Laut einer McKinsey-Studie<\/a> sollen Digitale \u00d6kosysteme im Jahr 2025 etwa 30 Prozent des weltweiten Umsatzes generieren.<\/p>\n Zentrale Begriffe und Definitionen zu Digitalen \u00d6kosystemen finden Sie hier.<\/a><\/p>\n<\/div>\n Alle Unternehmen, ob in der IT beheimatet oder nicht, sollten sich daher fr\u00fchzeitig mit Digitalen \u00d6kosystemen auseinandersetzen. Durch Digitale \u00d6kosysteme und Plattformen werden die Karten hinsichtlich der Positionierung in M\u00e4rkten neu gemischt und Unternehmen k\u00f6nnen durch innovative Ideen ihre Branche revolutionieren<\/a>. Die induzierten Netzwerkeffekte k\u00f6nnen das gesamte Gesch\u00e4ftsvolumen enorm steigern, wovon nicht nur der Initiator profitiert, sondern alle Partner im Digitalen \u00d6kosystem. Ein Digitales \u00d6kosystem entsteht jedoch nicht \u00fcber Nacht, sondern erfordert einen langen Atem sowie interdisziplin\u00e4re Kompetenzen und zwingt uns oftmals, unsere Komfortzone zu verlassen.<\/p>\n Die gesamte Abwicklung der Interaktion und der Gesch\u00e4fte in einem Digitalen \u00d6kosystem l\u00e4uft \u00fcber eine Digitale Plattform. Diese Plattform erm\u00f6glicht eine harmonisierte und effiziente Interaktion zwischen allen \u00d6kosystemteilnehmern und ist ein wesentlicher Baustein f\u00fcr die Skalierbarkeit digitaler Gesch\u00e4ftsmodelle. Wenn es sich um \u00f6konomisch orientierte Digitale \u00d6kosysteme handelt, in denen die \u00d6kosystemteilnehmer direkte Beziehungen \u00fcber die Plattform eingehen, sprechen wir auch von \u00bbPlattform\u00f6konomie\u00ab.<\/p>\n Daten sind absolut zentral in Digitalen \u00d6kosystemen und Digitalen Plattformen:<\/p>\n Diese zentrale Rolle von Daten und insbesondere auch die Rolle von personenbezogenen Daten ist ein starkes Indiz daf\u00fcr, dass die Aspekte IT-Sicherheit, Datensicherheit, Datensouver\u00e4nit\u00e4t und Datenschutz absolut kritisch beim Aufbau von Digitalen \u00d6kosystemen sind. Zur Verbesserung der Lesbarkeit werden wir die Begriffe nachfolgend nicht immer einzeln auff\u00fchren, sondern vielmehr unter dem Begriff Security subsumieren.<\/em><\/p>\n Digitale \u00d6kosysteme bieten ein attraktives Angriffsziel. Sie umfassen eine gro\u00dfe Community (Partnerunternehmen, \u00d6kosystemteilnehmer) mit entsprechend vielen wertvollen IT-Systemen und Daten, was reiche Beute verspricht.<\/p>\n Die IT-Landschaft in einem einzelnen Unternehmen ist meist schon reichlich heterogen und komplex. In Digitalen \u00d6kosystemen, die aus vielen heterogenen IT-Systemen unterschiedlicher Eigner bestehen k\u00f6nnen und h\u00e4ufige Zu- oder Abg\u00e4nge verzeichnen, ist die Komplexit\u00e4t und Dynamik weitaus h\u00f6her. Dabei schleichen sich leicht Fehlkonfigurationen oder missverst\u00e4ndliche Absprachen zwischen den Partnern ein, was Sicherheitsschwachstellen beg\u00fcnstigt. Auch sind wom\u00f6glich nicht alle beteiligten Partner gleich kompetent und gleich gewissenhaft im Umgang mit Security-Belangen.<\/p>\n Eine weitere Herausforderung besteht in dem folgenden Spannungsfeld: Einerseits muss der Aufbau und das Wachstum eines Digitalen \u00d6kosystems schnell gehen, weil fr\u00fche Marktdurchdringung zentral ist. Andererseits ist aber zu jedem Zeitpunkt Security sehr wichtig und die Ergreifung der notwendigen Ma\u00dfnahmen steht teils in Abw\u00e4gung zur Geschwindigkeit von Ausbau und Wachstum.<\/p>\n Security-Vorf\u00e4lle in der Plattform oder bei den Partnern k\u00f6nnen das Aus f\u00fcr ein Digitales \u00d6kosystem bedeuten oder es nachhaltig sch\u00e4digen, da die Reputation des \u00d6kosystems und seiner Anbieter ein wichtiges Entscheidungskriterium f\u00fcr dessen Marktakzeptanz ist. Verlorenes Vertrauen zur\u00fcckzugewinnen ist weit schwieriger, als es zu erwerben, und leider werden in der \u00f6ffentlichen Wahrnehmung alle \u00d6kosystempartner f\u00fcr die Sicherheitsm\u00e4ngel eines einzelnen Akteurs mit in Haftung genommen. Umso wichtiger ist es, durchg\u00e4ngig ein hohes Sicherheitsniveau zu etablieren.