VOQUZ NOW Jahrgang 2018, Ausgabe 1

 

Embed or link this publication

Description

Das Kundenmagazin der VOQUZ Group

Popular Pages


p. 1

JAHRGANG 18, AUSGABE 1 MAGAZIN FÜR IT SOLUTIONS ENTWICKLUNGS HELFER HUMAN RESOURCES Familie und Beruf - wie geht das? DATENSCHUTZ Was hat die DSGVO bislang gebracht? E-COMMERCE So schützen Sie Ihre Website SAP S/4 HANA: WAS GILT ES ZU BEACHTEN?

[close]

p. 2

EFIDNITAONRCIEAL Helmut Fleischmann Liebe Leserinnen, liebe Leser, die IT-Branche lebt vom stetigen Wandel. Um unsere Kunden optimal zu unterstützen, bieten wir neben unseren SAP Solutions nun auch Dienstleistungen aus dem Bereich Digital Business an. Unser Titelthema DevOps ist dabei nur ein Beispiel, wohin die Reise geht. Auch den Bereich e-Commerce wollen wir in Zukunft mehr ausbauen. Im vierten Teil unserer Serie lesen Sie, was es in Sachen Sicherheit im e-Commerce zu beachten gilt. Außerdem gewährt der Artikel „Wie ein Fisch im Wasser“ einen Einblick in ein konkretes Projekt und zeigt, wie agiles Arbeiten im Wasserfallmodell umsetzbar ist. In den letzten Jahren haben wir es geschafft, Standorte und Partner auf der ganzen Welt zu sammeln. Eine gute nationale und internationale Zusammenarbeit ist uns sehr wichtig. Umso mehr freuen wir uns auf viele weitere gemeinsame Webinare und Kooperationen. In dieser Ausgabe finden Sie einen Gastartikel unseres 2018 neu gewonnenen Partners Matrix42. Außerdem hören Sie mit dem Artikel von Scalable auch eine internationale Stimme. Wir wünschen Ihnen viel Spaß beim Lesen und freuen uns auf Ihr Feedback. Helmut Fleischmann Vorstand VOQUZ Technologies AG INHALT EDITORIAL /IMPRESSUM VOQUZ 3 IM FOKUS: Digital Business DEVOPS 4 ENTWICKLUNGSHELFER DevOps - was steckt dahinter? DIENSTLEISTUNG 7 WIE EIN FISCH IM WASSER Agil vs. Wasserfall DATENSCHUTZ 9 DSGVO Ein paar Absurditäten... E-COMMERCE 10 SICHERHEIT IM E-COMMERCE Schützen Sie Ihre Website vor Dritten HUMAN RESOURCES 12 EIN BESONDERES PROJEKT Familie und Beruf - wie geht das? PARTNER 14 HERAUSFORDERUNGEN, ERFOLGSFAKTOREN, VORGEHENSWEISE SAM-Projekte erfolgreich stemmen S/4HANA 16 ALLES EINE FRAGE DER MIGRATION Eine neue Lizenzwelt mit Potential PARTNER 18 SAMQ TRIFFT ASSET VISION VOQUZ und Scalable in Verbindung NEWS 19 DAS BESTE ZUM SCHLUSS Messezeit bei VOQUZ IMPRESSUM Herausgeber VOQUZ Technologies AG, Marketing Reichenbachstraße 2 85737 Ismaning, Germany Telefon +49 89 925191-0 Telefax +49 89 925191-799 kontakt@voquz.com www.voquz.com Jahrgang 18, Ausgabe 1 Konzeption, Redaktion und Gestaltung Regina Lauer, VOQUZ Christian Steiner, VOQUZ Bildnachweis Titel, S. 4,6: kallejipp / photocase.de S. 7,9: VOQUZ Redaktion S. 10: buunxbu / photocase.de S. 12: Barbara Lafuente S. 15: VOQUZ Redaktion S. 16: 2am / photocase.de S. 18: VOQUZ Redaktion Nachdruck nur mit ausdrücklicher Genehmigung der Redaktion sowie Angabe der Quelle und Belegexemplar. 2

[close]

p. 3

IM FOKUS: DIGITAL BUSINESS VOQUZ Warum VOQUZ auf Digital Business anstatt auf Digitale Transformation setzt... Big Data, Blockchain, Internet of Things – das sind nur einige der Begriffe, die die IT-Welt in den letzten Jahren beherrscht haben. Die Veränderungen schreiten dabei immer schneller voran. Um den wachsenden Herausforderungen der digitalen Welt optimal zu begegnen, braucht man deshalb breit gefächerte Fähigkeiten. Als IT-Dienstleister ist die VOQUZ Group auf die kommenden Veränderungen vorbereitet und steht ihren Kunden mit tatkräftiger Unterstützung zur Seite. Besonders hitzige Debatte Das Thema Digitale Transformation wird gerade besonders hitzig diskutiert und es gibt zahlreiche Angebote dazu. Auch VOQUZ befasst sich mit digitalen Prozessen, spricht dabei aber lieber von Digital Business anstatt von Digitaler Transformation. Warum? Aus VOQUZ-Sicht ist der Begriff Transformation negativ behaftet und suggeriert, dass alte Prozesse schlecht sind und komplett durch neue ersetzt werden müssen. In diesem Sinne bedeutet Digitale Transformation etwas, dass viele der Kunden nicht brauchen – eine komplette Umstrukturierung. Nicht jeder muss etwas transferieren, da ein Großteil der Firmen bereits digitale Lösungen einsetzt. Verstärkte Präsenz Nicht alles Umgesetzte ist schlecht, muss aber gegebenenfalls angepasst oder durch weitere Bausteine ergänzt werden. Betrachtet man den End-to-End-Prozess, muss nicht zwingend transformiert werden. Mit VOQUZ identifizieren Sie die richtigen Prozesse – damit sind Sie für die digitale Zukunft gerüstet. Das Thema Digital Business spiegelt sich in Zukunft auch immer mehr auf der VOQUZ-Homepage und dem firmeneigenen Blog wider. Neben bisherigen Gebieten wie SAM, SAP Solutions und Security gibt es hier auch alles Wissenswerte um Themen wie Customer Experience, Blockchain oder Artificial Intelligence. 3

