Sollkonzept einer EDI-Lösung zur Optimierung der Beschaffung eines mittelständischen Einzelfertigers

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einleitung
1.1 Einführung in die Thematik
1.2 Zielsetzung und Aufbau der Arbeit

2 Begriffe aus der Aufgabenbeschreibung
2.1 Mittelständischer Einzelfertiger
2.1.1 Mittelständisches Unternehmen
2.1.2 Einzelfertiger
2.2 Disziplinen der Unternehmensintegration
2.2.1 E-Business
2.2.2 E-Commerce
2.2.3 Business-to-Business
2.2.4 E-Procurement
2.2.5 Electronic Data Interchange (EDI)
2.2.6 Katalogmanagement
2.2.7 Interner Katalog
2.2.8 Externer Katalog
2.2.9 Marktplatz Katalog

3 Grundlagen des elektronischen Geschäftsverkehrs
3.1 Signieren von Dokumenten
3.1.1 Geheimhaltung durch Verschlüsselung
3.1.2 Datenintegrität durch digitale Signaturen
3.1.3 Authentizität durch Zertifikate
3.1.4 SSL-Verschlüsselungsprotokoll
3.2 Rechtslage im elektronischen Datenaustausch
3.2.1 Das Herkunftslandprinzip
3.2.2 Zulassungsfreiheit für Diensteanbieter
3.2.3 Transparenzpflichten
3.2.4 Abgabe einer Bestellung
3.2.5 Abschluss von Verträgen
3.3 Materialklassifizierung
3.3.1 Kategorisierung nach produktnahen Informationen
3.3.2 Kategorisierung nach betriebswirtschaftlichen Informationen
3.3.2.1 Die ABC-Analyse
3.3.2.2 Direkte und indirekte Produkte
3.3.2.3 Beschaffungsrisiko
3.3.3 Dialogmaterial als Antonym zu Katalogmaterial
3.4 Schlüsseltechnologie XML
3.5 Standards im elektronischen Geschäftsverkehr
3.5.1 Klassifikationsstandards
3.5.2 Katalogaustauschformate
3.5.3 Transaktionsstandards

4 Technologien zur Unternehmensintegration
4.1 Elektronische Kataloge
4.2 Basisfunktionen des E-Procurement
4.2.1 Basisfunktionen zur Marktanalyse
4.2.1.1 Lieferantenauswahl
4.2.1.2 Dynamische Preisbildungsverfahren
4.2.1.3 Einkaufsdienstleistungen
4.2.2 Basisfunktionen zur Abwicklung
4.2.2.1 Content Management
4.2.2.2 Katalogmanagement
4.2.2.3 Bestellprozessunterstützung
4.2.2.4 Bezahlprozessunterstützung
4.2.2.5 Übermittlungsdienste
4.2.3 Basisfunktion Reporting
4.2.4 Realisierung der Basisfunktionen
4.3 Standardlösungen E-Procurement
4.3.1 Desktop Purchasing System
4.3.2 Application Service Providing (ASP)
4.3.3 Webshop
4.3.4 Open Catalog Interface

5 Ist-Zustand des Beispielunternehmens
5.1 Eckdaten des Beispielunternehmens
5.2 Geschäftsprozessanalyse
5.2.1 Beschaffungsprozesskosten unterschiedlicher Quellen
5.2.2 Beschaffungsprozess der Firma MEF
5.3 Materialanalyse
5.4 Gegenüberstellung der Prozess- und Materialanalyse
5.5 Lieferantenanalyse
5.5.1 Lieferanten der Firma MEF
5.5.2 Lieferanten für den E-Procurement-Einstieg
5.6 Lieferantenkonsolidierung
5.6.1 Kennzahlen zur Einschätzung der Lieferanten
5.6.2 Auswertung der Angebote
5.7 Monetäre Einsparungen durch ein E-Procurement-System im operativen Einkauf

6 Auswahl einer E-Procurement-Strategie
6.1 Auswahl einer Softwarelösung
6.1.1 Bedarfsermittlung
6.1.1.1 IST-Analyse der Katalogmaterial-Beschaffung
6.1.1.2 SOLL-Konzept einer E-Procurement-Lösung
6.1.2 Marktüberblick von E-Procurement-Systemen
6.1.3 Korrektur des SOLL-Konzeptes
6.1.4 Detailauswahl
6.1.4.1 Middleware-basierter Integrationsansatz
6.1.4.2 Komponenten des Integrationssystems
6.1.5 Investitionskosten für ein Integrationssystem
6.1.6 Kosten-Nutzen-Analyse

