Security und Smart Data und AI – zwei auf den ersten Blick konträre Perspektiven, die vermeintlich gegensätzliche Pole bilden. Beide Aspekte müssen jedoch in einem ganzheitlichen Ansatz berücksichtigt werden, um in Smart-Data-Projekten Wert aus Daten schaffen zu können, ohne einen Imageverlust und Strafzahlungen zu riskieren. 

In vielen Unternehmen schlummert ein Schatz, den es sich zu heben lohnt: ungenutzte Daten. Smart-Data- und AI-Projekte machen diese Daten nutzbar. Richtig aufbereitet bilden sie eine belastbare Grundlage für fundierte, datengestützte Entscheidungen. So lassen sich Geschäftsmodelle und -prozesse verbessern, automatisieren oder auch neue Ertragsquellen generieren. 

Doch wie setzen wir ein erfolgreiches und gleichzeitig sicheres Smart-Data- oder AI-Projekt auf? Um das Potential der Daten vollständig auszuschöpfen, bedarf es Erfahrung und einem ganzheitlichen Ansatz.

Der erste Schritt von Smart-Data-Projekten: Ziele identifizieren 

Als Berater ist es zu Beginn wichtig, den Kunden und seine Bedürfnisse richtig zu verstehen. Denn trotz des Hypes um künstliche Intelligenz ist das natürlich kein Selbstzweck, sondern es muss ein echter Mehrwert für das Unternehmen entstehen. Daher sollten am Anfang von Smart-Data- und AI-Projekten diese zentralen Fragen geklärt werden:  

• Wie und womit verdient das Unternehmen Geld, das eine Smart-Data-Lösung einsetzen möchte?  
• Welche Pain Points/Herausforderungen gibt es?  
• Welches Problem soll gelöst werden? 

Um die Smart-Data-Maßnahmen am Ende messbar zu machen, werden in einer Data-Ideation-Phase gemeinsam mit dem Kunden mögliche Use Cases diskutiert, dokumentiert und priorisiert, um Ziele zu formulieren, die erreicht werden sollen, z.B. den Umsatz im Sommer zu steigern, eine gleichmäßige Auslastung übers Jahr zu sichern oder der Aufbau einer langfristigen Strategie zu vollziehen. 

Wenn das Business und die gesteckten Ziele klar sind, wird eine Herangehensweise ausgewählt. Gehen wir zum Beispiel von einem Essen-Lieferservice aus, der seinen Umsatz im Sommer erhöhen möchte. Dieses Ziel könnte dadurch erreicht werden, dass die Kundenansprache verbessert wird, eine bessere Auswahl auf der Plattform angeboten wird oder Lieferzeiten optimiert werden. Je nach Unternehmen und Zielsetzung kann die Herangehensweise individuell sein. 

Data Scouting: Qualität und Integrität von Daten 

Aber mit welchen Daten soll eigentlich gearbeitet werden? In der Data-Scouting-Phase werden gemeinsam mit dem Kunden Datenquellen identifiziert und zusammengeführt, auf deren Basis Smart-Data-Modelle entwickelt werden können. Hier ist es wichtig die Qualität und Integrität der Daten zu gewährleisten. Dabei bildet Data Governance das Framework, um Datenschutz, IT Security und Data Science ganzheitlich zu betrachten. Wenn wir bei dem Beispiel des Essen-Lieferservices bleiben, können die folgenden Daten von Relevanz sein:  

• Kunden-Datenbanken 
• Google-Analytics-Daten  
• Bestellhistorie 
• Bewertungen von Restaurants 
• Speisekarten von Restaurants 

Nun ist es an der Zeit, Use Cases zu konkretisieren, die die Herangehensweise beschreiben. Was könnte die „Next Best Action“ sein, um die Kundenansprache zu verbessern? In unserem Beispiel könnte das wie folgt aussehen: 

• Use Case 1: Recommender, z.B. „Andere Kunden interessierten sich auch noch dafür…“ 
• Use Case 2: Swag verschicken, z.B. Give Aways wie Flaschenöffner 
• Use Case 3: Newsletter 
• Use Case 4: Rabattcode 

Der Prototyp: Think big, start small 

Nach der Bearbeitung der vorangegangenen Schritte, kann mit dem Bau des Prototypens begonnen werden. Hierbei gilt: Es gibt eine unendliche Vielfalt von Algorithmen, aber „Think big, start small“. Es geht nicht darum, die kompliziertesten Techniken und Algorithmen einzusetzen, sondern darum, in einem schnellen Durchstich eine Idee zu validieren getreu dem Motto „Fail fast, fail early“.  

