ComputerClub 2
Sitemap Kontakt
  Wolfgang Back & Wolfgang Rudolph
Suche:   Wolfgang Back & Wolfgang Rudolph
  Aktuelle Sendung
  Nächste Sendung
  Sendungsarchiv
  Downloads


SENDUNGSARCHIV

03.05.2010
Folge 223

Effective Business Process Management

In dieser Sendung schalten wir wieder nach Dagstuhl, das immer wieder interessante Themen bespricht. Hier ein Bild von den Teilnehmern, die über effektives Prozess Management diskutierten.


Die Teilnehmer des Seminars 10151

Kurz nach der Veranstaltung konnten wir mit Prof. Oberweis sprechen.


Prof. Andreas Oberweis, KIT (Karlsruhe Institute of Technology

Fachkräftemangel und Wettbewerbsdruck zwingen zunehmend auch mittelständische Unternehmen dazu, die Softwareentwicklung teilweise ins Ausland zu verlagern. Ansätze, wie sie dabei Qualitätsmängel ausschließen können, erarbeitet das Projekt GlobaliSE.


Professor Andreas Oberweis vom KIT untersucht einen integrierten Lebenszyklus für Geschäftsprozesse und Unternehmenssoftware: Unternehmen sollen ihre Software auch unabhängig vom auswärtigen Entwickler weiterentwickeln können. Foto: KIT

Beteiligt an dem Projekt sind das Karlsruher Institut für Technologie (KIT), das Forschungszentrum Informatik und die Universität Mannheim. Das Land Baden-Württemberg fördert das Projekt mit 1,4 Millionen Euro.

Häufigster Grund für ein Outsourcing bei der Softwareentwicklung ist ein Mangel an Fachkräften vor Ort – das Ergebnis ist oft alles andere als zufriedenstellend, erklärt Professor Ralf Reussner, der Koordinator des Projekts: „Wenn Firmen keine räumliche Nähe zu ihren Entwicklern haben, werden oft die Anforderungen an die zu entwickelnde Software nicht erfüllt.“ Viele Outsourcing-Projekte scheitern an überhöhten Kosten aufgrund ungeeigneter Methoden für die verteilte Softwareentwicklung.

Insbesondere mittelständischen Unternehmen sei häufig nicht klar, wie sie systematisch die Qualität der Ergebnisse ausgelagerter Entwicklungsaufgaben prüfen könnten, so Reussner. „Großunternehmen dagegen sammeln aufgrund ihrer größeren finanziellen Möglichkeiten Erfahrungen – und das ist notwendig.“

Um diesem klaren Wettbewerbsnachteil für Mittelständler beim Thema Outsourcing zu begegnen, brauche es intelligentere Formen der verteilten Softwareentwicklung. Dafür müssten Projekte der Softwareentwicklung sinnvoll aufgegliedert werden, um schützenswerte Aktivitäten, die zum Beispiel einen engen Kundenkontakt erfordern, im Land zu halten und nicht-komplexe Standardaufgaben ins Ausland verlagern zu können. Auf diese Weise sollen laut Reussner deutsche Arbeitsplätze und Know-how gesichert werden, „und gleichzeitig lassen sich Synergieeffekte durch eine intelligente Auslagerung von spezifischen Aktivitäten in andere Länder nutzen“.

Daneben sei es wichtig, dass die Unternehmen die Software auch unabhängig vom auswärtigen Entwickler weiterentwickeln können. Daran arbeiten im Projekt GlobaliSE Wirtschaftswissenschaftler und Informatiker um die Professoren Reussner und Andreas Oberweis vom KIT sowie den Projektleiter Ralf Trunko vom Forschungszentrum Informatik. So untersuchen sie einen integrierten Lebenszyklus für Geschäftsprozesse und Unternehmenssoftware: Im Laufe eines Geschäftsprozesses ergeben sich häufig neue Anforderungen an die Software, die ihn unterstützen soll – sie effizienter aus den Veränderungen der Prozesse ableiten zu können, ist das Ziel der Wissenschaftler. Zugleich wollen sie den Prozess an die technische Entwicklung anpassen und zum Beispiel Medienbrüche beseitigen.


Der Mensch - das schwächste Glied in der IT-Sicherheitskette

Trotz der technischen Raffinesse moderner Schadprogramme versuchen Cyberkriminelle häufig, menschliche Schwächen auszunutzen, um ihre Schädlinge zu verbreiten. Dies ist keine große Überraschung, denn der Mensch ist oft das schwächste Glied in einem Sicherheitssystem. Ein gutes Beispiel hierfür ist der Einbruchsschutz eines Hauses: Die beste Alarmanlage der Welt ist vollkommen nutzlos, wenn man vergisst, sie einzuschalten. Dasselbe gilt für den Bereich IT-Sicherheit. Daher sind Social-Engineering-Tricks  (http://de.wikipedia.org/wiki/Social_Engineering) bei Cyberkriminellen nach wie vor sehr beliebt, um Internetanwender erfolgreich zu betrügen.