7 Zusammenfassung und Ausblick

Quellenverzeichnis

Anhangübersicht

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1–1 E-Procurement-Konzept

Abbildung 2–1 Schema E-Business

Abbildung 2–2 Transaktionsorientierter Ansatz des E-Procurement

Abbildung 2–3 Funktionsprinzip von EDI

Abbildung 2–4 Einsatzmöglichkeiten elektronischer Kataloge

Abbildung 3–1 Symmetrische Verschlüsselung

Abbildung 3–2 Asymmetrisches Verschlüsselungsverfahren

Abbildung 3–3 Vergabe und Prüfung von Zertifikaten

Abbildung 3–4 Aufbau einer SSL-Sitzung

Abbildung 3–5 Vertragsschluss im E-Commerce

Abbildung 3–6 Produktkommunikation über Kataloge

Abbildung 3–7 Komplexitätsgrad

Abbildung 3–8 ABC-Analyse

Abbildung 3–9 Beschaffungsrisiko

Abbildung 3–10 Beispiel für XML-Dokument und XML-Schema

Abbildung 3–11 XML im Einsatz

Abbildung 3–12 Unternehmensprozesse mit verschiedenen E-Business-Standards

Abbildung 3–13 Standardisiertes Klassifikationssystem eCl@ss

Abbildung 3–14 Datenbereiche eines Katalogdokuments

Abbildung 3–15 Einsatz spezieller E-Business-Standards

Abbildung 4–1 Prozessschritte beim Katalogmanagement

Abbildung 4–2 Einkaufsablauf mit Purchasing Card

Abbildung 4–3 Schematischer Aufbau einer B2B-Integration

Abbildung 4–4 Kombinationsmöglichkeiten für Transaktionsketten

Abbildung 4–5 Prinzip eines Beschaffungssystems

Abbildung 4–6 Komponenten und Funktionen eines DPS

Abbildung 4–7 Zugriff auf zahlreiche Webshops

Abbildung 4–8 Schema Open Catalog Interface

Abbildung 5–1 Hauptprozess des operativen Einkaufs

Abbildung 5–2 ABC-Analyse Firma MEF

Abbildung 5–3 Umfrage zu qualitativen Produktmerkmalen

Abbildung 5–4 Portfolio Dialog- / Katalogmaterial

Abbildung 5–5 Aktionsfeld für Rationalisierungsmaßnahmen

Abbildung 5–6 ABC-Analyse - Bestellpositionen der Lieferanten

Abbildung 5–7 Prozess der Lieferantenkonsolidierung

Abbildung 5–8 Preisabweichung und Bedarfsabdeckung

Abbildung 5–9 Entscheidungsfindung E-Procurement-Strategie

Abbildung 6–1 Iteratives Vorgehen bei der Auswahl einer Softwarelösung

Abbildung 6–2 Umfeld des operativen Einkaufs

Abbildung 6–3 Rationalisierte Informationsflüsse

Abbildung 6–4 Systemarchitektur

Abbildung 6–5 Transaktionsdokumente

Abbildung 6–6 Integrationssystem

Abbildung 6–7 Middleware-basierter Integrationsansatz

Abbildung 6–8 Ausgangswerte der Kosten-Nutzen-Analyse

Abbildung 6–9 Return on Investment

Tabellenverzeichnis

Tabelle 2–1 Abgrenzungskriterien des IfM Bonn für KMU

Tabelle 3–1 Umsetzung der E-Commerce-Richtlinie

Tabelle 3–2 Direkte und indirekte Produkte

Tabelle 4–1 Basisfunktionen Marktanalyse

Tabelle 4–2 Basisfunktionen Abwicklung

Tabelle 4–3 Basisfunktionen Auswertung

Tabelle 4–4 Kriterien für die Auswahl einer E-Procurement-Basisfunktion

Tabelle 4–5 Vor- und Nachteile eines ePSP-Dienstes

Tabelle 5–1 Tätigkeiten im operativen Einkauf

Tabelle 5–2 Kennzahlen zur Einschätzung der Lieferantenleistung

Tabelle 5–3 Tatsächliche Einsparungen

Tabelle 6–1 Ausgabenschätzung für Software

Tabelle 6–2 Praxisbericht Agrolinz Melamin GmbH

Tabelle 6–3 Fallstudie E-Procurement-Lösung Bühler AG

Tabelle 6–4 Musterangebot Microsoft Österreich 2002

Tabelle 6–5 Preisangebote für Integrationssysteme I

Tabelle 6–6 Preisangebote für Integrationssysteme II

Tabelle 6–7 Investitionsmodell

1 Einleitung

1.1 Einführung in die Thematik

Das „papierlose Büro“ – diese fantastische Vorstellung beflügelt so manchen IT-Enthusiasten. Die technische Infrastruktur dazu existiert bereits, doch es wird weiterhin mehr Papier verbraucht denn je.^[1] Trotz der allseitigen Vernetzung wandern Papierdokumente von System zu System. Es fehlen flexible Schnittstellen, Leute, die sie bedienen können und solide Investitionsmodelle für Unternehmen.

Die vorliegende Arbeit befasst sich mit dem Teil der zwischenbetrieblichen Kommunikation, der zur Bedarfsdeckung eines Unternehmens im sogenannten Business-to-Business (B2B) anfällt. In diesem Bereich lösen schon heute Instrumente der Unternehmensintegration das traditionelle Papierdokument ab. Der elektronische Datenaustausch automatisiert und rationalisiert zwischenbetriebliche Geschäftsprozesse, macht manuelle Arbeitsschritte überflüssig. Zudem verspricht die Bedarfsbündelung beachtliche Einsparungen.

Nach der Euphorie kommt meist die Ernüchterung, denn oftmals muss „die Welt neu erfunden“ werden, damit sie mit der Informationstechnologie harmoniert. Diesen enormen Aufwand konnten sich bisher nur Großunternehmen leisten. Doch nach und nach rücken auch preiswerte Konzepte in die Reichweite mittelgroßer Unternehmen. Die Herausforderung dieser Arbeit besteht darin, die Lösungen auf die Anforderungen eines mittelständischen Einzelfertigers abzustimmen. Dabei soll aus einem interdisziplinären und objektiven Blickwinkel die technische Machbarkeit mit dem betriebswirtschaftlichen Nutzen anhand konkreter Unternehmenszahlen abgewogen werden.

1.2 Zielsetzung und Aufbau der Arbeit

Das zweite Kapitel gibt einen sanften Einstieg in die Begriffswelt des E-Business. Ein Schema setzt alle relevanten Fachtermini in einen Kontext.

Der elektronische Geschäftsverkehr kommt nicht ohne grundlegende Informationstechnologien aus. E-Business-Standards und die elektronische Signatur bilden die Kernpunkte des dritten Kapitels und sind die Basis für die elektronische Beschaffung (engl. E-Procurement).

Einen Schritt weiter geht das vierte Kapitel, indem es Basisfunktionen aufführt, aus denen sich E-Procurement-Lösungen zusammensetzen. Anschließend werden die wichtigsten Standardlösungen aus der Literatur vorgestellt.

Der erste Teil der Arbeit liefert das Rüstzeug, um ein E-Procurement-Konzept zu entwickeln. In das Konzept fließen die Ergebnisse aus sechs Themenschwerpunkten ein. Die nachfolgende Grafik gibt einen Überblick.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1–1 E-Procurement-Konzept

Im zweiten Teil entsteht daraus eine konkrete Lösung unter den Rahmenbedingungen des Beispielunternehmens, Firma MEF. Der Schlüssel einer erfolgreichen E-Procurement-Strategie liegt in der aktuellen Situation des eigenen Unternehmens. Deshalb widmet sich der zweite Teil der Arbeit vornehmlich der Analyse des Unternehmens. Das fünfte Kapitel befasst sich mit den folgenden Fragen. Wie wird das Katalogmaterial aus dem Bedarfsprofil identifiziert? Welche Prozessschritte sind bei der Bedarfsdeckung relevant? Wie verteilen sich die Kosten?

Zur Unternehmensintegration gehört mindestens ein Geschäftspartner. Bei der Auswahl integrationsfähiger Lieferanten dürfen die Beschaffungsziele jedoch nicht aus den Augen verloren werden. Das sechste Kapitel demonstriert anhand einer Methode, wie Bedarfe auf weniger Lieferanten gebündelt werden. Erst auf der Basis der Unternehmensanalyse und der Lieferantenkonsolidierung zeichnet sich ein Sollkonzept ab, woraus mit Hilfe eines Synthesevorgangs eine E-Procurement-Lösung hervorgeht. Die Kosten-Nutzen-Analyse ermittelt schließlich den Amortisationszeitpunkt der Investition.