<\/p>\n Schon an diesen wenigen Beispielen wird klar: Das Thema \u00bbSecurity in Digitalen \u00d6kosystemen\u00ab umfasst mehr als nur die technische Plattform und betrifft alle beteiligten Akteure. Dem Initiator und Betreiber eines Digitalen \u00d6kosystems und der zugeh\u00f6rigen Digitalen Plattform kommt dabei eine entscheidende Rolle zu.<\/p>\n In der folgenden Abbildung zeigen wir zentrale Rollen und Elemente in einem Digitalen \u00d6kosystem auf, die bei der Betrachtung von Security in Digitalen \u00d6kosystemen ber\u00fccksichtigt werden m\u00fcssen. Zun\u00e4chst einmal ist die Trennung zwischen dem gesamten Digitalen \u00d6kosystem und der Digitalen Plattform wichtig: Die Digitale Plattform ist ein IT-System, das durch den Initiator und Betreiber des Digitalen \u00d6kosystems entwickelt und betrieben wird. Im Kern des Digitalen \u00d6kosystems stehen die \u00bb\u00d6kosystem-Services\u00ab, welche den Hauptnutzen f\u00fcr die \u00d6kosystemteilnehmer umsetzen, sowie unterst\u00fctzende Infrastrukturdienste, welche wir als \u00bbSupport Services\u00ab bezeichnen.<\/p>\n Im Digitalen \u00d6kosystem existiert dar\u00fcber hinaus eine Vielzahl an \u00d6kosystemteilnehmern, die in unterschiedlichen Rollen haupts\u00e4chlich als Anbieter oder Konsument von \u00bbAssets\u00ab (das k\u00f6nnen Daten, G\u00fcter, Dienstleistungen usw. sein) auftreten. Diese Teilnehmer sind unabh\u00e4ngig und m\u00fcssen mit Eigenmotivation im Digitalen \u00d6kosystem mitwirken. Dabei verbinden sie teilweise eigene IT-Systeme \u00fcber APIs (bspw. Caruso Dataplace) mit der Digitalen Plattform. Teilweise nutzen sie aber auch direkt UIs der Digitalen Plattform (bspw. Airbnb).<\/p>\n Im Digitalen \u00d6kosystem werden, wie oben beschrieben, sehr viele Daten \u2013 sowohl im Sinne von \u00bbDaten als Core Asset\u00ab als auch Nutzungsdaten \u2013 ausgetauscht und erzeugt. Diese Daten wirksam zu sch\u00fctzen ist Grundvoraussetzung f\u00fcr das Vertrauen in ein Digitales \u00d6kosystem und in die Digitale Plattform.<\/p>\n Mit dieser Abbildung wird klar, dass sich Security im gesamten Digitalen \u00d6kosystem im Wesentlichen aus<\/p>\n zusammensetzt.<\/p>\n Die Kernherausforderung bei der Etablierung eines Digitalen \u00d6kosystems hinsichtlich Security besteht darin,<\/p>\n Support Services k\u00f6nnen auch von externen Anbietern bezogen werden, sodass sich der Betreiber der Digitalen Plattform bestm\u00f6glich auf sein Kerngesch\u00e4ft fokussieren kann. Ein Beispiel hierf\u00fcr ist ein Bezahldienst wie PayPal oder Stripe, der essenzielle und sicherheitskritische Zusatzdienste f\u00fcr das Digitale \u00d6kosystem bereitstellt. Auch diese Support Services und ihre Anbieter stellen dann Herausforderungen bez\u00fcglich Security dar, vor allem wenn die Support Services auch exponiert zu den \u00d6kosystemteilnehmern sind.<\/p>\n <\/p>\n Datensouver\u00e4nit\u00e4t hat in den vergangenen Jahren immens an Bedeutung gewonnen. Der Bedarf nach Transparenz und informationeller Selbstbestimmung steigt stetig \u2013 teils aufgrund gesetzlicher Regelungen, teils auch aufgrund der steigenden Nachfrage der User selbst. Gerade in Digitalen \u00d6kosystemen, mit einer Vernetzung und Datenweitergabe \u00fcber verschiedene Unternehmen und Teilnehmer hinweg, ist Datensouver\u00e4nit\u00e4t eine Kernherausforderung.<\/p>\n Datensouver\u00e4nit\u00e4t<\/strong>: Eine offizielle Definition f\u00fcr Datensouver\u00e4nit\u00e4t existiert aktuell nicht. Daher hier unsere Begriffsdefinition f\u00fcr Datensouver\u00e4nit\u00e4t, wie sie so oder in \u00e4hnlicher Form verwendet wird: Unter Datensouver\u00e4nit\u00e4t versteht man die gr\u00f6\u00dftm\u00f6gliche Kontrolle, Einfluss- und Einsichtnahme auf die Nutzung der Daten durch den Datengebenden. Dieser soll zu einer informationellen Selbstbestimmung berechtigt und bef\u00e4higt werden und Transparenz \u00fcber Datennutzungen erhalten.