[close]

p. 4

DEVOPS Ob auf Konferenzen oder im Internet - der Begriff „DevOps" begegnet uns immer wieder Dass Entwicklung (Development) und Betrieb (Operations) besser zusammenarbeiten sollen ist nicht neu - das agile Zauberwort dazu heißt DevOps und erfährt schon seit einiger Zeit einen großen Hype. Zurecht? Lassen sich damit wirklich Probleme in der „traditionellen" Herangehensweise an ein Softwareprojekt beheben? VOQUZ NOW geht auf Spurensuche... 4

[close]

p. 5

DEVOPS Man stelle sich ein komplexes Projekt vor. Sagen wir im Bereich Supply Chain im Automotive-Umfeld. Hier sind die Komplexität der Prozesse und die Abhängigkeiten zwischen den am Prozess beteiligten Stellen, wie zum Beispiel Lieferanten und Transportdienstleister, über das gesamte Projekt sehr hoch. Wenn es nun darum geht, die Projektanforderungen an ein neu zu erstellendes IT-System bzw. die Anpassung eines bestehenden zu definieren, fangen die Probleme an. Keiner im Projektteam kann am Anfang den Gesamtprozess und die Lösungsmöglichkeiten durchdringen und ein vollständiges Lastenheft erstellen. Da erweist sich nicht unbedingt als zielführend, wenn der entsprechende Fachbereich die technischen Anforderungen an ein IT-System definiert und drei Jahre vor Implementierung in einem Word- oder Powerpoint-Dokument zusammenträgt. Hier stößt die traditionelle Herangehensweise an ihre Grenzen. Mit dem Ansatz von DevOps werden agile Methoden auf den IT-Bereich übertragen und Standardmodelle für die Softwareentwicklung und IT-Betrieb miteinander verbunden. Weil die Verfahren im gesamten Softwareprozess identisch sind, entstehen kürzere Releasezyklen und das Risiko von ungetesteten Elementen sinkt. DevOps ist eine logische Konsequenz des Siegeszugs der Agilität und wenn man will, damit auch eine Auswirkung der Digitalen Transformation bzw. Disruption (oder besser eine Maßnahme gegen diese). Die Erwartungen der Kunden (egal ob intern oder extern) haben sich in den letzten Jahren grundlegend geändert: Einerseits verfügen die Mitarbeiter auf der Businessseite über ein deutlich gesteigertes Verständnis für IT im Allgemeinen und deren Prozesse; andererseits verkürzen sich die Produktlebenszyklen in allen Branchen. Die IT steht zunehmend unter Zugzwang Schnelle Releasezyklen, entsprechende Reaktionszeiten auf Änderungswünsche, erhöhte Anforderungen an Sicherheit und die Time-toMarket neuer Geschäftsmodelle sind die logische Konsequenz bei den Anforderungen an die IT und ausschlaggebend für den dauerhaften wirtschaftlichen Erfolg. In der Folge stehen interne IT-Abteilungen und besonders IT-Unternehmen zunehmend unter Zugzwang, da sie mittlerweile einen nicht unbedeutenden Anteil am gesamtwirtschaftlichen Erfolg tragen. Konkret bedeutet dies: Nur wer schnell ist, überlebt am Markt. Und diese Devise gilt umso mehr für einen IT-Dienstleister denn für die interne IT. In beiden Fällen braucht es dafür aber neue Arbeitsstrukturen und – wenn man konsequent weiter denkt und das tun wir bei VOQUZ bekannterweise – eine neue Unternehmenskultur. DevOps wird als eben solche mit bestimmten Prinzipien verstanden, die ein Unternehmen anstrebt und langfristig verfolgt. Keep C.A.L.M.S. and carry on! Grundsätzlich sollte die Unternehmenskultur aber auch die Management-Strategie von fünf Grundprinzipien geprägt sein1. • Kultur (Culture): Gegenseitiges Vertrauen, stetiger Informationsfluss, Lernbereitschaft • Automatisierung (Automation): Automatisierung bestimmter und entscheidender Arbeitsvorgänge • Schlankes Management (Lean): Schlanke Prozesse vermeiden Verschwendung und generieren Wert, Transparenz schafft Vertrauen, ganzheitliche Prozessoptimierung • Messbarkeit (Measurement): Einheitliche Bewertungskriterien (auch über die Applikation und ihre Komponenten hinaus) • Teilen (Sharing): Bereitschaft, Wissen zu teilen, voneinander zu lernen und Erkenntnisse proaktiv mitzuteilen Diese fünf Bestandteile (Keep C.A.L.M.S. and Carry On) bilden die Grundlage für eine effizientere Zusammenarbeit und eine bessere Qualität des Endproduktes. DevOps ist zwar selbst kein Werkzeug, jedoch bilden Software-Tools zur Automatisierung und dem Messen wichtige Bausteine bei einer erfolgreichen Implementierung. Das Herz von DevOps sind aber die Mitarbeiter. Besonders ihre Art und Weise, wie sie mit anderen zusammenarbeiten. Verbesserung der gesamten IT-Performance Mitarbeiter sollten in möglichst viele Entscheidungsprozesse mit einbezogen werden. Besonders wenn es um die Entscheidung der unterstützenden Tools geht, denn die sorgen am Ende für die tägliche Zufriedenheit. Je mehr die DevOps-Philosphie gelebt wird, desto mehr verbessert sich die gesamte IT-Performance. Gegebenenfalls müssen „Wanderer“ zum Einsatz kommen, die mehrere Seiten verstehen und zwischen widersprüchlichen Interessen vermitteln können (bspw. der Scrum Master innerhalb eines Scrum Teams). Quelle: 1 John Willis https://itrevolution.com/devops-culture-part-1/ 5

