MAGAZIN. Netzwerk- Connectivity. Drucken im Netz, Spezialdrucker. Technik & Integration MIDRANGE

Transkript

1 Oktober 2005 AusgabE ,00 CHF 25, I98E ISSN B MAGAZIN MIDRANGE IT-Wissen und Lösungen für eserver im Unternehmensnetzwerk I.T.P. VERLAG + WLAN + UMTS + RFID + Bluetooth + Infrarot + GSM + GPRS + Netzwerk- Connectivity Mangelnder Datenschutz kann teuer werden Sensible Schutzbefohlene: Personenbezogene Daten IBM zentralisiert die Durchführung von Schulungen Wissensgaranten Was, woher und wann lernen? Wissen, woher nehmen? Marktübersicht Drucken im Netz, Spezialdrucker Technik & Integration Von RPG nach ASP Systems Oktober

2 Warum sind unsere Kunden so begeistert von ihrer Unternehmenssoftware? Weil wir sie speziell für sie entwickelt haben. Wir fokussieren uns ausschließlich auf die Fertigungsindustrie und den Großhandel. Wir sind die Experten, wenn es darum geht, die alltäglichen Herausforderungen unserer Kunden zu meistern. Wir kennen ihr Geschäft, sprechen die gleiche Sprache und halten immer, was wir versprechen. Genau dafür lieben uns unsere Kunden und das sieht man. Deutschland: Österreich: +43 (0) Schweiz: +41 (0)

3 Editorial Liebe Leserinnen, liebe Leser Ablage P Den Charakter eines Menschen erkennt man an den Scherzen, die er übel nimmt. So zumindest sah es Christian Morgenstern. Einen Eindruck vermitteln auch die typischen Erstbesuchsblicke: einer in den Kühlschrank, je einer ins CD- und Bücherregal. Wer hinter die Kulisse einer Persönlichkeit schauen will, für den gibt es nur einen Weg: Man werfe einen ungestörten Blick in dessen Papierkorb. Obwohl dieses Möbelstück seinen Namen nicht grundlos trägt und das Recycling-Geschäft in Deutschland nur auf Basis penibler Mülltrennung funktionieren kann, kommen diese meist aus PP bestehenden Auffangbehälter einem persönlichen Biotop gleich: Kerngehäuse neben Kaugummi-Stanniol, Hirschsalami-Endstücke an Gohrsmühle (hadernhaltig), Zigarettenschachteln mit dem Hinweis, dass der jetzige Inhalt schon vor dem Inhalieren tödlich hätte sein können. Je nach Fleiß und Entleerungsgewohnheiten sind diese Bestandteile noch nicht oder auch sehr eng miteinander verwachsen Zwischenlagerverwalter oder Hüter eines Endlagers: Der Betrachter hat die freie Wahl. Wenn mittendrin vertrauliche Memos oder die vergilbte Liste der kompletten Kundendatei kleben, ist die Klassifizierung des Behälterbesitzes immer noch nicht eindeutig: Sehschwacher Mr. Sorglos oder cleverer Datenklau- Komplize? Wer weiß Papierkörbe und deren mitunter hochsensibler Inhalt sind Themen, die ein Datenschutzbeauftragter immer wieder auf seiner Agenda hat. Dass sie den Posten falsch besetzt haben oder ihn längst hätten schaffen müssen, ist vielen Unternehmen gar nicht bewusst. Personenbezogene Daten, so glauben manche, haben und verarbeiten wir doch gar nicht. Der Irrtum kann teuer werden und beginnt bereits bei dem Glauben daran, dass die Schutzwürdigkeit von Daten erst bei Glaubensfragen oder gesundheitlichen Details beginnen. Ob Sie einen Datenschutzbeauftragten stellen müssen und wer diesen Job auf keinen Fall übernehmen darf, das lesen Sie ab der Seite 18. Hohe Bußgelder beim Verstoß gegen das Bundesdatenschutzgesetz sind eine Sache die wachsenden Bedrohungen und die nötige Aufmerksamkeit eine andere. In der zweiten Jahreshälfte 2004 wurden mehr als neue IT-Schwachstellen entdeckt ein Anstieg von 13 Prozent im Vergleich zum ersten Halbjahr. Noch dramatischer sieht die Lage bei den IT-Schädlingen aus. Mehr als neue Wurm- und Virenvarianten wurden im gleichen Zeitraum registriert. Trojanische Pferde machten ein Drittel der 50 häufigsten Internet-Schädlinge im zweiten Halbjahr 2004 aus, der Anteil von Spam-Nachrichten beträgt inzwischen 60 bis 90 Prozent am gesamten e Mail-Verkehr. Ein Anti-Spyware-Anbieter hat jüngst neueste Zahlen veröffentlicht, nach denen ein drastischer Anstieg von Spyware-Zwischenfällen in Unternehmen sowie auch eine alarmierende Zunahme von Spionageprogrammen auf Firmenrechnern stattgefunden hat: Alleine im zweiten Quartal 2005 habe der Zuwachs 19 Prozent betragen. Die Anzahl der Web-Seiten, die Spyware verbreiten, sei auf URLs angestiegen und habe sich damit seit Anfang 2005 vervierfacht. Die Mehrheit der spionierenden Programme hat ihren Ursprung übrigens in den USA. Polen folgt an zweiter und die Niederlande an dritter Stelle. Erfahrungen muss man teuer bezahlen, obwohl man sie gebraucht viel billiger haben kann meine Gespräche mit Usern und Anbietern münden immer wieder in einem Schluss: Die Klugheit gibt nur Rat, die Tat entscheidet. Los geht s Herzlichst, Ihr Michael Wirt Midrange MAGAZIN Oktober 2005

4 Inhalt Netzwerk-Connectivity und Netzwerkkomponenten Wenn Zugang zu einem Netzwerk benötigt wird, muss die einzige Entscheidung, die getroffen werden muss, wohl Folgende sein. Welches der verfügbaren Netze möchte ich von diesem aktuellen Standort aus nutzen. Der mobile Zugang zu Netzwerken ist über verschiedenste Arten möglich. Franz-Rainer Schmidt, Direktor IBM IT Education Services: Das Schulungsgeschäft in der IT hat sich verändert. Heute werden verstärkt Veranstaltungen, in denen strategisches Wissen vermittelt wird, besucht. (siehe Seite 16) Titelthema Ins Netz gegangen Netzwerk-Connectivity und Netzwerkkomponenten RFID-Lösungen optimieren Logistikprozesse... 8 Integration und Überwachung Sicherheit: ein muss für alle Kontrolle über Viren, Spam und Spyware IT-Sicherheit ist Chefsache Sorgfalts- und Haftungspflichten der Geschäftsleitung Aktuelles Vertrauen schaffen Kommentar zur Frage des Monats vom August 2005 Wissensgaranten IBM zentralisiert die Durchführung von Schulungen Schutzbefohlene: Personenbezogene Daten Mangelnder Datenschutz kann teuer werden Fit für Ihr Rating Kommentar zu Basel II Change Management immer wichtiger Mit CM den Benutzer in IT-Innovationen integrieren Frischzellenkur Neue Version der OGSid-Software Marco Decker, Marketing- und Vertriebsleiter der OGS: Wir haben eine Investition in die Zukunftsfähigkeit gemacht. Im Neukundengeschäft erhoffen wir uns durch die Plattformunabhängigkeit Zutritt zu den Kunden, die Vorbehalte gegen den Einsatz der iseries-plattform haben. (siehe Seite 24) Dr. Hannes Merten, Vorstandsvorsitzender SoftM AG: Im Hinblick auf mittelständische Kunden ist die Anforderung an ein plattformneutrales System ausschlaggebend. Wir können uns nicht mehr nur auf ein bestimmtes System wie z. B. die iseries konzentrieren. (siehe Seite 26) Alles aus einer Hand ERP-Anbieter, Berater und Systemintegrator Jetzt geht s los Die Systems 2005: Themen, Stimmen, Schwerpunkte Macher der Märkte Macher der Märkte Service Provider für IBM Software INFO AG ist der Erste Technik & Integration Von RPG nach ASP Zukunft von RPG-Anwendungen mit Web-Services Unternehmensdaten weltweit überwacht Konsolidierte und verfügbare IT Wissen, woher nehmen? Was, woher und wann lernen?