Heinz Schmitz über die Schwächen aller technischen Systeme: Den leichtsinnigen Menschen.

Ein Beweis dafür ist der große Erfolg von Phishing-Betrügereien, mit denen Anwender dazu gebracht werden sollen, persönliche Daten wie Benutzernamen, Passwörter oder PINs, die für Cyberkriminelle von Nutzen sein könnten, auf gefälschten Webseiten einzugeben. Der klassische Phishing-Betrug wird mittels einer nachgeahmten E-Mail initiiert, die an Millionen von E-Mail-Adressen gespammt wird, in der Hoffnung, dass genügend Leute auf den Betrug hereinfallen und auf den in der Spam-Mail enthaltenen Link klicken. Derartige Attacken sind nach wie vor sehr beliebt.

Menschenansammlungen ziehen Online-Betrüger – wie Taschendiebe auch – magisch an. Aufgrund der stetig steigenden Mitgliederzahlen bei Facebook, MySpace, Twitter und Co ist es nicht verwunderlich, dass Internetverbrecher aktuell verstärkt Mitglieder sozialer Netzwerke ins Visier nehmen. So verbreiten Cyberkriminelle zum Beispiel über gehackte Facebook-Accounts Nachrichten mit Links auf schädliche Programme. Oder sie verschicken „Tweets“ über den Micro-Blogging-Dienst Twitter, die Links enthalten, deren tatsächliches Ziel mit Hilfe von URL-Kürzungsdiensten wie bit.ly verschleiert wird. Ein weiterer Facebook-Betrugstrick: Man gibt sich als ein vermeintlicher Freund aus, der im weit entfernten Ausland festsitzt und nun dringend Geld braucht, um wieder nach Hause zu kommen. Keiner dieser Ansätze beschränkt sich auf soziale Netzwerke – die Cyberkriminellen übertragen einfach die Betrugstechniken, die sie vorher bereits erfolgreich eingesetzt haben.

Dass Social-Engineering-Tricks immer beliebter werden, zeigt auch die Zunahme so genannter Scareware-Programme. Dabei erscheint eine Pop-Up-Nachricht auf einer Webseite, in der dem Anwender mitgeteilt wird, dass der Computer mit Schadcode infiziert sei und daher umgehend ein kostenloses Antiviren-Programm herunter geladen werden müsse, um die angeblich gefundenen Schädlinge zu entfernen. Wird das Programm allerdings herunter geladen und gestartet, erscheint eine weitere Mitteilung, die dem Nutzer erklärt, er benötige zur Desinfizierung des Computers die – nun kostenpflichtige – Vollversion. Die Cyberkriminellen schlagen auf diese Weise zwei Fliegen mit einer Klappe: Zum einen locken sie den Anwendern das Geld mit falschen Versprechungen aus der Tasche, zum anderen gelangen sie auf diese Weise gleichzeitig an die Kreditkartendaten ihrer Opfer.

Allerdings ist der Mensch an sich nicht nur wegen seiner Unwissenheit angreifbar. Manchmal reicht schon ein angebliches Angebot über kostenlose Audio- oder Videodateien, damit Anwender auf einen verseuchten Link klicken. Der schöne Schein trügt oft den gesunden Menschenverstand.

Eine weitere Schwachstelle des Menschen ist seine Bequemlichkeit. Das gilt vor allem für den Gebrauch von Passwörtern. Das Problem dabei: Immer mehr Alltagsgeschäfte werden online abgewickelt: Einkaufen, Bankgeschäfte, das Bezahlen von Rechnungen, professionelles Networking etc. Heute ist es nichts Besonderes mehr, wenn man zwischen zehn und dreißig Online-Accounts nutzt. Die Folge: Es wird immer schwieriger, für jeden einzelnen Account ein individuelles Passwort im Kopf zu behalten. Die Versuchung ist also groß, ein und dasselbe Kennwort für alle Accounts zu benutzen oder den Namen eines Kindes oder des Ehepartners zu wählen, da man sich diese leicht merken kann. Eine andere gängige Methode ist das „recyclen” von Passwörtern, indem man ein und dasselbe Passwort zum Beispiel aufsteigend durchnummeriert („meinname1“, „meinname2“, „meinname3“). Passwörter sind daher oft leicht zu knacken. Die Wahrscheinlichkeit, dass Cyberkriminelle relativ problemlos Zugang zu Internet-Accounts erhalten, ist hoch. Dieses Risiko wird von vielen Anwendern allerdings oft unterschätzt. Und selbst wenn sich der durchschnittliche Anwender der potentiellen Gefahr bewusst ist, so sieht er meist keine praktikable Alternative, da er nicht in der Lage ist, sich alle Passwörter für alle genutzten Dienste zu merken.