[close]

p. 6

DEVOPS Alle Entwicklungsprozesse werden ganzheitlich berücksichtigt Denn nur gemeinsame Verantwortung für die Ziele, Transparenz und schnelle Feedbackschleifen machen aus einem DevOps-Team ein erfolgreiches. Es ist also obligat, dass die Arbeitsmethodik agil sein muss. Isoliert arbeitende Teams denken oft nicht in Systemen, wie es bei DevOps üblich ist. Wer in Systemen denkt, weiß, dass seine Handlungen nicht nur das eigene Team beeinflussen, sondern auch alle anderen am Releaseprozess beteiligten Teams. Ein Mangel an Transparenz und gemeinsamen Zielen führt zu mangelnder Abhängigkeitsplanung, nicht abgestimmten Prioritäten, Schuldzuweisungen und fehlendem Verantwortungsgefühl. DevOps verändert die Denkweise, indem alle Entwicklungsprozesse ganzheitlich berücksichtigt und die Grenzen zwischen Entwicklerund Operations-Teams überwunden werden. Wer A sagt... DevBizOps Wie eingangs erwähnt, erweist es sich als wenig zielführend, Anforderungen einmalig zu Beginn eines Projekts zu definieren. Denn oftmals merken Anwender erst bei der täglichen Arbeit mit dem System, welche Funktionen ihnen fehlen und was die IT hätte besser machen können. Der Schlüssel zum Erfolg sind demnach sogennante DevBizOps-Teams, also interdisziplinäre Teams aus Vertretern des beauftragenden Fachbereichs oder Kunden, Softwareentwicklern und Betriebsverantwortlichen, so kann die zu entwickelnde Software optimal zur Geltung kommen und früh in Betrieb genommen und vor allem im laufenden Betrieb kontinuierlich verbessert werden. DevOps bei VOQUZ DevOps bieten das Potential in agilen Prozessen und durch entsprechende Tools eine schnellere Entwicklung und dadurch schnellere Releases anbieten zu können. Auch verteilte Teams, überregional und international, stehen dabei im Fokus. Meist wird dabei aber übersehen, dass diese Methodik nicht allein durch den Zusammenschluss mehrerer unterschiedlicher Teams automatisch zum Erfolg führt. Die Teams, gerade die beiden Bereiche Development und Operations, stehen sich meist eher skeptisch gegenüber. Dieser Umstand wiederum führt in vielen Unternehmen dazu, dass die erhofften Resultate nicht oder nicht im gewünschten Maß eintreten. Genau für diese Problemstellung bietet die VOQUZ Group ein begleitendes und auf die jeweilige Problemstellung maßgeschneidertes Coaching an. Darüber hinaus kann VOQUZ eine große Bandbreite an DevOps-Themen abdecken, z.B. die Tools: Nagios (& Icinga), Monit, ELK – Elasticsearch, Logstash, Kibana , consul.io, Jenkins, Docker, Ansible, Collectd/Collectl, Git (GitHub), die Betriebssysteme: Linux/UNIX und IaaS (Infrastruktur as a Service) durch eigene gehostete Systeme und die Entwicklung in Java, Eclipse, JBOSS, DB Oracle, etc. 6

[close]

p. 7

DIENSTLEISTUNG Wir zeigen wie agiles Arbeiten wirklich geht Der Onlinehandel boomt – jedes Jahr werden es mehr Kunden, die online einkaufen. Als Unternehmen muss man sich auf diesen Wandel einstellen, um weiterhin konkurrenzfähig zu bleiben. Der Onlinehandel boomt – jedes Jahr werden es mehr Kunden, die online einkaufen. Als Unternehmen muss man sich auf diesen Wandel einstellen, um weiterhin konkurrenzfähig zu bleiben. Benutzerfreundlichkeit ist hier das A und O. Der Kunde sollte sich intuitiv im Shop bewegen können, damit der Besuch auch zum Kauf führt. Chaotische Strukturen und komplizierte Registrierungsverfahren sind da fehl am Platz. Deswegen unterstützt VOQUZ ein Unternehmen aus dem Paket- und BriefExpressdienst bei der Shop-Integration und bewies damit zugleich, dass agiles Arbeiten im Wasserfallmodell sehr wohl möglich ist. Viele Onlineshops arbeiten immer noch mit alten Systemen und sind daher recht unübersichtlich. Als Besucher kommt man von einer Unterseite zur nächsten und weiß am Ende gar nicht mehr, wo man überhaupt ist. Hat ein Unternehmen mehrere Shops zu unterschiedlichen Themen, kann auch die Registrierung nervenaufreibend sein, da sie für jeden Shop einzeln erfolgen muss. Viel besser ist es da, alle Shops in einen zu integrieren. Dadurch vereinfacht sich die Handhabung extrem und die Benutzerfreundlichkeit wird gesteigert. Mit der richtigen Unterstützung durch das VOQUZ e-Commerce-Team wurden so auch die verschiedenen Shop-Komponenten eines Unternehmens aus dem Paket- und Brief-Expressdienst zusammengelegt. Die Ausgangslage Das Unternehmen, das den Auftrag erteilte, unterhielt bisher unterschiedliche Shops für jeweils verschiedene Produktbereiche. Allerdings war die Struktur so verzweigt, dass Kunden beim Durchklicken der Seiten teilweise den Überblick verloren. Zudem mussten sich die Nutzer für jeden Shop des Unternehmens einzeln registrieren. Da der bisherige Solution-Provider des Unternehmens nicht mehr alle Aufgaben alleine bewältigen konnte, beauftragte das Unternehmen aus dem Paket- und Brief-Expressdienst VOQUZ als weiteren Solution-Provider für den Oracle Commerce-Bereich. Die 7