<\/p>\n Insbesondere datenzentrierte Gesch\u00e4ftsmodelle haben hier besondere Anspr\u00fcche, da Daten in diesem Fall das grundlegende Wirtschaftsgut (Asset) darstellen, das es zu sch\u00fctzen gilt. Initiativen wie etwa die International Data Spaces<\/a>, der Data Intelligence Hub<\/a> oder GAIA-X<\/a> untermauern den Bedarf an einem sicheren Datenaustausch, der die Datensouver\u00e4nit\u00e4t aller beteiligten Akteure gew\u00e4hrleistet.<\/p>\n F\u00fcr die organisatorische und technische Umsetzung von Datensouver\u00e4nit\u00e4t sind die Dynamik, Flexibilit\u00e4t und eine gewisse Unvorhersagbarkeit von Digitalen \u00d6kosystemen und Gesch\u00e4ftsmodellen eine wesentliche Herausforderung. In Digitalen \u00d6kosystemen flie\u00dfen Daten \u00fcber unterschiedliche Partner mit unterschiedlichen IT-Systemen, und in Summe muss dennoch Datensouver\u00e4nit\u00e4t f\u00fcr die Datengebenden erf\u00fcllt werden. Dabei kommt der Digitalen Plattform eine zentrale Rolle zu.<\/p>\n Wir f\u00fchren zur Illustration ein \u00d6kosystembeispiel aus der Finanzdom\u00e4ne ein. Im Zentrum steht der Banking Data Hub mit seiner Plattform, welche einerseits eine Menge von Banken als Datenanbieter und andererseits verschiedene FinTechs mit Dienstleistungsangeboten (Bonit\u00e4tspr\u00fcfung, Vertragsoptimierung) als Datenkonsumenten miteinander vernetzt. Die im Digitalen \u00d6kosystem ausgetauschten Daten umfassen Transaktions- und Kundenstammdaten der Bankkunden. Im Beispiel haben wir ein FinTech, welches die Kreditw\u00fcrdigkeit der Kunden pr\u00fcft (Bonit\u00e4tspr\u00fcfung) und zwei weitere FinTechs, die Dienste zur Optimierung und zum Wechsel von Energie- und Versicherungsvertr\u00e4gen anbieten (Vertragsoptimierung). Die FinTechs haben selbst wiederum auch die Bankkunden als Kunden und bieten diesen Dienstleistungen an, die sie erbringen k\u00f6nnen, weil sie Zugriff auf die Transaktions- und Kundenstammdaten einger\u00e4umt bekommen. Die FinTechs k\u00f6nnen \u00fcber die Teilnahme im Digitalen \u00d6kosystem einfachen und harmonisierten Zugriff auf die Daten vieler Banken und dahinter vieler Bankkunden bekommen und damit eine gro\u00dfe Zielgruppe mit ihren Angeboten erreichen.<\/p>\n Die teilnehmenden FinTechs im Digitalen \u00d6kosystem und ihr Dienstangebot \u2013 basierend auf Daten \u2013 werden sich \u00fcber die Zeit ver\u00e4ndern. Dennoch muss der Umgang mit Daten jederzeit kontrollierbar bleiben, um der informationellen Selbstbestimmung f\u00fcr die Bankkunden gerecht zu werden. Die zentrale Plattform im Digitalen \u00d6kosystem muss auf der einen Seite den Kunden entsprechende Einstellungs- und Auskunftsm\u00f6glichkeiten bieten (Cockpits), damit sie selbst bestimmen k\u00f6nnen, was mit den Daten geschieht; auf der anderen Seite muss sie technische Durchsetzungsm\u00f6glichkeiten bieten, um Daten nur gem\u00e4\u00df der getroffenen Einstellungen flie\u00dfen zu lassen. Im Folgenden gehen wir n\u00e4her auf die Umsetzung solcher Cockpits und die technische Durchsetzung von Datensouver\u00e4nit\u00e4tsanforderungen in Digitalen \u00d6kosystemen ein.<\/p>\n Ein Cockpit in der zentralen Digitalen Plattform erm\u00f6glicht es den Usern, Auskunft \u00fcber die Verwendung ihrer pers\u00f6nlichen Daten zu erhalten und Einfluss auf deren weitere Nutzung und Verbreitung zu nehmen (informationelle Selbstbestimmung). Das Cockpit zeigt und regelt den Umgang mit den Daten im gesamten Digitalen \u00d6kosystem in einheitlicher Weise f\u00fcr alle Teilnehmer in unserem Beispiel aus der Finanzdom\u00e4ne.