2 Begriffe aus der Aufgabenbeschreibung

2.1 Mittelständischer Einzelfertiger

2.1.1 Mittelständisches Unternehmen

Unter dem Begriff Mittelstand werden in der öffentlichen Diskussion alle kleinen und mittleren Unternehmen (KMU) aus den unterschiedlichen Branchen zusammengefasst, die eine bestimmte Größe nicht überschreiten. Unabhängig von ihrer Rechtsform fallen darunter alle Unternehmen der Wirtschaftsbereiche Handel, Handwerk, Dienstleistung und Industrie, angefangen von Freiberuflern bis hin zu Betriebsgrößen unterhalb von Großunternehmen. In der Betriebswirtschaftslehre erfolgt eine Abgrenzung mittelständischer Unternehmen anhand qualitativer und quantitativer Kriterien.^[2]

Eine qualitative Beschreibung hebt die besonderen Wesensmerkmale eines KMU hervor. Ein wichtiges Erkennungszeichen ist die enge Verknüpfung von Eigentum, Leitung, Haftung und Risiko. Kleine und mittlere Unternehmen finanzieren sich in der Regel nicht über den Kapitalmarkt und werden von selbständigen, mitarbeitenden Inhabern geleitet, die mit ihren Einlagen das unternehmerische Risiko tragen. Angesichts der Durchsetzungsstärke Einzelner prägen jedoch improvisierte und kurzfristige Entscheidungen die Unternehmensentwicklung, statt eine strategisch mittel- und langfristige Planung. Wegen ihrer überschaubaren Größe können KMU flexibel auf Umweltveränderungen reagieren und prompt Nischenmärkte bedienen. Die begrenzten Ressourcen an Personal, Produktionsmittel und Finanzen engen das Handlungsfeld aber stark ein. Beschaffungsseitig kennzeichnen KMU die schwache Nachfragerposition und eine häufig auftragsbezogene Materialbeschaffung, wodurch eine Kostendegression kaum genutzt werden kann.^[3]

Eine quantitative Mittelstandsdefinition teilt die Unternehmen nach Größenindikatoren ein. So bewertet die bundesweit anerkannte Definition des Bonner Institutes für Mittelstandsforschung (IfM) nach der Anzahl der Beschäftigten und nach der Höhe des Jahresumsatzes.

Tabelle 2–1 Abgrenzungskriterien des IfM Bonn für KMU^[4]

Abbildung in dieser Leseprobe nicht enthalten

Laut dieser Definition sind über 99 Prozent aller Unternehmen in Deutschland KMU. Sie erwirtschaften nahezu 40 Prozent der steuerpflichtigen Umsätze, beschäftigen ungefähr 70 Prozent der Arbeitnehmer und bilden etwa 80 Prozent der Lehrlinge aus.^[5]

Die weiteren Ausführungen beziehen sich auf Unternehmen mittlerer Größe, in denen sich die qualitativen Merkmale von KMU wiederspiegeln.

2.1.2 Einzelfertiger

Die Einzelfertigung wird als eine sehr komplexe Fertigungsart angesehen und ist dadurch gekennzeichnet, dass von jeder Produktart nur eine Einheit hergestellt wird. Größtenteils handelt es sich um Auftragsarbeiten, die wegen ihrer geringen Standardisierung maximale Stückkosten verursachen.^[6] Ein Einzelfertiger ist von seinen Kapazitäten sowie von den technischen Möglichkeiten seiner Betriebsmittel abhängig. In der Regel verfügen solche Betriebe über universell einsetzbare Fertigungsanlagen, sowie einen großen Maschinenpark, damit sie auf die unterschiedlichen Kundenanfragen reagieren können. Außerdem benötigen sie gut ausgebildetes und qualifiziertes Personal, das flexibel einsetzbar ist. Vorwiegend organisieren sich die Mitarbeiter selbst in Projektteams und werden aufgrund der verschiedenartigen Aufgaben immer wieder neu gefordert. Das wirkt sich positiv auf ihre Motivation aus und schafft Zufriedenheit.^[7]

Die Werkstatt- und Baustellenfertigung sind mögliche Fertigungsprinzipien, nach denen die kundenindividuellen Produkte hergestellt werden können. Bei der Werkstattfertigung sind die Maschinen nach der Art der durchzuführenden Verfahren angeordnet, also gleiche Fertigungsverfahren räumlich nebeneinander. Bei der Baustellenfertigung bewegen sich die Maschinen zum Gewerk, das wegen seiner großen Dimension während der Erstellung an einem Platz ruht. Nach der Fertigstellung wird die Einzelanfertigung direkt an den Auftraggeber ausgeliefert oder gegebenenfalls ihm überlassen.

Bei der Einzelfertigung müssen für jedes Produkt individuelle Konstruktionspläne, Stücklisten und Terminpläne erstellt werden. [...] Der hohe Komplexitätsgrad führt zu nicht oder nur teilweise beherrschten Produktionsprozessen, d.h., meistens treten sehr deutliche Koordinationsdefizite auf (Produktionsstatus, lange Übergangszeiten, geringe Liefertreue, Qualitätsprobleme). Der Schwerpunkt der Planung liegt in der Phase zwischen Konstruktion und Fertigungsbeginn, betrifft die Maschinenbelegungs- bzw. die Auftragsreihenfolgeplanung und die Planung der Bereitstellung von Materialien und Fertigungskapazitäten. Diese Planungen werden besonders durch die häufig unterschiedlichen Bearbeitungsreihenfolgen der Einzelaufträge erschwert.^[8]

Die ungenügenden Prognosen der Kundenaufträge zwingen Einzelfertiger, sich schnell den veränderten Marktsituationen anzupassen. Somit können auch ausgefallene Kundenwünsche erfüllt werden.^[9] Das wirkt sich allerdings auch auf die Materialbeschaffung aus. Die Einkäufer werden öfter mit heterogenen Materialanfragen aus der Fertigung konfrontiert, was sie dazu veranlasst, fortwährend neue Lieferantenbeziehungen einzugehen. Zudem verhindern fallweise Einzelbeschaffungen Bedarfsprognosen und Materialbündelungen.