5 Midrange MAGAZIN Oktober 2005 Marktübersicht Druck von außen Drucken im Netz, Spezialdrucker Anbieterübersicht Das rechnet sich Kosten senken beim Drucken im Netz Rubriken Impressum Fachautoren dieser Ausgabe Inserenten/Beilagen GO NEXT Drucken im Netz, Spezialdrucker Für Drucker, die im Businessbereich eingesetzt werden sollen, ist eine Ethernetschnittstelle mittlerweile ein Muss. Nur damit ist es möglich, das betreffende Gerät mehreren Anwendern zur Verfügung zu stellen, ohne dass es lokal an einen PC angeschlossen werden muss. Die Zukunftstrends im Printbereich sind auf der einen Seite kabellos, wenn es um die Datenübertragung geht, und auf der anderen Seite kabelgebunden, wenn der Strom für einen Printserver nicht mehr aus der Steckdose, sondern aus dem Netzwerkkabel kommen soll. Wie auch immer: Ganz ohne Kabel geht es (noch) nicht. Wenn es um Individuallösungen geht, sind Sie unser Fokus. Ob Pilot-, Grossprojekt oder Schnittstelle: Wir schöpfen aus einem breiten Erfahrungsspektrum: In enger Zusammenarbeit mit Ihnen setzen wir Ihre Anforderungen um. Von der Evaluation bis zur Implementierung werden wir Teil Ihres Informatikteams. Übrigens: i5-server sind unsere Leidenschaft... 5

6 Titelthema Netzwerk-Connectivity und Netzwerkkomponenten Ins Netz gegangen Wer den Zugang zu einem Netzwerk, dem Internet oder einem Intranet sucht, sollte sich nicht erst an die passende Örtlichkeit begeben müssen, an welcher die dort vorhandene Infrastruktur dies ermöglicht. Wenn Zugang zu einem Netzwerk benötigt wird, muss die einzige Entscheidung, die getroffen werden muss, wohl Folgende sein. Welches der verfügbaren Netze möchte ich von diesem aktuellen Standort aus nutzen. Der mobile Zugang zu Netzwerken ist über verschiedenste Arten möglich. Über GSM, GPRS, UMTS und WLAN sind mittlerweile sogar Mobiltelefone in der Lage, browserbasierte Informationen, die von einem Server wie der iseries bereitgestellt werden, abzurufen. Die Nutzungsmöglichkeiten innerhalb der Verbindung sind nur durch die jeweilige Bandbreite limitiert. Aber auch mit einem geringen Datendurchsatz kann viel erreicht werden. Von low bis high-speed Eine simple GSM-Verbindung reicht z. B. aus, um SMS-Meldungen von der iseries zu empfangen oder an diese zu senden. Die IBV Informatik AG, Gräbert Software + Engineering GmbH sowie die Toolmaker GmbH bieten z. B. Lösungen dieser Art an. Eine kurze Nachricht an den Server und innerhalb von Sekunden erscheinen die gewünschten Informationen, wie z. B. der System- status oder die Umsätze eines Kunden, auf dem Display des Mobiltelefons oder PDAs. Bei einem Fehler in einem Batchlauf informiert die iseries von sich auf diese Weise den Administrator und dieser kann wiederum nur mit seinem Mobiltelefon der Maschine hilfreich unter die Arme greifen. Zugang, einfach und doch sicher So simpel das Beispiel auch sein mag, spiegelt es doch die Hauptanforderungen an alle kabelgebundenen oder kabellosen Netzwerke wieder. Der Zugang muss einfach, schnell und trotzdem sicher sein. Die ersten beiden Anforderungen werden meist mühelos erreicht, beim letzten Punkt hingegen kann der Aufwand nicht groß genug sein. Alle, die kleinen, die mittleren und die auch großen Unternehmen sind in immer größer werdendem Maße von ihrer funktionierenden Netzwerk-Infrastruktur und den sicheren und kontinuierlichen Zugängen zu Ihrem Netzwerk abhängig. Was tut eine iseries? Der Aufgabenbereich einer iseries ist nicht mehr der, den eine AS/400 inne hatte. Die Rolle dieses Server-Systems Anbieter & Produkte zu Netzwerk-Connectivity und Netzwerkkomponenten ständig online unter: Oktober 2005

7 Titelthema innerhalb eines Firmennetzwerkes hat sich verändert. Zu den klassischen Green Screen-Applikationen sind neue Anwendungen und Dienste hinzugekommen. Applikationen und Dienste wie z. B. Webservices, WebSphere, Online-Shopsysteme, Lotus Domino/Notes und die vielen LINUX, UNIX und WINDOWS Anwendungen haben die traditionellen 5250-Applikationen mittlerweile hervorragend ergänzt oder ganz abgelöst und laufen doch noch auf der iseries. Der gesicherte und immer verfügbare Informations- und Datenaustausch mit anderen Systemen wird immer wichtiger. Security, gestern und heute Beantworteten sich die Sicherheitsfragen bei einer AS/400 in der Vergangenheit rein durch die verwendeten Technologien wie TokenRing und Twinax quasi von alleine, haben iseries-administratoren bei TCP/IP-basierten Netzwerken etwas mehr zu tun. Hier sind Spezialisten mit speziellem Know-how gefragt. Der Zugriff auf eine iseries kann nicht mehr nur über das gesicherte Intranet erfolgen. Spätestens bei der Anbindung von Filialen oder dem Außendienst via Internet sind die Anforderungen an interne und externe Security im sich täglich verändernden e Business sehr hoch geworden. In den Bereich neue Ideen fällt dann wohl das erfolgreich realisierte Projekt der Cambium-Forstbetriebe, die zusammen mit der Progress Software GmbH eine RFID-Lösung zur Reduzierung des Holzschwundes erreichten. Der Anwenderbericht ist in dieser Ausgabe des Midrange Magazins enthalten. Profis für die Beratung und den Aufbau sicherer Netzwerke hingegen finden Sie im Midrange Solution Finder unter Hier noch ein Beispiel (m)einer sehr persönlichen Netzwerk-Connectivity: Auch ich nutze die SMS-Funktion meiner iseries, indem ich mir von ihr ab und an eine SMS schicken lasse. Der Grund: Ich lasse mich damit frühmorgens 100% zuverlässig wecken... M.W. Neben Browseranfragen muss der gesicherte Zugang auch über WLAN, GPRS, UMTS oder GSM erfolgen. Diese Öffnung Ihres Netzwerkes dürfen Sie nicht als Gefahr ansehen, sondern als Chance für neue Geschäftsideen. Beispiel RFID: Diese neue Technik ist auf dem Weg, Barcodes in einigen Bereichen komplett abzulösen. Die ersten Anwendungen findet man daher auch zunächst dort, wo bisher Barcodes das Sagen hatten, z. B. beim Handelskonzern Metro und in diversen Krankenhäusern. Midrange MAGAZIN Oktober Werke, 300 User, 2 Währungen PSIpenta.com als ERP-Standard auf den IBM-Plattformen i-, p- und x-series PSI Aktiengesellschaft Dircksenstraße Berlin (Mitte) Deutschland Telefon: +49/30/ Telefax: +49/30/ info@psipenta.de Software für Versorger und Industrie