<\/p>\n Eine benutzerfreundliche Oberfl\u00e4che hilft, auch IT-Laien einen angemessenen Zugriff und die Aus\u00fcbung ihrer Rechte zu erm\u00f6glichen. Unsere Erfahrungen zeigen, dass die Gestaltung einer solchen Oberfl\u00e4che und die Bestimmung einer geeigneten Granularit\u00e4t f\u00fcr die Darstellung stark von der Dom\u00e4ne und schlussendlich von den Usern abh\u00e4ngen. In unserem Beispiel aus dem Finanzwesen ist davon auszugehen, dass die Mehrheit der Bankkunden keine IT-Experten sind und daher eine m\u00f6glichst einfache und f\u00fcr sie verst\u00e4ndliche Einstellm\u00f6glichkeit bevorzugen. Wie im nachfolgenden Screenshot dargestellt, erm\u00f6glicht der Banking Data Hub den Bankkunden die Einstellungen durch Auswahl einer Einstellungsoption, die einen Satz vervollst\u00e4ndigt, bspw. \u00bbBonit\u00e4tspr\u00fcfung hat Zugriff auf: Alles | Anonymisierte Transaktionen | Nichts\u00ab:<\/p>\n Bei der Gestaltung des Cockpits sind zudem rechtliche Aspekte zu bedenken, wie etwa die Verlinkung zu Datenschutzrichtlinien oder anderen Informationen. Es ist oft zielf\u00fchrend, verschiedene Sichten einzunehmen und abzubilden. So will ein Bankkunde wissen, welches FinTech nicht nur auf seine Transaktionsdaten, sondern zus\u00e4tzlich auf seine Kundenstammdaten zugreift. In einem anderen Fall m\u00f6chte ein Bankkunde wissen, welche Daten ein FinTech f\u00fcr die Optimierung seiner Versicherungsvertr\u00e4ge ben\u00f6tigt. Bei komplexeren Konstellationen von \u00d6kosystemteilnehmern und flie\u00dfenden Daten kann es f\u00fcr User hilfreich sein, diese durch geeignete Visualisierungen der Datenfl\u00fcsse nachvollziehen zu k\u00f6nnen.<\/p>\n Aus Sicht der User im Digitalen \u00d6kosystem ist das Cockpit der Digitalen Plattform der ideale Anlaufpunkt f\u00fcr alle Einstellungen rund um die Verwendung und Verbreitung eigener Daten durch die Plattform und durch andere Teilnehmer (und deren Dienste) im Digitalen \u00d6kosystem. Das kann zu folgenden Anforderungen und Implikationen (je nach Gestaltung des Digitalen \u00d6kosystems) f\u00fchren:<\/p>\n Diese zentrale Rolle von Cockpits in der Digitalen Plattform erfordert entsprechende Schnittstellen zwischen der Digitalen Plattform und den Systemen der \u00d6kosystemteilnehmer mit ihren Diensten.<\/p>\n Ein prominentes Beispiel f\u00fcr ein umfangreiches Cockpit ist das Google Dashboard, bei dem alle Google-Dienste aufgef\u00fchrt werden und die User f\u00fcr alle Dienste zentral ihre Einstellungen treffen k\u00f6nnen.<\/p>\n Mehr zur benutzungsfreundlichen Gestaltung von Datenschutzcockpits erfahren Sie in unserer Blog-Serie, die demn\u00e4chst erscheint.<\/p>\n Im vorangegangenen Abschnitt haben wir die Darstellungs- und Einstellungsm\u00f6glichkeiten f\u00fcr Datenfl\u00fcsse im Digitalen \u00d6kosystem betrachtet. Nun widmen wir uns der technischen Kontrolle bei der Nutzung und Weitergabe von Daten.<\/p>\n Die Digitale Plattform als Zentrum des Datenaustauschs im Digitalen \u00d6kosystem bildet einen sehr guten Ansatzpunkt, um den Fluss und die Nutzung gem\u00e4\u00df den W\u00fcnschen und Einstellungen der User durchzusetzen.<\/p>\n Wir m\u00f6chten an dieser Stelle das Konzept der Datennutzungskontrolle vorstellen, welches einen Paradigmenwechsel von der klassischen Zugriffskontrolle darstellt, indem der Fokus der Entscheidung auf die Nutzung der Daten gelegt wird und nicht mehr auf den Zugriff. Hiermit werden feingranulare Steuerungsm\u00f6glichkeiten f\u00fcr Datenfl\u00fcsse geschaffen, damit Datensouver\u00e4nit\u00e4t in Digitalen \u00d6kosystemen umgesetzt werden kann. Vereinfacht ausgedr\u00fcckt funktioniert die Datennutzungskontrolle wie eine inhaltsbasierte Firewall, welche zus\u00e4tzlich noch den Inhalt des Datenstroms ver\u00e4ndern kann. Hierzu werden an Schnittstellen Kontrollpunkte integriert, welche mit dem Datenstrom interagieren und die eingestellten Regeln durchsetzen. Dadurch lassen sich flie\u00dfende Daten modifizieren und beispielsweise auch personenbezogene Informationen entfernen (sprich anonymisieren). Die zentrale Plattform in einem Digitalen \u00d6kosystem ist somit der ideale Punkt, um die Datennutzungskontrolle f\u00fcr Datenfl\u00fcsse zwischen den Teilnehmern des \u00d6kosystems durchzusetzen.