Thema des Monats November 2002
Stand: 02.07.2008

Die Verbreitung des Internet als Basistechnologie einer unternehmensübergreifenden elektronischen Abwicklung von Geschäftsprozessen bietet den Unternehmen ohne Zweifel neue Chancen. Für die ständig wachsenden und sich verändernden Kundenanforderungen nach neuen Produkten und Serviceleistungen sowie nach höherer Lieferterminflexibilität, hervorragender Qualität und optimierten Kosten ermöglicht die Nutzung des Internet den Unternehmen darüber hinaus neue Lösungsansätze. Erwähnt werden sollen hier als Beispiel die Globalisierung der Beschaffungsmärkte durch elektronische Marktplätze, über die neue Beschaffungsquellen und -wege erschlossen werden können sowie E-Procurement oder E-Sourcing ebenfalls im Beschaffungsbereich (Source), Virtual Manufacturing oder Manufacturing on Demand im Produktionprozess (Make), E-Fulfillment in der Auftrags- und Lieferabwicklung (Deliver) oder E-Service im After-Sales-Bereich. Diesen neuen Anforderungen müssen auch die unternehmensintern zur Abwicklung der Geschäftsprozesse eingesetzten Anwendungssysteme, wie z. B. ERP-Systeme, Rechnung tragen. Für ERP-Systeme bedeutet dies, dass sie zum einen über E-Business-Funktionalitäten und zum anderen über einen web-basierten Aufbau verfügen sollten. Gerade für die Nutzung von Anwendungssoftware über das Netz zeigen immer mehr Unternehmen Interesse, weil sie die Möglichkeit bietet sich von jedem beliebigen Internetanschluss aus in die betriebliche Anwendung, wie z. B. in das ERP-System einzuwählen. Dies ist sowohl für Außendienstmitarbeiter wie Vertriebs- und Servicemitarbeiter interessant als auch für kooperierende Unternehmen, die nicht über eine direkte Leitung in die innerbetriebliche Informationsverarbeitung eingebunden sind.

Die elektronische Übermittlung von Geschäftsdaten, wie Kundenauftragsdaten, Lieferantenbestellungen ist in vielen Unternehmen ein intensiv diskutiertes Thema. Dies gilt sowohl für die Kommunikation im eigenen Unternehmensnetz als auch für die mit Kunden und Lieferanten über öffentliche Netze. Gegenstand der Diskussionen ist oftmals das Thema Sicherheit. Grund dafür sind die in gewissem Umfang ohne Zweifel bestehenden Sicherheitsrisiken.

Beim Thema Sicherheit gibt es zwei Aspekte zu betrachten. Zum einen ist dies die Sicherheit im technischen Sinne, d. h. Schutz gegenüber Manipulation, Missbrauch oder Vernichtung von Daten und zum anderen die Rechtsicherheit bei der elektronischen Abwicklung von Geschäftsvorfällen. Zu den beim Thema Sicherheit am häufigsten diskutierten Fragen gehören z. B.

• Wie stelle ich sicher, dass mein unternehmensinternes Wissen nicht in falsche Hände gerät (-> Industriespionage!)?
• Wie sichere ich mein Unternehmen zuverlässig gegen unbefugte, unternehmensexterne Zugriffe (Hackerzugriffe)?
• Wie lässt sich die Manipulation der übertragenen Daten einfach und zuverlässig verhindern (sicherer Datenaustausch)?
• Wie stelle ich die Rechtverbindlichkeit bei der Abwicklung von Geschäftsvorfällen über e-Business sicher?

Die technischen Sicherheitsrisiken lassen sich in vier Gruppen zusammenfassen. Gefahren drohen einer sicheren web-basierten Geschäftsprozessabwicklung vor allem aus folgenden Richtungen:

Durch Sabotageaktivitäten wird z. B. mittels Viren die Integrität von Datenbeständen (Konsistenz, Korrektheit) großflächig zerstört.