8 Titelthema RFID-Lösungen optimieren Integration und Überwachung Logistikprozesse Anders als beim Barcode lassen sich per Radiofrequenztechnik zu Identifikationszwecken (RFID) Objekte mit Lesegeräten automatisch und ohne menschliche Interaktion erkennen. Auch wenn RFID die Barcodes nicht von heute auf morgen verdrängen wird, hat die Technologie enormes Potenzial und wird heute schon in zahlreichen Projekten in Handel und Logistik eingesetzt. bium-forstbetriebe hat das Ziel, eine Massengenauigkeit von 95 Prozent zu erreichen. Realisiert wurde das Projekt von der DABAC GmbH in Heilbronn, einem Partner von Progress Software. Deren Datenmanagement- und Integrationstechnologien bilden tragende Säulen der RFID-Lösung. Höchste Ehren für Cambium in den USA: Die Lösung wurde im Juni 2005 mit dem 21st Century Achievement Award des Computerworld Honors Program in der Kategorie Manufacturing ausgezeichnet. Der Preis geht an Projekte, die sich RFID ermöglicht eine vollständige Kontrolle im Warenfluss über alle Stufen der Supply Chain hinweg. Eine der Bedingungen dafür sind direkt an den Objekten angebrachte Chips (Transponder oder Tags genannt), mit denen Informationen über die Waren abgerufen werden können. Beispiel: Horst- und Forstwirtschaft Implementierung einer RFID-Architektur Progress Software Pilotprojekte wurden in nahezu allen Branchen gestartet, so auch in der Holzund Forstwirtschaft. Insbesondere durch die hohen Kosten der Holzernte ist der wirtschaftliche Druck in diesem Wirtschaftszweig in den letzten Jahren enorm angestiegen. Forstfachleute schätzen die Genauigkeit der Prozesskette in der Holzwirtschaft in Abhängigkeit vom Sortiment auf teilweise unter 90 Prozent. Etwa 10 Prozent ist Schwund auf dem Weg vom Wald bis zur Sägemühle. Bei einem geschätzten Aufkommen von zirka 200 Millionen Holzstämmen pro Jahr in Deutschland stellt dies einen erheblichen ökonomischen Schaden dar. Das RFID-Projekt der im Odenwaldkreis ansässigen Cam- Der Sonic Enterprise Service Bus (ESB) bildet das Transport- und Integrationsmedium für die aufbereiteten RFID-Daten Progress Software 8 Oktober 2005

9 durch hohe Kreativität und innovative Nutzung von IT auszeichnen. RFID-Integrationstechnologie ermöglicht Tracking und Tracing Das neue Tracking-System ermöglicht den Aufbau einer durchgängig optimierten Informations- und Prozesskette. Dazu befestigt der Waldarbeiter beziehungsweise die Holzerntemaschine mit einem Spezialhammer einen RFID-Tag am Stamm. Der Tag trägt als einzige Information eine ID-Nummer, die zusammen mit den spezifischen Daten des Holzstammes (Baumart, Länge, Durchmesser, Qualität etc.) per Handheld- Computer drahtlos an eine zentrale Progress-Datenbank übertragen wird. Hier sind alle Informationen zusammengeführt, stehen allen Prozessbeteiligten zur Verfügung und können als Steuerungs- und Abrechnungsgrundlage eingesetzt werden. In diesem RFID-Projekt kommen folgende Technologien zum Einsatz: Passive Transponder mit den zugehörigen Leseeinrichtungen Mobile Datenerfassung mit Hand-Held-Devices Barcode vs. RFID Midrange MAGAZIN Oktober 2005 Drahtlose Datenübermittlung auf WLAN-Basis und auf der Grundlage des GSM-Standards Integrationstechnologien auf der Basis von Sonic ESB 6.0 (Enterprise-Service-Bus) und der XML-Kommunikation von Sonic Software Relationale Datenbanken von Progress Software Objektorientierte Datenmanagementsysteme Progress ObjectStore Enterprise und Progress ObjectStore PSE Pro der Progress Real Time Division (vormals ObjectStore) Einer der entscheidenden Bestandteile einer RFID-Architektur ist die Verbindung eines Echtzeit-Datenmanagementsystems mit einer integrativen Kommunikationsinfrastruktur. Das Datenmanagementsystem muss in der Lage sein, in Echtzeit große Datenmengen zu verifizieren und zwischenzuspeichern. Erst die Middleware sorgt so für ein nahtloses Einfügen der RFID-Technologie in die Backend-Systeme sowie in die Geschäftsprozesse des Unternehmens. Fachautor: Thomas Ehrke RFID wird Barcodes auf absehbare Zeit nicht völlig verdrängen, sie wohl aber in einigen Einsatzszenarien ergänzen sowie in vielen Fällen die automatische Identifikation und Datenerfassung für eine effiziente Gestaltung von Lieferketten erst ermöglichen. Für den Barcode sprechen die geringen Kosten der Etiketten, einheitliche Standards und die verbreitete Technologie. Allerdings enthalten Barcodes nur statische Informationen, ihnen kann nur eine begrenzte Datenmenge zugewiesen werden, das Etikett muss beim Lesen sichtbar sein und es kann pro Zeiteinheit nur jeweils ein Barcode gelesen werden. Im Vergleich dazu erlaubt die RFID-Technologie, viele Objekte gleichzeitig (Pulk- Erfassung) und berührungslos zu erfassen. Es muss keine direkte Sichtverbindung zwischen dem RFID-Transponder/Tag und der Leseeinheit bestehen. Ein wesentliches Merkmal des RFID-Transponder/Tag ist der Speicher, der gelesen und wiederholt beschrieben werden kann. Noch sind die RFID-Transponder recht teuer und deren Funktionalität kann zudem von Metallgegenständen beeinflusst werden. Als Nachteil zu verbuchen ist auch, dass es bis heute noch keinen einheitlichen Standard gibt. Dennoch wissen viele Unternehmen bereits um die Vorzüge der RFID-Technologie, setzen sie gezielt in Projekten ein und sammeln so wertvolle Erfahrungen. Letztlich wird die ständig größer werdende Zahl von Projekten RFID zu einer größeren Marktdurchdringung verhelfen. plattformunabhängig Warum, Darum: ML-Software-Entwicklungs-, erweiterbar Dienstleistungs- und Vertriebsgesellschaft mbh Titelthema Software GmbH Kostensenkung Herr Münch und Herr Bender, hat sich rentconcept für eine Migration von RPG und CL nach.net mit MLoRPG entschieden?... weil unsere Software dadurch datenbank- und plattformunabhängig wird und unseren Kunden weiterhin die Vorteile unserer bewährten Lösung erhalten bleiben.... weil wir mit einer Migration von RPG und CL nach.net neuen Kundenanforderungen gerecht werden können.... weil mit MLoRPG ein Wechsel auf eine moderne Technologie in kürzester Zeit und ohne Investitionsverlust ermöglicht wird.... weil durch die schnelle Umstellung der Time to Market Zyklus für die migrierte Software optimiert wird.... weil nach der Migration unsere Software durch neue und leistungsfähige Funktionalitäten, objektorientierte und ereignisgesteuerte Programmierung, erweitert werden kann. +++ LIVE +++ Wöchentliche Präsentationen bei ML-OnlineMeeting unter Hertzstraße 26 D Ettlingen Herr Münch und Herr Bender sind Geschäftsführer des Softwarehauses rentconcept GmbH in Ettlingen T +49(0) F +49(0) info@ml-software.com 9