Einzelfertigung tritt auf im Großmaschinenbau, z. B. Schiffbau, häufig im Werkzeugmaschinenbau, im Anlagenbau, in der Bauwirtschaft (Wohnungsbau, Brückenbau) aber auch im handwerklichen Bereich, z.B. maßgefertigte Kleidung und Schuhe.^[10]

2.2 Disziplinen der Unternehmensintegration

DPS, EDIFACT, UN/SPSC, ASP, OCI, B2B, XML, CSV stellen nur einen Teil von Akronymen dar, mit denen Unternehmen plötzlich konfrontiert werden, wenn IT-Projekte anstehen. Hinter jeden dieser Abkürzungen stehen Software, Systeme oder Standards, die zu einer möglichen E-Business-Lösung gehören. Electronic Business vereint als übergeordneter Begriff alle sich auf die Internettechnologie stützenden Aktivitäten eines Unternehmens. Darum eignet sich dieser gut als Ausgangspunkt für eine Übersicht, die einen Großteil der Begriffe in einen Kontext setzt. Die Übersicht verzweigt sich in Teilgebiete, die für das Thema dieser Arbeit relevant sind. Darüber hinaus stehen die grau hinterlegten Felder für flankierende Gebiete, von denen sich diese Arbeit abgrenzt. Im Anschluss folgen Definitionen der Begriffe aus der Fachliteratur.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2–1 Schema E-Business^[11]

2.2.1 E-Business

E-Business steht für das englische Wortpaar Electronic Business. Business hat zwei Bedeutungen. Einerseits bezeichnet es den Handel, also den Prozess des Kaufens und Verkaufens, andererseits wird es mit Geschäft im Sinne von Unternehmen übersetzt. Hier ist mit Business die Gesamtheit aller automatisierbaren Geschäftsprozesse einschließlich aller Markttransaktionen gemeint. Das englische Wort Electronic, zu Deutsch „elektronisch“, bezieht sich auf die Informations- und Kommunikationstechnologie (IuK), mit denen die Prozesse unterstützt werden. Wirtz bringt es auf den Punkt. Für ihn bedeutet E-Business die Anbahnung sowie die teilweise respektive vollständige Unterstützung, Abwicklung und Aufrechterhaltung von Leistungsaustauschprozessen mittels elektronischer Netze.^[12] Demnach gehören nicht nur firmenübergreifende Geschäftsabläufe, wie der Handel, die Informationsbeschaffung, die Werbung und der Kundenservice zum Einflussbereich des E-Business, sondern auch die damit integrierten internen Abläufe, wie der Zahlungsvorgang oder die Produktionsplanung.^[13]

E-Commerce ist eine Teilmenge des E-Business, wenngleich eine Grenze zwischen beiden oftmals nicht eindeutig gezogen werden kann. Im Gegensatz zum E-Business zielt E-Commerce auf einen Geschäftsabschluss ab, der dem Kauf oder Verkauf zuzuordnen ist.^[14] Die Pfeilrichtung weist auf die Abhängigkeit im Schema hin.

2.2.2 E-Commerce

E-Commerce steht für das englische Wortpaar Electronic Commerce, was ins Deutsche mit „elektronischer Handel“ übersetzt wird. Mit E-Commerce wird die gesamte Informationskette zwischen Käufer und Verkäufer bezeichnet, mit der Geschäftstransaktionen, also der Austausch von Waren, Dienstleistungen und Informationen, elektronisch über digitale Datennetze abwickelt werden.^[15] Sie reicht von der Produktauswahl über die Bestellung und die Zahlungsabwicklung bis hin zur Kundenpflege.^[16]

Am E-Commerce beteiligen sich Unternehmen (engl. Business), Behörden (engl. Administration) und Endverbraucher (engl. Consumer). Hierbei treten alle denkbaren Konstellationen zwischen den Akteuren auf, die in ihrer Kurzform im Schema nur mit den Anfangsbuchstaben ihrer englischen Bezeichnung angegeben werden. An erster Stelle steht der Anbieter, gefolgt von einer „2“ und dem Abnehmer einer Leistung. Die Ziffer zwei symbolisiert im Englischen die Richtung des Leistungsflusses. Bei den Verbindungen A2C, C2A und A2A handelt es sich dagegen um einen reinen Informationsaustausch, der nicht zu einem Geschäftsabschluss führt. Diese sind im Schema mit einer Strichellinie gekennzeichnet und nur zur Vollständigkeit mit aufgeführt. Nicht von Interesse für diese Arbeit sind elektronische Geschäfte mit Privatpersonen (C2B, B2C und C2C), da sie häufig spontan sind und lediglich geringe Beträge umfassen.^[17] Übrig bleiben Geschäftsbeziehungen zwischen Unternehmen selbst (B2B) und mit öffentlichen Institutionen (B2A, A2B), die einen gewissen Transaktionsumfang aufweisen. Wie hoch dieser ist, soll im Laufe der Diplomarbeit ermittelt werden. Es ist durchaus vorstellbar, dass Unternehmen und Behörden ähnliche ökonomische Ziele bei der Beschaffung verfolgen. Demnach wird im Anschluss die B2B-Definition von Dolmetsch herangezogen.

2.2.3 Business-to-Business

Geschäftstransaktionen des Typs Business-to-Business verbinden Unternehmen, Behörden und andere Organisationen.^[18] Dabei geht es um längerfristige Handelsbeziehungen innerhalb geschlossener Benutzergruppen, die vollständig, weitgehend automatisiert, nach wirtschaftlichen Gesichtspunkten und zunehmend über das Internet abgewickelt werden.

Demnach schließt Business-to-Business Transaktionen zwischen Unternehmen und öffentlichen Einrichtungen mit ein, sofern ein Geschäftsabschluss daraus resultiert. Unerheblich ist dabei, ob es sich um eine Einkaufs- oder Verkaufsbeziehung handelt. Sollen ausschließlich Bereiche des Einkaufs durch das Internet rationalisiert werden, lassen sich diese Maßnahmen unter dem englischen Begriff E-Procurement zusammenfassen, wenngleich manche Transaktionen auch dem elektronischen Verkauf (engl. E-Sale) angehören, da folglich am anderen Ende der Leitung immer ein Verkäufer sitzt.

2.2.4 E-Procurement

E-Procurement steht für das englische Wortpaar Electronic Procurement, zu deutsch Elektronische Beschaffung. E-Procurement ist die Nutzung von Informations- und Kommunikationstechnologien (IuK) zur elektronischen Unterstützung von Beschaffungsprozessen und deren Integration in den Arbeitsablauf eines Unternehmens, einer Behörde oder anderer Organisationen.^[19] Für die elektronische Abwicklung der Beschaffung existieren unterschiedliche Konzepte und Techniken. Sie lassen sich danach gliedern, welcher der Beteiligten das Katalogmanagement übernimmt, der Lieferant, das eigene Unternehmen oder Dritte (Intermediäre).^[20] Der Schwerpunkt des E-Procurement liegt augenscheinlich in der Anbahnungsphase des Beschaffungsprozesses. Es schließt aber auch die Vereinbarungs- und Durchführungsphase mit ein, wie der transaktionsorientierte Ansatz des E-Procurement zeigt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2–2 Transaktionsorientierter Ansatz des E-Procurement^[21]

Die Grafik verdeutlicht darüber hinaus, dass der elektronische Datenaustausch (EDI) die Prozesse in der Durchführungsphase der elektronischen Beschaffung unterstützt. Es besteht ein Unterschied zwischen dem Austausch von Produktinformationen, womit sich das Katalogmanagement befasst, und dem Austausch von Geschäftsdokumenten, was in den Bereich EDI fällt.