Eine ausgereifte Technik ist selbstverständlich das Herzstück jeder IT-Sicherheitslösung. Wie bereits erwähnt, denke ich, dass man den Faktor Mensch in Sicherheitsfragen nicht ignorieren darf. Im wirklichen Leben wissen wir, dass Alarmanlagen, Fensterschlösser und Türketten effektiv vor Diebstahl schützen. Aber sie halten arglose Opfer nicht davon ab, die eigene Sicherheit zu gefährden, indem sie einem Fremden die Tür öffnen. Ähnlich verhält es sich mit der IT-Sicherheit: Die beste Sicherheitsstrategie eines Unternehmens nützt nichts, wenn man den Faktor Mensch außer Acht lässt. Der Königsweg besteht darin, menschliche Sicherheitslücken zu schließen und digitale Ressourcen zu schützen. Dabei geht es nicht nur um IT-Sicherheit im Berufsleben. Viele, die das Internet von zu Hause aus nutzen, stehen vor demselben Problem. Die Gesellschaft selbst muss folglich das Risikobewusstsein der Internetanwender schärfen, stärken und effektive Methoden entwickeln, um IT-Risiken zu minimieren.

Wenn wir nicht online sind, sind wir uns unserer Risiken durchaus bewusst. So sind wir zum Beispiel in der Lage, unseren Kindern die potentiellen Gefahren bei der Überquerung einer Straße zu verdeutlichen – wir bringen ihnen bei, nur an speziell dafür vorgesehenen Stellen die Straße zu überqueren, oder – wenn das nicht möglich ist – aufmerksam in beide Richtungen zu schauen, bevor sie die Straße überqueren. Ein anderes Beispiel sind TV- und Radio-Spots, die beispielsweise vor den Gefahren von Alkohol am Steuer warnen.

Sicherlich garantieren die Ratschläge, die wir unseren Kindern geben und die Warnungen der Behörden vor falschem Verhalten im Straßenverkehr keine Sicherheit. Aber sie beinhalten Informationen, die dazu beitragen, die Risiken zu minimieren. Heutzutage ist das Fahren unter Alkoholeinfluss gesellschaftlich nicht mehr akzeptiert. Die positive Folge: Es gibt weitaus weniger Verkehrsvorfälle aufgrund von Alkohol am Steuer als noch vor vierzig Jahren.

Leider gibt es kein ähnliches Bewusstsein in unserem Online-Leben, was allerdings nicht verwunderlich ist, wenn man bedenkt, dass das Internet im Vergleich zu den Generationen von Autofahrern und Menschen, die eine Straße überqueren mussten, noch sehr neu ist. Wir beginnen erst zu verstehen, auf welche Weise das Internet unser Leben bereichern kann. Daher sind sich viele in ihrer Begeisterung für das World Wide Web der potentiellen Gefahren nicht bewusst.

Die Gesellschaft steht hier vor einer paradoxen Situation. Kinder erlernen zahlreiche Strategien von ihren Eltern, die sie in der Offline-Welt vor Gefahren schützen. Doch Eltern sind heutzutage häufig nicht in der Lage, ihre Kinder über die Sicherheit im Cyberspace aufzuklären, da sie mit dieser „neuen” Technologie (noch) nicht so vertraut sind. Umgekehrt sind Kinder heutzutage sehr wohl in der Lage, diese Technologie zu nutzen, sie wissen aber oft zu wenig über die potentiellen Bedrohungen, die online auf sie lauern.

Die Gesellschaft muss daher eine Art Sicherheitsbewusstsein entwickeln. Nur so werden wir in Zukunft in der Lage sein, uns und unsere Kinder vor IT-Bedrohungen zu schützen. Zunächst einmal ist es wichtig, Erziehung nicht mit Ausbildung zu verwechseln. Es wäre unrealistisch, die breite Masse zu Computer-Sicherheitsexperten ausbilden zu wollen. Wir sollten vielmehr das Bewusstsein für potentielle Online-Bedrohungen stärken und Maßnahmen vermitteln, mit denen sich Anwender selbst schützen können.