<\/p>\n Wir erinnern uns an das Beispiel aus der Finanzdom\u00e4ne, bei dem der Bankkunde die Einstellungsm\u00f6glichkeiten \u00bbBonit\u00e4tspr\u00fcfung hat Zugriff auf: Alles | Anonymisierte Transaktionen | Nichts\u00ab zur Kontrolle der Datennutzung durch das Bonit\u00e4tspr\u00fcfungs-FinTech hat. Diese Datensouver\u00e4nit\u00e4tseinstellungen werden durch die Banking-Data-Hub-Plattform bei der Nutzung der Daten durch das FinTech durchgesetzt. Hierzu wurde ein Kontrollpunkt in die Schnittstelle f\u00fcr den Datenabruf integriert. Das nachfolgende Bild zeigt das Resultat f\u00fcr das FinTech bei unterschiedlichen Einstellungen durch den Bankkunden. Mit der Einstellung \u00bbAlles\u00ab erh\u00e4lt das FinTech alle Daten unver\u00e4ndert, die Datennutzungskontrolle erlaubt also den Datenstrom. Bei der Auswahl \u00bbAnonymisierte Transaktionen\u00ab erfolgt eine Ver\u00e4nderung der flie\u00dfenden Daten. Hierzu wird unter anderem der Verwendungszweck durch den Textbaustein \u00bbVerwendungszweck ausgeblendet\u00ab \u00a0ersetzt und die Kontonummer durch XXXX maskiert.<\/p>\n Weitere Ausbaustufen sind vorstellbar: Viele Banken reichern die Transaktionsdaten mittlerweile durch eine Klassifikation an. In unserem Beispiel besteht dann die M\u00f6glichkeit, die Daten anhand dieser Klassifikation zu filtern. Das FinTech zur Optimierung der Versicherungsvertr\u00e4ge erh\u00e4lt damit nur noch Zugriff auf relevante Transaktionen mit der Klassifizierung \u00bbVersicherung\u00ab, um seinen Dienst zu erbringen.<\/p>\n Ist man erst einmal mit den feingranularen M\u00f6glichkeiten der Datennutzungskontrolle zur Durchsetzung von Datensouver\u00e4nit\u00e4t vertraut, sind den Einstellm\u00f6glichkeiten und Interaktionsm\u00f6glichkeiten mit den Datenfl\u00fcssen nahezu keine Grenzen gesetzt.<\/p>\n Wir sind nun auf die Durchsetzung der Datensouver\u00e4nit\u00e4t in der Plattform eingegangen. Es gibt aber auch F\u00e4lle, in denen die weitere Verbreitung von Daten durch die Teilnehmer (in unserem Fall die FinTechs) kontrolliert werden muss und Regeln durchgesetzt werden m\u00fcssen. Die Durchsetzung von Datensouver\u00e4nit\u00e4tsregeln au\u00dferhalb der eigenen Systemgrenzen der Banking Data Hub Plattform stellt das Unternehmen Banking Data Hub als Initiator und Betreiber vor gro\u00dfe Herausforderungen, welche manchmal nur durch organisatorische Regelungen im Sinne von Auflagen umgesetzt werden k\u00f6nnen. Die weiteren \u00d6kosystemteilnehmer k\u00f6nnen aber auch dazu verpflichtet werden, entsprechende Kontrollpunkte technisch zu integrieren und deren Steuerung mit Regeln aus dem zentralen Cockpit zu verkn\u00fcpfen. Zur Schaffung von Vertrauen erfordert dies allerdings weitere organisatorische Ma\u00dfnahmen. Dies umfasst beispielsweise die M\u00f6glichkeit, den Teilnehmer zu auditieren und die technische Umsetzung zu kontrollieren. Im IDS etwa setzt man auf die Zertifizierung der Teilnehmer durch unabh\u00e4ngige Stellen und die Verwendung von TPMs (Trusted Platform Modules) als Vertrauensanker, um abzusichern, dass die technische Umsetzung nach der Zertifizierung nicht ver\u00e4ndert wurde. Man erkennt, dass die Durchsetzung von Datensouver\u00e4nit\u00e4t bei den Teilnehmern einen erheblichen Mehraufwand und umfassende Konzeptionierung bedeutet \u2013 im Gegensatz zur zentralen Plattform.<\/p>\n Aufgrund unserer mehr als zehnj\u00e4hrigen Erfahrung auf diesem Gebiet m\u00f6chten wir noch auf die Komplexit\u00e4t und oftmals untersch\u00e4tzte Herausforderung bei der technischen Umsetzung von Datennutzungskontrolle hinweisen. Die technische Implementierung von Datennutzungskontrolle erscheint im ersten Schritt oftmals trivial und einzelne Aspekte sind schnell in die Plattform integriert (bspw. die Maskierung der Kontonummern). Es entstehen dadurch jedoch \u00fcber weite Teile der Code-Basis verteilte Einzell\u00f6sungen, die mit einer wachsenden Plattform schlecht skalieren und langfristig mit einem erheblichen Mehraufwand verbunden sind. Durch die Einzell\u00f6sungen entsteht zudem eine uneinheitliche Umsetzung und Darstellung von Datensouver\u00e4nit\u00e4t. Langfristig f\u00fchrt dies dann zu einem umfassenden Refactoring oder erfordert sogar ein Neudesign, um einen vertrauensvollen Umgang mit Daten zu gew\u00e4hrleisten.