10 Titelthema Kontrolle über Viren, Spam und Spyware Sicherheit: ein muss für alle Über Security reden heute alle. Die meisten Firmen haben die Virenproblematik ganz ordentlich im Griff. SPAM ist kontrollierbarer, aber beim Thema Spyware steckt das Knowhow noch in den Kinderschuhen. Aus vielen Studien ist bekannt, dass die meisten sicherheitsrelevanten Attacken intern ausgelöst werden. Fragen Sie sich mal, wie es um die Sicherheit Ihrer iseries und dem Netzwerk bestellt ist? Definition des Problems Mit der Lösung folgender Probleme sollten Sie sich dringend befassen: 1. Es ist nicht möglich, User-Berechtigungen für spezifische Server-Funktionen und Objekte zu vergeben. 2. Operations, die auf der Kommandozeile eingeschränkt wurden, können von remote über das Netzwerk ausgeführt werden (z. B. per Dateitransfer oder FTP etc.). 3. Das System Log (der iseries) hat massive Schwächen im Bereich Netzwerk, es gibt kein sinnvolles Log der Netzwerk-Aktivitäten. 4. Es gibt keinerlei Intrusion Detection- System innerhalb des OS/400 i5/os. 5. OS/400 i5/os Security Management ist sehr aufwendig. Sehen bei Ihnen die falschen Leute sensible Informationen? Im IBM Umfeld gab es mit dem SNA-Protokoll das richtige Instrument für eine ausgefeilte Security. Heute mit TCP/IP haben wir uns gleichzeitig mit einer wesentlich leistungsfähigeren Connectivity leider auch Security-Löcher in das Unternehmen geholt. Trotz einer überzeugenden Security in OS/400 ist es kein Problem, die Schwachstellen der iseries zu finden. Wenn noch eine entsprechend schwach programmierte Anwendung oder ein nicht bzw. nur wenig ausgebildeter Security-Spezialist als Netzwerkadministrator hinzukommen, steht einem nicht autorisiertem Zugriff auf die Ressourcen im Netzwerk nichts mehr im Wege. Die ERP-Lösung für den erfolgreichen Mittelstand. eröffnet... Ihrem Unternehmen ungeahnte Vorteile. Weitere entscheidende Merkmale erhalten Sie unter oder unter 089/ Maßnahmen Für Ihre Branche. Für Ihre Aufgabe. 1. Es muss möglich sein, einzelnen Benutzern dediziert Zugriff auf Ressourcen zu geben, für alle anderen ist der Zugriff automatisch eingeschränkt oder gesperrt. 2. Es müssen einfache Werkzeuge und Tools für den Security-Administrator (z. B. das mit IBM Server Proven ausgezeichnete Bsafe/Global Security for iseries) implementiert werden, um die weltweiten Security-Standards zu erfüllen. Meine iseries ist nicht mit dem Internet verbunden!, ist kein Argument, um die Security zu vernachlässigen. Bedeutung der ISO Die wohl weltweit bedeutendste ISO für Sicherheits-Standards ist die ISO (siehe In dieser ISO ist wie in einem Handbuch für Security geregelt, wie und mit welchen Hilfsmitteln ein Unternehmen einen zertifizierten Sicherheitsstatus erreicht. Viele Produkte decken bereits heute die meisten darin abgesprochenen Punkte umfassend ab. Ein Beispiel: Die im Produkt Bsafe Global Security for iseries enthaltenen Module wie Role Manager, IP Address Manager, Bsafe Log, Secure Gateway, Intrusion Detection, Dataflow Database Integrity, PC GUI Client sowie der enthaltene grafische Analyzer decken nahezu perfekt die ISO Paragrafen ab, welche die Anforderungen beschreiben. und des Sarbanes-Oxley Act von 2002 Als Folge einer Serie von massiven Missbräuchen im Börsenbereich wurde in den USA der Sarbanes-Oxley Act (SOX) definiert und verabschiedet (siehe www. sarbanes-oxley.com). Elf Punkte definieren eindeutig die Vorgehensweise eines Unternehmens zur Erzeugung einer besseren Kontrolle. Fachautor: Wolfgang Greulich 10 Oktober 2005

11

12 Titelthema Sorgfalts- und Haftungspflichten der Geschäftsleitung IT-Sicherheit ist Chefsache Der Gesetzgeber hat ein weit reichendes Netz, das nicht nur die Steuern der Unternehmen betrifft, sondern auch ihre internen Sicherheitsstrukturen der IT. Hier herrschen Vorgaben hinsichtlich Haftung und Transparenz, die es in sich haben. Was zählt sind deshalb langfristige Maßnahmen, die das Unternehmen rundum schützen und auch die vorhandenen Paragrafen wahren. Die verfügbaren Informationen müssen vor dem Zugriff nicht befugter Personen geschützt werden, um beispielsweise das Vertrauen der Kunden zu wahren. IT-Sicherheit heißt dementsprechend nicht eine Masse von unüberschaubaren Einzelmaßnahmen, sondern ein klares Konzept mit strategischen Fokus und rechtlichem Hintergrund. Dies soll im Folgenden kurz und verständlich dargestellt werden ohne Anspruch auf eine rechtlich verbindliche Beratung. Dafür sind Juristen immer noch die besten Ansprechpartner. Rahmenbedingungen Die relevanten gesetzlichen Rahmenbedingungen für die IT-Verantwortlichen reichen vom Straf- über Zivil- und Unternehmensrecht bis hin zu Basel II. Bereits 1998 trat in Deutschland mit KontraG ein Gesetz in Kraft, das börsennotierte Unternehmen verpflichtete, ein Überwachungssystem zur Früherkennung Existenz-gefährdender Entwicklungen einzurichten. Dazu gehören auch die IT und die mit ihr verbundenen Sicherheitssysteme. KontraG steht für Gesetz zur Kontrolle und Transparenz im Unternehmensbereich und soll als externe Kontrollinstanz Fehl-Entwicklungen in der Geschäftsführung entge- Grafiken, Logos und Barcodes direkt von Ihrer iseries / i5 ausdrucken. Formulare auf der iseries / i5 schnell und leicht ändern. Spool-Ausgabe für Fax, , Archiv, Office, Internet, Standarddrucker! gen wirken. Da es sich hier nur um börsennotierte Firmen dreht, bemüht sich der Gesetzgeber in erster Linie um das Wohl und Vertrauen der Anleger. Aktiengesellschaften stehen weitaus stärker im Fokus des Interesses der Öffentlichkeit und müssen rechtliche Änderungen kontinuierlich beobachten. Doch auch für Unternehmen, die nicht an der Börse sind, gibt es keinen Grund, das Thema IT-Sicherheit stiefmütterlich zu behandeln. Jede Firma kann für Schäden durch Hacker, Viren oder Datendiebstahl direkt zur Verantwortung gezogen werden. Und auch von innen droht Gefahr, denn Mitarbeiter können Daten entwenden oder unwissentlich weitergeben. Uneingeschränkte Zugriffsrechte sind also Vertrauensbeweis mit unkalkulierbaren Folgen. Doch diese allgemeinen Aussagen nutzen im Geschäftsalltag nur wenig. Wann genau ziehen rechtliche Vorgaben konkrete Änderungen im Unternehmen nach sich? 1. Vertrauen ist vertraulich Die Wahrung des Betriebsgeheimnisses durch den Mitarbeiter wird in der Regel bereits im Arbeitsvertrag festgelegt. Die unbefugte Weitergabe und Verwertung führt durch die Geheimhaltungsverpflichtung zu einer strafrechtlichen Verfolgung (Paragraf 204, Absatz 1 Strafgesetzbuch, Paragraf 17 Gesetz gegen den unlauteren Wettbewerb). Doch die Strafverfolgung greift erst, wenn der Schaden bereits da ist. Deshalb sollte man sich lieber nicht nur darauf verlassen. Vorbeugende Maßnahmen sind besser als eine potenzielle Bestrafung. Das Anlegerschutzverbesserungsgesetz vom 30. Oktober 2004 regelt den Umgang mit Insider-Informationen. Der neu eingeführte Paragraf 15b des Wertpapierhandelsgesetzes verpflichtet Unternehmen, ein Verzeichnis der für sie tätigen Personen anzulegen, die Zugang zu persönlichen Daten haben. Um diese Listen auch in der Praxis zu leben, ist es notwendig, Sicherheitstechniken mit gruppen- und nutzerbezogenen Zugriffsrechten zu verwalten. Eine Änderung darf nur durch den Administrator durchgeführt und jede Änderung muss protokolliert werden. 2. Freies Netz nein danke Die EU-Datenschutzrichtlinie für elektronische Kommunikation kurz Anti- Spam-Richtlinie enthält grundsätzliche 12 Oktober 2005

