Netzwerk- und Internetsicherheitstechnologien in der IT-basierten Unternehmensberatung

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Motivation und Aufbau der Arbeit

2 IT-basierte Unternehmensberatung
2.1 Grundlagen der Unternehmensberatung
2.2 IT-basierte Beratungsformen
2.3 Grundsätzliche Merkmale eines E-Consulting-Konzeptes
2.4 Phasenmodell eines E-Consulting-Konzeptes
2.4.1 Kontakt- und Akquisitionsphase
2.4.2 Angebotsphase und Vertragsgestaltung
2.4.3 Auftragsdurchführung und Qualitätssicherung
2.5 IT-basierte Unternehmensberatung in der Praxis
2.5.1 IT im Beratungseinsatz
2.5.2 Ernst & Young Online
2.5.3 et.alia ROCS

3 Netzwerk- und Internetsicherheitstechnologien
3.1 Sicherheitsbegriff und Sicherheitsaspekte
3.2 Netzwerk- und Protokollgrundlagen
3.2.1 Das Open Systems Interconnect-Schichtenmodell
3.2.2 Das TCP/IP-Referenzmodell
3.3 Kryptographie
3.3.1 Grundlagen der Kryptographie
3.3.2 Symmetrische Verschlüsselungsverfahren
3.3.3 Asymmetrische Verschlüsselungsverfahren
3.3.4 Hybride Verschlüsselungsverfahren
3.3.5 Kryptographische Prüfsummen
3.4 Digitale Signaturen
3.5 Public Key Infrastruktur
3.5.1 Schlüsselmanagement
3.5.2 Zertifikate
3.5.3 Zertifizierungsstellen
3.6 Firewalltechnologie
3.6.1 Definition und Bestandteile von Firewallsystemen
3.6.2 Paketfilter
3.6.3 Applikationsfilter
3.7 Intrusion Detection Systeme
3.8 Schutz vor Schadsoftware

4 Sicherheitstechnologien in der IT-basierten Unternehmensberatung
4.1 Einordnung zu sichernder Komplexe der IT-basierten Beratung
4.2 Schutz der unternehmensinternen IT-Infrastrukturen
4.3 Sicherheitstechnologien bei E-Mail-basierter Beratung
4.3.1 Grundlagen der E-Mail-basierten Unternehmensberatung
4.3.2 Pretty Good Privacy
4.3.3 Secure Multipurpose Internet Mail Extension-Standard
4.4 Sicherheitstechnologien bei Client/Server-basierter Beratung
4.4.1 Grundlagen der Client/Server-basierten Unternehmensberatung
4.4.2 Secure Socket Layer und Transport Layer Security
4.4.3 Secure Hypertext Transfer Protocol
4.5 Sicherheitstechnologien bei Anbindung externer Systeme
4.5.1 Anbindung externer Systeme bei IT-basierter Beratung
4.5.2 Virtual Private Networks
4.5.2.1 Grundlagen von Virtual Private Networks
4.5.2.2 Authentifikation
4.5.2.3 IPSec
4.5.2.4 Layer 2 Transfer Protocol

5 Fazit und Ausblick

Literaturverzeichnis

Ehrenwörtliche Erklärung

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Aufbau der Arbeit 2

Abbildung 2: Phasenschema des Beratungsprozesses

Abbildung 3: Angebotserstellungsphase (Szenario 2) im E-Consulting-Konzept

Abbildung 4: Funktionale Klassifikation von IT in der Unternehmensberatung

Abbildung 5: Aufbau des OSI-Schichtenmodells

Abbildung 6: Einordnung des TCP/IP-Referenzmodell in das OSI-Schichtenmodell

Abbildung 7: Funktionsweise eines symmetrischen Verschlüsselungsverfahren

Abbildung 8: Funktionsweise eines asymmetrisches Verschlüsselungsverfahren

Abbildung 9: Funktionsweise eines hybriden Verschlüsselungsverfahren

Abbildung 10: Funktionsweise eines Proxies innerhalb eines Application-Gateways

Abbildung 11: Einordnung der zu sichernden Basiskomplexe

Abbildung 12: Anbindung eines Unternehmensnetzwerkes an das Internet mit DMZ

Abbildung 13: Einordnung von SSL und Darstellung eines SSL-Datagrams

Abbildung 14: Ablauf der Client/Server-Kommunikation in SSL

Abbildung 15: Aufbau der IPSec-Datagramme im Tunnel- und Transportmodus

Abbildung 16: Provider-Enterprise- und Ende-zu-Ende-Modell

Tabellenverzeichnis

Tabelle 1: Struktur eines X.509v3-Zertifikats

Tabelle 2: Beispiel für Filterregeltabelle eines Paketfilters

1 Motivation und Aufbau der Arbeit

Obwohl seit mehreren Jahren das Internet als Ort der Geschäftsabwicklung in vielen unterschiedlichen Formen für Unternehmen und Privatpersonen einen wichtigen Anteil an zahlreichen Prozessen gefunden hat, ist die Anwendung dieser neuen Technologien im Umfeld von Beratungsdienstleistungen noch stark unterentwickelt. Dieser Umstand ist umso erstaunlicher, als das Unternehmensberatungen bei der Umsetzung neuer Geschäftsmodelle oder der Portierung bekannter Vorgehensweisen auf die neuen Technologien eine Vorreiterrolle eingenommen haben. Gerade im aktuellen wirtschaftlichen Umfeld, in dem sich die Beratungsbranche befindet, würde eine vermehrte Anwendung elektronischer Beratungsdienstleistungen den Markt verändern und Unternehmen die diese Herausforderung zeitig meistern können so einen erheblichen Wettbewerbsvorteil verschaffen.^[1]

Im Zusammenhang mit IT-basierten Unternehmensberatungslösungen ist Sicherheit ein wesentlicher und erfolgskritischer Faktor. Diese Tatsache ergibt sich vor allem aus dem Umstand, dass Angriffe auf IT-Systeme in den letzten Jahren kontinuierlich und expotentiell zugenommen haben. Da hier in den nächsten Jahren ein vermehrter Beratungsbedarf identifiziert werden kann,^[2] gibt ein sicheres, über das Internet funktionierendes Beratungskonzept den Beratungsunternehmen ein zugkräftiges Innovationsinstrument an die Hand.

Den Rahmen dieser Arbeit bildet ein IT-basiertes Beratungskonzept und bereits vorhandene Sicherheitstechnologien für Netzwerke und das Internet. Der Schwerpunkt der Untersuchung liegt auf der Implementierung von Sicherheitstechnologien, die Transaktionen, Kommunikation und Geschäftsprozesse innerhalb eines IT-basierten Beratungskonzeptes hinsichtlich bestimmter Sicherheitsaspekte zuverlässig ermöglichen.

Bevor die zentralen Inhalte der Arbeit thematisiert werden, wird im Folgenden zunächst der strukturelle Aufbau des Vorgehens aufgezeigt. Damit soll die Grundlage für ein umfassendes Verständnis der Inhalte aufgezeigt werden. Abbildung 1 veranschaulicht die Ausführungen.

In Kapitel 2 werden nach der allgemeinen Begriffsbestimmung der Unternehmensberatung verschiedene Formen der IT-basierten Beratung vorgestellt. Im weiteren Verlauf wird die IT-basierte Unternehmensberatung am Beispiel eines E-Consulting-Konzeptes konkretisiert und der Ablauf des Beratungsprozesses dargestellt. Abschließend werden in der Beratung verwendete Informationstechnologien vorgestellt und an Hand zweier Praxisbeispiele näher erläutert.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Aufbau der Arbeit

Das dritte Kapitel gibt einen Überblick über vorhandene Netzwerk- und Internetsicherheitstechnologien. Dabei werden zunächst der Sicherheitsbegriff und die Sicherheitsaspekte erläutert, gefolgt von einer Darstellung der Netzwerkgrundlagen. Daran anschließend folgt eine Einführung in die Kryptographie, unter Berücksichtigung der dafür notwendigen Infrastruktur. Weiterhin werden Firewalltechnologien und Systeme zur Netzwerkeinbruchserkennung und Schutzmaßnahmen gegen Schadsoftware betrachtet.

Kapitel 4 fügt die Bereiche IT-basierte Unternehmensberatung und Netzwerk- und Internetsicherheitstechnologien zusammen. Dazu werden zunächst zu sichernde informationstechnologische Basiskomplexe der IT-basierten Beratung herausgearbeitet, an Hand derer im weiteren Verlauf eine genauere Einordnung der in Kapitel 3 vorgestellten Sicherheitstechnologien vorgenommen wird. Dabei wird zunächst auf allgemeine Maßnahmen zum Schutz von Netzwerkinfrastrukturen eingegangen, bevor eine konkrete Auflösung hinsichtlich der identifizierten Basiskomplexe aufgezeigt wird.

Das fünften Kapitel schließt die Arbeit ab. In einem Fazit werden wichtige Ergebnisse der Ausführungen dargelegt und mögliche Weiterentwicklungen erläutert.