<\/p>\n Wir haben am Fraunhofer IESE die MYDATA Control Technologies<\/a> entwickelt, die sich in bestehende oder neue Software integrieren lassen, um die Datenfl\u00fcsse auf Basis von Regeln feingranular und flexibel zu steuern. Hierf\u00fcr stellen wir ein Software Development Kit bereit, das die Integration im Handumdrehen umsetzt und keine umfassenden IT-Sicherheitskenntnisse erfordert. F\u00fcr detaillierte Einblicke in die Welt und die M\u00f6glichkeiten der Nutzungskontrolle verweisen wir interessierte Leser auf unseren Blog-Beitrag \u00bb10\u00a0Jahre Usage Control am IESE\u00ab<\/a>.<\/p>\n Datennutzungskontrolle in Digitalen \u00d6kosystemen kann zu sehr individuellen Anforderungen der \u00d6kosystemteilnehmer f\u00fchren. Wir helfen unseren Kunden, diese Anforderungen zu erfassen und zu strukturieren und individuell passende technische und organisatorische L\u00f6sungen zu etablieren. Zusammen mit Caruso Dataplace haben wir beispielsweise eine L\u00f6sung f\u00fcr die rechtm\u00e4\u00dfige Verarbeitung von Fahrzeugdaten etabliert. Dabei wird die Weitergabe der Daten von Systemen der Fahrzeughersteller \u00fcber die Digitale Plattform von Caruso bis zu einem Service-Anbieter, der mit den Daten arbeitet, geregelt. Nur bei entsprechender Zustimmung des Datengebenden, hier des Fahrers eines Fahrzeugs, werden die Daten weitergegeben. Informationen zu den spezifischen Anforderungen und der erarbeiteten L\u00f6sung f\u00fcr die rechtm\u00e4\u00dfige Datenverarbeitung bei Caruso Dataplace finden Sie hier<\/a>.<\/p>\n Im vorherigen Abschnitt haben wir uns ausf\u00fchrlich mit dem Thema Datensouver\u00e4nit\u00e4t in Digitalen \u00d6kosystemen besch\u00e4ftigt. Der zweite wichtige Punkt, den wir in diesem Artikel beleuchten m\u00f6chten, sind die Engineering-Aktivit\u00e4ten, die rund um Security anfallen.<\/p>\n Security als zentrale Qualit\u00e4tseigenschaft von Digitalen \u00d6kosystemen muss fr\u00fchzeitig und ganzheitlich in die Gestaltung miteinbezogen werden. Security-Aktivit\u00e4ten ziehen sich \u00fcber den gesamten Lebenszyklus eines Digitalen \u00d6kosystems hinweg. In der folgenden Abbildung haben wir zentrale Security-Aktivit\u00e4ten im Hinblick auf die wichtigsten Phasen beim Aufbau eines Digitalen \u00d6kosystems abgebildet. Wir betrachten die Erhebung von Security-Anforderungen, das Design von Security- und Datenschutzkonzepten sowie Security-Audits und Compliance Checks.<\/p>\n Zu Beginn jedes Vorhabens steht die Erhebung von Anforderungen, wozu insbesondere die Security-Anforderungen z\u00e4hlen. Hierbei stellt sich die Frage, ob Security-Anforderungen f\u00fcr Digitale \u00d6kosysteme anders erhoben werden m\u00fcssen als f\u00fcr klassische IT-Systeme. Verschiedene Faktoren f\u00fchren dazu, dass Security in Digitalen \u00d6kosystemen oftmals komplexer und weitaus volatiler als in klassischen IT-Systemen ist:<\/p>\n Bei unseren Kunden hat sich eine Kombination von Recherche und verschiedenen Workshop-Formaten bew\u00e4hrt, um systematisch Anwendungsf\u00e4lle, regulatorische Anforderungen, Werte, Bedrohungen und Gegenma\u00dfnahmen abzuleiten. Bei den Workshops kommen dabei diverse Techniken zur systematischen Erhebung zum Einsatz. Zusammenfassend wird bei der Erhebung von Security-Anforderungen das Rad nicht neu erfunden, denn wir bauen auf bew\u00e4hrte Verfahren und Praktiken auf. Allerdings muss an einigen Stellen weitergedacht und gleichzeitig mit einer gewissen Volatilit\u00e4t und Unsicherheit beim Umgang mit Security-Anforderungen gelebt werden.