[close]

p. 8

DIENSTLEISTUNG gesamte Entwicklung des Shops übernahmen sechs Entwickler und ein Architekt aus unserem Team. Das Ziel? Ein übersichtlicher Shop! Ziel war es, aus einer weit verzweigten Shop-Struktur einen einzigen Haupt-Shop zu machen, der einfach zu bedienen ist. Für die Vereinheitlichung sollten die drei einzelnen Shops für Bürobedarf, Sammler und Tinten/Toner mit dem bisherigen Shop auf einer gemeinsamen Plattform zusammengelegt werden. Zudem sollte der entstehende Haupt-Shop erweitert und umbenannt werden, um ein einheitliches Bild zu schaffen. Auch eine Kundenmigration wurde geplant, damit das Unternehmen keine doppelte Datenhaltung mehr in ihren einzelnen Systemen hat. Dadurch sollte sich auch die Benutzerfreundlichkeit erhöhen: Die Kunden finden sich bei dieser All-in-one-Lösung viel schneller zurecht und müssen sich nur einmal registrieren, um alle Angebote zu nutzen. Ein weiterer Vorteil ist, dass diese Variante auch die Verwaltung der Seite durch das Unternehmen selbst vereinfacht. Heiko Mock, Consultant und ORACLE Commerce Architect bei VOQUZ IT Solutions No risk no fun Für das e-Commerce-Team von VOQUZ war der Auftrag eine willkommene Herausforderung. Zunächst war für das Projekt noch eine sechsmonatige Einarbeitungsphase geplant, um sich ausreichend darauf vorzubereiten. Jedoch wurde eben diese Einarbeitungszeit kurzfristig gestrichen und das Team startete direkt. Und das, ohne das System im Detail zu kennen und ohne den Code vorher gesehen zu haben. Am Ende blieben nur etwa zwei bis drei Wochen Zeit, um sich mit den Anforderungen des immerhin 16 Jahre alten Systems vertraut zu machen. Agil vs. Wasserfallmodell Ein weiterer, entscheidender Faktor innerhalb des Projekts war die scheinbare Inkompatibilität der beiden genutzten Arbeitsmodelle. Das Unternehmen, das den Auftrag gegeben hatte, arbeitet im klassischen Wasserfallmodell, die Projektmitarbeiter von VOQUZ arbeiten hingegen bereits agil mit Scrum. Im Wasserfallmodell wird normalerweise erst entwickelt, wenn alle nötigen Dokumente da sind. Da dies zu Projektbeginn jedoch nicht der Fall war, fing das VOQUZ-Projektteam an, direkt an den bereits bestehenden Dokumenten weiterzuarbeiten. Obwohl eine Vereinbarkeit der beiden Arbeitsweisen zuvor vom Projektmanagement als schwierig, wenn nicht gar unmöglich eingeschätzt wurde, stellte sich das Team der Herausforderung. So konnte VOQUZ zeigen, dass es durchaus möglich ist, agil im Wasserfallmodell zu arbeiten. Hätte man darauf warten müssen, dass erst alle Dokumente fertig sind, hätte das Projekt nicht in der angegebenen Zeit realisiert werden können. Auf Grund der kurzen Einarbeitungsphase wären eine lange Planung und eine lineare Vorgehensweise nicht optimal gewesen. Ein agiles Vorgehen schien somit geeigneter, da es so ermöglichte, flexibel an verschiedenen Stellen weiterzuarbeiten. Das Team konnte auf diese Weise zeitgleich zur Entwicklung bereits die Umgebung installieren und die Software deployen. Einzelfunktionalitäten wurden direkt geliefert, wenn sie fertig waren. So war auch der Kunde flexibler und konnte unmittelbar das User Acceptance Testing (UAT) durchführen. Damit konnte man einige wichtige Arbeitsschritte vorziehen, die im Wasserfallmodell erst ganz am Ende des Arbeitsablaufs gestanden hätten. Ende gut, alles gut Den vorher festgelegten Zeitplan konnte das Team einhalten. Das Projekt wurde somit innerhalb von lediglich zehn Monaten fertiggestellt. Noch vor dem Weihnachtsgeschäft konnte die Seite live gehen und überzeugt seither die Kunden des Unternehmens durch eine übersichtliche Struktur der Seite und eine einfache Handhabung. Das Unternehmen war nach Fertigstellen des Projekts so zufrieden, dass es eine weitere Zusammenarbeit mit VOQUZ beschloss. Das VOQUZ-Projektteam wird sich auch weiterhin um den Shop kümmern und in Best Practice-Manier regelmäßige Verbesserungen daran vornehmen. 8

[close]