2.2.5 Electronic Data Interchange (EDI)

Elektronischer Datenaustausch, englisch Electronic Data Interchange (EDI), bezeichnet als Sammelbegriff alle elektronischen Verfahren zum asynchronen und vollautomatischen Versand von strukturierten Geschäftsdaten zwischen Anwendungssystemen unterschiedlicher Institutionen.^[22]

Der Ursprung des EDI liegt in der Mitte der siebziger Jahre und beschränkt sich auf die Übermittlung von starr strukturierten Daten über geschlossene Netze zwischen Unternehmen, auch Value Added Network (VAN) genannt. Dabei verfolgt EDI das Ziel, verschiedene Daten in einheitliche Datenformate zu konvertieren, um eine automatische, datenbruchfreie Weiterverarbeitung der Informationen in den Empfängersystemen der beteiligten Unternehmen zu gewährleisten.^[23] Aufgrund des hohen Investitions- und Implementierungsaufwandes für die Verbindungen wird das klassische EDI in der Regel nur in der Großserien- und Massenproduktion zwischen Herstellern, Zulieferern, Logistik und Handel eingesetzt.^[24]

Heute vernetzt die Internettechnologie alle Unternehmen und die meisten von ihnen verfügen über eine betriebswirtschaftliche Systeminfrastruktur (ERP). Ist das ERP-System mit einer Schnittstelle ausgestattet, lässt sich mit überschaubarem Aufwand eine Verbindung zu einer E-Business-Anwendung herstellen. Mittlerweile existieren für nahezu alle Geschäftsprozesse E-Business-Lösungen auf dem Markt. Mit der Aussicht auf eine schnelle Geschäftsabwicklung, weniger Datenerfassungsaufwand und der Vermeidung von menschlichen Übertragungsfehlern wird auch für kleine und mittelständische Unternehmen das Interesse an EDI geweckt.

Darüber hinaus etablieren sich branchenunbabhängige Übertragungsstandards auf XML-Basis (XML-EDI). Sie minimieren die Schnittstellen zu den heterogenen Infrastrukturen der Geschäftspartner und bilden den Großteil der strukturierten Geschäftsdaten ab. Darunter fallen Daten mit Formularcharakter, beispielsweise Angebote, Aufträge, Lieferscheine, Rechnungen, Versandavise, Frachtpapiere, Stornierungen, Zahlungen oder Bestätigungsschreiben. Das Einsatzgebiet für EDI beschränkt sich jedoch nicht allein auf die Beschaffung, auch die Warenwirtschaft, die Produktionsplanung, die Produktentwicklung und der Vertrieb kommunizieren nach dem Prinzip von EDI.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2–3 Funktionsprinzip von EDI

Zunächst einigen sich die in Verbindung tretenden Institutionen auf ein standardisiertes Datenformat, wie EDIFACT oder einen XML-Standard. An diesen passen sie die interne Struktur ihres Anwendungssystems an. Dieser Vorgang wird auch Mapping genannt und erfordert einen einmaligen manuellen Aufwand. Im weiteren Verlauf transformiert ein Konverter die Daten vollautomatisch in den EDI-Standard und greift dafür auf die zuvor erstellte Mapping-Tabelle zurück. Anschließend transportiert das sendende System die Daten per Internetprotokoll an einen Zwischenspeicher. Das Empfängersystem ruft diese dann in festen Zeitabständen ab (Push-Prinzip). Vereinbarungen, wie eventuelle Statusrückmeldungen, die Wahl des Übertragungsprotokolls oder Maßnahmen bei Fehlfunktionen, wurden zuvor zwischen den beteiligten Institutionen ausgehandelt und in einem Rahmenvertrag festgehalten. Auch Aspekte der Sicherheit stimmen die Geschäftspartner im Vorfeld ab. Das betrifft vor allem die Verschlüsselung der Daten und die Authentifizierung von Sender und Empfänger durch ein Signaturverfahren.^[25]

Ist das EDI-System einmal installiert, können unbegrenzt Nachrichten übermittelt werden. Es entstehen kaum nennenswerte Kosten durch die Anzahl der Datensendevorgänge. Je mehr Übertragungen das System durchlaufen, desto niedriger fallen deren Stückkosten aus. Die Kosten eines EDI-Systems lassen sich wegen der vielfältigen Anwendungen nur schwer beziffern. Neben dem EDI-System selbst fallen in jedem Fall Personalkosten für die Installation und Kosten für die Wartung und Pflege des Systems an.

Mit wesentlich geringeren Investitionskosten kommen die Alternativen WebEDI und EDI-Clearing aus, allerdings auch auf niedrigerer Integrationsstufe. Somit übernimmt beispielsweise ein EDI-Clearing-Center die Konvertierung in das gewünschte Format. Es wandelt EDI-Daten in ein Fax um, oder umgekehrt die eigenen Systemdaten in eine EDI-Nachricht. Dafür zahlt der Nutzer eine Einrichtungsgebühr und einen geringen Betrag für jeden Datensendevorgang. Ganz ähnlich funktioniert auch das WebEDI. In diesem Fall gibt der Nutzer die Daten manuell über seinen Web-Browser in ein Formular ein. Der Empfänger oder eine Clearingstelle bereiten diese auf und leiten sie an einen Geschäftspartner weiter.^[26] Gerade für kleine und mittelständische Unternehmen sind die Alternativen zum klassischen EDI besonders relevant, wenn intensive Kommunikations- und Transaktionsbeziehungen zu Lieferanten oder Kunden bestehen, oder strategische Kunden eine EDI-Anbindung voraussetzen.^[27]

2.2.6 Katalogmanagement

Das Katalogmanagement umfasst alle Aufgaben zur Erstellung, Verwaltung und Nutzung von elektronischen Produktkatalogen.^[28] Üblicherweise baut der Lieferant einen elektronischen Produktkatalog auf, indem er seine aktuellen Produkte auf manuellem Weg identifiziert und beschreibt. Anschließend speichert er die Produktdaten in einer Datenbank ab, bestenfalls nach einem Standardklassifikationssystem strukturiert. Somit muss jede eintretende Änderung im Produktprogramm nur an einer Stelle angepasst werden, und alle Anwendungen der unterschiedlichen Präsentationsmedien greifen direkt auf die gleichen konsistenten Katalogdaten zu. Für die Kunden ist der Katalog eines Lieferanten ein externer Katalog.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2–4 Einsatzmöglichkeiten elektronischer Kataloge

Bei Internen Katalogen oder Marktplatzkatalogen hingegen sind der Austausch und die Integration von fremden Katalogdaten ein regelmäßiger Vorgang.^[29] Hierbei ist es unerlässlich, dass sich die beteiligten Parteien auf ein gemeinsames Austauschformat, wie beispielsweise BMEcat oder xCBL einigen.^[30] Bei der Konsolidierung externer Kataloge oder Teilen von Katalogen zu Multilieferantenkatalogen macht es sich besonders bezahlt, wenn die Produkte zuvor nach einer Standardklassifikation strukturiert worden sind. Schließlich durchläuft der Katalog ein Genehmigungsprozess und wird zur Nutzung bereitgestellt.