13 Titelthema Bestimmungen über Sicherheit und Vertraulichkeit der Kommunikation über elektronische Netze in der EU. Dazu gehören selbstverständlich das Internet und auch alle mobilen Geräte. Wenn also über e Mail Interna ausspioniert werden, ist das kein unbedeutendes Missgeschick, sondern ein ernstzunehmendes Problem. Insbesondere Unternehmen mit zahlreichen Außendienstmitarbeitern, die sensible Kundendaten ständig vorrätig haben, sind hier angesprochen. Sie sollten ein IT-Sicherheitspaket von Passwort-Management bis zur granularen Zugriffsrechteverwaltung nutzen. Hier steht nicht nur der Datenverlust des Unternehmens auf dem Spiel, sondern auch ein enormer Imageschaden. 3. Einmal Chef immer Chef Mögliche Gefahren: Beim Thema IT ist Amerika eigentlich nie weit weg und das betrifft auch den Bereich Recht. Der Sarbanes Oxley Act von 2002 betrifft beispielsweise Unternehmen (Mutter und Tochter), die an US-amerikanischen Börsen gelistet sind. Folglich müssen sich auch zahlreiche deutsche Unternehmen damit beschäftigen. Das Gesetz verschärft die Offenlegungspflicht und die Notwendigkeit interner Kontrollsysteme. Ein wesentlicher Unterschied zu dem bereits beschriebenen KontraG ist die persönliche Haftung des oberen Managements. Mit diesem Wissen im Hinterkopf muss die Chef-Etage täglich handeln. Schadensersatzforderungen sind die mögliche Folge von offenen Hintertüren im IT-System. In Deutschland sollen mit dem Deutschen Corporate Governance Kodex (CGK) die geltenden Regeln für Unternehmensleitung und -überwachung transparent gemacht werden. Ziel sind vertrauensbildende Maßnahmen für nationale und internationale Investoren. 4. Banken fragen nach Seit einiger Zeit sorgen auch die Vorgaben von Basel II für zunehmende Nervosität. Davon sind nicht nur die Mitarbeiter der Finanz- und Controlling-Abteilung betroffen, sondern auch die IT-Abteilung. Kann das Unternehmen bei der Bank nicht nachweisen, dass IT-Sicherheit in ausreichendem Maße gewährleistet ist, erhält das Unternehmen ein schlechteres Rating und zahlt in Zukunft höhere Zinsen. Wenn das Unternehmensgeschäft unmittelbar mit IT zu tun hat beispielsweise Implementie- Personen erhalten Zugriff auf interne Daten, die nicht in ihren Zuständigkeitsbereich fallen. Hacker dringen in das IT-Netz ein. Spyware spioniert Daten aus dem Firmennetz. Mitarbeiter laden virenbelastete Dateien aus dem Internet. Auswahl gesetzlicher Vorgaben: EU-Datenschutzrichtlinie für die elektronische Kommunikation: Den Kunden wird mehr Datenschutz zugesichert, um Akzeptanz elektronischer Medien zu erhöhen. KontraG: Fehlentwicklungen in der Geschäftsführung von Aktiengesellschaften und börsennotierten Unternehmen sollen rechtzeitig aufgedeckt werden Verfügbarkeit von Daten muss hergestellt werden. Basel II: höhere IT-Sicherheit bietet bessere Bewertung bei der Kreditvergabe. Sarbanes Oxley: Offenlegungspflicht börsennotierter Firmen in den USA mit Einrichtung interner Kontrollen. Ziel: Sicherheit gewährleisten. rung oder Verkauf und die Sicherheitsmaßnahmen nur unzureichend gegeben sind, können liquide Mittel sogar vollständig abgelehnt werden. Und nicht zu Unrecht heißt ein Sprichwort, dass der Schuster die schlechtesten Schuhe hat. Die Basel II-Regeln treten EU-weit 2007 endgültig in Kraft und bis dahin ist eine IT-Struktur notwendig, die Früherkennungs- und Abwehrmechanismen selbst gegen zukünftige Gefahren beinhaltet. Sicherheit ist keine Privatangelegenheit Die beschriebenen Szenarien sind nur eine Auswahl der bestehenden Gesetzeslage. Zusammengefasst lässt sich sagen, dass die vielfältigen gesetzlichen Regeln dazu dienen, das Vertrauen der Anleger, Investoren und Kunden zu stärken. Sicherheit geht dabei Hand in Hand mit Transparenz und führt zu einem Vorschriften-Dschungel für die IT-Verantwortlichen. Die Firma SecureWave geht deshalb davon aus, dass nur das zugelassen werden soll, was explizit autorisiert wurde. Alles andere wird abgelehnt. Das klingt rigoros ist jedoch höchst wirksam. Letztendlich muss selbstverständlich jeder für sich entscheiden, wie gesetzliche Regeln in Abläufe umgewandelt werden, die von den Mitarbeitern gelebt werden können. Sicher ist nur eines: Es steht viel auf dem Spiel. Fachautor: Roger Wagner Midrange MAGAZIN Oktober