p. 9

DATENSCHUHTRZ Seit Ende Mai ist sie in Kraft und sorgt mitunter für die ein oder andere Absurdität. Der Staat hätte hier Abhilfe schaffen können. Die DSGVO, die als Text schon seit 2016 zur Verfügung stand, trat am 25. Mai in Kraft. Auf nationaler Ebene brach zumindest in Deutschland Chaos aus. Zahlreiche KMUs, aber auch Blogger und sogar die Düsseldorfer Anwaltskammer nahmen ihre Internetauftritte wegen entstandener Unsicherheiten zeitweise vom Netz. Doch das Internet ist nur eine Seite der Medaille, aber diejenige die erst einmal am auffälligsten betroffen ist. Es ist bei genauer Beachtung der Vorschriften schon schwierig, das Einverständnis zur Datenverarbeitung einzuholen, da auch dabei schon Daten anfallen, die zu schützen sind. Beispiel Fotografie Viele Unsicherheiten ergeben sich bei der Veröffentlichung von digitalen Fotos. Neben den schon schwierig zu beurteilenden Fragen des Copyrights, wenn z. B. der angestrahlte Eiffelturm im Hintergrund sichtbar ist, kommen jetzt Fragen hinzu, ob auch Personen der Veröffentlichung zustimmen müssen, die nur zufällig abgebildet sind. Wer mit einem klassischen Film fotografiert, ist so lange nicht betroffen, wie er das Foto nicht in einen Computer einscannt. Da dann das Foto in einem Dateisystem vorliegt, gelten die DSGVO-Vorschriften. Zu vielen Fragen dieser Art hätte der Bundestag schon seit zwei Jahren entsprechende Rechtsvorschriften erlassen können, die einer Überreglementierung einen Riegel hätten vorschieben können. Verfahren und nationale Gesetze, die einzelne Aspekte der DSGVO auf ein vernünftiges Maß zurückschrauben können, sind sogar ausdrücklich vorgesehen. Die umfangreichen Protokollierungsvorschriften mögen für große Betriebe mit weitgehender Automatisierung von Datenerfassung und -verarbeitung nur eine weitere Datei oder ein weiterer Aktenstapel sein. Für kleinere Betriebe oder Einzelunternehmer mit geringem oder gar keinem Personal entstehen dagegen Arbeitsaufwand und -kosten, die nicht produktiv sind. Schlüsseldienst rufen? Schwierig! Schon die Erfassung von Kundenadressen in einem sortierten Zettelkasten, ist im Prinzip eine Erfassung in einem Dateisystem. Und wehe dem, der wegen eines Notfalls z.B. einen Klempnernotdienst anruft. Ist er dort nicht schon Kunde, müsste der Mitarbeiter am Telefon dem potenziellen Neukunden erst einmal eine Datenschutzerklärung vorlesen, bevor er sich das Anliegen des Kunden überhaupt anhört. Es kommt hinzu, dass je nach Art des Gewerbes bestimmte Daten während eines bestimmten Zeitraums nicht gelöscht werden dürfen, auch nicht wenn es der Kunde verlangt. Löschen! Nicht mit uns! Doch dem Löschersuchen ist Folge zu leisten; entsprechend müssen dann auch noch Listen angelegt werden, wann welcher Kunde aus der Datenbank des Unternehmens zu löschen ist, was aber auch dokumentiert werden muss – und schon ist der Name des Kunden wieder im Spiel, denn es soll ja dokumentiert werden, dass er ordnungsgemäß gelöscht wurde. Irrwitz? Beißt sich die Katze dabei in den eigenen Schwanz, oder wurde das Gesetz hier falsch verstanden? Hier scheint der Bundestag geschlafen zu haben, wobei er der Sammelwut von vielen Behörden, beispielsweise bei Fluggastdaten, keinen Riegel vorgeschoben hat. Anlasslos sollen hier die Bewegungsdaten nebst Auskünften wie Sitzplatz, Speisewünschen etc. gespeichert werden. Nach einem halben Jahr zwar anonymisiert, aber so, dass eine spätere De-Anonymisierung jederzeit möglich ist. Ist das Thema dem deutschen Gesetzgeber auch zu schwierig? 9

[close]

p. 10

E-COMMERCE Sicherheit im e-Commerce Wieder und wieder berichten die Medien über gehackte Webseiten. Dabei beziehen sich diese Nachrichten bei weitem nicht nur auf kleine Website-Betreiber. Häufig sind einige der größten und bekanntesten Unternehmen der Welt betroffen. In den letzten Jahren gehörten unter anderem Sony, PayPal, Twitter, Adobe und Ebay dazu. Nun stellt sich die Frage, was können Sie tun, um Ihre eigene Website gegen den Zugriff durch Dritte zu schützen? In diesem Artikel sprechen wir kurz drei der häufigsten Sicherheitsprobleme an und zeigen Ihnen, auf was Sie achten müssen. In einer Umfrage des Ponemon Instituts1 haben 73% der befragten Unternehmen zugegeben, dass sie in den letzten zwei Jahren gehackt wurden. Und das sind nur diejenigen Unternehmen, die den Angriff bemerkt haben. Die geschätzte Anzahl nicht gemeldeter Fälle scheint sogar noch größer zu sein. Warum gibt es so viele Hacker-Angriffe? Ein wichtiger Grund für die erfolgreichen Angriffe ist das fehlende Kapital. Oft ist sogar das Kaffee-Budget größer als die Investitionen, die in das Thema Sicherheit gesteckt werden. Auf der anderen Seite ist sicherlich der Mangel an gut ausgebildetem Personal ein Problem, denn jeder Entwickler muss über entsprechende Kenntnisse verfügen. Zudem genügt es nicht, nur einen Sicherheitsexperten im Team zu haben, denn die möglichen Ziele sind zahlreich und die entsprechenden Lösungen manchmal recht komplex. Cross-Site-Scripting Cross-Site-Scripting (kurz XSS) beinhaltet die Manipulation der gelieferten Website durch Infiltrieren des HTML-oder JavaScriptCodes. Allerdings ist die Bezeichnung etwas irreführend, da keine Cross-Site, also eine zweite Seite, erforderlich ist, um einen solchen Angriff durchzuführen. Das Risiko besteht darin, dass der Inhalt auf einer Website zuerst geändert und so Informationen entfernt oder verfälscht werden können. Noch schlimmer ist es, 10