2 IT-basierte Unternehmensberatung

2.1 Grundlagen der Unternehmensberatung

Der Begriff der Unternehmensberatung, synonym werden auch die Begriffe, Wirtschaftsberatung oder (Management) Consulting verwendet,^[3] ist in der Literatur nicht einheitlich definiert.^[4] Eine dem Begriffsverständnis dieser Arbeit dienliche Definition bietet Najda in Anlehnung an Hoffmann.^[5] Dementsprechend ist Unternehmensberatung „eine von einem oder mehreren unabhängigen, professionellen Berater(n) individuell für die Klientenorganisation marktmäßig erbrachte Dienstleistung, welche darauf ausgerichtet ist, in einem interaktiven, kommunikativen, sozialen Prozess gemeinsam mit dem Klienten eine ihn betreffende Problemstellung zu identifizieren und ein Lösungskonzept zu erarbeiten sowie auf Wunsch auch dessen Implementierung zu unterstützen“.^[6] Im Zusammenhang mit dieser Definition ist der Unternehmensberater als „Helfer zur Selbsthilfe“^[7] zu sehen, der dem Klienten weder Entscheidungskompetenz, noch Verantwortung abnimmt.^[8] Zur allgemeinen normativen Charakterisierung bietet sich die Aufspaltung des Begriffs Unternehmensberatung in einen institutionellen und einen funktionalen Bereich an.^[9]

Der institutionelle Bereich umfasst sowohl die Klienten, als auch die Anbieter von Unternehmensberatungsdienstleistungen. Die Klientenseite umfasst dabei nicht nur Unternehmen, sondern auch privatwirtschaftliche und öffentliche Institutionen.^[10] Hinsichtlich der Anbieter von Unternehmensberatungsdienstleistungen sind zum einen die räumliche, organisatorische und finanzielle Unabhängigkeit, zum anderen die Freiheit von Weisung durch den Klienten und die eigene rechtliche Selbstständigkeit als wesentliche Merkmale zu identifizieren.

Der funktionale Bereich lässt sich in die faktische Leistungserstellung und den Leistungserstellungsprozess untergliedern. Merkmal der faktischen Leistungserstellung sind das regelmäßige oder fallweise^[11] „Zurverfügungstellen von Know-How, als Informationsvermittlung sowie als Transfer von Erfahrung, Wissen und Verfahrenstechniken“,^[12] die individuelle Leistungserstellung und ein ganzheitlicher Problemlösungsansatz, ausgehend von Einzelsymptomen, mit Blick auf die Gesamtsituation des Klienten.^[13] Dabei widerspricht die individuelle Leistungserstellung nicht der Anwendung standardisierter Beratungsmethoden.^[14] Als Merkmale des Leistungserstellungsprozesses, lassen sich die soziale Intervention, materielle oder immaterielle Wirkungen im Rahmen eines interaktiven Prozesses und die synchrone und interaktive Kommunikation zwischen Berater und Klient identifizieren.^[15]

Der Beratungsprozess selbst ist im Rahmen eines Phasenmodells in verschiedenen Phasen unterteilbar, innerhalb derer unterschiedliche Methoden zur Anwendung kommen.^[16] Die Einteilung der Phasen erfolgt unter chronologischen und sachlogischen Aspekten.^[17] Im Anschluss an jede Phase sind von dem Klienten und/oder dem Berater Entscheidungen zu treffen, die den weiteren Beratungsprozess vorantreiben und ihm gegebenenfalls eine neue Richtung geben.^[18] Zu Beginn erfolgt die Kontaktaufnahme mit dem potentiellen Kunden. Dabei ist der Kunde zunächst zu identifizieren und daraufhin mittels geeigneter Maßnahmen ein Kontakt zu initiieren.^[19] Gegebenenfalls ergibt sich ein Kundenkontakt auch durch Vermittlung oder selbstständiges Aktivwerden des Klienten.^[20] Die Akquisitionsphase beginnt mit dem Zeitpunkt der aktiven Projektdiskussion. Innerhalb dieser Phase versucht der Unternehmensberater, unter Rückgriff auf eine vorhergehende intensive Informationssammlung, das Klientenproblem zu skizzieren, es weiterhin zu definieren und einen ersten Überblick über Problemlösungsmöglichkeiten, sowie weiterer Ziele und Vorgehensweisen zu geben. Im Idealfall mündet die Akquisitionsphase in die Angebotsphase, in der der Unternehmensberater auf Grund der Klientenaufforderung ein Angebot abgibt. Innerhalb des Angebotes wird der Beratungsprojektablauf strukturiert, terminiert, kalkuliert und organisiert. Es ist Grundlage des entstehenden Vertrages und führt unmittelbar zur Vertragsgestaltung. Die darauffolgende Durchführungsphase gliedert sich in weitere Unterphasen. Die erste Unterphase stellt die Ist-Analyse dar, in der die Probleme identifiziert werden. Auf Basis dieser Problemanalyse werden Ziele formuliert, die mittels eines Sollkonzeptes, welches konkrete Problemlösungen enthält, erreicht werden sollen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Phasenschema des Beratungsprozesses in Anlehnung an: Niedereichholz, C. (2001), S. 78.

Daran anschließend wird eine Realisierungsplanung vollzogen, innerhalb derer die Maßnahmenpakete des Sollkonzeptes formuliert und auf ihre Machbarkeit hin geprüft werden. Auf die Realisierungsplanung folgt als letzte Unterphase die konkrete Umsetzung der geplanten Maßnahmen innerhalb eines vorgegebenen Zeitplans.^[21] Die finale Phase des Beratungsprozesses, auch Nachbearbeitungsphase genannt, umfasst die Abschlusspräsentation, die Erfolgskontrolle, sowie die Evaluierung des gesamten Prozesses.^[22] Einen Überblick über die einzelnen Phasen des Beratungsprozesses gibt Abbildung 2.

2.2 IT-basierte Beratungsformen

Innerhalb der informations- und kommunikationstechnologie-basierten Beratungsformen lassen sich grundsätzlich zwei Ansätze, das Tele-Consulting und das E-Consulting^[23], unterscheiden. „Tele-Consulting bezeichnet den Einsatz von Telekooperation in der Unternehmensberatung“,^[24] wobei Telekooperation als „die mediengestützte arbeitsteilige Leistungserstellung von individuellen [...] Organisationen, die über mehrere Standorte verteilt sind“ definiert ist.^[25] Innerhalb der Telekooperation werden weiterhin drei Dimensionen definiert: Telearbeit, Telemanagement und Teleservices. In der letztgenannten Dimension stellt u. a. das Tele-Consulting eine mediengestützte dislozierte Dienstleistung dar.^[26] Tele-Consulting lässt sich weiterführend in vier Umsetzungsformen unterteilen. Remote Consulting bezeichnet die standortunabhängige Zusammenarbeit zwischen Berater und Kunde. Dabei wird die leistungsprozessorientierte Kommunikation, Kooperation und Koordination unter Nutzung von Informations- und Kommunikationstechnologie (IKT) durchgeführt. Consulting on demand beschreibt den Prozess der Einholung beraterischer Unterstützung von räumlich entfernten Experten^[27] oder aus Datenbanken.^[28] Als dritte Umsetzungsform umfasst Tele-Learning, die Schulung von Mitarbeitern des Kunden mittels IKT während und nach Projekten. Abschließend ist noch die Fernwartung und –administration zu nennen,^[29] die zumeist im Kontext der Implementierung oder dem Upgrade betriebswirtschaftlicher Standardsoftware (z. B. SAP R/3) ihre Anwendung findet.^[30]

Während innerhalb des Tele-Consulting IKT als der, die Beratungsleistung im Rahmen von Kommunikation, Kooperation und Koordination unterstützende Faktor gesehen wird,^[31] versteht man unter E-Consulting die Durchführung aller Phasen des Beratungsprozesses über offene Netzwerke, wie z. B. dem Internet.^[32] In diesem Zusammenhang kann E-Consulting als eine Weiterentwicklung des Lean Consulting angesehen werden, welches eine Verschlankung und Straffung des Beratungsprozesses zum Ziel hat.^[33] Auch Kosteneinsparungspotentiale spielen innerhalb dieses Ansatzes eine wichtige Rolle zur Gewinnung kleiner und mittelständischer Unternehmen als Neukunden der Unternehmensberatungsbranche.^[34] Im Rahmen sich wandelnder Kundenbedürfnisse, zunehmender Wettbewerbsintensität, einem verstärkten Trend zur Marktsegmentierung und Standardisierungstendenzen auf dem Unternehmensberatungsmarkt stellen sowohl Tele-Consulting, als auch E-Consulting somit Instrumente der Differenzierung gegenüber Wettbewerbern dar.^[35]

2.3 Grundsätzliche Merkmale eines E-Consulting-Konzeptes

Auf Basis der in Kapitel 2.2 gegeben E-Consulting-Definition, ist der Einsatz moderner IKT unabdingbar. Dabei ermöglicht IKT die zeitliche und räumliche Entkopplung des Beratungsprozesses und kann so zu einer vermehrt kooperativ erstellten Beratungsleistung durch den Berater und den Kunden führen.^[36] Da innerhalb des Beratungsprozesses größtenteils komplexe Methoden zur Anwendung kommen, ist zum einen die IKT-Infrastruktur von erfolgskritischer Bedeutung, auch wenn die technologischen Grundvoraussetzungen als vorhanden angenommen werden können.^[37] Zum anderen stellt eine E-Consulting-Lösung hohe Kapital- und Qualifikationsanforderungen an den Anbieter.^[38] Grundlage dieser speziellen Form der Unternehmensberatung ist die Kombination verschiedener Basistechnologien, so z. B. Videokonferenzsysteme, Application Sharing, Joint-Viewing und Joint-Editing,^[39] und die zunehmende Standardisierung von Vorgehensweisen und der teilweisen Substitution menschlicher Arbeitsleistung im Beratungsprozess.^[40] Das E-Consulting-Konzept orientiert sich dabei weiterhin am Phasenmodell des Beratungsprozesses.^[41] Dabei ergeben sich sowohl für Klienten, als auch für den Berater Vor- und Nachteile.