Bei der Realisierung eines E-Commerce-Projekts nimmt das Katalogmanagement anteilig den größten zeitlichen und finanziellen Aufwand ein.^[31] Deshalb sollen die E-Procurement-Lösungen im weiteren Verlauf danach eingeordnet werden, welche Organisation den Produktkatalog in ihrem System verwaltet und kontrolliert. Dabei kommen in der Praxis drei Varianten vor, interne Kataloge, externe Kataloge und Marktplatzkataloge.

2.2.7 Interner Katalog

Interne Kataloge werden von der Einkauforganisation selbst gepflegt. Die dafür erforderlichen Produktinformationen stellen Lieferanten bereit und gehen zum Teil aus den selbst erzeugten Materialstammdaten hervor. Ziel eines internen Katalogs ist eine größtmögliche Kontrolle über den Einkaufsprozess zu erhalten und eine Vergleichbarkeit der Konditionen über alle Lieferanten zu ermöglichen.^[32] Dazu werden die Produktdaten der verschiedenen Lieferanten aufbereitet und zu einem Multilieferantenkatalog zusammengestellt. Sind die Katalogdaten erst einmal in eine einheitliche Klassifikationsstruktur überführt, offenbaren sich die Stärken und Schwächen der Lieferanten. Zur Pflege der Kataloge bedarf es einer Katalogmanagement-Software, die von eigens dafür geschulten Personal bedient wird. Standardaustauschformate und Standardklassifikationssysteme reduzieren den Aufwand der Datenintegration erheblich, denn die Lieferanten aktualisieren die Katalogdaten regelmäßig. Mit der Freischaltung ausgewählter Kataloge in das Intranet der Einkaufsorganisation legen die Einkäufer die Bezugsquellen für die Bedarfsträger fest.

Obwohl der interne Katalog eine kostenintensive und zeitaufwendige Lösung darstellt, treibt er in Verbindung mit einem Beschaffungssystem die Automatisierung des traditionellen Einkaufsprozesses am weitesten voran. Denn befinden sich die Produktdaten erst einmal im System des Abnehmers, ist der größte Schritt zur vollständigen Integration zweier Unternehmen getan.

2.2.8 Externer Katalog

Externe Kataloge enthalten das Produktprogramm eines Anbieters, von dem sie auch erstellt und verwaltet werden. Die Pflege und die Aktualisierung des Produktkataloges obliegt dem Anbieter, wodurch das beschaffende Unternehmen vom Katalogmanagement befreit ist.^[33] Dank der Nähe zum Warenwirtschaftssystem des Lieferanten zeichnet sich ein externer Katalog durch die aktuellen Preise und den exakten Verfügbarkeitsinformationen aus.^[34] Der klassische Anwendungsfall für einen externen Katalog ist ein Onlineshop, in dem ein Anbieter seine Produktmarken und sein Corporate Design gezielt darstellen kann.^[35] Damit erreicht ein Anbieter zwar die Informationsbedürfnisse möglichst vieler verschiedener Nachfrager, verhindert jedoch mit seiner spezifischen Terminologie und Klassifikation den Vergleich mit der Konkurrenz. Zudem muss sich der Besteller bei jedem Anbieter erneut über das Internet einloggen, und sich mit verschiedenartigen Navigationsstrukturen und Suchmechanismen auseinandersetzen. Durch ein breites Serviceangebot im Webshop versuchen die Anbieter ihre Geschäftsbeziehungen zu intensivieren. Somit findet die Bestellprozesslogik auf dem Server eines Anbieters statt, und kann über einen Web-Browser gesteuert werden. Dennoch ist eine Anbindung an das Warenwirtschaftssystem der einkaufenden Organisation sehr kompliziert und kostenintensiv, warum sich externe Kataloge besonders für Einmalbestellungen mit geringen Volumina eignen.^[36]

2.2.9 Marktplatz Katalog

Bei einem Marktplatzkatalog handelt es sich ebenso wie bei einem internen Katalog um einen Multilieferantenkatalog mehrerer Anbieter, die allein von einem unabhängigen Dienstleistungsunternehmen ausgewählt werden. Als Nachfrager steht der elektronische Marktplatz jedem Unternehmen offen, andererseits sprechen die Experten von einem konsortionalen Marktplatz.^[37] Der Marktplatzbetreiber tritt als Spezialist auf und übernimmt drei wesentliche Funktionen.

Erstens normiert und klassifiziert er das Informationsangebot verschiedener Anbieter um die Vergleichbarkeit von Produkten und Preisen zu ermöglichen. Hierbei nutzt der Betreiber Skaleneffekte aus, indem er die Dienstleistungen rund um das Katalogmanagement bündelt. Als zweite Funktion unterstützt er durch seine Hard- und Software die Transaktionen mit dem Ziel, möglichst den gesamten Kaufprozess über den Marktplatz abzuwickeln. Kleinen Unternehmen wird somit der Bestellprozess erleichtert, die außer einen PC mit Internetverbindung und einen Web-Browser keine IT-Infrastruktur benötigen. Die dritte Funktion besteht darin, gegenseitiges Vertrauen zwischen den unbekannten Parteien zu schaffen. Oft helfen Zusatzdienstleistungen, wie Plattformen zum Erfahrungsaustausch, Bonitätsmanagement, Sendeverfolgung oder die Übernahme von Zertifizierungen dabei.^[38] Bei Katalogen für Marktplätze wird also versucht die vorteilhaften Funktionalitäten der internen und externen Kataloge kostengünstiger und effizienter miteinander zu verbinden, was mit Ausnahme der eingeschränkten Lieferantenauswahl und einer aufwendigen ERP-Anbindung gut gelingt.

Im E-Business-Schema lassen sich nun unter den drei Katalogvarianten die Standardlösungen auflisten. Unter ihnen befinden sich einkaufsunterstützende Instrumente, wie die Online Auktion oder die Ausschreibungsplattform, aber auch umfangreiche Standardlösungen, wie DPS, ASP, OCI oder Onlineshops. Diese werden erst durch eine bestimmte Konstellation von Basisfunktionen (Kapitel 4.2 Basisfunktionen des E-Procurement) charakterisiert und ordnen sich daraufhin in die Terminologie der IT-Experten ein.