Dazu nutzen wir das 2×2-Modell: Zwei Expert*innen von uns zeigen innerhalb von zwei Wochen, was auf Basis von Unternehmensdaten möglich ist. Wenn nicht ausreichend Daten vorhanden sind, kann Feature Engineering weiterhelfen. Feature Engineering bezeichnet das Vorgehen, auf Grundlage vorhandener Spalten in einer Tabelle neue Spalten zu generieren, um die Datenbasis zu erweitern. Wenn beispielsweise nur eine Spalte mit Kalenderdaten für Essensbestellungen vorhanden ist, könnte eine weitere Spalte mit Wochentagen daraus abgeleitet werden, denn das Kundenverhalten ist an Wochenenden und Feiertagen natürlich ein anderes als an Arbeitstagen.  

Übung macht den Meister: Prototypen-Training 

Um den Prototypen zu trainieren, werden die Daten im einfachsten Fall in einen Trainings- und einen Test-Datensatz geteilt. Der Prototyp wird nur auf dem Trainingssatz trainiert und mit dem Testdatensatz validiert. So lässt sich messen, wie gut das Modell mit vorher unbekannten Daten arbeitet. Hierbei ist es natürlich wichtig, darauf zu achten, dass wichtige Parameter, z.B. Alter, Geschlecht, usw. in beiden Datensätzen gleichverteilt sind, um ein Sampling Bias zu vermeiden.  

Ein Modell, dass aus dem Prototyp abgeleitet werden könnte, ist in der nachstehenden Grafik zu sehen: 

Wenn aus der Prototypen-Phase beispielsweise die Erkenntnis gewonnen werden konnte, dass Vegetarier im Winter Pizza und Thailändisch bestellen und das mit der Vorliebe für vegetarisches Sushi und Salate im Sommer korreliert, könnte den Vegetariern Sushi und Salat empfohlen werden, um den Umsatz in den Sommermonaten zu erhöhen. 

Operationalisierung des Smart-Data-Projektes 

Um einen Mehrwert zu erzeugen und das Modell in Produktion nutzen zu können, muss es in der Operationalisierungs-Phase in die IT-Landschaft des Unternehmens integriert werden. Spätestens jetzt rücken Data Engineering und Software-Entwicklungs-Aspekte in den Vordergrund, u.a. spielen folgende Punkte hier eine wichtige Rolle: 

• Anbinden der Datenquellen: extract, transform and load (ETL), um die nötigen Daten automatisiert bereitzustellen, notwendige Transformationen durchzuführen und die Qualität und Integrität der Daten sicherzustellen 
• Separate Test- und Operations-Umgebungen, um Weiter- bzw. Neuentwicklungen zu ermöglichen, ohne den laufenden Betrieb zu gefährden 
• Model Deployment, um Modelle automatisch für den Betrieb zu Verfügung zu stellen 
• Versionierung der Daten und Modelle, um nachvollziehen zu können auf Basis welcher Daten und welcher Modelle welche Entscheidung getroffen wurde. Hier gibt es, je nach Branche, regulatorische Anforderungen, die dies zwingend vorschreiben 

Last, but not least: Qualitätssicherung 

Die letzte Phase des Smart-Data- und AI-Projekts beinhaltet die Qualitätssicherung. Mit der initialen Entwicklung des Modells ist es nicht getan, denn Daten und Verhalten von Menschen verändern sich („concept drift“). Die Modell-Qualität und die erzielten Ergebnisse müssen also kontinuierlich überwacht werden. Es wird ein Automatismus aufgebaut, um die Qualität der Vorhersagen zu prüfen und z.B. ein regelmäßiges Reporting zu ermöglichen. Bei Bedarf kann auch ein automatisches Retraining des Modells auf Basis neuer Daten initiiert werden. All diese Schritte stellen sicher, dass am Ende des Smart-Data- und AI-Projekts die vorab gesteckten Ziele und damit echte Mehrwerte für das Unternehmen erreicht werden. 

Safety first: Security in Smart-Data- und AI-Projekten 

Wenn man Daten verwenden will, um beispielsweise Geschäftsprozesse zu verbessern, sollte das unter Berücksichtigung der Datenschutz- und Informationssicherheitsanforderungen geschehen. Ein fahrlässiger Umgang mit Daten kann zum Beispiel zu Strafzahlungen, Imageverlust des Unternehmens und sinkendem Vertrauen der Kunden führen.  

Das bedeutet aber mitnichten, dass das Thema Security konträr zu Smart-Data-Projekten steht und diese ausbremst. Richtig miteinander verknüpft, stützt Security die Smart Data-Vorhaben und sorgt für die Integrität der Daten. Das Thema Security setzt sich dabei aus den Bereichen Regulatorik, Organisation und Technik zusammen. 

Daten rechtssicher verwenden: DSGVO und Co. 

Vor der Nutzung muss geklärt werden, welche Art von Daten vorliegen, welche Rechtsgebiete betroffen sind und welche Regularien damit Anwendung finden. Das können Bereiche wie Datenschutzrecht, Urheberrecht, Arbeitsrecht oder auch Wettbewerbsrecht sein.  