Aus Sicht des Klienten bietet sich im Rahmen eines E-Consulting-Konzeptes eine objektivere Entscheidungsfindung während der Angebotsphase, da das Produktportfolio oder Referenzkunden des Beratungsunternehmens im Vordergrund stehen und nicht die Person des Beraters selbst. Dies ermöglicht eine transparentere Auseinandersetzung mit dem Beratungsunternehmen und eine Konzentration auf Fakten. Weiterhin wird potentiell entstehende Unruhe und Verunsicherung der Mitarbeiter durch die Anwesenheit eines Beraters vermieden^[42] und die Störung innerbetrieblicher Abläufe minimiert.^[43] Einen weiteren Vorteil für den Klienten stellt in diesem Zusammenhang die intensive Einbindung der Mitarbeiter während der Ist-Analyse und der Umsetzung des Problemlösungskonzeptes dar.^[44] Dadurch kann eine breitere Akzeptanz innerhalb der Belegschaft erreicht werden. Außerdem ist eine Analyse der Ist-Situation innerhalb des Kollegenkreises einfacher und möglicherweise effektiver, als bei der Anwesenheit eines externen Beraters. Darüber hinaus wird die Durchsetzung des Problemlösungskonzeptes durch das unternehmenseigene Management widerstandsärmer sein, als eine von externen Beratern eingeleitete Top-Down-Durchsetzung.

Das Fehlen eines Beraters kann sich allerdings während der Ist-Analyse als nachteilig erweisen. So muss ein interner Projektleiter bei Bedarf rechtzeitig einen Berater hinzuziehen, um eine unzureichende Analyse zu vermeiden.^[45] Allerdings bietet moderne IKT hier auch die Möglichkeit, den Berater schnell und problemlos bei etwaig auftretenden Schwierigkeiten in den jeweiligen Prozess einzubeziehen.^[46] Weiterhin darf sich im Rahmen der Flexibilisierung des Beratungsprozesses keine Zeitverzögerung einstellen. Dem kann nur mit einer akribischen Einhaltung von Zeitplänen entgegengetreten werden. In diesem Zusammenhang ist die Auswahl der, in den Analyse- und Umsetzungsprozess integrierten Mitarbeiter des Klienten noch höhere Beachtung beizumessen, als im klassischen Unternehmensberatungsprozess.^[47]

Auf der Seite des Beraters ergeben sich vor allem Kostenvorteile. Dies ist zum eine durch die Delegation bestimmter Beratungstätigkeiten, wie der Ist-Analyse, oder der Umsetzung eines Problemlösungskonzeptes an den Kunden bedingt,^[48] zum anderen durch eine optimierte Einsatzplanung, einhergehend mit einer besseren Auslastung der Berater.^[49] Als direkte Kostenvorteile lassen sich exemplarisch Einsparungen bei Dienstreisen anführen.^[50] In Verbindung mit moderner IKT und standardisierten Methoden, können Beratungsunternehmen leichter und schneller auf bereits bestehende Produkte und Problemlösungen aus vorhergehenden Projekten zurückgreifen und müssen diese nur noch an die aktuellen Klientenbedürfnisse anpassen.^[51] Allerdings darf in diesem Zusammenhang die individuelle Erstellung einer Problemlösung nicht vernachlässigt werden. Weiterhin besteht die Möglichkeit, mit elektronischen Beratungslösungen neue Marktsegmente zu erschließen und möglicherweise bestehende Hemmschwellen auf der Klientenseite abzubauen. Neben den genannten Chancen bietet sich dem Beratungsunternehmen eine Möglichkeit, früher Branchentrends zu erkennen und diese in neue Dienstleistungen umzuwandeln.^[52]

2.4 Phasenmodell eines E-Consulting-Konzeptes

2.4.1 Kontakt- und Akquisitionsphase

Der Kontakt zum Kunden ist über den gesamten Beratungsprozess als kritischer Erfolgsfaktor der Unternehmensberatung anzusehen. Da im Rahmen eines E-Consulting-Konzeptes alle Prozesse über offene Netzwerke erfolgen, ist die persönliche Präsentation des Beratungsunternehmens durch den Internetauftritt des Unternehmens zu ersetzen. Dies schließt den Einsatz konventioneller Instrumente zur Kontaktaufnahme allerdings in keiner Weise aus. Als Ziele einer E-Consulting-Lösung im Rahmen der Kontakt- und Akquisitionsphase, können Akquise und langfristige Bindung neuer Kundengruppen, sowie Entlastung der Berater von standardisierungsfähigen Aufgaben genannt werden.^[53] Insbesondere die Präsentationserstellung kann in diesem Zusammenhang als standardisierungsfähig identifiziert werden.^[54] Allerdings sind die Kontakt- und die Akquisitionsphase innerhalb einer E-Consulting-Lösung nicht im gleichen Maße trennbar, wie etwa im klassischen Phasenmodell, sondern untrennbar miteinander verknüpft.^[55] Als Grundvoraussetzungen für eine erfolgreiche erste Phase des Beratungsprozesses sind die folgende Faktoren zu nennen: Eine dem Unternehmen eindeutig zuordenbare und korrespondierende Internetadresse sowie weitere Maßnahmen zur Erleichterung des schnellen Findens der Webpräsenz, eine funktional einwandfreie Internetpräsenz mit sinnvollen Verknüpfungen, einer dem Consultingunternehmen angepasster individuellen Stil zur Abgrenzung gegenüber Anbietern ähnlicher Dienstleistung, effektiven Suchfunktionalitäten und der Möglichkeit der Community-Bildung. Gerade der letztgenannte Punkt bietet dem Beratungsunternehmen die Möglichkeit, kunden- oder branchenspezifische Ansprachen durchzuführen, bzw. dem einzelnen Klienten individuelle Problemlösungen zu unterbreiten. Weiterhin sollten die angebotenen Daten und Informationen in klarer und übersichtlicher Form dargestellt sein und in einem, dem Kunden bei der Entscheidungsfindung hilfreichen Detaillierungsgrad, abrufbar sein. Diese Vorraussetzungen erleichtern einem Klienten die Kontaktaufnahme, unabhängig davon, ob er Ursache oder Bereich des potentiellen Beratungsbedarfs, bereits identifiziert hat, oder ob er sich nur allgemein eines Problems innerhalb seiner Unternehmung bewusst ist. Die Berücksichtigung aller möglichen Betrachtungstechnologien, die auf Klientenseite zur Anwendung kommen können und damit die Kompatibilität zu neuen, aber auch alten IT-Komponenten, ist von grundsätzlicher Bedeutung, um eine angestrebte Position als Innovationsunternehmen nicht zu gefährden.^[56]

2.4.2 Angebotsphase und Vertragsgestaltung

Hat ein potentieller Klient im Rahmen der Kontakt- und Akquisitionsphase einen positiven Eindruck bezüglich des Service Portfolios des E-Consulting-Anbieters erlangt, bedarf es einer Angebotspräsentation, die den Klienten hinsichtlich der Inanspruchnahme der Beratungsleistung positiv beeinflusst. Im Allgemeinen sind hierbei zwei Szenarien, in denen sich der potentielle Kunde befinden kann, zu unterscheiden.

Im ersten Fall war der Klient bereits in der Lage, sein Problem zu identifizieren und dieses einem bestimmten Unternehmensbereich zuzuordnen. Innerhalb dieses Szenarios muss es das Ziel eines E-Consulting-Konzeptes sein, den Klienten unter Zuhilfenahme des Leistungskatalogs der Unternehmensberatung zu einem spezifischen Lösungsansatz zu führen. In diesem Zusammenhang ist es notwendig, dass der Kunde möglichst schnell und unkompliziert Beratungsleistungen angeboten bekommen, die mit dem identifizierten Problemfeld korrespondieren. Dies wird durch eine Darstellung des Leistungskatalogs in Form von Beratungsmodulen ermöglicht. Die Leistungen sollten dabei unter Verwendung allgemein bekannter und verbreiteter Darstellungsformen präsentiert werden. Weiterhin sollte es möglich sein, die angebotenen Beratungsleistungen mittels einer stichwortbasierten Suche abzurufen. Das angebotene Themenspektrum bezieht sich dabei unmittelbar auf das Know-How des Beratungsunternehmens und auf die Umsetzungsmöglichkeiten. Die Auswahl einer Beratungsleistung kann durch einen Kurzfragebogen überprüft werden. Die Evaluation desselben beugt einer falschen Auswahl der Module durch den Kunden vor.^[57]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Angebotserstellungsphase (Szenario 2) im E-Consulting-Konzept

Im zweiten Szenario konnte der Kunden das Problem identifizieren, die Einordnung in den Unternehmenskontext war ihm jedoch nicht möglich. Daraus ergibt sich, das neben der kataloggeführten Auswahl von Beratungsleistungen zusätzlich ein Angebot bestehen muss, das den Klienten zur Identifikation der Problembereiche lenkt. Innerhalb dieses Szenarios eruiert der Kunde mittels eines Fragennetzwerkes die Problemquellen und identifiziert in einer weiteren detaillierten Befragung die eigentlichen Ursachen. Aus der Zusammenführung des Fragennetzwerkes und der weiterführenden Befragung leiten sich die Module aus dem Service Portfolio des Beratungsunternehmens ab, mit dem das Problem gelöst werden kann. Simultan zur Auswahl der Beratungsmodule wird zudem ein erster Projektplan erstellt. Der Projektplan, erweitert um Instrumente der Projektsteuerung und -kontrolle, ermöglicht dem Kunden, einen Überblick über den Zeitablauf des Beratungsprojektes zu erlangen und gegebenenfalls eine Planung eigener Ressourcen schon im Vorfeld vornehmen zu können.^[58] Abbildung 3 stellt die Angebotserstellungsphase im zweiten Szenario dar.