[close]

p. 11

E-COMMERCE wenn auf einem kompromittierten Browser auch Aktionen wie ein Kauf oder – wenn es sich auf einen Administrator bezieht – die Schaffung neuer Benutzerkonten ausgelöst werden können. Die größten Probleme entstehen allerdings durch das Ausspionieren von Daten. So können authentifizierte Sitzungen übernommen und technisch gesicherte Daten gelesen und automatisch gesendet werden. Ein gültiger Schutz ist das kontextsensitive „Escaping“ bei der Ausgabe von HTML, JavaScript und sogar CSS-Codes. Allerdings kann dies je nach Anwendung und Schachtelungsfaktor sehr komplex und daher fehleranfällig sein, da es sich auch um HTML in JavaScript handeln kann. So wurde zum Beispiel eine weitere XSS-Schwachstelle in TweetDeck oder auch der Foren-Software des bekannten e-Commerce-Systems Magento entdeckt. Aus diesem Grund wird die Verwendung einer Template-Engine empfohlen, die sich um dieses Problem kümmert. Die von der Firma SensioLabs entwickelte Engine hat einige der besten EscapeMechanismen und bietet zudem einen guten Schutz gegen die meisten XSS-Angriffsszenarien für PHP-Websiten. Aus Code-Perspektive handelt es sich bei XSS nicht um eine einzige Sicherheitsanfälligkeit. Vielmehr geht es um eine ganze Gruppe von Schwachstellen, die hauptsächlich die Injektion von Schadcode in verschiedene HTML-Kontexte beinhaltet. Es gibt keine Lösung, um alle XSS-Schwachstellen mit einer magischen „Säuberungsfunktion" zu beheben – Entwickler müssen das wirklich verstehen. So gibt es für JSP-Seiten beispielsweise ein JSP-Validator-Tool, das auf dem Jasper-Compiler basiert, und den Code darauf überprüft, ob die einzelnen JSP-Seiten über unsichere EL-Ausdrücke verfügen. Injektionen Relativ bekannt ist das Risiko von SQL-Injektionen, die es beispielsweise erlauben, mit manipulierten Parametern Daten in der Datenbank zu ändern oder zu lesen. Zu diesem Zweck werden Parameter, die ungefiltert an die Datenbank übergeben werden, missbraucht. Ein wichtiges Element ist hier das Semikolon, das in einer SQLAbfrage dafür sorgt, dass der Befehl bereits ausgeführt wird, bevor der Rest der Abfrage jemals validiert wird. So wird ein weiterer Befehl angehängt, der ursprünglich nicht von der Software vorgesehen war. Der beste Schutz gegen solche SQL-Injektionen ist die Verwendung parametrisierter Abfragen. Allerdings ist das Ganze sehr umfangreich. Es gibt im Prinzip mit jeder Art von Interpreter die Möglichkeit der Injektionen. Sehr gefährlich ist unter anderem die Übertragung nicht validierter Parameter auf Funktionen wie „eval“ oder Systembefehle. Aber auch weniger offensichtliche Interpreter sind betroffen, sodass die Manipulation von Parametern beim Aufruf einer Web-API auch weitreichende Folgen haben kann. Ein allgemeines Beispiel ist die Manipulation von e-Mails über eine Mail-Header-Injektion, da der „from"-Header z.B. durch die „Email a Friend"-Funktion vom Benutzer definiert wird. Wird nun anstelle einer gültigen e-Mail-Adresse auch ein Zeilenumbruch in den Parameter hinzugefügt, können nicht nur weitere Empfänger der e-Mail definiert werden, sondern auch Betreff und Text manipuliert werden. Um dies zu verhindern, muss dringend überprüft werden, dass in den Daten kein Zeilenumbruch vorhanden ist. Cross-Site-Request-Forgery Auch wenn die Seite gegen XXS und Injektionen geschützt ist, gibt es da noch andere Risiken, wie die Cross-Site-Request-Forgery (Short CSRF). Die Idee dahinter ist, einem Server vorzutäuschen, dass man ein anderer Benutzer ist, der zum Beispiel derzeit in einem Shop-System authentifiziert ist. Die Authentifizierungen werden in der Regel in der Sitzung oder einem Cookie gespeichert. Diese Informationen können von Dritten nicht gelesen werden, es sei denn, es gibt eine XSS-Schwachstelle. Aufgrund der Funktionalität des Tab-Browsings befinden sich Nutzer heutzutage nur noch selten auf einer einzigen Website. Und hier liegt leider die Wurzel des Problems. Eine bösartige Seite kann nun beispielsweise über ein „iframe“ die authentifizierte Seite einbetten. Dank der Cookies wird der Browser automatisch identifiziert. Somit kann eine Abfrage über das „iframe“ gesendet werden, oder – wenn entsprechende Berechtigungen verfügbar sind – ein neues Benutzerkonto für den Angreifer erstellt werden. Eine gute Gegenmaßnahme ist die Verwendung von einmaligen Tokens. Sobald die authentifizierte Seite HTML-Code liefert, der weitere Links zu anderen Seiten auf diesem Server enthält, wird in jedem Fall ein neues Token generiert, das nur für eine einzige Abfrage gültig ist. Wenn wir nun eine Abfrage auf dem Server ausführen, wird das Token validiert; ist es falsch, wird eine Fehlermeldung ausgegeben und die Aktion nicht ausgeführt. Es ist nicht möglich, einfach eine URL auf einem Frame aufzurufen, ohne dieses Token zu kennen. Es ist allerdings wichtig, dass diese Tokens angemessen geschützt sind. Sie werden über eine verschlüsselte Verbindung ausgeliefert, was zur Folge hat, dass sie auf der anderen Seite wiederum nutzlos sind, wenn eine XSS-Schwachstelle auf der Website existiert, die dann erlaubt das Token zu lesen. Aus diesem Grund bitten vor allem große Anbieter wie Amazon und ebay den Benutzer sich erneut zu authentifizieren, wenn es um die Durchführung sensibler Aktionen, wie etwa eine Bestellung oder die Änderung der Profildaten, geht. Quelle: 1 http://www.trendmicro.de/media/report/ponemon-privacy-and-security-in-a-connected-life-us-consumers-report-en.pdf 11

[close]

p. 12

HUMAN RESOURCES „Familie und Beruf - wie geht das?" Barbara Lafuente und ihr Mann Daniel Santurino sind beide bei VOQUZ tätig. Für das Paar gab es letztes Jahr ein ganz besonderes Projekt - während eines laufenden Jobs wurde Barbara Lafuente schwanger und ihr Mann übernahm ihre Stelle als Entwickler. Mittlerweile ist ihr Sohn 10 Monate alt und soll bald in die Tagespflege, da Frau Lafuente gerne wieder in den Job starten will. Damit zeigt Familie Lafuente/Santurino, wie modernes Arbeiten mit einem flexiblen Arbeitgeber möglich ist. 12