Hacker verschaffen sich Zugang zu fremden Datenbeständen. Die Auswirkungen solcher unerlaubter Zugriffe auf Datenbestände reichen von Vertrauensverlust in den Datenschutz (insbesondere bei persönlichen Daten) bis zur gezielten missbräuchlichen Verwendung der "erbeuteten" Daten zur Industriespionage.

Schwindelaktionen, z.B. durch das Vortäuschen von Auftragseingängen, die dann in den Unternehmen zu entsprechenden Produktions- und Beschaffungsvorgängen führen sind durch Spoofing möglich.

Performanceeinbußen bis hin zum Zusammenbruch von Rechnernetzen durch sogenannte DDoS-Attacken (Distributed-Denial-of-Service) bei denen koordinierte Angriffe eines Hackers einen bekannten Web-Server oder Router von vielen Quellen aus mit Datenmüll bombardieren und so außer Gefecht setzen /1/.

Diesen Sicherheitsrisiken in einem Unternehmen kann mit einem durchgängigen Sicherheitskonzept begegnet werden. In einem solchen Konzept müssen die Sicherheitsrisiken unternehmensspezifisch richtig eingeschätzt werden und Maßnahmen zur Risikominimierung umfassen.

Zu den am weitesten verbreiteten Sicherungsmaßnahmen gehört sicher der Einsatz von Virenschutzprogrammen. Dicht gefolgt wird sie von Schutzmaßnahmen gegen unerlaubte Rechnerzugriffe, z. B. durch Hacker. Dabei fällt zumeist das Stichwort "Firewall". Bei 73% der Unternehmen stellt sie, nach dem Einsatz von Anti-Viren-Software (83%), immer noch die am häufigsten verwendete Abwehrmaßnahme dar. Die virtuellen Brandschutzmauern sollen den Datentransfer im Internet sicherer gestalten. Einen Schutz gegen den Missbrauch unerlaubt gewonnener Daten bietet das Verschlüsseln der verschickten Informationen. Heute werden jedoch noch sehr viele, auch unternehmensinterne und brisante Informationen unverschlüsselt verschickt, d. h. es wird oft sehr leichtfertig mit diesen Informationen umgegangen, obwohl inzwischen funktionsfähige Verschlüsselungslösungen verfügbar sind.

Eine Schutzmaßnahme gegen Schwindelaktionen stellt die Verwendung digitaler Signaturen dar. Über die digitale Signatur kann auf den Urheber einer Nachricht geschlossen werden. Das vor Kurzem in Deutschland eingeführte Signaturgesetz soll sicherstellen, dass elektronische Erklärungen wirklich von dem stammen, der sich als Absender zu erkennen gibt. Die digitale Signatur wird der handgeschriebenen Unterschrift gleichgestellt.

Das Risiko eines Unternehmens durch DDoS-Attacken Schaden zu nehmen kann durch eine Reihe von Präventivmaßnahmen reduziert werden. Hierzu gehört z. B. der Einsatz von sogenannten Intrusion-Detection-Systemen (IDS). Diese Systeme entdecken durch die Analyse der IP-Pakete, wenn DdoS-Tools zur Arbeit angewiesen werden. Des weiteren beschäftigen sich Instanzen wie z. B. der Internet Engineering Task Force (IETF) mit Standardisierungsverfahren, die Protokolle für einen herstellerübergreifenden, sicheren und geschützten Datenaustausch mittels IP-Protokollen festlegen. So soll der Standardisierungsvorschlag IPSec der IETF die Datenintegrität garantieren und die Verwaltung kryptischer Schlüssel definieren.