Nach Abschluss der standardisierten Angebotserstellungsphase,^[59] wird dem Kunden ein detailliertes elektronisches Angebot inklusive des Projektplans übermittelt. Besteht hinsichtlich der Leistungserbringung weiterer Verhandlungsbedarf, so kann das Angebot im Rahmen des Leistungskataloges und den Kundenwünschen entsprechend verhandelt, nachbearbeitet und angepasst werden. Daran anschließend erfolgt die Vertragserstellung und der Vertragsabschluss via Internet.^[60]

2.4.3 Auftragsdurchführung und Qualitätssicherung

Ein wesentliches Merkmal einer E-Consulting-Lösung ist die Ausführung der Ist-Analyse, eine der klassischen Tätigkeiten eines Unternehmensberaters innerhalb des Phasenablaufs des Beratungsprozesses durch den Klienten. Der Berater fungiert innerhalb dieser Unterphase^[61] lediglich als Konzipient, sowie Moderator des Ablaufs der einzelnen Analyseprozesse. Er greift gegebenenfalls bei sich abzeichnenden Fehlentwicklungen innerhalb der Problemanalyse in den Prozess ein. Zeitnah, zur vom Kunden vorgenommenen Ist-Analyse, wertet er zudem die aufgelaufenen Ergebnisse aus und passt die einzelnen Fragenkataloge im Sinne einer effektiven Informationsbeschaffung und im Hinblick auf die umfassende Identifikation der Problemfelder an die gegebenen Sachlagen an.

Die Vorgehensweise gliedert sich dabei in fünf Analysephasen. Zunächst erhebt der Berater mittels eines Fragebogens die Grunddaten wie Name und Größe des Unternehmens, Branchenzugehörigkeit und Bilanzdaten, sofern diese noch nicht aus der Angebotsphase vorhanden sind. Mittels dieser Informationen lässt sich im Anschluss ein Grundentwurf des branchenoptimierten Fragennetzwerkes aufbauen, anhand dessen die eigentliche Ist-Analyse durchgeführt wird. Darauf folgend findet eine Einführungspräsentation statt, in der dem Kunden die allgemeine Vorgehensweise und erste Ziele erläutert werden. Innerhalb der zweiten Phase wird die grundsätzliche Ausrichtung und die Positionierung des Unternehmens innerhalb seiner Umwelt mittels des branchenspezifischen Fragebogens und einer Marktanalyse evaluiert. Die Ergebnisse werden daraufhin mit der Selbsteinschätzung des Klienten abgeglichen und in den weiteren Analyseprozess integriert. In der dritten Phase folgt eine Analyse der einzelnen Funktionsbereiche und Prozesse, unter Bildung von Expertenteams auf Seiten des Kunden und des beratenden Unternehmens. Im nächsten Schritt erhält man aus der Zusammenführung der Ergebnisse der vorgelagerten Phasen die Identifikation der Problemkreise innerhalb des Klientenunternehmens. Die fünfte Phase umfasst die Detailanalyse der identifizierten Problemkreise, unter Zuhilfenahme des kontinuierlich angepassten Fragennetzwerkes und der Bildung verkleinerter Spezialistenteams. Der gesamte Analyse-, Beratungs- und Kommunikationsprozess wird während aller Phase mittels Videokonferenzen, E-Mail und interaktiver Fragebögen durchgeführt.^[62] Insbesondere bei der Informationsbeschaffung und der Analyse kann IKT manuelle Tätigkeiten substituieren.^[63]

Sind alle Problemkreise innerhalb der Ist-Analyse identifiziert worden, erfolgt die Entwicklung des Lösungskonzeptes. Dabei werden die gesammelten Informationen elektronisch ausgewertet und passende standardisierte Lösungsalternativen ausgewählt. Die Lösungsalternativen setzen sich aus bereits vorgenommenen Vorgehensweisen, gespeichertem Wissen,^[64] Experten- und Klientenvorschlägen während der Analysephase, sowie Methoden und Prozessen des Beratungsunternehmens zusammen und bilden einen Lösungsraum. Trotz vereinheitlichter Lösungen bedarf jedes Lösungskonzept der individuellen Anpassung an Kundenwünsche und projektspezifische Umstände.^[65] Stimmt der Kunde den Lösungsvorschlägen zu, wird im nächsten Schritt die Realisierung eingeleitet. Innerhalb dieser Phase stellt das Beratungsunternehmen dem Klienten die entsprechenden Methoden und Prozesse zur Umsetzung zur Verfügung, welche von den Mitarbeitern des Kunden angewandt werden, während dem Berater hauptsächlich Beobachtungs- und Überwachungsaufgaben zukommen. Zusätzlich moderiert ein durch das Projekt führender elektronischer Leitfaden alle Realisierungsschritte. Mittels eines Online-Benchmarking verfolgt der Berater den Projektverlauf und greift gegebenenfalls bei Fehlentwicklungen ein. Weiterhin ist es ihm so möglich, den gesamten Prozess zu kontrollieren und jeweilige Optimierungsschritte anzustoßen. Am Ende der Umsetzung erfolgt die Erstellung der Projektdokumentation und eine Abschlusspräsentation. Nach Abschluss des Projektes sind im Hinblick auf die Kundenbindung zweckmäßige Maßnahmen zur Klientenpflege einzusetzen.^[66]

2.5 IT-basierte Unternehmensberatung in der Praxis

2.5.1 IT im Beratungseinsatz

Innerhalb der IT-basierten Unternehmensberatung lassen sich vier Informationstechnologieoberklassen bilden, nämlich Informationsbeschaffungstechnologien, Informationsverarbeitungstechnologien, Technologien zur Unterstützung der Zusammenarbeit und Technologien zur Organisations- und Koordinationsunterstützung. Diesen Oberklassen sind wiederum verschiedene Technologiebündel untergeordnet, welche die einzelnen Funktionen abbilden.^[67] Abbildung 4 gibt einen Überblick über die funktionale Klassifikation von IT in der Unternehmensberatung.

Im Rahmen der Informationsbeschaffung können drei Teilfunktionen identifiziert werden. Die Funktion von Technologien zur Informationssuche besteht in der Identifizierung relevanter Informationsquellen. Hierbei stellt vermehrt die Suche im Internet eine wichtige Basis der Informationsbeschaffung dar.^[68] Weiterhin ist die Nutzung von externen und internen Datenbanken, teilweise mit Wissensmanagementsystemen gekoppelt, als wesentlicher Helfer zur Informationsidentifikation zu nennen.^[69] Da Informationen im Rahmen von Unternehmensberatungsprojekten zumeist nur bestimmten Personengruppen zugänglich sein dürfen, ergeben sich als zweite Teilfunktion der Informationsbeschaffung die Technologien der Authentifizierung. Die Authentifizierung von Benutzergruppen ist, gerade bei externem Zugriff auf unternehmensinterne Informationen, schon vor der Informationssuche notwendig. Wurde ein Benutzer gegebenenfalls authentifiziert, und konnte er seine Informationssuche erfolgreich durchführen, schließt sich daran unmittelbar die Informationsabfrage an. Je nach Vertraulichkeitsgrad stehen hier Technologien zur einschränkenden Bereitstellung zur Verfügung.^[70]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Funktionale Klassifikation von IT in der Unternehmensberatung in Anlehnung an: Najda, L. (2001), S. 307.