E-Business-Lösungen lassen sich in der Praxis nur schwer mit den Standardlösungen vergleichen, denn hinter den Begriffen verbergen sich auf unternehmensindividuelle Anforderungen zugeschnittene Lösungspakete. Für jedes Unternehmen gelten andere Rahmenbedingungen, wie etwa Unternehmensgröße, vorherrschende Kommunikationsinfrastruktur, Beschaffungsgüter oder Integrationsstrategien, die sich auf die weitere Ausgestaltung einer Lösung auswirken.^[39] Somit führt der Weg über die Basisfunktionen eher auf die individuellen Anforderungen eines Unternehmens. Ungeachtet dessen bestimmt die schwerwiegende Entscheidung für oder gegen das Betreiben eines Produktkataloges die Richtung für alle weiteren Aktivitäten.

3 Grundlagen des elektronischen Geschäftsverkehrs

3.1 Signieren von Dokumenten

Zum Austausch von Daten in elektronischer Form gehört auch die Forderung nach Sicherheit und Vertrauen. Wenn Informationen per Fax oder Brief ausgetauscht werden, verlassen sich die Kommunikationspartner auf das Postgeheimnis, die Empfangsbestätigung und die Unterschrift. In der digitalen Welt werden diese Sicherheitsaspekte mit der Kryptographie gelöst. Entscheidet sich ein Unternehmen für den elektronischen Datenaustausch, sollte nach der Einführung mindestens der gleiche oder ein höherwertiger Sicherheitsstandard vorhanden sein. Drei sicherheitsrelevante Anliegen treten beim konventionellen wie beim elektronischen Datenaustausch auf:

1. die Geheimhaltung von Informationen (Verschlüsselung),
2. die vollständig und unveränderte Übertragung (Integrität) und
3. der Beweis der Identität des Urhebers (Authentizität).^[40]

3.1.1 Geheimhaltung durch Verschlüsselung

Über das Internet versendete Daten sind vergleichbar mit dem Versenden einer Postkarte. Vor dem Versenden kennt niemand den Weg im Netz, den die Datenpakete nehmen. Daher lässt sich auch schwer einschätzen, ob sie immer sichere Schaltstellen passieren. Eine Methode ist, die Inhalte von Botschaften durch Verschlüsseln unkenntlich zu machen. Dabei überführt eine bestimmte Vorschrift die Daten in eine Form, die für Außenstehende unlesbar ist. Die Sicherheit eines Verschlüsselungsverfahrens beruht auf die Geheimhaltung dieser Vorschrift, auch Schlüsselinformation genannt. Ein einfaches Beispiel für eine Schlüsselinformation ist die Verschiebung der Buchstaben im Alphabet um eine bestimmte Stellenanzahl.^[41]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3–1 Symmetrische Verschlüsselung

In diesem Fall liegt ein symmetrischer Schlüssel vor, denn die Umkehrung der Vorschrift führt wieder auf das Ausgangswort. Beide Kommunikationspartner kennen den symmetrischen Schlüssel, der zuvor über einen sicheren Kanal, wie beispielsweise die persönliche Übergabe, ausgetauscht wurde. Dieser Umstand sowie die Vielzahl von Schlüsseln mit jedem Kommunikationspartner werden jedoch als Nachteil angesehen. Rijndael, Twofish und 3DES gelten derzeit als sichere symmetrischen Verschlüsselungsverfahren.^[42]

Beim asymmetrischen Verschlüsselungsverfahren existiert ein Schlüsselpaar mit einem öffentlichen und einem privaten Schlüssel, die mathematisch miteinander verbunden sind. Bei der Geheimhaltung steht der öffentliche Schlüssel allen Kommunikationspartnern des Inhabers zum Verschlüsseln der Nachrichten bereit. Allein der Inhaber kann diese mit seinem privaten Schlüssel dechiffrieren. Der private Schlüssel bleibt bei seinem Inhaber im Verborgenen und leitet sich nur mit sehr hohem Rechen- und Zeitaufwand aus dem öffentlichen Schlüssel ab.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3–2 Asymmetrisches Verschlüsselungsverfahren

Zwar erfordert das asymmetrische Verschlüsselungsverfahren im Gegensatz zum symmetrischen das Eintausendfache der Rechenleistung^[43], dafür ist aber kein sicherer Kanal zum Austausch eines symmetrischen Schlüssels notwendig. Weiterhin genügt dem Inhaber nur ein Schlüsselpaar, ganz gleich mit wie vielen Partnern er kommuniziert. Das bekannteste asymmetrische Verfahren ist das RSA-Kryptosystem.^[44]

Im Internet ist häufig eine Kombination aus symmetrischen und asymmetrischen Verschlüsselungsverfahren anzutreffen. Die hybride Verschlüsselung vereint die Vorteile beider Verfahren. Mit einem asymmetrischen Schlüsselpaar tauschen sich die Kommunikationspartner einen geheimen symmetrischen Sitzungsschlüssel aus. Anschließend werden die Nutzdaten durch das symmetrische Verschlüsselungsverfahren, also mit wenig Rechenaufwand, übertragen. Damit der symmetrische Sitzungsschlüssel nicht in falsche Hände gerät, verliert er nach der Übertragung wieder seine Gültigkeit.^[45]

3.1.2 Datenintegrität durch digitale Signaturen

Zur Sicherstellung der Datenintegrität kommen Hash-Algorithmen zum Einsatz. Die Anwendung einer Hash-Funktion auf eine Zeichenkette oder gar ein mehrseitiges Dokument ergibt einen Zahlencode mit konstanter Länge, den sogenannten digitalen Fingerabdruck. Der MD5-Algorithmus (engl. Message Digest 5) beispielsweise erzeugt aus dem Zitat:

Zum Handeln gehört wesentlich Charakter, und ein Mensch von Charakter ist ein anständiger Mensch, der als solcher bestimmte Ziele vor Augen hat und diese mit Festigkeit verfolgt. Georg Wilhelm Friedrich Hegel (1770 – 1831), deutscher Philosoph

die 128 Bit lange Hexadezimalzahl:

ABB9A98C6B67E599EE257C7176D94756.

Die Hash-Funktion ist irreversibel und schon die kleinste Veränderung im Ausgangstext führt zu einem völlig anderen digitalen Fingerabdruck. Verschlüsselt der Versender den digitalen Fingerabdruck, anstatt mit dem öffentlichen wie bei der Geheimhaltung, mit seinem privaten Schlüssel, entsteht daraus eine digitale Signatur. Nur der Versender kann den Fingerabdruck derart verschlüsseln, dass dieser mit seinem öffentlichen Schlüssel wieder in den Urzustand überführt werden kann. Vorausgesetzt der Versender bewahrt seien privaten Schlüssel sicher auf, ist von einer unmanipulierten Nachricht auszugehen. Ob sich allerdings wirklich die vermutete Person hinter den Schlüsselinhaber verbirgt, zeigt erst die Überprüfung eines Zertifikats dieser Person.

