Augmented Reality in der Auditierung

Ein „smarter“ digitaler Consulting-Service

Friedrich Augenstein, Duale Hochschule Baden-Württemberg

Kurz und Bündig

Die Digitalisierung hebt Dienstleistungsmerkmale wie den örtlichen und zeitlichen Zusammenfall von Erzeugung und Bezug der Dienstleistung auf. Ein digitaler Service ist die Beratung mit Hilfe von Augmented Reality (AR). Unter AR versteht man die Erweiterung der Realitätswahrnehmung durch computergenerierte Zusatzinformationen. Dies kann bei der Beratung im Rahmen einer Auditierung und Zertifizierung zur betrieblichen Informationssicherheit, wo Infrastruktur wie zum Beispiel ein Serverraum vor Ort begutachtet werden muss, eingesetzt werden. AR reduziert hier die Vor-Ort-Besuche des Beraters.

Smarte, digitale Services umfassen nicht nur industrienahe Dienstleistungen des „Internet of Things“, sondern auch klassische Dienstleistungen im Consulting. Eine Form digitaler Services sind Beratungsleistungen mit Hilfe von Augmented Reality. Dieser Artikel beschreibt hierfür ein Anwendungsszenario zur Auditierung und Zertiifizierung im Rahmen der betrieblichen Informationssicherheit.

Zertifizierung und Auditierung

Unternehmen lassen sich zu verschiedensten Themen, die aus deren Sicht relevant für wichtige Stakeholdergruppen (zum Beispiel Kunden) oder gar gesetzlich vorgegeben sind, zertifizieren. Oft erfolgt dies auf Basis einer bestimmten Norm und eines der Zertifizierung vorangehenden Audits durch eine unabhängige Zertifizierungs- Instanz. Ein Beispiel hierfür ist die Zertifizierung zu einem Qualitätsmanagementsystem wie DIN ISO 9001 [3]. Oft sind Vor-Ort-Audits oder interne Audits erforderlich, welche für eine Zertifikatserteilung notwendige Voraussetzungen überprüfen oder aber auch vom jeweiligen Standard in regelmäßigen Abständen verlangt werden [7]. Beispiele hierfür sind Audits für die ISO-Norm 27001 zur Informationssicherheit, Energieaudits nach DIN EN 16247 oder Umweltaudits nach ISO 14001.

Aufgrund der hohen Anforderungen der Normen und den vielfältigsten Problemstellungen bei der Auditierung lassen sich Unternehmen oft durch Consulting-Firmen beraten, die als Consulting- Service meist auch die entsprechenden Audits durchführen und die Zertifikate erteilen dürfen, zumindest aber bei der Audit-Vorbereitung im Rahmen von Voraudits unterstützen [11]. Effizienzsteigerungspotential bei dieser Art der Dienstleistung ergibt sich schon heute im Rahmen der Voraudits durch Vorabprüfung relevanter Dokumente, die elektronisch zugesandt werden können. Die physische Prüfung der Gegebenheiten, wie sie zum Beispiel bei IT-Infrastruktur, Energieerzeugungsanlagen oder Umweltschutz-Einrichtungen notwendig ist, erfolgt aber heute meist über Vor-Ort-Begehungen [3].

Digitale Services im Consulting

Die aktuelle Diskussion um „Smart Services“ oder „digitale Services“ findet oft im Umfeld des „Internet of Things“ und dort auf Sensor- oder Maschinendaten basierten Information und resultierender industrienaher Dienstleistungen statt (vergleiche zum Beispiel [2]). Die Digitalisierung erfasst heute aber auch klassische professionelle Dienstleistungen wie zum Beispiel Consulting-Services. Eine Klassifizierung dieser digitalen Services wird in Abbildung 1 vorgenommen. Die dargestellten digitalen Services der linken Abbildungsseite reduzieren den örtlichen Zusammenfall von Dienstleistungserbringung und –verbrauch und somit den Beratereinsatz vor Ort, die der rechten Abbildungsseite zusätzlich den zeitlichen Zusammenfall. Zahlreiche Merkmale klassischer Dienstleistungen wie das Uno-actu-Prinzip, die fehlende Lagerfähigkeit, die fehlende Skalierung und andere [8] werden durch digitale Services aufgehoben.

Anwendungsszenario

Im vorliegenden Beitrag wird ein Einsatzszenario für die Beratung im Rahmen eines internen Audits oder Voraudits zur Erlangung eines Zertifikats nach ISO 27001 zur betrieblichen Informationssicherheit dargestellt. Die besonderen Anforderungen an ein ISO 27001 Zertifikat und die daraus resultierende Auditierung nach ISO 27006, 27007 und 27008 sind (vergleiche [5]):

Durchführen eines Informationsgesprächs
Durcharbeiten bereitgestellter Unterlagen
Begutachtung und Überprüfung von Infrastruktur vor Ort in Hinsicht auf das Regelwerk der Norm
Sichtung der technischen Realisierung
Dokumentation der Begutachtung / Sichtung

Eine gute Grundlage der Zertifizierung bilden die Gefahren- und Maßnahmen-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) [4]. Hier werden auch Hinweise für den physischen Schutz von Einrichtungen der Informationstechnik gegeben, die Gegenstand einer Vor-Ort-Auditierung sein können. Mögliche Gegenstände und Inhalte einer Auditierung können zum Beispiel sein:

Sicherheit des Serverschranks und der enthaltenen Racks
Zugangsschutz zum Serverraum
Unterbrechungsfreiheit der Stromversorgung
Ausreichende Klimatisierung
Vorbeugung von Brandschäden
Sicherheit der Verkabelung
Das folgende Einsatz-Szenario behandelt das Anwendungspotenzial von Augmented Reality in der Vermeidung von Gefahren im Kontext desBusiness Continuity Managements (BCM). Das BCM ist ein System bzw. ein Prozess, der von Unternehmen genutzt wird, um potenzielle Bedrohungen auf (kritische) Geschäftsprozesse zu vermeiden beziehungsweise diese Bedrohungen frühzeitig zu identifizieren [10]. Der Fokus des BCM liegt darin, die potenziellen Bedrohungen proaktiv zu identifizieren und diese mit effizienten Handlungsmaßnahmen zu hinterlegen. Auf Basis der oben genannten Kataloge des BSI zum IT-Grundschutz werden im Einsatzszenario folgende Gefahren behandelt:
G 1.2 Ausfall von IT-Systemen
G 2.6 Unbefugte Zutritte zu schutzbedürftigen Räumen

Die in diesem Zusammenhang geeigneten Maßnahmen des BSI, die im Einsatz-Szenario behandelt werden, sind:

M 1.18 Gefahrenmeldeanlage
M 1.58 Technische und organisatorische Vorgaben für Serverräume

Der Kunde im Einsatzszenario ist ein mittelständisches deutsches Versicherungsunternehmen. Dieses möchte nach einem Umzug in ein neues Gebäude die Gefahrenlage im neuen Serverraum nach BSI- und ISO-27001-Vorgaben optimieren, um sich zu schützen und das bevorstehende Audit zu bestehen. Die neuen Räumlichkeiten weisen einige Schwachstellen hinsichtlich des ITGrundschutzes auf, da der Serverraum zuvor als Büroraum genutzt wurde. Der Berater „Wilson“ berät hierbei den ITSicherheitsbeauftragten des Versicherungsunternehmens „Jimi“ mithilfe der AR-Technologie. In einem Vorgespräch haben sich Jimi und Wilson über die momentane Situation des Versicherungsunternehmens ausgetauscht. Da der Standort des Beratungsspezialisten und des Versicherungsunternehmens räumlich weit entfernt liegen, wird dem Versicherungsunternehmen eine AR-Brille mit Anleitung im Vorfeld zugesandt, durch welche die Beratungsleistung des Beratungsspezialisten durchgeführt werden soll. Es entstehen die folgende Situation und der folgende Dialog: Der Kunde (IT-Sicherheitsbeauftragter des Versicherungsunternehmens) befindet sich im Serverraum des Versicherungsunternehmens. Der Berater befindet sich an einem anderen Standort in seinem Büro. Der Kunde zieht die AR-Brille auf, die Verbindung zum Berater wird hergestellt. Der Berater wird in der Folge durch ein rot eingefärbtes Symbol mit „W“ versehen dargestellt, der Kunde mit einem blau eingefärbten Symbol mit „J“ versehen. Auf dem rechten oberen Rand des Sichtfelds der AR-Brille ist eine Markierung sichtbar, mit der Scanvorgänge ausgeführt werden können. Die eingebaute Funktionalität der AR-Brille lässt eine Vermessung des Serverraums zu, was für die Berechnung von Aufmaßen für die spätere bauliche Umsetzung vorteilhaft ist. Daraufhin identifiziert der Berater den passenden Ort für eine Brandmeldeanlage. Im nächsten Schritt wird die Brandmeldeanlage durch den Berater virtuell platziert. Die Visualisierung erfolgt durch Auswahl eines entsprechenden Objektes aus einem hinterlegten Katalog. Eine Berücksichtigung der Maße des Objektes und eine entsprechend große visuelle Darstellung erfolgt automatisiert durch die Funktionalität der AR-Brille. Nach der Überprüfung des Serverraums auf Sichtlücken, werden von dem Berater die Defizite erkannt. Dieser unterbreitet einen Lösungsvorschlag zur Behebung der Defizite, indem wiederum ein entsprechendes Objekt virtuell platziert wird. Eine Dokumentation des Sichtfeldes der AR-Brille mit ergänzenden Informationen wie räumliche Daten, aber auch Kosten der eingeblendeten Objekte wie zum Beispiel der Überwachungskamera ist durch die Funktionalität der AR-Brille möglich. Damit werden dann die einfache Umsetzung der Maßnahmen, die sich anschließende Auditierung und letztendlich auch die Zertifizierung unterstützt.

Voraussetzungen für den Einsatz des dargestellten Szenarios

Voraussetzungen sind insbesondere die Verknüpfung der in der AR-Brille eingeblendeten Daten mit einem Katalog verfügbarer Sicherungseinrichtungen. Die Katalogdaten müssen dabei visueller 3D-Natur sein, um die räumliche und aus mehreren Blickwinkeln mögliche Darstellung zu unterstützen.

Zudem muss die Logistik der AR-Brillen sowie die Einweisung der Kundenmitarbeiter in die Funktionalitäten der AR-Brille gewährleistet sein. Ferner ist die Erwartungshaltung des Beratungskunden zu steuern, um das notwendige Vertrauen in die Fähigkeiten des Beraters zu gewährleisten. Die Erwartung des Beratungskunden wird zudem sein, von der Ersparnis des Beraters durch verminderten Reiseaufwand auch monetär zu profitieren. Die Preismodelle der Berater müssten somit angepasst werden.