Innerhalb der Informationsverarbeitungstechnologien können wiederum drei Teilfunktionen, die Office-Verarbeitung, die beziehungserkennende und die beziehungsgestaltende Verarbeitung identifiziert werden. Die Office-Verarbeitung umfasst die grundsätzlichen Technologien der Informationsaufbereitung und -dokumentation. Beispielhaft sind hier Textverarbeitung, Tabellenkalkulation oder Programme zur Visualisierung von Geschäftsprozessen zu nennen. Unter beziehungserkennender Verarbeitung werden Technologien verstanden, die Informationen hinsichtlich relevanter Zusammenhänge untersuchen und diese statistisch auswerten oder graphisch darstellen. Beziehungsgestaltende Verarbeitung umfasst Technologien, die Hilfestellung zur Neuentwicklung von Informationszusammenhängen bereitstellen. Als Beispiele für Technologien der beziehungserkennenden und beziehungsgestaltenden Verarbeitung, sind Expertensysteme und Simulationssoftware zu nennen.^[71]

Technologien zur Unterstützung der Zusammenarbeit sind die Nachrichtenübermittlung, die Präsentationsunterstützung, die Meetingunterstützung und das gemeinsame Verwenden von Informationen, synonym auch Information Sharing genannt. Innerhalb dieser Technologiebündel können unterschiedliche Anwendungen, wie Video- und Audiokonferenzen, Application-Sharing, Joint-Viewing, Joint-Editing, E-Mail, sowie spezielle Softwarelösungen simultan kombiniert oder einzelnen eingesetzt werden.^[72] Als wesentliche Grundlage dieser Oberklasse sind hier allerdings plattformübergreifende Standards wie z. B. XML zu nennen, die o. g. Technologien teilweise erst ermöglichen.

Das Technologiebündel der Organisations- und Koordinationsunterstützung basiert auf Software, die der Organisation, Planung, Steuerung und Kontrolle von Projekten dient. Diese deckt beispielsweise die Einsatzplanung von Mitarbeitern, die Terminabstimmung oder die Arbeitsablaufkoordination ab.^[73]

2.5.2 Ernst & Young Online

Das von Ernst & Young 1996 ins Leben gerufene Online-Consulting-Projekt ERNIE, inzwischen in Ernst & Young Online^[74] umbenannt, hat zum Ziel, kleinen und mittleren Unternehmen eine kostengünstige Inanspruchnahme von Beratungsdienstleistungen zu ermöglichen. Diese Vorgehensweise seitens Ernst & Young ergab sich aus dem Umstand, dass diese Unternehmungen die Kosten einer Beratung im klassischen Stil scheuten, ein problem- oder projektspezifischer Beratungsbedarf aber immer häufiger identifizierbar war.

Meldet sich ein Teilnehmer in diesem System über die Internetseite an, so bieten sich ihm grundsätzlich zwei Möglichkeiten. Entweder er durchsucht eine Datenbank mit sogenannten Previously Asked Questions oder er richtet eine Anfrage direkt, unter Angabe des jeweiligen Bereiches,^[75] der Beschreibung des Problems und der Angabe von Zusatzinformationen seines Unternehmens, an Ernst & Young Online. Innerhalb des Systems werden die Anfragen von sogenannten Focal Knowledge Providern (FKP) abgefangen. Diese FKPs sichten die Anfragen und leiten sie über das firmeneigene Intranet an den am besten qualifizierten Bereichsmitarbeiter weiter. Den FKPs kommt weiterhin die Aufgabe zu, bei neu oder vermehrt auftretenden Themenbereichen und Anfragen, neue Berater innerhalb Ernst & Young einzubeziehen, bzw. die Anfragen auf mehrere Mitarbeiter zu verteilen. Der Mitarbeiter wird bei Rückfragen gegebenenfalls den Anfragenden kontaktieren und übermittelt innerhalb von zwei Arbeitstagen eine Antwort. Anfragen und Antworten werden, nachdem sie kategorisiert wurden, automatisch innerhalb der Datenbank der Previously Asked Questions eingeordnet und stehen so anderen Anfragern zur Verfügung. Für individuellere Hilfe werden weitere Dienste, sogenannte Super-Tools angeboten, die sich auf spezifische Probleme konzentrieren. Diese sind allerdings nicht im allgemeinen Leistungsumfang enthalten.^[76]

Neben dem Eintritt in neue Märkte ermöglicht das Angebot Ernst & Young Online mittels spezifischer Analyseinstrumente eine zeitnahe Erkennung aufkommenden Beratungsbedarfs in den jeweiligen Bereichen und Branchen. Somit kann frühzeitig mit der Aus- und Weiterbildung von Mitarbeitern begonnen und die Entwicklung neuer Dienstleistungsformen innerhalb des Produktes angestoßen werden. Weiterhin besteht bei großen Unternehmen die Möglichkeit, den Beratungsbedarf verschiedener Abteilungen hinsichtlich eines Themas zu kanalisieren und zu bündeln.^[77] Die Kosten des Angebotes bestehen aus zwei Komponenten. Zum einen aus einer jährlich zu erwerbenden Lizenz, welche die Klienten dazu berechtigt, die meisten der angebotenen Dienstleistungen in Anspruch zu nehmen und eine nicht begrenzte Anzahl an Fragen zu übermitteln. Daneben werden für steuerspezifische Anfragen und die Verwendung weiterer Online-Anwendungen zusätzliche Gebühren berechnet.^[78]

2.5.3 et.alia ROCS

Bei et.alias Remote Online Consulting Service ^[79] (ROCS) handelt es sich um ein Online-Consulting-Instrument, dass Beratung im Zusammenhang mit SAP-Softwareprodukten zur Verfügung stellt.^[80] ROCS kann dabei als eine Mischung aus Remote Consulting und Consulting on Demand^[81] gesehen werden, da et.alia mit diesem Produkt nicht nur bereits existierende Kunden ansprechen möchte.^[82] Von Seiten des SAP Business Partners et.alia wurde bei seinen Kunden ein steigender Bedarf an schneller und unkomplizierter Beratung im Bezug auf die Implementierung, den Kauf und Hilfestellungen im Rahmen der Einführung und Weiterentwicklung von SAP-Software erkannt und führte so zur Entstehung von ROCS.

Der Kunde meldet sich nach der Registrierung über das ROCS-Portal im System an und verfasst über ein Formular seine Beratungsanfrage.^[83] Das System gibt dabei obligatorische und optionale Felder vor und leitet die Anfrage nach dem Absenden an einen ausgewählten Berater weiter. Gegebenenfalls ist auch die Angabe eines bevorzugten Beraters möglich. Abhängig von der Dringlichkeit der Anfrage nimmt der Berater innerhalb weniger Stunden oder Tage per Telefon oder E-Mail Kontakt zum Kunden auf, um den Umfang und die benötigte Zeit des Beratungsauftrages abzustimmen. Außerdem werden eventuell weitere Informationen eingeholt. Wird eine Einigung hinsichtlich der Beratung erzielt, werden die entsprechenden Details innerhalb des Benutzerkontos gespeichert. Abhängig vom Umfang umfasst das Projekt zwischen wenigen Tagen und mehreren Wochen, wobei die Beratung ausschließlich über das ROCS-Portal durchgeführt wird. Der Berater stellt dort entsprechende Lösungen und Dokumentationen zur Verfügung, die der Kunde selbständig implementiert. Nach einem erfolgreichen Verlauf schließt der Kunde den Vorgang über die Webseite ab.^[84] Der gesamte Beratungsprozess, sowie der gesamte Kommunikationsablauf wird dabei innerhalb des Benutzerkontos dokumentiert und gespeichert, um den gesamten Vorgang transparent für den Kunden zu belegen.^[85] Die Abrechnung der Dienstleistung erfolgt über Stundensätze.^[86]

3 Netzwerk- und Internetsicherheitstechnologien

3.1 Sicherheitsbegriff und Sicherheitsaspekte

Durch die zunehmende Verbreitung von computer- und netzwerkgestützten Anwendungen haben Fragen der Computer-, Netzwerk- und Internetsicherheit in den letzten Jahren immer größere Bedeutung erlangt.^[87] Dabei ist der Begriff der Sicherheit gerade im Zusammenhang mit Informationssystemen, Informationsverarbeitung und Daten in der Literatur nicht einheitlich definiert. Im Rahmen dieser Arbeit werden die Spezifizierungen Netzwerksicherheit im allgemeinen, sowie die der Internetsicherheit im speziellen und teilweise die Transaktionssicherheit betrachtet, die bei Hoppe/Prieß als Teilmengen der Informationssystemsicherheit definiert werden.^[88] Sicherheit kann im Umfeld von Rechnernetzen, wie z. B. dem Internet, „als Zustand des Sicherseins vor Gefahr oder Schaden bzw. [als] Zustand in dem Schutz vor Gefährdungen besteht“ bezeichnet werden.^[89] Um diesen Zustand herbeizuführen, müssen die sechs Sicherheitsaspekte Vertraulichkeit, Integrität, Authentifizierung, Autorisierung, Verbindlichkeit und Verfügbarkeit erfüllt sein.^[90] Dazu werden im Netzwerkkontext verschiedene Technologien, wie kryptographische Verfahren, Authentifizierungsverfahren und Firewalls eingesetzt.^[91]

Unter Vertraulichkeit versteht man Sicherheit gegen Angriffe der unautorisierten Informationsgewinnung durch Dritte. Integrität ist gewährleistet, wenn Daten vor unberechtigter Veränderung geschützt sind. Die Überprüfung, ob die vorgegebene Identität eines Senders seiner tatsächlichen Identität entspricht nennt man Authentifizierung. Unter Autorisierung versteht man die Zugangs- und Zugriffssteuerung auf Dienste und Informationen, die nur einem bestimmten Nutzerkreis zur Verfügung stehen. Verbindlichkeit oder Unabstreitbarkeit beschreibt den Umstand, dass von einem Subjekt durchgeführte Aktionen im Nachhinein nicht abgestritten werden können. Verfügbarkeit ist gegeben, wenn autorisierte Personen, unabhängig von Ort und Zeit, Zugriff auf alle Funktionen und Daten eines System haben.^[92]