Unsicherheit besteht auch bezüglich der Rechtslage bei Online-Geschäften. Anders als beim persönlichen Kontakt kann sich ein Verkäufer bei Online-Geschäften keinen persönlichen Eindruck über die Identität, die Geschäftsfähigkeit und die Seriosität seines Vertragspartners gewinnen. Er ist ausschließlich auf die Informationen aus dem Netz angewiesen. Bei Geschäften, die einen gewissen Wert überschreiten, ist es für den Verkäufer jedoch unumgänglich alle notwendigen Angaben über seinen Vertragspartner zu erhalten, die er benötigt, um ihn eindeutig zu identifizieren. Er benötigt diese Informationen unter anderem für die Lieferung, die Rechnungsstellung und notfalls auch für den Mahnbescheid oder einen Rechtsstreit. Aus diesen Grund werden wirtschaftlich bedeutsame Verträge schriftlich geschlossen, obwohl der Gesetzgeber dies nicht verlangt /2/.

Bei der Abwicklung von Geschäftsvorfällen über das Internet (z. B. Bestellabwicklung) entfällt die Möglichkeit klassisch unterschriebene Verträge auszutauschen, da hier letztlich Computer miteinander kommunizieren. Deshalb gilt es hier zunächst die aktuelle Rechtslage zu diesem Thema zu betrachten. Bei Verträgen, die im Internethandel geschlossen werden, bestehen im Ausgangspunkt keine rechtlichen Besonderheiten /3/. Es gelten die selben gesetzlichen Grundsätze wie bei normalen Vertragsabschlüssen. Beispielsweise gibt der Besteller durch Klicken des "Bestellung"-Buttons eine rechtlich verbindliche Erklärung ab. Inhalt dieser Erklärung ist, einen Kaufvertrag mit dem Anbieter über das gewählte Produkt schließen zu wollen (sog. Willenserklärung). Der Anbieter nimmt das Vertragsangebot durch Zusendung einer (elektronischen) Auftragsbestätigung oder durch Lieferung der Ware an. Damit ist der Kaufvertrag zustande gekommen. Obwohl in der ursprünglichen Rechtsauffassung eine rechtlich erhebliche Willenserklärung nur dann vorliegt, wenn sie auf menschlichem Willen beruht, besteht heute Übereinstimmung, das Willenserklärungen auch von Computern ausgehen können. Voraussetzung ist allerdings, dass das Aufstellen und Betreiben des Computers auf dem Willen des Anwenders beruht und dieser sich die automatisch erzeugten Erklärungen zurechnen lassen will. Davon ist in der Regel auszugehen.

Wer jedoch ganz sicher sein will, dass Verträge auch vor Gericht "wasserdicht" sind, kommt nach der derzeitigen Rechtslage nicht umhin, dem Käufer nach der Internet-Bestellung einen schriftlichen Vertrag zuzusenden. Der Käufer soll ihn handschriftlich unterzeichnen und das Original zurücksenden.

Der Beitrag zeigt, dass beim Einsatz web-basierter ERP-Systemen, wie bei der Abwicklung von Geschäftsvorfällen über das Internet allgemein, Sicherheitsrisiken bestehen. Sie gliedern sich technische und in rechtliche Kriterien. Exemplarisch werden Wege aufgezeigt, wie diese Risiken reduziert werden können. Von grundlegender Bedeutung für einen wirksamen Schutz gegen Missbrauch und Sabotage ist ein auf das Unternehmen ausgelegtes, durchgängiges, mit wachsendes Sicherheitskonzept.

Am Fraunhofer IPA wurde im Rahmen eines Forschungsprojektes ein Leitfaden zur Einführung von E-Business in KMU erarbeitet, in dem vertieft auf diese Thematik eingegangen wird.

/1/ Heil, A.:
Eine harte Nuss für Hacker – Sicherheitskonzepte gegen Distributed-Denial-
of-Service-Attacken,
cw extra Nr. 5, 2000, S. 58 – 59.

/2/ Börner, F.:
Rechtslücken verderben manches Geschäft,
cw extra Nr. 5, 2000, S. 60 – 62.

/3/ Sakowski, K.:
Vertragsabschluss im Internet,
www.sakowski.de/onl-r/onl-r46.htn vom 13.5.2001