14 Aktuelles Kommentar zur Frage des Monats vom August 2005 Vertrauen schaffen Die Frage Die Probleme der internen Netzwerk- Connectivity sind (größtenteils) gelöst. Benötigen Sie Unterstützung bei der Einrichtung sicherer Verbindungen für Ihre Mitarbeiter im Außendienst, Ihre Kunden oder Lieferanten? Das Ergebnis Von insgesamt 2236 Teilnehmern entfielen auf die Antwort JA 1038 Stimmen (46 Prozent) und auf die Antwort NEIN 1198 Stimmen (54 Prozent). Der Kommentar Die große Anzahl der Ja Stimmen ist ein überraschendes Ergebnis in zweierlei Hinsicht. Zum einen sollte man meinen, dass nach über einem Jahrzehnt intensivem Ausbau der Vernetzung der Arbeitsplätze das Know how ausreichend vorhanden sein sollte, Mitarbeiter, Kunden und Lieferanten außerhalb der eigenen Standorte sicher zu vernetzen. Zum anderen scheint das Interesse an Mobilitie breite Kreise von Unternehmen zu beschäftigen. Die Unsicherheit, dass Betriebsdaten außerhalb der Unternehmensgrenzen zu Missbrauch führen, lässt gerade die häufig übervorsichtigen Strategen in deutschen Unternehmen um 5 Jahre hinter Ländern wie USA hinterherhinken. Ein nicht zu vernachlässigender Wettbewerbsnachteil. Wenn eine so große Anzahl an Unternehmen Unterstützung benötigt, ist dieses aber leider auch kein Kompliment an die Her- Ralf Geishauser, Geschäftsführer der GEDYS IntraWare Vertriebs GmbH steller von Software und Hardwarelösung für solche Verbindungen. Es scheint noch keinem Hersteller gelungen zu sein bereichsübergreifend eine vertrauenswürdige Lösung zu erstellen, bei welcher sich erfahrene Netzwerktechniker zutrauen, dieses ohne fremde Hilfe zu installieren. Die vielen quasi Standards und Sicherheitslücken, welche in teilweise monatlichen Softwarepatches geflickt werden, tragen zum Vertrauensgewinn bei den Kunden auch nicht bei. Ja 46% 2236 Teilnehmer haben abgestimmt Nein 54% Benötigen Sie Unterstützung bei der Einrichtung sicherer Verbindungen für Ihre Mitarbeiter im Außendienst, Ihre Kunden oder Lieferanten? Beruhigend ist der Umstand, dass das Interesse an der Vernetzung mit Außendienst, Kunden und Lieferanten nunmehr sehr breiten Raum einnimmt. Ein Umstand, den die GEDYS IntraWare insbesondere seit der CeBit dieses Jahres aktiv im Markt spürt. Die Vision einer IBM mit dem seinerzeitigen e-business und dem heutigen On Demand scheint jetzt auch für deutsche Unternehmen im Mittelstand näher zu rücken. Dieses wird auch Zeit, da die Produktivitätsgewinne in der Kommunikation, insbesondere Zeit- und Qualitätsgewinne, enorm sind. Im Bereich der Abbindung der Außendienstler sind die Unternehmen dieser Größenordnung derzeit am weitesten. Preiswerter und einfacher Abruf von Mail gehört schon für viele zum Standard. Operative CRM Daten hingegen werden, nach meiner Einschätzung, erst von einem einstelligen Prozentbereich der Außendienstler von unterwegs abgefragt. Das Zurückschreiben von Daten, wie zum Beispiel ein Besuchsbericht oder Bestelldaten eines Kundengespräches ist noch weniger verbreitet. Handikap für die Softwarehersteller sind die vielen verschiedenen Geräte, mit Ihren verschiedenen Displays und Betriebssystemen vom Multimediahandy bis zum PDA. Nur über eine Middelware ist es z. B. der GEDYS IntraWare gelungen inzwischen 86 Endgeräte mit Daten aus dem hauseigenen CRM System bidirektional zu versorgen. Wenn wirklich knapp 50% der Unternehmen die Hilfe bei sicheren Verbindungen in Anspruch nehmen, so beschert das der IT Branche ein interessantes Auftragsvolumen. Vertrauen zu schaffen, dass diese Verbindungen dann auch wirklich sicher sind und darüber hinaus sinnvolle Software zu schreiben, welche den Menschen bei Ihren Aufgaben hilft, ist Aufgabe der Hersteller. Eine wichtiges Ziel, welches uns jeden Tag aktiv antreibt. Kommentator: Ralf Geishauser, Geschäftsführer der GEDYS IntraWare Vertriebs GmbH > rgeishauser@gedys-intraware.de 14 Oktober 2005

15

16 Aktuelles IBM zentralisiert die Durchführung von Schulungen Wissensgaranten Das Schulungsgeschäft in der IT hat sich in den letzten Jahren dramatisch verändert. Waren vor kurzem noch Kurse zu den Themen Programmierung und Systemsteuerung gut besucht, so sind es heute eher die Veranstaltungen in denen strategisches Wissen vermittelt wird. Auch die IBM hat sich darauf eingestellt und ihr Schulungs- und Ausbildungsangebot überarbeitet. Franz- Rainer Schmidt, Direktor IBM IT Education Services com), verantwortet das IT-Educations- Business der IBM in Deutschland. Er stand uns Rede und Antwort über die Strategie der IBM in Bezug auf Trainingspartner und Trainingsmodelle. Michael Wirt: Die skill:form AG ist seit dem 30. Juni ein neuer Trainingspartner der IBM. Insgesamt gesehen gibt es ja nicht mehr so viele. Wie ist der Schulungsbereich insgesamt aufgebaut? Franz-Rainer Schmidt: Innerhalb der IBM existiert eine sehr klare Struktur, was die Trainingspartner angeht. Unser Trainingspartnermodell, das ja weltweit aufgesetzt wird, basiert immer auf einem Revenue-Share. Wenn ein Training von einem Partner durchgeführt wird, erhält er dafür eine bestimmte prozentuale Beteiligung an diesem Umsatz. Bislang haben wir in Deutschland nur mit einer kleinen Anzahl von Trainingspartnern in bestimmten Segmenten gearbei- Franz-Rainer Schmidt, Direktor IBM IT Education Services tet. In anderen Ländern ist das anders, beispielsweise ist die Zusammenarbeit mit den Trainingspartnern in Österreich oder der Schweiz viel ausgeprägter. In Deutschland haben wir schon seit längerer Zeit eine Partnerschaft mit der Firma TRIA IT-Training GmbH für Schulungen im Bereich der Microsoft- Produkte sowie mit der Firma ExperTeach GmbH, wenn es um Netzwerke mit Cisco-Hardware geht. Darüber hinaus arbeiten wir hier sehr viel auf Basis der Subcontracted Services zur Durchführung von Schulungen. Dabei handelt es sich um Lieferanten der IBM in Sachen Schulung, z. B. auch Business-Partner, die bei der IBM als Subcontractor gelistet sind. Mitte des Jahres haben wir uns nun einen Partner gesucht, der unsere Delivery-Aktivitäten für Trainings bündelt. Der administrative Aufwand im Schulungsbereich ist sehr groß, wenn man sehr viele Lieferanten hat. Daher wurde ein Partner etabliert, der auf der Revenue-Share -Basis mit uns arbeitet, unsere Lieferantenstrukturen bündelt und koordiniert. Der entscheidende Punkt für unsere Kunden ist hierbei, dass wir als IBM auch weiterhin der zentrale Ansprechund Kompetenzpartner sind, der den Inhalt für die unterschiedlichen Hard- und Software-Themen auf einem weltweiten Level erstellt. Dies umfasst alle bekannten Themen für die IBM Plattformen i, p, x- und zseries sowie die Software-Themen wie z. B. DB2, WebSphere, Tivoli bis hin zu Lotus Notes. Die Schulungsunterlagen werden von IBM entwickelt und erstellt. Für unsere Kunden ändert sich also nichts. Geschult wird der Kursinhalt dann durch unsere Trainingspartner oder bei Spezialthemen durch IBM Mitarbeiter. Die IBM ist also weiterhin für die Kursplanung verantwortlich und stellt die Kursinhalte und - programme zusammen. In Deutschland existieren zur Durchführung der Schulungen fünf Bildungszentren (München, Düsseldorf, Frankfurt, Stuttgart, Berlin). Die Verantwortung für die Inhalte, Termine und Schulungsorte haben unsere Offering Manager, die auch für die Sicherstellung der Qualitätsstandards unserer Schulungen verantwortlich sind. Die Durchführung des eigentlichen Trainings erfolgt zu einem großen Teil durch unsere Trainingspartner, wobei zukünftig ein erheblicher Anteil durch die Firma skill:form AG realisiert wird. Michael Wirt: Wie sieht die Ausbildungsrichtung oder der Ausbildungsschwerpunkt bei skill:form aus? Franz-Rainer Schmidt: Die Firma skill:form ist ein Zusammenschluss von zwei Firmen, die der IBM seit Jahren bekannt sind. Da ist zum einen die Firma Reinform AG, die bereits einer unser Schulungs-Lokationspartner sowie Lieferant für Trainerleistungen ist, und zum anderen die Firma Sistro GmbH, die in unseren IBM Call-Centern in Erfurt und Leipzig Services für die Infrastruktur erbringt. Der Zusammenschluss der Unternehmen wurde getätigt, um beides zu vereinigen. So können wir neben der Koordination der Trainingsleistungen auch den Betrieb unserer Infrastruktur verlagern. Ein Beispiel: Für eine bestimmte Schulung an einem bestimmten Tag muss die nötige Software-Plattform in einem bestimmten Schulungsraum bereit- und zur Verfügung gestellt werden. Dahinter steckt ein hoher Organisations- und Vorbereitungsaufwand. IT Education Services betreibt heute zwei kleine Rechenzentren, die die Software für unsere Schulungen rechtzeitig in die einzelnen Schulungslokationen verschicken. Diese werden zukünftig in die Betriebsverantwortung der skill: form AG übergeben Oktober 2005