<\/p>\n Nach der Erhebung von Security-Anforderungen besch\u00e4ftigen wir uns nun damit, wie diese Security-Anforderungen durch geeignete Security- und Datenschutzkonzepte erf\u00fcllt werden k\u00f6nnen. Dem Initiator und Betreiber der zentralen Plattform kommt dabei eine besondere Rolle zu, da hier alle F\u00e4den zusammenlaufen. Dies umfasst die Architektur der Plattform ebenso wie das Zusammenspiel der Partnerunternehmen und deren Diensten unter einer einheitlichen Anwendungsoberfl\u00e4che. Als Kern des \u00d6kosystems m\u00fcssen in der Plattform die entsprechenden Security-Konzepte geschaffen und umgesetzt werden, um die Gesamtheit der Security-Herausforderungen f\u00fcr alle Partner in einheitlicher Form zu l\u00f6sen. Idealerweise sollten sich neue Partner mit geringem Aufwand integrieren k\u00f6nnen, ohne die bestehenden Datenschutzmechanismen in ihren eigenen Systemen erst m\u00fchevoll nachr\u00fcsten zu m\u00fcssen; die erforderliche Datenschutzinfrastruktur sollte von der Plattform bereits weitgehend bereitgestellt werden.<\/p>\n An dieser Stelle m\u00f6chten wir nicht im Detail auf einzelne Arbeitsschritte und Punkte eingehen, sondern vielmehr spezifische Themen f\u00fcr Digitale \u00d6kosysteme auflisten:<\/p>\n Ein Security- und Datenschutzkonzept erfordert Expertise und entsprechende Fachkr\u00e4fte. Unsere Erfahrungen haben gezeigt, dass die gesamte Bandbreite an Anforderungen einschlie\u00dflich des Gesch\u00e4ftsmodells direkt miteinbezogen werden muss. Ziel muss es immer sein, dass Security und Datenschutz gew\u00e4hrleistet werden, gleichzeitig aber ein wirtschaftlicher Betrieb m\u00f6glich ist.<\/p>\n Aufgrund des stetigen Wandels Digitaler \u00d6kosysteme m\u00fcssen Systeminitiatoren und -betreiber ihre Systeme regelm\u00e4\u00dfig \u00fcberpr\u00fcfen und kontinuierlich \u00fcberwachen, um die IT-Sicherheit zu gew\u00e4hrleisten. Die Bandbreite reicht dabei von Anomalie-Erkennung \u00fcber die Durchf\u00fchrung von Penetrationstests und bedarfsgerechter Aktualisierung bestehender Dienste bis hin zu strategischen \u00dcberlegungen (z.B. hinsichtlich der Sicherheitsimplikationen einer Migration der technischen Plattform). Dazu kommen organisatorische T\u00e4tigkeiten f\u00fcr die Initiatoren und Betreiber wie beispielsweise die Pflege von Security- und Datenschutzkonzepten, regelm\u00e4\u00dfige Risikobewertungen und umfassende Dokumentationst\u00e4tigkeiten. Gerade in Digitalen \u00d6kosystemen m\u00fcssen Initiatoren und Betreiber das Gesamtsystem erfassen und f\u00fcr alle beteiligten Akteure Risiken minimieren und Vertrauen schaffen. Dies ist insbesondere wichtig, da in Digitalen \u00d6kosystemen die Digitale Plattform meist bei einem Cloud-Anbieter und viele Dienste bei Partnern betrieben werden. Diesen Partnern muss man im Digitalen \u00d6kosystem zwar einerseits vertrauen; man sollte aber dennoch seinen Kontrollpflichten nachkommen. Betreiber, Partnerunternehmen und Teilnehmer m\u00fcssen auf die durchg\u00e4ngige Umsetzung und Sicherstellung vereinbarter Sicherheitsregelungen vertrauen k\u00f6nnen. Die Aussage \u00bbEine Kette ist so stark wie das schw\u00e4chste Glied\u00ab gewinnt gerade bei Digitalen \u00d6kosystemen und Partnernetzwerken an Bedeutung. Verbindliche Mindeststandards sind ein Muss, um Daten als Wirtschaftsgut in vollem Ma\u00dfe zu sch\u00fctzen.<\/p>\n Security in Digitalen \u00d6kosystemen zu erreichen, erfordert den Blick auf das Big Picture genauso wie passende L\u00f6sungen im Detail. Leider ist fachkundiges Personal zur Abdeckung des Aspekts Security rar. Wie unsere Erfahrung zeigt, wird das Thema daher oft vernachl\u00e4ssigt. Vorhandenes Personal \u00fcbernimmt diese Aufgaben zus\u00e4tzlich \u00bbnebenher\u00ab. Bei der Einbindung externer Anbieter sehen wir h\u00e4ufig eine Fokussierung auf die angebotene Dienstleistung und eine Konzentration von Fachpersonal auf ihr Fachgebiet, was schlussendlich der Security zu Gute kommt. Allerdings fehlt hier oft der ganzheitliche Blick auf das Digitale \u00d6kosystem. So werden zum Beispiel Experten f\u00fcr eine Firewall bestm\u00f6gliche Einstellungen und Regeln aus der Sicht ihres jeweiligen Fachgebiets festlegen, unter Umst\u00e4nden jedoch mit Einschr\u00e4nkungen f\u00fcr die Dienste, die gar nicht erforderlich w\u00e4ren und nur den Kundennutzen beeintr\u00e4chtigen.<\/p>\n Gerade bei der Einbindung von externen Dienstleistern mit einem starken Fokus auf ihre jeweiligen Teilgebiete empfehlen wir den Einbezug weiterer, unabh\u00e4ngiger Experten, um einerseits den Blick auf das Big Picture und die Gesamtarchitektur sicherzustellen und andererseits die Wirksamkeit der Ma\u00dfnahmen zu pr\u00fcfen.<\/p>\n![\"Digitale](\"https:\/\/www.iese.fraunhofer.de\/blog\/wp-content\/uploads\/2020\/08\/Digitale-Oekosysteme-Uebersicht-698x439.png\")