[close]

p. 13

HUMAN RESOURCES VOQUZ NOW: Wie lange arbeiten Sie und Ihr Mann schon bei VOQUZ? Ich arbeite seit Februar 2016 und mein Mann seit März 2017 bei VOQUZ. VOQUZ NOW: Wo genau liegt Ihr Arbeitsschwerpunkt? Ich habe über zehn Jahre als Backend-Entwicklerin und Analystin mit Java gearbeitet. In der letzten Zeit habe ich aber auch mit ATG, der e-CommerceSoftware von Oracle, gearbeitet. Vor dem Mutterschutz habe ich mich mehr mit dem Frontend beschäftigt. VOQUZ NOW: Sind Ihre VOQUZ-Projekte vor Ort oder müssen Sie oft reisen? Gott sei Dank kann ich die Mehrheit meiner Tätigkeiten vor Ort erledigen. Ich liebe das Reisen aber jetzt mit dem Kind wäre es zu schwer. VOQUZ NOW: Was schätzen Sie besonders an Ihrer Arbeit bei VOQUZ? In meinem letzten Projekt bei RCI Banque war das Arbeitsumfeld sehr freundlich, ohne zu viel Stress und ohne Überstunden. Das finde ich jetzt mit einem Baby auch wichtig für die Zukunft. Außerdem lerne ich immer gerne und mag die neuen Herausforderungen. VOQUZ NOW: Hatten Sie vor der Schwangerschaft bestimmte Vorstellungen zur Vereinbarkeit von Familie und Beruf? Sind diese in Erfüllung gegangen? Eigentlich habe ich mir vorgestellt, früher wieder zu arbeiten. Ich komme aus Spanien und da gibt es nur 16 Wochen Elternzeit – das finde ich wirklich zu wenig. Ich habe anfangs gedacht, dass mir vielleicht acht bis neun Monate reichen würden ... am Ende habe ich nach reiflicher Überlegung dann aber doch zwölf Monate Elternzeit genommen. gangenen Jahres bei VOQUZ angestellt. Ich habe meinen Mutterschutz um eine Woche verkürzt, um ihn so lange wie möglich zu unterstützen. So hatten wir einen Monat Zeit für die Einarbeitung. Normalerweise habe ich ihm morgens die Aufgaben übergeben und nachmittags hat er alleine einige Tasks entwickelt, während ich meine eigenen Tasks zu Ende gebracht habe. Es war lustig, mit jemandem zu arbeiten, der mich so gut kennt. Wahrscheinlich waren unsere Kollegen anfangs skeptisch gegenüber unserer Zusammenarbeit, aber ich glaube, am Ende waren sie anderer Meinung. VOQUZ NOW: In welchen Bereichen bietet VOQUZ als Arbeitgeber besondere Vorteile in Sachen Vereinbarkeit von Job und Familie? Eigentlich wollte ich jetzt schon wieder arbeiten, sah mich aber gezwungen, meine Elternzeit noch etwas zu verlängern, da die Tagespflegeeinrichtung ganz neu ist und der Umbau nicht rechtzeitig fertig war. Aber sowohl die Personalabteilung in Person von Silke Aich als auch Martina Kehnen von unserem Düsseldorfer Standort haben mir immer geholfen und sind mir entgegengekommen. Hoffentlich bleibt das auch in der Zukunft so! Ich freue mich, dass VOQUZ so flexibel und verständnisvoll auf alle Veränderungen eingegangen ist. VOQUZ NOW: Wie geataltet sich der Arbeitsalltag mit Kind? Arbeiten Sie jetzt in Teilzeit oder mehr im Homeoffice als vor Ihrer Elternzeit? Im Prinzip wollte ich wieder Vollzeit arbeiten. Aber leider verläuft die Eingewöhnungszeit meines Kindes in der Tagespflege im Moment noch nicht sehr gut. Deswegen überlege ich noch, ob es vielleicht besser ist, voererst noch Teilzeit zu arbeiten. Wann der richtige Zeitpunkt ist, um wieder voll ins Berufsleben zu starten, ist schwierig einzuschätzen. Man fühlt, dass das Baby nach wenigen Monaten noch nicht soweit ist. Und die Mama wahrscheinlich auch nicht ;) Mein Sohn ist erst zehn Monate alt und da mein Mann und ich hier in Deutschland keine weitere Familie haben, ist er sehr daran gewöhnt, alleine mit mir zu sein. Da dauert die Umgewöhnung eben etwas länger. VOQUZ NOW: Es gab ja ein ganz besonderes Projekt für Sie. Können Sie uns dazu mehr berichten? Wie kam es zu der Zusammenarbeit mit Ihrem Mann? Mein Mann und ich hatten schon einige Monate in Spanien zusammengearbeitet als wir uns kennengelernt haben. Als ich mitgeteilt habe, dass ich schwanger bin, steckte ich gerade mitten in einem Projekt. Thomas Peters hatte die Idee, dass mein Mann mich während des Mutterschutzes im Projekt vertreten könnte. Der Kunde hatte nichts dagegen und so wurde mein Mann am 1. März des ver- Wenn ich wieder Vollzeit in meinem Job arbeiten würde, müsste er von Montag bis Freitag neun Stunden in der Tagespflege bleiben. Wahrscheinlich ist das aktuell zu viel. Selbstverständlich ist er am Wichtigsten für mich. VOQUZ NOW: Liebe Frau Lafuente, vielen Dank für das Interview. Wir wünschen Ihnen und Ihrer Familie alles Gute und weiterhin viel Erfolg im Job! 13