17 Aktuelles Michael Wirt: Im iseries-markt gibt es nicht so arg viele Ausbildungsbetriebe. Welche Partnerschaften werden dafür angestrebt? Franz-Rainer Schmidt: Wir haben eine Anzahl von Lieferanten im iseries-bereich, die für uns in sehr guter Qualität die Kurse durchgeführt haben. Diese werden in Zukunft in Verbindung mit skill:form weiterhin mit uns zusammenarbeiten. Wir wollen auch hier unsere etablierte Lieferantenstruktur bündeln. Michael Wirt: Welche Anstrengungen werden unternommen, um z. B. die Basics wie CL-Programmierung, RPG oder die Bedienung einer iseries oder i5 zu vermitteln? Franz-Rainer Schmidt: Wir haben schon immer eigene Trainer mit einem klaren Fokus auf iseries und i5 gehabt. Damit deren Skill immer auf der Höhe der Zeit ist, sind sie in so genannte Delivery Units integriert und werden bei Bedarf auch weiterhin zum Einsatz in unseren Schulungen kommen. In jedem Segment, wie z. B. auch dem iseries-segment, sind zwei bis drei Leute für das Offering verantwortlich. Diese stehen sowohl auf der internationalen und als auch auf der nationalen Ebene in ständigem Kontakt mit den Mitarbeitern, die in Projekten tätig sind. Aus diesem Informationsaustausch werden die Leitlinien für die kommenden Schulungsprogramme entwickelt und festgelegt. Standardkurse werden wie gehabt durch unsere Trainingspartner, in der Vergangenheit Subcontractoren, erbracht. Spezialthemen, die ein besonderes Wissen erfordern, werden auch weiterhin durch IBM Mitarbeiter als Trainer realisiert. Hierbei sind besonders die labornahen Workshops zu brandaktuellen Themen oder auch unsere Konferenzen zu erwähnen, die tagesaktuell im Internet abgerufen werden können. Diese werden wir natürlich auch zukünftig mit unseren eigenen Mitarbeitern durchführen, die über die entsprechenden Projekterfahrungen verfügen und in die neuesten Entwicklungen eingebunden sind. Um nur ein Beispiel aus dem Bereich Serverkonsolidierung herauszugreifen, seien die neuen Workshops zu LPAR auf i5 erwähnt. Michael Wirt: Wie sehen die Kontaktmöglichkeiten der Anwender zur Firma skill:form aus? Franz-Rainer Schmidt: Ein direkter Kontakt ist möglich, aber nicht erforderlich. Wir sind weiterhin der direkte Ansprech- und Vertragspartner für den Kunden. Unser neuer Schulungskatalog für Deutschland, Österreich und die Schweiz wird im Oktober erscheinen. Für jedes Segment gibt es einen Offering-Spezialisten, der auch zukünftig der zentrale Ansprechpartner für die Kunden ist. Michael Wirt: Wie sieht die IBM die Zukunft des virtuellen Lernens? Franz-Rainer Schmidt: Eines der Zukunftsthemen der IBM im Bereich Schulung wird der virtuelle Klassenraum sein. Das Thema e Learning ist seit Jahren in aller Munde. Wir haben im deutschsprachigen Raum jedoch festgestellt, dass die e Learning-Komponenten oder die so genannten Computer-based Trainings bislang sehr verhalten angenommen wurden. Deswegen haben wir im letzten Jahr intensive Erfahrungen mit dem virtuellen Klassenraum gesammelt. Im virtuellen Klassenraum hat ein Dozent die Möglichkeit mit den Teilnehmern, die sich an einem beliebigen Ort mit Zugang zum Internet befinden können, eine gemeinsame Schulung durchzuführen. Der Vorteil des virtuellen Klassenraumes ist, dass eine direkte Kommunikation mit den Dozenten und den Teilnehmern untereinander stattfindet. Für IBM ist der virtuelle Klassenraum das Medium der Zukunft im Schulungsbereich. Wir werden das Angebot in diesem Bereich stark ausbauen. Für die End-User ist bereits ein breites Angebot verfügbar, vor allem im Microsoftund Lotus Notes-Bereich. Dieses wird jetzt mehr und mehr auch für die anderen Fachthemen ausgebaut werden. Dazu gehört z. B. das Thema IT-Infrastructure Library (ITIL). In diesem Bereich sind wir einer der ersten Anbieter im Markt für eine virtuelle Klassenraumschulung. Der Kunde profitiert hier vor allem von der Möglichkeit des direkten Dialogs wie er auch im Klassenraum stattfindet. Außerdem ermöglichen wir so unseren Kunden, Schulungen auch ohne Reisekosten besuchen zu können und ihr Schulungsbudget effektiver zu nutzen. 25 Jahre PARITY Software IHR eserver VERDIENT MODERNSTE SOFTWARE- TECHNOLOGIE PARITYERP - die modulare Lösung für WWS, ReWe, PPS, E-Commerce und BI. Über mal unter Linux und Windows installiert und uneingeschränkt lauffähig auf i5/iseries-systemen. Mehr Infos zu PARITYERP für HANDEL und INDUSTRIE unter Telefon / und SOFTWARE Midrange MAGAZIN Oktober

18 Aktuelles Sensible Schutzbefohlene: Mangelnder Datenschutz kann teuer werden Personenbezogene Daten Die im Jahr 2001 in Kraft getretene Neufassung des Bundesdatenschutzgesetzes (BDSG) sieht vor, dass alle nicht öffentlichen Stellen, die automatisiert personenbezogene Daten erheben, verarbeiten oder nutzen, eine Datenschutzbeauftragten stellen müssen. Das gilt für sämtliche Rechtsformen: AGs, GmbHs, GbRs und auch für natürliche Personen wie Ärzte, Rechtsanwälte etc. Die Übergangsfrist für bestehende Verfahren ist abgelaufen, wer keinen oder den falschen Datenschützer bestellt hat, muss mit empfindlichen Bußgeldern rechnen Euro werden fällig, wenn die Missachtung auffliegt. Kann Fahrlässigkeit oder gar Vorsatz nachgewiesen werden, darf man sich auf Strafen bis zu einer Viertel Million Euro gefasst machen. Wer braucht s? ERP PPS WWS ebusiness Halle A1, Stand 238 ERP und ebusiness: Qualitätssoftware für den Mittelstand zufriedene Kunden Für viele Branchen Zukunfts- und investitionssicher Flexibel anpassbar International Linux und Windows T. 0721/ stützten Verarbeitung personenbezogenen Daten beschäftigt sind. Unterliegen automatisierte Verarbeitungen der Vorhab-Kontrolle, ist die Bestimmung Ein Datenschutzbeauftragter muss spätestens dann her, wenn im Unternehmen mehr als vier Personen mit der IT-geeines Datenschutzbeauftragten sofort zwingend und zwar gänzlich unabhängig von der Mitarbeiterzahl. Bei nicht automatisierten Anwendungen müssen Firmen mit mehr als 20 Arbeitnehmern einen Datenschutzbeauftragten bestellen: schriftlich, spätestens einen Monat nach Aufnahme der Geschäftstätigkeit. Wer kann s? Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Mit der Aufgabe können auch Externe betraut werden: Outsourcing ist eine interessante Alternative. Der Geschäftsführer? Diese Meinung vertreten viele Geschäftsführer spätestens dann, wenn ihnen klar wird, dass ein intern bestellter DSB kontinuierlich geschult werden muss, weisungsfrei agieren darf und Datenschutz = Persönlichkeitsschutz Artikel 8 der Charta der Grundrechte der Europäischen Union sieht vor: Jede Person hat das Recht auf Schutz der sie betreffenden, personenbezogenen Daten. Diese dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betreffenden Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erwirken. Die Einhaltung dieser Vorschrift wird von einer unabhängigen Stelle überwacht. Basis des Datenschutzgesetztes sind verfassungsrechtliche Grundlagen, nämlich Artikel eins und zwei der Grundgesetzes, bei denen es um Menschenwürde und rechte und um die Persönlichkeitsrechte geht. Zweck des Gesetzes ist es, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Personenbezogene Daten gibt es viele sie reichen von Name, Beruf und Familienstand über Religions- und Vereinszugehörigkeit und Zahlungsverhalten über Krankheiten, Vorstrafen, Einkommen und Arbeitgeber bis zu Zählernummer und Jahresstromverbrauch. Derlei Daten werden über verschiedene Personenkreise erhoben: Bewerber, Lieferanten, Kunden, Mieter, Mitarbeiter aber auch Besucher und Mitarbeiter von Fremdfirmen Oktober 2005