Werden zum Beispiel personenbezogene Daten verwendet? Dann greift die Datenschutzgrundverordnung (DSGVO). Unter anderen erlaubt sie nur eine zweckgebundene Nutzung der Daten, welcher die Nutzer vorher eindeutig zugestimmt haben müssen. Eine weitergehende Verwendung – in unserem Beispiel für Zwecke, die über die Bestellabwicklung hinausgehen – ist also nicht ohne Weiteres zulässig. Hier kann etwa ein umfassendes Anonymisierungskonzept helfen, welches die Nutzung datensparsam und datenschutzkonform ermöglicht. 

Schutz sensibler Informationen 

Für die Integrität der Daten und die Sicherheit der Systeme ist es natürlich außerdem wichtig, sich vor Angriffen zu schützen. Aber gegen welche Gefahren genau kämpfen wir aber eigentlich? Studien wie die des Bitkom zeigen, dass die Art der Angreifer immer vielfältiger wird. Das bedeutet für uns, dass wir uns immer besser und zielgerichteter vor Attacken schützen müssen, die die Informationssicherheit gefährden. 

Oft kommen Angriffe sogar aus den eigenen Reihen. Aktuelle oder auch ehemalige Mitarbeiter gefährden mit oder ohne Absicht die Informationssicherheit von Unternehmen. Das kann beispielsweise durch ein fehlendes Sicherheitsbewusstsein geschehen. Mitarbeiter sollten neue Absender von E-Mails immer hinterfragen und nicht einfach auf Links oder Anhänge klicken.  

Aber das ist nur eines von vielen Beispielen, wie sich Ransomware, Spyware oder auch Phishing-Angriffe in einem Unternehmen bemerkbar machen können. Sollte solch ein Angriff mit Erfolg von den Tätern durchgeführt werden, ist die Integrität, Verfügbarkeit sowie die Vertraulichkeit der Daten gefährdet. Gerade die Integrität der Daten ist für Smart-Data- und AI-Projekte von hoher Relevanz.  

Was aber kann helfen?  

Ein Baustein zum Schutz sensibler Daten ist die Sensibilisierung der Mitarbeiter für die relevanten Sicherheitsthemen. Darüber hinaus können Unternehmen Informationssicherheitsmanagementsysteme (ISMS) einsetzen, um Informationen zu schützen. 

Innerhalb eines solchen Systems werden sogenannte technische und organisatorische Maßnahmen (TOM) definiert, die potenzielle Sicherheitsrisiken eines Unternehmens minimieren. Organisatorische Maßnahmen wären beispielsweise das Aufsetzen von Richtlinien oder Prozessen, wie eines Incident-Management-Prozesses oder eines Business-Continuitiy-Management-Prozesses (BCM).  

Innerhalb eines BCMs werden unter anderem kritische Systeme identifiziert und Ausfallzeiten bestimmt, die ein Unternehmen maximal tragen kann, bevor zentrale Unternehmensprozesse nicht mehr geleistet werden können. Ziel des BCMs ist es, präventive und reaktive Maßnahmen zu erarbeiten, um im Notfall schnellstmöglich reagieren zu können und den Betrieb reibungslos weiterlaufen lassen zu können.  

Darüber hinaus müssen auch technische Maßnahmen, wie Verschlüsselungstechniken, Maßnahmen zur Netzwerksicherheit und geeignete Identity- und Access-Management-Konzepte betrieben werden. Was geschieht zum Beispiel, wenn ein Mitarbeiter das Unternehmen verlässt? Werden alle Zugriffe sofort gesperrt? Gibt es einen Prozess, der die Veränderung von Zugriffsrechten von Mitarbeitern, die Abteilungen wechseln regelt? 

All diese Aspekte spielen eine Rolle für Smart-Data- und AI-Projekte, aber auch darüber hinaus. Unser interdisziplinäres Team unterstützt daher sowohl bei Datenschutzfragen, beim Aufsetzen eines ISMS als auch bei der organisatorischen und technischen Implementierung der Sicherheitsmaßnahmen. 

Gemeinsam mit den Methodik- und Technik-Experten aus dem Smart-Data-Team lassen sich so erfolgreiche und sichere Smart Data- und AI-Projekte aufsetzen. Bei Ihnen schlummert auch ein Datenschatz und Sie möchten wissen, wie er sich nutzen lässt? Vereinbaren Sie einfach direkt einen kostenlosen Beratungstermin mit mir.  

Titelbild: Franki Chamaki/Unsplash

Dieser Beitrag ist eine Co-Produktion von Jaqueline Striewe und Michael Plümacher.

Über den Autor

Michael Plümacher

Ich liebe es, belastbare Ergebnisse aus Daten zu extrahieren und zu zeigen, wie schon einfache Machine-Learning-Methoden einen echten Mehrwert generieren können. Als Principal Data Scientist erkunde ich mit Unternehmen, wie sie den größtmöglichen Mehrwert aus ihren Daten ziehen können.