[close]

p. 14

PARTNER HERAUSFORDERUNGEN ERFOLGSFAKTOREN VORGEHENSWEISE Komplexe Software Asset Management-Projekte erfolgreich stemmen - eine Anleitung Der wichtigste Grundsatz, wenn es darum geht, heterogene IT-Umgebungen erfolgreich unter einen SAM-Hut zu bringen, ist: die Schirmherrschaft der Geschäftsleitung. Fehlt diese, haben SAM-Projekte es schwer, Erfolge zu erzielen. Für jedes SAM-Projekt ist es von entscheidender Bedeutung, dass die Geschäftsleitung involviert ist, Ressourcen bereitstellt und Guidelines an die Hand gibt. Lizenzmanagement ist eine Querschnittsfunktion in der Organisation, vergleichbar mit der Buchhaltung. Eine Isolierung von den technischen und kaufmännischen Veränderungsprozessen im Unternehmen bedeutet Kontrollverlust über das Datenmanagement und resultiert zwangsläufig im Datenmüll. Prioritäten setzen Soll ein SAM-Projekt erfolgreich laufen, ist es wichtig, Prioritäten zu definieren. In der Praxis hat es sich bewährt, auf einzelne Hersteller zu fokussieren und den richtigen Lösungsansatz zu wählen. Ein „WasserfallPrinzip“ bei der Aufarbeitung von Altlasten sollte vermieden werden. Die größte Herausforderung bei allen SAM-Projekten ist die Datenqualität, da Daten aus verschiedenen Prozess- und Datensilos zusammenführt werden. Jede Datenquelle hat erfahrungsgemäß ihre Fehler. Sobald man diese Daten zusammenbringt, können kaum valide Ergebnisse erzielt werden. SAM-Projektleiter sollten daher einplanen, zuerst ein Datenclearing durchzuführen und die Softwarewelten des Unternehmens vollständig erfassen. Stammdaten sind das Fundament Organisatorische Stammdaten sind die Grundlage jeder Lizenzbilanz. Zu klären sind folgende Fragen: • Wie ist die Organisation aufgebaut? • Wie sind die Beteiligungsverhältnisse der verschiedenen legalen Einheiten des Unternehmens? • Wie sind die Kostenstellen gegliedert? • Wer ist jeweils verantwortlich? • Woher kommen die Personaldaten? Viele SAM-Projekte starten zunächst als Stammdaten-Projekt, um sicherzustellen, dass Veränderungen der Stammdaten im SAM-Projekt synchronisiert sind. Beispiel: Kommt es zu einer Veränderung der Beteiligungen innerhalb der Unternehmensgruppe, die Rahmenverträge torpediert, ist das mehr als kontraproduktiv für das Lizenzmanagement. Nicht selten erhält im Endeffekt das SAM-Tool die Hoheit über die weitere Pflege der Stammdaten. Stammdaten sind das Fundament Bevor die Beschäftigung mit technischen Fragen beginnt, sollten zunächst die Verträge iterativ Hersteller für Hersteller in einer priorisierten Abfolge gesichtet werden. Das richtige Verständnis über die geltenden Verträge kommt vor der Aufarbeitung der Beschaffungshistorie, in welcher die bisherigen Lizenzkäufe validiert und abgeglichen werden. Meist steht nur ein kleiner Teil der benötigten Informationen zur Verfügung. Vor allem in verteilten Organisationen, die anorganisch gewachsen sind, sind konkurrierende Vertragssituationen keine Seltenheit. Daher sind Vorarbeiten notwendig, um die Vertragssituation, die Kaufverträge und die erworbenen Lizenzen zu klären. Die Praxis zeigt, dass das Hauptproblem in Audits 14

[close]

p. 15

PARTNER überwiegend darin besteht, dass Vertragssituation und Erwerbshistorie nicht sauber und valide dargestellt werden können. Wie komme ich an meine erste Lizenzbilanz? Angenommen, alle Daten sind im SAM-Tool integriert, beginnt der Kernprozess für das eigentliche Lizenzmanagement: Die iterative Bestandsaufnahme. Sie umfasst die: Mit stumpfen Messern kann man nicht schneiden. Lizenzmanagement besteht überwiegend aus Organisation. Dennoch geht es ohne die richtigen Werkzeuge nicht. Die eingesetzten Tools müssen flexibel anpassbar sein und die Prozesse unterstützen. • Klärung der Rahmenverträge • Klärung der Lizenzbestände • Klärung der Installationen • Klärung der Nutzung • Klärung fehlender Daten Im SAM-Tool sollten die beschafften Informationen festgehalten und abgebildet werden: Software - Client - Mobile Geräte - Cloud Software kann auf verschiedene Art und Weise bereitgestellt werden. Sind es nur die klassischen Clients, die interessant sind oder sind es auch die Server? Die Server sind insofern relevant, weil hierbei wesentlich mehr Geld in Software investiert wird. Mobile Geräte können ebenfalls ein Thema sein, genauso wie Softwareas-a-Service (SaaS), welche eventuell von den Fachabteilungen selbst eingeführt wurde, ohne dass die IT-Abteilung davon Kenntnis hat. Einbezogen werden müssen auch private und externe Geräte (Bringyour-own-device), auf denen Software im Unternehmen eingesetzt wird. • Dokumentation der Verträge • Dokumentation der Lizenzen • Festlegung der Lizenzpools • Konfiguration der automatischen Verbuchung installierter Software Es empfiehlt sich, diese Vorgehensweise herstellerweise vorzunehmen und alle Informationen zu validieren. So wächst eine valide Lizenzbilanz mit jedem Durchlauf: • Abstimmung des Bilanzstatus • Dokumentation von Spezialitäten • Übergabe in den Regelbetrieb (Fortschreibung der Bilanzpositionen) Wird entsprechend stringent vorgegangen und darauf geachtet, dass keine invaliden Daten in die Eröffnungsbilanz rutschen, steht dem Erfolg im Regelbetrieb nichts entgegen. Ein Beitrag unseres Partners Matrix42. 15

[close]

Comments

no comments yet