3.2 Netzwerk- und Protokollgrundlagen

3.2.1 Das Open Systems Interconnect-Schichtenmodell

Zur Vereinheitlichung verschiedener Protokolle und Techniken der Vernetzung wurde von der International Standard Organisation das Open Systems Interconnect-Schichtenmodell (OSI-Schichtenmodell) eingeführt.^[93] Dieses Modell besteht aus sieben Schichten, wobei für jede Schicht Protokolle definiert sind, die Regeln für die horizontale Kommunikation zwischen gleichrangigen Schichten bestimmen. Außerdem stellt jede Schicht der darüber liegenden Schicht Dienste zur Verfügung und verwendet selbst Dienste der darunter liegenden Schicht. Im übermittelnden System durchlaufen die Datenpakete dabei vertikal alle sieben Schichten,^[94] wobei jede Schicht eigene Steuerinformationen in Form eines Headers an die übermittelten Datenpakete anhängt. Im empfangenden System läuft dieser Vorgang entgegengesetzt ab.^[95] Das OSI-Schichtenmodell ist jedoch keine Vorgabe für Netzwerkarchitekturen, da es innerhalb der einzelnen Schichten zu unspezifisch bezüglich der Dienste und einzusetzender Protokolle ist. Es gibt lediglich vor, welche Aufgaben den jeweiligen Schichten zufallen.^[96] In Abbildung 5 ist der Aufbau des OSI-Schichtenmodell dargestellt.

Die unterste Schicht, Bitübertragungsschicht oder physikalische Schicht genannt, legt die Parameter der physikalischen Übertragung fest. Dies umfasst die Bestimmung von Übertragungsgeschwindigkeit, -medium und die Bit-Kodierung.^[97] Die Protokolle der Sicherungsschicht regulieren den Datenfluss zwischen Sender und Empfänger und stellen die fehlerfreie Übertragung der Daten durch das Hinzufügen von Prüfsummen sicher. Außerdem bündeln sie die Bitströme der unteren Ebene zu Datenpaketen, oder teilen die Datenpakte der oberen Schicht in Bitströme auf.^[98] Die Vermittlungsschicht ist für die Kommunikation zwischen zwei Endsystemen, die nicht direkt miteinander verbunden sein müssen, verantwortlich und bestimmt auch die Route, welche die Datenpakete auf ihrem Weg durch das Netzwerk nehmen. Das Internet Protocol (IP) ist beispielsweise ein Protokoll der Vermittlungsschicht.^[99] Die Aufgaben der Transportschicht bestehen in der Sicherstellung des zuverlässigen Transports von Daten zwischen zwei Endsystemen, sowie der Qualität der Datenübertragung unabhängig von der Vermittlungsschicht. Diese Schicht ist außerdem die erste Schicht im OSI-Modell, die den Kommunikationsprozess direkt zwischen dem Sender und dem Empfänger abwickelt, während alle darunterliegenden Schichten immer mit ihren direkten Nachbarsystemen kommunizieren.^[100] Als Protokolle können hier u. a. das Transmission Control Protocol (TCP) oder das User Datagram Protocol (UDP) verwendet werden.^[101]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Aufbau des OSI-Schichtenmodells in Anlehnung an: Sikora, A. (2003), S. 32.

Die Sitzungsschicht übernimmt die Synchronisation und Koordination der Datenübertragung von Anwendungsprozessen,^[102] etwa bei einer Verbindungsunterbrechung. Außerdem verwaltet sie, nur einem Kommunikationspartner zur Verfügung stehende Ressourcen.^[103] Auf der Ebene der Präsentationsschicht, synonym auch Darstellungsschicht genannt, finden Funktionen zur Verschlüsselung, Komprimierung oder Konvertierung ihre Anwendung. Die Hauptaufgabe besteht darin, verschiedene Datenformatierungen systemunabhängig darzustellen.^[104] Die Anwendungsschicht umfasst Protokolle, wie Simple Mail Transfer Protocol (SMTP), Hypertext Transfer Protocol (HTTP) oder File Transfer Protocol (FTP), die von Anwendungen höherer Ordnung verwendet werden.^[105]

3.2.2 Das TCP/IP-Referenzmodell

Mit der Verbreitung des Internets und der in ihm eingesetzten TCP/IP-Protokollfamilie, wurde das OSI-Schichtenmodell auf vier Schichten reduziert. Das TCP/IP-Referenzmodell ist aber nicht als mit dem OSI-Schichtenmodell identisch anzusehen.^[106]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Einordnung des TCP/IP-Referenzmodell in das OSI-Schichtenmodell in Anlehnung an: Tanenbaum, A. S. (2003), S. 43 und Sikora, A. (2003), S. 40.

So sieht das TCP/IP-Modell z. B. keine Protokolle für die Sicherungs- und Bitübertragungsschicht vor.^[107] Die ersten beiden Schichten werden in der Netzwerkschicht zusammengefasst, die lediglich Treiber- und Hardwarespezifikationen festlegt. Die Internetschicht stellt die Funktionen der Vermittlungsschicht im OSI-Schichtenmodell zur Verfügung. Die Protokolle dieser Ebene, das IP oder das Internet Control Message Protocol (ICMP), fügen den Datenpaketen u. a. die Internetadressen an und ermöglichen so das Routing der Datagramme. Die Transportschicht entspricht der gleichnamigen Schicht im OSI-Schichtenmodell. Ihre Aufgabe besteht z. B. in der Bereitstellung einer Ende-zu-Ende-Verbindung zwischen zwei Systemen. Im TCP/IP-Referenzmodell werden in dieser Schicht TCP und UDP eingesetzt.^[108] Während die Sitzungsschicht und die Präsentationsschicht im TCP/IP-Modell nicht vorhanden sind,^[109] hat die Anwendungsschicht die Aufgabe des Datenaustauschs zwischen Anwenderprozessen.^[110] Hier werden die anwendungsspezifischen Protokolle wie beispielsweise HTTP, SMTP, FTP oder Dynamic Name System (DNS) realisiert.^[111]

3.3 Kryptographie

3.3.1 Grundlagen der Kryptographie

„Kryptographie ist die Wissenschaft der Verschlüsselung und Entschlüsselung von Daten“.^[112] Man kann Kryptographie allerdings nicht von der Kryptoanalyse trennen, da zu der Entwicklung eines kryptographischen Verfahrens zwangsläufig die kritische Beurteilung mittels kryptoanalytischer Verfahren gehört. Kryptographie und Kryptoanalyse werden unter dem Begriff der Kryptologie zusammengefasst.^[113] Hauptziel der Kryptographie ist die Sicherung der Vertraulichkeit. Mit modernen kryptographischen Verfahren kann jedoch auch die Sicherung der Integrität und der Authentizität gewährleistet werden.^[114]

Zur Ver- und Entschlüsselung von Daten werden kryptographische Algorithmen eingesetzt, deren Sicherheit allein auf den verwendeten Schlüsseln basieren sollte. Generell existieren zwei Arten schlüsselbasierter Algorithmen: symmetrische Verschlüsselungsverfahren und asymmetrische Verschlüsselungsverfahren, auch Public-Key-Verfahren genannt. Symmetrische Verfahren verwenden einen identischen Chiffrier- und Dechiffrierschlüssel, während asymmetrische Verfahren einen öffentlichen und einen privaten Schlüssel verwenden.^[115] Die Kombination eines Algorithmus einschließlich aller möglichen Klartexte, Chiffretexte und Schlüssel, heißt Kryptosystem.^[116]

Krytographische Algorithmen wenden zwei grundsätzliche Verfahren an, Chiffrierung durch Substitution und Chiffrierung durch Transposition, wobei diese zumeist kombiniert eingesetzt werden.^[117] Bei der Transposition wird die Reihenfolge der Zeichen verändert, während bei der Substitution jedes Zeichen durch ein anderes Zeichen ersetzt wird. Ist die Substitution umkehrbar, kann sie zur Verschlüsselung eingesetzt werden, ist sie nicht umkehrbar, kann sie im Zusammenhang mit Hash-Funktionen^[118] verwendet werden.^[119]

Im Zusammenhang mit Netzwerkkommunikation kann es entscheidend sein, auf welcher Schicht des OSI-Schichtenmodells die Verschlüsselung der Daten vorgenommen wird. Theoretisch ist dies auf jeder Schicht möglich. Es wird dabei zwischen Leitungsverschlüsselung und Ende-zu-Ende-Verschlüsselung unterschieden. Leitungsverschlüsselung wird auf den beiden untersten Ebenen des OSI-Modells implementiert und unterbindet somit ein Abhören der Verbindungsinformationen. Sie benötigt allerdings auf jedem System im Netzwerk Verschlüsselungshardware. Ende-zu-Ende-Verschlüsselung hingegen setzt auf höheren Ebenen an. Der Vorteil dieser Art der Verschlüsselung von Kommunikationskanälen ist, dass die Datenpakete nicht bei jedem Routerdurchlauf entschlüsselt und wieder verschlüsselt werden müssen. Als sicherste Form kann nach Schneier eine Kombination beider Methoden angesehen werden.^[120]