19 Aktuelles Personenbezogene Daten Das deutsche Recht definiert personenbezogene Daten als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person ( 3 Absatz 1, Bundesdatenschutzgesetz) Daten sind personenbezogen, wenn sie eindeutig einer bestimmten Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. Eine mittelbare Bestimmung ist auch dann möglich, wenn nicht Name der Person, wohl aber IP- Adresse, Personalnummer, Telefonnummer oder -adresse bekannt und gespeichert sind. Das BDSG beschäftigt sich ausschließlich mit dem Schutz von Daten natürlicher Personen, nicht mit denen juristischer Personen wie GmbHs, AGs etc. Besonderen Schutz genießen sensible Daten wie ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugungen, Gesundheit oder Gewerkschaftszugehörigkeit. quasi unkündbar ist. Die für seine Tätigkeit nötigen Mittel (darunter auch Räume und Mitarbeiter) sind ihm zur Verfügung zu stellen, es besteht Benachteiligungsverbot. In der Quintessenz bedeutet dass: Der DBA genießt einen Kündigungsschutz ähnlich dem eines Betriebsratsmitglieds. Der Datenschutzbeauftragte? Ist der Datenschutzbeauftragte zusätzlich mit anderen Aufgaben betraut, darf diese Tätigkeit nicht mit den Schutzaufgaben kollidieren. Das heißt im Klartext: Inhaber, Vorstände, Geschäftsführer und sonstige gesetzliche oder verfassungsmäßig berufenen Leiter, Personalleiter, leitende Funktionen von Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung personenbezogener Daten (auch und gerade IT-Leiter!) sind für den Posten nach Auffassung des Gesetzeshüter 3 2 Midrange MAGAZIN Oktober

20 Aktuelles Sensible Schutzbefohlene: Personenbezogene Daten nicht geeignet und dürfen folglich auch nicht DSB bestellt werden. Mitspracherecht Nach 11 BDSG trägt der Auftraggeber die Verantwortung für die Einhaltung des BDSG und andere Vorschriften für den Datenschutz er ist quasi Herr der Daten. Werden Dienstleistungsverträge wie mit Fernwartungsanbietern, Rechenzentren, Printshops, Inkassounternehmen oder Entsorgungs- und Wärmemessdiensten abgeschlossen, sollte der betriebliche Datenschutzbeauftragte bei der Gestaltung der Verträge mitwirken. Wird beim Partnerunternehmen geschlampt, kann das den Auftraggeber teuer zu stehen kommen. Sorgfalt bei der Auswahl ist also geboten, die Auftragserteilung sollte schriftlich erfolgen, der Kunde Einblick in die Verträge mit möglichen Subunternehmern haben. Es liegt außerdem in seiner Verantwortung, sich von der Einhaltung der definierten Maßnahmen zu überzeugen. Arbeitsverweigerung Der Auftragnehmer darf die betreffenden Daten auch nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten und nutzen. Eine Verpflichtung der Mitarbeiter auf das Datengeheimnis hat unbedingt zu erfolgen, dieses Datengeheimnis gilt auch über das Arbeitsverhältnis hinaus. Werden dem Auftragnehmer Weisungen erteilt, die gegen das BDSG oder andere Datenschutzvorschriften verstoßen, ist der Partner unverzüglich auf diesen Umstand hinzuweisen. Eine Arbeitsverweigerung versteht sich von selbst. Prüfer ante portas Die Prüfer der Aufsichtsbehörde kommen auch unangemeldet. Sie stehen am Empfang, reichen ihre Visitenkarte herüber und wollen Antworten: Sofort. Es gibt Möbel, die jeden noch so gut gemeinten Datenschutzansatz ad absurdum führen können: Papierkörbe. Auch der Volkssport e Mail wird in Sachen Sicherheit überschätzt, realistisch betrachtet kommen elektronische Briefe eher postalisch verschickten Postkarten gleich. Werden vertrauliche Inhalte übermittelt, ist eine Verschlüsselung unbedingt vonnöten, und auch die Antwortfunktion hat ihre Tücken. Automasten gefordert. Wer diese Zeiträume überschreitet, muss mit empfindlichen Zwangsgeldern rechnen, im schlimmsten Fall wird gleich der Einsatz gesamter Verfahren untersagt; besonders dann, wenn sie mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind. Die Vertreter der Aufsichtsbehörde haben das Recht, geschäftliche Unterlagen insbesondere Übersichten einzusehen. Sie dürfen tiefe Blicke in die Datenbanken werfen und die DV-Programme inspizieren. Diese Maßnahmen sind von der verantwortlichen Stelle zu dulden, Laut Gesetz hat die verantwortliche Stelle also diejenige, die Daten erhebt und speichert die erforderlichen Auskünfte auf Verlangen unverzüglich zu erteilen. Ein Vertrösten ist nicht drin. Werden technische oder organisatorische Mängel festgestellt, wird deren Beseitigung innerhalb relativ kurzer Friegal ob die Prüfer nun passend oder eher ungelegen kommen. Topliste der Verstöße Die häufigsten Mängel werden im Bereich räumliche Sicherheit und Zugangskontrolle diagnostiziert. Häufig sind auch PC-Arbeitsanweisungen nicht statthaft, Passwörter, Logins in Standardsoftware oder die Festlegung von Löschungsfristen wird ebenfalls gern moniert. Der Verzeichnisaufbau und die Zugangsrechte zu Textprogrammen sind auch häufiger Anlass zur Rüge. Wer Mehrpersonenarbeitsplätze betreibt, sollte auf peniblen Aufbau der Einsichts- und Änderungsrechte achten, Verschlüsselungsverfahren, Schutz-Software und Kryptografie-Auflagen stehen auf der Mängelliste der Prüfer ebenfalls ganz oben. Wer ein Zwischenlager für Entsorgungsgut wie Papier oder auch Datenträger unterhält, hat ebenfalls gute Karten, wenn er sich Fort Knox zum Idol macht. Ärgerlich werden die Aufsichtsbehörden häufig auch bei Unternehmen, die Mitarbeiter im Home-Office beschäftigen: Die Mitnahme von Datenträgern außer Haus ist ein ganz sensibles Thema. In Zeiten, in denen ein einfacher Musik- Player oder ein ipod ausreichen, um innerhalb weniger Minuten mehrere Gigabyte vertraulicher Daten von einem Netzwerk zu stehlen, ist Aufmerksamkeit gefragt. Auch die Details von Outsourcing-Verträgen werden von den Mitarbeitern der Aufsichtsbehörde vergleichsweise häufig gerügt, dasselbe gilt für die Abwicklung von Fernwartungsdienstleistungen. Gefährliche Möbelstücke 20 Oktober 2005