3.1.3 Authentizität durch Zertifikate

Ein Zertifikat ist ein von einem vertrauenswürdigen Dritten (Zertifizierungsstelle) ausgestellter Beleg, dass ein öffentlicher Schlüssel auch wirklich zu einer Person oder Organisation gehört, für die sie sich gegenüber ihren Kommunikationspartnern ausgibt. Das Zertifikat besteht aus einem öffentlichen Schlüssel, der Beschreibung des Zertifikatinhabers und der digitalen Signatur der Zertifizierungsstelle. Noch genauer spezifiziert die Norm ISO X.509v3 die Komponenten.^[46] Wie das Zusammenspiel von Zertifikatsinhaber, dessen Kommunikationspartnern und der Zertifizierungsstelle funktioniert, dokumentiert folgende Grafik.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3–3 Vergabe und Prüfung von Zertifikaten

Eine Person beantragt ein Zertifikat, wobei diese persönlich von der Zertifizierungsstelle über einen sicheren Kanal identifiziert wird. Daraufhin weist ihm die Zertifizierungsstelle ein Schlüsselpaar zu und signiert eine Kopie des öffentlichen Schlüssels zusammen mit der Beschreibung zur Person. Anhand dieser digitalen Signatur, lässt sich die Authentizität eines Zertifikatinhabers mit dem öffentlichen Schlüssel der Zertifizierungsstelle zu jeder Zeit verifizieren.^[47] Im weiteren Kommunikationsverlauf signiert der Verfasser die Nachricht mit seinem privaten Schlüssel und fügt sein Zertifikat an.

Gewiss muss der Zertifikatinhaber seinen privaten Schlüssel geheim halten und der Empfänger die Zertifizierungsstelle als vertrauenswürdig einstufen. Letzteres gewährleisten mitunter die Sicherheitsauflagen einer qualifizierten elektronischen Signatur.^[48] Sind diese Voraussetzungen jedoch erfüllt, gilt die digitale Signatur mit Zertifikat als fälschungssicher.

3.1.4 SSL-Verschlüsselungsprotokoll

SSL (engl. Secure Sockets Layer) ist das meist genutzte Verschlüsselungsprotokoll im Internet, welches die drei Anforderungen aus den vorangegangenen Kapiteln für eine sichere Datenübertragung umsetzt. Das SSL Protokoll ermöglicht die eindeutige Authentifizierung der Kommunikationspartner und baut eine sichere, verschlüsselte Verbindung zwischen ihnen auf. Dazu verwendet das SSL-Protokoll die hybride Verschlüsselung.

Eine SSL-Sitzung beginnt mit dem Austausch von Meldungen, dem sogenannten SSL-Handshake. Mit seinem Zertifikat authentifiziert sich der Server gegenüber dem Client, und übergibt seinen öffentlichen Schlüssel. Optional ist auch eine Client-Authentifizierung möglich.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3–4 Aufbau einer SSL-Sitzung

Der Client erstellt eine Vorstufe des geheimen Sitzungsschlüssels (VSS), verschlüsselt diesen mit dem öffentlichen Schlüssel des Servers und sendet ihn an den Server. Aus der Vorstufe des Sitzungsschlüssels erzeugen nun beide Kommunikationspartner unabhängig voneinander den symmetrischen Sitzungsschlüssel, mit dem sie im weitern Verlauf die Anwendungsdaten ver- und entschlüsseln. Damit die Datenpakete unverändert beim Empfänger eintreffen und auch zweifelsfrei aus der aktuellen Sitzung stammen, werden sie zusätzlich mit dem Message Authentication Code (MAC) signiert.^[49]

Die hier vereinfacht dargestellte Schrittfolge einer SSL-Sitzung vollzieht sich im Hintergrund und macht sich dem Nutzer nur durch ein Symbol im Browser kenntlich. Bei einer vollautomatischen Kommunikation zwischen Systemen hingegen sollten Anwender drei Sicherheitsaspekte im Auge behalten, ein nach außen geschütztes System, sichere Verschlüsselungsmethoden und vertrauenswürdige Zertifikate. Für Entwickler beschreibt die Spezifikation RFC 2245 die aktuelle Version der SSL-Protokolls, Transport Layer Security (TLS).^[50]

[...]

^[1] Vgl. Heise 2007

^[2] Vgl. Krimphove 2002, S. 4

^[3] Vgl. Engellandt 2004, S.18

^[4] Vgl. Günterberg 2002, S. 21

^[5] Vgl. IfM 2007

^[6] Vgl. Adam 1998, S. 22

^[7] Vgl. Wikipedia 2007a

^[8] Adam 1998, S. 22

^[9] Vgl. Hansmann 2006, S. 129

^[10] Wikipedia 2007a

^[11] in Anlehnung an Engellandt 2004, S. 26

^[12] Wirtz 2001, S. 34

^[13] Vgl. Reinhard 2005, S. 27

^[14] Vgl. Riehm 2002, S. 4

^[15] Vgl. Baeumle-Courth 2004, S. 128

^[16] Vgl. Engellandt 2004, S. 27

^[17] Vgl. Abts 2002, S. 238

^[18] Vgl. Dolmetsch 2000, S. 37

^[19] Vgl. INCONY 2007

^[20] Vgl. PROZEUS 2007

^[21] in Anlehnung an Nenninger 1999a, S. 290

^[22] Vgl. Wikipedia 2007b

^[23] Vgl. Wannenwetsch 2004, S. 61

^[24] Vgl. Reinhard 2005, S.27

^[25] Vgl. Merz 1999, S. 154

^[26] Vgl. Edicenter 2007

^[27] Vgl. Teialehrbuch 2007

^[28] Vgl. Leukel 2004, S. 153

^[29] Vgl. Thome 2005, S. 201

^[30] Vgl. Tanner 2002, S. 14

^[31] Vgl. Hentrich 2001, S. 20

^[32] Vgl. Hentrich 2001, S. 36

^[33] Vgl. Engellandt 2004, S. 40

^[34] Vgl. PWC 2002, S. 14

^[35] Vgl. Hentrich 2001, S. 30

^[36] Vgl. Engellandt 2004, S. 42

^[37] Vgl. Tanner 2002, S. 8

^[38] Vgl. Engellandt 2004, S. 43

^[39] Vgl. Thome 2004, S. 104

^[40] Vgl. BSI 2007, S. 4

^[41] Vgl. Beutelspacher 2006, S. 39

^[42] Vgl. Wikipedia 2007c

^[43] Vgl. Reischl 1999

^[44] Vgl. Wikipedia 2007d

^[45] Vgl. Vgl. BSI 2007, S. 8

^[46] Vgl. Schartner 2001

^[47] Vgl. Igler 2004

^[48] SigG: Allgemeine Anforderungen, 2001, § 4, Abs. 2

^[49] Vgl. Lehner 2000

^[50] 18.02.2008 ftp://ftp.informatik.uni-hamburg.de/pub/doc/rfc/rfc2246.txt.gz