3.3.2 Symmetrische Verschlüsselungsverfahren

Symmetrische Verschlüsselungsverfahren stellen zwei Kommunikationspartnern einen sicheren Kommunikationskanal zur Verfügung. Dabei wird vom Sender und Empfänger der gleiche Schlüssel zum ver- und entschlüsseln verwendet. Der angewandte Ver- und Entschlüsselungsalgorithmus ist öffentlich bekannt, so dass jeder, der den Schlüssel kennt, auch den Chiffretext decodieren kann. Die Sicherheit von symmetrischen Verschlüsselungsverfahren beruht somit allein auf der Geheimhaltung des Schlüssels.^[121] Deshalb werden diese Verfahren auch Secret-Key-Verfahren genannt. Innerhalb der symmetrischen Verfahren unterscheidet man Blockchiffren und Stromchiffren. Blockchiffren sind dadurch charakterisiert, dass ihre Algorithmen den Klartext zunächst in Blöcke fester Länge aufteilen und daraufhin jeden einzelnen Block verschlüsseln.^[122] Stromchiffren chiffrieren Klartext dagegen zeichenweise.^[123]

Sender und Empfänger einigen sich auf ein Kryptosystem und vereinbaren einen geheimen Schlüssel, der über einen sicheren Kanal ausgetauscht wird. Der Sender verschlüsselt den Klartext mittels des vereinbarten Algorithmus und das vereinbarten Schlüssels. Als Ergebnis erhält er einen Chiffretext, den er an den Empfänger übermittelt. Der Empfänger dechiffriert den Chiffretext daraufhin seinerseits mit dem vereinbarten Algorithmus und Schlüssel und erhält den Klartext.^[124] Eine sichere Kommunikation mittels eines symmetrischen Verschlüsselungsverfahrens ist in Abbildung 7 dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: Funktionsweise eines symmetrischen Verschlüsselungsverfahren

Um die Sicherheit bei der Anwendung symmetrischer Verschlüsselungsverfahren zu gewährleisten, müssen bestimmte Vorraussetzungen erfüllt sein. So ist der Schlüsselaustausch zwischen den Kommunikationspartnern persönlich oder über einen sicheren Kommunikationskanal abzuwickeln. Des Weiteren müssen Sender und Empfänger Vorkehrung zur Geheimhaltung des Schlüssels treffen.^[125] Außerdem ist es notwendig, dass für jedes neue Kommunikationspartnerpaar ein eigener Schlüssel generiert wird. Gerade die letztgenannte Vorraussetzung veranschaulicht, dass die Verwendung rein symmetrischer Verschlüsselungsverfahren in offenen Systemen wie dem Internet, mit einer sehr hohen Zahl an Nutzern, strukturelle Nachteile hat.^[126] Wichtige Secret-Key-Verfahren sind der Data Encryption Standard (DES), dessen Erweiterung Triple-DES und dessen Nachfolger Advanced Encryption Standard (AES), sowie der International Data Encryption Algorithm (IDEA) und die Verfahren RC2,^[127] RC4, RC5 und RC6.^[128]

3.3.3 Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verfahren verwenden im Gegensatz zu symmetrischen Verfahren zwei unterschiedliche Schlüssel zur Ver- und Entschlüsselung von Daten, den öffentlichen und den privaten Schlüssel. Diese beiden Schlüssel hängen dabei über ein mathematisches Verfahren so voneinander ab, dass der private Schlüssel - trotz Kenntnis des öffentlichen Schlüssels - nicht ableitbar ist.^[129] Grundlage dieses Verfahrens sind Einwegfunktionen mit Falltür.^[130]

Sender und Empfänger einigen sich auf ein Kryptosystem mit öffentlichem Schlüssel. Der Empfänger generiert einen öffentlichen und einen privaten Schlüssel und übermittelt den öffentlichen Schlüssel an den Sender. Der Sender chiffriert die Nachricht mittels des öffentlichen Schlüssels und übermittelt die chiffrierte Nachricht an den Empfänger. Dieser kann die Nachricht nur mit seinem privaten Schlüssel dechiffrieren.^[131]

Asymmetrische Verschlüsselungsverfahren lösen einige Probleme der symmetrischen Verfahren. So ist es bei asymmetrischen Verfahren nicht nötig, für jeden Kommunikationspartner ein eigenes Schlüsselpaar zu generieren.^[132] Ein weiterer Vorteil von Public-Key-Verfahren besteht darin, dass sie auch umgekehrt verwendbar sind. Mit einem privaten Schlüssel verschlüsselte Nachrichten können auch mit dem dazugehörigen öffentlichen Schlüssel dechiffriert werden. Diese Methode wird im Bereich der digitalen Signaturen angewendet.^[133] Die wesentliche Schwäche von Public-Key-Verfahren besteht allerdings in der fehlenden Zuordnung des öffentlichen Schlüssels zu seinem Besitzer. Zur Behebung dieses Problems muss der Austausch der öffentlichen Schlüssel entweder über einen sicheren Übertragungskanal erfolgen, oder Sender und Empfänger bedienen sich Zertifizierungsinstanzen.^[134] Ein weiterer Nachteil besteht darin, dass asymmetrische Verschlüsselungssysteme in der Regel bedeutend längere Verarbeitungszeiten benötigen als symmetrische Verfahren. Aus diesem Grund wird heute vermehrt auf hybride Verschlüsselungsverfahren^[135] zurückgegriffen.^[136] Die sichere Kommunikation mittels eines asymmetrischen Verschlüsselungsverfahren ist in Abbildung 8 dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8: Funktionsweise eines asymmetrisches Verschlüsselungsverfahren

Seit der Entdeckung der asymmetrischen Verschlüsselungsverfahren, begründet durch das Diffie-Hellman-Schlüsselaustauschverfahren,^[137] wurden zahlreiche Public-Key-Algorithmen entwickelt. Allerdings erfüllen nur wenige Verfahren die Anforderung an Sicherheit und Praktikabilität. Beispiele für Public-Key-Verschlüsselungsverfahren sind der Rivest-Schamir-Adleman-Algorithm (RSA) und der ElGamal-Algorithmus, die auch für digitale Signaturen angewendet werden können.^[138]

[...]

^[1] Vgl. Wurdack, A. (2001), S. 1.

^[2] Vgl. BDU (2004), S. 6f.

^[3] Vgl. Meyer, C. W. (1978), S. 2.

^[4] Zur uneinheitlichen Verwendung des Begriffs Unternehmensberatung vgl. Heuermann, R./Herrmann, F. (2003), S. 10f., Kröber, H.-W. (1991), S. 1ff., Schwan, K./Seipel, K. G. (2002), S. 9ff. und Steyrer, J. (1991), S. 2ff.

^[5] Vgl. Najda, L. (2001), S. 9 und Hoffman, W. H. (1991), S. 40.

^[6] Najda, L. (2001), S. 9.

^[7] Niedereichholz, C. (2001), S. 3.

^[8] Vgl. Keill, E. (1980), S. 69 und Niedereichholz, C. (2001), S. 3.

^[9] Vgl. Elfgen, R./Kleile, B. (1987), S. 21.

^[10] Vgl. Hoffman, W. H. (1991), S. 40.

^[11] Vgl. Steyrer, J. (1991), S. 12.

^[12] Elfgen, R./Kleile, B. (1987), S. 26.

^[13] Vgl. Ebenda, S. 28.

^[14] Vgl. Dichtl, M. (1998), S. 207f.

^[15] Vgl. Steyrer, J. (1991), S. 12.

^[16] Weder die Anzahl, noch die Benennung der einzelnen Phasen sind in der Literatur einheitlich. Vgl. dazu Elfgen, R./Kleile, B. (1987), S. 63ff., Heuermann, R./Herrmann, F. (2003), S. 57ff., Hoffmann, W. H. (1991), S. 136, Lippitt, G./Lippitt, R. (1999), S. 17f. und Schade, C. (1996), S. 182ff. Die Arbeit orientiert sich hier wegen der umfassenden Darstellung an dem Phasenablauf nach Niedereichholz, C. (2001), S. 9ff.

^[17] Vgl. Elfgen, R./Kleile, B. (1987), S. 62.

^[18] Vgl. Köppen, R. O. (1999), S. 39.

^[19] Vgl. Niedereichholz, C. (2001), S. 9.

^[20] Vgl. Lippitt, G./Lippitt, R. (1999), S. 19f.

^[21] Vgl. Niedereichholz, C. (2001), S. 10f.

^[22] Vgl. Lippitt, G./Lippitt, R. (1999), S. 42ff., Köppen, R. O. (1999), S. 40 und Niedereichholz, C. (2003), S. 214ff.

^[23] Der Begriff E-Consulting wird vor allem in der angelsächsischen Literatur häufig als Beratung im E-Business-Kontext verwendet. Vgl. dazu Biswas, S./Twitchell, D. (2002), S. 45ff. und Czerniawska, F. (2002), S. 41f. Diese Arbeit orientiert sich an der Definition von Wurdack, A. (2001), S. 17.

^[24] Landwehr, E. u. a. (1997), S. 31.

^[25] Reichenwald, R./Möslein, K. (1996), S. 6.

^[26] Vgl. Ebenda, S. 7

^[27] Vgl. Landwehr, E. u. a. (1997), S. 33.

^[28] Vgl. Krcmar, H. (1995), S. 227.

^[29] Vgl. Landwehr, E. u. a. (1997), S. 33.

