Auch wenn bei der New Economy nach wie vor der Grabgesang angestimmt wird, ist e-Business nicht mehr aus der Geschäftspolitik der Unternehmen wegzudenken. Vor allem da, wo Prozesse und Kundenbeziehungen effizient und umsatzträchtig mit entsprechender Internet-Technologie unterstützt werden, ist e-Business normaler Bestandteil der Geschäftsabwicklung geworden. Nach wie vor kritisch sind jedoch Ordnungsmäßigkeits- und Sicherheitsanforderungen, denen die Unternehmen in ihrer Sicherheitsarchitektur entsprechen müssen, um sensible Applikationen vor unerlaubten Zugriffen zu schützen. Allein im vierten Quartal 2002 war das Internet weltweit 16,6 Millionen Angriffen ausgesetzt (Quelle: Internet Risk Impact Summary [IRIS], 2002).

Da im e-Business ganze Wertschöpfungsketten elektronisch abgebildet werden, sind IT-Systeme und die damit verbundenen Geschäftsprozesse ganzheitlich zu betrachten. Die IT-Infrastruktur inklusive Hardware, Netzwerken und Software zum Betrieb dieser Infrastruktur, IT-Anwendungen für die operativen Bereiche wie Beschaffung, Produktion, Absatz, Logistik und die dritte Ebene der Geschäftsprozesse, die mit der Finanzwirtschaft eines Unternehmens verbunden sind, müssen besser nach innen und außen abgesichert werden.

Die Geschäftsprozesse im Unternehmen greifen in der Regel auf mehrere IT-Anwendungen zu, die wiederum auf einer entsprechenden IT-Infrastruktur basieren. Der Einsatz von e-Business hat hier vor allem Einfluss auf die Rechnungslegung eines Unternehmens. Über das Internet im Rahmen des e-Commerce getätigte Transaktionen – wie z.B. Kauf und Download von Software, Bezahlung per Kreditkarte usw. – sind relevant für die Rechnungslegung, da diese Geschäftsvorfälle in den Büchern des Unternehmens zu erfassen sind. Der Bereich e-Business ist gekennzeichnet durch interne und externe Integration von Wertschöpfungsketten und damit verbundenen Geschäftsprozessen. Sobald die über Internet-Technologie abgewickelten Geschäftsprozesse Daten der Rechnungslegung im Unternehmen berühren oder Grundlage für die interne Steuerung und der dazu notwendigen Aufzeichnungen sind, tritt der Sicherheitsaspekt deutlich in Erscheinung. Innerhalb der Wertschöpfungsstufen sind dabei an verschiedenen Stellen Informationen zu erfassen, zu verarbeiten und auszuwerten, die sich in der Rechnungslegung widerspiegeln und damit angreifbar werden.

Die zugrundeliegenden IT-Systeme sind strikt nach ihren Sicherheitsanforderungen zu befragen, da Besonderheiten der Technik nichts an der Gültigkeit von Ordnungsmäßigkeitsgrundsätzen – wie Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Ordnung, Nachvollziehbarkeit und Unveränderlichkeit – ändern.

Was heißt das für die e-Business-Anwendung?

Daten müssen vertraulich bleiben: Unberechtigte Zugriffe auf Daten oder Informationen müssen ausgeschlossen sein. Nur definierte Empfänger dürfen auf den Inhalt der Daten zugreifen. Zur Sicherung der Vertraulichkeit werden Verschlüsselungstechniken und digitale Signaturen verwendet.

Wahrung der Integrität: Daten und Systeme müssen vollständig und richtig zur Verfügung stehen und vor Manipulationen geschützt sein. Technische Maßnahmen sind hier Virenscanner und Firewalls.
Permanente Verfügbarkeit der Informationen: Hard- und Software sowie die Daten müssen in angemessener Zeit funktionsfähig und performant zur Verfügung stehen. Damit dies garantiert werden kann, sind auch die Mitarbeiter, die mit diesen Daten umgehen, besonderen Anforderungen unterworfen und sollten ständig in Bereitschaft sein. Weiterhin sind Back-Up-Verfahren einzurichten, die in Notfällen dafür sorgen, dass die Funktionalität der Anwendung aufrechterhalten wird.
Autorisierung/Zugriffsschutz: Nur Personen, die dazu berechtigt sind, haben Zugriff auf die Systeme und Daten des Unternehmens und können damit Geschäftsvorfälle ausführen. Neben Smart-Cards zur persönlichen Identifikation werden biometrische Verfahren in Zukunft an Bedeutung gewinnen.
Authentizität der ausgelösten Geschäftsprozesse: Der Verursacher eines Geschäftsvorfalles muss dem Vorgang eindeutig zuzuordnen sein. Die zugangsberechtigte Person wird z.B. über das Verfahren der digitalen Signatur identifiziert.
Verbindlichkeit der Applikationen: Das System muss die Eigenschaft haben, gewollte Transaktionen sicher und mit den gewünschten Rechtsfolgen (Kaufvertrag, Storno, Mahnungen etc.) herbeizuführen.

Die unternehmensindividuelle Erfüllung der Sicherheitsanforderungen macht die Ordnungsmäßigkeit von e-Business-Systemen erst möglich. Die Information, die Nachricht, und der Prozess sind nur dann vollständig im Sinne der Richtigkeit sowie der Fehler- und Manipulationsfreiheit, wenn den Sicherheitsanforderungen entsprochen wird. Zum kritischen Erfolgsfaktor des e-Business wird es, wenn Autorisierung und Authentizität von Daten und Personen sichergestellt werden.

Geschäfts- und Kontrollprozesse sind im alltäglichen e-Business so aufeinander abzustimmen, dass Risikopotentiale erkannt und aufgefangen werden können. Nur durch die effiziente und sicher abgebildete Wertschöpfungskette im e-Business kann letztlich z.B. eine aussagefähige und verlässliche Rechnungslegung möglich sein. Vor diesem Hintergrund sind die strategische Entscheidung des Unternehmens, die Implementierung einer unternehmensweiten e-Business-Infrastruktur und der darauf basierende Applikationen vorzunehmen; genauso wichtig ist es die Entwicklung einer Sicherheitsarchitektur, die die wachsenden Risiken und Gefahrenpotentiale mit zunehmender Komplexität, Größe und Unterschiedlichkeit von IT-Systemen und Prozessen berücksichtigt, aufzubauen. Je mehr das Unternehmen abhängig wird vom Einsatz der IT&K-Technologien, desto wichtiger ist die Unangreifbarkeit von außen. Hinzu kommt, dass die Informationsverarbeitung selbst einem ständigen Wandel unterworfen ist, der von neuen technologischen Möglichkeiten der Unternehmensorganisation auf allen Ebenen ausgeht.

e-Business und Sicherheit respektive Offenheit sind deshalb kein Gegensatz, sondern bedingen einander. Sicherheit und Offenheit ist ein kritischer Erfolgsfaktor von e-Business, kann aber durch den Einsatz entsprechender Funktionen und Überwachungsmechanismen als Bestandteil der Gesamtplanung einer e-Business-Applikation präzise und erfolgreich umgesetzt werden.

Team4 GmbH

D–52134 Herzogenrath

Telefon: (+49) 02407/95 82-0

www.team4.de