<\/a><\/p>\nDaten spielen eine zentrale Rolle in Digitalen \u00d6kosystemen und in der Plattform\u00f6konomie<\/h3>\n
\n
\nEs gibt aber auch F\u00e4lle, in denen die Daten, die als Core Assets \u00fcber eine Plattform transportiert werden, personenbezogene Daten sind: Im Falle von Telematikdaten aus Fahrzeugen, wie bei Otonomo oder Caruso Dataplace, handelt es sich vielfach auch um personenbezogene Daten.<\/li>\n<\/ul>\nSecurity ist erfolgskritisch f\u00fcr Digitale \u00d6kosysteme<\/h3>\n
Security in der Digitalen Plattform und im gesamten Digitalen \u00d6kosystem<\/h3>\n
\n
\n
![\"Security](\"https:\/\/www.iese.fraunhofer.de\/blog\/wp-content\/uploads\/2020\/08\/Digitales-Oekosystem-Plattform-und-Oekosystem-und-Daten-698x426.png\")
<\/a>Packt ein Unternehmen also die Etablierung eines Digitalen \u00d6kosystems an, so ist Security von essenzieller Bedeutung. Dies gilt f\u00fcr klassische IT-Systeme nat\u00fcrlich auch. Dieser Artikel fokussiert sich jedoch vor allem auf die Aspekte von Security, die spezifisch f\u00fcr Digitale \u00d6kosysteme sind. Dazu ist der Artikel im Weiteren wie folgt aufgebaut:<\/p>\n\n
\n<\/strong>Eine herausfordernde Qualit\u00e4tseigenschaft in Digitalen \u00d6kosystemen mit immenser Wichtigkeit ist der sichere und vertrauensvolle Umgang mit Daten und die Umsetzung von Datensouver\u00e4nit\u00e4t f\u00fcr alle beteiligten Akteure. Dabei widmen wir uns vor allem zwei Themen:<\/p>\n\n
\n
\nUm Security in Digitalen \u00d6kosystemen zu erreichen und zu erhalten, sind zahlreiche Aktivit\u00e4ten \u00fcber den gesamten Lebenszyklus des Digitalen \u00d6kosystems relevant und erfordern die Ausrichtung auf die spezifischen Eigenschaften von Digitalen \u00d6kosystemen.<\/p>\n\n
Datensouver\u00e4nit\u00e4t als Kernherausforderung in Digitalen \u00d6kosystemen<\/h2>\n
Beispiel eines Digitalen \u00d6kosystems aus der Finanzdom\u00e4ne<\/h3>\n
![\"Digitales](\"https:\/\/www.iese.fraunhofer.de\/blog\/wp-content\/uploads\/2020\/09\/Digitales-Oekosystem-Finanz-Domaene-698x371.png\")
<\/a><\/p>\nCockpits f\u00fcr Datensouver\u00e4nit\u00e4t in Digitalen \u00d6kosystemen<\/h3>\n
![\"\"](\"https:\/\/www.iese.fraunhofer.de\/blog\/wp-content\/uploads\/2020\/09\/Datenschutz-german-003-698x315.jpg\")
<\/a><\/p>\n\n
\n
![\"\"](\"https:\/\/www.iese.fraunhofer.de\/blog\/wp-content\/uploads\/2020\/08\/Google-Privacy-Dashboard-698x336.png\")
<\/a><\/p>\nDurchsetzung von Datensouver\u00e4nit\u00e4t in Digitalen \u00d6kosystemen<\/h3>\n
Durchsetzung von Datensouver\u00e4nit\u00e4t in der zentralen Digitalen Plattform<\/h4>\n
![\"\"](\"https:\/\/www.iese.fraunhofer.de\/blog\/wp-content\/uploads\/2020\/09\/Datensouveraenitaet-Ergebnis-der-Einstellungen-698x594.png\")
<\/a><\/p>\nDurchsetzung von Datensouver\u00e4nit\u00e4t au\u00dferhalb der zentralen Digitalen Plattform<\/h4>\n
Datennutzungskontrolle technisch und langfristig beherrschen<\/h4>\n
Security-Aktivit\u00e4ten im Lebenszyklus eines Digitalen \u00d6kosystems<\/h2>\n
![\"Security-Aktivit\u00e4ten](\"https:\/\/www.iese.fraunhofer.de\/blog\/wp-content\/uploads\/2020\/08\/Security-Aktivitaeten-in-Digitalen-Oekosystemen-698x227.png\")
<\/a>Security-Anforderungen in Digitalen \u00d6kosystemen<\/h3>\n
\n
\n
Security- und Datenschutzkonzepte in Digitalen \u00d6kosystemen<\/h3>\n
\n
Security-Audits und Compliance in Digitalen \u00d6kosystemen<\/h3>\n
![\"\"](\"https:\/\/www.iese.fraunhofer.de\/blog\/wp-content\/uploads\/2020\/03\/header-digi-oekosys-icon-698x217.jpg\"){kind=icon}
<\/a>Digitale \u00d6kosysteme: Fokusthema des Fraunhofer IESE<\/h4>\n