Für Unternehmen und Organisationen sollte die Erziehung der Mitarbeiter allerdings das Herzstück jeder effektiven Sicherheitsstrategie sein. Den Mitarbeitern müssen Bedrohungen in einfacher, klarer Sprache erklärt werden. Sie sollten nachvollziehen können, welche Schutzmaßnahmen das Unternehmen warum eingeführt hat, und welche Auswirkungen diese in ihrer täglichen Arbeit haben können. Eine Sicherheitsstrategie ist weitaus effektiver, wenn das Personal sie versteht und unterstützt. Zudem sollten Unternehmen und Organisationen eine Kultur der Offenheit etablieren: Das Personal sollte ermutigt werden, verdächtige Aktivitäten zu melden statt diese aus Angst vor disziplinären Folgen zu verheimlichen. Sind die Mitarbeiter eingeschüchtert, oder fühlen sie sich für dumm verkauft, findet keine Kooperation statt, wichtige Informationen bleiben auf der Strecke.

Es reicht nicht, eine Sicherheits-Policy zu entwickeln, diese dann von den Mitarbeitern unterzeichnen zu lassen und darüber hinaus nichts zu unternehmen. Eine effektive Sicherheitsstrategie sollte der sich verändernden Bedrohungslandschaft angepasst sein und deshalb regelmäßig überprüft werden. Dabei sollte man auch bedenken, dass jeder einzelne Mitarbeiter auf unterschiedliche Weise lernt: Der eine reagiert besonders gut auf mündlichen Input, der andere auf schriftliches oder illustriertes Material. Daher sollten verschiedene Strategien angewendet werden, um das allgemeine Sicherheitsbewusstsein zu schärfen. Das schließt Präsentationen als Teil der Mitarbeiter-Schulung ebenso mit ein wie Poster-Kampagnen, Ratespiele, Comics und einen „Tipp des Tages”, der beispielsweise angezeigt wird, wenn sich ein Mitarbeiter ins Unternehmensnetzwerk einloggt.

Es gibt Überschneidungen beim Einsatz von Computern zu Hause und bei der Arbeit. Denn Anwender, die den PC als Arbeitsgerät im Unternehmen nutzen, verwenden ihn auch, um von zu Hause aus einzukaufen, Bankgeschäfte zu erledigen und Kontakte zu pflegen. Die Verwendung des Computers zu Nicht-Arbeitszwecken sollte in das Sicherheitstraining des Personals eingebunden werden. Zeigt man den Mitarbeitern, wie sie ihren eigenen Computer schützen und ihren eigenen Router sichern können, steigt die Motivation, am Sicherheits-Trainingsprogamm aktiv mitzuwirken und es zu unterstützen. So kann auch die Gefährdung von Unternehmensressourcen durch Mitarbeiter, die heute immer häufiger von zu Hause aus (Home Office) arbeiten, minimiert werden.

Auch gibt es viele Menschen, die bei der Arbeit keinen Computer benutzen (oder bereits in Rente sind), zu Hause aber sehr wohl im Internet aktiv sind. Daher ist es unumgänglich, die Sicherheitserziehung nicht nur auf die Arbeitswelt zu beschränken, sondern sie über den Arbeitsplatz hinaus zu transportieren.
Mittlerweile bietet bereits eine Reihe von öffentlichen Webseiten Tipps zur Internetsicherheit. Außerdem stellen die Anbieter von Sicherheitssoftware häufig einen Leitfaden zur Online-Sicherheit zur Verfügung, wie beispielsweise der Ratgeber von Kaspersky Lab (http://www.stop-cybercrime.de/download/Cybercrime_RatgeberHome_SchutzvorCyberkriminalit%C3%A4t_A5_FINALMAY09.pdf) . Diese Aufklärungsinformationen gehen allerdings davon aus, dass der Leser bereits online ist.

Cyberkriminalität wird uns weiterhin begleiten – sie ist sowohl ein Produkt des Internetzeitalters als auch der allgemeinen Kriminalitätslandschaft. Es ist unrealistisch zu denken, es gelte hier „einen Krieg zu gewinnen”. Vielmehr geht es darum, Wege zu finden, um das Risiko zu minimieren.
(Quelle:  Kaspersky Lab)



zurück zum Archiv
Anhören:


Audiodatstream
Download 128 Kbit/s (~27 MB)
Download 32 Kbit/s (~7 MB)
Ogg Vorbis 56 Kbit/s (~12 MB)
RSS Feed (Audiocast, letzte 5 Sendungen)
RSS Feed (Audiocast, alle Sendungen)

Druckversion Impressum Haftungsausschluss