^[30] Vgl. o. V. (1996), S. 69f.

^[31] Vgl. Landwehr, E. u. a. (1997), S. 31.

^[32] Vgl. Wurdack, A. (2001), S. 17.

^[33] Vgl. Ebenda, S. 23f. und Niedereichholz, C. (2001), S. 47ff.

^[34] Vgl. Najda, L. (2001), S. 368.

^[35] Vgl. Landwehr, E. u. a. (1997), S. 30f.

^[36] Vgl. Scheer, A.-W./Habermann, F./Köppen, A. (1999), S. 19f.

^[37] Vgl. Wurdack, A. (2001), S. 17.

^[38] Vgl. Picot, A./Reichenwald, R./Wigand, T. (2001), S. 415.

^[39] Vgl. Landwehr, E. u. a. (1997), S. 31f. und Kapitel 2.5.1.

^[40] Vgl. Najda, L. (2001), S. 368.

^[41] Siehe hierzu Kapitel 2.4, basierend auf Kapitel 2.1.

^[42] Vgl. Wurdack, A. (2001), S. 18.

^[43] Vgl. Elfgen, R./Kleile, B. (1987), S. 212.

^[44] Das Einbinden der Mitarbeiter in Beratungsprojekte ermöglicht zum einen eine bessere Informationsgewinnung, zum anderen erhöht es die Bereitschaft zur Kooperation innerhalb der Belegschaft. Vgl. Picot, A./Freudenberg, H./Gassner, W. (1999), S. 49.

^[45] Exemplarisch kann hier der “Scheuklappeneffekt” genannt werden. Vgl. Wurdack, A. (2001), S. 18f.

^[46] Vgl. Krcmar, H. (1995), S. 231.

^[47] Vgl. Hillemans, R. M. (1995), S. 111f.

^[48] Vgl. Wurdack, A. (2001), S. 19.

^[49] Vgl. Dichtl, M. (1998), S. 147.

^[50] Vgl. Landwehr, E. u. a. (1997), S. 33.

^[51] Vgl. Ebenda, S. 31.

^[52] Vgl. Wurdack, A. (2001), S. 19.

^[53] Vgl. Ebenda, S. 37f.

^[54] Vgl. Dichtl, M. (1998), S. 139.

^[55] Vgl. Wurdack, A. (2001), S. 38.

^[56] Vgl. Ebenda, S. 39ff.

^[57] Vgl. Ebenda, S. 42f.

^[58] Vgl. Ebenda, S. 43f.

^[59] Vgl. Dichtl, M. (1998), S. 139.

^[60] Vgl. Wurdack, A. (2001), S. 45f.

^[61] Siehe hierzu Kapitel 2.1.

^[62] Vgl. Wurdack, A. (2001), S. 48ff.

^[63] Vgl. Najda, L. (2001), S. 368.

^[64] Vgl. Dichtl, M. (1998), S. 139 und Neuert, U. W. (1990), S. 42f.

^[65] Vgl. Wurdack, A. (2001), S. 61ff.

^[66] Vgl. Ebenda, S. 65ff.

^[67] Vgl. Najda, L. (2001), S. 305.

^[68] Vgl. Ebenda, S. 308.

^[69] Vgl. Kubr, M. (2002), S. 758f.

^[70] Vgl. Najda, L. (2001), S. 308ff.

^[71] Vgl. Ebenda, S. 311.

^[72] Eine umfangreiche Betrachtung der sich bietenden Möglichkeiten würde den Rahmen dieser Arbeit sprengen. Siehe hierzu ausführlich Najda, L. (2001), S. 312ff. und Neuert, U. W. (1990), S. 85ff.

^[73] Vgl. Najda, L. (2001), S. 318.

^[74] URL: http://www.eyonline.com.

^[75] Ernst & Young definiert hier acht Bereiche: Human Ressources, Process Improvement, Information Technology, Corporate Finance, Personal Finance, Real Estate, Accounting und Tax. Vgl. Baum, B. J. (2000), S. 26.

^[76] Vgl. Baum, B. J. (2000), S. 25ff.

^[77] Vgl. Ebenda, S. 27.

^[78] Vgl. Ebenda, S. 28.

^[79] URL: http://www.net-alia.com/domino/et-alia/rocshome.nsf/npgDefault.

^[80] Vgl. et.alia (2004a).

^[81] Siehe hierzu Kapitel 2.2.

^[82] Vgl. et.alia (2004b).

^[83] Vgl. Bartholomew, D. (2002), S. 76.

^[84] Vgl. et.alia (2004b).

^[85] Vgl. et.alia (2004a).

^[86] Vgl. Bartholomew, D. (2002), S. 76.

^[87] Vgl. Sikora, A. (2003), S. 314.

^[88] Vgl. Hoppe, G./Prieß, A. (2003), S. 22 ff.

^[89] Ebenda, S. 23.

^[90] Die Abgrenzung der einzelnen Sicherheitsaspekte, auch Schutzziele oder Bedrohungsklassen genannt, und deren Zuordnung zu den verschiedenen Sicherheitstechnologien ist in der Literatur nicht eindeutig. Zur näheren Betrachtung vgl. Eckert, C. (2003), S. 6ff., Hoppe, G./Prieß, A. (2003), S. 25 und Raepple, M. (2001), S. 4.

^[91] Vgl. Eckert, C. (2003), S. 1ff.

^[92] Vgl. Sikora, A. (2003), S. 315.

^[93] Vgl. Fuhrberg, K./Häger, D./Wolf, S. (2001), S. 7.

^[94] Vgl. Tanenbaum, A. S. (2003), S. 38.

^[95] Vgl. Eckert, C. (2003), S. 59.

^[96] Vgl. Tanenbaum, A. S. (2003), S. 38.

^[97] Vgl. Fuhrberg, K./Häger, D./Wolf, S. (2001), S. 7.

^[98] Vgl. Eckert, C. (2003), S. 60.

^[99] Vgl. Sikora, A. (2003), S. 35.

^[100] Vgl. Tanenbaum, A. S. (2003), S. 40.

^[101] Vgl. Fuhrberg, K./Häger, D./Wolf, S. (2001), S. 8.

^[102] Vgl. Eckert, C. (2003), S. 61.

^[103] Vgl. Busch, C./Wolthusen, S. (2002), S. 58.

^[104] Vgl. Fuhrberg, K./Häger, D./Wolf, S. (2001), S. 8.

^[105] Vgl. Busch, C./Wolthusen, S. (2002), S. 58.

^[106] Vgl. Sikora, A. (2003), S. 39.

^[107] Vgl. Eckert, C. (2003), S. 63.

^[108] Vgl. Tanenbaum, A. S. (2003), S. 9.

^[109] Vgl. Eckert, C. (2003), S. 63.

^[110] Vgl. Fuhrberg, K./Häger, D./Wolf, S. (2001), S. 9.

^[111] Vgl. Schäfer, G. (2003), S. 12.

^[112] Hoppe, G./Prieß, A. (2003), S. 92.

^[113] Vgl. Eckert, C. (2003), S. 217.

^[114] Vgl. Sikora, A. (2003), S. 39.

^[115] Zur eindeutigen Abgrenzung wird der Begriff „geheimer Schlüsse“ im Zusammenhang mit symmetrischen Verschlüsselungsverfahren, die Begriffe „öffentlicher Schlüssel“ und „privater Schlüssel“ im Zusammenhang mit asymmetrischen Verschlüsselungsverfahren in dieser Arbeit verwendet.

^[116] Vgl. Schneier, B. (1996), S. 3f.

^[117] Vgl. Ebenda, S. 11.

^[118] Siehe hierzu Kapitel 3.3.5.

^[119] Vgl. Sikora, A. (2003), S. 39.

^[120] Vgl. Schneier, B. (1996), S. 255ff.

^[121] Vgl. Delfs, H./Knebl, H. (2002), S. 11.

^[122] Vgl. Menezes, A./van Oorshot, P./Vanstone, S. (2001), S. 16.

^[123] Vgl. Ebenda, S. 20.

^[124] Vgl. Schneier, B. (1996), S. 32f.

^[125] Vgl. Sikora, A. (2003), S. 96.

^[126] Vgl. Schneier, B. (1996), S. 34.

^[127] RC ist die Abkürzung für Rivest Cipher, benannt nach seinem Erfinder Ron Rivest. Vgl. Schmeh, K. (2003), S. 140.

^[128] Vgl. Rhee, M. Y.(2003), S. 57.

^[129] Vgl. Fuhrberg, K./Häger, D./Wolf, S. (2001), S. 90.

^[130] Vgl. Eckert, C. (2003), S. 266.

^[131] Vgl. Schneier, B. (1996), S. 37.

^[132] Vgl. Fuhrberg, K./Häger, D./Wolf, S. (2001), S. 95.

^[133] Vgl. Ebenda, S. 91 und Kapitel 3.4.

^[134] Vgl. Sikora, A. (2003), S. 319ff. und Kapitel 3.5.

^[135] Siehe hierzu Kapitel 3.3.4.

^[136] Vgl. Fuhrberg, K./Häger, D./Wolf, S. (2001), S. 94.

^[137] Vgl. Diffie, W./Hellman, M. E. (1976).

^[138] Vgl. Rhee, M. Y. (2003), S. 161.